Je pertinente et j'en rajoute.
Si le probleme est avec ton propre domaine, tu n'as qu'a lister les @IP qui ont le droit d'émettre des mails pour ton domaine, ça devrait bloquer ces mails.
Autre chose, les moyens techniques à disposition des entreprises permettent réellement de controler le trafic vers Internet.
Imagine une entreprise avec du NAC (network access control), tu ne peux y connecter que des machines installées par la DSI. Sur ces machines, tu n'es pas admin et pour installer un nouveau logiciel il faut le faire packager par la DSI. Ne pense pas l'executer depuis ta clef USB, l'OS le refusera, il n'execute que les binaires installés par des packages de la société.
Cerise sur le gateau, le réseau interne n'est pas routé vers internet, il faut absolument passer par des proxy en layer7 qui analysent les flux.
Je veux bien que 'les gens trouveront une solution', mais des solutions y'en existe des deux cotés, et crois moi, si la DSI met en place ce qui existe, les gens auront du mal à trouver.
(après quoi je suis d'accord que c'est pas un monde rêvé, je ne dis pas qu'il faut le faire, je dis juste que ça existe).
Interessant ton point de vue.
Imagine que je pense que "oublier" de passer à la caisse au supermarché c'est plus pratique (excuse: y'avait la queue) tu penses que ce serait une bonne raison de devenir un voleur ?
La seule chose qui l'interdit c'est la loi, le règlement. Et le règlement est fait pour que les interets d'individus ne soient pas satisfait au détriement des intérêt de la société.
Figure toi que c'est la même chose en entreprise. Si tu as un besoin, tu l'exprime, la direction l'analyse et te donne une solution, ou pas si elle décide que tu ne dois pas le faire. Mais t'es pas en entreprise pour faire ce-que-tu-veux.
Le problème, c'est que l'entreprise a des obligations légales avec les états, contractuelles avec ses associés/partenaires/clients, ... et que sur place y'a des gens qui sont responsable de la santé du SI, des fuites d'informations, ...
reste plusieurs cas:
- mauvaise DSI: coupe tout (mais mal), les applis passent par le port 80 sans qu'elle le sache, en cas de problème elle dira qu'elle a fait le necessaire mais que l'employé a contourné le règlement => faute sur l'employé
- bonne DSI : ne coupe rien, les applis passent de partout sans qu'elle le sache, en cas de problème l'utilisateur dira qu'il ne savait pas, qu'il n'a pas fait exprès => faute sur la DSI
si t'es admin, tu préfère quelle solution ?
si quand tu demandes, on te répond juste NON, parce que la DSI ne fait pas son boulot, et bien en entreprise y'a un processus d'escalade hierarchique, qui fait que au final si ton besoin est important pour l'entreprise il sera satisfait, et que la DSI comprendra qu'elle doit mieux faire la prochaine fois. Mais si tu contourne, tu fais le jeu de la DSI aussi, et tu ne fais pas avancer l'entreprise en elle même.... t'avais peut-etre de bonnes raisons, mais au lieu de te comporter en acteur bienveillant pour la société, t'es juste devenu un individu hors la loi. D'un autre coté la DSI avait peut-etre aussi une très bonne raison de dire NON et de hors la loi tu deviens peut-etre carrément dangereux pour ton entreprise.
Mes deux exemples de DSI ne sont pas complets, y'en a une troisieme, celle la aussi elle coupe par defaut, elle ne dit pas oui facilement non plus pour ajouter des flux, mais en plus elle analyse le traffic, et rappelle aux individus "pressés" qu'il ont signé une charte informatique, annexée au règlement intérieur. Dans l'idéal elle a des relais dans chaque organisation pour capter les besoins et passer des messages, elle communique aussi sur la sécurité informatique pour que les employés soient avertis des risques sur leur pc perso. Du coup les utilisateurs l'appellent facilement pour leurs nouveaux besoins. Pour les contrevenants récidiviste elle peut aller jusqu'a emettre des avertissements ... en général le bien de l'entreprise reprend le dessus.
D'un autre coté, les gens ne respectent pas la politique de sécurité de l'entreprise. Si ils ont besoin d'une application particulière pour échanger avec l'extérieur sur autre chose que le port 80, il suffit de le demander à l'admin (ou aux responsables de l'admin).
