Merci de vos retours particulièrement enrichissants !
Voici ce que j'ai réalisé:
- ajout de l'option "--connection=local" sur l'appel de ansible-playbook dans le fichier Makefile.
- ajout du fichier ansible.cfg à la racine du projet
- modif du fichier README.md
Cela fonctionne à merveille en local.
Par contre, j'ai regardé docker-pull, et je n'ai pas encore bien saisi le fonctionnement.
De ce que je comprends, pour que cela fonctionne à la fois en localhost et sur un client ansible distant, il faudrait:
- préciser dans le fichier host
[remote]
192.168.10.24 ansible_connection=ssh ansible_user=foo
[local]
127.0.0.1
remplacer dans le Makefile "ansible-playbook" par "ansible-pull"
installer un serveur ssh + générer clé plublique/privée
faire des actions sur 192.168.10.24 sur host [local]
installer un client ssh
ajout de clé ssh publique du serveur ansible (celle du host [local] )
initier une première connexion ssh sens [remote] --> [local] et répondre 'yes'
faire quelque chose dans dans crontab ?
En tout cas, cela simplifie grandement la liste des actions pré-requises !
C'est toujours un plaisir de travailler sur Debian !
Merci beaucoup aux développeurs pour le travail réalisé sur cette version.
Pour ceux qui souhaitent installer Debian 10 Buster sur un ordinateur portable ou un poste de travail, je vous recommande de regarder le lien ci-dessous:
Changer de modèle tous les ans avec cette gamme d'ordinateur portable, c'est du luxe ! Je n'en connais pas beaucoup qui ont ce privilège…
En effet, Nixos a l'air intéressant. Il faudra que je creuse ce sujet…
Il me semble que Suse Linux a aussi un endroit unique de configuration. (Yast)
Actuellement, je teste Clear Linux qui a aussi une gestion de package atypique. (il n'y a pas grand chose dans /etc et c'est déroutant)
En marge des tests de distributions et de gestionnaires de package, je suis centré sur Debian stable pour mon ordinateur personnel car j'aime bien être en Rolling Release tous les 2 ans =)
C'est surtout possible grâce aux backports pour certains besoins, et à flatpak pour d'autres.
Concernant APT, j'ai identifié une nouvelle fonctionnalité disponible dans Debian 10 Buster pour renforcer sa sécurité. (désactivée par défaut)
Extrait du draft de la release note: Toutes les méthodes de APT(par exemple http et https) sauf cdrom, gpgv et rsh utilisent le bac à sable) seccomp-BPF fourni par le noyau Linux pour limiter la liste des appels système autorisés, et intercepter
les autres grâce à un signal SIGSYS. https://www.debian.org/releases/buster/amd64/release-notes.fr.pdf
J'ai activé cette fonctionnalité dans mon projet sur Gitlab…
1 Confidentialité
- encrypter les requêtes DNS (protection contre attaquant/FAI/boite noire)
- distribuer les requêtes DNS sur différents services DNS (les services DNS n'ont qu'une vue partielle + résilience)
2 Fiabilité des réponses
- avoir des réponses fiables et non trafiquées au requêtes DNS
Ma configuration ne répond que au premier.
Ta proposition unbound ne répond que au second.
Si je comprends bien, pour permettre de répondre aux 2 besoins, il faudrait identifier d'autres providers DNS fiables et supportant dns over tls.
Il suffirait alors de compléter la ligne de configuration:
server_names = ['cloudflare','autre n°1','autre n°2*','autre n°…','autre n°n']
Un package, c'est bien, mais surtout si ça peut être basculé dans les dépôts officiels de Debian.
Preseed, c'est bien pour faire ça propre distribution
- installation classique + avec ajout de packages
- installation du dernier kernel provenant des backports
- paramétrages divers
- changement du fond d'écran pour mettre madistrobuntu
Toutes ces solutions sont intéressantes…
Pour la prochaine testing:
je tenterais de contacter les mainteneurs de vim et bash afin de voir si ils peuvent ajouter par défaut quelques paramétrages "conviviaux" dans le cas ou la cible est un desktop ou laptop (task-desktop ou task-laptop)
il faudrait que je demande à Debian (qui ?) si ils accèderaient un package qui commente la ligne CDROM, qui active contrib non-free et les backports
il faudrait aussi que je liste la liste des packages à créer.
par exemple:
un package qui tire l'ensemble des autres packages nécessaires
un package qui dépend de dnscrypt-proxy et qui a pour objectif de forcer network-manager à utiliser dnscrypt-proxy
Etc.
