Je répond ici meme si c'est un peu hors sujet sur ce thread, mais la mere qui a perdu son fils, ne l'a certainement pas perdu a cause de la vitesse du chauffard.
La vitesse est un facteur agravant, pas une cause de deces.
C'est la vitesse, plus d'autres erreurs de conduite (parfois commises par l'autre, celui qui respecte la vitesse mais pas les feux, pas les clignotants, utilise son téléphone, marque pas les stops ...).
Autres points: le nombre de tués avait chutté AVANT la mise en place des radars, grace au matraquage médiatique sur la 'sécurité routière cause nationale': publicités, émissions pour passer le code de la route, émissions avec images chocs ...
car il faut bien se rendre compte d'une chose: les radars automatiques ne sont pas placés aux endroits appelés 'points noirs' du réseau routier. ils sont aux endroits ou les gens roulent vite 'traditionnellement'. Or les gens ne sont pas si con que ça, les endroits ou *tout* le monde roule vite, souvent, c'est que c'est possible.
A quand un radar automatique devant les ecoles ?
A quand la généralisation des radars de feu en ville ?
Et les controles d'alcool, de stupéfiants, de médicaments ?
Et le controle régulier des reflexes ? de la vue ?
Bref, tout sur la vitesse comme d'habitude, en de surcroit sur les axes roulants (autoroute ...)
Le nombre de tués a chutté, et c'est très très bien. Mais il faut un peu développer son esprit critique et ne pas boire la soupe télévisuelle. Un peu de reflexion montre que les radars automatiques n'y contribuent que très très faiblement. C'est plutot la prise de conscience de la dangerosité de la conduite qui produit le résultat.
Et si l'Etat investissait son pognon dans la formation des conducteurs ? la plupart des tués sont des jeunes, venant a peine de passer le permi. On a une démontration flagrante que la formation est aujoud'hui insufisante.
Sinon, une astuce un peu gruik mais qui marche pour de vrai sur de la prod,
et qui a l'avantage d'etre simple et non intrusive (pas de driver dans le kernel ...,
tout en mode user).
C'est la réplication via un process genre RSYNC ou UNISON.
les 2 sont scriptables, unison a l'avantage de savoir detecter dans quel sens il faut repliquer les données.
Inconvenients:
-> pas intégré au systeme de fichiers
-> pas de garantie pour le process qui ecrit que tout sera répliqué dans un temps donné.
-> comment on le déclenche ? cron toutes les 5 minutes ? process daemon qui lance a intervalles réguliers ? evenements (fam ...) sur le fs ?
Avantages:
-> marche tout de suite,
->cross plateforme (tous unix et possible sous windows mais marche moins bien)
-> simple a mettre en place.
en pratique j'ai plusieurs clusters qui marchent comme cela apres avoir testé drdb et d'autres trucs. j'ai opté pour un "daemon" que j'ai ecrit en perl et qui lance la réplication entre 2 sleep parametrables en durée. Ca marche plutot bien, surtout si les ecritures sont "relativement" rares et que l'absence potentielle d'un fichier n'est pas grave.
le "write once run anywhere" on voit bien que cela ne marche pas meme avec Java. les dependances a une version precise de la JVM voire a des librairies font que c'est un echec.
Mes parents sont sous linux depuis ... la redhat 9.0.
Au debut j'ai "vendu" linux et installé une redhat 9 avec XFCE car le PC etait trop vieux pour un Gnome complet. XFCE paramétré aux petits oignons avec les softs qu'ils utilisent (icq, mozilla, openoffice de temps en temps).
La plainte récurrente venait de mon père qui ne pouvait rien faire par rapport a windows (normal, il ne pouvait pas monter de peripheriques, pas de menus a fouiller puisque XFCE avec juste les choses utiles ...).
=> il s'est acheté un ordinateur tout neuf, tout puissant avec windows XP, et il a découvert ce que j' n'arretait pas de lui rabacher:
--> faut installer une suite bureautique, le scanner, l'imprimante, l'anti virus, lespatchs ... sans compter que les logiciels qu'il esperait sont payants et que ça fait des années que je ne donne plus dans la copie frauduleuse.
De plus je refuse de faire quoi que ce soit sous Windows (XP ? je ne connais pas).
Bref, pour lui Windows est *bien* plus compliqué.
Conclusion: ils ont un dual boot sur une fedora core 3 sous gnome... et ils n'utilisent que ça, le PC a booté 3 fois sous XP. Avec la puissance du nouveau PC, Gnome tourne nickel, mon père peut fouiller les menus et découvrir des applications nouvelles. De temps en temps je me connecte (merci ssh) pour les mises à jour, mais souvent c'est lui qui les fait avec l'icone idoine qui passe 'rouge' quand y'en a besoin. A si, j'ai du lui upgrader libphoto2 pour le support de son appareil photo numerique tout neuf, et remettre a des valeurs normales les parametres de couleur pour l'impression qu'il avait un peu trop modifié => couleurs a chier sur l'imprimante.