Mais on préfère plutot faire passer de nouveaux flux sans lui en parler, en les maquillant sur le port 80.
>C'est con de devoir en passer par la, mais comme on peut pas foutre une claque à tous les admins qui bloquent les ports
Bloquer les ports, c'est une précaution saine pour éviter que n'importe quel appli a la con communique vers l'extérieur sans soucis. Ensuite faut analyser les nouveaux besoins et ouvrir les ports necessaires uniquement ... Seulement le vrai problème, c'est pas les admins qui ont bloqués les ports, c'est les utilisateurs qui veulent faire passer des trucs dont il savent que la direction ne veut pas ...
Chez nous nous avons préféré aussi l'appel vocal, car cela permet au modem de savoir si la personne a répondu au téléphone ou pas ... pour gérer des escalades après plusieurs appels manqués. Comme on voulait être indépendant du réseau informatique (en cas de panne) on utilise un modem RTC normal et vgetty ... simple et efficace !
La gestion du matériel, des logiciels, des incidents, des changements, des problèmes ... tout cela est cadré dans ITIL, je te conseille d'y jeter un oeuil et de t'en inspirer au lieu de ré-inventer complètement des processus de gestion. C'est une bonne source d'idées de choses "qui marchent".
xinetd qui remplace le inetd de base le fait en natif. je l'utilise depuis longtemps sans soucis.
extrait du man de xinetd.conf
redirect
Autorise un service tcp à être redirigé vers une autre machine. Quand xinetd reçoit une connexion tcp sur ce port, il lance un processus qui établit une connexion vers l'hôte et le numéro de port spécifié, et transmet toute les données entre les deux machines. Cette option est très utile quand votre réseau interne n'est pas visible depuis l'extérieur. La syntaxe est : redirect = (adresse ip) (port). Vous pouvez aussi utiliser un nom de machine à la place de l'adresse IP dans ce champ. La résolution du nom n'est effectuée qu'une seule fois, lorsque xinetd est lancé, et la première adresse IP renvoyée est celle qui sera utilisée, jusqu'à ce que xinetd soit redémarré. L'attribut « server » n'est pas requis lorsque cette option est spécifiée. Si l'attribut « server » est spécifié, il est est prioritaire.
Ben si tu fais 8 queues et que tu sais répartir les jobs a-la-main tu peux te passer de jobq et juste ecrire tes commandes dans 8 shell différents que tu lance en parallèle ....
j'ai essayé chromium sur fedora, c'est vrai qu'il est ultra rapide ...
mais il ne marche pas sur certains sites (rue du commerce par exemple les menus affichent "en cours de chargement" au lieu du contenu habituel),
et surtout c'est une regression par rapport a FF + quelques extensions, la plus gênante etant "password hasher" pour les mots de passe idiots qu'on est sensés utiliser sur les sites web...
j'ai bien trouvé une version pour chrome mais elle ne marche pas.
Dans la pratique les dossiers "perso" peuvent être fouillés, et heureusement (recherche de virus, enquetes, ...) mais le contenu ne peut pas être révélé à la hierarchie de la personne.
Si le contenu est illégal, c'est aux forces de l'ordre qu'il faut en référer ( pedophilie, ...) mais pas aux managers de la personne.
De plus la jurisprudence oscille régulièrement et donne quand même parfois raison au patron ... il faut se méfier.
Pour que ce soit clair, il est préférable de bien rédiger la charte d'utilisation du matériel pour que le cadre d'utilisation accepté par l'entreprise soit clairement défini et connu des employés. Pour les employés, maintenant que tout le monde peut avoir un lecteur mp3 dans sa poche, stocker de la musique sur la machine qui appartient à l'entreprise alors que la charte stipule le contraire est juste ... idiot.
