lay a écrit 53 commentaires

  • # SELinux le fait

    Posté par  . En réponse au message Isoler les données de chaque application. Évalué à 4.

    Oui SELinux est fait pour ça. C'est même certainement le plus utilisé avec AppArmor d'Ubuntu puisqu'il est activé directement sur certaines distributions genre RedHat.

    Pour ma part, j'utilise Tomoyo qui est un autre système de gestion d'accès d'un processus.

    Ce qui est sympa c'est qu'il est possible de le lancer en mode learning, il va alors générer une liste de règles pour un binaire que tu peux ensuite vérifier avant de l'activer réellement. Les autres le font peut être aussi mais je ne les ai jamais utilisés.

  • # C'est vieux comme le monde

    Posté par  . En réponse au journal Une backdoor de la NSA dans OpenSSH ?. Évalué à 10.

    Il n'y a vraiment pas besoin d'être la NSA pour avoir ce genre d'idée.

    J'ai vu des machines rootées avec des binaires SSH remplacés soit par des binaires préfabriqués en fonction de la distribution, soit carrément compilés sur la machine. C'est généralement utilisé sur des machines où un rootkit ne peut pas être installé ou alors n'est pas pérenne.

    Le patch était juste d'accepter un mot de passe fonctionnant pour tout les utilisateurs en plus de leurs mots de passes habituels.

    Et c'était il y a déjà plus de 10 ans!

  • # Awesome

    Posté par  . En réponse au message Un gestionnaire de fenêtre pavant avec barre sur le côté. Évalué à 5.

    Si tu n'as pas peur de jouer avec du code lua il y a awesome.

    http://awesome.naquadah.org/

    C'est un gestionnaire de fenêtre pavant qui a la particularité d'utiliser un fichier lua pour gérer son rendu et ses interactions. Il est donc totalement paramétrable pour faire sa config aux petits oignons si on veut bien y investir quelques heures.

  • # Besoin de plus d'infos

    Posté par  . En réponse au message reseau et routage. Évalué à 1.

    Bonjour,

    Regardes l'adresse mac de destination du premier paquet que tu envois et vois si ça colle à ce que tu veux faire.

    Pour clarifier les choses, switchA et switchB sont bien les mêmes switch avant et après pfsense?
    Si oui le PC est bien directement sur le même switch que les deux box?

    Peux-tu nous fournir ta table de routage locale et en particulier ta passerelle par défaut?

    En effet c'est ta table de routage et la passerelle par défaut qui va définir vers quel nœud réseau va partir le paquet lorsque tu l'envois vers l'extérieur en mettant la bonne adresse mac dans le header ethernet.

  • # Mise à jour de bind9 ou mise à jour de la configuration

    Posté par  . En réponse au message Cas d'usage du reload/restart pour bind9. Évalué à 5. Dernière modification le 02/04/14 à 11:30.

    Bonjour,

    Les cas d'usage reload/restart pour les services sont en général:

    Reload : recharger uniquement la configuration sans interrompre le service.
    Restart: relancer le service dans le cas d'une mise à jour du binaire, avec interruption de service.

    J'imagine que bind9 suit la même logique.

  • [^] # Re: Principe de la pull request

    Posté par  . En réponse au message GIT - Merge Request. Évalué à 1. Dernière modification le 13/02/14 à 14:29.

    Tu as certainement raison de dire qu'une pull request doit être basée sur un commit pour cet usage, pour moi c'est plus plus propre et git l'intègre: git merge commit-id.

    Mais cela dépend surtout de l'outil utilisé, ici au taff le logiciel de gestion de repos (Stash) n'offre pas cette possibilité et force l'utilisation de branches à tout les coups.

    Je connais pas gitlab non plus mais si il n'offre pas non plus cette possibilité je serrais curieux de savoir pourquoi ces logiciels brident cet usage.

  • # Principe de la pull request

    Posté par  . En réponse au message GIT - Merge Request. Évalué à 2. Dernière modification le 13/02/14 à 13:50.

