Je disais cela car le recrutement à l'académie est ouvert sur toute personne parlant français (de mémoire) et que malgré tous les comités qu'on peut avoir ici ou là, c'est cette académie là aujourd'hui qui représente "officiellement" la langue.
Le fait que Redhat ne supporte plus btrfs ne signifie pas que le FS ne vaut rien, c'est un choix d'affectation de ressources.
La RHEL est une distribution orienté serveur avec support long terme. Si RH ne supporte plus Btrfs, c'est qu'ils considèrent qu'ils ne sont plus capables de fournir un vrai support sur 7 ans et que le système de fichier n'est pas assez robuste aux pannes. Donc ils ont estimé que trop de client auraient des soucis et qu'ils ne seront pas en état de les aider à récupérer des données.
En production, l'important est de ne pas perdre les données par une bête panne électrique ;-)
Cela ne signifie pas que Btrfs ne fonctionne pas dans un certain nombre d'autres cas.
XFS est aussi très stable, très performant, gère des gros systèmes de fichier et la plupart des briques ont été ajoutés petit à petit. D'ailleurs, initialement, ils n'avaient pas prévu de pouvoir mettre tout cela puis, de mémoire, avec les extends, ils se sont rendus compte qu'au final, c'est possible de faire du cow sans coût énorme.
Je pense qu'il y a une bonne dynamique de développement communautaire sur XFS, mais en gardant des bases stables et très robustes. De mémoire, RH arrache par exemple les prises électriques de ses serveurs plusieurs fois, même au reboot, pour valider un système de fichier.
Oracle a besoin de ZFS et Oracle a abandonné Solaris. Il est donc plus que probable qu'Oracle mettre à jour la licence de ZFS et la bascule sur la GPL. Enfin, c'est ce qu'il me semble le plus naturel s'ils ne veulent pas se couper l'herbe sous le pied (mais avec Oracle, tout est possible).
À noter que SGI avait donné de la même manière XFS au noyau il y a maintenant pas mal d'année ;-)
Et comme ZFS est de plus en plus intégré… il est de plus en plus probable que Btrfs finisse comme ReiserFS j'ai l'impression, bien que sa conception soit plus récente et ait essayé d'éviter certaines chausse-trappes de ZFS.
Moi je vois autour de moi que tous les gros volumes sont sous XFS… (ou ZFS) et qu'il y a très peu de soucis dessus. Je parle pas du / mais de partition au delà de 50To par exemple.
Il y a pleins de données sensibles sous /, par exemple ton mot de passe (mais aussi pas mal de données dans le log, dans les dossiers temporaires…), c'est absolument nécessaire de chiffrer cette partition comme les autres.
Il faut rajouter à luks du second non pas une phrase de passe mais une clef binaire sous forme de fichier (un dd de /dev/randon). Alors le montage peut être automatique.
Il n'a pas été prévu de mettre IPv4 dans IPv6 dès le début. C'est une des multiples options qui n'a pas été normalisé dans le standard et rendu obligatoire, ni mis en œuvre donc elle n'a pas été réellement abandonné. C'est plutôt cette voie qui a été abandonnée.
Et sinon, je ne suis pas d'accord, en gardant une logique très proche, via un système de template, tu avais un seul fichier pour les deux systèmes IP alors que là, tu as réellement deux implémentations qui sont assez éloignés. Tu ne peux pas faire de bête copier coller. C'est très différent. Pour un fabricant de commutateur, ce n'est pas un petit boulot que d'assurer deux piles fonctionnelles sans bogues. C'est d'ailleurs peut être une des raisons qui pousse tous les constructeurs de commutateurs à basculer sous Linux !
Je sais bien que changer la taille des IPv4 casse TCP/IP. Mais il y a une différence en casse et casse…
À mon sens, il était possible de refaire un IPv5 en augmentant la taille et presque rien d'autre. Tu aurais eu un préfixe imposé qui mettait IPv4 dans IPv5 et basta. Le code des OS et des routeurs aurait effectivement du être modifié, a minima, en prenant en compte cette nouvelle taille.