En général le matériel est mis à la disposition des employés pour qu'ils accomplissent leur travail. Une tolérance est demandée par la justice pour simplifier la vie des gens, comme c'était le cas avec l'usage du téléphone (on a le droit de gérer un cas exceptionnel (probleme bancaire, avec l'ecole des gosses, ...) mais pas de téléphoner tous les jours pendant des plombes à sa femme, le tribunal "pourrait" juger cet usage abusif). Est-ce que se servir de la machine comme jukebox tous les jours est dans la tolérance ... pas sur.
je trouve cela etrange aussi...
par contre une fois que linux a ete obligé de swapper une partie de ton job 7, il est clair qu'il ne va pas le ramener en RAM quand la ram se libère si il n'y a pas de fautes de pages.
j'explique:
quand la ram se libère, pour "deswapper" les morceaux de ton job 7, il faut lire les pages de ce job qui sont swappées sur disque pour les remonter en RAM. Cette opération est relativement couteuse (I/O, cpu, ...) et du coup linux ne le fera que si il a BESOIN des pages qui sont dans le swap. Si dans la pratique il peut continuer son calcul sans acceder a ces données, alors elles sont aussi bien dans le swap qu'en ram et cela ne devrait pas te gêner.
Je te comprends, au boulot on est très open source, et capables de maintenir et faire évoluer (proposer des patchs au moins) les logiciels opensource que nous utilisons... Du coup on a le biais inverse, si c'est pas opensource on considère la solution en second choix.
Mais c'est un choix stratégique (avoir les ressources qualifiées, ...) que d'autres n'ont pas fait.
Prendre du "tout MS" c'est une autre stratégie, qui certes rends pieds-et-poings liés à l'éditeur, mais permet de prendre du tout intégré (sharepoint / office / exchange /...) sans avoir besoin de faire l'intégration soit même. En échange, ça coute cher en licences.
Cette stratégie se défend aussi, en fait je pense qu'il y a peu de place pour la stratégie médiane, a partir du moment ou ton entreprises tend vers l'opensource, elle a interêt a y plonger et faire les économies de licences, sinon elle paye un peu "les 2". D'ailleurs MS ne s'y trompe pas et vends des licences "bundle" avec l'OS serveur qui contient un bout de backup, un bout de monitoring, un bout de ... pour rendre les solutions "mixtes" peu viables.
Dans ton exemple, ça vient avec des clauses abusives en prime ... booo pas beau !
je plussoie, et puis tes firewall sont surement joignables en SSH au cas ou un probleme casse les vpns ... comme ça tu peux commencer par réparer les vpns :-)
Sur du cisco de mon coté j'ai mis en place le vlan dynamique (protocole VMPS) pour lequel il existe un dameon opensource (openvmpsd).
A chaque connexion d'une machine, le switch interroge openvmpsd pour savoir dans quel vlan il faut configurer le port. Pour cela il envoie entre autre l'@ip du switch, le numero de port, la mac de la machine qui se connecte.
Comme openvmpsd peut utiliser des scripts externes pour decider de la réponse a donner, j'ai fait un script en perl qui utilise une db mysql pour gerer les vlans et qui enregistre dans cette db l'information de connexion de la machine.
Du coup on a une appli php qui nous donne pour chaque machine l'historique des connexions, avec des heures précises, dès que la personne connecte son portable on "sait" qu'elle est en salle de réunion et non pas dans son bureau, très pratique pour le support.
avec rsync tu peux filtrer quelles @ip ont acces à quels partage rsync et rsync supporte le chroot tout seul (tu as d'ailleurs mis chroot=no).
pourquoi veut tu authentifier tes mirroirs avec une clef ssh + leur @ip ?
si leur serveur est compromis, tes fichiers y sont déjà (c'est un mirroir), et la clef privée ssh certainement sans passphrase (pour marcher en cron) est déjà sur le serveur ...
peut-etre que tu complique juste le problème, tu peux configurer rsync pour qu'il soit lancé par xinetd, et gerer les accès dans /etc/rsyncd.conf, même plus besoin de créer un user par site mirroir sur ton système ...
l'hyperthreading des pentium-4 ne couvre pas toutes les instructions, par exemple les calculs en flottant ne sont pas parallelisables. En pratique il y a un gain en performance par rapport a un core non hyperthreadé, mais c'est pas simple a prévoir, cela dépend beaucoup des applications utilisées. En multicore hyperthreadés, il faudrait faire des groupes d'applications pouvant tourner sur un même core en même temps sans trop se gêner et demander au scheduleur de respecter ces groupes ...
Pour certaines applications il a fallu désactiver HT dans le bios pour qu'elles marchent bien.
Mon point de vue (qui n'engage que moi), c'est que sur des postes utilisateurs, c'est plutot un gain sympa, mais pour du serveur le gain est marginal, d'autant que le cout du hardware intel est souvent faible par rapport au reste du projet (charge de travail pour l'intégration, licences logicielles quand il y en a). De plus quand les licences logicielles se basent sur le nombre d'unités de calcul, il vaut mieux désactiver ces "fausses" unités que sont HT.
