Je n'arrive pas à déterminer si son message est ironique au pas.
Dans le cas où il l'est, je vais expliquer pourquoi je pose cette question :
Utiliser ce genre d'outils oblige à un investissement de temps conséquent (surtout lorsqu'on n'est pas comptable ou gestionnaire). De plus, suivant la quantité et la nature des informations que l'outil gérera, il est facile de comprendre qu'on ne souhaite pas recommencer cette étape à la prochaine version car le SGBDR aura changé.
J'ai testé récemment Dolibarr et je l'ai momentanément adopté : accès par navigateur web, possibilité de le lier à des boutiques de vente en ligne, moins obscure que openerp, en php donc j'ai pu signaler et corriger quelques bugs ....
Mais l'une des raisons principales a été le support de postgresql. Malgré quelques bugs (comme la requête pour chiffrer les mots de passe utilisateur en base dédiée à mysql), ça fonctionne plutôt bien. Mais j'ai peur de voir ce support disparaître, il n'est pas mentionné dans ce journal (pourtant j'utilise la version 2.9). Pensez-vous continuer le support de ce sgbdr dans les futures versions ?
L'avantage de memcache sur sharedance est que le module php5-memcache (enfin sous debian) inclus directement la gestion des sessions.
Haproxy n'est pas un reverse proxy, c'est un load balancer tcp/http.
Pour faire du reverse proxy, j'aime bien nginx.
Et si tu as du temps pour tester d'autres solutions, tu peux t'intéresser à OpenBSD.
En plus de prendre très au sérieux la sécurité informatique, cet OS dispose d'outils réseau performants :
- interface trunk pour agréger tes interfaces réseau permettant de redonder les switchs
- interface carp permettant des bascules automatiques (ou manuelles) avec une configuration simple mais puissante
- interface pfsync (lié au parefeu PF) pour synchroniser les tables d'état
....
Des équivalents existent sous linux, mais je les trouve trop "compliquées" par rapport à celle-ci.
Par exemple, tu peux faire un load-balancer IP avec 2 OpenBSD, leur parefeu PF+pfsync et relayd qui surveille les backends.
Ne connaissant pas LVS, je ne peux pas te répondre précisément. Par contre, je peux partager mon expérience passée en HA.
Stocker des sessions PHP sur disque est contre-performant et s'oppose au principe de HA/répartition de charge. Tu peux utiliser une base de données, ceci réglera ton problème de répartition mais pourra te mener à de plus graves soucis : plus ton trafic augmentera, plus la base de données sera sollicitée, et c'est sûrement l'un des points les plus difficiles à solutionner dans une archi HA. Je te conseille de regarder du coté de memcache et php5-memcache. Tu peux en 2 lignes de conf utiliser un stockage memcache (redondé ou pas) pour les sessions.
Pour le load balancing ssl sans persistance, il n'existe qu'une seule solution : utiliser des certificats ssl multi-domaines (plusieurs SubjectAltName).
Pour ton souci de load-balancing, je te conseille de regarder Haproxy. Tu assures ça redondance avec heartbeat ou ucarp.
Nginx est un très bon soft, je l'ai utilisé pour délivrer du contenu statique et dans un pool de reverse proxy ssl et j'en ai été tres satisfait.
- reverse : certaines choses sont perfectibles, comme la détection de bon fonctionnement des backends qui reste en dessous de celle de Haproxy (qui est un chef d'oeuvre) ou de relayd, mais tu pourras rewriter par exemple
- web : tu ne retrouveras pas toutes les fonctionnalités fournies par apache et ses nombreux modules mais les perfs seront au rendez-vous
En bref, il est à essayer, sa configuration est assez simple et la wikidoc est correcte.
A vérifier qu'il puisse piloter ton autoloader ...
C'est un très bon outil que j'utilise actuellement sur des plateformes de prod, j'ai un peu modifié sa façon de fonctionner car je n'utilise pas de bande mais sauvegardes fichier.
Il utilise une base de données (postgresql ici) permettant de facilement s'y retrouver dans ses backups.
