PLuG a écrit 1006 commentaires

>Pourquoi ne pas avoir évalué les solutions a base de logiciel libre
La base de donnée de ces produits est allucinante, le taux de site connus par le produit est de 98% alors que les collaborateurs sont de diverses horizons (commercial, finance, ouvriers, ingenieurs, ...) donc les sites consultés sont très disparates.
Jamais les solutions libres ne sont arrivées a un tel taux de couverture, une fois les catégories a filtrer bien choisies, les appels support pour avoir des exceptions sont extremement rares (meme pas une par semaine), tout est géré par le produit ...
En plus le produit utilisé fait de lui même un man-in-the-middle sur le port 443 pour passer l'antivirus et appliquer la politique sécurité, comme empecher les gens de tunneler n'importe quoi sur le port 443 (on aurait pu le faire en open-source mais cela n'existe pas tout fait il me semble).
Bref je suis un méchant qui filtre beaucoup, d'ailleur le lan ne possède même pas de route vers le méchant extérieur ...

J'avais comparé les filtres optenets avec d'autres pour mon entreprise.
On en a choisi un autre, concurrent, mais de toutes façons ils fonctionnent de la même manière: une analyse a la volée des sites inconnus et une grosse db des sites connus.
Le "filtre" ne filtre rien dans les fait, il ne fait que appliquer la politique de filtrage choisie localement par l'admin. Si l'admin interdit les sites pornos, et que le filtre pense que le site est porno alors il sera bloqué. Mais le filtre ne bloque rien de lui même, il ne fait que classer les sites dans des catégories ...
Chez nous le système concurent fonctionne sur un serveur linux (mais le produit est non libre, je ne veux pas lui faire de pub), et il fonctionne plutot bien ...

je plussoie, utilise expect en module ou même en dehors de perl, c'est son métier de piloter des programmes shell ...

J'te trouve sévère, moi aussi j'utilise linux depuis bien longtemps (la SLS installée en disquettes, au début des années 90, kernel 0.99 quelquechose ...)... bref souvent je suis perdu dans les applications graphiques fournies pour gérer la machine, et bien plus à l'aise avec la ligne de commande. Il faut faire des efforts pour trouver "comment sont censés cliquer les gens" pour faire ce que l'on fait normalement avec un "less /var/log/messages".
Et ça m'arrive de prendre le temps de chercher comment on devrait faire en clicodrome, juste pour pouvoir aider/comprendre les autres utilisateurs. C'est comme ça que je pense que kerro est arrivé au binz qui sert a lire les logs.

Maintenant son problème avec "less". Si mandrake installe less avec par défaut un script lesspipe qui necessite "strings" mais n'installe pas strings => BUG REPORT, la dépendance des packages est foireuse, l'installation du rpm de less aurait du tirer le rpm de strings.
Pour moi c'est clairement un bug de la distribution.

Personne n'est parfait j'utilise une fedora (10 maintenant, 8 y'a pas longtemps) et appuyer sur le bouton power du portable fait apparaitre une fenetre qui propose "suspend" "hibernate" "shutdown" "restart" "cancel" (je l'ai configuré en anglais)... donc ça ne coupe pas le jus et ça ne ferme pas d'autorité les applications ...
Je trouve son test pertinent, les personnes habituées a windows et au mac ne s'attendent pas a perdre leur travail de facto en appuyant sur le bouton.

La ou c'est plus coton c'est pour mirrorer aussi les définitions de type d'updates ( security / bug / enhancement). Je suis en train de regarder comment le faire, a priori y'a un fichier xml.gz a récupérer ...

Si vous avez des infos la dessus, je pense que ça peut aider romain0412 ainsi que moi même :-)

en plus de pushd et popd (que je cite car ils existent, mais je ne les utilise pas tant que ça)

Les grands magazins font parfois des appels d'offre pour de gros volumes de machines aux intégrateurs déjà pas chers.
Du coup tu compare le prix de vente VPC d'une machine avec le prix d'achat que le supermarché obtient avec son gros volume de commandes ...
après le supermarché ajoute tout de même sa marge,
au final tout cela rend la comparaison pas simple ...

Ce ne sont pas des fichiers de config, ce sont des librairies de formats de claviers :-)

C'est effectivement la raison.

Quand le service doit être utilisable en entreprise, le sftp n'est pas la bonne solution. Il y a peu de chances que les postes de travail accèdent en direct a Internet, et beaucoup de chances que ssh sur tcp/22 soit filtré (sinon bonjour les tunnels incontrolés ... n'importe qui fait n'importe quoi, autant supprimer les parefeux).
De plus, vous ne pouvez pas savoir le nombre d'incompétants qui gèrent les réseaux d'entreprise, et qui ne sauraient pas aider leurs utilisateurs avec un proxysocks ou du connect sur tcp/443.
Par contre http/https passe, ftp aussi, (au moins en download mais j'ai besoin d'upload aussi !).
Je pense que je mettrait du sftp, en parallèle, pour ceusse qui savent s'en servir, et surtout pour supporter les très gros fichiers.... mais cela ne me permettra pas de ne rien faire en http.

ben c'est pas hébergé par moi même ça, je ne suis pas free.fr :-)

Je vais tester, ça a l'air pas mal ...