Sinon il s'en sort très bien. A propos, le Gnome de la FC3 inclu un soft de prise de main a distance basé sur VNC, très pratique pour donner un cour a 500 bornes de distance.
Quand à ma mère, qui se suffisait de XFCE, elle a l'air de bien s'en sortir aussi, mais je dois dire qu'elle est 'moins dangereuse' comme utilisateur. Elle ne modifie pas tout juste pour voir :-)
Je vous sors mon experience alors :-)
j'ai commencé a programmer au CM2 en basic. l'info est devenue rapidement une passion dévorante pour moi ... que j'ai poursuivi jusqu'en école d'ingénieur.
Evidement, tout au long de ma scolarité les matières techniques informatique (languages, ....) étaient assez simples pour moi :-)
meme le debut de l'algorithmique, quand on a *besoin* d'une solution on se trouve a les recreer, et meme si mes listes de pointeurs 'home made' n'etaient pas des arbres bien balancés comme je l'appris plus tard, mon avance sur ceux qui n'avaient jamais croisé un ZX-81 était énorme.
Résultat, je me suis perfectionné en technique (j'aurai pu m'acheter 2/3 bouquins bien choisis, ça aurait été moins cher), mais j'ai choisi des spécialités non techniques comme la gestion, la qualité, le géni logiciel ...
Parce que savoir programmer des labyrinthes 3D dès la 3ieme, ça fait de vous un développeur, peut-etre bon s'il na pas trop de mauvaises habitudes, mais pour etre performant en entreprise, il faut convaincre (les supérieurs, les clients, les fournisseurs, les collègues ...) et causer asm intel + motorola ne sert a rien.
[par contre ceusses qui ne causent pas asm avant l'ecole ont ça en plus a apprendre]
ou alors c'est le simple fait qu'elles existent qui disperse le public et qui aggrave la situation ...
au lieu de faire une distribution spécialisée, pourquoi ne pas faire un repository (équivalent français ?) apt avec les packages et leurs dépendances.
si les packages sont bien fait, ils doivent d'installer et mettre a jour quelques librairies si necessaire, voir installer la nouvelle version en doublon pour laisser le choix aux softs de linker avec l'ancienne ou la nouvelle.
=> mieux que setup.exe puisque DLL gérées par le systeme (.deb ou .rpm)
=> simple, il suffit d'inscrire son "apt" "yum" ou up3date a ce nouveau repository pour en bénéficier, et detecter les mises a jours possibles automatiquement.
le seul probleme, c'est que si il n'existait que Debian, Redhat, Mandrake, cela ne ferai *que* 3 distributions a tester pour la création de packages, mais avec la prolifération de distributions, cela devient ingérable donc on livre en sources + 1 ou 2 distrib.
1/ LVM est AUTREMENT plus souple qu'un systeme de partitions.
2/ changer de systeme de partitions c'est ecrire des drivers pour les autres OS.
Je pense qu'a ce moment la, il vaut mieux ecrire des drivers LVM pour windows et les autres, comme ça tout lemonde peut utiliser le systeme le plus souple qui existe.
le bémol c'est si on veut recuperer les datas avec un éditeur héxa comme lu plus haut, parce que en termes d'indirections LVM c'est balaize !
quand j'ai créé la premiere ligne internet officielle au cameroun (.cm) , on avait 64kbits pour tout le pays :-)
les 2Mb/s c'etait la totalité des communications internationales qui etaient possibles en parallele (ils ne payaient plus la facture a la france), et la le soir on re-essayait souvent avant d'avoir une ligne internationnale !!
bonjour les emmerdes quand tu es développeur ou que tu fais un peu de R&D et que tu testes des logiciels (libres par ex)
pour les tests on a des machines spécifiques, dans une salle de test, avec des règles de parefeu différentes, et des accès admin. la salle est "louée" officiellement (clefs), avec la description des tests.
les tests ne se font pas sur les postes de travail.
Ca me ferait bien ch*er de ne pouvoir utiliser Firefox et Thunderbird et de devoir utiliser IE et Outlook.
perdu, on utilise notes (pas le choix) et on a fait une intégration avec wine pour les postes de travail linux.
on ne prend pas les gens pour des enfants (surtout dans un milieu de cadres où on est jugé sur les résultats et où on a une autonomie dans sa façon d'organiser le travail).
nous sommes loin d'avoir que des cadres, et la liberté des autres amène des tas de problèmes de gestion des machines. un exemple ?