La game de cpu Intel suivant ces pentium-4 HT a été des vrais multicores, bien plus simples à intégrer, et avec des gains prévisibles en performance... quand je vois que les nehalem sont multicore +HT, je me demande si ce sera le même "cirque" que sur le pentium-4 coté serveur.
>c'est une droite entre les deux intersections la ou le signal des émetteurs ont une puissance
égale:
mais du coup si on prolonge la droite en dehors du segment des deux intersections, le signal des émetteurs continue a être de même puissance ... je suppose donc que c'est une droite passant par les deux intersections, mais sans limites.
enfin bon, il faut un troisième cercle on a dit :-)
il n'a pas précisé comment il comptait les cpus :-)
mais tu as raison, il faut tenir compte des possibilités de traitement parallèle des cpus.
Sur Intel, il faut compter les cores, ce qui n'est pas lisible dans /proc/cpuinfo si on a des proc multithreadés... moi j'ai tendance a ne pas prendre en compte l'hyperthreading.
quelqu'un sait ce que vaut l'hyperthreading du nehalem ? est-ce aussi "moche" que le pentium ?
Autre erreur: si t'as 8 cores et qu'un seul d'entre eux est a 100%, ton appli est probablement en attente de CPU !!
la solution serait de la ré-écrire ou de lancer plusieurs instances en parallèle, ... ou de changer d'architecture matérielle (core plus rapide mais moins nombreux)
MySQL a beaucoup progressé en performance dans les dernières versions, dixit même certains articles sur ce site.
Quelle version de MySQL fait tu tourner ?
As-tu passé les requêtes que tu trouves lente a un "explain plan" ?
[^] # Re: Pratique courante
Posté par PLuG . En réponse au message Améliorer la configuration SPF. Évalué à 1.
Si le probleme est avec ton propre domaine, tu n'as qu'a lister les @IP qui ont le droit d'émettre des mails pour ton domaine, ça devrait bloquer ces mails.
[^] # Re: Je suis vieux ?
Posté par PLuG . En réponse à la dépêche Mozilla continue d'avancer !. Évalué à 2.
Imagine une entreprise avec du NAC (network access control), tu ne peux y connecter que des machines installées par la DSI. Sur ces machines, tu n'es pas admin et pour installer un nouveau logiciel il faut le faire packager par la DSI. Ne pense pas l'executer depuis ta clef USB, l'OS le refusera, il n'execute que les binaires installés par des packages de la société.
Cerise sur le gateau, le réseau interne n'est pas routé vers internet, il faut absolument passer par des proxy en layer7 qui analysent les flux.
Je veux bien que 'les gens trouveront une solution', mais des solutions y'en existe des deux cotés, et crois moi, si la DSI met en place ce qui existe, les gens auront du mal à trouver.
(après quoi je suis d'accord que c'est pas un monde rêvé, je ne dis pas qu'il faut le faire, je dis juste que ça existe).
[^] # Re: Je suis vieux ?
Posté par PLuG . En réponse à la dépêche Mozilla continue d'avancer !. Évalué à 2.
Imagine que je pense que "oublier" de passer à la caisse au supermarché c'est plus pratique (excuse: y'avait la queue) tu penses que ce serait une bonne raison de devenir un voleur ?
La seule chose qui l'interdit c'est la loi, le règlement. Et le règlement est fait pour que les interets d'individus ne soient pas satisfait au détriement des intérêt de la société.
Figure toi que c'est la même chose en entreprise. Si tu as un besoin, tu l'exprime, la direction l'analyse et te donne une solution, ou pas si elle décide que tu ne dois pas le faire. Mais t'es pas en entreprise pour faire ce-que-tu-veux.