L'idéal serait que le distribution s'améliore dans le cas d'utilisation Desktop/Laptop…
Javais plusieurs possibilité
- coder en bash
- coder en ansible
- faire un master custom de debian et y ajouter ajouter les scripts directement (installation tout automatisée de bout en bout)
le plus simple et rapide m'a semblé être le bash pour une première version (je n'ai pas encore regardé ansible)
Ansible à l'air très intéressant…
actuellement je configure ça dans .vimrc: ajout de la ligne "source /usr/share/vim/vim81/defaults.vim" ajout de la ligne "set syntax=on" ajout de la ligne "set mouse=r"
Me conseillez vous d'autres lignes de configuration complémentaires pour vim ?
Salut Yvan ! (Heureux d'avoir de tes nouvelles par le biais de ce journal)
Merci de tes explications.
coreboot n'est malheureusement pas disponible sur mon laptop. Mon prochain sera probablement un Librem 13 pour cette raison, ainsi que pour ratatiner l'Intel Management Engine. J'attends une génération de processeur qui intègre en hardware la correction de spectre/meltdown/etc. + un clavier français. En attendant je pense prendre le téléphone Librem 5)
Je viens de tester un redémarage après modification de /etc/default/grub
- sudo apt remove plymouth
- modif GRUB_TIMEOUT=5 en GRUB_TIMEOUT=0
- suppression de splash sur la ligne GRUB_CMDLINE_LINUX_DEFAULT=
- ajout de rd.systemd.show_status=0 sur la ligne GRUB_CMDLINE_LINUX_DEFAULT=
- sudo update-grub
ça me parait vraiment clean en effet ! (j'ai tout de même à saisir un password à saisir pour la partition LVM chiffrée). C'est aussi beaucoup plus rapide pour démarrer. (en ressenti)
Je viens de voir que l'on peut toujours accéder à GRUB malgré la présence de GRUB_TIMEOUT=0 en appuyant sur SHIFT, mais je n'ai pas encore testé…
Par contre, je n'ai pas bien compris la partie "récupération de l'image 'bgrt' de l'uefi" (mon ordi est un Dell XPS 9350) J'aurais bien testé ça…
# adaptateurs avec firmware libre
Posté par stephane.gambus . En réponse au message Adaptateur wifi sans micro-logiciel propriétaire. Évalué à 1.
Bonjour,
Je pense que cet adaptateur usb correspond à ton besoin
https://www.thinkpenguin.com/gnu-linux/penguin-wireless-n-usb-adapter-gnu-linux-tpe-n150usb
A noter: Il supportera au maximum la norme 802.11n
(Je ne connais pas d'adaptateurs avec firmware libre qui peut aller au delà du 802.11n)
Un adaptateur moins cher avec le même chipset, donc qui pourrait fonctionner mais sans garantie contrairement au lien précédent:
https://fr.aliexpress.com/item/1005002475831781.html?spm=a2g0o.productlist.0.0.31ca614455mUKH&algo_pvid=49d8c872-4728-4636-bead-6fdcb6b3c684&algo_expid=49d8c872-4728-4636-bead-6fdcb6b3c684-1&btsid=0bb0623e16216048487872372ef355&ws_ab_test=searchweb0_0,searchweb201602_,searchweb201603_
Stéphane
[^] # Re: pas besoin de ssh
Posté par stephane.gambus . En réponse au journal Faciliter la configuration d'un ordinateur portable (ou fixe) sous Debian GNU/Linux 10 (Suite). Évalué à 1.
Merci de vos retours particulièrement enrichissants !
Voici ce que j'ai réalisé:
- ajout de l'option "--connection=local" sur l'appel de ansible-playbook dans le fichier Makefile.
- ajout du fichier ansible.cfg à la racine du projet
- modif du fichier README.md
Cela fonctionne à merveille en local.
Par contre, j'ai regardé docker-pull, et je n'ai pas encore bien saisi le fonctionnement.