=> M. machin trouve interessant de developper un script VB qui va interroger une db. c'est cool, tellement qu'il le passe a ses potes ... mais y'a un bug (session db pas fermée) => DoS de la DB. Qui est tresponsable pour la direction ? M. machin ou le service informatique ?
les gens "ne sont pas des enfants", mais ne sont pas assez grand pour gerer correctement leurs mots de passe (echanges ...), font des developpements pirates que nous sommes sencé maintenir quand ils démissionnent, ...
Tu as tout a fait raison, jai pris le 6500 pour montrer les extremes ...
Ajoutons aux différences, le fait que le PC routeur aura plus de pannes hardwares (disque dur ...), qu'il fait du bruit par rapport a un 7200
(NB: le 6500 ... c'est carrement bruyant !)
par contre sur un PC/Linux on peut facilement ajouter du netfiter, du rrdtool, sniffer le traffic pour debugger, faire tourner snort ...
le PC => plus souple, plus fragile, perf moyenne.
le 7200 => plus intégré, moins souple, perf moyenne.
le 6500 => carrement robuste, bruyant, performant et hors de prix.
La fonction de routage réseau est une fonction assez simple a rendre relativement performante vu que les informations sont traitées en mémoire seulement (pas besoin de passer pas les performances dramatiques d'un disque dur).
Donc on peut obtenir des performances satisfaisantes avec un PC comme routeur, meme en firewall.
cependant il faut savoir ce que l'on compare:
-> un PC actuel a du mal a remplir 1 lien gigabit avec un transfert de mémoire a mémoire ... sauf a posséder un bus PCI 64bits.
D'après mes tests, avec un bus PCI 32bits, il est peu raisonnable de penser dépasser 700MB (megabits), alors que les bus PCI 64bits permettent de remplir une interface Gigabit simplement.
-> les connecteurs PCI 64bits sont rares dans un PC, au mieux il y en a 1, donc difficile de router quoi que ce soit (il faudrait deux cartes, ou une carte quad, et en plus surveiller la performance du bus ...)
a coté de cela, un routeur 6500 de cisco traite plusieurs millions de paquets par seconde, genre 400 millions de paquets/s (attention hein pas des paquets de 1500octets, mais des paquets de taille moyenne) et 20Gigabit/s en firewall pix
(vitesse du fond de panier: 720 Gigabits/s)
Mais en as tu besoin ?
Si le besoin est de router entre plusieurs interfaces a 100full, un PC y parvient, meme avec la fonction parefeu... et les cartes quad (4 ports RJ45 sont légions).
pour reprendre tes questions:
-> ou est la limite: < 700Mbps en PCI32bits, surement la moitié meme avec le partage du bus sur 2 cartes. je ne sais pas en PCI 64bits mais on peut penser au double ?
-> est-ce atteingnable: en PCI32 oui, il suffit d'une carte quad a 100full. et je ne parle pas du gigabit. en PCI64 aussi surtout que le nombre de slots est très limité.
Ben voyons, on va faire confiance a un truc qui tourne sur le poste client pour gerer le parefeu ....
La verité c'est que lepremier que je prend a faire tourner http-tunnel sur sa machine, il prend un avertissement des RH. C'est pas une action anodine, c'est vouloir contourner volontairement les dispositifs de sécurité de la société.
L'utilisateur, il est la pour bosser.
L'équipe informatique est la pour lui apporter de quoi bosser.
Si il lui manque des trucs, ils fait une demande offcielle et une solution sera proposée.
La solution sera documentée, maintenue, monitorée, ... au standard des autres solutions, et les évolutions futures (proxy/parefeu/...) en tiendront compte.
AH ? comment ?
On me signale que l'utilisateur ne veut pas faire de demande officielle a son manager pour pouvoir faire du mail perso en imap pendant les heures de boulot ?
Je caricature, mais je peux certifier que quand il y a un nouveau besoin PROFESSIONNEL il nous arrive officiellement (mail) très rapidement.
L'inadéquation c'est pas entre les admins sécurité et les utilisateurs, c'est surtout avec les développeurs qui ont besoin d'une masse critique d'utilisateurs de leur appli et qui trouvent malin de ratisser dans les entreprises en essayant de contourner les filtres.
Le grand perdant sera l'utilisateur bidouilleur:
De plus en plus les solutions de sécurité se gèrent jusqu'au poste utilisateur.
D'une console centrale on gère les parefeux personnels sur les postes, l'antivirus ... et on supprime la possibilité de bidouiller l'install du poste aux users, en monitorant que tout est toujours conforme (softs présents sur la machine ...).