Le problème, c'est que l'entreprise a des obligations légales avec les états, contractuelles avec ses associés/partenaires/clients, ... et que sur place y'a des gens qui sont responsable de la santé du SI, des fuites d'informations, ...
reste plusieurs cas:
- mauvaise DSI: coupe tout (mais mal), les applis passent par le port 80 sans qu'elle le sache, en cas de problème elle dira qu'elle a fait le necessaire mais que l'employé a contourné le règlement => faute sur l'employé
- bonne DSI : ne coupe rien, les applis passent de partout sans qu'elle le sache, en cas de problème l'utilisateur dira qu'il ne savait pas, qu'il n'a pas fait exprès => faute sur la DSI
si t'es admin, tu préfère quelle solution ?
si quand tu demandes, on te répond juste NON, parce que la DSI ne fait pas son boulot, et bien en entreprise y'a un processus d'escalade hierarchique, qui fait que au final si ton besoin est important pour l'entreprise il sera satisfait, et que la DSI comprendra qu'elle doit mieux faire la prochaine fois. Mais si tu contourne, tu fais le jeu de la DSI aussi, et tu ne fais pas avancer l'entreprise en elle même.... t'avais peut-etre de bonnes raisons, mais au lieu de te comporter en acteur bienveillant pour la société, t'es juste devenu un individu hors la loi. D'un autre coté la DSI avait peut-etre aussi une très bonne raison de dire NON et de hors la loi tu deviens peut-etre carrément dangereux pour ton entreprise.
Mes deux exemples de DSI ne sont pas complets, y'en a une troisieme, celle la aussi elle coupe par defaut, elle ne dit pas oui facilement non plus pour ajouter des flux, mais en plus elle analyse le traffic, et rappelle aux individus "pressés" qu'il ont signé une charte informatique, annexée au règlement intérieur. Dans l'idéal elle a des relais dans chaque organisation pour capter les besoins et passer des messages, elle communique aussi sur la sécurité informatique pour que les employés soient avertis des risques sur leur pc perso. Du coup les utilisateurs l'appellent facilement pour leurs nouveaux besoins. Pour les contrevenants récidiviste elle peut aller jusqu'a emettre des avertissements ... en général le bien de l'entreprise reprend le dessus.
[^] # Re: Je suis vieux ?
Posté par PLuG . En réponse à la dépêche Mozilla continue d'avancer !. Évalué à 4.
Mais on préfère plutot faire passer de nouveaux flux sans lui en parler, en les maquillant sur le port 80.
>C'est con de devoir en passer par la, mais comme on peut pas foutre une claque à tous les admins qui bloquent les ports
Bloquer les ports, c'est une précaution saine pour éviter que n'importe quel appli a la con communique vers l'extérieur sans soucis. Ensuite faut analyser les nouveaux besoins et ouvrir les ports necessaires uniquement ... Seulement le vrai problème, c'est pas les admins qui ont bloqués les ports, c'est les utilisateurs qui veulent faire passer des trucs dont il savent que la direction ne veut pas ...
[^] # Re: des noms
Posté par PLuG . En réponse au message Syslog-ng et envoi de SMS. Évalué à 1.
[^] # Re: et Dolibarr ?
Posté par PLuG . En réponse à la dépêche Ekylibre : pour la gestion des TPE et des associations. Évalué à 2.
[^] # Re: Alim...
Posté par PLuG . En réponse au message enquête post-mortem sur un serveur. Évalué à 1.
Sinon je conseillerai de vérifier le disque dur, si c'est un serveur tu dois avoir des logs sur le disque lui même (SMART), voire dans le bios ...
# ITIL ?
Posté par PLuG . En réponse au journal Application web de cartographie applicative. Évalué à 1.
# xinetd ...
Posté par PLuG . En réponse au message Redirecteur TCP. Évalué à 4.
extrait du man de xinetd.conf
redirect
Autorise un service tcp à être redirigé vers une autre machine. Quand xinetd reçoit une connexion tcp sur ce port, il lance un processus qui établit une connexion vers l'hôte et le numéro de port spécifié, et transmet toute les données entre les deux machines. Cette option est très utile quand votre réseau interne n'est pas visible depuis l'extérieur. La syntaxe est : redirect = (adresse ip) (port). Vous pouvez aussi utiliser un nom de machine à la place de l'adresse IP dans ce champ. La résolution du nom n'est effectuée qu'une seule fois, lorsque xinetd est lancé, et la première adresse IP renvoyée est celle qui sera utilisée, jusqu'à ce que xinetd soit redémarré. L'attribut « server » n'est pas requis lorsque cette option est spécifiée. Si l'attribut « server » est spécifié, il est est prioritaire.
