Il n'y a pas de secret : les premiers cours vont être très chronophages. Tu vas probablement avoir l'impression d'y passer la semaine entière, si bien que cela cumulé au temps et aux coûts de transports, cela va te sembler non rentable. À cela, ajoute le fait que la programmation et l'informatique en général sont extrêmement coûteuses en temps, en elles-mêmes. De mon propre point de vue, j'ai l'impression que le temps passe environ 6 fois plus vite devant un écran qu'ailleurs. Si je décide de consacrer une dizaine de minutes à régler un problème administratif, ça va en général me prendre une heure. Un bon quart d'heure pour se concentrer sur un cas ? Il se transforme en une heure et demi. (Faites le test chez vous et donnez-nous votre ratio personnel).
Tu vas aussi te rendre compte que, comme dans tous les domaines, même avec la meilleure volonté du monde, il y aura beaucoup de choses qui vont te paraître implicites et sur lesquelles il faudra revenir une fois face à tes élèves. Ceci va encore allonger le temps qu'il te faudra.
Par contre, à force de répéter tes cours, ceux-ci vont naturellement se structurer, et assez vite. En 2004, je travaillais dans un petit bureau de bioinformatique au sein de la structure par laquelle j'étais embauché. j'avais donné non pas un cours mais une petite conférence lors de la Fête de la Science. J'avais préparé une trame, qui était naturellement maladroite la première fois que je l'ai exposée, mais nous avons eu plusieurs groupes successifs (programmés à peu près à heures fixes), si bien que je l'ai présentée cinq ou six fois en une journée avec 1/4 d'heure de pause entre chaque séance. À la fin de la journée, je la maîtrisais parfaitement, je parlais de façon posée et fluide, et donnait l'impression d'être un professionnel confirmé de longue date alors que je connaissais mon métier (la programmation), mais que je ne possédais que des bribes de bio-informatique. Et ce, avant la fin de la journée. Ceci pour dire, donc, que ce n'est pas rentable dans les premières séances mais que cela le devient très vite.
Avec ça, souviens-toi qu'il est très difficile de faire tenir un cours, un exposé ou une soutenance dans un temps raisonnable. Tous les étudiants qui ont présenté leur thèse ou leur mémoire de fin d'études le savent : on est rivé sur l'horloge et une heure entière se passe alors qu'on a l'impression que l'on vient seulement de commencer. À titre indicatif, il faut environ 5 minutes pour réciter un texte couvrant une page A4, en taille 11 ou 12pt. À l'inverse, quand on est auditeur, on a l'impression que le temps n'avance plus. Tu disposes de 10 minutes avant que tes étudiants commencent à piquer du nez. D'autant que dans ton cas, ils vont être pressés de passer aux travaux pratique et de s'installer derrière leur clavier. Efforce-toi, donc, de placer l'essentiel dans les deux ou trois premiers paragraphes de ton cours.
Ensuite, en programmation : tu auras un public très hétérogène. Tu auras d'un côté des étudiants qui n'ont jamais touché une souris de leur vie et d'un autre, des geeks qui maîtrisent cela parfaitement. Tu peux partir du principe qu'il y aura toujours un étudiant dans ta classe qui en sait plus que toi. C'est plus simple si c'est un fait admis dès le départ.
Tout cela pour dire : essaie de ne pas faire un cours monolithique. Considère qu'il te faudra une journée pour arriver à leur faire afficher « Hello world » à l'écran. Tu prévois ensuite des « marches » supplémentaires à leur faire faire à chaque fois qu'ils ont fini la précédente. Cela t'évite de te retrouver dépourvu s'ils y arrivent plus vite que prévu et ça évite aussi, surtout, de refaire faire deux ou trois fois le même exercice à quelqu'un qui le maîtrise déjà pour combler le vide jusqu'à la prochaine étape.
Si tu obtiens un écran avec le curseur en forme de croix et que tu es capable de changer de console avec Ctrl+Alt+Fx, c'est que le serveur X lui-même fonctionne. Pas la peine de le réinstaller ni de vérifier les pilotes graphiques bas niveau. Je penche plutôt pour une défaillance de ton bureau, Gnome ou KDE j'imagine, qui doit s'emmêler les pinceaux avec l'ancienne configuration présente dans ton /home.
Est-ce que le problème survient juste après le démarrage, au moment de passer en mode graphique ou est-ce que c'est lorsque tu essaies de te loguer avec ton compte utilisateur ? Dans le deuxième cas, Essaie d'ajouter un utilisateur tout neuf avec « adduser -m toto » et vois si en te loguant avec, ça fonctionne mieux. Si c'est le cas, il faudra peut-être simplement renommer/effacer le sous-répertoire correspondant à l'ancienne config dans ton home.
mount -t ntfs-3g /dev/sda1
réponse : can't find /dev/sda1 in /etc/fstab
Il faut passer à mount deux paramètres : la partition à monter (le /dev) et l'endroit où tu veux la monter. Si tu n'en passes qu'un seul, « mount » va considérer que c'est un volume qu'il est censé déjà connaître et va le chercher dans le fichier /etc/fstab.
j'ai également essayé ensuite
mount -t ntfs-3g /dev/sda1 /mnt/Windows/System32
réponse : failed : no such file or directory
C'est ça qu'il faut faire mais le répertoire /mnt/Windows/System32 doit probablement ne pas encore exister. À la limite, ne t'embêtes pas trop à respecter le nom exact. Assure-toi que tu travailles en root puis tapes « cd /mnt », puis « mkdir partition », puis « mount /dev/sda1 /mnt/partition ». Pas la peine de spécifier « -t ntfs-3g » car cela sert à indiquer le format de la partition lorsque mount ne parvient pas à le détecter seul (ce qui est une anomalie avec les systèmes de fichiers répandus). Si tu forces le type à utiliser de cette façon, mount va se plaindre si ça ne correspond pas exactement à ce qu'il voit.
Linuxien hyper débutant, je dois utiliser linux pour la première fois afin d'accéder à l'ordinateur de mon fils décédé.
Je ne pense qu'on ne m'en voudra pas trop de parler au nom du groupe mais nous t'apportons tout notre soutien et notre sympathie dans cette épreuve qui doit être extrêmement difficile.
Ça fait un bon moment que je n'utilise plus Windows également mais je pense que « chmod 777 utilman.exe » ne peut pas fonctionner. La gestion des droits Windows est différente de celle d'UNIX. Il existe en revanche chntpw (« Change NT Password ») qui est livré de série avec plusieurs distributions (mais qui nécessite peut-être d'installer explicitement le package). Ça permet de déverrouiller les machines Windows récentes et je m'en sers pour débloquer les PC des voisins qui me demandent de l'aide (et depuis que les machines deviennent massivement portable, j'ai collé une Knoppix sur une carte SD et la trimballe dans mon portefeuille).
Il faut trouver le bon fichier *.SAM en dessous de « C:\Windows » (il ne devrait y en avoir que quelques uns) puis lancer la commande « chntpw -i LeFichierEnQuestion ». L'option « -i » signifie « interactive » : le programme te posera alors une liste de questions et tu n'auras qu'à te laisser guider.
Entre Chrome, Android, Firefox OS, System D et même « FreeboxOS » qui a remplacé la chouette interface précédente de ma Freebox V6, les années 2010 seront celles de la guerre des aspirants OS. :-)
J'ai bien peur qu'ils ne fassent tous qu'essayer de s'entretuer et qu'il ne se dégage rien de positif à l'issue de tout cela. Juste des centaines de miettes à gérer pour les gens qui travaillent dans le secteur…
A moins de 2h de chez moi il y a Cologne, Düsseldorf et Aachen. Il vaut peut-être mieux commencer par là ?
Quelqu'un a déjà essayé de postuler un peu loin, à l'étranger ? Quelqu'un a-t-il déjà fait des gros déplacements comme ça pour rien ?
