Yves a écrit 404 commentaires

Merci pour ce partage avec la communauté. J’étais aussi utilisateur de Sage il y a bien longtemps, avant de passer à feed2imap, puis à l’agrégateur de Nextcloud. Et c’est vrai, Sage était très bien.

Belle expérience ! Le meilleur moyen de progresser, c’est de créer, et rien de tel pour cela qu’un besoin personnel à satisfaire :-)

Ou UDF : https://github.com/JElchison/format-udf

Je ne vois pas trop comment serait gérée la synchro avec le remote dans ce cas…

Merci Jonathan pour ce complément d’information, qui pour moi clarifie le positionnement et le rôle (et la valeur ajoutée) de cet outil !

Si je comprends bien, Rudder est comme un Ansible (avec probablement moins de modules), avec un mode « dry-run », un paramétrage graphique à la souris et un tableau de bord de santé du parc. C’est bien ça ?

Il y en a plein qui n’ont pas de pub, et qui sont dans les dépôts des distributions. Et souvent, ce sont aussi de bons navigateurs, quoique moins complets ou moins extensibles.

Cependant, le problème n’est pas là à mon avis. Remplacer Firefox, pourquoi pas, mais par quoi et à quel prix ?

• Google Chrome ? Ça renforce le poids de ce leader, dont les pratiques ne sont pas toujours très correctes… et surtout ça passe par Google.
• Chromium ? Pourquoi pas… a priori, ça ne passe pas par Google. Mais dans les stats des serveurs, je pense que c’est assimilé à Chrome, ce qui fait indirectement du mal à Mozilla.
• Un navigateur de bureau (Gnome Web, Konqueror, etc.) ? C’est libre et sans pub, mais ce dernier point compense-t-il la baisse de soutien à Mozilla ?

Il ne faut pas exagérer. À un moment, ils avaient mis des pubs dans les emplacements libres de la grille « nouvel onglet ». Je ne sais pas pour vous, mais moi, des emplacements libres, je n’en ai jamais eu ! Et même sur des nouveaux profils que j’ai créés à l’occasion, ça restait très discret et c’était vite remplacé par des vignettes personnalisées (sites visités).

Je ne sais pas quelle technique de pub va être mise en place, mais si c’est aussi anodin que la dernière fois, et que ça permet de financer les actions de Mozilla, qui sont essentielles! alors ça me va…

En effet, Conex est plutôt bien ! Je l’utilise depuis qu’il est installable depuis mozilla.org, et je l’apprécie accompagné de :

• Containers theme pour mieux visualiser le changement de groupe
• Sea Containers pour occasionnellement avoir une vue d’ensemble

Et à l’époque où la totalité des onglets était affichée, j’utilisais aussi :

• Open Tabs Next to Current pour que les groupes restent… groupés ;-)

Pour ma part, ce qui m’agace le plus dans Gnome (et j’ai bien peur que ça devienne la norme avec Wayland), c’est les « client-side decorations », autrement dit les barres de titre gérées par le logiciel et non par le gestionnaire de fenêtre.

À cause de ça :

• Quand une fenêtre ne répond plus, elle ne peut plus ni être déplacée, ni être retaillée. (bon, ok, on peut encore avec Alt+souris… merci Linux !)
• Ces fenêtres ne respectent pas le paramétrage du bureau ; par exemple tu configures ton bureau pour que le double-click sur la barre de titre « replie » la fenêtre (on ne voit plus que la barre de titre) et l’application client-side-décorée décide que non, le double-click va mettre en plein écran, parce que c’est ce que tout le monde veut, n’est-ce pas ? :-/

Je rencontre régulièrement ces mêmes problèmes avec Windows, et j’étais content de ne pas les avoir avec Linux. Et voilà que maintenant nous les avons aussi :-(

Je fais partie des (rares ?) utilisateurs d’ordinateurs qui n’ont jamais eu Windows. Je suis passé directement de Unix/Atari (Mint pour ceux qui connaissent) à la maison + Unix à la fac (Solaris, Silicon Graphics…) -> à Linux à la maison… et Windows au boulot (pas le choix, hein ?). N’ayant pas les habitudes Windows, je me désole parfois des mauvaises idées qu’on peut lui emprunter. Heureusement, il y en a des bonnes, aussi…

Utiliser gmail comme SMTP smarthost : https://support.google.com/a/answer/2956491?hl=fr

Ah… au temps pour moi. Je ne m’y risquerais pas, toutefois : c’est Google, déjà, et puis c’est un relai filtrant :-( mais bon, peut-être qu’il y en a à qui ça sert…

[…] dans un journal qui parle des problématiques de "réputation" […]

Tu restreins artificiellement le périmètre. Le sujet du journal est « Héberger son courriel en 2018 », et le contenu parle de SPF, DKIM, etc. ; toutes choses sur lesquelles tu as la main même si tu utilises un smarthost.

Et puisque tu parles de réputation, justement, une association qui souhaiterait héberger son mail (car c’est là l’objet de l’article) pourrait être intéressée de savoir que les problèmes de réputation sont quasi-inexistants en passant par un smarthost correct.

