Jerome Demeyer a écrit 357 commentaires

oui, pour les problèmes hardware, tu as raison. Mais il est assez aisé de faire un cluster linux (c'est pas compaq qui s'y est collé :). Par contre, pour ce qui est de bloquer la boite pendant des heures... je doute un peu : le PDC est là pour te donner un accès au réseau lorsque tu te loggue. Hors on se loggue en générale une fois par jour, alors pour ce qui est d'être bloqué...

Pour une fois qu'on peut faire du FUD contre Le maitre du FUD... pourquoi s'en priverait t'on ? En plus il y a vraiment du BSD chez HotMail ! N'empêche j'aimerais bien savoir pourquoi vous n'utilisez pas du Win2K pour les DNS, c'est un service qui existe sur windows, non ? ca tient pas la charge ? Il manque des fonctionnalités ?

> mais le projet bloque à cause du rôle de CSD (BDC) de certains serveurs NT.
Il n'y a plus besoin de BDC s'il l'on utilise un linux en tant que PDC ;) !

Le BDC (Backup Domain Controller) est là pour prendre la main quand le PDC (Primary DC) tombe en rade. Sous WindowsNT, on est obligé, mais sous linux...

Enfin sinon je me demandait s'il est possible de faire l'authentification via un LDAP, qui lui peut disposer facilements de backup-servers.

Euh... c'est un peu en rapport avec la niouze précédente, mais ils ont quoi comme système, les opérateurs, pour assurer l'archivage des logs intactes ? serveurs de logs, cdr, worms, dat, dlt... Imprimantes :) ?

Je comprend bien la problématique des DoS que tu soulèves, mais je ne vois pas bien l'interêt du firewall...

Afin de limiter les répercussion des dénis de services, plusieurs propositions :
- Mettre pas mal de disques sur la bécane :)
- faire un cron qui checke régulièrement la taille des logs, et qui les tournent/gzip dès qu'elles atteignent 10Megs (par exemple)
- les logs gzippés doivent du coup être archivées dans un répertoire à part, sur un filesystème distinct
- ce filesystem distinct est automatiquement sauvegardé sur bande dès qu'il dépasse un quota d'utilisation (par exemple de 60%). les logs archivées sur bandes sont supprimées. Les paranoïaques pourront archiver sur WORM¹ de 5.2Go.

d'autres améliorations peuvent être apportées, mais le gzip divise par 100 la taille d'une log...

1-WORM = Write Once, Read Many - c'est un peu comme un CDR de 1.3, 2.6 ou 5.2 Go.

> > - debian est la _seule_ distribution à respecter de manière intègre la philosophie du free software.
> mmm ... et mandrake en edition GPL ? non ?

Est-ce que pine set livré avec la mandrake ? oui.
Est-ce que mandrake livrait KDE1 ? aussi (cela fait partie de ce qui faisait son attrait).

Hors, pine ne propose pas de licence GPL, il ne se trouve donc pas parmis les packages standard.
KDE dépendait d'une librairies non GPL (QT, de TrollTech) qui ne disposait pas non plus de licence libre, donc exit KDE sur debian.
Debian se veut intègre face à la GPL et au Free Softwares.

> Quand a être la plus à jour ... KDE 2.2.2 n'est dispo que dans 'unstable'
Bah oui, c'est bien la version 'unstable' que je considère comme la plus à jour...

> ensuite ce qui m'emmmerde vraiment c'est d'avoir un système pour i386, quand on a un athlon
Là je suis (un peu) d'accord avec toi. Je pense que la potato devrait etre en i386, la woody en i586. Mais quelles sont les applis qui ont _vraiment_ besoin de coller pile poil à ton système ? Moi je ne pense qu'aux applis demandant énormément de ressources CPU, ou alors si c'est un serveur les applis propres aux besoins du serveur en question.

Donc avoir un '/bin/ls' compilé pour i386 ou pour i586... un humain ne se rendra pas compte de la différence de perfs. Par contre, compiler mplayer ou xine (ou gltron, aucun rapport) pour sa bécane devient une nécessité, et il ne faudrait meme pas se satisfaire d'une version précompilée pour i586, alors que l'on a un Athlon...

> ah ... ça fait du bien de pester de temps en temps.
Oui, ca je veux bien te comprendre, ca soulage de temps en temps. Moi quand je suis stressé, je lis les niouzes sur krosoft, et je ris.

