Je n'ai pas pu beaucoup testé car je suis sur une machine qui rame sévère (même pour une bête page HTML). Je commenterais donc deux petites bricoles...
Je me disais juste que c'était dommage d'avoir utilisé des tableaux juste pour le formulaire de connexion, ce ne sont pas des données tabulaires affichées :(
Sinon, pour les dates, quitte à utiliser (X)HTML5 autant utiliser l'élément [time] plutôt qu'[abbr].
Je vais regarder du côté de suhosin quand même. Et de mod_security, le truc qui peut vite être chiant si on le maîtrise pas non plus ou si on "l'oublie" ;)
J'ai vu que pour utiliser le suExec il y a des contraintes. Les paramètres de ce programme sont en dur, dont le dossier de bas equi est /var/www/ dans le dossier Debian. Or dans mon tutoriel j'utilise /home/site.fr/ pour stocker les données. Donc soit je recompile suExec (pas mon but) soit je met les dossiers /home dans /var/www/site.fr/ au final.
À priori suPHP fonctionne avec mod CGI mais pas FCGI. Par contre FGCI + suExec serait le bien.
Je me suis aussi penché sur suhosin (patch de sécurité supplémentaire non inclut par défaut dans PHP). Sur le dépôt officiel Debian il n'y a que les sources de suhosin, il faut donc recompiler PHP donc bof… C'est là que j'ai découvert un dépôt spécial Debian pour serveur LAMP : http://www.dotdeb.org
Reste à voir si c'est prudent d'utiliser ces paquets au lieu de ceux officiels.
Le choix de la version 2 d'une part et beta d'autre part s'est fait suite à un intense débat de 10 secondes avec moi-même juste avant la publication de ce journal :)
Pour sudo, je ne savais pas si ça valait vraiment le coup, je vais regarder.
Ok pour iptables, corrigé. Idem pour SYN/ACK, je vais regarder.
Pour les scripts à la fin, c'était juste une demande d'un professeur. De mon point de vue il n'est pas suffisamment "stable". Si un truc foire en plein milieu, bonjour les problèmes. On va réfléchir à les enlever.
Cependant j'estime qu'on ne fait pas tant découvrir Debian que ça (il faudrait un livre entier, qui existe déjà d'ailleurs).
C'est assez dur de se fixer des limites quand on écrit ce genre de tutoriel. Il faut arriver à évaluer les compétences du lecteur : a t-il déjà utiliser Linux ? a t-il déjà utiliser la ligne de commande ? sait-il déjà mettre en place un serveur LAMP sans toucher du tout à l'aspect sécurité ? :/
Pour la licence affichée sur le site, c'est la faute à la forge non ergonomique qui ne connaît pas les licences CC. Du coup "Other" s'est retrouvé comme meilleur choix :o
À l'époque où nous avions commencé la rédaction, il n'y avait pas autant de buzz sur l'auto-hébergement et nous n'avions pas vu ce genre de tutoriels/wikis.
Évidemment maintenant, l'intérêt est dans la mutualisation :)
Corrigé. Il y a sûrement plein d'autres erreurs de ce type…
Concernant l'impression, nous sommes dépendant de Sphinx pour la génération du PDF (qui génère un HTML plutôt cool soit dit en passant). Je vais voir si je peux le configurer.
J'ai juste survoler le "problème" mais n'y a t-il tout simplement pas plus performant et sécurisé que Apache en mode prefork et php en module ?
D'après ce que j'ai compris, si on apache en mode worker et PHP via FCGI, d'une part ça prend moins de ressources et d'autre part chaque virtualhost est exécuté avec ses propres droits et non ceux de www-data.
Tout ceci reste à confirmer bien sûr, quelqu'un ? :)
Je n'ai pas lu tous les commentaires, juste ceux démarrant une discussion et les 2 qui les suivent, donc vous pouvez m'insultez si ce que je vais dire à déjà été dit :)
La majorité des commentaires semblent ne pas tenir compte du fait que Palm se faisait passer pour un iPod auprès d'iTunes _grâce à une bidouille_. Apple a "juste" décidé de bloquer les appareils se faisant passer pour des iPods. Où est le côté malhonnête ?
Apple n'interdit pas le Palm Pré de se synchroniser avec la musique gérée par iTunes, c'est juste que Palm aurait du développer son propre logiciel ou plugin iSync au lieu de bidouiller iTunes. Évidemment, cette deuxième solution aurait sûrement coûté beaucoup plus cher à Palm…
Effet boule de neige ? À une époque je suppose que c'était le plus abordable (au niveau courbe d'apprentissage) et/ou le plsu facile à mettre en place sur des serveurs (supposition toujours). Du coup il y a eu plein de développeurs, et donc de plus en plus d'hébergeurs, etc.