[…] pour que mon IP résidentielle ne soit pas blacklistée […]

Ceci suppose d’avoir une IP fixe ; je n’ai pas cette chance…
Mais il est vrai qu’une association se tournerait vraisemblablement vers un hébergement proposant une IP fixe, ce qui ouvre en effet la possibilité de démarcher les différents acteurs pour augmenter progressivement la réputation de sa propre IP.

Voilà, c’est juste un commentaire pour dire que l’absence de commentaire n’implique pas absence d’intérêt.
Mais que dire… ? Ça a l’air de faire ce pour quoi cela est prévu. C’est bien. C’est même très bien.

Il y a plusieurs années (2006 ? Je ne sais plus…), j’ai paramétré un ordinateur d’écolier pour utiliser ce genre de logiciels. Je me souviens notamment d’un logiciel équivalent à celui-ci, programmé en flash (donc utilisé dans Firefox).

Ces logiciels sont indispensables lorsque la motricité fine est défaillante. Un grand merci à tous ceux qui offrent à la communauté ces outils salvateurs !

> Le mail a toujours parfaitement fonctionné sur mon serveur, en tout cas depuis que je passe par le « smarthost » de mon FAI pour les envois.

Alors tu ne dois pas être chez Free.

En effet. J’ai testé SFR puis Bouygues mais j’en ai « démarché » d’autres. Avant de changer de FAI, je me renseigne du mieux que je peux auprès de la hotline et dans les forums pour connaitre la politique du FAI quant au « port 25 » (en entrée) et au smarthost (en sortie).

Ta comparaison avec gmail est complètement hors-sujet : en gérant tout ton mail mais en faisant passer les envois par le smarthost du FAI, tu gardes le plein contrôle de ta configuration, de ton degré de sécurisation, etc. Le smarthost n'est guère plus qu'un proxy, que ton fournisseur d'accès à Internet te mets à disposition gratuitement pour te fournir l'accès à la messagerie. Rien de choquant là dedans.

Ensuite, la question n'est pas de se débarrasser de quoi que ce soit. C'est un choix pragmatique pour concilier avec une réalité incontournable : l'adresse IP(v4) que te donne ton FAI est typée "résidentielle" et tu n'y pourra jamais rien. Or ces IP résidentielles sont bloquées par les "grands hébergeurs", qui supposent que tout mail directement issu d'une IP résidentielle vient probablement d'un botnet…

À mon avis, ce qui est choquant n'est pas en soi l'usage d'un smarthost, mais plutôt que nous n'ayons pas le choix (sauf avec de la patience si tu as la chance d'avoir une IP fixe, ce qui n'est pas mon cas).

J’avoue partager cette perplexité… Le mail a toujours parfaitement fonctionné sur mon serveur, en tout cas depuis que je passe par le « smarthost » de mon FAI pour les envois. Et ça n’empêche pas la configuration SPF ;-)

Avant, j’utilisais Exim+Courrier/Debian, maintenant c’est Exim+Dovecot/Archlinux, mais ça ne change rien au bon fonctionnement.

C’est énorme. Aucun R.Pi ou autre SBC (PC sur carte électronique) ne fournit ça à prix abordable. Perso, avec un UdooX86 à un peu plus de 100€, j’ai « juste » 2Go de RAM.

Sans compter qu’en auto-hébergement, la capacité du serveur est partagée en de multiples tâches (NAS, mail, web, chat, SGBD…)

L’important, c’est que le serveur n’ait jamais connaissance de la donnée en clair.
À vrai dire, un simple PrivateBin peut servir à héberger, voire partager, un dépôt de mots de passe… (après, faut se souvenir de la clef de déchiffrement :-p qui se trouve derrière le signe « # »)

Je ne comprends pas…
Je ne peux pas affirmer n’avoir rencontré aucun des problèmes décrits, car j’utilise apparemment Tb un peu différemment, ce qui fait que je ne suis pas sensible à certains de ces problèmes (exemple : utilisation au clavier).

Ceci dit, j’utilise Tb en IMAP exclusivement, connecté en CardDAV, CalDAV, XMPP, IMAP et SMTP à mon serveur, et ça a toujours fonctionné impeccablement. C’est d’ailleurs mon client mail de repli à chaque fois que je tente une nouvelle fois d’utiliser Evolution et que ça finit par planter lamentablement…

Question volumétrie, j’ai environ 18000 mails, amassés depuis les années 2000, dont environ 1500 dans INBOX.

Au fil du temps, j’ai utilisé Postfix, Exim ; BincIMAP, CourierIMAP, Dovecot ; SOGo, Radicale, DAViCal, ownCloud, nextCloud… Et toujours, ça a fonctionné. Du côté de Thunderbird lui-même, toujours la dernière version, successivement dans MandrakeLinux, Mandriva, et maintenant ArchLinux.

Les 2 seuls défauts que je reconnais dans ta liste sont :

• la recherche générale difficile à utiliser (mais la recherche rapide est super !) ;
• l’agaçant remplacement silencieux des espaces insécables par des espaces sécables.

