Chez nous nous avons préféré aussi l'appel vocal, car cela permet au modem de savoir si la personne a répondu au téléphone ou pas ... pour gérer des escalades après plusieurs appels manqués. Comme on voulait être indépendant du réseau informatique (en cas de panne) on utilise un modem RTC normal et vgetty ... simple et efficace !
La gestion du matériel, des logiciels, des incidents, des changements, des problèmes ... tout cela est cadré dans ITIL, je te conseille d'y jeter un oeuil et de t'en inspirer au lieu de ré-inventer complètement des processus de gestion. C'est une bonne source d'idées de choses "qui marchent".
xinetd qui remplace le inetd de base le fait en natif. je l'utilise depuis longtemps sans soucis.
extrait du man de xinetd.conf
redirect
Autorise un service tcp à être redirigé vers une autre machine. Quand xinetd reçoit une connexion tcp sur ce port, il lance un processus qui établit une connexion vers l'hôte et le numéro de port spécifié, et transmet toute les données entre les deux machines. Cette option est très utile quand votre réseau interne n'est pas visible depuis l'extérieur. La syntaxe est : redirect = (adresse ip) (port). Vous pouvez aussi utiliser un nom de machine à la place de l'adresse IP dans ce champ. La résolution du nom n'est effectuée qu'une seule fois, lorsque xinetd est lancé, et la première adresse IP renvoyée est celle qui sera utilisée, jusqu'à ce que xinetd soit redémarré. L'attribut « server » n'est pas requis lorsque cette option est spécifiée. Si l'attribut « server » est spécifié, il est est prioritaire.
Ben si tu fais 8 queues et que tu sais répartir les jobs a-la-main tu peux te passer de jobq et juste ecrire tes commandes dans 8 shell différents que tu lance en parallèle ....
j'ai essayé chromium sur fedora, c'est vrai qu'il est ultra rapide ...
mais il ne marche pas sur certains sites (rue du commerce par exemple les menus affichent "en cours de chargement" au lieu du contenu habituel),
et surtout c'est une regression par rapport a FF + quelques extensions, la plus gênante etant "password hasher" pour les mots de passe idiots qu'on est sensés utiliser sur les sites web...
j'ai bien trouvé une version pour chrome mais elle ne marche pas.
Dans la pratique les dossiers "perso" peuvent être fouillés, et heureusement (recherche de virus, enquetes, ...) mais le contenu ne peut pas être révélé à la hierarchie de la personne.
Si le contenu est illégal, c'est aux forces de l'ordre qu'il faut en référer ( pedophilie, ...) mais pas aux managers de la personne.
De plus la jurisprudence oscille régulièrement et donne quand même parfois raison au patron ... il faut se méfier.
Pour que ce soit clair, il est préférable de bien rédiger la charte d'utilisation du matériel pour que le cadre d'utilisation accepté par l'entreprise soit clairement défini et connu des employés. Pour les employés, maintenant que tout le monde peut avoir un lecteur mp3 dans sa poche, stocker de la musique sur la machine qui appartient à l'entreprise alors que la charte stipule le contraire est juste ... idiot.
En général le matériel est mis à la disposition des employés pour qu'ils accomplissent leur travail. Une tolérance est demandée par la justice pour simplifier la vie des gens, comme c'était le cas avec l'usage du téléphone (on a le droit de gérer un cas exceptionnel (probleme bancaire, avec l'ecole des gosses, ...) mais pas de téléphoner tous les jours pendant des plombes à sa femme, le tribunal "pourrait" juger cet usage abusif). Est-ce que se servir de la machine comme jukebox tous les jours est dans la tolérance ... pas sur.
je trouve cela etrange aussi...
par contre une fois que linux a ete obligé de swapper une partie de ton job 7, il est clair qu'il ne va pas le ramener en RAM quand la ram se libère si il n'y a pas de fautes de pages.
j'explique:
quand la ram se libère, pour "deswapper" les morceaux de ton job 7, il faut lire les pages de ce job qui sont swappées sur disque pour les remonter en RAM. Cette opération est relativement couteuse (I/O, cpu, ...) et du coup linux ne le fera que si il a BESOIN des pages qui sont dans le swap. Si dans la pratique il peut continuer son calcul sans acceder a ces données, alors elles sont aussi bien dans le swap qu'en ram et cela ne devrait pas te gêner.