Il me faut 1h45 pour aller d'Évry à Boulogne-Billancourt. Ça compte ? :-)
D'abord parce que, jusqu'à une certaine limite, cette « baisse » est compensée par l'expérience de la programmation en général qui t'apporte naturellement les bons réflexes pour aller chercher l'info là où elle se trouve et te fait gagner beaucoup de temps.
Ensuite, c'est très fatiguant pour l'esprit. Il m'est arrivé plusieurs autres choses à côté qui jouent aussi sur le psychique, mais à l'approche de la quarantaine, la mémoire commence tout doucement à décliner : non seulement ça devient difficile d'acquérir une nouvelle technologie depuis zéro comme on l'avait fait auparavant mais on commence à douter de ses propres connaissances, ne serait-ce que parce qu'elles commencent elles-mêmes à prendre de l'âge.
Avec ça, à part « l'expérience générale de la programmation » dont je parlais juste au-dessus, on ne peut pas s'appuyer sur un solide bagage comme on le ferait en physique ou en mathématiques par exemple : certes ces disciplines progressent comme les autres, mais les théorèmes enseignés et les lois de la physique, sauf bouleversement majeur, restent en principe valides tout au long d'une vie. En informatique, ça a beau être vrai aussi, la forte obsolescence repousse rapidement la majeure partie des technologies aux oubliettes dans un temps relativement court.
Par exemple, étant ado, j'ai fait énormément de Minitel : je connaissais les codes Vidéotex par cœur à force de les pratiquer, on savait à quoi servait la séquence « Esc 9 g », et je m'étais même bricolé un câble pour piloter le mien à travers le port cassette (ou crayon optique, je ne sais plus) de mon TO8D qui n'était pas équipé d'un UART en standard. Pendant très longtemps, le Minitel a été la norme un peu partout, tant en entreprise que dans les foyers français. Aujourd'hui, c'est une somme de connaissances qui ne me sert à rien.
Enfin, il faut se rendre compte que les technologies évoluent et se complexifient. Quand j'avais commencé l'informatique, les technologies passées me paraissaient ridiculement simples par rapport à ce qui se faisait à mon époque, alors qu'il ne devait y avoir en fait que 15 ans d'écart entre les deux. Cette escalade se perpétue jusqu'à un point qui finit par dépasser nos capacités. Nos parents disaient cela de nous quand ils nous voyaient manipuler nos ordinateurs avec aise, nous allons visiblement connaître le même sort à notre tour.
Ça a toujours été vrai mais là, on assiste en une demi-carrière à quelque chose qui prend 100 ans dans le reste de l'industrie. Ça demande de s'y investir à 100 % sachant qu'à moins d'être très doué, il faudra se reconvertir, et ça va devenir un problème de société à mon avis.
Merci beaucoup pour avoir pris le temps de nous transmettre toutes ces informations ! C'est assez rare avec les enquêtes Google Docs.
Personnellement je pense mettre mon mémoire en ligne en libre accès une fois fini.
Il m'a été donné d'en lire un ou deux. J'ai bien hâte de lire celui-ci.
Donc non il ne s'agit pas de les vendre (qui en voudrait ?).
Un certain nombre de structures seraient intéressées, je pense. Même si elles ne proviennent pas directement d'un organisme de sondage, la manière dont elle a été menée et l'aspect universitaire leur donnent du crédit. Ça ne veut pas dire qu'elles te les achèteraient très cher mais a contrario, cela a été un sujet très sensible, et autant un cas politique qu'un phénomène de société. La loi a été très controversée même au sein de l'UMP (jusqu'à ce qu'on prie gentiment les dissidents de se taire jusqu'à la fin des débats) et le précédent président lui-même, qui l'a poussée avec force, l'a évoquée dans ses vœux télévisés de fin d'année. Ça concerne donc l'intégralité des français, qu'ils soient geeks ou non.
Donc une telle enquête est très pertinente et tes données ont de la valeur. D'autre part, cette loi a maintenant quatre ans (ça passe vite) et habituellement, les gens ont la mémoire courte parce que chaque événement en chasse un autre. Quand on se souvient qu'elle a donnée lieu a des « sittings » à l'assemblée, qu'elle a été retoquée une fois, et qu'elle a été déclarée partiellement anticonstitutionnelle, il est intéressant de savoir si la grogne a fini par retomber ou si elle est toujours aussi virulente.
En résumé, je pense qu'il y a une très très grosse surestimation de niveau pour les dev du marché. Et je pense que malheureusement, ils n'en sont même pas réellement conscient, et ça m'inquiète pas mal, de voir à quel point on peu se déclarer "développeur expérimenté", en ayant a peine quelques bases. Et d'autre s'en foutent carrément, car si ils trouvent une boîte où il sont entouré de "médiocrité", ça permet de masquer la leur.
Je pense qu'il y a une bonne dose de fausse modestie dans ton post, caractéristique des gens qui commencent à avoir effectivement un peu de bouteille mais pas encore assez pour inspirer l'humilité, ni pour voir leurs connaissances commencer à vieillir et à décliner. Ce parce que la programmation intensive est une forme d'athlétisme à mon goût et qu'à l'instar de la plupart des sports de haut niveau, on ne peut pas la pratiquer efficacement jusqu'à l'âge légal de la retraite. J'ai donc quelques questions à te poser :
— Quel âge as-tu ?
— Quel âge en moyenne ont les postulants à ton poste ?
— Quel est le salaire que tu estimes correct à ce poste (celui que tu exigerais, pas celui que tu proposes) ?
— D'où sort ce test ? Tu comprends que si c'est toi qui l'a écrit, tes conclusions seront forcément biaisées, même si (« surtout » devrais-je dire) si tu t'estimes impartial ;
— Quel niveau estimes-tu avoir en C++ ? Je pensais moi-même en avoir fait pratiquement le tour (en lisant un certain nombre de cours) je me suis rendu compte qu'en définitive, je ne savais rien ou presque (j'exagère mais à peine) ;
… et surtout :
— Dans quelles conditions fais-tu passer ce test ? En situation, avec une machine dûment équipée, un café, et trois heures de tranquillité après lesquelles tu reviens voir tes candidats ou bien dans une salle d'examen sur papier, voire même sous forme d'interrogatoire avec un feutre et un tableau blanc ?
— Tes candidats ont-ils accès à la doc quand ils passent le quiz ? La programmation est quand même devenue une activité dans laquelle il vaut mieux savoir chercher que tout retenir par cœur (surtout quand on sait à quelle vitesse les connaissances deviennent obsolètes).
J'ai moi-même commencé à écrire mes premiers programmes en BASIC autour de 10 ans peu avant d'entrer au collège. J'en ai aujourd'hui 37. Cela fait donc 27 ans que j'écris des logiciels par passion ou professionnellement. Plusieurs accidents de parcours m'ont obligé à plusieurs reprises à quitter le circuit scolaire et à y revenir jusqu'à suivre une formation d'ingénieur en partenariat il y a un peu plus de cinq ans, que je n'ai malheureusement pas pu conclure car j'ai perdu mon emploi peu avant la fin. Il se trouve que depuis que je travaille, j'ai fait face à pas mal de situations différentes. Après avoir fait mon service national et quelques petits boulot, j'ai fait un certain nombre de mission en SSII comme pas mal d'entre nous (et comme pas mal d'entre nous, j'ai fini par claquer la porte). J'ai occupé mon avant-dernier poste pendant six ans à l'issue duquel mes collègues proches avaient une haute estime de moi, mais où pratiquement tous les autres pensaient que j'étais un stagiaire (même après six de boîte, oui).
