NeoX a écrit 18045 commentaires

on aurait pu imaginer que haproxy puisse le faire, mais il ne fait que le HTTP/S et le TCP (éventuellement avec du SSL via certificat)

du coup il te reste les "proxy email"
en gros un postfix/sendmail/exim qui va prendre les emails, et les envoyer sur le "smarthost" (en fait la machine de ton opérateur, port 587, et avec un login/pass)

proxy que tu protégeras évidemment par un firewall et/ou des ACLs pour ne pas que n'importe qui envoie des emails en passant par lui.

et là, tu peux avoir ton proxy email en DMZ, avec un haproxy devant pour faire de loadbalancing du port 25

ton code cherche a executer une operation, attendre 15 secondes
si le retour est >300, tenter d'avoir un nouveau jeton
si le timeout est atteint, attendre 10secondes et recommencer,

un algo plus optimisé pourrait etre :
1°) verifier la validité du jeton, ca doit etre quasi instantané et le renouveler si besoin
2°) tenter ta requête post/get avec un timeout plus élevé que les 15sec, et faire moins de retry

active un acces ssh distant sur ce portable car si tu bloques ton écran, tu ne pourras plus utiliser la machine localement

s'il n'a pas de contraintes pour le dual boot, il peut garder un windows qui ne sert alors plus que pour les jeux qui ne tourneraient pas sous linux ;)

donc ca risque en effet d'être compliqué de faire le PCI-passthrough

mais pour le besoin exposé (retouche photoshop en attendant d'apprendre gimp) la virtualisation doit bien suffire

Il me semble qu'en théorie, cela n'est pas permis par les licences OEM.

en théorie c'est interdit
en pratique ca marche très bien

oui tu peux faire de la virtualisation, comme avant mais dans l'autre sens

OS principal : Linux
Virtualiseur : Virtualbox (avantage, tu le connais)
OS invité : windows (en réutilisant la licence de l'ordi)

Performances : raisonnable pour la bureautique, le web, le photoshop
ma preference : je regle virtual box pour exposer l'écran en Remote Desktop, et une fois la VM lancée, j'y accede par RDP, c'est plus rapide que l'écran de virtual box.

J'ai cependant de petits doutes sur la performance en faisant du photoshop, du montage vidéo ou des jeux, mais c'est peut être juste un blocage psychologique vis à vis de la virtualisation.

Si la machine est recente, la virtualisation passe directement certains elements du processeur à la machine virtuelle, donc performance quasiment native.

Le seul point dur, c'est vraiment l'affichage et la 3D, mais le PCI-Passthrough est une bonne solution.

La seconde solution vers laquelle je m'achemine est qui semble fonctionner est de faire tourner un windows 10 sous KVM en utilisant le VGA passthrough pour acceder à la carte grapique, d'autant que mon PC dispose d'une carte graphique NVIDIA en plus de la carte graphique INTEL.

pas de souci majeur, si c'est bien un PC tour, avec la possibilité d'avoir les deux cartes actives en meme temps (un reglage dans le bios parfois), mais parfois le fait d'avoir une carte PCI-e désactiver la carte intégrée à la carte mere.

si c'est un ordi portable, attention, il n'y a qu'une carte qui gere de l'affichage (Intel) l'autre ne gere que les calculs 3D, donc inutilisable seule.

Je cherche à avoir une vue d'ensemble pour évaluer la situation est les possibilités.

OK

donc mon avis en tant qu'utilisateur, ca ne me choque pas d'avoir 2 produits, l'un basé sur l'autre, avec une version par exemple full open source avec moins de fonctionnalité
et une version payante/licenciable avec des plugins par exemple.

du coup le dev de ton client, c'est un plugin spécifique, qui sera libéré dans X temps/versions.

tu as l'argent du beurre (un dev payé par le client), le beurre (une nouvelle fonctionnalité dans ton logiciel), le cul de la crémière (la restriction pour les autres clients car le plugin n'est pas encore dispo pour eux)

et ton client participe in-fine à ton logiciel opensource, les autres clients/utilisateurs auront le plugin dans 2 ans, dans la version opensource/grand public

pour moi tu as ta réponse dans la phrase que tu formules est-ce celle du client ? là

la question n'est pas "je ne veux pas qu'on utilise la fonctionnalité que j'ai financée"

donc pour le développeur aucun souci, il développe une appli qui a des fonctionnalités et les utilisateurs/clients utilisent les fonctionnalités