Je te comprends, au boulot on est très open source, et capables de maintenir et faire évoluer (proposer des patchs au moins) les logiciels opensource que nous utilisons... Du coup on a le biais inverse, si c'est pas opensource on considère la solution en second choix.
Mais c'est un choix stratégique (avoir les ressources qualifiées, ...) que d'autres n'ont pas fait.
Prendre du "tout MS" c'est une autre stratégie, qui certes rends pieds-et-poings liés à l'éditeur, mais permet de prendre du tout intégré (sharepoint / office / exchange /...) sans avoir besoin de faire l'intégration soit même. En échange, ça coute cher en licences.
Cette stratégie se défend aussi, en fait je pense qu'il y a peu de place pour la stratégie médiane, a partir du moment ou ton entreprises tend vers l'opensource, elle a interêt a y plonger et faire les économies de licences, sinon elle paye un peu "les 2". D'ailleurs MS ne s'y trompe pas et vends des licences "bundle" avec l'OS serveur qui contient un bout de backup, un bout de monitoring, un bout de ... pour rendre les solutions "mixtes" peu viables.
Dans ton exemple, ça vient avec des clauses abusives en prime ... booo pas beau !
je plussoie, et puis tes firewall sont surement joignables en SSH au cas ou un probleme casse les vpns ... comme ça tu peux commencer par réparer les vpns :-)
Sur du cisco de mon coté j'ai mis en place le vlan dynamique (protocole VMPS) pour lequel il existe un dameon opensource (openvmpsd).
A chaque connexion d'une machine, le switch interroge openvmpsd pour savoir dans quel vlan il faut configurer le port. Pour cela il envoie entre autre l'@ip du switch, le numero de port, la mac de la machine qui se connecte.
Comme openvmpsd peut utiliser des scripts externes pour decider de la réponse a donner, j'ai fait un script en perl qui utilise une db mysql pour gerer les vlans et qui enregistre dans cette db l'information de connexion de la machine.
Du coup on a une appli php qui nous donne pour chaque machine l'historique des connexions, avec des heures précises, dès que la personne connecte son portable on "sait" qu'elle est en salle de réunion et non pas dans son bureau, très pratique pour le support.
avec rsync tu peux filtrer quelles @ip ont acces à quels partage rsync et rsync supporte le chroot tout seul (tu as d'ailleurs mis chroot=no).
pourquoi veut tu authentifier tes mirroirs avec une clef ssh + leur @ip ?
si leur serveur est compromis, tes fichiers y sont déjà (c'est un mirroir), et la clef privée ssh certainement sans passphrase (pour marcher en cron) est déjà sur le serveur ...
peut-etre que tu complique juste le problème, tu peux configurer rsync pour qu'il soit lancé par xinetd, et gerer les accès dans /etc/rsyncd.conf, même plus besoin de créer un user par site mirroir sur ton système ...
l'hyperthreading des pentium-4 ne couvre pas toutes les instructions, par exemple les calculs en flottant ne sont pas parallelisables. En pratique il y a un gain en performance par rapport a un core non hyperthreadé, mais c'est pas simple a prévoir, cela dépend beaucoup des applications utilisées. En multicore hyperthreadés, il faudrait faire des groupes d'applications pouvant tourner sur un même core en même temps sans trop se gêner et demander au scheduleur de respecter ces groupes ...
Pour certaines applications il a fallu désactiver HT dans le bios pour qu'elles marchent bien.
Mon point de vue (qui n'engage que moi), c'est que sur des postes utilisateurs, c'est plutot un gain sympa, mais pour du serveur le gain est marginal, d'autant que le cout du hardware intel est souvent faible par rapport au reste du projet (charge de travail pour l'intégration, licences logicielles quand il y en a). De plus quand les licences logicielles se basent sur le nombre d'unités de calcul, il vaut mieux désactiver ces "fausses" unités que sont HT.