IPv6, ce sont des changements beaucoup plus profond. Tu oublies ta pile IPv4 et tu recode tout depuis le début. Bilan, il a fallu le faire dans tous les équipements réseaux et ce n'est pas finit. Il faut en plus continuer à maintenir et à faire évoluer les deux piles en parallèle. Plus de 20 ans que cela dure…
C'est pas toi qui programme les commutateurs et les routeurs. À trop virer de trucs, à trop changer les choses, il faut avoir deux piles complètement différentes.
Bilan : IPv6 était mal implémenté et bogué pendant des années. Et c'est pas encore parfait sur tous les commutateurs (administrable) en vente actuellement.
C'est pas comme cela qu'on change les choses en temps normal. On met un tag périmé sur une fonctionnalité qu'on enlève des années ensuite. Ici, il n'y a eu aucun recouvrement. En gros, on a mis deux réseaux IP sur internet en parallèle…
IPv4 : RFC 7601, janvier 1980. Guère déployé avant 1990 (en Europe).
IPv6 : RFC 24601, décembre 1998
On est en 2019… IPv6 a déjà plus de 20 ans. Clairement, les concepteurs d'IPv6 ont raté le coche. Trop de changement, trop complexe, des erreurs de conception (Router Snooping…) et surtout pas de compatibilité ascendante dans la norme avec IPv4. Pourquoi avoir fait tous ces changements dont la plupart n'apporte pas grand chose. Le MobileIP ne sera jamais mis en oeuvre sur un large réseau, pourquoi avoir tout mis en multicast alors que déjà en IPv4 cela passe très rarement un routeur, pourquoi avoir viré ARP et le DHCP… Bref, c'est un projet beaucoup trop ambitieux pour finalement pas faire de topologie vraiment différente qu'avec IPv4 de ce que je vois. Donc à par avoir plus d'adresse, le reste tout le monde s'en fou ;-)
Bref, ça va passer mais c'est clairement ce qu'il ne faut pas faire. Un cas d'école.
Il est clair que cloudfare ou google te trace plus que ton fournisseur local qui doit respecter la loi française. De plus, ton fournisseur doit aussi respecter une liste de site à bloquer… On aime ou on n'aime pas, mais c'est une décision de justice.
Rien ne dit que Stéphane Bortzmeyer ne te trace pas…
S’asseoir sur toutes les règles étatiques (démocratiquement élus, avec un pouvoir judiciaire indépendant) en allant chercher un DNS dans les GAFAM, c'est le moyen le plus rapide pour découper internet en grand bloc géographique ;-)
J'ai régulièrement des utilisateurs qui ne peuvent consulter leur courriel par IMAPS depuis leur hôtel, ni envoyer en SMTPS… Bilan, ils se rabattent sur le webmail.
À mon sens, en entreprise, il faut bloquer sur le routeur et sur le DNS (zone RPZ). Sur le DNS, c'est assez facile de bloquer tout un sous domaine, ce qui est plus complexe que sur un routeur.
Sur certain routeur, on peut mettre le nom DNS et celui-ci met régulièrement à jour la table IP correspondante.
Ma question initiale porte plus sur comment déployer une politique de sécurité sur chaque poste GNU/Linux et chaque config Firefox. J'ai vu que c'est maintenant proposé mais je ne sais pas si quelqu'un a un exemple en pratique.
Le langage Erlang a été fait pour cela au travers de sa machine virtuelle. L'objectif initial était de mettre à jour le code sur un routeur à chaud, sans interruption.
C'est pour cela que je parlais de politique de sécurité. Le faire manuellement sous mon compte, je sais le faire. Mon interrogation est comment le faire de manière automatique sur 80 postes et 150 utilisateurs ?
