On parle bien de kernel de type "longterm" là? Ceux du genre qu'on met sur un serveur ouvert sur le monde avec les patches grsecure (où équivalents) ?
Et donc, en fait et si je vous suis bien, il ne faut pas afficher à qui à le plus gros uptime mais qui a la plusse grossse kernel version ?
Parce que je me doute bien qu'entre le Kernel de Debian Etch installé en 2008 (2.6.24) et celui de la Debian (stable) Squeeze installé en 2013 (2.6.32) il y a du y avoir quelques failles de sécurité de comblées. Mais, je ne sais pas pourquoi, je ne me me sens pas plus ni moins en sécurité aujourd'hui qu'avec le précédent kernel.
Ça ne sert à rien et je n'ai jamais joué à qui à la plus grosse. Ce n'était pas mon propos. Cela démontre que l'utilisation d'un serveur hébergé est un bon moyen de s'assurer d'un très bonne disponibilité.
Quand à mettre à jour le kernel, non je ne le fais pas systématiquement. Je ne touche pas à un système qui fonctionne parfaitement si ce n'est pas nécessaire (en fonction des risques/apports de la mise à jour). La preuve que n'était pas forcément nécessaire c'est que le serveur a très bien fonctionné comme cela ;)
Non, ce que je voulais illustrer c'est que quand on parle de "confiance" la définition et le degré de confiance n'est pas même pour tout le monde.
Je respecte ton avis, et si tu penses, que tes données seraient bien sur une infrastructure gérée par le FSF. Mais je respecte aussi ceux qui me diront que leurs données sont bien chez Google ou Microsoft. Je chercherais plutôt à savoir s'ils ont conscience des implications et risques en fonction du caractère des données stockées mais après si ça leur convient (ou comme toi avec la FSF), ce n'est pas "mon affaire". Je militerai pour que des alternatives simples existent (comme éventuellement le projet dont il est question ici) mais ne force personne à quoique ce soit (et à fortiori à penser comme moi)
Et mois je ne ferais même pas confiance en la FSF (déplacement du curseur, confiance au plus bas). Qui me dit qu'une infrastructure maintenue par la FSF ne va pas du jour au lendemain couper l'accès à tel ou tel service parce qu'il ne respectera pas leur principe ou telle ou telle RFC ou eu je ne peux pas accéder au service depuis le Privatistan (pays imaginaire) en conflit avec la FSF?
Tout dépend où le curseur de confiance dans "des associations de confiances" est placé. Pour le commun des mortels, ils vont te dire que ça existe déjà. Ça s'appelle Google App, Office 365 etc…ce sont de grosses sociétés, ils offrent des tas de services gratuits, et pour ça on peut leur faire confiance ;)
Ça s'apparente à de la manipulation, théorie du pied dans la porte (entendu cette semaine sur France Inter), mais ça marche plutôt bien (pour les grosses boites)
Mme Michu est partie au point 5 ("PaaS"), son fils aussi et même le petit dernier, pourtant dans l'informatique est parti au point 6 ("mashup de données", "web app requêtent en REST")…
Pas très "cozy" tout ça. je ne critique pas le projet, mais la présentation qui en est faite ici.
Je viens de mettre à jour mon "auto-hébergement" chez OVH (kimsufi) de Debian Etch à Squeeze. Avant le reboot de changement de kernel le serveur avait 1730 jours d'uptime (presque 5 ans) avec, sur ces 5 ans vraiment très, très peu de coupure de service (genre 5 min au max tous les 2-3 mois). Et c'est la machine de base kimusufi, pas de raid ("backup" via rsync à la maison).
Je ne pense pas que l'auto-hérbergement à la maison soit le top, j'ai essayé plusieurs années mais rien ne remplace un serveur hébergé. Certes cela a un coût mais c'est le prix de la (presque) liberté. Je paye pour le moment 19,99eur/mois HT mais je vais migrer sur l'offre à 9,99eur/HT (avec plus de RAM et de disque, même CPU car depuis 5 ans les offres ont bien changés). Par précaution, et comme je ne suis pas le seul sur cette hébergement (j'en fait profiter ma famille), j'ai un VPS de secours que je paye quelques euros par mois. Même disons à 15eur/mois ça reste bien raisonnable comme coût (surtout qu'ici c'est plus ou moins pour une dizaine de personne).
Mais c'est le "nominatif".
Je ne sais pas comment fonctionne le système sans contact des transports parisien où d'autres villes en France mais pour ceux que je connais (au G.D. de Luxembourg ou à Londres) le paiement "sans contact" et anonyme fonctionne très bien dans les transports. On achète une carte dans un distributeur ou autre, on ajoute de l'argent dessus et à chaque passage à la borne de paiement, ça retire le montant à payer du solde qui est donc toujours pas nature créditeur et donc avec aucun risque pour le commerçant.