Ainsi les postes de travail fournis ne contiendront que des softs approuvés.
c'est assez vrai mais le journal a un sens quand meme !!
sans vouloir tout copier, on peut se demander pourquoi c'est OOwriter qui tient la dragée haute sous linux pour les personnes qui migrent MS->linux. alors que OO est lourdingue a lancer.
comparer (le but de ce journal) ne veut pas dire recopier a l'identique mais COMPRENDRE ce que la concurence a de pontentiellement interessant.
c'est de "l'intelligence" (au sens renseignement/espionage) donc non pas stupide :-)
C'est pas *completement* faux, mais je doit dire que j'ai acheté pas mal de leur numéros:
- pas cher,
- aussi facile a lire qu'un "voici" ou "gala" (a la plage ....)
je ne l'ai jamais pris pour un magazine serieux, (eux non plus d'ailleur) mais la lecture m'étais agréable.
quand lu => poubelle alors que les "misc" on les garde ...
bref pas le meme crénau. et des cotés sympa qui disparaissent.
donc domage.
rsh est vieux comme le monde, n'est pas chiffré, ni authentifié par clef ...
rsh n'a RIEN a voir avec ssh.
bref ne fait pas ce qui est ecrit ci-dessus, utilise ssh qui permet la meme chose que rsh mais avec plus de sécurité !!!!
sinon SNMP c'est pas mal ... mais attention aussi, ne pas s'arreter au protocole SNMP v2 parce que l'udp non authentifié (ou si peu: mot de passe en clair ...) ça va pas vers l'amélioration !!!
un dernier conseil:
le premier commentaire la haut, dit qu'en passant les commandes sur la meme ligne que "ssh ..." cela marchera et c'est vrai. mais en général, si tu te lance dans cette manip, tu va creer une clef ssh applicative utilisée par ton script, et cette clef n'aura pas de passphrase (sinon il ne pourra plus tourner tout seul ...).
du coup cette clef sans passphrase permer de compromettre les machines une par une en rebondissant.
la méthode pour empecher cela c'est d'associer la clef a un scipt sur le serveur:
detail de la méthode:
tu cree un user "monitoring" et une clef ssh sans passphrase pour ce user.
sur chaque serveur a monitorer, tu cree un script /bin/monitor.sh qui effectue les actions. puis tu associe la clef publique du user "monitoring" a cette action en mettant cela dans le authorized_keys:
command="/bin/monitor.sh" rsa ..... (la clef publique).
du coup, certes la clef du user monitoring est sans passphrase, mais elle ne peut QUE servir a lancer ce script (et non pas n'importe quelle commande).
bien sur il reste a ecrire le script /bin/monitor.sh correctement (recuperer les CTRL-C ...) afin d'assurer encore un peu mieux la sécurité du tout.
> Je vois mal comment vérifier le contenu du traffic s'il est chiffré, par exemple comment surveiller le traffic https ?
le produit commercial que je connais qui fait cela (verifier le https) ne se gène pas: il est installé sur le proxy http/https et fait "tout simplement" une attaque "man in the middle": le client se connecte sur le proxy en question au lieu du serveur distant (mais avec un certificat reconnu dans l'entreprise ...), et le proxy dechiffre tout pour controler le contenu.
En general on privilegie le DROP au REJECT parce que invariablement il a de l'information dand l'icmp qui est emis en REJECT. Ces icmp permettent de deviner l'OS voire contiennent des morceaux de buffer memoire non initialisee (vieux bug de certains OS).
De plus ça ralenti les scans de ceussent qui scannent comme des porcs.
bref ça peu s'expliquer dans certains cas.
quand tu parle d'une connection tu pense a une interface reseau, auquel cas il est tres simple de conaitre le debit en relevant les compteurs regulierement (/proc/net/dev).
Si par contre tu pense a une connection TCP, le mieux que j'ai trouvé c'est d'utiliser une bibliotheque d'accès a libpcap et d'additionner les tailles de chaque paquets ...
[^] # Re: "Ca c'est un petit point positif"
Posté par PLuG . En réponse au journal Radars automatique et foutage de gueule politique. Évalué à 3.
La vitesse est un facteur agravant, pas une cause de deces.
C'est la vitesse, plus d'autres erreurs de conduite (parfois commises par l'autre, celui qui respecte la vitesse mais pas les feux, pas les clignotants, utilise son téléphone, marque pas les stops ...).
Autres points: le nombre de tués avait chutté AVANT la mise en place des radars, grace au matraquage médiatique sur la 'sécurité routière cause nationale': publicités, émissions pour passer le code de la route, émissions avec images chocs ...
car il faut bien se rendre compte d'une chose: les radars automatiques ne sont pas placés aux endroits appelés 'points noirs' du réseau routier. ils sont aux endroits ou les gens roulent vite 'traditionnellement'. Or les gens ne sont pas si con que ça, les endroits ou *tout* le monde roule vite, souvent, c'est que c'est possible.
A quand un radar automatique devant les ecoles ?
A quand la généralisation des radars de feu en ville ?
