-Le script ci-dessous est-il correct pour securiser un serveur web ?
La non. Absolument pas pour un serveur _web_.
D'emblée tu autorises les ports en entrée:
21, 25, 53, 110, 2602; j'accepte le 443 est en bonus.
Pour sécuriser un serveur web, il n'y a pas 350 regles:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
(pas besoin du RELATED pour le serveur WEB, c'est utile pour des connexions comme le ftp).
Il doit y avoir moyen de blinder encore un peu plus en vérifiant vraiment quel paquet entre, mais c'est un bon début.
Pour l'ICMP, il y a plusieurs écoles. Sur mes machines, j'autorise, d'autres sont farouchement opposés; à toi de voir.
De manière globale, pour firewaller une machine de type _serveur_.
1. tu mets les trois règles de policy en DROP (attention à ne pas te couper l'herbe sous les pieds si tu es connecté en distant!!)
2. tu autorises en entrée vers le service que tu souhaites (par exemple tcp-80), puis le ESTABLISHED en sortie
3. si ta machine doit sortir, tu n'autorises que vers des IP connues! par exemple, uniquement vers les IP des DNS connus, genre:
iptables -A OUTPUT -p udp --dport 53 -d -j ACCEPT
iptables -A INPUT -p udp --sport 53 -s -j ACCEPT
4. N'autoriser que le ssh comme protocole de gestion de machine. On peut changer de port, ca evitera aux logs d'etre pourris de portscan et de brute force (quoique...) mais l'idee c'est de ne faire que du ssh pour administrer la machine (le ftp est a bannir, utilisez sftp / scp)
Et surtout rien de plus.
Ensuite, pour tes questions:
Pourquoi pour un serveur web autoriser du ftp, du smtp, du pop3?
Je n'ai aucun probleme pour lire les videos de youtube sans flash.
youtube-dl d'une part, puis mplayer d'autre part, et hop. Je suis effectivement sur une plateforme x86-32, quelqu'un peut il confirmer que la conjonction de ces deux outils permettent de télécharger et lire du .flv sur du x86-64 et/ou du PPC, sparc etc..
Et pour une petite propagande logiciel libre, j'ai remarque qu'avec le plugin flash il m'est impossible de lire les videos: mon CPU (PII-266) rame beaucoup trop pour ne permettre que d'imaginer essayer de voir quelque chose. A l'opposé mplayer me les lit tous avec une fluidité sans égale.
Y a t'il reellement un plus par rapport a la cible CLUSTERIP d'iptables?
CLUSTERIP
This module allows you to configure a simple cluster of nodes that share a certain IP and MAC address without an explicit load balancer in front of them. Connections are statically distributed between the nodes in this cluster.
--new
Create a new ClusterIP. You always have to set this on the first rule for a given ClusterIP.
--hashmode mode
Specify the hashing mode. Has to be one of sourceip, sourceip-sourceport, sourceip-sourceport-destport
--clustermac mac
Specify the ClusterIP MAC address. Has to be a link-layer multicast address
--total-nodes num
Number of total nodes within this cluster.
--local-node num
Local node number within this cluster.
--hash-init rnd
Specify the random seed used for hash initialization.
Bon, je vais me faire moisser, mais là faut que ça sorte.
moi aussi, mais je trouve que deblaterer betement comme ca n'amene rien de bon. On croirait un windowsien tentant de convaincre que linux c'est de la bouse.
J'en ai marre de voir tous ces clowns qui viennent pourrir les dépêches sur Debian/Mandriva/Fedora pour dire que Ubuntucestlameilleuredistro TM.
Elle est terriblement mauvaise.
et avant ca, c'etait tous les clowns qui installaient des mandrake. So what? Si tu veux du barbu geek techno-integristes va chez des systemes comme hurd, ou visopsys http://visopsys.org/, c'est opensource aussi, le developpeur est super sympa (il a repondu a mes mails et a fait en sorte que visopsys fonctionne sous qemu et il recherche de l'aide).
Putain, c'est quoi cette idée d'installer sudo par défaut, et sans limitation? Un simple utilisateur peut planter tout le système, il n'y a plus de distinction user/root.
mac OS a la meme idee, et honnetement, je pense qu'elle est plus maligne qu'on y pense. La distinction user/root est la, et un mot de passe (pour le sudo) ou deux mots de passe (un user et un pour root) ne fait de differences pour un user devant son PC. S'il veut casser sa glibc il fera aussi bien en passant root avec un mot de passe root qu'avec sudo.