"je ne souhaite pas que mes concurrents utilisent l'ensemble des fonctionnalités que j'ai fait développer précisément pour me faire concurrence sur ce projet particulier que je mets en place - pour le reste je m'en fiche".

ca c'est pour l'avocat, pour protéger un business modele, et ce n'est pas au développeur de régler le souci.

si le client ne veut pas qu'un concurrent fasse le meme business que lui, il faut protéger le business modele => code fermé, licence

tu peux pas dire tout le monde s'en sert sauf s'il a le meme business que moi

un bug avec ta version de SSH alors ?

parce que hier j'ai fait tout le test
creer un utilisateur1
fait un dossier dans /home/utilisateur1 (donc /home/utilisateur1/dossier)
donner les droits sur ce dossier à utilisateur1 en plus de son home

creer le nouvel utilisateur2 avec son chroot sur /home/utilisateur1 et son home en /dossier

par defaut il pouvait l'ouvrir mais pas écrire dedans,
d'ou ma suggestions de regarder les problèmes de droits,
que j'ai réglé avec un chown utilisateur1:sftpusers /home/utilisateur1/dossier
et un chmod 775 /home/utilisateur1/dossier

à partir de là mon utilisateur2 pouvait écrire dans /home/utilisateur1/dossier

c'est exactement le sens du toto faire arriver l'utilisateur dans un dossier qui lui appartient.

ensuite il faut adapter à TON besoin

1°) dans la config ssh, régler le chroot (racine du "système" sur /home/toto
et le dossier home de l'utilisateur visiteurs sur /dossier (pour qu'il arrive à la fin dans /home/toto/dossier

2°) donner les droits à cet utilisateur sur le dossier /home/toto/dossier
en comprenant la gestion des droits linux
chown monuser:sftpusers /home/toto/dossier
va donner la propriété à tonuser et au groupe sftpusers sur le /dossier dans /home/toto

si tu adaptes cela en chown toto:sftpusers pour que toto garde la main, et que les gens du groupe sftpusers puisse intervenir dessus

il ne te reste plus qu'à autoriser l'écriture (si nécessaire) au gens du groupe
chmod 775 /home/toto/dossier

J'arrive à créer un utilisateur SFTP et à le confiner dans son chroot (par exemple "/mnt") mais ensuite la création d'un lien symbolique vers "/home/toto/dossier" ne marche pas : sftp refuse de suivre le lien :-(

heu, c'est normal non ?

tu veux le bloquer dans le dossier /mnt (c'est le but du chroot)
et puis tu lui demandes de suivre le lien qui va vers /home/toto/dossier (donc qui SORT du dossier /mnt)

Même chose si je créé l'utilisateur SFTP avec son chroot directement dans "/home/toto/dossier".

il faut là, que le dossier /home/toto/dossier ait les bons droits pour l'utilisateur sftpuser

NB : je viens de faire la procedure car elle m'intéresse aussi pour remplacer mon vieux FTP qui traine dans un coin, et ca fonctionne comme prévu.
j'arrive bien dans le dossier /sftp/monuser/incoming

sur debian10, ssh/sftp-server 7.9p1-10+deb10u2

(il veut juste que sur un cas d'usage qu'il envisage ses concurrents ne puissent pas utiliser les développements qu'il a financés - mais il est ok que ses concurrents exploitent les dév qu'il a financés si c'est pour une autre utilisation).