Et les controles d'alcool, de stupéfiants, de médicaments ?
Et le controle régulier des reflexes ? de la vue ?
Bref, tout sur la vitesse comme d'habitude, en de surcroit sur les axes roulants (autoroute ...)
Le nombre de tués a chutté, et c'est très très bien. Mais il faut un peu développer son esprit critique et ne pas boire la soupe télévisuelle. Un peu de reflexion montre que les radars automatiques n'y contribuent que très très faiblement. C'est plutot la prise de conscience de la dangerosité de la conduite qui produit le résultat.
Et si l'Etat investissait son pognon dans la formation des conducteurs ? la plupart des tués sont des jeunes, venant a peine de passer le permi. On a une démontration flagrante que la formation est aujoud'hui insufisante.
# un truc gruik qui marche pour de vrai.
Posté par PLuG . En réponse au message File system distribué pour cluster. Évalué à 2.
et qui a l'avantage d'etre simple et non intrusive (pas de driver dans le kernel ...,
tout en mode user).
C'est la réplication via un process genre RSYNC ou UNISON.
les 2 sont scriptables, unison a l'avantage de savoir detecter dans quel sens il faut repliquer les données.
Inconvenients:
-> pas intégré au systeme de fichiers
-> pas de garantie pour le process qui ecrit que tout sera répliqué dans un temps donné.
-> comment on le déclenche ? cron toutes les 5 minutes ? process daemon qui lance a intervalles réguliers ? evenements (fam ...) sur le fs ?
Avantages:
-> marche tout de suite,
->cross plateforme (tous unix et possible sous windows mais marche moins bien)
-> simple a mettre en place.
en pratique j'ai plusieurs clusters qui marchent comme cela apres avoir testé drdb et d'autres trucs. j'ai opté pour un "daemon" que j'ai ecrit en perl et qui lance la réplication entre 2 sleep parametrables en durée. Ca marche plutot bien, surtout si les ecritures sont "relativement" rares et que l'absence potentielle d'un fichier n'est pas grave.
[^] # Re: Quelques questions d'avenir...
Posté par PLuG . En réponse à la dépêche Solaris officiellement annoncé sous licence Open Source. Évalué à 5.
le write once run anywhere c'est en PERL :-)
# mon cas
Posté par PLuG . En réponse au journal Passer ses parents à Linux.... Évalué à 4.
Au debut j'ai "vendu" linux et installé une redhat 9 avec XFCE car le PC etait trop vieux pour un Gnome complet. XFCE paramétré aux petits oignons avec les softs qu'ils utilisent (icq, mozilla, openoffice de temps en temps).
La plainte récurrente venait de mon père qui ne pouvait rien faire par rapport a windows (normal, il ne pouvait pas monter de peripheriques, pas de menus a fouiller puisque XFCE avec juste les choses utiles ...).
=> il s'est acheté un ordinateur tout neuf, tout puissant avec windows XP, et il a découvert ce que j' n'arretait pas de lui rabacher:
--> faut installer une suite bureautique, le scanner, l'imprimante, l'anti virus, lespatchs ... sans compter que les logiciels qu'il esperait sont payants et que ça fait des années que je ne donne plus dans la copie frauduleuse.
De plus je refuse de faire quoi que ce soit sous Windows (XP ? je ne connais pas).
Bref, pour lui Windows est *bien* plus compliqué.
Conclusion: ils ont un dual boot sur une fedora core 3 sous gnome... et ils n'utilisent que ça, le PC a booté 3 fois sous XP. Avec la puissance du nouveau PC, Gnome tourne nickel, mon père peut fouiller les menus et découvrir des applications nouvelles. De temps en temps je me connecte (merci ssh) pour les mises à jour, mais souvent c'est lui qui les fait avec l'icone idoine qui passe 'rouge' quand y'en a besoin. A si, j'ai du lui upgrader libphoto2 pour le support de son appareil photo numerique tout neuf, et remettre a des valeurs normales les parametres de couleur pour l'impression qu'il avait un peu trop modifié => couleurs a chier sur l'imprimante.
Sinon il s'en sort très bien. A propos, le Gnome de la FC3 inclu un soft de prise de main a distance basé sur VNC, très pratique pour donner un cour a 500 bornes de distance.
Quand à ma mère, qui se suffisait de XFCE, elle a l'air de bien s'en sortir aussi, mais je dois dire qu'elle est 'moins dangereuse' comme utilisateur. Elle ne modifie pas tout juste pour voir :-)
[^] # Re: Ahhh l'orientation ....
Posté par PLuG . En réponse au journal Vos conseils pour une recherche de stage (administration systèmes/réseaux). Évalué à 1.
[^] # Re: Ahhh l'orientation ....