Est-ce qu'on peut uploader des fichiers de 10Gb juste en règlant le max_upload dans php.ini ?

ben s'il dort pas la peine de le regarder, s'il pleure, va le chercher ...
et si tu passes vraiment ton temps a admirer ton nouveau né (c'est humain), alors installe le près de toi comme ça il sera rassuré de te voir lui aussi a chaque fois qu'il ouvre un oeil ... il se sentira rassuré et pleurera moins...

bon ok je sors.

10l aux 100 avec une 2CV, faut peut-etre faire regler le carburateur ... normalement c'est plutot 5 litres/100 ce qui, je suis d'accord, est beaucoup par rapport au poids et a la puissance ... mais faut pas exagérer !

J'arrive à obtenir des fichiers bien moins volumineux qu'avec FFmpeg pour le même débit

ça je ne comprend pas ... si même débit et même longueur, le fichier devrait faire la même taille ....

Tu voulais dire que la qualité vidéo était meilleure ? lapin compris.

C'est donc toi qui possede le MX des domaines de tes clients ...
donc il suffit que tes clients n'implémentent pas SPF chez eux, et que toi tu implémente SPF pour les protéger ... non ?
Eux de leur coté n'ont plus qu'a accepter uniquement les mails relayés par toi ...

pas vraiment, trap ne peut pas "attraper" un kill -9 :-)

A mon avis pour la majorité des cas (des domaines possédés par des entreprises qui maitrisent les passerelles SMTP par lequel sortent leurs emails), le SPF rend complètement service. Meme avec des employés "nomades", il suffit de les forcer à utiliser les infrastructures habituelles de l'entreprise (en gros ils montent d'abord un VPN d'entreprise ...).

Peux-tu nous dire dans quels cas ces forward sont necessaires pour un domaine ?

C'est vrai qu'on ne fait peut-être pas assez de pub autour de SPF, mais je l'ai mis en place il y a plus de deux ans avec un effet IMMEDIAT sur le nombre de spams reçus ...
SPF ça marche, et c'est pas nouveau ... ça fait des années que c'est ESSENTIEL à configurer sur vos serveurs SMTP.

lshw n'est pas installé par défaut ... j'utilise dmidecode en général moi aussi.

Un ensemble de règles bien écrites et bien commentées ne constitue pas une salade de nouilles ...

J'abonde dans ce sens. IPtables est très complet et pas si compliqué à utiliser, de plus on peut lui adjoindre de la QoS, des tables de routage multiples, et plein d'autre choses sympa. Avec la notion de "jump" on peut même optimiser le nombre de règles parcourues par le kernel pour prendre sa décision ...
Je ne vois pas comment on pourrait mettre tout ça dans une interface graphique qui permette de tout représenter d'un seul coup d'oeil.

Si je pouvais donner un conseil ce serait plutot:
- utilisez la ligne de commande iptable dans des scripts c'est précis
- si vous avez trop de règles, ben justement iptables permet de decouper le probleme en plusieurs chaines (et utiliser le jump -j ). Le découpage intelligent des règles permet de les rendre lisibles.
- et si c'est encore trop compliqué c'est que vous tentez de filtrer beaucoup, beaucoup de zones de sécurités différentes avec un seul parefeu ... pour moi c'est MAL car la moindre erreur de règle va compromettre directement la sécurité du réseau, je conseille donc de séparer le problème en utilisant plusieurs parefeux dans ce cas (le prix d'un PC faisant tourner iptables n'est pas vraiment un problème en entreprise, ni même deux serveurs si on veut un cluster ...)

Tu l'aura compris, pour moi si le problème est compliqué il faut se former ou embaucher quelqu'un qui sait, et ne pas croire qu'une interface graphique va permettre a n'importe qui de gérer correctement des règles de parefeu d'entreprise ... d'autant plus que le script iptables est auditable, gérable dans un gestionnaire de source (svn ?), ...

Je plussoie complètement, je trouve que cette nouvelle version apporte pas mal de choses intéressantes, mais il ne faut pas mixer de la sorte les informations importantes pour le site (les news qui sont modérées) avec le reste, ou alors pas par défaut.

Si et c'est bien pour cela qu'il ne remarque aucun gain significatif.
Sur les redhat il y a des scripts (readahead) qui se chargent de monter en cache ram les binaires les plus utilisés a un moment ou le disque n'est pas trop sollicité ce qui d'après eux accélère un peu le boot. Pour les monter en cache ils ne font que accéder a ces binaires puisque le noyau gère de lui même le cache....

bref a mon sens tout cela est inutile et compliqué (synchro ram-> disque ? le /var en ram c'est dommage si on veut consulter les logs ...)

J'abonde, au dela des problèmes de perf, je suppose qu'il va falloir purger les données trop anciennes au bout d'un certain temps (ou alors la table ne va faire que grossir ...).
Il faut donc prévoir la suppression, et un partitionnement par année ou mois semble etre le genre de solutions utilisées dans ces cas la.
Sinon on peut le faire avec une vue et des tables mensuelles mais c'est ce qu'utilisent les dba quand la DB ne supporte pas le partitionnement ... (IBM DB2 pendant longtemps par exemple).

Moi non plus je ne comprends pas, j'abonde dans le sens du premier commentaire: pourquoi tu n'installes pas la redhat 7.3 originelle avec son kernel d'origine, puis le remplace par un plus recent ?
T'as des périphériques non supportés par cet ancien kernel ??