Mon dernier employeur, en revanche, était une boîte de sécurité informatique dont le nom est assez connu dans leur secteur d'activité : il se trouve que j'ai été recruté avant même d'avoir postulé, par réputation, par un membre de l'équipe assez bien placé lui aussi et qui me connaissait simplement par les messages que je déposais depuis plusieurs années sur le forum que l'on fréquentait tous les deux. Je connaissais son pseudo de visu mais nous n'avions jamais pris contact avant cela. J'ai été pratiquement accueilli avec le tapis rouge par son superviseur qui visiblement me considérait également comme un « bon ». Je n'ai donc jamais rien prétendu et heureusement parce que mon recruteur m'a voué un respect tout au long de ma mission alors qu'objectivement, il était meilleur que moi ! À aucun moment je n'ai été franchement dépassé mais à aucun moment non plus je n'ai dominé un développeur de l'équipe de mon savoir et il a fallu que je travaille sans relâche pour me maintenir à niveau.
Or, il se trouve que cette personne a été chargé, comme toi, de faire du recrutement ou au moins de participer aux entretiens. Comme il était très intransigeant sur ses propres connaissances, il l'a été également dans ses évaluations et là, objectivement, je pense que je n'aurais pas été capable de les passer.
J'avais moi-même également écrit mes propres tests d'évaluation, notamment en C++, il y a huit à dix ans, avec pas mal de pièges syntaxiques et de petites subtilités que j'avais moi-même rencontrées, en effet. Sauf qu'il ne s'agissait pas de procéder à un écrèmage systématique mais plutôt de voir facilement, en un coup d'œil, si la personne que j'avais en face de moi était capable de s'en sortir avec un peu de doc ou si elle était en mesure de me donner des leçons.
Ceci pour dire que je me reconnais totalement dans tes propos lorsque tu cherches à écrire le code le plus propre possible. Tu as entièrement raison de le faire et ne supporte pas les gens qui sont volontairement approximatifs quand ils exercent. Tu es probablement très compétent mais malgré cela, je pense que même toi, tu ne serais pas capable de passer un test de même niveau écrit directement par un programmeur de l'équipe que tu souhaites intégrer. D'une part parce qu'il serait lui-même très pointu dans son domaine et d'autre part parce qu'il serait au fait des problématiques rencontrées dans son secteur alors que tu ne le saurais pas encore à ce moment. C'est à cela que servent les périodes d'essai.
À la limite, si tu peux te le permettre, essaie d'envoyer par mail un exercice de second niveau à un candidat volontaire mais qui n'aurait pas forcément le niveau à l'entretien et laisse lui deux ou trois jours pour le mener à bien. Ça se faisait dans ma dernière compagnie. En général, on a de belles surprises de la part des personnes qu'on a jugé en premier lieu. Ça leur permet aussi de se relire, de déboguer et de prendre le temps d'examiner à tête reposée toutes les approches possibles pour choisir la meilleure .Et c'est bien ce que l'on attend d'eux, en définitive, lorsqu'ils sont en activité.
« Moi, mon DSI il a marché sous une échelle sur lequel il y avait un chat noir, et ben 6 mois plus tard il a eu un accident de voiture !
- Jésus Marie Joseph ! Quel inconscient ! C'est vraiment bien fait pour lui… »
C'est ma faute ! J'ai fait une faute de frappe. Je voulais dire « AU MOINS la largeur du clavier », bien sûr ! :-) Et évidemment, c'est mieux s'il y a de l'espace devant pour éviter d'avoir les yeux collés à l'écran et pour pouvoir pousser son clavier devant soi et utiliser une feuille de papier.
Sinon, à l'usage, la meilleure hauteur est bien 70 cm plutôt que 65. J'avais mesuré la hauteur du bureau de mon ancien travail où j'étais particulièrement bien assis mais, pris d'un doute, j'ai re-mesuré mon bureau actuel qui est plutôt une grande table sur tréteaux et qui est un peu plus bas en pratique.
Même sous un utilisateur non-privilégié, je suis sûr qu'il est possible de foutre le boxon en exploitant telle ou telle faiblesse dans le système. L'exécution de code dans lequel on n'a pas confiance est un risque énorme, root ou pas (sauf depuis une sandbox totalement confinée, ce qu'un utilisateur Unix classique n'est pas).
C'est ce qu'on dit depuis le départ. Sauf qu'au lieu de proposer des solutions, l'auteur du billet en question nous dit « bah, du coup, autant tourner en root ». C'est le même langage que le jacky qui nous soutient : « que je roule à 130 à 250 sur autoroute, de toutes façons je suis mort en cas d'accident alors autant rouler vite » (extrait authentique retraduit de mémoire mais tiré de feu thejackytouch.com).
C'est complètement idiot : non seulement ça ne règle pas les problèmes de sécurité en question mais ça en amène plein d'autres.
(sauf depuis une sandbox totalement confinée, ce qu'un utilisateur Unix classique n'est pas).
C'est bien de cela qu'on parle également : un pseudo-utilisateur, une prison chroot voire une VM comme sur Android.
Mon propos était que sur une machine de bureau classique, il n'y a pas de serveur HTTP ou SQL qui tourne, ce qui élimine la question.
Encore une fois, tu as mal lu :
Il est effectivement très peu probable qu'un serveur HTTP tourne sur une machine de bureau. Une base de données en revanche, l'est déjà nettement plus ;
On se moque que des serveurs fonctionnent déjà ou pas sur la machine de bureau : le problème — entre autres — est que n'importe qui ou n'importe quoi peut en lancer un s'il est root. Et je ne parle pas de lancer une infrastructure préalablement installée : un simple script shell suffit pour se mettre à l'écoute avec nc.
Même si ton virus avait besoin d'un serveur Apache pleinement configuré lié à une base MySQL (ce serait gonflé), en tant que root, il lui suffirait de lancer un « apt-get » ou un « yum install » pour les obtenir !
Pourquoi autoriser l'exécution de "scripts" chargés depuis l'extérieur ? Quel est le cas d'usage ?
La vraie question, depuis le départ, est : « pourquoi autoriser l'utilisateur lambda à travailler sous root ? Quel est le cas d'usage ? ».
Et quel est l'intérêt, plutôt que de l'ouvrir sur le port 8080 ?
C'était un simple exemple mais puisque tu le demandes, l'avantage est que ça permet au monde entier d'y accéder par défaut depuis leur navigateur sans avoir à préciser un port et, notamment, depuis des clients se trouvant derrière des pare-feux d'entreprise dont, bien souvent, seul le port 80 est ouvert vers l'extérieur par défaut. C'est d'ailleurs une des raisons pour lesquelles on a inventé les web services…
Ça peut-être n'importe quoi d'autre : en ouvrant les port 135 à 139, tu peux transformer automatiquement la machine-zombie en serveur SMB Windows public pour faire du dépôt massif de fichiers, spécialement quand il sont illégaux. Ce qui est particulièrement fort, c'est qu'avec les lois merveilleuses du dernier quinquennat, c'est le titulaire de l'accès Internet qui est responsable même si c'est fait complètement à son insu, et c'est à lui de prouver sa bonne foi. Que se passerait-il, par exemple, si on retrouvait sur sa machine un répertoire entier, bien distinct, d'images pédophiles ? Ce ne serait pas du « cache », comme celui de son navigateur, et ce serait difficile d'affirmer qu'elles sont arrivées là par hasard. L'utilisateur a le temps d'avoir de gros ennuis avant qu'une personne compétente et motivée arrive à mettre le doigt sur le cheval de Troie.
Enfin, un dernier exemple très répandu : ouvre le port 25 et tu fais un Open Relay pour envoyer du spam. Il fut un temps où les Freebox étaient livrés avec ce port 25 bridé en émission par défaut (sur les serveurs autres que ceux de Free) pour cette raison et qu'il fallait aller le débloquer (une seule fois) sur sa console de gestion, ce qui était plutôt une bonne chose à mon goût. Je ne sais pas si c'est toujours le cas ou pas.
Le journal parle d'un "système mono-utilisateur classique", j'imagine qu'il s'agit d'une machine de bureau, pas d'un serveur où on fera effectivement tourner différents services sous différents utilisateurs.