    Le concept de pull request n'est pas une fonctionnalité directement incluse dans git, c'est un concept créé par les outils de collaborations à un niveau supérieur qui a pour but de faciliter les merges de branches en les enrobant avec de la revue de code, refus/acceptation, etc.

    Donc oui, un pull request à pour finalité un merge d'une branche dans une autre, et comme c'est un merge normal, tout les commits de la première sont mergés dans la seconde.

    Certainement que l'outil que vous utilisez liste les commits au moment de la création de la pull request, puis merge simplement la branche même si elle contient des commits en plus.

    Il faut revoir vôtre workflow, ne pas merger master directement, mais avant de faire une pull request, vous créer une nouvelle branche à partir de master ayant un nom en correspondance avec la modification et c'est celle ci qui doit être mergée dans pprod. Ainsi vous pouvez continuer a commit dans master sans aucun impact.

    Une fois mergée, vous pouvez supprimer cette branche temporaire directement après le merge.

  • [^] # Re: Application-Name requis

    Posté par  . En réponse au journal La signature de code en Java. Évalué à 1.

    Ce n'est pas la source de cette affirmation mais cela peut éclaircir la chose :

    http://www.java.com/en/download/help/java_blocked.xml

  • # /etc/hosts ou un serveur DNS local

    Posté par  . En réponse au message Accès serveur. Évalué à 7. Dernière modification le 16/12/13 à 10:07.

    Il y a plusieurs méthodes pour faire ça, en voici quelques une :

    La simple en local:
    - Modifier ton /etc/hosts en ajoutant : 192.168.*** mdahmen.com
    - Monter un dnsmask en ajoutant à la conf par exemple address=/mdahmen.com.test/192.168.xx.xx et en ajoutant "ServerAlias *.test" dans le Virtualhost apache par exemple.

    Avec un serveur DNS sur ton réseau local :
    - Tu monte un serveur DNS sur ton LAN déclarant le domaine mdahmen.com et répondant des IPs locales au lieu des IPs externes. Puis utiliser ce DNS sur tes postes clients locaux.

    Avec le serveur DNS principal :
    - Il faut monter une config en split horizon qui répondra différemment en fonction de l'IP effectuant la requête. http://www.cyberciti.biz/faq/linux-unix-bind9-named-configure-views/. Avec cette méthode pas besoin de configurer les postes clients mais tu dois avoir la main sur le serveur DNS.

  • [^] # Re: C'est une très bonne chose ....

    Posté par  . En réponse à la dépêche Xen devient un projet de la fondation Linux. Évalué à 6.

    Perso j'ai un netBSD qui tourne sous KVM pour offrir des services réseau aux autres VMs (dhcp, dns) et ça fonctionne parfaitement bien.
    Il n'y a pas de différences de perfs notables avec les autres VM sous Linux.

  • # Et surtout la libspotify

    Posté par  . En réponse au journal Retour d’expérience : Deezer vs. Spotify (c’est Spotify qui gagne). Évalué à 1.

    Spotify fournit aussi la librairie a partir de laquelle ils font leurs clients.

    https://developer.spotify.com/technologies/libspotify/
    Bien sur c'est fermé mais l'API est bien documentée.

    Ca marche vraiment bien, je me suis fait un client console a partir de leurs codes d'exemple, et il est possible de l'intégré dans une plateforme domotique. Il me semble que la version arm beta supporte enfin le raspberry pi.

  • # Quelques billes

    Posté par  . En réponse au message Script de purge sous linux. Évalué à -2. Dernière modification le 01/02/13 à 10:51.

    Bonjour,

    Pour faire ton script il te faut déjà avoir accès au serveur FTP pour récupérer l'information et effectuer les suppressions.
    De ce coté je te conseille lftp qui est un client ftp en console avec pleins de possibilités.

    Exemple:
    echo "find / > list_files" |lftp user:pass@ftp_serveur

    Cette commande va te lister les fichier du ftp dans le fichier list_files en local, ainsi tu pourras dans ton script sélectionner les fichiers à supprimer et envoyer les commandes de suppression de la même manière.

    voir le man de lftp pour lister les possibilités.