La game de cpu Intel suivant ces pentium-4 HT a été des vrais multicores, bien plus simples à intégrer, et avec des gains prévisibles en performance... quand je vois que les nehalem sont multicore +HT, je me demande si ce sera le même "cirque" que sur le pentium-4 coté serveur.
>c'est une droite entre les deux intersections la ou le signal des émetteurs ont une puissance
égale:
mais du coup si on prolonge la droite en dehors du segment des deux intersections, le signal des émetteurs continue a être de même puissance ... je suppose donc que c'est une droite passant par les deux intersections, mais sans limites.
enfin bon, il faut un troisième cercle on a dit :-)
il n'a pas précisé comment il comptait les cpus :-)
mais tu as raison, il faut tenir compte des possibilités de traitement parallèle des cpus.
Sur Intel, il faut compter les cores, ce qui n'est pas lisible dans /proc/cpuinfo si on a des proc multithreadés... moi j'ai tendance a ne pas prendre en compte l'hyperthreading.
quelqu'un sait ce que vaut l'hyperthreading du nehalem ? est-ce aussi "moche" que le pentium ?
Autre erreur: si t'as 8 cores et qu'un seul d'entre eux est a 100%, ton appli est probablement en attente de CPU !!
la solution serait de la ré-écrire ou de lancer plusieurs instances en parallèle, ... ou de changer d'architecture matérielle (core plus rapide mais moins nombreux)
MySQL a beaucoup progressé en performance dans les dernières versions, dixit même certains articles sur ce site.
Quelle version de MySQL fait tu tourner ?
As-tu passé les requêtes que tu trouves lente a un "explain plan" ?
>Et comment fait-on pour ça ? (t'as une recette ?)
ben c'est supporté en standard par x11vnc. il faut configurer xinetd pour qu'il ecoute sur le port 5900 et passe la connexion a x11vnc avec des options pour lui dire d'utiliser le login/passwd unix, de changer de uid pour l'utilisateur qui vient de s'authentifier, et de lancer une session X si aucune n'existe.
C'est (mal) documenté sut le site de x11vnc ( http://www.karlrunge.com/x11vnc/ ), si tu as besoin d'exemples, j'en récupererai au boulot :-)
sauf si cela a changé, vncserver oblige a convenir d'un port TCP différent pour chaque utilisateur, et de définir un "mot de passe vnc" stocké dans un fichier ... beurk
x11vnc peut utiliser Xvnc pour créer des sessions X qui ne sont pas la session Xorg ( :0 ) du serveur, et l'utilisateur peut utiliser soit sa clef ssh, soit son mot de passe unix pour s'authentifier. De plus tous les displays crées peuvent être joignables sur le port vnc par défaut (5900) et donc plus besoin de convenir a l'avance d'un port particulier pour une personne. C'est quand même plus pratique !
x11vnc peut servir a donner acces a la session X11 existante (celle du serveur) à distance en vnc, mais il sait aussi servir des sessions. Les options de la ligne de commande sont touffues, mais on peut faire pas mal de choses.
Par exemple:
- ecoute sur le port tcp/5900 via xinetd (vnc standard) et demande de user+password graphiquement (en protocole vnc), puis changement d'uid pour lancer la session X11 qui sera accessible en vnc. Dans ce mode, on peut lui demander de ne pas tuer la session a la deconnection et de la récupérer quand le meme user revient. Tout ce qu'il faut sur le client c'est un client VNC.
- ou alors, l'utilisateur se connecte grace a sa clef ssh et le protocole VNC est tunnelé dans SSH. Dans ce mode, plus besoin de user+password et la aussi la session peut rester et etre recupérée. Pour utiliser ce mode, j'ai un peu instrumenté le .profile pour que la socket de liaison avec l'agent SSH ne change pas de nom a chaque session et du coup quand je me reconnecte, tous mes xterms et autres programmes déjà lancés récupèrent également la connection vers mon agent ssh (ma clef privée reste sur mon portable, pas question de la copier sur le serveur).
bref, on peut faire pas mal de choses. J'ai même utilisé le mode authentification ldap, et j'ai du envoyer un patch car il y a un bug quand on veut utiliser le mode xinetd et ldap.
je suis partiellement d'accord avec toi. les outils "acronymes" ne sont pas forcément plus compliqués et ne bouffent pas 500Mo de ram. De plus ils viennent avec une api qui fait bien plus qu'une simple copie de fichiers.