Ce n'est pas la question. Relis bien le commentaire : ce n'est pas les serveurs eux-mêmes qui nous intéressent mais le fait que ceux-ci ont facilement la possibilité de déclarer un pseudo-utilisateur pour fonctionner sous leur propre identité et être protégé des attaques venant du compte utilisateur principal, et cela même sans être root, ce qui limite beaucoup les risques en cas de FAILLES non révélées dans ces serveurs.
Il est tout-à-fait possible de faire en sorte que les scripts chargés depuis l'extérieur et lancés naïvement depuis l'interface graphique soient exécutés par défaut sous l'identité d'un pseudo-utilisateur. Au lieu de cela, l'auteur du billet préconise non seulement de tout faire depuis la même identité, comme c'est généralement le cas, mais en plus de le faire en root !
Qu'on soit bien d'accord : pendant très longtemps nous avons utilisé sans gros problème des machines sans aucun droits d'accès : on a utilisé des huit bits pour beaucoup d'entre nous et MS-DOS a prédominé sur PC une quinzaine d'années. Seulement, nous étions bien moins informatisés qu'aujourd'hui et surtout beaucoup moins connectés. Et encore, malgré cela, les gens qui ont connus cela savent à quel point il était facile de se faire refiler une disquette vérolée, même en 5"¼. Même le Goupil du nanoréseau de mon collège en 1990 l'avait été.
Je ne suis pas contre faire des machines complètement ouvertes pour la simplicité de la chose, à condition qu'elles restent au sein d'un réseau qui — lui — est sécurisé comme il le faut et administré par une personne compétente. Ce n'est pas non plus ce que préconise le blog.
D'expérience, et en ce qui me concerne, la hauteur idéale du bureau est 65 cm. À ajuster éventuellement entre 60 et 70 cm. Je te conseille de faire l'essai quelques temps et de voir si cela te convient.
Ensuite, il est essentiel d'être assis face à son écran avec son clavier devant soi. Si tu places ton moniteur sur le coin de ton bureau et que ton clavier est parallèle à ce moniteur, donc en biais par rapport au bord de la table, tu devras te tourner sans arrêt pour l'utiliser et tu seras victime d'un douleur vive entre les omoplates avant la fin de la journée.
Il est très important également que tes avant-bras reposent sur le bureau lorsque tu tapes au clavier : pour cela, prévois l'espace pour « deux claviers ». Autrement dit, laisse un espace vide entre le bord du bureau et ton clavier correspondant à moins de la largeur dudit clavier. Ça te permet aussi de le pousser facilement vers le fond si tu veux prendre une feuille de papier devant toi. Pendant la frappe, l'essentiel du poids de tes bras va reposer sur cet espace et tu verras qu'à l'usage, c'est très confortable.
Enfin, il te faut un fauteuil à roulettes. Malgré l'encombrement, je te suggère vivement d'en choisir un à accoudoirs et de régler ton siège pour que ceux-ci soient à peu près au niveau de la table, quitte à le rabaisser en fin de journée pour le ranger en dessous. J'avais eu la chance de trouver un confortable fauteuil en cuir (ou imitation, mais très bien imité quand même) à 55 € chez Office Dépôt il y a quelques années mais ce genre de promo est rare. En général, il faut compter pas loin du double. N'oublie pas, enfin, un tapis de sol en plastique. Même si tout cela fait monter la note, c'est un équipement que tu conserveras des années, plus longtemps encore que ta machine, probablement. Si tu ne veux pas te retrouver avec un stratifié complètement rayé ou, pire, avec une moquette complètement à refaire, c'est un investissement intéressant.
Je trouve l'argumentation biaisée. À la base, même s'il n'y a qu'un seul utilisateur sur la machine, « root », c'est : cet utilisateur + tout le reste. Il n'y a pas spécialement d'avantage à utiliser root plutôt que son propre compte en temps normal. Ensuite :
l'utilisateur de base à déjà l'accès complet au réseau : « il peut recevoir et envoyer des données à n'importe quel serveur sur n'importe quel port ». Combiné au point précédent, cela signifie que l'utilisateur de base peut se faire voler ses données par n'importe quel programme exécuté avec ses propres droits.
Ça permet aussi et surtout — entre autres choses — à n'importe qui d'ouvrir un port inférieur à 1024. N'importe quel script pourrait par exemple lancer un serveur web sur le port 80 d'une machine-zombie, par exemple.
l'utilisateur de base peut lancer n'importe quel programme. Il lui suffit de le télécharger et de l'exécuter. Donc le compte root ne protège pas les données des virus, il ne protège que les fichiers systèmes (les moins importants).
Même chose : ça limite énormément la portée de ce que peut faire le programme, comme manipuler ou même bronsoniser les processus d'à côté. Au hasard, un httpd un peu chiant qui occuperait déjà le port 80. :-) Même le tableau au milieu de l'article est orienté : « Run installed programs : Root √ ; User : √ ». Ça, ce n'est pas un mal nécessaire, c'est le fonctionnement normal d'un système multitâches : c'est à cela qu'il sert, et ce n'est pas censé être une faille en soi.
Ça veut surtout dire que non seulement éviter d'utiliser root reste une évidence, mais que ce n'est pas suffisant : même en tant qu'utilisateur, il faut prendre des précautions. En tout cas si on est paranoïaque puisque dans le cas contraire, c'est toute cette discussion qui n'a plus d'objet. Et là, par contre : néant. On aurait aimé qu'il parle des principales techniques de compartimentage utilisées sous Unix, comme par exemple l'utilisation de pseudo-utilisateurs : les principaux services comme Apache, Postgresql et Mysql sont presque tous configurés aujourd'hui, pour utiliser le leur. En bossant sous root, il suffit d'un seul kill pour tous les mettre par terre ou corrompre leurs données. En utilisateur normal, sans le mot de passe, point de salut et celui-ci — contrairement à sudo — n'est pas saisi toutes les dix minutes ou stocké en clair à un endroit identique sur toutes les machines (enfin, en principe). Il n'est quand même pas difficile de configurer l'interface graphique de l'utilisateur débutant pour qu'elle lance par défaut un script externe avec l'identité d'un pseudo-utilisateur plutôt que celle de l'utilisateur en cas de doute. On aurait bien aimé également qu'il nous parle de chroot, qui permet de mettre en place relativement facilement un bac à sable pour lancer les applications potentiellement dangereuses.
D'autre part, root n'est pas seulement le vecteur préféré des agressions extérieures : c'est aussi le moyen de réparer son système quand le reste ne marche plus : par exemple, mkfs réserve par défaut 5 % d'espace pour root au moins sur la partition système. Son home dir se trouve également sur une partition distincte ou directement sur la partition système. Ça permet d'une part de se loguer quand on ne peut plus monter /home et de faire tourner le système quand un log fou a rempli sa partition. Bosser en root, c'est contourner volontairement tous les garde-fous mis en place par le système. Enfin, il y a le fait que root n'est un utilisateur normal et que bon nombre de contrôles sont faits directement au niveau du noyau pour savoir si l'uid en vigueur est ou non égale à zéro.
Ça avec le fait que dès que l'on déclara un second (vrai) utilisateur ou lorsque l'on travaillera sur un système centralisé, il faudra perdre toutes ces mauvaises habitudes acquises sans raison valable. Alors pourquoi faire ?
Non. C'était dit avec légèreté mais c'est bien « censées », avec un C, que l'on attend ici.
→ Censé : dont on attend quelque chose de précis (et qui n'est pas toujours au rendez-vous) ;
→ Sensé : qui a du sens (par exemple : « des propos sensés »).
Qu'on fasse la faute, ce n'est pas bien grave, elle est extrêmement courante. Mais aller corriger une seconde fois un post pour la RÉTABLIR, cela nécessite de s'y pencher.
[^] # Re: Deux précisions
Posté par Obsidian . En réponse au message Questionnement sur une opportunité d'enseigner l'informatique. Évalué à 5.