Bon. Une faille de securite. On reparle du telnet sur solaris qui te rend root? Quelle distro utilise tu, et de quand date sa derniere faille de securite (en plus je suis peinard, car meme si tu es sous openBSD il ya eu une faille recente)
Ensuite: je l'ai fait essayer une fois à un ami, ça a été très drôle. Ces cons n'avaient pas mis la ligne "auto ethx" dans /etc/network/interfaces: résultat, pas d'internet. J'ai eu l'air malin quand j'a essayé d'expliquer qu'Ubuntu c'était l'une des distros les plus user-friendly.
Ah ca, l'exemple du cas particulier qui invalide toute la distro. J'ai eu windows qui lors de l'install, apres formatage d'un dur me signale qu'il n'y a pas de disque (tres fort!), etc, etc.. A chaque fois qu'un gus n'aime pas un programme/systeme/distro/OS il faut qu'il sorte que chez son beaufrere, ca s'est vautre lamentablement pour que tout le monde soit convaincu que oui, c'est une bouse qui se vautre _toujours_ dans tous les cas chez tout le monde.
C'est instable. Ouais, je suis désolé, ils incluent des paquets tellements récents que c'en est ridicule. Faut vraiment être dingue pour installer ça en production, j'ai plus confiance en une Debian experimentale.
oui, mais bof. On installe pas une ubuntu sur un serveur en prod, on installe une ubuntu chez le voisin pour qu'il arrete de nous appeler pour remonter son windows qui a (encore une fois) crashe. J'ai fait ca chez pas mal de gens, depuis j'ai une paix royale! Chez soi, on met une slackware parceque ca rocks. On boulot, on se bat pour que ses idees soit acceptees (puis on met une redhat a regret a cause d'un imperatif de la direction :-/ )
C'est moche. Ouais je suis désolé, ce thème Benetton tout marron, c'est vraiment gerbant. C'est vrai, rien qu'à voir les screenshots je n'ai pas envie de la télécharger tellement c'est hideux, j'ai peur que mon graveur de cd me recrache la galette.
c'est peut etre le seul argument qui me paraisse valide :)
La philosophie est douteuse: c'est quoi l'histoire, Ubuntu c'est un moyen de promouvoir l'amitié entre les peuples? C'est une distro anti-apartheid? Sérieux, faut arrêter de déconner, c'est pas parce qu'on est libriste qu'on est baba-anarcho-communiste-pré-pubère.
C'est gratuit, ca marche.
C'est suffisant comme argument pour mon voisin, et en plus il peut s'en servir lui meme sans m'appeler tous les 4 matins.
Enfin, c'est néfaste pour le logiciel libre.
Bah ouais, qui va utiliser Mandriva et Fedora, hein? Ou même Debian, qui s'est fait pomper des développeurs, parce que c'est cool, chez Ubuntu y'a le père Noël Shuttleworth qui sponsorise tout ça. Les améliorations ne profitent quasiment pas à Debian, et pas à grand monde en fait.
Au lieu de lacher $10M pour une énième distro qui n'apporte rien, il aurait pu payer des développeurs du noyau, ou de gcc, ou de kde.
Cette distro amene un bon souffle de renouveau. On barbotait avant. La debian pour les barbus en mode texte, la slack idem, la mandrake pour l'installeur graphique, la redhat pour les decideurs presses. Mamma, depuis l'arrivee d'ubuntu, on voit des installeurs graphiques chez debian, des packageurs piques au vif pour faire mieux, une grande masse d'utilisateurs (dans le tas il y en aura bien de plus en plus qui vont remonter des bugs) etc, etc..
Je trouve qu'il y a du positif.
En plus, ils font tout pour simplifier l'installation de logiciels non-libres, ainsi que firmwares et pilotes.
Prenons l'opposé de ton argument. Faut il rendre l'installation de logiciels non libres (et firmware et pilotes) tres difficiles?
Il se trouvera toujours quelqu'un pour trouver une methode simple pour le faire. Linus ne fait rien pour simplifier le travail des developpeurs de modules non libres, mais des gens ont sorti dkms.
Faut il le rendre impossible? Et comment?
J'ai confiance dans le logiciel libre pour sortir des versions libres de logiciels proprios.
