ykrons a écrit 31 commentaires

  • # RFC 9142

    Posté par  . En réponse au message Sélection des algos pour openssh. Évalué à 1 (+0/-0).

    Il y a une RFC de début 2022 qui donne l'état des recommandation avec des commentaires assez intéressants : https://datatracker.ietf.org/doc/rfc9142/

    Seul le brouillon de cette RFC est listé dans la page spécifications de OpenSSH (https://www.openssh.com/specs.html)

  • # Quelques trouvailles ...

    Posté par  . En réponse au message Sélection des algos pour openssh. Évalué à 6 (+5/-0).

    Je m'auto-réponds, car j'ai trouvé deux ressources intéressantes:

    Je suis aussi tombé sur CIS Benchmarks (https://learn.cisecurity.org/benchmarks) qui donne des recommandations sur tout un tas d'applis et de distributions dont une partie sur OpenSSH.
    J'ai trouvé ça assez bien commenté également. Par contre, il faut donner une adresse email pour obtenir le lien de téléchargement des PDF.

  • [^] # Re: Avoir accès à un certain nombre de titres de presse pour pas cher

    Posté par  . En réponse au journal Paywall or not paywall… c'mon and meet Bypass Paywalls Clean !. Évalué à 3.

    Effectivement, j'avais lu quelque part que l'inscription était annulée si le pass n'était pas retiré dans les 30 jours, mais ce n'est pas le cas. J'ai eu double confirmation par la BNF.

  • [^] # Re: Avoir accès à un certain nombre de titres de presse pour pas cher

    Posté par  . En réponse au journal Paywall or not paywall… c'mon and meet Bypass Paywalls Clean !. Évalué à 2.

    Effectivement ça a l'air assez chouette! Par contre j'ai l'impression qu'il faut être sur Paris pour récupérer son pass en pouvoir en profiter :(

  • # Etape par étape

    Posté par  . En réponse au message Clonage/sauvegarde de serveurs. Évalué à 2.

    Merci pour vos conseils!

    Je vais sûrement partir sur un mix de:
    * scripts pour préparer les images de bases (utilisable sur VM, conteneur ou machine)
    * Ansible pour "spécialiser" des machines

    Pour les machines plus complexes, je partirai peut-être d'un ghost.

    Y'a plus qu'à tester et ajuster le tir au fur et à mesure

    Pour les outils genre Terraform, je pense que c'est trop pour mon besoin et pour Chef, Puppet, je vais déjà me faire la main avec Ansible pour déjà mieux comprendre les concepts etc

  • [^] # Re: image disque

    Posté par  . En réponse au message Clonage/sauvegarde de serveurs. Évalué à 1.

    Je pensais à quelque chose d'un peu similaire avec:
    * image de base (VM Vagrant ou container)
    * personnalisation avec des scripts ou Ansible
    * ajout d'applications spécifiques en fonction de l'utilisation avec Ansible aussi

    L'option du clone/ghost peut être pas mal en effet vu que j'ai déjà des machines à peu prêt configurées!

  • [^] # Re: Ansible

    Posté par  . En réponse au message Clonage/sauvegarde de serveurs. Évalué à 1.

    Oui Ansible à l'air pas mal et j'aime bien ton approche progressive avec les scripts pour comprendre l’intérêt des outils plus perfectionnés.

    Vu que je pars de loin, me faire la main avec des scripts sur des configurations simples me fera pas de mal!

    Le passage par Fabric je sais pas trop. J'ai peur que ça soit vite limité par rapport à Ansible, par contre je connaissais pas et j'avais déjà fait un truc similaire à la main en moins bien forcement :)

  • [^] # Re: Où placer ses environnements virtuels et comment les nommer ?

    Posté par  . En réponse à la dépêche Python — partie 7 — Environnements virtuels. Évalué à 2.

    Je mettais aussi mes environnements virtuels dans le dossier du projet avant, mais j'ai eu un problème une fois où j'avais un chemin assez long.
    Les scripts créés dans l'environnement virtuel (pip, pip3, etc) référencent l'interpréteur local avec un truc du genre #!/venv/bin/python.
    Problème si ce chemin est trop long, ça coince et ça sort des erreurs bizarres.

    Je ne sais pas si tous les environnements virtuels ont le même problème, mais ça pourrait expliquer pourquoi il est plus intéressant de placer ses environnements dans son home.

  • [^] # Re: La classique

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 1.

    Oui, et désolé, je ne vois toujours pas la logique, sauf si tu ne peux vraiment pas mettre deux versions d'outils et que tu as absolument besoin de scinder.

    Je pense qu'il y a des cas où je pourrais avoir des "dépendances" manquantes suivant l'OS mais c'est vrai que j'ai du mal à trouver un exemple pas trop tiré par les cheveux… :)

    Je vais resté sur les VM/containers car ça me permet de cloner/réinitialiser un environnement de dev sans interférence avec l'hôte. Ça me "rassure" aussi un peu d'être indépendant de toutes les configurations potentielles du poste hôte.

  • [^] # Re: La classique

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 1.

