D'autant plus qu'il me semble qu'il est possible que l'heure d'un système informatique "saute" de quelques secondes (ou revienne un peu en arrière) pour une raison ou pour une autre.
Ben non l'horloge est ajustée en l'accélerant ou en la ralentissant, mais il faut éviter les sautes brusques. Y'a des logiciels qu'ont horreur de ça (par exemple make dans le cas d'un retour dans le temps)
Si je comprend bien, c'est pas vraiment juste changer le TTL de la zone, mais plus changer le MX primaire "à l'arrache".
Excuse moi, mais je trouve que c'est sale.
C'est simple et ça fait le job: stocker les mails en attendant d'avoir réparé. C'est pas plus sale qu'un MX backup.
(je dis ça…)
Un MX secondaire c'est aussi des emmerdes. Il est indispensable de synchroniser sur le backup les recipients autorisés (pour éviter de backscatter ce qui est très MAL) et peu de service backup le propose.
Sur un auto herbergement je préferais un MX en secours chez un pote (inactif) qu'on active à la main (en jouant sur les DNS) quand y'a un gros problème.
Ça fait belle lurette que je n'ai plus ni ne sert de backup.
En fait la principale question que je me pose est : pourquoi ajouter un nouveau shell avec la syntaxe d'un produit propriétaire sur un linux ?
Surtout que le cli cisco, c'est un peu ce que cmd.exe est à un shell unix.
Je ne vois pas l'avantage de cela par rapport à l'édition d'un fichier de conf. J'ai un peu pratiqué quagga pour du BGP avec son mode cli, c'est juste l'enfer. Je garde mon baril d'openbgpd et sa syntaxe claire.
Je sais que ce commentaire est un peu négatif mais si tu es capable de répondre à toute ces intérogations en gardant ton entousiasme alors je te dirai : vas y fonce et code un truc bien !
pour "l'équivalent" selinux, tu as systrace sous OpenBSD.
Plus personne ne prend systrace pour un outil de sécurité depuis que Robert Watson a montré que les wrappers d'appels systèmes sont faciles à contourner.
Ça permettait de rajouter des objets dans les règles au meilleur endroit plutôt que de recréer une règle supplémentaire. Le code (Perl) est malheureusement resté dans la boîte pour laquelle je bossais à l'époque. Le seul soft que j'avais trouvé et qui faisait de l'analyse sur les règles était celui d'algosec. Entre temps, il semble que d'autres soient arrivés sur ce créneau comme niiconsulting
J'avais regardé pour faire de l'analyse des règles, ce serait intéressant mais je ne pense pas avoir le temps de jamais m'y pencher.
L'approche utilisée par l'appli est justement de ne pas analyser les règles, c'est complètement de la responsabilité de l'équipement émulé de se démerder, comme sur un vrai réseau ; ce qui fait que c'est très souple pour l'ajout d'équipement puisqu'il n'y a pas de prérequis. D'un autre coté ça ne facilite pas l'analyse à un niveau plus élevé.
l'idée : pouvoir via une interface web le mettre à dispo de correspondants pas forcément spécialistes du réseaux mais qui ont effectivement besoin de savoir que le port p est ouvert entre 2 machines qu'ils administrent sans téléphoner aux admins réseaux.
On est intéressé ! On a le même besoin vis à vis de nos correspondants. L'outil n'est pas fait pour être mis dans les mains d'un utilisateur lamba et on a renoncé à ça (pas le temps). Mais ce serait utile.
N'hésitez pas à me contacter en privé si ça peut aider.
Perso mon prochain projet et d'effectuer un suivi administratif des règles et je compte pas mal sur l'outil comme vérificateur. Mais rien n'est encore fait, d'ailleurs si des gens ont bossé là dessus ou ont des pointeurs je prends.
Oui, ce serait dommage qu'un outil commencé en 2010 ne prenne pas ça en compte. Pour l'appli une adresse IP est un nombre avec un préfixe réseau (ie y'a pas de vraiment de différence entre une adresse IPv6 et IPv4, ou une adresse et un réseau, hormis les fourchettes acceptables).
Le moteur fonctionne avec l'ipv6, pour les équipements il y a quelques règles IPV6 prisent en compte pour les Cisco, Packet Filter devrait être OK en très grande partie.
Ceci dit comme on ne fait pas tellement d'IPv6, je n'ai pas trop testé ça et il y a sûrement quelques bugs. Ça n'empèche qu'on y échappera pas (à l'ipv6), alors pas de soucis pour corriger les pb à ce niveau.
# xmodmap
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal Pourquoi Linux est-il si méchant avec les claviers Apple ?. Évalué à 6.
xmodmap est ton ami.
J'ai cru comprendre que certains claviers Mac (sur Macbook ?) avaient effectivement la touche < sur le @
FreeBSD c'est pas trop ça non plus sur un Macbook pro : http://www.lamaiziere.net/mbp_freebsd.html
Le problème de clavier c'est de la rigolade…
les pixels au peuple !
# xfce
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal GNOME et la suppression progressive des fonctions. Évalué à 8.