Hello,
Il n'y a pas de secret : les premiers cours vont être très chronophages. Tu vas probablement avoir l'impression d'y passer la semaine entière, si bien que cela cumulé au temps et aux coûts de transports, cela va te sembler non rentable. À cela, ajoute le fait que la programmation et l'informatique en général sont extrêmement coûteuses en temps, en elles-mêmes. De mon propre point de vue, j'ai l'impression que le temps passe environ 6 fois plus vite devant un écran qu'ailleurs. Si je décide de consacrer une dizaine de minutes à régler un problème administratif, ça va en général me prendre une heure. Un bon quart d'heure pour se concentrer sur un cas ? Il se transforme en une heure et demi. (Faites le test chez vous et donnez-nous votre ratio personnel).
Tu vas aussi te rendre compte que, comme dans tous les domaines, même avec la meilleure volonté du monde, il y aura beaucoup de choses qui vont te paraître implicites et sur lesquelles il faudra revenir une fois face à tes élèves. Ceci va encore allonger le temps qu'il te faudra.
Par contre, à force de répéter tes cours, ceux-ci vont naturellement se structurer, et assez vite. En 2004, je travaillais dans un petit bureau de bioinformatique au sein de la structure par laquelle j'étais embauché. j'avais donné non pas un cours mais une petite conférence lors de la Fête de la Science. J'avais préparé une trame, qui était naturellement maladroite la première fois que je l'ai exposée, mais nous avons eu plusieurs groupes successifs (programmés à peu près à heures fixes), si bien que je l'ai présentée cinq ou six fois en une journée avec 1/4 d'heure de pause entre chaque séance. À la fin de la journée, je la maîtrisais parfaitement, je parlais de façon posée et fluide, et donnait l'impression d'être un professionnel confirmé de longue date alors que je connaissais mon métier (la programmation), mais que je ne possédais que des bribes de bio-informatique. Et ce, avant la fin de la journée. Ceci pour dire, donc, que ce n'est pas rentable dans les premières séances mais que cela le devient très vite.
Avec ça, souviens-toi qu'il est très difficile de faire tenir un cours, un exposé ou une soutenance dans un temps raisonnable. Tous les étudiants qui ont présenté leur thèse ou leur mémoire de fin d'études le savent : on est rivé sur l'horloge et une heure entière se passe alors qu'on a l'impression que l'on vient seulement de commencer. À titre indicatif, il faut environ 5 minutes pour réciter un texte couvrant une page A4, en taille 11 ou 12pt. À l'inverse, quand on est auditeur, on a l'impression que le temps n'avance plus. Tu disposes de 10 minutes avant que tes étudiants commencent à piquer du nez. D'autant que dans ton cas, ils vont être pressés de passer aux travaux pratique et de s'installer derrière leur clavier. Efforce-toi, donc, de placer l'essentiel dans les deux ou trois premiers paragraphes de ton cours.
Ensuite, en programmation : tu auras un public très hétérogène. Tu auras d'un côté des étudiants qui n'ont jamais touché une souris de leur vie et d'un autre, des geeks qui maîtrisent cela parfaitement. Tu peux partir du principe qu'il y aura toujours un étudiant dans ta classe qui en sait plus que toi. C'est plus simple si c'est un fait admis dès le départ.
Tout cela pour dire : essaie de ne pas faire un cours monolithique. Considère qu'il te faudra une journée pour arriver à leur faire afficher « Hello world » à l'écran. Tu prévois ensuite des « marches » supplémentaires à leur faire faire à chaque fois qu'ils ont fini la précédente. Cela t'évite de te retrouver dépourvu s'ils y arrivent plus vite que prévu et ça évite aussi, surtout, de refaire faire deux ou trois fois le même exercice à quelqu'un qui le maîtrise déjà pour combler le vide jusqu'à la prochaine étape.
[^] # Re: Le même avec…
Posté par Obsidian . En réponse à la dépêche Debian France choisit son nouveau logo. Évalué à 8.
Tu oublies le béret et la baguette…
# Gestionnaire de session ?
Posté par Obsidian . En réponse au message Problème d'écran noir suite à une update de ubuntu 13.04 à 13.10. Évalué à 3.
Hello,
Si tu obtiens un écran avec le curseur en forme de croix et que tu es capable de changer de console avec Ctrl+Alt+Fx, c'est que le serveur X lui-même fonctionne. Pas la peine de le réinstaller ni de vérifier les pilotes graphiques bas niveau. Je penche plutôt pour une défaillance de ton bureau, Gnome ou KDE j'imagine, qui doit s'emmêler les pinceaux avec l'ancienne configuration présente dans ton /home.
Est-ce que le problème survient juste après le démarrage, au moment de passer en mode graphique ou est-ce que c'est lorsque tu essaies de te loguer avec ton compte utilisateur ? Dans le deuxième cas, Essaie d'ajouter un utilisateur tout neuf avec « adduser -m toto » et vois si en te loguant avec, ça fonctionne mieux. Si c'est le cas, il faudra peut-être simplement renommer/effacer le sous-répertoire correspondant à l'ancienne config dans ton home.
[^] # Re: ma procédure
Posté par Obsidian . En réponse au message Read only. Évalué à 2.
Pas forcément : il n'y a qu'à se rendre directement dans le répertoire où elle est déjà montée.
[^] # Re: ma procédure
Posté par Obsidian . En réponse au message Read only. Évalué à 3.
Re-bonjour,
Il faut passer à mount deux paramètres : la partition à monter (le /dev) et l'endroit où tu veux la monter. Si tu n'en passes qu'un seul, « mount » va considérer que c'est un volume qu'il est censé déjà connaître et va le chercher dans le fichier /etc/fstab.
C'est ça qu'il faut faire mais le répertoire /mnt/Windows/System32 doit probablement ne pas encore exister. À la limite, ne t'embêtes pas trop à respecter le nom exact. Assure-toi que tu travailles en root puis tapes « cd /mnt », puis « mkdir partition », puis « mount /dev/sda1 /mnt/partition ». Pas la peine de spécifier « -t ntfs-3g » car cela sert à indiquer le format de la partition lorsque mount ne parvient pas à le détecter seul (ce qui est une anomalie avec les systèmes de fichiers répandus). Si tu forces le type à utiliser de cette façon, mount va se plaindre si ça ne correspond pas exactement à ce qu'il voit.
# Chntpw
Posté par Obsidian . En réponse au message Read only. Évalué à 9.
Je ne pense qu'on ne m'en voudra pas trop de parler au nom du groupe mais nous t'apportons tout notre soutien et notre sympathie dans cette épreuve qui doit être extrêmement difficile.
Ça fait un bon moment que je n'utilise plus Windows également mais je pense que « chmod 777 utilman.exe » ne peut pas fonctionner. La gestion des droits Windows est différente de celle d'UNIX. Il existe en revanche chntpw (« Change NT Password ») qui est livré de série avec plusieurs distributions (mais qui nécessite peut-être d'installer explicitement le package). Ça permet de déverrouiller les machines Windows récentes et je m'en sers pour débloquer les PC des voisins qui me demandent de l'aide (et depuis que les machines deviennent massivement portable, j'ai collé une Knoppix sur une carte SD et la trimballe dans mon portefeuille).
Il faut trouver le bon fichier *.SAM en dessous de « C:\Windows » (il ne devrait y en avoir que quelques uns) puis lancer la commande « chntpw -i LeFichierEnQuestion ». L'option « -i » signifie « interactive » : le programme te posera alors une liste de questions et tu n'auras qu'à te laisser guider.
Bon courage.
[^] # Re: Busybox
Posté par Obsidian . En réponse au journal Systemd va gagner une console système, un bootsplash et un login-screen. Évalué à 3.
Entre Chrome, Android, Firefox OS, System D et même « FreeboxOS » qui a remplacé la chouette interface précédente de ma Freebox V6, les années 2010 seront celles de la guerre des aspirants OS. :-)
J'ai bien peur qu'ils ne fassent tous qu'essayer de s'entretuer et qu'il ne se dégage rien de positif à l'issue de tout cela. Juste des centaines de miettes à gérer pour les gens qui travaillent dans le secteur…
# En temps ou en distance ?
Posté par Obsidian . En réponse au message Postuler à l'étranger. Évalué à 6.