    Salut,

    Je pense que tu parles de bibliothèque (que tu compiles) alors que je parle d'outils de développement (gcc, python et éventuellement bibliothèques système qui sont sous forme binaire) et d'outils d'édition (Eclipse, DDD etc).

    Pour les outils/bibliothèques binaires, je me repose sur la distribution pour gérer ça. C'est là où je vois l’intérêt des VM/container.
    Dans le cas où tout est compilé, effectivement, ça a peu d'intérêt sauf pour du multi-plateforme.

  • [^] # Re: La classique

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 1.

    Peut-être qu'on ne se comprend pas ;)

    Ça n'en a pas l'air en effet :)

    Je vais reprendre un exemple plus concret.

    Mon environnement de dev c'est en gros:
    - python 2, python 3, virtualenv
    - une toolchain gcc avec un sysroot (c'est pour de l'embarqué)
    - Eclipse
    - plusieurs librairies
    - des outils (git, curl, wget, unzip, cpio, zip, sudo etc)
    - un user avec des droits root via sudo
    - quelques variables d'environnement bien définies

    C'est documenté dans un wiki confluence.

    1. J'installe ça sur ma machine de dev.
    2. Je fais mon dev, je debugge tout va bien. Je pousse ça sur GIT qui lance un build sur un CI >> Là, il faut déjà avoir un agent de CI avec tout ça configuré, donc il faut au moins avoir un deuxième environnement installé
    3. Roberte ma voisine, fait une modif. et ajoute une dépendance qu'elle installe chez elle. Elle pousse tout sous GIT et lance un build sur le CI >> Là il faut que l'agent du CI ait été mis à jour
    4. Si je refais une modif chez moi, pareil il faut mettre à jour l'environnement

    En mettant la configuration de l'environnement dans un docker, elle peut être poussée sous GIT et récupérée avec le code sur une machine ou un CI. Ça évite les mises à jour manuelle sur chaque machine.

    Je pense que ça correspond à ton utilisation de jenkins+nexus.

    Mon problème est était le côté pas pratique de bosser avec un container pour développer (ca résout une bonne partie de mon problème: https://linuxfr.org/nodes/123450/comments/1843266), mais j'ai l'impression que tu n'utilises pas de container pour développer …

    J'installe une fois (juste une) l'environnement de dev. Il permet de builder, tester, débuger, en local… bref un "truc" "normal".

    Voilà avec un peu de chance, tu devrais mieux comprendre ce qu'il y a dans ma tête … et m'expliquer ce que j'ai pas compris dans la tienne ;)

  • [^] # Re: Docker ?

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 1.

    C'est vrai que c'est chouette les Makefile :) J'avais un script pour l'instant mais je vais le basculer en Makefile.

    En fait j'ai jamais utilisé Docker pour des applications graphiques, je ne sais même pas si c'est possible. Du coup je pensais à la virtualisation

    Si c'est possible mais il faut avoir toute la couche graphique donc ça alourdit forcement un peu l'image. Après un export display et c'est bon. J'imagine qu'un VNC ou un NX doivent marcher aussi.

  • [^] # Re: Docker ?

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 1.

    Oui c'est à peu prêt le même besoin de mon côté et c'est aussi ce que j'ai dans mon "proto" actuel.

    Par contre, on n'est pas trop "container aware" chez nous, donc j'ai un peu peur que ça perdre un peu du monde.

    De ton côté, comment se passe l'utilisation par les devs?
    Les devs sont plutôt à l'aise avec et ils se débrouillent pour configurer leur environnements de dev etc ?
    C'est prémaché avec un script qui lance automatiquement le container de manière transparente?

    … toi tu parles d'embarquer Eclipse par exemple. Du coup il va te falloir plus qu'un Docker je pense.

    C'est quoi qui est plus fort qu'un docker?

  • [^] # Re: un mix des solutions plus haut

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 2.

    Ça va faire un bel empilage :)
    J'aime bien l'idée, mais après ça fait pas mal d'outil à gérer et à maintenir.

    bamboo/jenkins
    |_ ansible
    |__ vagrant
    |___ VirtualBox / KVM
    |__ docker

    Faut trouver le bon équilibre !

  • [^] # Re: Ton organisation paraît déjà assez bonne

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 1.

    docker run -it --rm -v "(pwd):(pwd)" debian:stretch su -

    C'est vrai que monter le volume au même emplacement pourrait résoudre le problème des chemins différents. C'est tout con, j'y avais pas pensé …

    tout ce qu'il manque pour vivre au paradis est de construire une chaîne de livraison continue qui produit une machine virtuelle à jour à intervalles réguliers. Même si elle fait dans les 10 Go, cela ne prend normalement que quelques minutes à télécharger.

    J'avais testé un peu Vagrant il y a qq années, ça pourrait être une solution pour avoir une VM un peu plus standardisée. Mais si les containers conviennent à tout le monde, ça peut peut-être suffire.