Avec la méthode "fichiers" il va falloir définir le format des fichiers (xml ? ascii ? ...) et puis décider quand on peut l'effacer (quand considère t'on qu'il a bien été traité en face ?), et puis mettre en place un compte applicatif avec une clef ssh sans passphrase (scp), mais alors on voudra le bloquer dans un sous répertoire pour sécuriser la machine (chroot ?) ou alors ne pas utiliser scp mais plutôt une commande associée a la clef ...
Et puis cela va marcher ... jusqu'au jour ou le contenu du fichier ne sera pas prévu par le parser écrit a-la-rache, et que l'import du fichier va foirer. mais comme c'est mal écrit le script ne sait pas remonter l'erreur, ni sauter le fichier qui pose problème, du coup il se bloque.
Alors on va décider d'ajouter du monitoring, de créer les sondes cacti qui vont avec, et on va de nouveau engager 15 jours/homme sur ce problème pour "ne pas utiliser d'acronymes".
Si le besoin est ultra simple (et cela semble le cas), scp peut-être la bonne méthode, mais moi j'en ai marre des usines a gaz commandées par des crontab qui se lancent toutes les minutes, et qui s'enchainent de serveur en serveur pour faire passer les informations. C'est rapide a mettre en place mais c'est rapidement la foire totale sur les machines.
[^] # Re: des noms
Posté par PLuG . En réponse au message Syslog-ng et envoi de SMS. Évalué à 1.
[^] # Re: et Dolibarr ?
Posté par PLuG . En réponse à la dépêche Ekylibre : pour la gestion des TPE et des associations. Évalué à 2.
[^] # Re: Alim...
Posté par PLuG . En réponse au message enquête post-mortem sur un serveur. Évalué à 1.
Sinon je conseillerai de vérifier le disque dur, si c'est un serveur tu dois avoir des logs sur le disque lui même (SMART), voire dans le bios ...
# ITIL ?
Posté par PLuG . En réponse au journal Application web de cartographie applicative. Évalué à 1.
# xinetd ...
Posté par PLuG . En réponse au message Redirecteur TCP. Évalué à 4.
extrait du man de xinetd.conf
redirect
Autorise un service tcp à être redirigé vers une autre machine. Quand xinetd reçoit une connexion tcp sur ce port, il lance un processus qui établit une connexion vers l'hôte et le numéro de port spécifié, et transmet toute les données entre les deux machines. Cette option est très utile quand votre réseau interne n'est pas visible depuis l'extérieur. La syntaxe est : redirect = (adresse ip) (port). Vous pouvez aussi utiliser un nom de machine à la place de l'adresse IP dans ce champ. La résolution du nom n'est effectuée qu'une seule fois, lorsque xinetd est lancé, et la première adresse IP renvoyée est celle qui sera utilisée, jusqu'à ce que xinetd soit redémarré. L'attribut « server » n'est pas requis lorsque cette option est spécifiée. Si l'attribut « server » est spécifié, il est est prioritaire.
[^] # Re: jobq
Posté par PLuG . En réponse au message Logiciel de Batch tout simple. Évalué à 1.
ou alors j'ai pas compris ?
[^] # Re: il me manque les extensions ki-vont-bien
Posté par PLuG . En réponse au sondage Chromium / Google Chrome sous Linux. Évalué à 1.
# il me manque les extensions ki-vont-bien
Posté par PLuG . En réponse au sondage Chromium / Google Chrome sous Linux. Évalué à 3.
mais il ne marche pas sur certains sites (rue du commerce par exemple les menus affichent "en cours de chargement" au lieu du contenu habituel),
et surtout c'est une regression par rapport a FF + quelques extensions, la plus gênante etant "password hasher" pour les mots de passe idiots qu'on est sensés utiliser sur les sites web...
j'ai bien trouvé une version pour chrome mais elle ne marche pas.