De ce que je comprends, pour que cela fonctionne à la fois en localhost et sur un client ansible distant, il faudrait:
- préciser dans le fichier host
[remote]
192.168.10.24 ansible_connection=ssh ansible_user=foo
[local]
127.0.0.1
En tout cas, cela simplifie grandement la liste des actions pré-requises !
# Pour configurer un ordinateur portable sous Debian Buster
Posté par stephane.gambus . En réponse à la dépêche Debian 10 Buster : une distribution qui a du chien. Évalué à 2.
C'est toujours un plaisir de travailler sur Debian !
Merci beaucoup aux développeurs pour le travail réalisé sur cette version.
Pour ceux qui souhaitent installer Debian 10 Buster sur un ordinateur portable ou un poste de travail, je vous recommande de regarder le lien ci-dessous:
https://gitlab.com/stephane.gambus/my-deb-laptop/tree/master
[^] # Re: NixOS
Posté par stephane.gambus . En réponse au journal Faciliter la configuration d'un ordinateur portable (ou fixe) sous Debian GNU/Linux 10 (Buster). Évalué à 0.
Changer de modèle tous les ans avec cette gamme d'ordinateur portable, c'est du luxe ! Je n'en connais pas beaucoup qui ont ce privilège…
En effet, Nixos a l'air intéressant. Il faudra que je creuse ce sujet…
Il me semble que Suse Linux a aussi un endroit unique de configuration. (Yast)
Actuellement, je teste Clear Linux qui a aussi une gestion de package atypique. (il n'y a pas grand chose dans /etc et c'est déroutant)
En marge des tests de distributions et de gestionnaires de package, je suis centré sur Debian stable pour mon ordinateur personnel car j'aime bien être en Rolling Release tous les 2 ans =)
C'est surtout possible grâce aux backports pour certains besoins, et à flatpak pour d'autres.
Concernant APT, j'ai identifié une nouvelle fonctionnalité disponible dans Debian 10 Buster pour renforcer sa sécurité. (désactivée par défaut)
Extrait du draft de la release note:
Toutes les méthodes de APT(par exemple http et https) sauf cdrom, gpgv et rsh utilisent le bac à sable) seccomp-BPF fourni par le noyau Linux pour limiter la liste des appels système autorisés, et intercepter
les autres grâce à un signal SIGSYS.
https://www.debian.org/releases/buster/amd64/release-notes.fr.pdf
J'ai activé cette fonctionnalité dans mon projet sur Gitlab…
[^] # Re: Centralisation du DNS
Posté par stephane.gambus . En réponse au journal Faciliter la configuration d'un ordinateur portable (ou fixe) sous Debian GNU/Linux 10 (Buster). Évalué à 1.
Suite à ta remarque, je viens de lire ceci:
https://www.bortzmeyer.org/opendns-non-merci.html
Il y a 2 besoins:
1 Confidentialité
- encrypter les requêtes DNS (protection contre attaquant/FAI/boite noire)
- distribuer les requêtes DNS sur différents services DNS (les services DNS n'ont qu'une vue partielle + résilience)
2 Fiabilité des réponses
- avoir des réponses fiables et non trafiquées au requêtes DNS
Ma configuration ne répond que au premier.
Ta proposition unbound ne répond que au second.
Si je comprends bien, pour permettre de répondre aux 2 besoins, il faudrait identifier d'autres providers DNS fiables et supportant dns over tls.
Il suffirait alors de compléter la ligne de configuration:
server_names = ['cloudflare','autre n°1','autre n°2*','autre n°…','autre n°n']
[^] # Re: Ansible
Posté par stephane.gambus . En réponse au journal Faciliter la configuration d'un ordinateur portable (ou fixe) sous Debian GNU/Linux 10 (Buster). Évalué à 0.
Très intéressant ton projet home-server.
Il va me falloir du temps pour tout regarder =)
[^] # Re: Après le script, après ansible ... le paquet Debian ou mieux, l'image preseed !
Posté par stephane.gambus . En réponse au journal Faciliter la configuration d'un ordinateur portable (ou fixe) sous Debian GNU/Linux 10 (Buster). Évalué à 1.
Un package, c'est bien, mais surtout si ça peut être basculé dans les dépôts officiels de Debian.
