Psychofox a écrit 10743 commentaires

Non dans les distribs qui utilisent gnome-software c'est fait automatiquement donc ça revient au même.

Avoir 2 serveurs chez 2 hébergeurs différents, c'est pas suffisant. Car les hébergeurs parfois partagent eux-même des datacenter et tu peux avoir 2 hébergeurs utilisant des datacenter à km l'un de l'autre qui souffrent du même tremblement de terre. Donc il faut avoir ses serveurs dans des villes/pays différents. Heureuement en général ils te laissent choisir et t'informent de cette location.

Et ça ne remplace pas des backups.

Et en parlant des backups il faut aussi se renseigner où les données se trouvent réellement si vous ne le faites pas à la popogne. Imagine que tu souscris à une offre de backup mais que tu ne connais rien des détails. Le service te dis que tes données sont dans un datacenter hyper sécurisé. Tu crois que t'es sain et sauf. Ben si la société qui vend ce service de backup a décidé d'utiliser les services d'OVH, était trop conne pour faire de la distribution et de la replication de données sur n sites et utilisait le même datacenter que toi tu l'as dans le ….

Oui ça fait beaucoup de si mais bon un datacenter, normalement c'est aussi conçu pour que ça ne crame pas aussi facilement. En tout cas pas assez pour cramer plus de quelques racks dans une salle. En général quand la fumée est détectée, que l'alerte sonne et le gyrophare s'allume t'as 30s pour quitter la salle avant que l'azote (ou autre gaz inerte) n'ait remplacé toute l'oxygène. Donc des si, on en a déjà utilisé beaucoup.

De toute façon que ce soit google-sync ou firefox-sync c'est bancale dès le départ. Que ce soit pour les mots de passes ou les favoris, c'est bien plus intéressant de les rendre indépendants du navigateur.

Et ça tombe bien on a les gestionnaires de mots de passes pour cela (et ils gèrent aussi très bien tes favoris car tous proposent un champ url).

Mais pourquoi utiliser l'ESR?

Si c'est juste pour faire moins de bruit dans les logs tu peux faire du port knocking. D'un point de vue sécurité, il ne faut pas se faire d'illusion c'est plus ou moins aussi nul que changer de port mais au moins tu sors moins des standard une fois ton ip autorisée (pas besoin de charger ton .ssh/config ni de spécifier le port à chaque commande qui utilise openssh pour se connecter) et ton port apparait comme fermé quand tu te fais port scanner.

Après c'est intéressant sur des machines exposées publiquement sur internet mais sur des réseaux d'entreprises avec potentiellement plusieurs firewalls entre les deux nodes c'est plus emmerdant qu'autre chose car ça fait plus de ports à ouvrir. Il y en a néanmoins des plus avancés qui font un single knock avec un paquet udp signé, ça évite d'avoir des ports multiples pour une séquence et c'est plus rapide.

Si c'est juste motif qui t'intéresse, pas besoin de te torturer tu peux juste utiliser cde ou mwm comme desktop sur ton linux et te limiter à des applications motif (une liste ici et développer celles qui te manquent.

Le swap est utilisé pour l'hibernation, pas pour la veille. Et je crois que peu de gens utilisent l'hibernation…

On ne peut pas vraiment qualifier ubuntu de distro normal tant ils tendent à faire cavalier seuls sur certains choix techniques.

Cela-dit c'est ça aussi la beauté du logiciel libre et du principe des distributions, ce n'est pas parce que x ne voit pas l'intérêt d'une fonctionnalité que y ne vas pas en trouver un.

Il n'est pas obligé de tourner sous root. Je n'ai jamais regardé comment faire en ipv6 mais en ipv4 tu peux rediriger le port 80 vers autre chose.

Du reste dans un contexte de conteneurs, le projet nginx upstream distribue des dockerfiles et image pour faire tourner nginx en tant que user nginx et écoutant par défaut sur le port 8080 : https://hub.docker.com/r/nginxinc/nginx-unprivileged

Bon ça ne s'applique pas à du rm ou de la gestion de fichier mais personnellement j'aime mieux les systèmes qui t'imposent d'écrire le nom de la ressource que tu veux supprimer/rebooter quand tu es en interactif.

Le bon admin c'est celui qui après avoir fait une bêtise l'annonce à son équipe et au client, la répare au plus vite et réalise un post-mortem avec ses collègues après pour comprendre les raisons, limiter le risque que ça se reproduise et améliorer le processus de "remise sur pied".

Soit dit en passant si ubuntu propose par défaut de ne pas mettre de mot de passe root, il ne l'interdit pas. Ma boite a une majorité d'ubuntu et on les déploie avec un mot de passe root.

2h de SLA.

Donc reinstallation d'un système Sun. 20 minutes juste pour le premier boot. Installation du système sans puppet / foreman / ansible / truc.

1h30 plus tard, j'ai mon système up. Au mieux.

Maintenant, pour les donnés et la conf… En comptant la reinstallation de Netbackup parce que le client n'a pas considéré que l'option bare-metal recovery était utile, quelques heures de plus.

Si t'as signé un SLA pour la remise en service en 2h d'un service et que tu n'as pas mis en oeuvre les moyens technique pour le faire tu as un gros problème.