  • # Losetup + mount

    Posté par  . En réponse au message Restauration d'une image avec dd. Évalué à 1.

    Salut,

    Pour faire un petit test:
    - Décompresser l'image
    - Faire un losetup sur l'image, losetup permet d'associer un fichier au périph /dev/loop0, ton fichier sera donc reconnu en tant que disque dur.
    - kpartx pour créer les devices correspondant aux partitions
    - Essayer de monter les partitions

    Voici un exemple qui devrait fonctionner avec ton image disque: http://blog.dustinkirkland.com/2008/10/mounting-kvm-disk-image.html

  • # Flush du buffer?

    Posté par  . En réponse au message sys.stdout.write() avec python3 : pas d'écriture tant que pas EOL ?. Évalué à 5.

    Essayes en vidant le buffer:
    sys.stdout.flush()

    C'est certainement pour des raisons de perfs qu'ils mettent maintenant un buffer. En effet l'impression de caractères à l'écran est très lente comparée à l'ajout d'un caractère dans un buffer.

  • # Metadata et RAID

    Posté par  . En réponse au message Chiffer le disque entier ou les partitions ?. Évalué à 3.

    Bonjour,

    Comme tu veux, mais il y a quelques petit trucs à prendre en compte.

    Les metadata:
    - Avec un disque entièrement chiffré, seules les metadata de LUKS sont en clair au début du disque.
    - Avec les partitions chiffrées, si tu fait d'abord des partitions LVM, ou du RAID, alors les metadata de ces partitions seront en clair en début de chaque partitions. Après il faut savoir que ces metadata contiennent au pire le nom logique de la partition, rien de sérieusement privé.

    En ce qui concerne le raid:
    - si tu chiffres entièrement deux disques, que dans chacun de ces disques tu créer une partition et que tu la redonde en RAID1, alors le système va alors chiffrer deux fois les données (une fois par disque) ce qui consomme du temps processeur.
    - si tu chiffres la partition et que tu le redonde ensuite sur deux disque en clair, alors cette fois le système va ne chiffrer qu'une seule fois les données.

  • # DNAT sur la freebox et Bind en split horizon

    Posté par  . En réponse au message DNS derrière NAT. Évalué à 10.

    Bonjour,

    Dans un premier temps il faut que tu déclare ton adresse IP free en tant que serveur de nom chez le prestataire où tu as acheter le nom de domaine.
    Le premier problème que tu va certainement rencontrer est que ce prestataire va te demander deux serveurs DNS minimum, mais il y a des services gratuit proposant de te créer un serveur DNS secondaire comme par exemple www.xname.org

    Une fois tes deux serveurs déclarés, tu peux tester en faisant un dig NS mondomaine.tld.
    La réponse doit comporter deux NS, un pointant sur ta freebox, un autre vers le serveur secondaire.

    Ensuite il faut router les requêtes DNS arrivant chez toi vers 192.168.0.9 qui à l'air d'être la machine qui héberge ton serveur DNS sur ton lan dans ton exemple.

    Dans l'interface admin de la freebox tu dois avoir une rubrique redirection de port, il faut rediriger le port 53 en Udp et TCP vers 192.168.0.9 port 53.

    A partir de ce moment, ton serveur peut recevoir des requêtes en provenance d'internet.
    Mais il ne faut surtout pas que ton serveur DNS réponde des IP locales, qui ne sont pas routables sur le net.

    Si tout tes sous domaines sont derrière ta freebox tu peux faire en sorte que *.mondomaine.tld pointe vers ton IP free, et si tu veux garder les ip locales pour les requêtes depuis ton lan tu peux faire une config en split horizon: http://www.cyberciti.biz/faq/linux-unix-bind9-named-configure-views/

    Ainsi, ton serveur ne répondra pas de la même manière en fonction de la source de la requête.

    Pour finir, il faut que tu autorises le transfert de zone vers le DNS secondaire, et bien sur désactiver la récursion pour les requêtes venant du net pour des raison de sécurité.