Vu les montants sur ces cartes on ne risque pas de faire du blanchiment… et cela correspond bien à l'usage de paiement de petits montants. Tous les avantages et pas vraiment d'inconvénient (on peut recharger sa carte avec de l'argent liquide).
require ["body", "fileinto"];
# This will match a message containing the literal text
# "MAKE MONEY FAST" in body parts (ignoring any
# content-transfer-encodings) or MIME headers other than
# the outermost RFC 2822 header.
if body :raw :contains "X-Spam-Flag" "YES" {
fileinto "INBOX.junk";
}
Et peut être voir à ce que ce soit dans une fichier de conf global:
protocol lda {
[...]
global_script_path = /path/to/globalsieverc
[...]
}
Je ne sais pas quel type de stockage tu utilises pour tes boites emails mais perso en maildir/virtual mail j'ajoute un fichier .dovecot.sieve dans le répertoire racine de la boite.
Et par exemple, pour déplacer automatiquement les mails qui ont un X-Spam-Flag à YES au niveau du header dans le répertoire Junk (qui n'est pas sous INBOX, d'où le "fileinto") :
require "fileinto";
if exists "X-Spam-Flag: YES" {
fileinto "Junk";
}
Je l'utilise sur Debian depuis plusieurs années pour gérer mes domaines, utilisateur et emails.
La documentation est très bien faite et cela permet de mettre en place un LDAP qui sera utilisable pour quasi n'importe quelle situation.
Tu pourras y inclure des quotas que owncloud saura récupéré. Je viens d'installer Owncloud 5.0 et la configuration LDAP est vraiment simple.
C'est le cas pour ceux que je gère. Les admins/tech ont strictement le même accès que les utilisateurs. Et c'est pas facile à leur faire comprendre le pourquoi et de leur faire respecter.
Mais je leur rappelle que si ils sont confrontés à un problème avec leur compte normal ils peuvent être quasi certain que tôt ou tard l'ensemble des utilisateurs peuvent y être confrontés aussi et que ça peut donc leur permettre de résoudre les problèmes de façon pro-active.
Ils ont donc un compte utilisateur normal avec les mêmes configurations que les utilisateurs pour toutes les tâches du quotidien et pour toutes les tâches requérant un accès admin, ils ont un compte spécifique séparé.
Il y a juste quelques différences mineures de configuration pour des questions pratiques (ex. un admin/tech peut télécharger un binaire exécutable ou un package d'installation mais pas les utilisateurs). Par contre pour l'exécuter il faut "passer" en admin, comme sur n'importe quelle station.
Ou les nouvelles tablettes compatibles PC à base de proc Atom (les core i3 ou i5 seront trop chère). Ex: Samsung ATIV Smart PC 500T, HP ElitePad 900, Lenovo ThinkPad Tablet 2 etc…
Comme dis plus haut il y a une interface web bien faite pour faire toute la base et même plus. Je n'utilise quasi jamais la ligne de commande pour administrer Proxmox lui même mais le système "host" est un Debian tout ce qu'il y a de (presque) classique.
Je n'utilise pas de machine KVM, et je n'ai aucune expérience avec celui ci.
Pour la partie réseau il y a plein de tutoriels (voir: http://guides.ovh.com/Proxmox par exemple). Le mieux est d'utiliser les IP failover si tu en as plutôt que de faire du NAT.
Je suis presque content que ce sujet sois abordé, ça peut donner des idées.
Je pense que beaucoup d'admin sont confrontés à des problèmes similaires mais tous ne sont pas égaux devant les outils et les possibilités.
Déjà, suivant les accords dans l'entreprise et en absence de charte "internet" qui le mentionnerait explicitement, il n'est pas légal de surveiller ou enregistrer le traffic des utilisateurs. Il existe une subtilité: si la surveillance ne permet pas d'identifier la personne.
C'est ce que j'appellerai de la surveillance "technique".
Par exemple je peux très bien m'appercevoir qu'un des ordinateurs du réseau génère un traffic important ou un nombre de requête élevée. Je ne l'identifie pas directement et je ne sais pas qui l'utilise. Disons que c'est un des ordinateurs, le numéro #42 à ce moment précis, mais je ne connais pas son IP ni l'utilisateur. Je peux appliquer une règle qui restreint l'accès à #42. Dans la pratique, oui, il est possible de savoir, à priori, de qui il s'agit (address IP, address MAC, login name…) mais ce n'est pas nécessaire pour régler le problème (et c'est une perte de temps, en plus du coté non "légal").
Suivant mon humeur la restriction peut aller jusqu'à la coupure totale de l'accès Internet. Dans ce cas, en général, dans l'heure qui suit, j'ai un appel d'un utilisateur qui me dit que son Internet "ne marche pas". Le message d'erreur (du proxy Squid, qui ne donne plus accès) me permet donc de savoir, à postériori, de qui il s'agissait. J'ai pris une mesure technique pour protéger le réseau (et les autres utilisateurs) qui a affecté un utilisateur en particulier mais je n'ai pas fait de surveillance active de qui fait quoi. En général je réponds qu'une activité suspecte (hausse de traffic, nombreux hits, sans autre précision) a été détectée sur la machine utilisée et que son accès a été coupé par précaution. Je réactive alors l'accès, la personne toujours au téléphone me confirme que ça "remarche", je vérifie que l'activité "suspecte" a disparue et confirme le rétablissement de la connexion. Après environ 2 fois le comportement "déviant" disparait complètement.