Il me faut 1h45 pour aller d'Évry à Boulogne-Billancourt. Ça compte ? :-)
[^] # Re: Quand la religion bloque le progres...
Posté par Obsidian . En réponse au journal Disséquer du binaire sous linux. Évalué à 7.
Oui au mariage pour tous adjectifs !
# Maquereaux
Posté par Obsidian . En réponse au journal [trolldi] filtrage contre les maquereaux. Évalué à 10.
Ben si : avec des macros…
→[]
[^] # Re: Précisions nécessaires
Posté par Obsidian . En réponse au journal Développeur, ou comment sur-évaluer ses compétences. Évalué à 9. Dernière modification le 22 novembre 2013 à 22:17.
Oui, mais pas seulement :
D'abord parce que, jusqu'à une certaine limite, cette « baisse » est compensée par l'expérience de la programmation en général qui t'apporte naturellement les bons réflexes pour aller chercher l'info là où elle se trouve et te fait gagner beaucoup de temps.
Ensuite, c'est très fatiguant pour l'esprit. Il m'est arrivé plusieurs autres choses à côté qui jouent aussi sur le psychique, mais à l'approche de la quarantaine, la mémoire commence tout doucement à décliner : non seulement ça devient difficile d'acquérir une nouvelle technologie depuis zéro comme on l'avait fait auparavant mais on commence à douter de ses propres connaissances, ne serait-ce que parce qu'elles commencent elles-mêmes à prendre de l'âge.
Avec ça, à part « l'expérience générale de la programmation » dont je parlais juste au-dessus, on ne peut pas s'appuyer sur un solide bagage comme on le ferait en physique ou en mathématiques par exemple : certes ces disciplines progressent comme les autres, mais les théorèmes enseignés et les lois de la physique, sauf bouleversement majeur, restent en principe valides tout au long d'une vie. En informatique, ça a beau être vrai aussi, la forte obsolescence repousse rapidement la majeure partie des technologies aux oubliettes dans un temps relativement court.
Par exemple, étant ado, j'ai fait énormément de Minitel : je connaissais les codes Vidéotex par cœur à force de les pratiquer, on savait à quoi servait la séquence « Esc 9 g », et je m'étais même bricolé un câble pour piloter le mien à travers le port cassette (ou crayon optique, je ne sais plus) de mon TO8D qui n'était pas équipé d'un UART en standard. Pendant très longtemps, le Minitel a été la norme un peu partout, tant en entreprise que dans les foyers français. Aujourd'hui, c'est une somme de connaissances qui ne me sert à rien.
Enfin, il faut se rendre compte que les technologies évoluent et se complexifient. Quand j'avais commencé l'informatique, les technologies passées me paraissaient ridiculement simples par rapport à ce qui se faisait à mon époque, alors qu'il ne devait y avoir en fait que 15 ans d'écart entre les deux. Cette escalade se perpétue jusqu'à un point qui finit par dépasser nos capacités. Nos parents disaient cela de nous quand ils nous voyaient manipuler nos ordinateurs avec aise, nous allons visiblement connaître le même sort à notre tour.
Ça a toujours été vrai mais là, on assiste en une demi-carrière à quelque chose qui prend 100 ans dans le reste de l'industrie. Ça demande de s'y investir à 100 % sachant qu'à moins d'être très doué, il faudra se reconvertir, et ça va devenir un problème de société à mon avis.
[^] # Re: mmh
Posté par Obsidian . En réponse au message Enquête universitaire sur la mobilisation contre la loi HADOPI. Évalué à 3.
Merci beaucoup pour avoir pris le temps de nous transmettre toutes ces informations ! C'est assez rare avec les enquêtes Google Docs.
Il m'a été donné d'en lire un ou deux. J'ai bien hâte de lire celui-ci.
Un certain nombre de structures seraient intéressées, je pense. Même si elles ne proviennent pas directement d'un organisme de sondage, la manière dont elle a été menée et l'aspect universitaire leur donnent du crédit. Ça ne veut pas dire qu'elles te les achèteraient très cher mais a contrario, cela a été un sujet très sensible, et autant un cas politique qu'un phénomène de société. La loi a été très controversée même au sein de l'UMP (jusqu'à ce qu'on prie gentiment les dissidents de se taire jusqu'à la fin des débats) et le précédent président lui-même, qui l'a poussée avec force, l'a évoquée dans ses vœux télévisés de fin d'année. Ça concerne donc l'intégralité des français, qu'ils soient geeks ou non.
Donc une telle enquête est très pertinente et tes données ont de la valeur. D'autre part, cette loi a maintenant quatre ans (ça passe vite) et habituellement, les gens ont la mémoire courte parce que chaque événement en chasse un autre. Quand on se souvient qu'elle a donnée lieu a des « sittings » à l'assemblée, qu'elle a été retoquée une fois, et qu'elle a été déclarée partiellement anticonstitutionnelle, il est intéressant de savoir si la grogne a fini par retomber ou si elle est toujours aussi virulente.
# Précisions nécessaires
Posté par Obsidian . En réponse au journal Développeur, ou comment sur-évaluer ses compétences. Évalué à 10.
Bonsoir,
Je pense qu'il y a une bonne dose de fausse modestie dans ton post, caractéristique des gens qui commencent à avoir effectivement un peu de bouteille mais pas encore assez pour inspirer l'humilité, ni pour voir leurs connaissances commencer à vieillir et à décliner. Ce parce que la programmation intensive est une forme d'athlétisme à mon goût et qu'à l'instar de la plupart des sports de haut niveau, on ne peut pas la pratiquer efficacement jusqu'à l'âge légal de la retraite. J'ai donc quelques questions à te poser :
— Quel âge as-tu ?
— Quel âge en moyenne ont les postulants à ton poste ?
— Quel est le salaire que tu estimes correct à ce poste (celui que tu exigerais, pas celui que tu proposes) ?
— D'où sort ce test ? Tu comprends que si c'est toi qui l'a écrit, tes conclusions seront forcément biaisées, même si (« surtout » devrais-je dire) si tu t'estimes impartial ;
— Quel niveau estimes-tu avoir en C++ ? Je pensais moi-même en avoir fait pratiquement le tour (en lisant un certain nombre de cours) je me suis rendu compte qu'en définitive, je ne savais rien ou presque (j'exagère mais à peine) ;
… et surtout :
— Dans quelles conditions fais-tu passer ce test ? En situation, avec une machine dûment équipée, un café, et trois heures de tranquillité après lesquelles tu reviens voir tes candidats ou bien dans une salle d'examen sur papier, voire même sous forme d'interrogatoire avec un feutre et un tableau blanc ?
— Tes candidats ont-ils accès à la doc quand ils passent le quiz ? La programmation est quand même devenue une activité dans laquelle il vaut mieux savoir chercher que tout retenir par cœur (surtout quand on sait à quelle vitesse les connaissances deviennent obsolètes).
J'ai moi-même commencé à écrire mes premiers programmes en BASIC autour de 10 ans peu avant d'entrer au collège. J'en ai aujourd'hui 37. Cela fait donc 27 ans que j'écris des logiciels par passion ou professionnellement. Plusieurs accidents de parcours m'ont obligé à plusieurs reprises à quitter le circuit scolaire et à y revenir jusqu'à suivre une formation d'ingénieur en partenariat il y a un peu plus de cinq ans, que je n'ai malheureusement pas pu conclure car j'ai perdu mon emploi peu avant la fin. Il se trouve que depuis que je travaille, j'ai fait face à pas mal de situations différentes. Après avoir fait mon service national et quelques petits boulot, j'ai fait un certain nombre de mission en SSII comme pas mal d'entre nous (et comme pas mal d'entre nous, j'ai fini par claquer la porte). J'ai occupé mon avant-dernier poste pendant six ans à l'issue duquel mes collègues proches avaient une haute estime de moi, mais où pratiquement tous les autres pensaient que j'étais un stagiaire (même après six de boîte, oui).