ben les devs interdits aux concurrents => branche spéciale ou licence case à cocher X

et les devs autorisés aux concurrents => branche normale de dev/release

https://www.thegeekstuff.com/2012/03/chroot-sftp-setup/

on trouve ce modele régulièrement maintenant dans l'open source

la v10 est payée par les contributeurs/clients => toutes leurs fonctionnalités

la v9 est gratuite, dispo pour tous => certaines fonctionnalités sont manquantes

apres si tu veux limiter des fonctionnalités en fonction du client (droit d'usage pendant 2 ans, etc), c'est une question de licence logicielle, tu actives ou pas certains bout de ton logiciel selon la licence que tu délivres à l'utilisateur final

et là, ben tu fais bien ce que tu veux.
Gratuit => pas de licence => fonctionnalité A+B+C+D
Payant tel client => fichier de licence X => A+B+C+D + pack de fonctionnalité X
payant un autre client => fichier de licence Y => A+B+C+D + pack de fonctionnalité Y

etc

et pour le développement, tu as ta branche dev/master
tu peux avoir un branche "clientX" avec ses développements
et tu t'engages pendant 2ans à ce que les elements de la branche "clientX" n'intègrent pas master/dev

si tu peux, mais il faut etre sur que windows a bien arrété le disque, et pas qu'il s'est mis en veille profonde

y a un truc ou deux a régler sur le windows pour que l'action d'arrêter fasse un veritable arrêt et pas une mise en veille.

idem dans l'autre sens, il faut bien libérer le disque avant de couper le linux (mise en veille ou arrêt complet)

Windows considere son disque comme non propre (car il n'était pas vraiment arrêté et linux a fait des acces dessus) => démarrage en mode sans échec, puis analyse du disque

si tu montes le disque windows dans le linux, l'ancien Linux considerait le disque windows comme non propre aussi, et bloquait le demarrage et/ou remplissait les logs d'erreurs

en reinstallant le linux, il n'accede plus au disque windows par defaut, donc demarre sans souci, sans remplir les logs d'erreurs

piste d'ajout :

• quand le Zebulon tombe de trop haut, il se fait mal, perd des points de vie voire meurt, histoire de réfléchir aux deplacements

;)

aujourd'hui on en est à nextcloud 21

et il y a des procédures de mises à jour
https://docs.nextcloud.com/server/21/admin_manual/maintenance/upgrade.html

Au final mon instance marchait bien. Je voulais passer sur une version plus récente, celle-ci me réclame php 7. J’ai mis à jour ma distribution, mais nginx continue à utiliser la version 5 installée à base de dpkg.

au dela de mettre à jour ton PHP et la distribution par la meme occasion pour passer de jessie (debian8) à stretch (debian9) puis à buster (debian10)

il faut aussi mettre à jour nextcloud pour que le code écrit dedans soit compatible avec php7, sinon ca plante.

j'ai eu le cas hier, en voulant migrer un site web avec des modules fait main chez un client.

ben le code marche plus en passant de debian8/php5 à debian9/php7 car certains bouts de codes doivent etre réécrit.

si nextcloud ne se lance plus, le Nginx ne le trouve pas, et te répond bad gateway

pour diagnostiquer, tu peux essayer de te connecter directement à ton nextcloud plutot que de passer par le Nginx

et que l'argument "tu peux te rendre en agence pour obtenir le papier" ne tienne pas[1].

non mais l'agence doit pouvoir te fournir un exemplaire papier, quitte à te l'envoyer par la poste

car heureusement le gouvernement te laisse sortir jusqu'a 10km de chez toi, sans limite de temps

tu devrais donc pouvoir au moins descendre relever ton courrier

revoir l'algorithme pour virer la condition qui fait qu'elle s'arrête de remplir le tuple/liste

supprimer mingw et utiliser les WSL qui te fournissent tous les outils Linux sous Windows, fournit par microsoft donc assurant une compatibilité plus grande (en principe)

et tu n'arrives pas à écrire dedans depuis quelle machine ?
une machine du reseau ? windows ? linux ?

à une époque il fallait modifier une clef de registre sur le windows pour autoriser l'accès à un partage samba avec utilisateur guest sans mot de passe

ici tu veux utiliser la sécurité en mode utilisateur

security = user
realm = monoprix

là tu dis que les utilisateurs mauvais (en gros qui n'ont pas réussi à s'identifier sont envoyé en tant que GUEST (invité) sur la machine

map to guest = bad user

là tu dit que l'invité sera nobody, que l'invité est OK

guest account = nobody
guest ok = yes
guest only = yes

plus loin tu définis un dossier /mnt/thierry
ou tout le monde doit pouvoir écrire sans mot de passe (writable, droit 666 et 777)

mais quels sont les droits sur le serveur de ce dossier Thierry ?
ls -ld /mnt/thierry