Je précise, tout de même, que nous rappelons régulièrement que l'accès Internet est partagé entre tous et que les abus d'un seul utilisateur peuvent pénaliser l'ensemble de ses collègues et potentiellement la bonne marche de l'entreprise (ça c'est pour avoir l'oreille attentive des managers). Dans les abus, il est cité en exemple, l'ecoute de radio, la visualisation de video, le "streaming" en général etc..
Il y a aussi du filtrage actif de quelques URL et certaines sont débloquées pendant les heures du midi (ex. Facebook),
J'avais testé le ralentissement de bande passante ou des quotas mais parfois ça apporte trop de contraintes. Par ex ralentir l'accès à Facebook au bout d'un certain quota va ralentir tous les sites qui on un bouton "Like" sur leur page.
D'une façon générale, en tant que responsable info, je suis contre toute forme de filtrage mais il y a des abus, et comme dans toute société (au sens large), il faut fixer des limites et des règles. On en arrive donc à, effectivement, activer un filtrage. Je ne peux pas citer tous les exemples mais je peux vous dire qu'on voit des choses assez dramatique. Mais c'est avant tout aux managers de faire leur boulot et si quelqu'un ne fait pas ce pourquoi il est rémunéré de se demander pourquoi et pas à un admin de fournir les logs de connexion ou mettre en place un filtrage généralisé.
Quelqu'un qui écoute la musique toute la journée, qui fait son boulot, et dans la mesure où cela ne gène pas la bonne marche de l'entreprise ou ses collègues, devrait pouvoir continuer, même si ce n'est pas l'avis de certains.
Sauf que l'installation via l'ISO ne permet pas (sauf si cela à changé récemment) de configurer certains aspect, comme le partitionement (ex: si on veut du raid logiciel LVM, bien que pas supporté) où bien il faut modifier le système, à posteriori.
Pour répondre à la question, oui c'est possible d'installer Proxmox sur un système existant pour peu que ce soit un système Debian compatible (Debian Squeeze 6.0.7 pour cette version)
Je suis chez Eltrona (enfin Eschspeed) via le câble et j'en suis très content (50M/2M pour 46E par mois, internet seulement, pas de TV, pas de tel).
Le seul bémol c'est le modem cable Cisco qui ne peut pas être mis en mode bridge.
Pour répondre à ta question: "y'a une limitation technique qui fait que les débits ascendants et descendants sont aussi asymétriques"?: oui il y a une limitation technique. C'est le nombre de sous porteuses disponibles et combien on veut en affecter pour la voie descendante et la voie montante. Comme en général on télecharge plus qu'on envoie il ya plus de sous porteuses dédiées à la voie descendante.
Théoriquement il devrait être possible d'inverser cela (comme c'était possible avec le minitel) mais il faudrait alors que tous les équipements en soit capables (modem et dans le dslam).
Il doit y avoir d'autre subtilités (par ex. pour de l'ADSL on a qu'une paire de cuivre (2 fils) pour les 2 voies alors que bien souvent en SDSL on commence par 2 paires, une par voie).
Oui ADSL est asymétrique, on est d'accord, mais les petits génies du marketing se sont dit que si on peu fournir disons du 15M/1M sur une ligne qui supporte l'ADSL+M, ça veut dire que l'on peut fournir du 10M/2M et on peut alors garantir du 2M/2M comme si c'était du SDSL 2M, mais à un prix quasi équivalent à de l'ADSL (enfin ça dépend ensuite d'autres facteurs). Même si ce n'est pas du vrai SDSL (la technologie) le produit s'appelle quand même SDSL (parfois SDSL M). On joue sur l'ambiguïté mais le débit est bien "symétrique" dans ce cas là.
Il faut aussi comprendre que ce qui fait que le SDSL est plus cher c'est aussi parce qu'il y a des garanties plus importantes (par ex. débit/rétablissement) et aussi que l'installation de la ligne est plus complexe (en fonction de la distance et du nombre de paires requises mais les prix ont quand même bien baissés (sauf si on reste chex Orange).
Certains fournisseurs proposent de l'ADSL2+ annexe M qui permet, au détriment du descendant d'avoir une voie montante plus rapide.
Je ne sais pas qui le propose en France. Au UK c'est tellement courant que certain range même ce type de connexion dans la rubrique SDSL.
OVH avait lancé une offre SDSL très bon marché avant de la retirer il me semble. Ils ont maintenant une offre "perso" mais je ne sais pas à quoi cela correspond et les autres tarifs SDSL sont moins chère que ce que l'on peu trouver ailleurs mais pas vraiment abordable pour un accès particulier.
Tu es où au Royaume-Unis pour ne pas avoir le dégroupage total?
J'avais Tiscali au tout début puis le top au niveau fournisseur ADSL au UK: Be Internet, toujours en dégroupage total.