>Mais j'accord qu'avec firefox c'est l'horreur pour aller chercher un programme dans le /usr/bin ...
J'ai créé un répertoire /applications qui contient a l'interieur des liens vers les applis que j'utilise (xpdf, oowriter, mplayer, etc..)
Dans gtk-bookmarks j'ai ajoute /applications.
Et en deux clics je peux ouvrir l'appli qui m'interesse.
>Les constructeurs pourrait proposer un CD qui permet de vérifier que le hardware marche.
C'est ce que fait apple avec son CD apple hardware test. Tres bien fichu. Et ca permet d'arriver en force chez le revendeur: telle partie de ma machine ne marche pas, c'est diagnostique par le CD apple (ca m'a servi pour une barrette memoire HS sous garantie)
>Un des gros gros gros problème de Linux, c'est la standardisation (et ne parlons même pas des drivers).
Ne conservons que les modules noyaux libres. Ca marche.
> Quel éditeur serait assez "fou" de proposer un programme qui marche sur toutes les distributions ?
au hasard : vmware? Ou alors, freshmeat.net qui dispose de pas mal de trucs.
certes. Mais comme je disais, c'etait des utilisateurs bureautiques, donc la question ne s'est pas posee.
Certains utilisaient deja firefox, d'autre thunderbird.
Open Office, certain connaissaient aussi. Donc ca c'est passe dans la douceur.
Je viens de faire des migrations de windows vers linux. Utilisateurs bureautiques, web et mail. Le cas ideal, quoi.
Les format de fichiers, etc.. Les utilisateurs s'en fichent et n'en ont meme pas conscience. Par contre, jamais n'a ete evoque le mot "linux", on parle de "nouveau poste de travail".
Pour migrer les utilisateurs, il faut un changement de materiels: la plus grosse satisfaction vient des ecrans plats (!!!).
Il faut un rendu visuel correct: les utilisateurs ont tenus a conserver leur photo de fond d'ecran (tres important, ca), et ne pas leur filer un poste mal fichu (en l'occurence, c'est un KDE beaucoup remanie dans le menu K, avec un theme un peu mac OS X).
Pour les applis, c'est simple: c'est un environnement de travail, ils n'ont pas a installer d'applis, ou il faut en faire la demande a la direction informatique. Firefox est donne avec toutes les extensions qui vont bien (flash, ooplugin, etc..), thunderbird pour la messagerie.
Au final, les utilisateurs sont tres contents, et la migration s'est passee sans heurts aucuns. Une presentation d'une journee a ete faite pour l'ensemble des personnes, plus une heure d'accompagnement pour la migration des donnees. Et les gens travaillent comme avant. En plus certains sont tout contents d'apprehender un nouveau systeme, les menus d'openoffice, etc..
Autant pour un gars seul chez lui je comprends qu'il ait des reticences a utiliser linux, autant dans un cadre professionnel, tous les arguments tombent: le DVD ne se lit pas? C'est normal, c'est un poste de _travail_, pas de multimedia. Le poste est plante? Allo l'informatique. Pas de virus, pas de spyware, pas de licences, mais qu'attendent les boites a basculer leurs postes sous linux?
si l'on fait le sertissage soi meme, faire tres attention aux normes et au passage des cables! Un truc fait n'importe comment (sans respecter l'ordre des paires torsadees par exemple) peut passer sur deux ou trois metre. Autre chose: bien faire attention de l'endroit ou passe le cable, a ne pas faire longer des cables electriques, surtout des grandes distances.
Une fois que tu as boote xen et ton dom0, tu as deux possibilites:
1. Lancer un domU qui necessite donc un noyau patche (linux, netBSD, etc..)
2. Lancer HVM qui va demarrer un systeme natif. Il emule un BIOS, une carte video, etc.. Tu accedes a l'affichage soit en direct, soit via vnc (enfin c'est theorique car je ne l'ai jamais eu).
Le 1., n'importe quelle machine peut le faire (tant qu'on peut booter un dom0 dessus).
Pour le 2. il faut donc un CPU recent (intel VT ou AMD pacifica) et la carte mere, le BIOS etc.. kivonbien.
Xen, c'est tres interessant, mais c'est amha loin d'etre fini.
Les +:
-une install simplifiee (make world && make install).