Je trouve cet exemple absolument génial : vous aussi, dans votre boite, il y a des décideurs pressés qui sont sujets au martelage marketing de Microsoft, et qui suggèrent de remplacer les serveurs UNIX par des PC sous Windows2000 ?

Alors voilà la réponse qu'on pourra répondre, ou tout du moins glisser dans l'oreille d'un décideur (le mieux c'est par mail copie plein de monde) :
"Microsoft propose de faciliter la migration d'Unix vers Win2K, comment savoir si cette migration sera de bonne qualité et assurera une continuité et une qualité de service au moins équivalente à celle que l'on avait sous unix ?
Je pose la question parce qu'un des services phare de Microsoft, HotMail.com, était sous FreeBSD (le plus standard de tous les unix) avant que microsoft ne s'en empare : et bien cela fait 4 ans qu'ils essayent de migrer leurs serveurs sous Windows... sans succès !
Ils ont bien réussi à mettre des frontends sous windows, pour que cela ne se voie pas de trop, mais tous les serveurs applicatifs, les serveurs de base de données et le reste des serveurs sensibles sont toujours sous FreeBSD...
Est-ce parce qu'ils n'arrivent pas à obtenir la meme la meme fiabilité, continuité et de qualité de service ?
Quelle sont les services disponibles sous unix qui ne trouvent pas leur alternatives sous Windows ? Aucun à ma connaissance... Alors s'ils ont un problème, c'est bien au niveau système, et non applicatif !
Donc si _même_ les ingénieurs de Microsoft n'arrivent pas à passer un service webmail de microsoft sous microsoft windows... pourquoi devrait t'on en prendre le risque ??"


Arrrggh! Comme c'est BON !

et oui, c'est magique : tu peux choisir si tu veux une version
- stable, pour un serveur
- récente, pour ton desktop
- up-to-date, pour frimer avec la toute dernière version qui viens de sortir...

tout ca c'est la meme base, et la transformation de l'une vers la suivante est on ne peut plus simple (a condition d'avoir une bonne connexion au net :)

> Non ce que tu dis est archi faux.
> Sur ma machine (RedHat 6.2 jamais mise à jours), j'ai Oracle 8i + Oracle 9i (iAS)
> depuis plus d'un an, sans JAMAIS un probleme...

J'ai justement dis qu'Oracle s'installe aussi sans problème sur une RH6.2, mais que les différentes mises à jours sur une RedHat sont beaucoup plus contraignantes que sur une debian.

Est-tu absolument certain que ta RedHat s'est vue appliquée tous les paches possibles sortis pour ta distrib ? Sur debian c'est facile à vérifier... et c'est là toute sa puissance comme distrib de prod.

un "chattr -a /var/log/*" semble pratique, mais se détecte facilement dès que l'on essaye de modifier une log en tant que root... et en plus la rotation des logs n'en est que plus lourdre à gérer (il faut rajouter des pre-rotate et des post-rotate pour gérer ces droits).

Par contre, mettre des attributs append_only (-a) ou immutable (-i) sur des fichiers contenus dans un chroot ou un jail spécifique à un daemon, prison ne contenant ni utilisateur root ni de binaire chattr, devient réellement intéressant, voire recommandé.

C'est même la meilleure facon de faire (à mon avis, que de préparer un filesystem chrooté par daemon sur son serveur. De plus, avec un named pipe pour écrire les logs, celles ci ne seront meme pas visibles pour le daemon, donc pour le pirate ayant réussi à faire un buffer overflow...

Effectivement, la sécurité se pense _avant_ et pendant que l'on pense une infrastructure informatique : la sécurité doit être globale et bien pensée : la moindre brèche dans un mur met tout l'immeuble en péril...

Il existe aussi d'autre cartes qui fonctionneraient sous linux (par exemple la SMC7003 : http://www.smc-europe.com/fr/products/broad/7003PCI.html(...) ) mais tout ce que je vois, c'est "compatible PPPoA et PPPoE".

Cela signifie t'il qu'un daemon pppd modifié comme utilisé pour connecter un SpeedTouch Ethernet suffit pour utiliser cette carte sous linux ?

J'avais lu je ne sais plus où un comparatif leger des différentes solutions de connection ADSL, et il y parraissait que les cartes PCI donnaient des performances sensiblement meilleures, notamment en ping. De plus, les vieilles bécanes pouvant servir à faire une passerelle chez soi n'ont pas toujours de port USB (c'est mon cas) et l'utilisation d'une carte ADSL plutôt que d'une carte USB + modem USB me conviendrait beaucoup plus...