[^] # Re: Temps libre
Posté par PLuG . En réponse au journal Comment protéger ses serveurs. Évalué à 3.
Si le contenu est illégal, c'est aux forces de l'ordre qu'il faut en référer ( pedophilie, ...) mais pas aux managers de la personne.
De plus la jurisprudence oscille régulièrement et donne quand même parfois raison au patron ... il faut se méfier.
Pour que ce soit clair, il est préférable de bien rédiger la charte d'utilisation du matériel pour que le cadre d'utilisation accepté par l'entreprise soit clairement défini et connu des employés. Pour les employés, maintenant que tout le monde peut avoir un lecteur mp3 dans sa poche, stocker de la musique sur la machine qui appartient à l'entreprise alors que la charte stipule le contraire est juste ... idiot.
En général le matériel est mis à la disposition des employés pour qu'ils accomplissent leur travail. Une tolérance est demandée par la justice pour simplifier la vie des gens, comme c'était le cas avec l'usage du téléphone (on a le droit de gérer un cas exceptionnel (probleme bancaire, avec l'ecole des gosses, ...) mais pas de téléphoner tous les jours pendant des plombes à sa femme, le tribunal "pourrait" juger cet usage abusif). Est-ce que se servir de la machine comme jukebox tous les jours est dans la tolérance ... pas sur.
[^] # Re: Priorité de mémoire virtuelle
Posté par PLuG . En réponse au message Gestion Mémoire. Évalué à 4.
par contre une fois que linux a ete obligé de swapper une partie de ton job 7, il est clair qu'il ne va pas le ramener en RAM quand la ram se libère si il n'y a pas de fautes de pages.
j'explique:
quand la ram se libère, pour "deswapper" les morceaux de ton job 7, il faut lire les pages de ce job qui sont swappées sur disque pour les remonter en RAM. Cette opération est relativement couteuse (I/O, cpu, ...) et du coup linux ne le fera que si il a BESOIN des pages qui sont dans le swap. Si dans la pratique il peut continuer son calcul sans acceder a ces données, alors elles sont aussi bien dans le swap qu'en ram et cela ne devrait pas te gêner.
[^] # Re: Coup de gueule
Posté par PLuG . En réponse à la dépêche MimOOo ou « la plus grosse migration OpenOffice.org au monde » en questions. Évalué à 5.
Mais c'est un choix stratégique (avoir les ressources qualifiées, ...) que d'autres n'ont pas fait.
Prendre du "tout MS" c'est une autre stratégie, qui certes rends pieds-et-poings liés à l'éditeur, mais permet de prendre du tout intégré (sharepoint / office / exchange /...) sans avoir besoin de faire l'intégration soit même. En échange, ça coute cher en licences.
Cette stratégie se défend aussi, en fait je pense qu'il y a peu de place pour la stratégie médiane, a partir du moment ou ton entreprises tend vers l'opensource, elle a interêt a y plonger et faire les économies de licences, sinon elle paye un peu "les 2". D'ailleurs MS ne s'y trompe pas et vends des licences "bundle" avec l'OS serveur qui contient un bout de backup, un bout de monitoring, un bout de ... pour rendre les solutions "mixtes" peu viables.
Dans ton exemple, ça vient avec des clauses abusives en prime ... booo pas beau !
[^] # Re: Tout simplement.
Posté par PLuG . En réponse au message Système de vpn redondant. Évalué à 1.
[^] # Re: Connexions ordi/switchs
Posté par PLuG . En réponse au journal Sortie de Tracker (Plugin GLPI). Évalué à 3.
A chaque connexion d'une machine, le switch interroge openvmpsd pour savoir dans quel vlan il faut configurer le port. Pour cela il envoie entre autre l'@ip du switch, le numero de port, la mac de la machine qui se connecte.