-un support reseau pratique (enfin un bridging facile a mettre en place, que ceux qui ont galere avec qemu me jettent la premiere pierre)
-un support de virtualisation hardware complet (chez moi, ca n'a jamais marche, Xeon trop vieux..). La machine emulee ressemble ensuite a un qemu (carte graphique, tout ca). [ note: je n'ai pas non plus trouve de doc pour savoir quelles machines supportent la virtualisation ou pas. Il faut une combinaison CPU+carte mere+BIOS a priori. Dans tous les cas, et pour intel, si un cat /proc/cpuinfo n'affiche pas vmx dans les Flags, c'est mort. ]
Les -:
-extremement difficile de savoir vraiment ce que l'on compile.. un make world, OK, mais qu'est ce qui se passe dessous? Le xen.gz, il est attache a un noyau particulier, ou il fonctionne a tous les coups? etc, etc..
-comment utiliser un noyau 2.6.x ? Le make world telecharge des sources precises du noyau, mais pas forcement celles que l'on souhaite... Et ensuite, comment modifier les options du noyau compile par xen? [hint: apres le make world, faire make linux-2.6-xen-config CONFIGMODE=menuconfig, puis make dist et aller chercher ce qu'il faut a la main ensuite ]
-la doc pas a jour. On parle de dom0 et domU, mais aujourd'hui un make world ne compile qu'un seul noyau. (et il faut plonger dans les mailings listes pour comprendre que ce noyau est aussi bien dom0 que domU...)
-pas super stable encore. Avec des Xeon recents 64 bits, j'ai avec beaucoup de peine reussi a booter le dom0 et tous les domU crashent instantanement.
-Dans le cas d'un systeme domU non virtualise, l'installation est difficile. Meme la doc conseille d'installer un systeme dans qemu puis de s'en servir ensuite sous Xen
Enfin vla. Avec pas mal de mauvaise foi, moi j'appelerai non pas ca Xen 3.0.3, mais Xen 0.3.0.3.
Je deconseillerai swaret pour la mise a jour: il upgrade par ordre alphabetique et ca risque de casser des trucs lors de l'upgrade de la glibc.
donc: swaret --upgrade glibc
puis le reste
En gardant le CD de boot sous la main pour reparer s'il y a des betises. Enfin, bien lire le upgrade tips dans tout les cas.
pour gnome, il existe plusieurs sites qui le proposent sous forme de paquet slack habituels, avec une intrusion minimale dans le reste de la distro, par exemple: http://gsb.freerock.org
> existe-il une doc, un outil, une incantation magique
> qui me permettrait de remapper les caracteres []{}
> etc. sur une autre combinaison de touches que AltGr ?
putty
ssh <IP> du vmware, et hop.
Xming
depuis le vmware, export DISPLAY=<ip du win>:0
xterm &
Il me semble que sur la page du projet de distcc le gars conseille d'une part de mettre un flag -j n avec n legerement superieur au nombre de CPU dont tu disposes (machine locale + distantes) et qu'a plus de 3 machines la courbe d'efficacité redescend.
Genre, j'ai un monopro, en distant il y a un bipro et un autre monopro, je vais compiler avec du make -j 5 ou 6.
Et le frontend graphique avec les petites courbes qui avancent, ca c'est vraiment un truc sympa.
Le probleme, c'est effectivement la latence reseau. On peut tester avec netPipe pour mesurer ces latences.
# Plusieurs réponses:
Posté par octane . En réponse au message Iptables sur serveur web. Évalué à 0.
La non. Absolument pas pour un serveur _web_.
D'emblée tu autorises les ports en entrée:
21, 25, 53, 110, 2602; j'accepte le 443 est en bonus.
Pour sécuriser un serveur web, il n'y a pas 350 regles:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
(pas besoin du RELATED pour le serveur WEB, c'est utile pour des connexions comme le ftp).
Il doit y avoir moyen de blinder encore un peu plus en vérifiant vraiment quel paquet entre, mais c'est un bon début.
Pour l'ICMP, il y a plusieurs écoles. Sur mes machines, j'autorise, d'autres sont farouchement opposés; à toi de voir.
De manière globale, pour firewaller une machine de type _serveur_.
1. tu mets les trois règles de policy en DROP (attention à ne pas te couper l'herbe sous les pieds si tu es connecté en distant!!)