[^] # Re: jobq
Posté par PLuG . En réponse au message Logiciel de Batch tout simple. Évalué à 1.
ou alors j'ai pas compris ?
[^] # Re: il me manque les extensions ki-vont-bien
Posté par PLuG . En réponse au sondage Chromium / Google Chrome sous Linux. Évalué à 1.
# il me manque les extensions ki-vont-bien
Posté par PLuG . En réponse au sondage Chromium / Google Chrome sous Linux. Évalué à 3.
mais il ne marche pas sur certains sites (rue du commerce par exemple les menus affichent "en cours de chargement" au lieu du contenu habituel),
et surtout c'est une regression par rapport a FF + quelques extensions, la plus gênante etant "password hasher" pour les mots de passe idiots qu'on est sensés utiliser sur les sites web...
j'ai bien trouvé une version pour chrome mais elle ne marche pas.
[^] # Re: Temps libre
Posté par PLuG . En réponse au journal Comment protéger ses serveurs. Évalué à 3.
Si le contenu est illégal, c'est aux forces de l'ordre qu'il faut en référer ( pedophilie, ...) mais pas aux managers de la personne.
De plus la jurisprudence oscille régulièrement et donne quand même parfois raison au patron ... il faut se méfier.
Pour que ce soit clair, il est préférable de bien rédiger la charte d'utilisation du matériel pour que le cadre d'utilisation accepté par l'entreprise soit clairement défini et connu des employés. Pour les employés, maintenant que tout le monde peut avoir un lecteur mp3 dans sa poche, stocker de la musique sur la machine qui appartient à l'entreprise alors que la charte stipule le contraire est juste ... idiot.
En général le matériel est mis à la disposition des employés pour qu'ils accomplissent leur travail. Une tolérance est demandée par la justice pour simplifier la vie des gens, comme c'était le cas avec l'usage du téléphone (on a le droit de gérer un cas exceptionnel (probleme bancaire, avec l'ecole des gosses, ...) mais pas de téléphoner tous les jours pendant des plombes à sa femme, le tribunal "pourrait" juger cet usage abusif). Est-ce que se servir de la machine comme jukebox tous les jours est dans la tolérance ... pas sur.
[^] # Re: Priorité de mémoire virtuelle
Posté par PLuG . En réponse au message Gestion Mémoire. Évalué à 4.
par contre une fois que linux a ete obligé de swapper une partie de ton job 7, il est clair qu'il ne va pas le ramener en RAM quand la ram se libère si il n'y a pas de fautes de pages.
j'explique:
quand la ram se libère, pour "deswapper" les morceaux de ton job 7, il faut lire les pages de ce job qui sont swappées sur disque pour les remonter en RAM. Cette opération est relativement couteuse (I/O, cpu, ...) et du coup linux ne le fera que si il a BESOIN des pages qui sont dans le swap. Si dans la pratique il peut continuer son calcul sans acceder a ces données, alors elles sont aussi bien dans le swap qu'en ram et cela ne devrait pas te gêner.
[^] # Re: Coup de gueule
Posté par PLuG . En réponse à la dépêche MimOOo ou « la plus grosse migration OpenOffice.org au monde » en questions. Évalué à 5.
Mais c'est un choix stratégique (avoir les ressources qualifiées, ...) que d'autres n'ont pas fait.
Prendre du "tout MS" c'est une autre stratégie, qui certes rends pieds-et-poings liés à l'éditeur, mais permet de prendre du tout intégré (sharepoint / office / exchange /...) sans avoir besoin de faire l'intégration soit même. En échange, ça coute cher en licences.
Cette stratégie se défend aussi, en fait je pense qu'il y a peu de place pour la stratégie médiane, a partir du moment ou ton entreprises tend vers l'opensource, elle a interêt a y plonger et faire les économies de licences, sinon elle paye un peu "les 2". D'ailleurs MS ne s'y trompe pas et vends des licences "bundle" avec l'OS serveur qui contient un bout de backup, un bout de monitoring, un bout de ... pour rendre les solutions "mixtes" peu viables.
Dans ton exemple, ça vient avec des clauses abusives en prime ... booo pas beau !
[^] # Re: Tout simplement.
Posté par PLuG . En réponse au message Système de vpn redondant. Évalué à 1.
[^] # Re: Connexions ordi/switchs
Posté par PLuG . En réponse au journal Sortie de Tracker (Plugin GLPI). Évalué à 3.