Il en existe plein d'autres (pgcluster, bucardo ...)
Fût un temps où je les ai testé, aucun ne m'a apporté satisfaction, je me suis rabattu sur du drbd/heartbeat qui fonctionne bien.
je confirme pour la marge, certains produits prennent x10 au niveau de leur prix lors du passage des frontières et notamment les cadres photos (j'étais à Shenzhen la semaine dernière où j'ai pu constater ce phénomène).
Le man chroot ne laisse pas entendre ceci, et donne même un exemple pour s'évader de la prison (si user root je l'accorde).
chroot n'est pas un gage de sécurité et n'est pas son but d'ailleurs.
Maintenant, avec un certain patch kernel centré sur la sécurité (et non mainline), c'est déjà un peu mieux.
Peut-on passer de qemulator à virt-manager (ou inverse) sans modifier les "images" des OS utilisés ?
J'utilise actuellement virtualbox pour virtualiser un OS sale mais me permettant de créer une connexion IPSEC avec des OpenBSD (afin d'utiliser des interfaces web bourrées d'ActiveX, pas le choix).
Je suis rentré de vacances il y a quelques jours, et virtualbox sur sid ne démarre plus à cause d'un souci de compatibilité de virtualbox et du module kernel (je n'ai pas intérêt à jouer avec mon kernel, j'utilise un laptop avec chiffrement complet - /boot sur clef usb).
Ceci est peut être dû au passage à Lenny (Sid étant mis en retrait pour l'instant), mais du coup j'ai du mal à utiliser mon VPN.
L'un des avantages de vbox est aussi d'être disponible sur plusieurs OS et donc de pouvoir partager les images mais en réalité, d'obscures problèmes sont apparus lorsque j'ai voulu faire tourner des images linux grsecurity sur du windows.
Tout ceci et cette article/discussion me donne envie de passer à qemu avec un mode clickodrome. N'ayant pas envie de comparer (pour l'instant) les diverses interfaces, l'idéal serait de pouvoir switcher entre elles et virer vbox.
Stockage: centralisation à un endroit des logs (dans son cas il parle d'une seule machine mais ...)
Rotation: à lui de bien définir son modèle et aussi d'utiliser les capacités de la base de données qu'il aura choisi. Perso, j'ai un système de partitionnement de table et des fonctions pl/pgsql (à choisir) pour manipuler le tout (créer les tables filles par exemple).
Recherche: un enregistrement d'une table de log comporte énormément d'information permettant à une requête sql de bien mieux trier qu'un grep.
Pour le choix de la base de données, chacun ses goûts mais il faut penser qu'elle sera fortement sollicitée (surtout en écriture). Pour le stockage, il est recommandé de choisir un espace de stockage conséquent et rapide.
Et enfin syslog-ng vs rsyslog, si on mets à part les problèmes de licence / mode de développement du premier, le deuxième me semble plus adapté:
- gestion natives des bases de données
- et surtout plusieurs niveaux de tampons permettant de bien mieux gérer les afflux de logs sur une base chargée.
Sinon il existe trickle dont voici la description :
Trickle is a voluntary, cooperative bandwidth shaper. it works entirely in userland and is very easy to use.
The most simple application is to limit the bandwidth usage of programs.
si vous choisissez de mauvais outils tels que ce sgbd alors qu'il en existe un bien meilleur sous tous points de comparaison ....
sinon, faire des backups sur la machine même ça sert presque à rien ...
et puis dans ton cas (remonter un serveur identique), la backup de la configuration de la plateforme peut aussi être très utile.
Tu regardes trop la télé et véhicule des images fausses.
Tu en plaisantes sûrement mais c'est quand même une image de la Thaïlande largement répandu.
Je crois bien que la pédophilie est interdit et en tout cas tres mal vue ....
Tu pourras me dire que c'est quand même possible mais en France aussi, sauf qu'il faut payer plus cher.
Cherche mieux dans mon précédent commentaire et tu trouveras.
Sinon, y a quoi dans les routeurs / switchs .... des diverses marques ?