Quelqu'un à t'il déjà testé une carte ADSL PCI sous linux ? Peut t'il nous faire part de son expérience ?

il est aussi possible d'envoyer toutes les logs sur un serveurs dédié, avec du disque et un lecteur de bande pour les archiver : il suffit de rajouter la ligne "*.* @logger" à son syslog.conf (ou logger est le nom de la bécane spécialisée).

Sur le serveur de log, on sait quelle machine écrit quoi, car chaque ligne est précédée d'un timestamp et d'un hostname.

Un tel serveur de logs ne devrait pas proposer d'autres services (meme un ssh) et on ne pourrait s'y connecter que directement (sur la console).

Là, on à déjà un système bien sécurisé.

un firewall ne devrait par définition ne proposer aucun service. On considère toutefois qu'un serveur SSH reste pratique et sécurisé, s'il est configuré pour utiliser la version 2 du protocole SSH, car la version 1 peut se casser via des outils que comprend dsniff.

Par contre, s'il s'agit d'avoir un bécane toujours connectée au net, qui du coup propose des services intéressant (dns, web, mail, ftp et compagnie) mais sécurisée quand même, alors je ne vois pas l'intérêt d'utiliser une distrib spécialisée comme la startup linux... autant utiliser la distrib que l'on connait le mieux.

Les meilleurs outils sont ceux que l'on maitrise le plus. Il n'est nécessiare d'en changer que si l'on se sent bridé par ce que l'on sait déjà utiliser, ou bien que l'on préfère s'orienter vers une autre philosophie... mais bon c'est juste mon avis.

oui, il faut bidouiller sur les distrib récentes pour récuperer une glib compatible.

Je recharge donc un coup : la debian est la seule distrib que t'install sur laquelle tu puisse installer directement un oracle sans que cela ce pose de problème - mais bon c'est vrai que c'est jouer sur les mots : c'est à un package près.

Sinon le lien est pas mal du tout, pour expliquer l'install Oracle de A à Z sur un linux. On peut directement aller lire l'article ici : http://linuxlab.dk/fcl/technotes/ora_817_3.html(...)

et sur Suse !?
J'avais vu dans un forum la réponse de Suse au problème d'installation d'Oracle8i sur Suse : ils disaient que si ca marchait pas, c'était de la faute à la JVM IBM 1.1.8 !!!

En fait, il faut disposer de la glibc-2.1.3, et surtout pas au dessus de la glibc-2.1.9. C'est lors du relinkage des librairies Oracles que les problèmes surviennent : la gestion des sémaphores ayant changé il est impossible de se connecter aux process monitor.

Sinon pour répondre à une question plus haut "Oracle 9i fonctionne sur suse7.1" : je ne connais aucune prod digne de ce nom qui est du Oracle 9i en prod. Les gars d'oracle en sont encore à faire des migration 7.4 vers 8.1.7 ou 8.1.6 vers 8.1.7 .... alors la 9i, c'est pour dans 3 ans.

<mode "j'ai perdu mon jouet a moi">
"atp-get pour rpm... oui mais d'abord les packages .deb ils sont mieux parce qu'ils gèrent les scripts pre-install et post-install, les dépendances sont au poil, l'intégration est parfaite car on sait exactement ce qu'il y a sur une patate ou sur une woody..."
</mode>

Bah oui... il semblerait qu'un argument technique en faveur de la debian tende à être de moins en moins irréfutable, même si on peut défendre les .deb, on se prendra un "apt-get existe aussi sur ma distrib!" dans les dents...

Et bien je dis parfait : passons enfin outre l'argument apt-get. Meme si cela reste un outil indéniablement pratique. On va enfin pouvoir se pencher un peu plus sur le coté philosophique de la debian :
- debian est la _seule_ distribution à respecter de manière intègre la philosophie du free software.
- debian est maintenu par une communauté de développeurs bénévoles et passionnés : debian n'a aucun but commercial, et donc ne cherche pas au faire la course au gadgets.
- debian est à la fois la distribution la plus stable qui existe, et la distribution la plus à jour qui existe. (stable ou unstable, testing entre les deux)
- tellement de belles choses à dire sur debian que j'en laisse un peu :)

Donc vive apt-get pour les autres, parlons philosophie...

Peut êtrefaudrait t'il expliquer que les erreurs qu'il avaient avec le Mark-1 restaient incompréhensibles jusqu'à ce qu'ils trouvent un cafard collé à une lampe à tube, qui du coup avait claquée.