J'ai même encore gardé une ligne Be au boulot, en "bonding" me donnant du 32M/5M (c'est une ligne de backup, sinon on a la fibre 50Mb mais c'est pas le même prix).
On parle effectivement en brut en Angleterre. Pour se faire une idée du net il y a quelques sites qui te calculent le net.
J'utilise celui ci http://www.thesalarycalculator.co.uk/ qui donne une bonne idée du "Take Home", le net (pour les situations simples).
Il faut savoir que:
- Health Insurance scheme
- 25 working days of holidays
N'est pas du "standard" en Angleterre (c'est 20 jours la base niveau vacances) et une "Health Insurance" coute assez cher suivant le plan, sinon, ça se passe dans le public (NHS), c'est gratuit mais il faut savoir être patient dès que son état de santé est un peu "compliqué".
Ceci pour dire que ces deux avantages sont à considérer si on compare d'autres offres dans la même fourchette de salaire car c'est un gros "plus".
Petite parenthèse pour les frenchies qui veulent s'installer à Londres les loyers sont, par contre, très souvent donnés à la semaine (ex: 230pw ce qui correspond à ~1000 par mois).
Sauf que ce n'est généralement pas le seul critère utilisé par les filtres antispam qui vont généralement attribuer une note (ou % de probabilité de SPAM) en fonction de différents critères.
Il y aura donc de grandes chances, par exemple, qu'une connexion ADSL soit sur une liste d'adresse IP de type "dial-up*" et donc de te retrouver marqué avec une forte probabilité de SPAM si ton email n'est carrément pas directement rejeté.
Au exemple, certains filtres "poussés" vont vérifier que le reverse DNS de la connexion correspond au @domaine qui essaye d'envoyer.
(*: je ne suis plus certain du terme, mais en gros c'est pour indiquer que c'est une des IP utilisée par un FAI et attribué à un client lambda à un instant t, pour un court terme)
Il n'y a aucune différence entre la page chez free et n'importe quel site Internet, LinkedIn ou Viadeo compris, à partir du moment où c'est publié, c'est public.
Les informations publiées chez free peuvent être consultées et utilisées par n'importe qui, en totalité et sans aucun contrôle, de la même façon que sur les réseaux sociaux (quoique avec eux il y a des conditions d'utilisation que l'on accepte si on y est). Si on ne met pas plus d'information personnelle d'un coté ou de l'autre il n'y aura pas plus d'information disponible.
La différence se fera sur le forme et sur la façon de trouver les données. Le moteur de recherche de ta page free sera Google (qui n'est pas spécialisé), celui de ta page LinkedIn sera le moteur de recherche de LinkedIn (spécialisé).
Se vanter d'arriver premier sur la recherche d'un mot clé sur Google c'est comme dire que l'on a 100000 amis sur Facebook ou 10000 contacts sur LinkedIn ; )
[^] # Re: S'il n'y avait que ça
Posté par Julien L. . En réponse au journal Rendre l'auto-hébergement facile et sans douleur ?. Évalué à 2.
On parle bien de kernel de type "longterm" là? Ceux du genre qu'on met sur un serveur ouvert sur le monde avec les patches grsecure (où équivalents) ?
Et donc, en fait et si je vous suis bien, il ne faut pas afficher à qui à le plus gros uptime mais qui a la plusse grossse kernel version ?
Parce que je me doute bien qu'entre le Kernel de Debian Etch installé en 2008 (2.6.24) et celui de la Debian (stable) Squeeze installé en 2013 (2.6.32) il y a du y avoir quelques failles de sécurité de comblées. Mais, je ne sais pas pourquoi, je ne me me sens pas plus ni moins en sécurité aujourd'hui qu'avec le précédent kernel.
[^] # Re: S'il n'y avait que ça
Posté par Julien L. . En réponse au journal Rendre l'auto-hébergement facile et sans douleur ?. Évalué à 2.
Ça ne sert à rien et je n'ai jamais joué à qui à la plus grosse. Ce n'était pas mon propos. Cela démontre que l'utilisation d'un serveur hébergé est un bon moyen de s'assurer d'un très bonne disponibilité.
Quand à mettre à jour le kernel, non je ne le fais pas systématiquement. Je ne touche pas à un système qui fonctionne parfaitement si ce n'est pas nécessaire (en fonction des risques/apports de la mise à jour). La preuve que n'était pas forcément nécessaire c'est que le serveur a très bien fonctionné comme cela ;)
[^] # Re: hébergement associatif
Posté par Julien L. . En réponse au journal Rendre l'auto-hébergement facile et sans douleur ?. Évalué à 2.
Non, ce que je voulais illustrer c'est que quand on parle de "confiance" la définition et le degré de confiance n'est pas même pour tout le monde.