Y a bien des OS là dedans (souvent dérivés de certains autres OS que l'on connait bien), et bien qu'on ne puisse pas les utiliser tel quels, ils existent et méritent la comparaison quand on parle de réseau.
A part le fait que je préfère grsecurity (+pax) à SELinux et que je préfère quand les fonctionnalités offertes par grsec+pax sont intégrées directement au noyau (genre un OS ayant du piquant) , la phrase "Son projet est de faire de Linux le top de la sécurité comme Linux est le top pour le réseau" me fait bien rire.
En quoi Linux est le top pour le réseau ? (note que je n'ai pas dit qu'il est mauvais).
J'ai plusieurs machines full raid1 sans partition boot et dont le bootloader est grub.
J'ai utilisé l'installeur debian pour un serveur, ce qui a tres bien fonctionnée.
Pour une autre machine, j'ai tout fait à la main en créant un raid dégradé sur le nouveau dd et ensuite des cpio sur toutes les partitions vers les nouvelles. On redémarre sur le raid dégradé et on lui ajoute enfin l'ancien disque.
Tout ça pour dire qu'il te faut utiliser le raid software de ton noyau et que tu as dû faire une erreur quelque part car ça fonctionne bien.
Ce RescueCD m'a l'air bien sympathique, il est en passe de devenir mon Rescue/Live CD de secours mais il manque un outil (je ne l'ai pas vu dans la liste des packages): cryptsetup avec les options Luks.
Ce genre d'outils de chiffrement peut s'avérer indispensable pour la récupération de données, il me semble qu'ils ont leur place dans ce genre de CD.
"extinction brutale parce que j'étais super pressé" <- faut pas se plaindre après ... alors qu'il suffit de faire un simple halt et fermer l'écran, ça aurait été aussi rapide.
J'utilise xfs sur un serveur perso (full xfs sur du raid1 software) et je n'ai jamais eu un seul problème avec malgré quelques arrêts brutaux (panne de courant et onduleur mal configuré). De plus, la commande xfsdump est des plus pratiques pour faire des sauvegardes (complètes, incrémentales, ...).
Tu as l'air décidé, tu as envie de changer de FS (et ta distrib, tu la gardes ?) alors je te propose JFS et si le coeur t'en dis, regardes du coté de EVMS.
Je les ai installé sur ma machine perso, EVMS révolutionne la gestion des disques/partitions/... , avec lui, fini les prises de têtes pour gérer un conteneur lvm2 sur du raid1 par exemple ( http://tigrou3tac.org/index.php?current=3&suite=1&ar(...) ).
J'ai donc utilisé jfs comme système de fichiers sur cette machine,evms et jfs provenant tous les deux de IBM. Je n'ai aucun reproche à lui faire, malgré là aussi quelques coupures brutales du PC (surchauffe dûe au ventilateur du processeur qui n'était pas assez puissant), il a toujours réussi à rattraper les erreurs.
Maintenant, quelque soit le système de fichiers que tu choisiras, évites de couper ton OS comme un porc.
si ce n'est que pour améliorer les chroots de base sous linux, je pense qu'une solution de type grsecurity est meilleure que les vservers qui servent plus à proposer des services mutualisés.
D'ailleurs, si je me rappelle bien, les auteurs du patch vserver proposaient il y a quelques temps leur patch avec grsecurity intégré. On se demande pourquoi ? :)
[^] # Re: Oui mais ...
Posté par Fabien . En réponse à la dépêche Nouvelle version de Dolibarr ERP/CRM disponible. Évalué à 1.
j'espère avoir le temps de tester la version 3.0 et participer aux tests.
[^] # Re: Oui mais ...
Posté par Fabien . En réponse à la dépêche Nouvelle version de Dolibarr ERP/CRM disponible. Évalué à -1.
Dans le cas où il l'est, je vais expliquer pourquoi je pose cette question :
Utiliser ce genre d'outils oblige à un investissement de temps conséquent (surtout lorsqu'on n'est pas comptable ou gestionnaire). De plus, suivant la quantité et la nature des informations que l'outil gérera, il est facile de comprendre qu'on ne souhaite pas recommencer cette étape à la prochaine version car le SGBDR aura changé.