Pour faire un parallèle :
C'est à se demander pourquoi ces cons de fabricants d'ordinateurs se sont mis d'accord avec ces imbéciles de développeurs d'applications pour mettre Windows quasiment partout!
Tu trouves toujours que les parts de marchés sont un argument quant à la qualité d'un produit ? :o)
J'ai trouvé une solution, plus ou moins acceptable :
Dans /home, chaque dossier d'utilisateur a ses propres droits : synaseserv2:/home# ls -l
total 24
drwx------ 2 root root 16384 2009-06-29 08:52 lost+found
drwx------ 2 peter peter 4096 2009-06-29 09:57 peter
drwx------ 2 thomas thomas 4096 2009-06-29 09:04 thomas
Et les autres n'ont aucun droits (chmod 700).
Accessoirement (est-ce que ça joue vraiment ?) j'ai modifié dans /etc/passwd le shell de peter en /usr/lib/openssh/sftp-server.
Puis dans sshd_config j'ai mis : Subsystem sftp internal-sftp
Match Group sftponly
ChrootDirectory /home
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
Du coup quand peter se connecte, il atterrit dans /home, voit tous les dossiers utilisateurs, mais ne peut "entrer" que dans le sien.
C'est pas très "beau" vu qu'il voit tout les dossiers des autres utilisateurs (même si il peut pas afficher el contenu). De plus, je ne sais pas ce que va donner le chmod 700 avec apache :?
J'ai essayé à nouveau encore plusieurs fois et je n'arrive pas à retrouver la configuration où ça marchait presque. Il me suffirait, comme tu me le conseilles, de créer au moins un répertoire dans le home de l'utilisateur où il aurait les droits.
Sinon, j'ai constaté que scponly fonctionne toujours sur Lenny...
Je tourne sous Mac OS X 10.5.7 avec la dernière RC de Firefox 3.5 et ça fonctionne du feu de Dieu.
Essaye de démarrer Firefox en mode sans échec (sans rendre les changements permanents) pour voir si ça rame toujours. De tête, ça se lance avec un clic sur l'icône dans le Dock tout en maintenant la touche "alt"/"option" enfoncée.
J'achète la grande majorité de ma musique, jusqu'à présent sur iTunes. J'ai donc testé avec joie le nouveau service d'Amazon pour prendre un album à 2,99€ \o/
J'ai donc essayé hier d'acheter un album sur mon Mac. Pour le faire, il faut installer un logiciel proprio "Amazon MP3 Downloader" sur son système puis passer par le site Web d'Amazon pour payer (C'est automatique dans le processus d'achat).
La musique est de bonne qualité, mais contrairement à ce qui est dit, l'album n'a pas été automatiquement ajouté à iTunes. Je m'en remettrais ;)
Pour être tranquille, il faut faire deux sauvegardes à deux endroits différents. Pour l'instant je n'en fait une que sur mon disque dur externe.
Je souhaiterais faire des sauvegardes sur un disque chez ma parents, par exemple. Je branche ce type de boîtier sur leur Livebox et hop, je pourrais dormir tranquille ? :)
Vous vous y prenez autrement pour faire des sauvegardes ? Je n'ai pas confiance en SugarSynx, Jungle Disk, etc.
[^] # Re: FF4
Posté par Thomas . En réponse au journal Prototype du nouveau thème de Firefox 3.7 sous Linux. Évalué à 1.
En toute naïveté, je serais curieux de savoir en quoi ça dérange ?
[^] # Re: C'est moche
Posté par Thomas . En réponse au journal Prototype du nouveau thème de Firefox 3.7 sous Linux. Évalué à 0.
Sinon oui, tu as déjà trouvé la solution :)
# Foutaises !
Posté par Thomas . En réponse au journal Quid de la (dés)information concernant les TIC au Lycée.. Évalué à 1.
# Quelques remarques
Posté par Thomas . En réponse à la dépêche Publish It Yourself : un nouveau CMS "autogéré". Évalué à 3.
Je me disais juste que c'était dommage d'avoir utilisé des tableaux juste pour le formulaire de connexion, ce ne sont pas des données tabulaires affichées :(
Sinon, pour les dates, quitte à utiliser (X)HTML5 autant utiliser l'élément [time] plutôt qu'[abbr].
[^] # Re: Time Machine
Posté par Thomas . En réponse au sondage Je réalise mes sauvegardes avec. Évalué à 2.
Ou http://flyback-project.org
# Time Machine
Posté par Thomas . En réponse au sondage Je réalise mes sauvegardes avec. Évalué à 0.
http://www.apple.com/fr/findouthow/mac/#tutorial=leopardtime(...)
Comment ça je n'utilise pas Linux ? On est pas sur macosxfr.biz ?