Comme openvmpsd peut utiliser des scripts externes pour decider de la réponse a donner, j'ai fait un script en perl qui utilise une db mysql pour gerer les vlans et qui enregistre dans cette db l'information de connexion de la machine.
Du coup on a une appli php qui nous donne pour chaque machine l'historique des connexions, avec des heures précises, dès que la personne connecte son portable on "sait" qu'elle est en salle de réunion et non pas dans son bureau, très pratique pour le support.
# et pourquoi ssh ?
Posté par PLuG . En réponse au message Sécurité d'un rsync via ssh. Évalué à 2.
pourquoi veut tu authentifier tes mirroirs avec une clef ssh + leur @ip ?
si leur serveur est compromis, tes fichiers y sont déjà (c'est un mirroir), et la clef privée ssh certainement sans passphrase (pour marcher en cron) est déjà sur le serveur ...
peut-etre que tu complique juste le problème, tu peux configurer rsync pour qu'il soit lancé par xinetd, et gerer les accès dans /etc/rsyncd.conf, même plus besoin de créer un user par site mirroir sur ton système ...
[^] # Re: Dimensionnement
Posté par PLuG . En réponse au message "load average" et dimensionnement d'un serveur. Évalué à 4.
Pour certaines applications il a fallu désactiver HT dans le bios pour qu'elles marchent bien.
Mon point de vue (qui n'engage que moi), c'est que sur des postes utilisateurs, c'est plutot un gain sympa, mais pour du serveur le gain est marginal, d'autant que le cout du hardware intel est souvent faible par rapport au reste du projet (charge de travail pour l'intégration, licences logicielles quand il y en a). De plus quand les licences logicielles se basent sur le nombre d'unités de calcul, il vaut mieux désactiver ces "fausses" unités que sont HT.
La game de cpu Intel suivant ces pentium-4 HT a été des vrais multicores, bien plus simples à intégrer, et avec des gains prévisibles en performance... quand je vois que les nehalem sont multicore +HT, je me demande si ce sera le même "cirque" que sur le pentium-4 coté serveur.
[^] # Re: Alors moi j'ai des fortunes.
Posté par PLuG . En réponse au journal ha le php et ses élites. Évalué à 3.
[^] # Re: Pas que le GPS
Posté par PLuG . En réponse à la dépêche Votre smartphone est-t-il un mouchard en puissance ?. Évalué à 2.
égale:
mais du coup si on prolonge la droite en dehors du segment des deux intersections, le signal des émetteurs continue a être de même puissance ... je suppose donc que c'est une droite passant par les deux intersections, mais sans limites.
enfin bon, il faut un troisième cercle on a dit :-)
[^] # Re: Dimensionnement
Posté par PLuG . En réponse au message "load average" et dimensionnement d'un serveur. Évalué à 3.
mais tu as raison, il faut tenir compte des possibilités de traitement parallèle des cpus.
Sur Intel, il faut compter les cores, ce qui n'est pas lisible dans /proc/cpuinfo si on a des proc multithreadés... moi j'ai tendance a ne pas prendre en compte l'hyperthreading.
quelqu'un sait ce que vaut l'hyperthreading du nehalem ? est-ce aussi "moche" que le pentium ?
Autre erreur: si t'as 8 cores et qu'un seul d'entre eux est a 100%, ton appli est probablement en attente de CPU !!
la solution serait de la ré-écrire ou de lancer plusieurs instances en parallèle, ... ou de changer d'architecture matérielle (core plus rapide mais moins nombreux)
[^] # Re: Pas que le GPS
Posté par PLuG . En réponse à la dépêche Votre smartphone est-t-il un mouchard en puissance ?. Évalué à 5.
[^] # Re: Presse papier
Posté par PLuG . En réponse à la dépêche Revue de presse de l'April pour la semaine 40. Évalué à 2.
# quelle version ?
Posté par PLuG . En réponse au message Comparaison SGBDR. Évalué à 2.
Quelle version de MySQL fait tu tourner ?
As-tu passé les requêtes que tu trouves lente a un "explain plan" ?