Je respecte ton avis, et si tu penses, que tes données seraient bien sur une infrastructure gérée par le FSF. Mais je respecte aussi ceux qui me diront que leurs données sont bien chez Google ou Microsoft. Je chercherais plutôt à savoir s'ils ont conscience des implications et risques en fonction du caractère des données stockées mais après si ça leur convient (ou comme toi avec la FSF), ce n'est pas "mon affaire". Je militerai pour que des alternatives simples existent (comme éventuellement le projet dont il est question ici) mais ne force personne à quoique ce soit (et à fortiori à penser comme moi)
[^] # Re: hébergement associatif
Posté par Julien L. . En réponse au journal Rendre l'auto-hébergement facile et sans douleur ?. Évalué à 2.
Et mois je ne ferais même pas confiance en la FSF (déplacement du curseur, confiance au plus bas). Qui me dit qu'une infrastructure maintenue par la FSF ne va pas du jour au lendemain couper l'accès à tel ou tel service parce qu'il ne respectera pas leur principe ou telle ou telle RFC ou eu je ne peux pas accéder au service depuis le Privatistan (pays imaginaire) en conflit avec la FSF?
[^] # Re: hébergement associatif
Posté par Julien L. . En réponse au journal Rendre l'auto-hébergement facile et sans douleur ?. Évalué à 2.
Tout dépend où le curseur de confiance dans "des associations de confiances" est placé. Pour le commun des mortels, ils vont te dire que ça existe déjà. Ça s'appelle Google App, Office 365 etc…ce sont de grosses sociétés, ils offrent des tas de services gratuits, et pour ça on peut leur faire confiance ;)
Ça s'apparente à de la manipulation, théorie du pied dans la porte (entendu cette semaine sur France Inter), mais ça marche plutôt bien (pour les grosses boites)
[^] # Re: Cozy cloud
Posté par Julien L. . En réponse au journal Rendre l'auto-hébergement facile et sans douleur ?. Évalué à 1.
Mme Michu est partie au point 5 ("PaaS"), son fils aussi et même le petit dernier, pourtant dans l'informatique est parti au point 6 ("mashup de données", "web app requêtent en REST")…
Pas très "cozy" tout ça. je ne critique pas le projet, mais la présentation qui en est faite ici.
[^] # Re: S'il n'y avait que ça
Posté par Julien L. . En réponse au journal Rendre l'auto-hébergement facile et sans douleur ?. Évalué à 7.
Je viens de mettre à jour mon "auto-hébergement" chez OVH (kimsufi) de Debian Etch à Squeeze. Avant le reboot de changement de kernel le serveur avait 1730 jours d'uptime (presque 5 ans) avec, sur ces 5 ans vraiment très, très peu de coupure de service (genre 5 min au max tous les 2-3 mois). Et c'est la machine de base kimusufi, pas de raid ("backup" via rsync à la maison).
Je ne pense pas que l'auto-hérbergement à la maison soit le top, j'ai essayé plusieurs années mais rien ne remplace un serveur hébergé. Certes cela a un coût mais c'est le prix de la (presque) liberté. Je paye pour le moment 19,99eur/mois HT mais je vais migrer sur l'offre à 9,99eur/HT (avec plus de RAM et de disque, même CPU car depuis 5 ans les offres ont bien changés). Par précaution, et comme je ne suis pas le seul sur cette hébergement (j'en fait profiter ma famille), j'ai un VPS de secours que je paye quelques euros par mois. Même disons à 15eur/mois ça reste bien raisonnable comme coût (surtout qu'ici c'est plus ou moins pour une dizaine de personne).
# C'est la le "sans contact" le problème
Posté par Julien L. . En réponse au journal Moyens de paiement : j'ai peur de l'avenir. Évalué à 2.
Mais c'est le "nominatif".
Je ne sais pas comment fonctionne le système sans contact des transports parisien où d'autres villes en France mais pour ceux que je connais (au G.D. de Luxembourg ou à Londres) le paiement "sans contact" et anonyme fonctionne très bien dans les transports. On achète une carte dans un distributeur ou autre, on ajoute de l'argent dessus et à chaque passage à la borne de paiement, ça retire le montant à payer du solde qui est donc toujours pas nature créditeur et donc avec aucun risque pour le commerçant.
Vu les montants sur ces cartes on ne risque pas de faire du blanchiment… et cela correspond bien à l'usage de paiement de petits montants. Tous les avantages et pas vraiment d'inconvénient (on peut recharger sa carte avec de l'argent liquide).
[^] # Re: Expérience perso (config plus ou moins similaire)
Posté par Julien L. . En réponse au message Debian, Sympa et spam non filtré. Évalué à 2.
Alors voir du coté de http://www.ietf.org/rfc/rfc5173.txt
Et peut être voir à ce que ce soit dans une fichier de conf global:
protocol lda {
[...]
global_script_path = /path/to/globalsieverc
[...]
}
[^] # Re: Masque jetable sur une clef usb de base
Posté par Julien L. . En réponse au journal Essais avec une Yubikey. Évalué à 3.
Et en gardant la même idée d'utilisation d'une simple clé usb de stockage, pour l'authentification il y a pam_usb: http://pamusb.org/
# Expérience perso (config plus ou moins similaire)
Posté par Julien L. . En réponse au message Debian, Sympa et spam non filtré. Évalué à 2.