Tout est dit… Cela étant, ça va être dur de supprimer des trucs de xfce, non ?
Ça fait juste le boulot.
les pixels au peuple !
[^] # Re: Récurent
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal Leap second. Évalué à 5.
Ben non l'horloge est ajustée en l'accélerant ou en la ralentissant, mais il faut éviter les sautes brusques. Y'a des logiciels qu'ont horreur de ça (par exemple make dans le cas d'un retour dans le temps)
les pixels au peuple !
[^] # Re: Ce que je constate
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal RFC 6647: Email Greylisting: An Applicability Statement for SMTP. Évalué à 1.
C'est simple et ça fait le job: stocker les mails en attendant d'avoir réparé. C'est pas plus sale qu'un MX backup.
(je dis ça…)
les pixels au peuple !
[^] # Re: Ce que je constate
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal RFC 6647: Email Greylisting: An Applicability Statement for SMTP. Évalué à 2.
Un MX secondaire c'est aussi des emmerdes. Il est indispensable de synchroniser sur le backup les recipients autorisés (pour éviter de backscatter ce qui est très MAL) et peu de service backup le propose.
Sur un auto herbergement je préferais un MX en secours chez un pote (inactif) qu'on active à la main (en jouant sur les DNS) quand y'a un gros problème.
Ça fait belle lurette que je n'ai plus ni ne sert de backup.
les pixels au peuple !
[^] # Re: Mais pourquoi faire ?
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal Sondage d'intérêt pour fwallsh. Évalué à 4.
Un ancrage (anchor), du mot ancre ! J'ai eu du mal à piger ce que tu voulais dire par encrage.
les pixels au peuple !
[^] # Re: Mais pourquoi faire ?
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal Sondage d'intérêt pour fwallsh. Évalué à 1.
Surtout que le cli cisco, c'est un peu ce que cmd.exe est à un shell unix.
Je ne vois pas l'avantage de cela par rapport à l'édition d'un fichier de conf. J'ai un peu pratiqué quagga pour du BGP avec son mode cli, c'est juste l'enfer. Je garde mon baril d'openbgpd et sa syntaxe claire.
Pas mieux, allez-y les gars.
les pixels au peuple !
# oui mais
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal Chez Chronopost, vos colis urgents arrivent dans 4/5 jours. Évalué à -3.
Kronenbourg à la poste, chronopost à la bourre !
Je dis ça je dis rien…
les pixels au peuple !
# sources ?
Posté par Patrick Lamaizière (site web personnel) . En réponse à la dépêche Sortie de la version 3.1 de ProfDepanne.. Évalué à 2.
J'ai pas trouvé les sources ?
les pixels au peuple !
# Backend X86
Posté par Patrick Lamaizière (site web personnel) . En réponse à la dépêche LLVM 3.1 et Conférence EURO-LLVM 2012. Évalué à 4.
Perso j'ai toujours mon problème que LLVM produit du code incompatible avec autre chose que cpu >= i686 pour de l'intel.
Savez-vous si c'est corrigé ?
http://llvm.org/bugs/show_bug.cgi?id=11212
les pixels au peuple !
[^] # Re: Ceci n'est pas un troll
Posté par Patrick Lamaizière (site web personnel) . En réponse à la dépêche Sortie d'OpenBSD 5.1 « Bug Busters ». Évalué à 4.
Plus personne ne prend systrace pour un outil de sécurité depuis que Robert Watson a montré que les wrappers d'appels systèmes sont faciles à contourner.
http://www.lightbluetouchpaper.org/2007/08/06/usenix-woot07-exploiting-concurrency-vulnerabilities-in-system-call-wrappers-and-the-evil-genius/
les pixels au peuple !
[^] # Re: Ceci n'est pas un troll
Posté par Patrick Lamaizière (site web personnel) . En réponse à la dépêche Sortie d'OpenBSD 5.1 « Bug Busters ». Évalué à 3.
Ben c'est que BSD is dying.
Ceci dit y'a pas mal de changements et d'améliorations quand on prend le changelog complet.
Si j'ai bien compris la philosophie d'Open, c'est de faire de petites améliorations en continue et pas des révolutions.
Perso j'attendais le support d'IPV6 par pflow(4) (netflow v9). Merci les gars !
les pixels au peuple !
[^] # Re: af-to & NAT64
Posté par Patrick Lamaizière (site web personnel) . En réponse à la dépêche Sortie d'OpenBSD 5.1 « Bug Busters ». Évalué à 7.
Et la présentation de Matthieu Herrb au Jres:
https://2011.jres.org/archives/57/index.htm
les pixels au peuple !
[^] # Re: code.google.com
Posté par Patrick Lamaizière (site web personnel) . En réponse au message quelle forge en ligne ?. Évalué à 2.
Ah ok, pas de forge alors ? J'ai un serveur dédié et l'hébergement n'est pas un problème. J'ai juste pas trop envie d'administrer ça.
Bon merci à tous pour vos réponses.
les pixels au peuple !