# Oui mais ...
Posté par Fabien . En réponse à la dépêche Nouvelle version de Dolibarr ERP/CRM disponible. Évalué à 4.
Mais l'une des raisons principales a été le support de postgresql. Malgré quelques bugs (comme la requête pour chiffrer les mots de passe utilisateur en base dédiée à mysql), ça fonctionne plutôt bien. Mais j'ai peur de voir ce support disparaître, il n'est pas mentionné dans ce journal (pourtant j'utilise la version 2.9). Pensez-vous continuer le support de ce sgbdr dans les futures versions ?
[^] # Re: HA
Posté par Fabien . En réponse au message Répartition de charge avec LVS. Évalué à 2.
Haproxy n'est pas un reverse proxy, c'est un load balancer tcp/http.
Pour faire du reverse proxy, j'aime bien nginx.
Et si tu as du temps pour tester d'autres solutions, tu peux t'intéresser à OpenBSD.
En plus de prendre très au sérieux la sécurité informatique, cet OS dispose d'outils réseau performants :
- interface trunk pour agréger tes interfaces réseau permettant de redonder les switchs
- interface carp permettant des bascules automatiques (ou manuelles) avec une configuration simple mais puissante
- interface pfsync (lié au parefeu PF) pour synchroniser les tables d'état
....
Des équivalents existent sous linux, mais je les trouve trop "compliquées" par rapport à celle-ci.
Par exemple, tu peux faire un load-balancer IP avec 2 OpenBSD, leur parefeu PF+pfsync et relayd qui surveille les backends.
# HA
Posté par Fabien . En réponse au message Répartition de charge avec LVS. Évalué à 2.
Stocker des sessions PHP sur disque est contre-performant et s'oppose au principe de HA/répartition de charge. Tu peux utiliser une base de données, ceci réglera ton problème de répartition mais pourra te mener à de plus graves soucis : plus ton trafic augmentera, plus la base de données sera sollicitée, et c'est sûrement l'un des points les plus difficiles à solutionner dans une archi HA. Je te conseille de regarder du coté de memcache et php5-memcache. Tu peux en 2 lignes de conf utiliser un stockage memcache (redondé ou pas) pour les sessions.
Pour le load balancing ssl sans persistance, il n'existe qu'une seule solution : utiliser des certificats ssl multi-domaines (plusieurs SubjectAltName).
Pour ton souci de load-balancing, je te conseille de regarder Haproxy. Tu assures ça redondance avec heartbeat ou ucarp.
[^] # Re: nginx ?
Posté par Fabien . En réponse au journal La fin du monde. Évalué à 5.
- reverse : certaines choses sont perfectibles, comme la détection de bon fonctionnement des backends qui reste en dessous de celle de Haproxy (qui est un chef d'oeuvre) ou de relayd, mais tu pourras rewriter par exemple
- web : tu ne retrouveras pas toutes les fonctionnalités fournies par apache et ses nombreux modules mais les perfs seront au rendez-vous
En bref, il est à essayer, sa configuration est assez simple et la wikidoc est correcte.
# Bacula
Posté par Fabien . En réponse au message Sauvegarde depuis linux sur autochargeur de bande. Évalué à 2.
C'est un très bon outil que j'utilise actuellement sur des plateformes de prod, j'ai un peu modifié sa façon de fonctionner car je n'utilise pas de bande mais sauvegardes fichier.
Il utilise une base de données (postgresql ici) permettant de facilement s'y retrouver dans ses backups.
[^] # Re: du flou...
Posté par Fabien . En réponse au journal Au coeur de la cyberguerre. Évalué à 1.
Et d'autres options permettent de renforcer la sécurité générale des serveurs.
[^] # Re: PostgreSQL master/master
Posté par Fabien . En réponse à la dépêche Répartition de charge : axes de réflexion et quelques exemples de solutions libres. Évalué à 3.