Salut,
Je ne sais pas quel type de stockage tu utilises pour tes boites emails mais perso en maildir/virtual mail j'ajoute un fichier .dovecot.sieve dans le répertoire racine de la boite.
Et par exemple, pour déplacer automatiquement les mails qui ont un X-Spam-Flag à YES au niveau du header dans le répertoire Junk (qui n'est pas sous INBOX, d'où le "fileinto") :
require "fileinto";
if exists "X-Spam-Flag: YES" {
fileinto "Junk";
}
Pour plus d'options, voir: http://wiki.dovecot.org/LDA/Sieve#Mailbox_names_with_fileinto
[^] # Re: LDAP@home
Posté par Julien L. . En réponse à la dépêche Voici ownCloud 5.0. Évalué à 2.
Bonjour,
Tu peux aussi regarder du coté de la Mandriva Management Console: http://mandriva-management-console.readthedocs.org/en/latest/index.html pour mettre un place un LDAP et administrer les utilisateurs facilement.
Je l'utilise sur Debian depuis plusieurs années pour gérer mes domaines, utilisateur et emails.
La documentation est très bien faite et cela permet de mettre en place un LDAP qui sera utilisable pour quasi n'importe quelle situation.
Tu pourras y inclure des quotas que owncloud saura récupéré. Je viens d'installer Owncloud 5.0 et la configuration LDAP est vraiment simple.
[^] # Re: MDR
Posté par Julien L. . En réponse au journal courrier papier et filtrage d'internet. Évalué à 2.
C'est le cas pour ceux que je gère. Les admins/tech ont strictement le même accès que les utilisateurs. Et c'est pas facile à leur faire comprendre le pourquoi et de leur faire respecter.
Mais je leur rappelle que si ils sont confrontés à un problème avec leur compte normal ils peuvent être quasi certain que tôt ou tard l'ensemble des utilisateurs peuvent y être confrontés aussi et que ça peut donc leur permettre de résoudre les problèmes de façon pro-active.
Ils ont donc un compte utilisateur normal avec les mêmes configurations que les utilisateurs pour toutes les tâches du quotidien et pour toutes les tâches requérant un accès admin, ils ont un compte spécifique séparé.
Il y a juste quelques différences mineures de configuration pour des questions pratiques (ex. un admin/tech peut télécharger un binaire exécutable ou un package d'installation mais pas les utilisateurs). Par contre pour l'exécuter il faut "passer" en admin, comme sur n'importe quelle station.
[^] # Re: Ubuntu
Posté par Julien L. . En réponse au message Déploiement de tablettes. Évalué à 1.
Ou les nouvelles tablettes compatibles PC à base de proc Atom (les core i3 ou i5 seront trop chère). Ex: Samsung ATIV Smart PC 500T, HP ElitePad 900, Lenovo ThinkPad Tablet 2 etc…
# Ça fonctionne
Posté par Julien L. . En réponse au message OVH et proxmox. Évalué à 1.
J'utilise Proxmox chez OVH sans problème.
Attention par contre c'est du RAID soft et il faudra mettre les mains dans le cambouis pour configurer le RAID soft (ça peut se faire après l'installation voir: http://www.howtoforge.com/proxmox-2-with-software-raid). Pour un fonctionnement en CT (container/OpenVZ) ça ne pose aucun soucis mais ce n'est pas officiellement supporté (http://pve.proxmox.com/wiki/Software_RAID).
Comme dis plus haut il y a une interface web bien faite pour faire toute la base et même plus. Je n'utilise quasi jamais la ligne de commande pour administrer Proxmox lui même mais le système "host" est un Debian tout ce qu'il y a de (presque) classique.
Je n'utilise pas de machine KVM, et je n'ai aucune expérience avec celui ci.
Pour la partie réseau il y a plein de tutoriels (voir: http://guides.ovh.com/Proxmox par exemple). Le mieux est d'utiliser les IP failover si tu en as plutôt que de faire du NAT.
[^] # Re: MDR
Posté par Julien L. . En réponse au journal courrier papier et filtrage d'internet. Évalué à 7.
Je suis presque content que ce sujet sois abordé, ça peut donner des idées.
Je pense que beaucoup d'admin sont confrontés à des problèmes similaires mais tous ne sont pas égaux devant les outils et les possibilités.
Déjà, suivant les accords dans l'entreprise et en absence de charte "internet" qui le mentionnerait explicitement, il n'est pas légal de surveiller ou enregistrer le traffic des utilisateurs. Il existe une subtilité: si la surveillance ne permet pas d'identifier la personne.
C'est ce que j'appellerai de la surveillance "technique".
Par exemple je peux très bien m'appercevoir qu'un des ordinateurs du réseau génère un traffic important ou un nombre de requête élevée. Je ne l'identifie pas directement et je ne sais pas qui l'utilise. Disons que c'est un des ordinateurs, le numéro #42 à ce moment précis, mais je ne connais pas son IP ni l'utilisateur. Je peux appliquer une règle qui restreint l'accès à #42. Dans la pratique, oui, il est possible de savoir, à priori, de qui il s'agit (address IP, address MAC, login name…) mais ce n'est pas nécessaire pour régler le problème (et c'est une perte de temps, en plus du coté non "légal").