[^] # Re: Les 7 péchés capitaux
Posté par Thomas . En réponse au journal Les sept péchés de Windows Seven. Évalué à 6.
# Comment débuter ?
Posté par Thomas . En réponse à la dépêche Sortie de Django 1.1. Évalué à 1.
On peut déjà attaquer Django sans connaître Python ? Si non, même question que la première mais pour Python :)
[^] # Re: Conf apache : tunning mémoire
Posté par Thomas . En réponse au journal Nouveau tutoriel sur la mise en place d'un serveur LAMP. Évalué à 1.
J'ai vu que pour utiliser le suExec il y a des contraintes. Les paramètres de ce programme sont en dur, dont le dossier de bas equi est /var/www/ dans le dossier Debian. Or dans mon tutoriel j'utilise /home/site.fr/ pour stocker les données. Donc soit je recompile suExec (pas mon but) soit je met les dossiers /home dans /var/www/site.fr/ au final.
J'ai bon ?
[^] # Re: Conf apache : tunning mémoire
Posté par Thomas . En réponse au journal Nouveau tutoriel sur la mise en place d'un serveur LAMP. Évalué à 1.
Je me suis aussi penché sur suhosin (patch de sécurité supplémentaire non inclut par défaut dans PHP). Sur le dépôt officiel Debian il n'y a que les sources de suhosin, il faut donc recompiler PHP donc bof… C'est là que j'ai découvert un dépôt spécial Debian pour serveur LAMP : http://www.dotdeb.org
Reste à voir si c'est prudent d'utiliser ces paquets au lieu de ceux officiels.
Quelques liens :
http://www.seaoffire.net/fcgi-faq.html
http://www.dedibox-news.com/sujet-4690-choix-entre-suphp-sue(...)
[^] # Re: quelques remarques
Posté par Thomas . En réponse au journal Nouveau tutoriel sur la mise en place d'un serveur LAMP. Évalué à 1.
Le choix de la version 2 d'une part et beta d'autre part s'est fait suite à un intense débat de 10 secondes avec moi-même juste avant la publication de ce journal :)
Pour sudo, je ne savais pas si ça valait vraiment le coup, je vais regarder.
Ok pour iptables, corrigé. Idem pour SYN/ACK, je vais regarder.
Pour les scripts à la fin, c'était juste une demande d'un professeur. De mon point de vue il n'est pas suffisamment "stable". Si un truc foire en plein milieu, bonjour les problèmes. On va réfléchir à les enlever.
[^] # Re: C'est plus que la mise en place
Posté par Thomas . En réponse au journal Nouveau tutoriel sur la mise en place d'un serveur LAMP. Évalué à 1.
Cependant j'estime qu'on ne fait pas tant découvrir Debian que ça (il faudrait un livre entier, qui existe déjà d'ailleurs).
C'est assez dur de se fixer des limites quand on écrit ce genre de tutoriel. Il faut arriver à évaluer les compétences du lecteur : a t-il déjà utiliser Linux ? a t-il déjà utiliser la ligne de commande ? sait-il déjà mettre en place un serveur LAMP sans toucher du tout à l'aspect sécurité ? :/
[^] # Re: aptitude vs apt
Posté par Thomas . En réponse au journal Nouveau tutoriel sur la mise en place d'un serveur LAMP. Évalué à 1.
J'ai l'impression (et les commentaires le confirme) qu'au final personne ne sait vraiment expliquer pourquoi utiliser aptitude et pas apt-get :)
Il y a bien une histoire de gestion de dépendances, mais on s'approche de l'enculage de mouche.
[^] # Re: Mouai...
Posté par Thomas . En réponse au journal Nouveau tutoriel sur la mise en place d'un serveur LAMP. Évalué à 1.
Cependant, c'est toujours mieux que de suivre http://www.howtoforge.com/perfect_setup_debian_etch qui bien que "perfect" utilise FTP, configure peu Apache, ne met pas en place de pare-feu, etc.
[^] # Re: Un vrai projet libre...
Posté par Thomas . En réponse au journal Nouveau tutoriel sur la mise en place d'un serveur LAMP. Évalué à 1.
À l'époque où nous avions commencé la rédaction, il n'y avait pas autant de buzz sur l'auto-hébergement et nous n'avions pas vu ce genre de tutoriels/wikis.
Évidemment maintenant, l'intérêt est dans la mutualisation :)
[^] # Re: A4
Posté par Thomas . En réponse au journal Nouveau tutoriel sur la mise en place d'un serveur LAMP. Évalué à 1.
Concernant l'impression, nous sommes dépendant de Sphinx pour la génération du PDF (qui génère un HTML plutôt cool soit dit en passant). Je vais voir si je peux le configurer.