  • # Fichier devices.map

    Posté par  . En réponse au message "/dev/sdx does not have any corresponding BIOS drive.". Évalué à 1. Dernière modification le 10/12/12 à 10:31.

    Salut,

    Regardes du coté du fichier /boot/grub/devices.map .
    Celui ci permet d'associer un device linux(/dev/bla) a un device grub(hd*).

    Ainsi, grub au lieu d'utiliser ce qu'il trouve sur le système, utilise le mapping qu'il trouve dans ce fichier.
    Je ne sais pas si ce sera pertinent dans ton cas, mais ce fichier m'a permis de résoudre pas mal d'installations délicates :)

    Ici la doc: https://www.gnu.org/software/grub/manual/html_node/Device-map.html

  • # Initrd plus SSH

    Posté par  . En réponse au message [RÉSOLU] cryptsetup et installation à distance. Évalué à 5.

    Bonjour,
    je l'ai fais assez récemment avec une gentoo sur une machine louée chez un gros hébergeur français.

    Dans un premier temps, il est bien d'installer un système de base sur la machine pour pouvoir travailler à se mise en place.
    Le grand principe est de créer une partition boot en clair contenant un noyau et un initrd.
    Tu dois forger cet initrd pour qu'au boot il initialise le réseau et de lance un petit serveur SSH (par exemple dropbear).

    Ainsi au reboot, tu peux te connecter au serveur a l’intérieur du initrd, avec aucun disque monté, tout se passe en ram.
    A partir de ce moment, si tu as mis les bon outils dans l'initrd, tu peux creer une partition, la chiffrée, et en faire ton rootfs et installer une debian avec debootstrap.

    Ainsi à chaque reboot de la machine, tu devra te connecter en ssh pour déchiffrer à la main les disques et mount root, puis de donner la main au vrai démarrage du système.

    J'ai tenté à la base de le faire à partir d'une debian, mais finalement c'est beaucoup plus simple avec une gentoo en faisant tout son initrd à la main :)

  • [^] # Re: il est inutile d'avoir plus de 2Go de swap par disque physique

    Posté par  . En réponse au message Cache limité à 6G. Évalué à 0.

    Pour ma culture, pourquoi est-ce inutile?

    Est-ce une réelle limitation ou alors un conseil au niveau des perfs?

  • [^] # Re: Diablo 3

    Posté par  . En réponse à la dépêche Lettre à Madame la ministre de la Culture concernant les abus de DRM. Évalué à 2.

    Je suis tout à fait d'accord avec vous sur tout les points abordés dans ce thread.

    Mais je tique sur le fait que la lettre utilise un argument en partie non valide puisqu'elle laisse entendre que le jeu pourrait se jouer sans réseau si les serveurs n'étaient pas disponibles, alors que ce n'est pas du tout possible.

    Il aurai fallu tout simplement enlever la phrase "y compris sans vouloir profiter de ses possibilités de mode de jeu en réseau", car cette possibilité n’existe pas avec ce jeu.

  • [^] # Re: Diablo 3

    Posté par  . En réponse à la dépêche Lettre à Madame la ministre de la Culture concernant les abus de DRM. Évalué à 1.

    Je parle juste du contenu de la lettre qui stipule : "y compris sans vouloir profiter de ses possibilités de mode de jeu en réseau"

    Mais il n'y a aucun contenu sans réseau dans ce jeu!

  • # Diablo 3

    Posté par  . En réponse à la dépêche Lettre à Madame la ministre de la Culture concernant les abus de DRM. Évalué à -1.

    L'exemple de Diablo 3 est mauvais.

    En effet Diablo 3 est un jeu 100% en réseau, car tout est contrôlé par le serveur, que ce soit les mouvements des personnages ou les dégâts effectués. C'est comme demandé de jouer à un MMORPG sans connexion Internet, et il est bien spécifié sur la boite que la connexion est obligatoire.

    je ne veux pas entrer dans le débat de la légitimité de ce choix technique que je ne soutiens pas du tout, mais le fait est qu'il n'y a pas de mode de jeu sans réseau comme cité dans la lettre.