Zones sécurisée, toussa ce sont des excuses. Tu peux avoir un serveur jumpstart et du dhcp dédié à cette zone avec des images adhoc. Ça fait 8ans que je n'ai plus touché à une solaris mais 1h30 ça me parait long pour une install.

Je crois avoir mentionné dans mon journal les choses suivantes : dette technique lourde et méthodes d'un autre temps sauf rares entités un peu plus « à la pointe »

Ben tu l'as ton argument contre l'abandon du mdp root. Tu leurs dis que ta boite travaille avec des méthodes d'il y a 25ans, et des OS dépassés et que s'ils veulent améliorer quelque chose il faudra passer par là avant de songer à ditcher root.

Le problème c'est pas ubuntu, c'est que vous êtes des dinosaures (et je ne vois pas trop comment ça peut être gérable d'un point de vue sécu avec des milliers de machines).

Chez nous on a une majorité d'ubuntu et elles ont toutes un mdp root.

Cela-dit au final un mdp root ça ne sert pas à grand chose. Si une machine est aux fraises et finit en single user mode, une image live sert tout aussi bien. Et au final t'as plus vite fais de la réinstaller. Via foreman une machine a un OS tout frais en 5 minutes. Avec puppet, 5 minutes plus tard au pire la conf de ta machine est restaurée. Les données? Si elle en héberge et que c'était un noeud simple, ben c'est que t'as un SLA bien large donc t'as le temps de restaurer pépère, tout le monde s'en branle de cette appli. Si c'est un noeud d'une archi haute dispo, ben tu relances la synchro et personne n'a rien vu.

Il n'y a pas d'obligation particulière à utiliser docker pour nextcloud.

Hmm je n'ai pas de windows 10 sous la main mais c'était faux la dernière fois que j'ai installé un windows 10, il y a 6 mois environ.

Le compte c'est uniquement pour pouvoir noter/commenter/récupérer ses applis installées sur un autre pc.

Je ne sais pas bien pourquoi ils t'ont moinssé, ce projet est intéressant. Je m'apprêtais à demander s'il y avait des modèles avec firmware libre ou des projets à base de pi-zero, batterie et écran e-paper.

…même si c'est déroutant.

Ça permet de s'assurer que l'utilisateur utilise un python à jour avec l'upstream. Après ils auraient pu faire un alias vers un script qui informe le pourquoi du comment dans la sortie standard et explique comment supprimer l'alias.

Ah oui FL studio je connais de non pour avoir utilisé à mon adolescence son ancêtre, fruity loops pro qui était lui un logiciel très très limité à mi chemin entre tracker et groovebox.

…peux-tu partager des infos sur le côté technique de la production ? Logiciels/hardware utilisés ? libres ou pas ?

Merci pour le partage, je dois encore l'écouter.

Note: le but ce n'est pas de te lyncher si tu as utilisé des trucs proprios, juste de la curiosité.

Bon ça aurait été pertinent si mageia 7 était maintenue mais le support s'arrête en mai d'après https://www.mageia.org/fr/support/#lifecycle.

Là ça oblige à compiler un php7 à la main ou utiliser un système de packaging alternatif comme nix, pkgsrc…

Maintenant quel est le choix le meilleur quand l'upstream risque d'abandonner le support entre le début et la fin de maintenance d'une release ?

Je crois qu'on entrevoie un point faible de Mageia, 0 support pour la release n-1.

J'ai aussi quelques doutes, mis à part le côté modulaire des ports e/s je ne vois rien de particulièrement mieux que ce qui est dispo dans les gammes pros d'autres fabricants en terme de reparabilité.

Les aveugles et mal-voyants, tous ceux qui ont besoin d'un lecteur de texte, te remercient de leur rendre impossible la lecture de ce que tu écris avec ce langage bizarre.

J'ai un avis assez neutre sur l'écriture inclusive, mais le fait qu'elle utilise une ponctuation relativement peu commune (oint médian) en fait quelque chose de très facilement parsable et ignorable. Ce n'est pas un truc dont la solution technique est hyper compliquée à mettre en œuvre. Du coup l'argument des aveugles et mal-voyants me parait non recevable.

Du reste le cerveau est habitué à faire des raccourci et à ignorer ce qui le ralentit dans la lecture et donc avec un peu d'habitude cette écriture est totalement indolore pour les voyants qui ne sont pas juste des vieux réac comme toi. Si tu choisis d'ignorer du contenu parce qu'il utilise de l'écriture inclusive, ça n'a rien à voir avec l'esthétisme, la lisibilité ou la logique de ce format, c'est parce que tu refuse consciemment et toute forme d'adaptation.

Une pyramide de Ponzi c'est un système qui s'écroule et laisse toute le monde endetté le jour où il n'y a plus de nouvel arrivant.

Le bitcoin, je lui trouve plein de défauts mais ce n'est pas pareil. S'il n'y a plus de nouveaux arrivants, le bictoin ne cesse pas d'exister et tu ne perds pas tes bitcoins. Au pire il perdrait de la valeur face aux monnaies classiques mais ça n'empêche pas le système de fonctionner et ça n'endette pas les gens qui ont investi dedans faute de pouvoir trouver des nouveaux investisseurs.