Valable dans un milieu professionnel principalement…
Il faut mettre en place une liste RPZ sur son DNS et mettre le DoH de Mozilla dans cette liste. Au moins, il ne sera pas utilisé en milieu pro. Idem pour le vrai faux VPN une fois qu'on aura le nom de la machine chez cloudfare.
Il y a moyen aussi de balancer une politique de sécurité, mais je n'ai pas encore regardé comment on fait cela avec Firefox pour que cela soit gérable sur un parc Linux.
pourquoi préfères-tu donc la licence Art Libre à CC-BY-SA
Parce que sauf la CC0 qui est claire (zéro -> ~ domaine publique), les autres CC, c'est le bordel ! Les personnes te disent que les Creative Common sont OpenSource et te balances du -NC parce qu'ils veulent pas de commercial. Bref, c'est que de la confusion.
La licence Art Libre, c'est hyper clair. C'est libre, c'est de la gauche d'auteur.
Donc, j'inverserais plutôt les choses, les personnes faisant du CC-BY-SA devrait faire du LAL ;-)
Yep, sauf que les programmes évoluent, le monde bouge donc il faut régulièrement remettre à jour les manuels.
Perso, pour ce genre de chose, je trouve que la meilleure licence est la licence Art Libre version 1.3 ou supérieur - http://artlibre.org/. C'est une licence à gauche d'auteur donc tout le monde peut améliorer le texte mais le nouvel ensemble doit rester libre. Bref, c'est de la GPL sur autre chose que du code !
[^] # Re: Compréhensible
Posté par Sytoka Modon (site web personnel) . En réponse au journal Féminisation des diplômes, y'a encore du boulot. Évalué à 3.
Je disais cela car le recrutement à l'académie est ouvert sur toute personne parlant français (de mémoire) et que malgré tous les comités qu'on peut avoir ici ou là, c'est cette académie là aujourd'hui qui représente "officiellement" la langue.
[^] # Re: btrfs
Posté par Sytoka Modon (site web personnel) . En réponse au journal Stratis 1.1.0. Évalué à 2.
La RHEL est une distribution orienté serveur avec support long terme. Si RH ne supporte plus Btrfs, c'est qu'ils considèrent qu'ils ne sont plus capables de fournir un vrai support sur 7 ans et que le système de fichier n'est pas assez robuste aux pannes. Donc ils ont estimé que trop de client auraient des soucis et qu'ils ne seront pas en état de les aider à récupérer des données.
En production, l'important est de ne pas perdre les données par une bête panne électrique ;-)
Cela ne signifie pas que Btrfs ne fonctionne pas dans un certain nombre d'autres cas.
[^] # Re: btrfs
Posté par Sytoka Modon (site web personnel) . En réponse au journal Stratis 1.1.0. Évalué à 4.
La force de l'architecture en étage !
[^] # Re: btrfs
Posté par Sytoka Modon (site web personnel) . En réponse au journal Stratis 1.1.0. Évalué à 3.
XFS est aussi très stable, très performant, gère des gros systèmes de fichier et la plupart des briques ont été ajoutés petit à petit. D'ailleurs, initialement, ils n'avaient pas prévu de pouvoir mettre tout cela puis, de mémoire, avec les extends, ils se sont rendus compte qu'au final, c'est possible de faire du cow sans coût énorme.
Je pense qu'il y a une bonne dynamique de développement communautaire sur XFS, mais en gardant des bases stables et très robustes. De mémoire, RH arrache par exemple les prises électriques de ses serveurs plusieurs fois, même au reboot, pour valider un système de fichier.
[^] # Re: btrfs
Posté par Sytoka Modon (site web personnel) . En réponse au journal Stratis 1.1.0. Évalué à 2.
Oracle a besoin de ZFS et Oracle a abandonné Solaris. Il est donc plus que probable qu'Oracle mettre à jour la licence de ZFS et la bascule sur la GPL. Enfin, c'est ce qu'il me semble le plus naturel s'ils ne veulent pas se couper l'herbe sous le pied (mais avec Oracle, tout est possible).