Mon dernier employeur, en revanche, était une boîte de sécurité informatique dont le nom est assez connu dans leur secteur d'activité : il se trouve que j'ai été recruté avant même d'avoir postulé, par réputation, par un membre de l'équipe assez bien placé lui aussi et qui me connaissait simplement par les messages que je déposais depuis plusieurs années sur le forum que l'on fréquentait tous les deux. Je connaissais son pseudo de visu mais nous n'avions jamais pris contact avant cela. J'ai été pratiquement accueilli avec le tapis rouge par son superviseur qui visiblement me considérait également comme un « bon ». Je n'ai donc jamais rien prétendu et heureusement parce que mon recruteur m'a voué un respect tout au long de ma mission alors qu'objectivement, il était meilleur que moi ! À aucun moment je n'ai été franchement dépassé mais à aucun moment non plus je n'ai dominé un développeur de l'équipe de mon savoir et il a fallu que je travaille sans relâche pour me maintenir à niveau.
Or, il se trouve que cette personne a été chargé, comme toi, de faire du recrutement ou au moins de participer aux entretiens. Comme il était très intransigeant sur ses propres connaissances, il l'a été également dans ses évaluations et là, objectivement, je pense que je n'aurais pas été capable de les passer.
J'avais moi-même également écrit mes propres tests d'évaluation, notamment en C++, il y a huit à dix ans, avec pas mal de pièges syntaxiques et de petites subtilités que j'avais moi-même rencontrées, en effet. Sauf qu'il ne s'agissait pas de procéder à un écrèmage systématique mais plutôt de voir facilement, en un coup d'œil, si la personne que j'avais en face de moi était capable de s'en sortir avec un peu de doc ou si elle était en mesure de me donner des leçons.
Ceci pour dire que je me reconnais totalement dans tes propos lorsque tu cherches à écrire le code le plus propre possible. Tu as entièrement raison de le faire et ne supporte pas les gens qui sont volontairement approximatifs quand ils exercent. Tu es probablement très compétent mais malgré cela, je pense que même toi, tu ne serais pas capable de passer un test de même niveau écrit directement par un programmeur de l'équipe que tu souhaites intégrer. D'une part parce qu'il serait lui-même très pointu dans son domaine et d'autre part parce qu'il serait au fait des problématiques rencontrées dans son secteur alors que tu ne le saurais pas encore à ce moment. C'est à cela que servent les périodes d'essai.
À la limite, si tu peux te le permettre, essaie d'envoyer par mail un exercice de second niveau à un candidat volontaire mais qui n'aurait pas forcément le niveau à l'entretien et laisse lui deux ou trois jours pour le mener à bien. Ça se faisait dans ma dernière compagnie. En général, on a de belles surprises de la part des personnes qu'on a jugé en premier lieu. Ça leur permet aussi de se relire, de déboguer et de prendre le temps d'examiner à tête reposée toutes les approches possibles pour choisir la meilleure .Et c'est bien ce que l'on attend d'eux, en définitive, lorsqu'ils sont en activité.
[^] # Re: Real men log as root
Posté par Obsidian . En réponse au journal Contre la phobie du root. Évalué à 3.
En fait, c'est « Gary's Hood ». :-) Ça se traduirait à peu près en « du côté de chez Gary »…
[^] # Re: L'expérience d'un convaincu
Posté par Obsidian . En réponse au journal Contre la phobie du root. Évalué à 3.
En même temps, il l'a bien cherché aussi… :-)
[^] # Re: 65 cm
Posté par Obsidian . En réponse au message Quelle hauteur pour un bureau ?. Évalué à 2.
C'est ma faute ! J'ai fait une faute de frappe. Je voulais dire « AU MOINS la largeur du clavier », bien sûr ! :-) Et évidemment, c'est mieux s'il y a de l'espace devant pour éviter d'avoir les yeux collés à l'écran et pour pouvoir pousser son clavier devant soi et utiliser une feuille de papier.
Sinon, à l'usage, la meilleure hauteur est bien 70 cm plutôt que 65. J'avais mesuré la hauteur du bureau de mon ancien travail où j'étais particulièrement bien assis mais, pris d'un doute, j'ai re-mesuré mon bureau actuel qui est plutôt une grande table sur tréteaux et qui est un peu plus bas en pratique.
[^] # Re: Pourquoi faire ?
Posté par Obsidian . En réponse au journal Contre la phobie du root. Évalué à 3.
David_Neil_Cutler pour ne pas le nommer (et puis si, tiens, finalement…).
[^] # Re: Pourquoi faire ?
Posté par Obsidian . En réponse au journal Contre la phobie du root. Évalué à 3.
C'est ce qu'on dit depuis le départ. Sauf qu'au lieu de proposer des solutions, l'auteur du billet en question nous dit « bah, du coup, autant tourner en root ». C'est le même langage que le jacky qui nous soutient : « que je roule à 130 à 250 sur autoroute, de toutes façons je suis mort en cas d'accident alors autant rouler vite » (extrait authentique retraduit de mémoire mais tiré de feu thejackytouch.com).
C'est complètement idiot : non seulement ça ne règle pas les problèmes de sécurité en question mais ça en amène plein d'autres.
C'est bien de cela qu'on parle également : un pseudo-utilisateur, une prison chroot voire une VM comme sur Android.
Encore une fois, tu as mal lu :
La vraie question, depuis le départ, est : « pourquoi autoriser l'utilisateur lambda à travailler sous root ? Quel est le cas d'usage ? ».
[^] # Re: Pourquoi faire ?
Posté par Obsidian . En réponse au journal Contre la phobie du root. Évalué à 2.
C'était un simple exemple mais puisque tu le demandes, l'avantage est que ça permet au monde entier d'y accéder par défaut depuis leur navigateur sans avoir à préciser un port et, notamment, depuis des clients se trouvant derrière des pare-feux d'entreprise dont, bien souvent, seul le port 80 est ouvert vers l'extérieur par défaut. C'est d'ailleurs une des raisons pour lesquelles on a inventé les web services…
Ça peut-être n'importe quoi d'autre : en ouvrant les port 135 à 139, tu peux transformer automatiquement la machine-zombie en serveur SMB Windows public pour faire du dépôt massif de fichiers, spécialement quand il sont illégaux. Ce qui est particulièrement fort, c'est qu'avec les lois merveilleuses du dernier quinquennat, c'est le titulaire de l'accès Internet qui est responsable même si c'est fait complètement à son insu, et c'est à lui de prouver sa bonne foi. Que se passerait-il, par exemple, si on retrouvait sur sa machine un répertoire entier, bien distinct, d'images pédophiles ? Ce ne serait pas du « cache », comme celui de son navigateur, et ce serait difficile d'affirmer qu'elles sont arrivées là par hasard. L'utilisateur a le temps d'avoir de gros ennuis avant qu'une personne compétente et motivée arrive à mettre le doigt sur le cheval de Troie.
Enfin, un dernier exemple très répandu : ouvre le port 25 et tu fais un Open Relay pour envoyer du spam. Il fut un temps où les Freebox étaient livrés avec ce port 25 bridé en émission par défaut (sur les serveurs autres que ceux de Free) pour cette raison et qu'il fallait aller le débloquer (une seule fois) sur sa console de gestion, ce qui était plutôt une bonne chose à mon goût. Je ne sais pas si c'est toujours le cas ou pas.
Ce n'est pas la question. Relis bien le commentaire : ce n'est pas les serveurs eux-mêmes qui nous intéressent mais le fait que ceux-ci ont facilement la possibilité de déclarer un pseudo-utilisateur pour fonctionner sous leur propre identité et être protégé des attaques venant du compte utilisateur principal, et cela même sans être root, ce qui limite beaucoup les risques en cas de FAILLES non révélées dans ces serveurs.