A chaque connexion d'une machine, le switch interroge openvmpsd pour savoir dans quel vlan il faut configurer le port. Pour cela il envoie entre autre l'@ip du switch, le numero de port, la mac de la machine qui se connecte.
Comme openvmpsd peut utiliser des scripts externes pour decider de la réponse a donner, j'ai fait un script en perl qui utilise une db mysql pour gerer les vlans et qui enregistre dans cette db l'information de connexion de la machine.
Du coup on a une appli php qui nous donne pour chaque machine l'historique des connexions, avec des heures précises, dès que la personne connecte son portable on "sait" qu'elle est en salle de réunion et non pas dans son bureau, très pratique pour le support.
# et pourquoi ssh ?
Posté par PLuG . En réponse au message Sécurité d'un rsync via ssh. Évalué à 2.
pourquoi veut tu authentifier tes mirroirs avec une clef ssh + leur @ip ?
si leur serveur est compromis, tes fichiers y sont déjà (c'est un mirroir), et la clef privée ssh certainement sans passphrase (pour marcher en cron) est déjà sur le serveur ...
peut-etre que tu complique juste le problème, tu peux configurer rsync pour qu'il soit lancé par xinetd, et gerer les accès dans /etc/rsyncd.conf, même plus besoin de créer un user par site mirroir sur ton système ...
[^] # Re: Dimensionnement
Posté par PLuG . En réponse au message "load average" et dimensionnement d'un serveur. Évalué à 4.
Pour certaines applications il a fallu désactiver HT dans le bios pour qu'elles marchent bien.
Mon point de vue (qui n'engage que moi), c'est que sur des postes utilisateurs, c'est plutot un gain sympa, mais pour du serveur le gain est marginal, d'autant que le cout du hardware intel est souvent faible par rapport au reste du projet (charge de travail pour l'intégration, licences logicielles quand il y en a). De plus quand les licences logicielles se basent sur le nombre d'unités de calcul, il vaut mieux désactiver ces "fausses" unités que sont HT.
La game de cpu Intel suivant ces pentium-4 HT a été des vrais multicores, bien plus simples à intégrer, et avec des gains prévisibles en performance... quand je vois que les nehalem sont multicore +HT, je me demande si ce sera le même "cirque" que sur le pentium-4 coté serveur.
[^] # Re: Alors moi j'ai des fortunes.
Posté par PLuG . En réponse au journal ha le php et ses élites. Évalué à 3.
[^] # Re: Pas que le GPS
Posté par PLuG . En réponse à la dépêche Votre smartphone est-t-il un mouchard en puissance ?. Évalué à 2.
égale:
mais du coup si on prolonge la droite en dehors du segment des deux intersections, le signal des émetteurs continue a être de même puissance ... je suppose donc que c'est une droite passant par les deux intersections, mais sans limites.
enfin bon, il faut un troisième cercle on a dit :-)
[^] # Re: Dimensionnement
Posté par PLuG . En réponse au message "load average" et dimensionnement d'un serveur. Évalué à 3.
mais tu as raison, il faut tenir compte des possibilités de traitement parallèle des cpus.
Sur Intel, il faut compter les cores, ce qui n'est pas lisible dans /proc/cpuinfo si on a des proc multithreadés... moi j'ai tendance a ne pas prendre en compte l'hyperthreading.
quelqu'un sait ce que vaut l'hyperthreading du nehalem ? est-ce aussi "moche" que le pentium ?
Autre erreur: si t'as 8 cores et qu'un seul d'entre eux est a 100%, ton appli est probablement en attente de CPU !!
la solution serait de la ré-écrire ou de lancer plusieurs instances en parallèle, ... ou de changer d'architecture matérielle (core plus rapide mais moins nombreux)
[^] # Re: Pas que le GPS
Posté par PLuG . En réponse à la dépêche Votre smartphone est-t-il un mouchard en puissance ?. Évalué à 5.
[^] # Re: Presse papier
Posté par PLuG . En réponse à la dépêche Revue de presse de l'April pour la semaine 40. Évalué à 2.
# quelle version ?
Posté par PLuG . En réponse au message Comparaison SGBDR. Évalué à 2.
Quelle version de MySQL fait tu tourner ?
As-tu passé les requêtes que tu trouves lente a un "explain plan" ?