Posté par PLuG . En réponse au journal Vos conseils pour une recherche de stage (administration systèmes/réseaux). Évalué à 0.
j'ai commencé a programmer au CM2 en basic. l'info est devenue rapidement une passion dévorante pour moi ... que j'ai poursuivi jusqu'en école d'ingénieur.
Evidement, tout au long de ma scolarité les matières techniques informatique (languages, ....) étaient assez simples pour moi :-)
meme le debut de l'algorithmique, quand on a *besoin* d'une solution on se trouve a les recreer, et meme si mes listes de pointeurs 'home made' n'etaient pas des arbres bien balancés comme je l'appris plus tard, mon avance sur ceux qui n'avaient jamais croisé un ZX-81 était énorme.
Résultat, je me suis perfectionné en technique (j'aurai pu m'acheter 2/3 bouquins bien choisis, ça aurait été moins cher), mais j'ai choisi des spécialités non techniques comme la gestion, la qualité, le géni logiciel ...
Parce que savoir programmer des labyrinthes 3D dès la 3ieme, ça fait de vous un développeur, peut-etre bon s'il na pas trop de mauvaises habitudes, mais pour etre performant en entreprise, il faut convaincre (les supérieurs, les clients, les fournisseurs, les collègues ...) et causer asm intel + motorola ne sert a rien.
[par contre ceusses qui ne causent pas asm avant l'ecole ont ça en plus a apprendre]
[^] # Re: Proxy mail kesako ?
Posté par PLuG . En réponse au journal proxy mail. Évalué à 1.
les webmail sont nombreux ... et tous sur le port 80/443
[^] # Re: Pom Pom Pom
Posté par PLuG . En réponse à la dépêche Lancement du projet Garbure. Évalué à 2.
au lieu de faire une distribution spécialisée, pourquoi ne pas faire un repository (équivalent français ?) apt avec les packages et leurs dépendances.
si les packages sont bien fait, ils doivent d'installer et mettre a jour quelques librairies si necessaire, voir installer la nouvelle version en doublon pour laisser le choix aux softs de linker avec l'ancienne ou la nouvelle.
=> mieux que setup.exe puisque DLL gérées par le systeme (.deb ou .rpm)
=> simple, il suffit d'inscrire son "apt" "yum" ou up3date a ce nouveau repository pour en bénéficier, et detecter les mises a jours possibles automatiquement.
le seul probleme, c'est que si il n'existait que Debian, Redhat, Mandrake, cela ne ferai *que* 3 distributions a tester pour la création de packages, mais avec la prolifération de distributions, cela devient ingérable donc on livre en sources + 1 ou 2 distrib.
[^] # Re: LVM
Posté par PLuG . En réponse à la dépêche SPT : Une alternative au système historique de partitionnement des PC. Évalué à 2.
[^] # Re: LVM
Posté par PLuG . En réponse à la dépêche SPT : Une alternative au système historique de partitionnement des PC. Évalué à 6.
1/ LVM est AUTREMENT plus souple qu'un systeme de partitions.
2/ changer de systeme de partitions c'est ecrire des drivers pour les autres OS.
Je pense qu'a ce moment la, il vaut mieux ecrire des drivers LVM pour windows et les autres, comme ça tout lemonde peut utiliser le systeme le plus souple qui existe.
le bémol c'est si on veut recuperer les datas avec un éditeur héxa comme lu plus haut, parce que en termes d'indirections LVM c'est balaize !
[^] # Re: reviendu
Posté par PLuG . En réponse au journal FreeADSL se met en 4 pour me passer en 2048. Évalué à 6.
les 2Mb/s c'etait la totalité des communications internationales qui etaient possibles en parallele (ils ne payaient plus la facture a la france), et la le soir on re-essayait souvent avant d'avoir une ligne internationnale !!
ça c'est de la fracture.
[^] # Re: Oui bonne nouvelle :)
Posté par PLuG . En réponse à la dépêche Sortie officielle de Flumotion. Évalué à 5.
tu demande a ta copine d'installer netmeeting sur son windows et hop ça roulaize.
[^] # Re: Justement !
Posté par PLuG . En réponse à la dépêche Firefox 1.0 RC1 et autres nouvelles de Mozilla. Évalué à 1.
bonjour les emmerdes quand tu es développeur ou que tu fais un peu de R&D et que tu testes des logiciels (libres par ex)
pour les tests on a des machines spécifiques, dans une salle de test, avec des règles de parefeu différentes, et des accès admin. la salle est "louée" officiellement (clefs), avec la description des tests.
les tests ne se font pas sur les postes de travail.