À noter que SGI avait donné de la même manière XFS au noyau il y a maintenant pas mal d'année ;-)
[^] # Re: Compréhensible
Posté par Sytoka Modon (site web personnel) . En réponse au journal Féminisation des diplômes, y'a encore du boulot. Évalué à 3. Dernière modification le 16 octobre 2019 à 13:28.
L'Académie française est en réalité l'académie de la langue française. Il est tout naturel d'y retrouver des personnes de toute la francophonie.
Ne pas confondre le Français (langue) avec la France (pays).
Après, c'est clair qu'elle ne transpire pas le dynamisme ;-)
[^] # Re: btrfs
Posté par Sytoka Modon (site web personnel) . En réponse au journal Stratis 1.1.0. Évalué à 3. Dernière modification le 15 octobre 2019 à 15:31.
Et comme ZFS est de plus en plus intégré… il est de plus en plus probable que Btrfs finisse comme ReiserFS j'ai l'impression, bien que sa conception soit plus récente et ait essayé d'éviter certaines chausse-trappes de ZFS.
[^] # Re: Quel est le but de Stratis ?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Stratis 1.1.0. Évalué à 5.
Moi je vois autour de moi que tous les gros volumes sont sous XFS… (ou ZFS) et qu'il y a très peu de soucis dessus. Je parle pas du / mais de partition au delà de 50To par exemple.
[^] # Re: Comment faire pour que le montage se fasse automatiquement ?
Posté par Sytoka Modon (site web personnel) . En réponse au message Montage HD sans mot de passe root. Évalué à 2.
Voir https://chiffrer.info/
Il y a pleins de données sensibles sous /, par exemple ton mot de passe (mais aussi pas mal de données dans le log, dans les dossiers temporaires…), c'est absolument nécessaire de chiffrer cette partition comme les autres.
[^] # Re: Comment faire pour que le montage se fasse automatiquement ?
Posté par Sytoka Modon (site web personnel) . En réponse au message Montage HD sans mot de passe root. Évalué à 4.
Il faut rajouter à luks du second non pas une phrase de passe mais une clef binaire sous forme de fichier (un dd de /dev/randon). Alors le montage peut être automatique.
[^] # Re: ça marche super bien mais personne ne l'utilise
Posté par Sytoka Modon (site web personnel) . En réponse au journal La fin d'IPv4. Évalué à 3.
Pour tout ce qui est réseau local, cela change…
Il n'a pas été prévu de mettre IPv4 dans IPv6 dès le début. C'est une des multiples options qui n'a pas été normalisé dans le standard et rendu obligatoire, ni mis en œuvre donc elle n'a pas été réellement abandonné. C'est plutôt cette voie qui a été abandonnée.
Et sinon, je ne suis pas d'accord, en gardant une logique très proche, via un système de template, tu avais un seul fichier pour les deux systèmes IP alors que là, tu as réellement deux implémentations qui sont assez éloignés. Tu ne peux pas faire de bête copier coller. C'est très différent. Pour un fabricant de commutateur, ce n'est pas un petit boulot que d'assurer deux piles fonctionnelles sans bogues. C'est d'ailleurs peut être une des raisons qui pousse tous les constructeurs de commutateurs à basculer sous Linux !
[^] # Re: ça marche super bien mais personne ne l'utilise
Posté par Sytoka Modon (site web personnel) . En réponse au journal La fin d'IPv4. Évalué à 3.
Je sais bien que changer la taille des IPv4 casse TCP/IP. Mais il y a une différence en casse et casse…
À mon sens, il était possible de refaire un IPv5 en augmentant la taille et presque rien d'autre. Tu aurais eu un préfixe imposé qui mettait IPv4 dans IPv5 et basta. Le code des OS et des routeurs aurait effectivement du être modifié, a minima, en prenant en compte cette nouvelle taille.