[^] # Re: http://savannah.gnu.org/
Posté par Patrick Lamaizière (site web personnel) . En réponse au message quelle forge en ligne ?. Évalué à 2.
Ouiap, ça va me couter 500 points de karma chez les bsdistes mangeurs d'enfants.
les pixels au peuple !
[^] # Re: code.google.com
Posté par Patrick Lamaizière (site web personnel) . En réponse au message quelle forge en ligne ?. Évalué à 2.
Étonnant non ?
J'avais vu pour tuxfamily mais ce n'est pas très clair s'ils hébergent une forge.
les pixels au peuple !
[^] # Re: et iptables ?...
Posté par Patrick Lamaizière (site web personnel) . En réponse à la dépêche less suitable for work (lsfw) : list firewall. Évalué à 4.
On n'utilise pas de Linux en pare-feu alors non ce n'est pas prévu. Les patchs (et les tests associés) qui vont bien sont bienvenus.
les pixels au peuple !
# lsfw = list firewall
Posté par Patrick Lamaizière (site web personnel) . En réponse à la dépêche less suitable for work (lsfw) : list firewall. Évalué à 8.
Bien sûr, lsfw est pour ls firewall (list firewall) et pas "less suitable for work".
On fait un journal et paf on se retrouve sous les feux des projecteurs à la une de linuxfr !
Merci !
les pixels au peuple !
[^] # Re: Souvenirs ...
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal less suitable for work (lsfw). Évalué à 2.
J'avais regardé pour faire de l'analyse des règles, ce serait intéressant mais je ne pense pas avoir le temps de jamais m'y pencher.
L'approche utilisée par l'appli est justement de ne pas analyser les règles, c'est complètement de la responsabilité de l'équipement émulé de se démerder, comme sur un vrai réseau ; ce qui fait que c'est très souple pour l'ajout d'équipement puisqu'il n'y a pas de prérequis. D'un autre coté ça ne facilite pas l'analyse à un niveau plus élevé.
les pixels au peuple !
[^] # Re: moi je trouve ça super
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal less suitable for work (lsfw). Évalué à 2.
Merci pour le soutien !
On est intéressé ! On a le même besoin vis à vis de nos correspondants. L'outil n'est pas fait pour être mis dans les mains d'un utilisateur lamba et on a renoncé à ça (pas le temps). Mais ce serait utile.
N'hésitez pas à me contacter en privé si ça peut aider.
Perso mon prochain projet et d'effectuer un suivi administratif des règles et je compte pas mal sur l'outil comme vérificateur. Mais rien n'est encore fait, d'ailleurs si des gens ont bossé là dessus ou ont des pointeurs je prends.
les pixels au peuple !
[^] # Re: Firewalking
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal less suitable for work (lsfw). Évalué à 2.
Oui, ce serait dommage qu'un outil commencé en 2010 ne prenne pas ça en compte. Pour l'appli une adresse IP est un nombre avec un préfixe réseau (ie y'a pas de vraiment de différence entre une adresse IPv6 et IPv4, ou une adresse et un réseau, hormis les fourchettes acceptables).
Le moteur fonctionne avec l'ipv6, pour les équipements il y a quelques règles IPV6 prisent en compte pour les Cisco, Packet Filter devrait être OK en très grande partie.
Ceci dit comme on ne fait pas tellement d'IPv6, je n'ai pas trop testé ça et il y a sûrement quelques bugs. Ça n'empèche qu'on y échappera pas (à l'ipv6), alors pas de soucis pour corriger les pb à ce niveau.
Je vais regarder firewalk, connaissais pas merci.
les pixels au peuple !
[^] # Re: toolbox
Posté par Patrick Lamaizière (site web personnel) . En réponse à la dépêche Sony : Ma propriété intellectuelle vaut plus que la vôtre. Évalué à 3.
Des fois on préfère des outils à la traine que se faire trainer devant les tribunaux...
les pixels au peuple !
[^] # Re: Vala ?
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal Votre langage idéal ?. Évalué à 2. Dernière modification le 30 janvier 2012 à 00:11.
C'est très limité le référence counting.
Perso ça m'inciterait plutôt à fuir ça...
Sérieusement quelle est la pérénité de Vala ? Ça m'a l'air porté par Gnome et c'est à peu prêt tout.
les pixels au peuple !
[^] # Re: et LSE
Posté par Patrick Lamaizière (site web personnel) . En réponse à la dépêche Linotte, la programmation en français en version 1.6. Évalué à 2.
Y'a vingt ans je faisais du LEM(*) sur un bidule comme ça : http://www.silicium.org/oldskool/france/sfena5_20.htm
Et en français ! C'est pas un truc que je regrette ceci dit.
(*) langage évolué pour la micro(mini?) informatique de mémoire.
les pixels au peuple !
# KDE plus obligé
Posté par Patrick Lamaizière (site web personnel) . En réponse au journal PC-BSD 9.0 est arrivé. Évalué à 5.
La grosse nouveauté c'est que KDE n'est plus obligatoire, enfin.
Supporte "KDE, GNOME, XFCE, LXDE and more!"
les pixels au peuple !