Le problème provenait donc d'un bug (cafard en anglais).

Petit exemple pour illustrer ce qu'est une distrib de production : prenez la derniere version Oracle8i (librement téléchargeable sur technet.oracle.com, à condition d'être inscrit, inscription gratuite...).

Essayez d'installer Oracle8i sur une RedHat7* ou une Mandrake8* : vous ne pourrez jamais faire quoi que ce soit.
La seule distrib maintenue à jour (sécurité) sur laquelle marche naturellement Oracle8i est la debian Potato (ou la RedHat 6.2, mais vas passer tous les patches de mise à jours...pour ne plus savoir ce que tu as au final!)

Mais bon, c'est ce que j'en dit, vous en faîte ce que vous voulez...

Et puis il y a des entreprises françaises (distributions, firewalls...) qui font bien un peu de pub sur le site... ils pourraient mettre un peu la main à la poche : ca coûte moins cher qu'un bandeau, et le public est mieux ciblé !



bon -1 parce qu'on pourrait me reprocher de faire de la diffamation...

Ah... une troisième machine... ca serait joli de faire

[Srv Cache (reverse Proxy)] <--> [serveur PHP] <--> [serveur MySQL]



C'est vrai que c'est un peu dur de dire "il pourrait que le site ferme temporairement par manque de sous...", mais vaut mieux se demander "Comment je vais faire pour vivre sans LinuxFR !?". Alors au prochain 1st Jeudis (ou peut être le "Jeudi de l'espoir" :) il est imaginable de boire une pinte en moins, et de filer au moins cinquante balles a l'assoce : plus de CPU, plus de disque, donc moins d'arrêt de services et plus de moulage (copyright Maco)...



Je viens de me rendre compte que LinuxFR est ma drogue : je suis prêt à payer pour ne pas en manquer !

Ah oui : c'est uniquement pour les assoces reconnues d'utilité publique...



Bon bah ca n'empeche pas de donner un peu, en fonction de ses moyens...



C'est indiscret de vous demander

- de combien est le trou dans le budget ?

- combien coûte LinuxFR par an ?

- peut t'on être membre de l'assoce,à quelles conditions, à quoi ca sert et combien coûte la cotisation ?

Et oui, c'est la fin de l'année, et au moment de faire les comptes : on s'apercoit d'un gros trou dans la compta (argh!).



On a même vu la banière sous le logo changer hier "[Logo par Ayo73 - Envoie ton logo et deviens célèbre! - Donations appréciées]"



Bon alors un T-Shirt vous rapporte 30 balles, pour avoir dépensé 130, alors autant vous donner directement 50 balles... Si c'est urgent peut-on faire un "Jeudis de l'espoir" ce jeudi 13 ou bien jeudi 20, tous à l'endroit habituel, avec un chapeau sur la table de monsieur Penso... sinon faut faire ca au prochain Fisrt Jeudi.



Si on est 80 à donner 50 balles, ca rembourse les 3c905, les Barettes de RAM et le reste ?



PS: Les dons aux associations peuvent se retirer des impôts (à hauteur de 1000 FF), alors en plus si ca ne coûte rien de donner...

En fait, ce HowTo fait partie du package Harden, ce doc est même le premier truc développé pour ce package.



Je me souviens avoir regardé cette doc il y a quelque temps (cette doc est en version 0.8, j'avais jeté un oeuil sur la v0.1) et plus de sections et détails étaient donnés. Mais je trouve l'orientation du Doc très bonne : rapide et concis il n'est pas exaustif mais étend la sécurité à pas mal de domaines de son serveur et à le mérite d'être exploitable immédiatement.



Aucun doc ne saurait être exhaustif, mais sert au moins à prendre conscience qu'il faut pas laisser sa machine à l'abandon, qu'il faut sécuriser sa babasse pour soi et pour les autres (qui voudrait participer à un DDoS à l'insu de son plein gré).



Ce Doc est en version 0.8, il reste des [FIXME], mais je pense qu'il sera d'excellente qualité, techniquement parlant.



Le package harden-doc : http://packages.debian.org/unstable/admin/harden-doc.html(...(...))

nope, pas de Bust-a-Move sur PS2.

Comme c'est une super console, t'as le droit de jouer à "Super Bust-a-Move" :)

tu peux vérifier ici (par exemple) http://www.micromania.fr/zooms/?ref=18112(...)


[off topic, -1 d'origine :)]