[^] # Re: Conf apache : tunning mémoire
Posté par Thomas . En réponse au journal Nouveau tutoriel sur la mise en place d'un serveur LAMP. Évalué à 1.
D'après ce que j'ai compris, si on apache en mode worker et PHP via FCGI, d'une part ça prend moins de ressources et d'autre part chaque virtualhost est exécuté avec ses propres droits et non ceux de www-data.
Tout ceci reste à confirmer bien sûr, quelqu'un ? :)
# FUD de linuxien aigri ?
Posté par Thomas . En réponse au journal Pourquoi Apple saymal !. Évalué à 1.
La majorité des commentaires semblent ne pas tenir compte du fait que Palm se faisait passer pour un iPod auprès d'iTunes _grâce à une bidouille_. Apple a "juste" décidé de bloquer les appareils se faisant passer pour des iPods. Où est le côté malhonnête ?
Apple n'interdit pas le Palm Pré de se synchroniser avec la musique gérée par iTunes, c'est juste que Palm aurait du développer son propre logiciel ou plugin iSync au lieu de bidouiller iTunes. Évidemment, cette deuxième solution aurait sûrement coûté beaucoup plus cher à Palm…
[^] # Re: PHP
Posté par Thomas . En réponse au journal Sortie de PHP 5.3. Évalué à 2.
Pour faire un parallèle :
C'est à se demander pourquoi ces cons de fabricants d'ordinateurs se sont mis d'accord avec ces imbéciles de développeurs d'applications pour mettre Windows quasiment partout!
Tu trouves toujours que les parts de marchés sont un argument quant à la qualité d'un produit ? :o)
[^] # Re: Un nouvel atout pour firefox
Posté par Thomas . En réponse au journal Firefox 3.5 est sorti. Évalué à 3.
[^] # Re: ta méthode est fiable
Posté par Thomas . En réponse au message Mettre en place un chroot SFTP sous Lenny. Évalué à 1.
Dans /home, chaque dossier d'utilisateur a ses propres droits :
synaseserv2:/home# ls -l
total 24
drwx------ 2 root root 16384 2009-06-29 08:52 lost+found
drwx------ 2 peter peter 4096 2009-06-29 09:57 peter
drwx------ 2 thomas thomas 4096 2009-06-29 09:04 thomas
Et les autres n'ont aucun droits (chmod 700).
Accessoirement (est-ce que ça joue vraiment ?) j'ai modifié dans /etc/passwd le shell de peter en /usr/lib/openssh/sftp-server.
Puis dans sshd_config j'ai mis :
Subsystem sftp internal-sftp
Match Group sftponly
ChrootDirectory /home
AllowTCPForwarding no
X11Forwarding no
ForceCommand internal-sftp
Du coup quand peter se connecte, il atterrit dans /home, voit tous les dossiers utilisateurs, mais ne peut "entrer" que dans le sien.
C'est pas très "beau" vu qu'il voit tout les dossiers des autres utilisateurs (même si il peut pas afficher el contenu). De plus, je ne sais pas ce que va donner le chmod 700 avec apache :?
[^] # Re: ta méthode est fiable
Posté par Thomas . En réponse au message Mettre en place un chroot SFTP sous Lenny. Évalué à 1.
Sinon, j'ai constaté que scponly fonctionne toujours sur Lenny...
# Rien à l'horizon
Posté par Thomas . En réponse au message Firefox 3.5 galère... Évalué à 2.
Je tourne sous Mac OS X 10.5.7 avec la dernière RC de Firefox 3.5 et ça fonctionne du feu de Dieu.
Essaye de démarrer Firefox en mode sans échec (sans rendre les changements permanents) pour voir si ça rame toujours. De tête, ça se lance avec un clic sur l'icône dans le Dock tout en maintenant la touche "alt"/"option" enfoncée.
# Moi !
Posté par Thomas . En réponse au journal Amazon lance son offe MP3 en France.. Évalué à 6.
J'ai donc essayé hier d'acheter un album sur mon Mac. Pour le faire, il faut installer un logiciel proprio "Amazon MP3 Downloader" sur son système puis passer par le site Web d'Amazon pour payer (C'est automatique dans le processus d'achat).
La musique est de bonne qualité, mais contrairement à ce qui est dit, l'album n'a pas été automatiquement ajouté à iTunes. Je m'en remettrais ;)
# Serait la solution à mon problème de sauvegardes ?
Posté par Thomas . En réponse au journal Un NAS pas cher accessible à distance.. Évalué à 1.
Je souhaiterais faire des sauvegardes sur un disque chez ma parents, par exemple. Je branche ce type de boîtier sur leur Livebox et hop, je pourrais dormir tranquille ? :)
Vous vous y prenez autrement pour faire des sauvegardes ? Je n'ai pas confiance en SugarSynx, Jungle Disk, etc.