2. tu autorises en entrée vers le service que tu souhaites (par exemple tcp-80), puis le ESTABLISHED en sortie
3. si ta machine doit sortir, tu n'autorises que vers des IP connues! par exemple, uniquement vers les IP des DNS connus, genre:
iptables -A OUTPUT -p udp --dport 53 -d -j ACCEPT
iptables -A INPUT -p udp --sport 53 -s -j ACCEPT
4. N'autoriser que le ssh comme protocole de gestion de machine. On peut changer de port, ca evitera aux logs d'etre pourris de portscan et de brute force (quoique...) mais l'idee c'est de ne faire que du ssh pour administrer la machine (le ftp est a bannir, utilisez sftp / scp)
Et surtout rien de plus.
Ensuite, pour tes questions:
Pourquoi pour un serveur web autoriser du ftp, du smtp, du pop3?
# Lire librement des videos.
Posté par octane . En réponse au message excès de vitesse : flashera, flashera pas .... Évalué à 2.
youtube-dl d'une part, puis mplayer d'autre part, et hop. Je suis effectivement sur une plateforme x86-32, quelqu'un peut il confirmer que la conjonction de ces deux outils permettent de télécharger et lire du .flv sur du x86-64 et/ou du PPC, sparc etc..
Et pour une petite propagande logiciel libre, j'ai remarque qu'avec le plugin flash il m'est impossible de lire les videos: mon CPU (PII-266) rame beaucoup trop pour ne permettre que d'imaginer essayer de voir quelque chose. A l'opposé mplayer me les lit tous avec une fluidité sans égale.
[^] # Re: Exemple de ruleset domestique classique
Posté par octane . En réponse à la dépêche Sortie de OpenBSD 4.1. Évalué à 2.
CLUSTERIP
This module allows you to configure a simple cluster of nodes that share a certain IP and MAC address without an explicit load balancer in front of them. Connections are statically distributed between the nodes in this cluster.
--new
Create a new ClusterIP. You always have to set this on the first rule for a given ClusterIP.
--hashmode mode
Specify the hashing mode. Has to be one of sourceip, sourceip-sourceport, sourceip-sourceport-destport
--clustermac mac
Specify the ClusterIP MAC address. Has to be a link-layer multicast address
--total-nodes num
Number of total nodes within this cluster.
--local-node num
Local node number within this cluster.
--hash-init rnd
Specify the random seed used for hash initialization.
et une petite doc avec des avertissements interessants concernant certaines limites inherentes au load balancing : http://iptables-tutorial.frozentux.net/iptables-tutorial.htm(...)
[^] # Re: Kernel 2.6.20 AUX CHIOTTES
Posté par octane . En réponse à la dépêche Le noyau Linux 2.6.21 est disponible. Évalué à 10.
moi aussi, mais je trouve que deblaterer betement comme ca n'amene rien de bon. On croirait un windowsien tentant de convaincre que linux c'est de la bouse.
J'en ai marre de voir tous ces clowns qui viennent pourrir les dépêches sur Debian/Mandriva/Fedora pour dire que Ubuntucestlameilleuredistro TM.
Elle est terriblement mauvaise.
et avant ca, c'etait tous les clowns qui installaient des mandrake. So what? Si tu veux du barbu geek techno-integristes va chez des systemes comme hurd, ou visopsys http://visopsys.org/, c'est opensource aussi, le developpeur est super sympa (il a repondu a mes mails et a fait en sorte que visopsys fonctionne sous qemu et il recherche de l'aide).
Putain, c'est quoi cette idée d'installer sudo par défaut, et sans limitation? Un simple utilisateur peut planter tout le système, il n'y a plus de distinction user/root.
mac OS a la meme idee, et honnetement, je pense qu'elle est plus maligne qu'on y pense. La distinction user/root est la, et un mot de passe (pour le sudo) ou deux mots de passe (un user et un pour root) ne fait de differences pour un user devant son PC. S'il veut casser sa glibc il fera aussi bien en passant root avec un mot de passe root qu'avec sudo.
Ah, elle m'a bien fait rire aussi celle là:
http://linuxfr.org/2006/03/13/20494.html
Bon. Une faille de securite. On reparle du telnet sur solaris qui te rend root? Quelle distro utilise tu, et de quand date sa derniere faille de securite (en plus je suis peinard, car meme si tu es sous openBSD il ya eu une faille recente)
Ensuite: je l'ai fait essayer une fois à un ami, ça a été très drôle. Ces cons n'avaient pas mis la ligne "auto ethx" dans /etc/network/interfaces: résultat, pas d'internet. J'ai eu l'air malin quand j'a essayé d'expliquer qu'Ubuntu c'était l'une des distros les plus user-friendly.