Suivant mon humeur la restriction peut aller jusqu'à la coupure totale de l'accès Internet. Dans ce cas, en général, dans l'heure qui suit, j'ai un appel d'un utilisateur qui me dit que son Internet "ne marche pas". Le message d'erreur (du proxy Squid, qui ne donne plus accès) me permet donc de savoir, à postériori, de qui il s'agissait. J'ai pris une mesure technique pour protéger le réseau (et les autres utilisateurs) qui a affecté un utilisateur en particulier mais je n'ai pas fait de surveillance active de qui fait quoi. En général je réponds qu'une activité suspecte (hausse de traffic, nombreux hits, sans autre précision) a été détectée sur la machine utilisée et que son accès a été coupé par précaution. Je réactive alors l'accès, la personne toujours au téléphone me confirme que ça "remarche", je vérifie que l'activité "suspecte" a disparue et confirme le rétablissement de la connexion. Après environ 2 fois le comportement "déviant" disparait complètement.
Je précise, tout de même, que nous rappelons régulièrement que l'accès Internet est partagé entre tous et que les abus d'un seul utilisateur peuvent pénaliser l'ensemble de ses collègues et potentiellement la bonne marche de l'entreprise (ça c'est pour avoir l'oreille attentive des managers). Dans les abus, il est cité en exemple, l'ecoute de radio, la visualisation de video, le "streaming" en général etc..
Il y a aussi du filtrage actif de quelques URL et certaines sont débloquées pendant les heures du midi (ex. Facebook),
J'avais testé le ralentissement de bande passante ou des quotas mais parfois ça apporte trop de contraintes. Par ex ralentir l'accès à Facebook au bout d'un certain quota va ralentir tous les sites qui on un bouton "Like" sur leur page.
D'une façon générale, en tant que responsable info, je suis contre toute forme de filtrage mais il y a des abus, et comme dans toute société (au sens large), il faut fixer des limites et des règles. On en arrive donc à, effectivement, activer un filtrage. Je ne peux pas citer tous les exemples mais je peux vous dire qu'on voit des choses assez dramatique. Mais c'est avant tout aux managers de faire leur boulot et si quelqu'un ne fait pas ce pourquoi il est rémunéré de se demander pourquoi et pas à un admin de fournir les logs de connexion ou mettre en place un filtrage généralisé.
Quelqu'un qui écoute la musique toute la journée, qui fait son boulot, et dans la mesure où cela ne gène pas la bonne marche de l'entreprise ou ses collègues, devrait pouvoir continuer, même si ce n'est pas l'avis de certains.
[^] # Re: Installation "bare metal" ?
Posté par Julien L. . En réponse à la dépêche Proxmox VE 2.3 est sorti. Évalué à 1.
Sauf que l'installation via l'ISO ne permet pas (sauf si cela à changé récemment) de configurer certains aspect, comme le partitionement (ex: si on veut du raid logiciel LVM, bien que pas supporté) où bien il faut modifier le système, à posteriori.
Pour répondre à la question, oui c'est possible d'installer Proxmox sur un système existant pour peu que ce soit un système Debian compatible (Debian Squeeze 6.0.7 pour cette version)
[^] # Re: Numéricable, mais
Posté par Julien L. . En réponse au sondage Votre FAI. Évalué à 1.
Je suis chez Eltrona (enfin Eschspeed) via le câble et j'en suis très content (50M/2M pour 46E par mois, internet seulement, pas de TV, pas de tel).
Le seul bémol c'est le modem cable Cisco qui ne peut pas être mis en mode bridge.
[^] # Re: Au passage
Posté par Julien L. . En réponse au sondage Votre FAI. Évalué à 2.
Pour répondre à ta question: "y'a une limitation technique qui fait que les débits ascendants et descendants sont aussi asymétriques"?: oui il y a une limitation technique. C'est le nombre de sous porteuses disponibles et combien on veut en affecter pour la voie descendante et la voie montante. Comme en général on télecharge plus qu'on envoie il ya plus de sous porteuses dédiées à la voie descendante.
Théoriquement il devrait être possible d'inverser cela (comme c'était possible avec le minitel) mais il faudrait alors que tous les équipements en soit capables (modem et dans le dslam).
Il doit y avoir d'autre subtilités (par ex. pour de l'ADSL on a qu'une paire de cuivre (2 fils) pour les 2 voies alors que bien souvent en SDSL on commence par 2 paires, une par voie).
[^] # Re: Au passage
Posté par Julien L. . En réponse au sondage Votre FAI. Évalué à 2.