  • [^] # Re: Retour MediaTomb

    Posté par  . En réponse au message Un bon serveur upnp ?. Évalué à 1.

    Ça fait longtemps que je n'ai pas testé, mais ce dont je me souvient bien c'est que j'avais galéré avec, le client de la PS3 n'est vraiment pas terrible.

    Il me semble que la meilleure façon de lire le MKV sur la PS3 c'est d'utiliser la fonction transcoding de mediatomb. Il se charge de décoder le fichier avec un vrai lecteur, puis le transmet au client.
    - MediaTomb Transcoding
    - Examples

  • # Retour MediaTomb

    Posté par  . En réponse au message Un bon serveur upnp ?. Évalué à 5.

    Personnellement j’utilise MediaTomb depuis quelques années et ça fonctionne très bien. Je n'ai pas testé Minidlna.

    L'interface de gestion des fichiers est une interface web, il peut détecter les changement dans les répertoires automatiquement grâce a inotify et tu peux customiser l'arborescence des fichiers exportés grâce à du javascript dans la configuration, ce qui est vraiment très souple.

    Seul point négatif c'est que je suis obligé de changer de conf si je veux exporter certains fichiers vers la PS3, chose que je ne fais jamais, en effet pour un même fichier, certain matériels ne sont pas d'accord sur le mime-type, mais pour la freebox ce ne sera pas bloquant, et de toute façon le serveur n'y peut rien.

  • # Un langage scripté + gui

    Posté par  . En réponse au message Quel langage pour initier un enfant de 10 ans à la programmation. Évalué à 4.

    Bonjour,

    Je ne vais pas te faire une réponse toute faite mais plutôt parler de ma propre expérience car je me suis intéressé à la programmation sensiblement vers le même âge et malheureusement dans mon entourage personne était la pour m'aider.

    -MyLife-
    Je me souvient qu'à époque je ne comprenais strictement rien aux livres ou magazines parlant de programmation, certainement avec du recul car ils demandaient de connaitre déjà au moins les bases de l'algorithmique, soit demandaient d'avoir des compilateurs, environnements de dev et que c'était pour moi des choses assez abstraites et pas facile à comprendre et à prendre en main.

    Finalement ce fut quelque chose de très accessible qui m'a permit de commencer facilement: Le HTML + javascript.
    En effet il suffisait d'ouvrir une page sur le navigateur et afficher la source pour voir comment ça fonctionnait, et à l'époque le javascript se résumait souvent seulement à quelques lignes perdues au milieu de code HTML. Et surtout il suffisait d'enregistrer un fichier en .html pour pouvoir tester et avoir le résultat instantanément! En lisant pas mal de code source de pages et m'aidant des sites sur le javascript j'ai pu commencer et les première lignes de code furent presque magiques ;)

    Ensuite vers 13 ans j'ai eu ma période VB (désolé) qui me permettait de faire très facilement des GUI, l’événementiel est très facile à appréhender.
    Puis à partir de 14 15 ans j'ai fais beaucoup de C, et appris les rudiments de l'assembleur, et c'est vraiment avec ces deux langages que j'ai compris le fonctionnement de la mémoire, du processeur, des threads et du système. Puis est venu Linux, et ce fut l'éclate totale.
    -/MyLife-

    Avec le recul aujourd'hui je pourrais te donner quelques conseils:
    - Le langage n'est pas ce qui est le plus important, bien qu'il faille éviter les concepts trop abstrait.
    - Avoir quelque chose qui ne demande pas 500 lignes avant d'avoir un résultat concret et donc plutôt vers un langage scripté.
    - Très facile et rapide à tester pour que ce soit ludique, ne pas se contenter d'afficher des lignes dans un terminal car ça peut être démotivant.

    Je penses toujours que le javascript aujourd'hui, en utilisant une syntaxe simple permet toujours cela, mais il y a aussi le python qui permet de faire beaucoup des choses facilement et rapidement.