Preseed, c'est bien pour faire ça propre distribution
- installation classique + avec ajout de packages
- installation du dernier kernel provenant des backports
- paramétrages divers
- changement du fond d'écran pour mettre madistrobuntu
Toutes ces solutions sont intéressantes…
Pour la prochaine testing:
je tenterais de contacter les mainteneurs de vim et bash afin de voir si ils peuvent ajouter par défaut quelques paramétrages "conviviaux" dans le cas ou la cible est un desktop ou laptop (task-desktop ou task-laptop)
il faudrait que je demande à Debian (qui ?) si ils accèderaient un package qui commente la ligne CDROM, qui active contrib non-free et les backports
il faudrait aussi que je liste la liste des packages à créer.
par exemple:
L'idéal serait que le distribution s'améliore dans le cas d'utilisation Desktop/Laptop…
[^] # Re: Ansible
Posté par stephane.gambus . En réponse au journal Faciliter la configuration d'un ordinateur portable (ou fixe) sous Debian GNU/Linux 10 (Buster). Évalué à 3. Dernière modification le 19 juin 2019 à 11:40.
Javais plusieurs possibilité
- coder en bash
- coder en ansible
- faire un master custom de debian et y ajouter ajouter les scripts directement (installation tout automatisée de bout en bout)
le plus simple et rapide m'a semblé être le bash pour une première version (je n'ai pas encore regardé ansible)
Ansible à l'air très intéressant…
actuellement je configure ça dans .vimrc:
ajout de la ligne "source /usr/share/vim/vim81/defaults.vim"
ajout de la ligne "set syntax=on"
ajout de la ligne "set mouse=r"
Me conseillez vous d'autres lignes de configuration complémentaires pour vim ?
[^] # Re: Silent boot
Posté par stephane.gambus . En réponse au journal Faciliter la configuration d'un ordinateur portable (ou fixe) sous Debian GNU/Linux 10 (Buster). Évalué à 4.
Salut Yvan ! (Heureux d'avoir de tes nouvelles par le biais de ce journal)
Merci de tes explications.
coreboot n'est malheureusement pas disponible sur mon laptop. Mon prochain sera probablement un Librem 13 pour cette raison, ainsi que pour ratatiner l'Intel Management Engine. J'attends une génération de processeur qui intègre en hardware la correction de spectre/meltdown/etc. + un clavier français. En attendant je pense prendre le téléphone Librem 5)
Plymouth est actuellement en version 0.9.4-1.1: amd64 dans Debian 10 Buster (même version en sid)
Je n'ai pas trouvé ce merge dans le changelog
https://metadata.ftp-master.debian.org/changelogs//main/p/plymouth/plymouth_0.9.4-1.1_changelog
Le format de l'image est bmp
file /sys/firmware/acpi/bgrt/image
/sys/firmware/acpi/bgrt/image: PC bitmap, Windows 3.x format, 450 x 432 x 24
j'ai affiché l'image en ligne de commande
eog /sys/firmware/acpi/bgrt/image
Le logo de DELL est bien affiché dans le viewer eog !
Avec un flasheur de bios, on pourrait modifier le logo directement dans le firmware si Bootguard n'est pas activé. (ce qui est le cas pour mon laptop)
[^] # Re: Silent boot
Posté par stephane.gambus . En réponse au journal Faciliter la configuration d'un ordinateur portable (ou fixe) sous Debian GNU/Linux 10 (Buster). Évalué à 5.
Bonjour Tankey,
Merci de ton retour trés interessant.
Je viens de tester un redémarage après modification de /etc/default/grub
- sudo apt remove plymouth
- modif GRUB_TIMEOUT=5 en GRUB_TIMEOUT=0
- suppression de splash sur la ligne GRUB_CMDLINE_LINUX_DEFAULT=
- ajout de rd.systemd.show_status=0 sur la ligne GRUB_CMDLINE_LINUX_DEFAULT=
- sudo update-grub
ça me parait vraiment clean en effet ! (j'ai tout de même à saisir un password à saisir pour la partition LVM chiffrée). C'est aussi beaucoup plus rapide pour démarrer. (en ressenti)
Je viens de voir que l'on peut toujours accéder à GRUB malgré la présence de GRUB_TIMEOUT=0 en appuyant sur SHIFT, mais je n'ai pas encore testé…
Par contre, je n'ai pas bien compris la partie "récupération de l'image 'bgrt' de l'uefi" (mon ordi est un Dell XPS 9350) J'aurais bien testé ça…