Fût un temps où je les ai testé, aucun ne m'a apporté satisfaction, je me suis rabattu sur du drbd/heartbeat qui fonctionne bien.
[^] # Re: tablet firefox :)
Posté par Fabien . En réponse au journal Un nouveau concept, le prototype de Techcrunch.. Évalué à 5.
[^] # Re: Parce que
Posté par Fabien . En réponse au message Pourquoi chrooter bind ?. Évalué à 3.
chroot n'est pas un gage de sécurité et n'est pas son but d'ailleurs.
Maintenant, avec un certain patch kernel centré sur la sécurité (et non mainline), c'est déjà un peu mieux.
[^] # Re: virtualbox
Posté par Fabien . En réponse au journal qemu 0.10 is out \o/. Évalué à 1.
J'utilise actuellement virtualbox pour virtualiser un OS sale mais me permettant de créer une connexion IPSEC avec des OpenBSD (afin d'utiliser des interfaces web bourrées d'ActiveX, pas le choix).
Je suis rentré de vacances il y a quelques jours, et virtualbox sur sid ne démarre plus à cause d'un souci de compatibilité de virtualbox et du module kernel (je n'ai pas intérêt à jouer avec mon kernel, j'utilise un laptop avec chiffrement complet - /boot sur clef usb).
Ceci est peut être dû au passage à Lenny (Sid étant mis en retrait pour l'instant), mais du coup j'ai du mal à utiliser mon VPN.
L'un des avantages de vbox est aussi d'être disponible sur plusieurs OS et donc de pouvoir partager les images mais en réalité, d'obscures problèmes sont apparus lorsque j'ai voulu faire tourner des images linux grsecurity sur du windows.
Tout ceci et cette article/discussion me donne envie de passer à qemu avec un mode clickodrome. N'ayant pas envie de comparer (pour l'instant) les diverses interfaces, l'idéal serait de pouvoir switcher entre elles et virer vbox.
[^] # Re: No problemo
Posté par Fabien . En réponse au message Redirection de logs sous MySql via Syslog-ng. Évalué à 2.
Rotation: à lui de bien définir son modèle et aussi d'utiliser les capacités de la base de données qu'il aura choisi. Perso, j'ai un système de partitionnement de table et des fonctions pl/pgsql (à choisir) pour manipuler le tout (créer les tables filles par exemple).
Recherche: un enregistrement d'une table de log comporte énormément d'information permettant à une requête sql de bien mieux trier qu'un grep.
Pour le choix de la base de données, chacun ses goûts mais il faut penser qu'elle sera fortement sollicitée (surtout en écriture). Pour le stockage, il est recommandé de choisir un espace de stockage conséquent et rapide.
Et enfin syslog-ng vs rsyslog, si on mets à part les problèmes de licence / mode de développement du premier, le deuxième me semble plus adapté:
- gestion natives des bases de données
- et surtout plusieurs niveaux de tampons permettant de bien mieux gérer les afflux de logs sur une base chargée.
[^] # Re: Super sympa !
Posté par Fabien . En réponse au journal CSS spéciale Ubuntu 8.10 : explication. Évalué à 5.
# Générique
Posté par Fabien . En réponse au message transfert de fichiers avec limitation de débit. Évalué à 1.
Trickle is a voluntary, cooperative bandwidth shaper. it works entirely in userland and is very easy to use.
The most simple application is to limit the bandwidth usage of programs.
[^] # Re: Les bits de sécurité ?
Posté par Fabien . En réponse à la dépêche Sortie du noyau Linux 2.6.26. Évalué à 2.
merci grsecurity
# en même temps ...
Posté par Fabien . En réponse au journal Migration foirée. Évalué à -7.
sinon, faire des backups sur la machine même ça sert presque à rien ...
et puis dans ton cas (remonter un serveur identique), la backup de la configuration de la plateforme peut aussi être très utile.
[^] # Re: le coté parano
Posté par Fabien . En réponse au journal Le disque, le loup et le phoque. Évalué à 1.