Ca me ferait bien ch*er de ne pouvoir utiliser Firefox et Thunderbird et de devoir utiliser IE et Outlook.
perdu, on utilise notes (pas le choix) et on a fait une intégration avec wine pour les postes de travail linux.
on ne prend pas les gens pour des enfants (surtout dans un milieu de cadres où on est jugé sur les résultats et où on a une autonomie dans sa façon d'organiser le travail).
nous sommes loin d'avoir que des cadres, et la liberté des autres amène des tas de problèmes de gestion des machines. un exemple ?
=> M. machin trouve interessant de developper un script VB qui va interroger une db. c'est cool, tellement qu'il le passe a ses potes ... mais y'a un bug (session db pas fermée) => DoS de la DB. Qui est tresponsable pour la direction ? M. machin ou le service informatique ?
les gens "ne sont pas des enfants", mais ne sont pas assez grand pour gerer correctement leurs mots de passe (echanges ...), font des developpements pirates que nous sommes sencé maintenir quand ils démissionnent, ...
tu vois le topo ?
[^] # Re: Utilité ?
Posté par PLuG . En réponse au sondage Le chiffrement des emails (gpg...). Évalué à 1.
le prochain voisin qui fait du tapage nocturne j'organise une virée ou on détruit tout son matériel sono, tu participe ?
[^] # Re: OpenBGPd
Posté par PLuG . En réponse à la dépêche Sortie de OpenBGPd. Évalué à 3.
Ajoutons aux différences, le fait que le PC routeur aura plus de pannes hardwares (disque dur ...), qu'il fait du bruit par rapport a un 7200
(NB: le 6500 ... c'est carrement bruyant !)
par contre sur un PC/Linux on peut facilement ajouter du netfiter, du rrdtool, sniffer le traffic pour debugger, faire tourner snort ...
le PC => plus souple, plus fragile, perf moyenne.
le 7200 => plus intégré, moins souple, perf moyenne.
le 6500 => carrement robuste, bruyant, performant et hors de prix.
[^] # Re: OpenBGPd
Posté par PLuG . En réponse à la dépêche Sortie de OpenBGPd. Évalué à 10.
Donc on peut obtenir des performances satisfaisantes avec un PC comme routeur, meme en firewall.
cependant il faut savoir ce que l'on compare:
-> un PC actuel a du mal a remplir 1 lien gigabit avec un transfert de mémoire a mémoire ... sauf a posséder un bus PCI 64bits.
D'après mes tests, avec un bus PCI 32bits, il est peu raisonnable de penser dépasser 700MB (megabits), alors que les bus PCI 64bits permettent de remplir une interface Gigabit simplement.
-> les connecteurs PCI 64bits sont rares dans un PC, au mieux il y en a 1, donc difficile de router quoi que ce soit (il faudrait deux cartes, ou une carte quad, et en plus surveiller la performance du bus ...)
a coté de cela, un routeur 6500 de cisco traite plusieurs millions de paquets par seconde, genre 400 millions de paquets/s (attention hein pas des paquets de 1500octets, mais des paquets de taille moyenne) et 20Gigabit/s en firewall pix
(vitesse du fond de panier: 720 Gigabits/s)
Mais en as tu besoin ?
Si le besoin est de router entre plusieurs interfaces a 100full, un PC y parvient, meme avec la fonction parefeu... et les cartes quad (4 ports RJ45 sont légions).
pour reprendre tes questions:
-> ou est la limite: < 700Mbps en PCI32bits, surement la moitié meme avec le partage du bus sur 2 cartes. je ne sais pas en PCI 64bits mais on peut penser au double ?
-> est-ce atteingnable: en PCI32 oui, il suffit d'une carte quad a 100full. et je ne parle pas du gigabit. en PCI64 aussi surtout que le nombre de slots est très limité.
[^] # Re: Justement !
Posté par PLuG . En réponse à la dépêche Firefox 1.0 RC1 et autres nouvelles de Mozilla. Évalué à 6.
La verité c'est que lepremier que je prend a faire tourner http-tunnel sur sa machine, il prend un avertissement des RH. C'est pas une action anodine, c'est vouloir contourner volontairement les dispositifs de sécurité de la société.
L'utilisateur, il est la pour bosser.
L'équipe informatique est la pour lui apporter de quoi bosser.
Si il lui manque des trucs, ils fait une demande offcielle et une solution sera proposée.
La solution sera documentée, maintenue, monitorée, ... au standard des autres solutions, et les évolutions futures (proxy/parefeu/...) en tiendront compte.
AH ? comment ?
On me signale que l'utilisateur ne veut pas faire de demande officielle a son manager pour pouvoir faire du mail perso en imap pendant les heures de boulot ?
Je caricature, mais je peux certifier que quand il y a un nouveau besoin PROFESSIONNEL il nous arrive officiellement (mail) très rapidement.