[^] # Re: vnc
Posté par PLuG . En réponse au message Équivalent de GNU Screen pour une session X. Évalué à 3.
ben c'est supporté en standard par x11vnc. il faut configurer xinetd pour qu'il ecoute sur le port 5900 et passe la connexion a x11vnc avec des options pour lui dire d'utiliser le login/passwd unix, de changer de uid pour l'utilisateur qui vient de s'authentifier, et de lancer une session X si aucune n'existe.
C'est (mal) documenté sut le site de x11vnc ( http://www.karlrunge.com/x11vnc/ ), si tu as besoin d'exemples, j'en récupererai au boulot :-)
[^] # Re: vnc
Posté par PLuG . En réponse au message Équivalent de GNU Screen pour une session X. Évalué à 2.
x11vnc peut utiliser Xvnc pour créer des sessions X qui ne sont pas la session Xorg ( :0 ) du serveur, et l'utilisateur peut utiliser soit sa clef ssh, soit son mot de passe unix pour s'authentifier. De plus tous les displays crées peuvent être joignables sur le port vnc par défaut (5900) et donc plus besoin de convenir a l'avance d'un port particulier pour une personne. C'est quand même plus pratique !
[^] # Re: vnc
Posté par PLuG . En réponse au message Équivalent de GNU Screen pour une session X. Évalué à 4.
x11vnc peut servir a donner acces a la session X11 existante (celle du serveur) à distance en vnc, mais il sait aussi servir des sessions. Les options de la ligne de commande sont touffues, mais on peut faire pas mal de choses.
Par exemple:
- ecoute sur le port tcp/5900 via xinetd (vnc standard) et demande de user+password graphiquement (en protocole vnc), puis changement d'uid pour lancer la session X11 qui sera accessible en vnc. Dans ce mode, on peut lui demander de ne pas tuer la session a la deconnection et de la récupérer quand le meme user revient. Tout ce qu'il faut sur le client c'est un client VNC.
- ou alors, l'utilisateur se connecte grace a sa clef ssh et le protocole VNC est tunnelé dans SSH. Dans ce mode, plus besoin de user+password et la aussi la session peut rester et etre recupérée. Pour utiliser ce mode, j'ai un peu instrumenté le .profile pour que la socket de liaison avec l'agent SSH ne change pas de nom a chaque session et du coup quand je me reconnecte, tous mes xterms et autres programmes déjà lancés récupèrent également la connection vers mon agent ssh (ma clef privée reste sur mon portable, pas question de la copier sur le serveur).
bref, on peut faire pas mal de choses. J'ai même utilisé le mode authentification ldap, et j'ai du envoyer un patch car il y a un bug quand on veut utiliser le mode xinetd et ldap.
[^] # Re: un MOM
Posté par PLuG . En réponse au message Liaison réseau "tamponnée". Évalué à 4.
Avec la méthode "fichiers" il va falloir définir le format des fichiers (xml ? ascii ? ...) et puis décider quand on peut l'effacer (quand considère t'on qu'il a bien été traité en face ?), et puis mettre en place un compte applicatif avec une clef ssh sans passphrase (scp), mais alors on voudra le bloquer dans un sous répertoire pour sécuriser la machine (chroot ?) ou alors ne pas utiliser scp mais plutôt une commande associée a la clef ...
Et puis cela va marcher ... jusqu'au jour ou le contenu du fichier ne sera pas prévu par le parser écrit a-la-rache, et que l'import du fichier va foirer. mais comme c'est mal écrit le script ne sait pas remonter l'erreur, ni sauter le fichier qui pose problème, du coup il se bloque.
Alors on va décider d'ajouter du monitoring, de créer les sondes cacti qui vont avec, et on va de nouveau engager 15 jours/homme sur ce problème pour "ne pas utiliser d'acronymes".
Si le besoin est ultra simple (et cela semble le cas), scp peut-être la bonne méthode, mais moi j'en ai marre des usines a gaz commandées par des crontab qui se lancent toutes les minutes, et qui s'enchainent de serveur en serveur pour faire passer les informations. C'est rapide a mettre en place mais c'est rapidement la foire totale sur les machines.