IPv6, ce sont des changements beaucoup plus profond. Tu oublies ta pile IPv4 et tu recode tout depuis le début. Bilan, il a fallu le faire dans tous les équipements réseaux et ce n'est pas finit. Il faut en plus continuer à maintenir et à faire évoluer les deux piles en parallèle. Plus de 20 ans que cela dure…
[^] # Re: ça marche super bien mais personne ne l'utilise
Posté par Sytoka Modon (site web personnel) . En réponse au journal La fin d'IPv4. Évalué à 3.
C'est pas toi qui programme les commutateurs et les routeurs. À trop virer de trucs, à trop changer les choses, il faut avoir deux piles complètement différentes.
Bilan : IPv6 était mal implémenté et bogué pendant des années. Et c'est pas encore parfait sur tous les commutateurs (administrable) en vente actuellement.
C'est pas comme cela qu'on change les choses en temps normal. On met un tag périmé sur une fonctionnalité qu'on enlève des années ensuite. Ici, il n'y a eu aucun recouvrement. En gros, on a mis deux réseaux IP sur internet en parallèle…
[^] # Re: Différences entre versions des licences CC
Posté par Sytoka Modon (site web personnel) . En réponse au journal Que se passe-t-il StackOverflow?. Évalué à -4.
Toujours prendre la licence Art Libre qui est bien plus claire que ces tétrachiers de CC (sauf la CC0).
http://artlibre.org/
[^] # Re: ça marche super bien mais personne ne l'utilise
Posté par Sytoka Modon (site web personnel) . En réponse au journal La fin d'IPv4. Évalué à 4. Dernière modification le 02 octobre 2019 à 16:44.
IPv4 : RFC 7601, janvier 1980. Guère déployé avant 1990 (en Europe).
IPv6 : RFC 24601, décembre 1998
On est en 2019… IPv6 a déjà plus de 20 ans. Clairement, les concepteurs d'IPv6 ont raté le coche. Trop de changement, trop complexe, des erreurs de conception (Router Snooping…) et surtout pas de compatibilité ascendante dans la norme avec IPv4. Pourquoi avoir fait tous ces changements dont la plupart n'apporte pas grand chose. Le MobileIP ne sera jamais mis en oeuvre sur un large réseau, pourquoi avoir tout mis en multicast alors que déjà en IPv4 cela passe très rarement un routeur, pourquoi avoir viré ARP et le DHCP… Bref, c'est un projet beaucoup trop ambitieux pour finalement pas faire de topologie vraiment différente qu'avec IPv4 de ce que je vois. Donc à par avoir plus d'adresse, le reste tout le monde s'en fou ;-)
Bref, ça va passer mais c'est clairement ce qu'il ne faut pas faire. Un cas d'école.
# LWN
Posté par Sytoka Modon (site web personnel) . En réponse au journal La fondation GNOME est attaquée aux USA sur la base d'un brevet logiciel. Évalué à 10.
Voir https://lwn.net/Articles/800516/ pour des commentaires.
A priori, il y a du code d'antériorité du coté de GNOME…
Faites du libre, du GPLv3 et mettez vos dépôts en Europe ;-)
[^] # Re: Quelles informations sont envoyées au DoH ?
Posté par Sytoka Modon (site web personnel) . En réponse au lien Paramétrer le résolveur DoH (DNS sur HTTPS) de Stéphane Bortzmeyer dans Firefox. Évalué à 2.
Il est clair que cloudfare ou google te trace plus que ton fournisseur local qui doit respecter la loi française. De plus, ton fournisseur doit aussi respecter une liste de site à bloquer… On aime ou on n'aime pas, mais c'est une décision de justice.