Oui ADSL est asymétrique, on est d'accord, mais les petits génies du marketing se sont dit que si on peu fournir disons du 15M/1M sur une ligne qui supporte l'ADSL+M, ça veut dire que l'on peut fournir du 10M/2M et on peut alors garantir du 2M/2M comme si c'était du SDSL 2M, mais à un prix quasi équivalent à de l'ADSL (enfin ça dépend ensuite d'autres facteurs). Même si ce n'est pas du vrai SDSL (la technologie) le produit s'appelle quand même SDSL (parfois SDSL M). On joue sur l'ambiguïté mais le débit est bien "symétrique" dans ce cas là.
Il faut aussi comprendre que ce qui fait que le SDSL est plus cher c'est aussi parce qu'il y a des garanties plus importantes (par ex. débit/rétablissement) et aussi que l'installation de la ligne est plus complexe (en fonction de la distance et du nombre de paires requises mais les prix ont quand même bien baissés (sauf si on reste chex Orange).
[^] # Re: Au passage
Posté par Julien L. . En réponse au sondage Votre FAI. Évalué à 1.
Certains fournisseurs proposent de l'ADSL2+ annexe M qui permet, au détriment du descendant d'avoir une voie montante plus rapide.
Je ne sais pas qui le propose en France. Au UK c'est tellement courant que certain range même ce type de connexion dans la rubrique SDSL.
OVH avait lancé une offre SDSL très bon marché avant de la retirer il me semble. Ils ont maintenant une offre "perso" mais je ne sais pas à quoi cela correspond et les autres tarifs SDSL sont moins chère que ce que l'on peu trouver ailleurs mais pas vraiment abordable pour un accès particulier.
[^] # Re: Hors France
Posté par Julien L. . En réponse au sondage Votre FAI. Évalué à 1.
Tu es où au Royaume-Unis pour ne pas avoir le dégroupage total?
J'avais Tiscali au tout début puis le top au niveau fournisseur ADSL au UK: Be Internet, toujours en dégroupage total.
J'ai même encore gardé une ligne Be au boulot, en "bonding" me donnant du 32M/5M (c'est une ligne de backup, sinon on a la fibre 50Mb mais c'est pas le même prix).
[^] # Re: salaire en euros
Posté par Julien L. . En réponse au message Notre société Web recherche un Administrateur Système Linux pour rejoindre ses équipes à Londres!. Évalué à 1.
On parle effectivement en brut en Angleterre. Pour se faire une idée du net il y a quelques sites qui te calculent le net.
J'utilise celui ci http://www.thesalarycalculator.co.uk/ qui donne une bonne idée du "Take Home", le net (pour les situations simples).
Il faut savoir que:
- Health Insurance scheme
- 25 working days of holidays
N'est pas du "standard" en Angleterre (c'est 20 jours la base niveau vacances) et une "Health Insurance" coute assez cher suivant le plan, sinon, ça se passe dans le public (NHS), c'est gratuit mais il faut savoir être patient dès que son état de santé est un peu "compliqué".
Ceci pour dire que ces deux avantages sont à considérer si on compare d'autres offres dans la même fourchette de salaire car c'est un gros "plus".
Petite parenthèse pour les frenchies qui veulent s'installer à Londres les loyers sont, par contre, très souvent donnés à la semaine (ex: 230pw ce qui correspond à ~1000 par mois).
[^] # Re: Pareil chez Online.net
Posté par Julien L. . En réponse au journal Il a demandé à Free, il a rien compris. Évalué à 2.
Sauf que ce n'est généralement pas le seul critère utilisé par les filtres antispam qui vont généralement attribuer une note (ou % de probabilité de SPAM) en fonction de différents critères.
Il y aura donc de grandes chances, par exemple, qu'une connexion ADSL soit sur une liste d'adresse IP de type "dial-up*" et donc de te retrouver marqué avec une forte probabilité de SPAM si ton email n'est carrément pas directement rejeté.
Au exemple, certains filtres "poussés" vont vérifier que le reverse DNS de la connexion correspond au @domaine qui essaye d'envoyer.
(*: je ne suis plus certain du terme, mais en gros c'est pour indiquer que c'est une des IP utilisée par un FAI et attribué à un client lambda à un instant t, pour un court terme)
[^] # Re: une simple page chez free
Posté par Julien L. . En réponse au journal LinkedIn, Viadeo : êtes vous inscrit ?. Évalué à 1.
Il n'y a aucune différence entre la page chez free et n'importe quel site Internet, LinkedIn ou Viadeo compris, à partir du moment où c'est publié, c'est public.
Les informations publiées chez free peuvent être consultées et utilisées par n'importe qui, en totalité et sans aucun contrôle, de la même façon que sur les réseaux sociaux (quoique avec eux il y a des conditions d'utilisation que l'on accepte si on y est). Si on ne met pas plus d'information personnelle d'un coté ou de l'autre il n'y aura pas plus d'information disponible.
La différence se fera sur le forme et sur la façon de trouver les données. Le moteur de recherche de ta page free sera Google (qui n'est pas spécialisé), celui de ta page LinkedIn sera le moteur de recherche de LinkedIn (spécialisé).
Se vanter d'arriver premier sur la recherche d'un mot clé sur Google c'est comme dire que l'on a 100000 amis sur Facebook ou 10000 contacts sur LinkedIn ; )