Non. Je n’ai pas été assez clair, sans doute. Je compare le plantage du shell Gnome sous XOrg (redémarrage transparent et automatique) au plantage du shell Gnome sous Wayland (clôture de session abrupte ; écran de login).

Pour avoir testé sur le dernier Fedora (je suis habituellement utilisateur d’XOrg/Archlinux), je constate que ça plante tout de même régulièrement.

Davantage qu’avec XOrg ? Honnêtement, je ne sais pas !
Le problème, c’est qu’avec XOrg, quand le shell plante, il redémarre, et parfois tu ne t’en rend même pas compte (les applis, elles, sont toujours là). Avec Wayland par contre, quand le shell plante, c’est toute la session qui s’arrête, et donc les applications aussi (elles n’ont plus de « display ») ! Et tu te retrouves sur l’écran de login. Inacceptable.

Idem, sauf que de YunoHost je n’utilise que le SSO. Pour le reste, c’est mon serveur perso sous Archlinux, avec plein d’alias définis dans LDAP et gérés via ldap-account-manager.

Et sinon, pour aller au-delà de la simple multiplication d’identifiants (mesure anti-SPAM), je ne gère en réalité que 2 ou 3 « identités », plutôt floues et pas très bien isolées. Elles sont le reliquat de mon enthousiasme initial à me définir une identité virtuelle, histoire de protéger mon anonymat.

Les années passant, je me rend compte qu’il est difficile de garder des frontières entre les identités, car je ne suis en fin de compte qu’une seule personne (j’ai cette chance) et que mes centres d’intérêt ne sont pas forcément compartimentés. J’ai du coup changé d’approche : globalement, je suis juste moi-même (même si j’exploite encore ces quelques identités résiduelles…), mais par contre, je ne donne que le strict minimum d’information nécessaire.

Pour info, c’est fait :-)
https://yalis.fr/git/yves/pyruse/doc/dnat.md

Oui. ConEmu est très bon. Il est livré par défaut je crois avec Portable Cygwin et remplit bien son rôle.
Ceci dit, mintty fourni de base avec Cygwin officiel est très bien aussi.

Parce qu’un conteneur façon Docker (ici, je ne parle pas de LXC/D, nspawn, etc.), c’est une application, pas un OS.

C’est un bon projet. Et tu as raison, cette présentation arrive à propos.
Pour que ce soit vraiment abouti, il faudrait je pense enlever le « presque », c’est à dire que le paquet final soit installable, comme le propose checkinstall.

Si certains formats demandent des informations spécifiques impossibles à inclure dans le format–pivot, je vois 3 solutions, utilisables ensemble ou séparément, au choix :

• les enregistrer au préalable dans un fichier de configuration (comme checkinstall)
• les passer en paramètre (comme avec les archétypes Maven)
• les demander interactivement (les deux outils font ça)

Salut à tous,

Un grand merci à LinuxFR et aux Éditions ENI pour le livre que m’a apporté cet article.
Pourquoi ce cadeau ? Parce que vous avez été nombreux à être intéressés par Pyruse (quelqu’un a même créé un ticket pour suggérer le support d’iptables, qui pourrait donc finalement faire son entrée ultérieurement).

Du coup, vous serez sans doute intéressés de savoir qu’il y a des évolutions :

• une procédure d’installation (dites-moi si vous rencontrez des problèmes avec) ;
• le choix du niveau de détail (concernant les dates+heures) associé à chaque message du rapport quotidien ;
• le filtre d’appartenance à des plages d’IP, ce qui permet de faire des « whitelist » et « blacklist » ;
• l’action de log dans le journal systemd, qui permet la détection de récidive, avec autant de niveaux que souhaité.

Et en ce moment, je travaille à l’ajout d’actions de gestion du DNAT (ou autre mécanisme de proxy). Vous avez sans doute déjà rencontré ce problème : vous avez des attaques (SSH, HTTP…) et elles proviennent toutes de « 127.0.0.1 » ou « 10.0.0.1 » (votre proxy)…

La solution que je vais mettre en place fonctionne en 2 temps :

1. Une action travaille sur les logs du pare-feu, ou de haproxy, pour associer 3 adresses+port : le client, le proxy, la destination.
2. Une autre action permet de substituer des valeurs de variables en fonction de la correspondance établie à la première étape.

Exemple :

1. Le client 12.34.56.78:23456 se connecte à votre serveur 87.65.43.21:443 (haproxy), qui utilise la socket locale 10.0.0.1:12345 pour relayer l’appel en mode TCP à OpenSSH sur 10.0.0.2:22.
2. Une chaîne d’exécution va :
   • extraire des logs haproxy les infos 12.34.56.78:23456, 10.0.0.1:12345, 10.0.0.2:22,
   • établir une correspondance en mémoire, d’une durée de vie limitée, entre ces données.
3. Quelques entrées de log plus tard, une autre chaîne d’exécution va :
   • détecter une attaque SSH depuis 10.0.0.1:12345 vers 10.0.0.2:22,
   • activer le remplacement (si correspondance trouvée) de la source, qui va remplacer 10.0.0.1:12345 par 12.34.56.78:23456
   • agir sur la vraie adresse IP de l’attaquant.