Tu en plaisantes sûrement mais c'est quand même une image de la Thaïlande largement répandu.
Je crois bien que la pédophilie est interdit et en tout cas tres mal vue ....
Tu pourras me dire que c'est quand même possible mais en France aussi, sauf qu'il faut payer plus cher.
[^] # Re: LSM
Posté par Fabien . En réponse au journal Le nouveau SeLinux. Évalué à 0.
Sinon, y a quoi dans les routeurs / switchs .... des diverses marques ?
Y a bien des OS là dedans (souvent dérivés de certains autres OS que l'on connait bien), et bien qu'on ne puisse pas les utiliser tel quels, ils existent et méritent la comparaison quand on parle de réseau.
[^] # Re: LSM
Posté par Fabien . En réponse au journal Le nouveau SeLinux. Évalué à 2.
En quoi Linux est le top pour le réseau ? (note que je n'ai pas dit qu'il est mauvais).
[^] # Re: Share and enjoy
Posté par Fabien . En réponse au journal Détection de rootkit. Évalué à 1.
kernel 2.6.22.9 2007-09-26 18:10 UTC
kernel 2.6.23-rc9-git1 2007-10-02 19:01 UTC
pas si en retard que ça.
Je recommande aussi ce projet
[^] # Re: Installer mandriva :)
Posté par Fabien . En réponse au message RAID et Debian. Évalué à 2.
J'ai utilisé l'installeur debian pour un serveur, ce qui a tres bien fonctionnée.
Pour une autre machine, j'ai tout fait à la main en créant un raid dégradé sur le nouveau dd et ensuite des cpio sur toutes les partitions vers les nouvelles. On redémarre sur le raid dégradé et on lui ajoute enfin l'ancien disque.
Tout ça pour dire qu'il te faut utiliser le raid software de ton noyau et que tu as dû faire une erreur quelque part car ça fonctionne bien.
# partitions chiffrées ?
Posté par Fabien . En réponse à la dépêche SystemRescueCD 0.3.1. Évalué à 2.
Ce genre d'outils de chiffrement peut s'avérer indispensable pour la récupération de données, il me semble qu'ils ont leur place dans ce genre de CD.
# EVMS + JFS ?
Posté par Fabien . En réponse au journal XFS: demain j'arrête.... Évalué à 5.
J'utilise xfs sur un serveur perso (full xfs sur du raid1 software) et je n'ai jamais eu un seul problème avec malgré quelques arrêts brutaux (panne de courant et onduleur mal configuré). De plus, la commande xfsdump est des plus pratiques pour faire des sauvegardes (complètes, incrémentales, ...).
Tu as l'air décidé, tu as envie de changer de FS (et ta distrib, tu la gardes ?) alors je te propose JFS et si le coeur t'en dis, regardes du coté de EVMS.
Je les ai installé sur ma machine perso, EVMS révolutionne la gestion des disques/partitions/... , avec lui, fini les prises de têtes pour gérer un conteneur lvm2 sur du raid1 par exemple ( http://tigrou3tac.org/index.php?current=3&suite=1&ar(...) ).
J'ai donc utilisé jfs comme système de fichiers sur cette machine,evms et jfs provenant tous les deux de IBM. Je n'ai aucun reproche à lui faire, malgré là aussi quelques coupures brutales du PC (surchauffe dûe au ventilateur du processeur qui n'était pas assez puissant), il a toujours réussi à rattraper les erreurs.
Maintenant, quelque soit le système de fichiers que tu choisiras, évites de couper ton OS comme un porc.
JFS: http://jfs.sourceforge.net/
EVMS: http://evms.sourceforge.net/
PS: ce commentaire est une pub pour EVMS
[^] # Re: Linux Jaily
Posté par Fabien . En réponse au journal Linux sécurisé, GRsecurity, RSBAC, PaX, SSP, libsafe, SElinux,.... Évalué à 2.
D'ailleurs, si je me rappelle bien, les auteurs du patch vserver proposaient il y a quelques temps leur patch avec grsecurity intégré. On se demande pourquoi ? :)