Ah ca, l'exemple du cas particulier qui invalide toute la distro. J'ai eu windows qui lors de l'install, apres formatage d'un dur me signale qu'il n'y a pas de disque (tres fort!), etc, etc.. A chaque fois qu'un gus n'aime pas un programme/systeme/distro/OS il faut qu'il sorte que chez son beaufrere, ca s'est vautre lamentablement pour que tout le monde soit convaincu que oui, c'est une bouse qui se vautre _toujours_ dans tous les cas chez tout le monde.
C'est instable. Ouais, je suis désolé, ils incluent des paquets tellements récents que c'en est ridicule. Faut vraiment être dingue pour installer ça en production, j'ai plus confiance en une Debian experimentale.
oui, mais bof. On installe pas une ubuntu sur un serveur en prod, on installe une ubuntu chez le voisin pour qu'il arrete de nous appeler pour remonter son windows qui a (encore une fois) crashe. J'ai fait ca chez pas mal de gens, depuis j'ai une paix royale! Chez soi, on met une slackware parceque ca rocks. On boulot, on se bat pour que ses idees soit acceptees (puis on met une redhat a regret a cause d'un imperatif de la direction :-/ )
C'est moche. Ouais je suis désolé, ce thème Benetton tout marron, c'est vraiment gerbant. C'est vrai, rien qu'à voir les screenshots je n'ai pas envie de la télécharger tellement c'est hideux, j'ai peur que mon graveur de cd me recrache la galette.
c'est peut etre le seul argument qui me paraisse valide :)
La philosophie est douteuse: c'est quoi l'histoire, Ubuntu c'est un moyen de promouvoir l'amitié entre les peuples? C'est une distro anti-apartheid? Sérieux, faut arrêter de déconner, c'est pas parce qu'on est libriste qu'on est baba-anarcho-communiste-pré-pubère.
C'est gratuit, ca marche.
C'est suffisant comme argument pour mon voisin, et en plus il peut s'en servir lui meme sans m'appeler tous les 4 matins.
Enfin, c'est néfaste pour le logiciel libre.
Bah ouais, qui va utiliser Mandriva et Fedora, hein? Ou même Debian, qui s'est fait pomper des développeurs, parce que c'est cool, chez Ubuntu y'a le père Noël Shuttleworth qui sponsorise tout ça. Les améliorations ne profitent quasiment pas à Debian, et pas à grand monde en fait.
Au lieu de lacher $10M pour une énième distro qui n'apporte rien, il aurait pu payer des développeurs du noyau, ou de gcc, ou de kde.
Cette distro amene un bon souffle de renouveau. On barbotait avant. La debian pour les barbus en mode texte, la slack idem, la mandrake pour l'installeur graphique, la redhat pour les decideurs presses. Mamma, depuis l'arrivee d'ubuntu, on voit des installeurs graphiques chez debian, des packageurs piques au vif pour faire mieux, une grande masse d'utilisateurs (dans le tas il y en aura bien de plus en plus qui vont remonter des bugs) etc, etc..
Je trouve qu'il y a du positif.
En plus, ils font tout pour simplifier l'installation de logiciels non-libres, ainsi que firmwares et pilotes.
Prenons l'opposé de ton argument. Faut il rendre l'installation de logiciels non libres (et firmware et pilotes) tres difficiles?
Il se trouvera toujours quelqu'un pour trouver une methode simple pour le faire. Linus ne fait rien pour simplifier le travail des developpeurs de modules non libres, mais des gens ont sorti dkms.
Faut il le rendre impossible? Et comment?
J'ai confiance dans le logiciel libre pour sortir des versions libres de logiciels proprios.
[^] # Re: Rigolo
Posté par octane . En réponse au journal Parodies des pubs Mac par Novell.... Évalué à 8.
J'ai créé un répertoire /applications qui contient a l'interieur des liens vers les applis que j'utilise (xpdf, oowriter, mplayer, etc..)
Dans gtk-bookmarks j'ai ajoute /applications.
Et en deux clics je peux ouvrir l'appli qui m'interesse.