L'inadéquation c'est pas entre les admins sécurité et les utilisateurs, c'est surtout avec les développeurs qui ont besoin d'une masse critique d'utilisateurs de leur appli et qui trouvent malin de ratisser dans les entreprises en essayant de contourner les filtres.
Le grand perdant sera l'utilisateur bidouilleur:
De plus en plus les solutions de sécurité se gèrent jusqu'au poste utilisateur.
D'une console centrale on gère les parefeux personnels sur les postes, l'antivirus ... et on supprime la possibilité de bidouiller l'install du poste aux users, en monitorant que tout est toujours conforme (softs présents sur la machine ...).
Ainsi les postes de travail fournis ne contiendront que des softs approuvés.
[^] # Re: supaire
Posté par PLuG . En réponse au journal Que manque t'il à Abiword ?. Évalué à 10.
sans vouloir tout copier, on peut se demander pourquoi c'est OOwriter qui tient la dragée haute sous linux pour les personnes qui migrent MS->linux. alors que OO est lourdingue a lancer.
comparer (le but de ce journal) ne veut pas dire recopier a l'identique mais COMPRENDRE ce que la concurence a de pontentiellement interessant.
c'est de "l'intelligence" (au sens renseignement/espionage) donc non pas stupide :-)
[^] # Re: Ca ne va pas plaire à tout le monde, mais je le dis quand même...
Posté par PLuG . En réponse au journal Adieu virus.... Évalué à 8.
- pas cher,
- aussi facile a lire qu'un "voici" ou "gala" (a la plage ....)
je ne l'ai jamais pris pour un magazine serieux, (eux non plus d'ailleur) mais la lecture m'étais agréable.
quand lu => poubelle alors que les "misc" on les garde ...
bref pas le meme crénau. et des cotés sympa qui disparaissent.
donc domage.
[^] # Re: Solution de monitoring
Posté par PLuG . En réponse au message lancer et recupérer le résultat d'une commande à distance. Évalué à 3.
rsh est vieux comme le monde, n'est pas chiffré, ni authentifié par clef ...
rsh n'a RIEN a voir avec ssh.
bref ne fait pas ce qui est ecrit ci-dessus, utilise ssh qui permet la meme chose que rsh mais avec plus de sécurité !!!!
sinon SNMP c'est pas mal ... mais attention aussi, ne pas s'arreter au protocole SNMP v2 parce que l'udp non authentifié (ou si peu: mot de passe en clair ...) ça va pas vers l'amélioration !!!
un dernier conseil:
le premier commentaire la haut, dit qu'en passant les commandes sur la meme ligne que "ssh ..." cela marchera et c'est vrai. mais en général, si tu te lance dans cette manip, tu va creer une clef ssh applicative utilisée par ton script, et cette clef n'aura pas de passphrase (sinon il ne pourra plus tourner tout seul ...).
du coup cette clef sans passphrase permer de compromettre les machines une par une en rebondissant.
la méthode pour empecher cela c'est d'associer la clef a un scipt sur le serveur:
detail de la méthode:
tu cree un user "monitoring" et une clef ssh sans passphrase pour ce user.
sur chaque serveur a monitorer, tu cree un script /bin/monitor.sh qui effectue les actions. puis tu associe la clef publique du user "monitoring" a cette action en mettant cela dans le authorized_keys:
command="/bin/monitor.sh" rsa ..... (la clef publique).
du coup, certes la clef du user monitoring est sans passphrase, mais elle ne peut QUE servir a lancer ce script (et non pas n'importe quelle commande).
bien sur il reste a ecrire le script /bin/monitor.sh correctement (recuperer les CTRL-C ...) afin d'assurer encore un peu mieux la sécurité du tout.
[^] # Re: umask
Posté par PLuG . En réponse au message Umask ?. Évalué à 1.
enfin, comme tout masque, ça marche par operation logique plutot (AND NOT masque)
[^] # Re: pareil
Posté par PLuG . En réponse au journal iptables, un futur firewall applicatif ?. Évalué à 1.
le produit commercial que je connais qui fait cela (verifier le https) ne se gène pas: il est installé sur le proxy http/https et fait "tout simplement" une attaque "man in the middle": le client se connecte sur le proxy en question au lieu du serveur distant (mais avec un certificat reconnu dans l'entreprise ...), et le proxy dechiffre tout pour controler le contenu.
[^] # Re: scan de ports illegal ?
Posté par PLuG . En réponse à la dépêche Nmap 3.70 est sorti. Évalué à 5.
De plus ça ralenti les scans de ceussent qui scannent comme des porcs.
bref ça peu s'expliquer dans certains cas.
[^] # Re: Unix *is* user-friendly. It's just picky about who is friends are...
Posté par PLuG . En réponse au sondage Citation. Évalué à 1.
# libpcap
Posté par PLuG . En réponse au message Avoir le debit d'une connexion. Évalué à 0.