Il est tout-à-fait possible de faire en sorte que les scripts chargés depuis l'extérieur et lancés naïvement depuis l'interface graphique soient exécutés par défaut sous l'identité d'un pseudo-utilisateur. Au lieu de cela, l'auteur du billet préconise non seulement de tout faire depuis la même identité, comme c'est généralement le cas, mais en plus de le faire en root !
Qu'on soit bien d'accord : pendant très longtemps nous avons utilisé sans gros problème des machines sans aucun droits d'accès : on a utilisé des huit bits pour beaucoup d'entre nous et MS-DOS a prédominé sur PC une quinzaine d'années. Seulement, nous étions bien moins informatisés qu'aujourd'hui et surtout beaucoup moins connectés. Et encore, malgré cela, les gens qui ont connus cela savent à quel point il était facile de se faire refiler une disquette vérolée, même en 5"¼. Même le Goupil du nanoréseau de mon collège en 1990 l'avait été.
Je ne suis pas contre faire des machines complètement ouvertes pour la simplicité de la chose, à condition qu'elles restent au sein d'un réseau qui — lui — est sécurisé comme il le faut et administré par une personne compétente. Ce n'est pas non plus ce que préconise le blog.
[^] # Re: Amis développeurs
Posté par Obsidian . En réponse au journal Contre la phobie du root. Évalué à 2.
Ouille ! Il a fallu que je fasse le test quand même pour vérifier que c'était bien un gag… :-)
# 65 cm
Posté par Obsidian . En réponse au message Quelle hauteur pour un bureau ?. Évalué à 5.
Hello,
D'expérience, et en ce qui me concerne, la hauteur idéale du bureau est 65 cm. À ajuster éventuellement entre 60 et 70 cm. Je te conseille de faire l'essai quelques temps et de voir si cela te convient.
Ensuite, il est essentiel d'être assis face à son écran avec son clavier devant soi. Si tu places ton moniteur sur le coin de ton bureau et que ton clavier est parallèle à ce moniteur, donc en biais par rapport au bord de la table, tu devras te tourner sans arrêt pour l'utiliser et tu seras victime d'un douleur vive entre les omoplates avant la fin de la journée.
Il est très important également que tes avant-bras reposent sur le bureau lorsque tu tapes au clavier : pour cela, prévois l'espace pour « deux claviers ». Autrement dit, laisse un espace vide entre le bord du bureau et ton clavier correspondant à moins de la largeur dudit clavier. Ça te permet aussi de le pousser facilement vers le fond si tu veux prendre une feuille de papier devant toi. Pendant la frappe, l'essentiel du poids de tes bras va reposer sur cet espace et tu verras qu'à l'usage, c'est très confortable.
Enfin, il te faut un fauteuil à roulettes. Malgré l'encombrement, je te suggère vivement d'en choisir un à accoudoirs et de régler ton siège pour que ceux-ci soient à peu près au niveau de la table, quitte à le rabaisser en fin de journée pour le ranger en dessous. J'avais eu la chance de trouver un confortable fauteuil en cuir (ou imitation, mais très bien imité quand même) à 55 € chez Office Dépôt il y a quelques années mais ce genre de promo est rare. En général, il faut compter pas loin du double. N'oublie pas, enfin, un tapis de sol en plastique. Même si tout cela fait monter la note, c'est un équipement que tu conserveras des années, plus longtemps encore que ta machine, probablement. Si tu ne veux pas te retrouver avec un stratifié complètement rayé ou, pire, avec une moquette complètement à refaire, c'est un investissement intéressant.
# Pourquoi faire ?
Posté par Obsidian . En réponse au journal Contre la phobie du root. Évalué à 10.
Je trouve l'argumentation biaisée. À la base, même s'il n'y a qu'un seul utilisateur sur la machine, « root », c'est : cet utilisateur + tout le reste. Il n'y a pas spécialement d'avantage à utiliser root plutôt que son propre compte en temps normal. Ensuite :
Ça permet aussi et surtout — entre autres choses — à n'importe qui d'ouvrir un port inférieur à 1024. N'importe quel script pourrait par exemple lancer un serveur web sur le port 80 d'une machine-zombie, par exemple.
Même chose : ça limite énormément la portée de ce que peut faire le programme, comme manipuler ou même bronsoniser les processus d'à côté. Au hasard, un httpd un peu chiant qui occuperait déjà le port 80. :-) Même le tableau au milieu de l'article est orienté : « Run installed programs : Root √ ; User : √ ». Ça, ce n'est pas un mal nécessaire, c'est le fonctionnement normal d'un système multitâches : c'est à cela qu'il sert, et ce n'est pas censé être une faille en soi.
Ça veut surtout dire que non seulement éviter d'utiliser root reste une évidence, mais que ce n'est pas suffisant : même en tant qu'utilisateur, il faut prendre des précautions. En tout cas si on est paranoïaque puisque dans le cas contraire, c'est toute cette discussion qui n'a plus d'objet. Et là, par contre : néant. On aurait aimé qu'il parle des principales techniques de compartimentage utilisées sous Unix, comme par exemple l'utilisation de pseudo-utilisateurs : les principaux services comme Apache, Postgresql et Mysql sont presque tous configurés aujourd'hui, pour utiliser le leur. En bossant sous root, il suffit d'un seul kill pour tous les mettre par terre ou corrompre leurs données. En utilisateur normal, sans le mot de passe, point de salut et celui-ci — contrairement à sudo — n'est pas saisi toutes les dix minutes ou stocké en clair à un endroit identique sur toutes les machines (enfin, en principe). Il n'est quand même pas difficile de configurer l'interface graphique de l'utilisateur débutant pour qu'elle lance par défaut un script externe avec l'identité d'un pseudo-utilisateur plutôt que celle de l'utilisateur en cas de doute. On aurait bien aimé également qu'il nous parle de chroot, qui permet de mettre en place relativement facilement un bac à sable pour lancer les applications potentiellement dangereuses.
D'autre part, root n'est pas seulement le vecteur préféré des agressions extérieures : c'est aussi le moyen de réparer son système quand le reste ne marche plus : par exemple, mkfs réserve par défaut 5 % d'espace pour root au moins sur la partition système. Son home dir se trouve également sur une partition distincte ou directement sur la partition système. Ça permet d'une part de se loguer quand on ne peut plus monter /home et de faire tourner le système quand un log fou a rempli sa partition. Bosser en root, c'est contourner volontairement tous les garde-fous mis en place par le système. Enfin, il y a le fait que root n'est un utilisateur normal et que bon nombre de contrôles sont faits directement au niveau du noyau pour savoir si l'uid en vigueur est ou non égale à zéro.
Ça avec le fait que dès que l'on déclara un second (vrai) utilisateur ou lorsque l'on travaillera sur un système centralisé, il faudra perdre toutes ces mauvaises habitudes acquises sans raison valable. Alors pourquoi faire ?
[^] # Re: Sauvegardes ?
Posté par Obsidian . En réponse au journal Contre la phobie du root. Évalué à 6.
Si tu essaies ça sur une Fedora récente, tu risques d'être déçu. :-)
[^] # Re: Sauvegardes ?
Posté par Obsidian . En réponse au journal Contre la phobie du root. Évalué à 10.
Une quoi ? :-)
[^] # Re: Vive la France !
Posté par Obsidian . En réponse à la dépêche Des Inspecteurs Généraux de l'Éducation Nationale en table ronde chez Microsoft. Évalué à 9.
Non. C'était dit avec légèreté mais c'est bien « censées », avec un C, que l'on attend ici.
→ Censé : dont on attend quelque chose de précis (et qui n'est pas toujours au rendez-vous) ;
→ Sensé : qui a du sens (par exemple : « des propos sensés »).
Qu'on fasse la faute, ce n'est pas bien grave, elle est extrêmement courante. Mais aller corriger une seconde fois un post pour la RÉTABLIR, cela nécessite de s'y pencher.