Rien ne dit que Stéphane Bortzmeyer ne te trace pas…
S’asseoir sur toutes les règles étatiques (démocratiquement élus, avec un pouvoir judiciaire indépendant) en allant chercher un DNS dans les GAFAM, c'est le moyen le plus rapide pour découper internet en grand bloc géographique ;-)
[^] # Re: Prévenir vaut mieux que guerir
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Python — partie 3 — Installation de Python et de paquets. Évalué à 6.
Dans un article en série, il faut bien mettre un découpage. C'est justement ce qu'il dit à la fin du numéro 1 !
[^] # Re: et pour trouver l'ip de cloudflare...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla pense-t-il vraiment à notre vie privée comme priorité?. Évalué à 3.
J'ai régulièrement des utilisateurs qui ne peuvent consulter leur courriel par IMAPS depuis leur hôtel, ni envoyer en SMTPS… Bilan, ils se rabattent sur le webmail.
Quelle connerie certaines DSI centrale !
[^] # Re: Solution de contournement
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla pense-t-il vraiment à notre vie privée comme priorité?. Évalué à 2.
À mon sens, en entreprise, il faut bloquer sur le routeur et sur le DNS (zone RPZ). Sur le DNS, c'est assez facile de bloquer tout un sous domaine, ce qui est plus complexe que sur un routeur.
Sur certain routeur, on peut mettre le nom DNS et celui-ci met régulièrement à jour la table IP correspondante.
Ma question initiale porte plus sur comment déployer une politique de sécurité sur chaque poste GNU/Linux et chaque config Firefox. J'ai vu que c'est maintenant proposé mais je ne sais pas si quelqu'un a un exemple en pratique.
[^] # Re: Intéressant
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Next v1.3.0, le navigateur web entièrement programmable. Évalué à 2.
Le langage Erlang a été fait pour cela au travers de sa machine virtuelle. L'objectif initial était de mettre à jour le code sur un routeur à chaud, sans interruption.
[^] # Re: Infos pratiques
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla pense-t-il vraiment à notre vie privée comme priorité?. Évalué à 5.
C'est pour cela que je parlais de politique de sécurité. Le faire manuellement sous mon compte, je sais le faire. Mon interrogation est comment le faire de manière automatique sur 80 postes et 150 utilisateurs ?
# RPZ
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla pense-t-il vraiment à notre vie privée comme priorité?. Évalué à 6.
Valable dans un milieu professionnel principalement…
Il faut mettre en place une liste RPZ sur son DNS et mettre le DoH de Mozilla dans cette liste. Au moins, il ne sera pas utilisé en milieu pro. Idem pour le vrai faux VPN une fois qu'on aura le nom de la machine chez cloudfare.
Il y a moyen aussi de balancer une politique de sécurité, mais je n'ai pas encore regardé comment on fait cela avec Firefox pour que cela soit gérable sur un parc Linux.
Si vous avez d'autres idées ?
[^] # Re: Libre?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Livre Scolaire sous licence libre. Évalué à 2.
Parce que sauf la CC0 qui est claire (zéro -> ~ domaine publique), les autres CC, c'est le bordel ! Les personnes te disent que les Creative Common sont OpenSource et te balances du -NC parce qu'ils veulent pas de commercial. Bref, c'est que de la confusion.
La licence Art Libre, c'est hyper clair. C'est libre, c'est de la gauche d'auteur.
Donc, j'inverserais plutôt les choses, les personnes faisant du CC-BY-SA devrait faire du LAL ;-)
[^] # Re: Libre?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Livre Scolaire sous licence libre. Évalué à 4. Dernière modification le 11 septembre 2019 à 11:49.
Yep, sauf que les programmes évoluent, le monde bouge donc il faut régulièrement remettre à jour les manuels.
Perso, pour ce genre de chose, je trouve que la meilleure licence est la licence Art Libre version 1.3 ou supérieur - http://artlibre.org/. C'est une licence à gauche d'auteur donc tout le monde peut améliorer le texte mais le nouvel ensemble doit rester libre. Bref, c'est de la GPL sur autre chose que du code !