[^] # Re: Re:
Posté par octane . En réponse à la dépêche Pré-installer Linux chez Dell (et ailleurs) : l'avis de Mark Shuttleworth d'Ubuntu. Évalué à 4.
C'est ce que fait apple avec son CD apple hardware test. Tres bien fichu. Et ca permet d'arriver en force chez le revendeur: telle partie de ma machine ne marche pas, c'est diagnostique par le CD apple (ca m'a servi pour une barrette memoire HS sous garantie)
>Un des gros gros gros problème de Linux, c'est la standardisation (et ne parlons même pas des drivers).
Ne conservons que les modules noyaux libres. Ca marche.
> Quel éditeur serait assez "fou" de proposer un programme qui marche sur toutes les distributions ?
au hasard : vmware? Ou alors, freshmeat.net qui dispose de pas mal de trucs.
# infos complementaires
Posté par octane . En réponse à la dépêche Pétition sur le vote électronique. Évalué à 8.
http://sid.rstack.org/blog/index.php/2007/01/29/164-vote-ele(...)
http://sid.rstack.org/blog/index.php/2007/01/21/121-big-brot(...)
avec beaucoup d'autres liens fournis sur l'insecurite de ces boites noires...
# Quelques infos sur la securite des votes electroniques
Posté par octane . En réponse au journal Vote électronique obligatoire pour les présidentielles. Évalué à 1.
http://sid.rstack.org/blog/index.php/2007/01/21/121-big-brot(...)
et
http://sid.rstack.org/blog/index.php/2007/01/29/164-vote-ele(...)
ils sont bien ecrits et remplis de liens pour ceux qui sont interesses par la problematique du vote lectronique.
[^] # Re: ça peut être très bon ... ou très mauvais
Posté par octane . En réponse au journal Tux à l'assemblée !. Évalué à 1.
Certains utilisaient deja firefox, d'autre thunderbird.
Open Office, certain connaissaient aussi. Donc ca c'est passe dans la douceur.
[^] # Re: ça peut être très bon ... ou très mauvais
Posté par octane . En réponse au journal Tux à l'assemblée !. Évalué à 7.
Les format de fichiers, etc.. Les utilisateurs s'en fichent et n'en ont meme pas conscience. Par contre, jamais n'a ete evoque le mot "linux", on parle de "nouveau poste de travail".
Pour migrer les utilisateurs, il faut un changement de materiels: la plus grosse satisfaction vient des ecrans plats (!!!).
Il faut un rendu visuel correct: les utilisateurs ont tenus a conserver leur photo de fond d'ecran (tres important, ca), et ne pas leur filer un poste mal fichu (en l'occurence, c'est un KDE beaucoup remanie dans le menu K, avec un theme un peu mac OS X).
Pour les applis, c'est simple: c'est un environnement de travail, ils n'ont pas a installer d'applis, ou il faut en faire la demande a la direction informatique. Firefox est donne avec toutes les extensions qui vont bien (flash, ooplugin, etc..), thunderbird pour la messagerie.
Au final, les utilisateurs sont tres contents, et la migration s'est passee sans heurts aucuns. Une presentation d'une journee a ete faite pour l'ensemble des personnes, plus une heure d'accompagnement pour la migration des donnees. Et les gens travaillent comme avant. En plus certains sont tout contents d'apprehender un nouveau systeme, les menus d'openoffice, etc..
Autant pour un gars seul chez lui je comprends qu'il ait des reticences a utiliser linux, autant dans un cadre professionnel, tous les arguments tombent: le DVD ne se lit pas? C'est normal, c'est un poste de _travail_, pas de multimedia. Le poste est plante? Allo l'informatique. Pas de virus, pas de spyware, pas de licences, mais qu'attendent les boites a basculer leurs postes sous linux?
# Re: longueur max pour cable ethernet ?
Posté par octane . En réponse au message longueur max pour cable ethernet ?. Évalué à 3.
Quelques pieges a eviter:
si l'on fait le sertissage soi meme, faire tres attention aux normes et au passage des cables! Un truc fait n'importe comment (sans respecter l'ordre des paires torsadees par exemple) peut passer sur deux ou trois metre. Autre chose: bien faire attention de l'endroit ou passe le cable, a ne pas faire longer des cables electriques, surtout des grandes distances.
[^] # Re: Lien entre OS et processeur
Posté par octane . En réponse à la dépêche Xen 3.0.3 virtualise sans modification l'OS invité. Évalué à 4.
1. Lancer un domU qui necessite donc un noyau patche (linux, netBSD, etc..)
2. Lancer HVM qui va demarrer un systeme natif. Il emule un BIOS, une carte video, etc.. Tu accedes a l'affichage soit en direct, soit via vnc (enfin c'est theorique car je ne l'ai jamais eu).
Le 1., n'importe quelle machine peut le faire (tant qu'on peut booter un dom0 dessus).
Pour le 2. il faut donc un CPU recent (intel VT ou AMD pacifica) et la carte mere, le BIOS etc.. kivonbien.
Sinon, a part ca, xen, c'est bien.
# Xen, oui, mais faut voir, quoi..
Posté par octane . En réponse à la dépêche Xen 3.0.3 virtualise sans modification l'OS invité. Évalué à 5.
Les +:
-une install simplifiee (make world && make install).
-un support reseau pratique (enfin un bridging facile a mettre en place, que ceux qui ont galere avec qemu me jettent la premiere pierre)
-un support de virtualisation hardware complet (chez moi, ca n'a jamais marche, Xeon trop vieux..). La machine emulee ressemble ensuite a un qemu (carte graphique, tout ca). [ note: je n'ai pas non plus trouve de doc pour savoir quelles machines supportent la virtualisation ou pas. Il faut une combinaison CPU+carte mere+BIOS a priori. Dans tous les cas, et pour intel, si un cat /proc/cpuinfo n'affiche pas vmx dans les Flags, c'est mort. ]
Les -:
-extremement difficile de savoir vraiment ce que l'on compile.. un make world, OK, mais qu'est ce qui se passe dessous? Le xen.gz, il est attache a un noyau particulier, ou il fonctionne a tous les coups? etc, etc..
-comment utiliser un noyau 2.6.x ? Le make world telecharge des sources precises du noyau, mais pas forcement celles que l'on souhaite... Et ensuite, comment modifier les options du noyau compile par xen? [hint: apres le make world, faire make linux-2.6-xen-config CONFIGMODE=menuconfig, puis make dist et aller chercher ce qu'il faut a la main ensuite ]
-la doc pas a jour. On parle de dom0 et domU, mais aujourd'hui un make world ne compile qu'un seul noyau. (et il faut plonger dans les mailings listes pour comprendre que ce noyau est aussi bien dom0 que domU...)
-pas super stable encore. Avec des Xeon recents 64 bits, j'ai avec beaucoup de peine reussi a booter le dom0 et tous les domU crashent instantanement.
-Dans le cas d'un systeme domU non virtualise, l'installation est difficile. Meme la doc conseille d'installer un systeme dans qemu puis de s'en servir ensuite sous Xen
Enfin vla. Avec pas mal de mauvaise foi, moi j'appelerai non pas ca Xen 3.0.3, mais Xen 0.3.0.3.
[^] # Re: Pour mettre à jour
Posté par octane . En réponse à la dépêche Linux Slackware 11.0 est disponible. Évalué à 3.
donc: swaret --upgrade glibc
puis le reste
En gardant le CD de boot sous la main pour reparer s'il y a des betises. Enfin, bien lire le upgrade tips dans tout les cas.
pour gnome, il existe plusieurs sites qui le proposent sous forme de paquet slack habituels, avec une intrusion minimale dans le reste de la distro, par exemple:
http://gsb.freerock.org
[^] # Re: Puisqu'on parle de AltGr...
Posté par octane . En réponse à la dépêche [RFC] Évolution du clavier « fr-latin9 ». Évalué à 2.
> qui me permettrait de remapper les caracteres []{}
> etc. sur une autre combinaison de touches que AltGr ?
putty
ssh <IP> du vmware, et hop.
Xming
depuis le vmware, export DISPLAY=<ip du win>:0
xterm &
vnc
depuis le win:
vncviewer <IP du vmware>
etc, etc..
[^] # Re: distcc pas toujours avantageux
Posté par octane . En réponse à la dépêche Compilation distribuée avec distcc / dmucs. Évalué à 2.
Genre, j'ai un monopro, en distant il y a un bipro et un autre monopro, je vais compiler avec du make -j 5 ou 6.
Et le frontend graphique avec les petites courbes qui avancent, ca c'est vraiment un truc sympa.
Le probleme, c'est effectivement la latence reseau. On peut tester avec netPipe pour mesurer ces latences.