    Après il y a des devs OS et des devs applis qui n'ont pas forcement les mêmes besoins de performances. Une VM pour certain(e)s et un container pour d'autre ça peut aussi être une solution, mais ça fera un peu double maintenance à moins d'avoir un autre truc au dessus qui génère automatiquement VM et container à partir d'une config (ansible par exemple: https://linuxfr.org/nodes/123450/comments/1843259)

  • [^] # Re: La classique

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 1.

    Bon moi j'en suis encore à stash(git) + jira + bamboo(jenkins) + confluence dans ma petite caverne =)

    Nexus je connaissais pas. J'ai regardé ça vite fait (https://fr.sonatype.com/nexus/repository-pro - j'espère que c'est le bon nexus, une recherche renvoie une tripoté de truc qui ont rien à voir) et ça m'a l'air d'avoir un intérêt pour du déploiement de container pour de la "grosse" prod.
    De mon côté, on a peut être 10/15 machines à synchroniser, faire un "docker pull" pour avoir le dernier environnement me parait suffisant.

    J'ai peur de ne pas voir le problème
    Mon problème reste qu'en utilisant des containers, le CI, les builds prod c'est pas mal, mais je trouve que pour les phases de développement, ça reste pas pratique de bosser dans un container (faire une compile, du debug etc).
    Dans ce que tu me listes, il me semble que ce problème est toujours là à moins de n'utiliser l'environnement de developpement que pour taper du code et laisser le CI faire le build mais ça me semble pas trop optimal…

  • [^] # Re: Ansible + GNU environment modules

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 1.

    Ça parait pas mal, par contre je sais pas si ça va couvrir un de mes cas d'utilisation.

    On a de vielles applis compilées avec un vieux compilo, de vieilles libs dans une vielle distribution avec pas mal de poussière dessus. Pour plusieurs raisons (effort de migration, libs plus dispo dans une nouvelle version, etc), on ne va pas mettre à jour le code pour être compatible avec un système à jour.
    Dans ce cas, je ne suis pas sûr qu'on puisse toujours installer tous les outils nécessaires à un "viel environnement" sur un PC de dev à jour. Comme exemple, j'ai un outil qui veut que /bin/sh pointe sur /bin/bash, des scripts qui attendent un user particulier avec des droits root, …
    C'est un peu pour ça que je cherchais plus du côté des VM/container.

    Mais je connais pas Ansible, il faut que je regarde un peu pour pas dire trop de bêtises.

  • [^] # Re: La classique

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 1.

    Alors pour "notre code" c'est déjà plus ou moins ce qu'on fait.
    Mais si tu rajoutes une chaîne de compile un peu spécifique, des outils en plus pour pouvoir lancer les scripts d'automatisation etc … il y a besoin d'installer ces outils.

    Faire un script pour gérer ça, pourquoi pas, mais quand il y a des incompatibilités entre différents projets, ça va se compliquer. C'est pour ça qu'isoler les environnements avec des VM ou des containers me semblaient une bonne option.

  • [^] # Re: La classique

    Posté par  . En réponse au message Comment synchroniser environnement de développement entre machines ?. Évalué à 1.

    Salut,

    C'est ce qu'on utilise. Une doc dans confluence pour décrire comment installer l'environnement dans la VM et les sources dans git, mais c'est très manuel et donc rarement à jour et testé.
    En pratique la VM est rarement à jour et reste lourde à échanger.

    Est-ce que tu as en tête un autre exemple d'utilisation de ce trio?

  • [^] # Re: Oui !

    Posté par  . En réponse au message HTTPS sur réseau local. Évalué à 1.

    Pour une seule manip, tu valides tous les certificats générés par la suite (c'est pour ça que c'est une bonne idée que l'IT gère ce CA)

    Coté client oui, mais coté serveur si j'ai une IP dynamique ça colle pas. Je ne vais préparé tous les certificats correspondant aux IPs possible ?

    Mais un membre de l'IT de l'entreprise A, qui se déplace physiquement vers l'entreprise B avec une clé USB contenant le certificat de l'entreprise A, c'est la classe je trouve :)

    Dans l'idée, j'aime bien aussi mais en pratique je vois pas quelqu'un faire le tour de la planète avec sa clé USB … en fait si :) mais surtout je vois qui va le payer pour ça … ;)

    Au final, mon cas est assez proche d'une Box internet. Connexion via IP pas forcement statique.
    Perso, ça me ferait bizarre d'installer un certificat de Orange/Free/etc pour pouvoir administrer une box …

  • [^] # Re: Petite question

    Posté par  . En réponse au message HTTPS sur réseau local. Évalué à 1.

    Oui on a effectivement sûrement déjà des CA internes mais après ces discussions, je me rends compte que mon problème est ailleurs … (https://linuxfr.org/forums/linux-general/posts/https-sur-reseau-local#comment-1841837).

    En ayant plusieurs moyens de me connecter via différentes IPs potentiellement dynamiques, je ne vois pas trop comment générer un certificat.
    En plus, on peut se connecter à partir de différentes machines (sans lien), je ne vois pas trop comment partager des CA sauf si ils sont publics ce qui ne sera pas compatible avec des IPS.

  • [^] # Re: Oui !

    Posté par  . En réponse au message HTTPS sur réseau local. Évalué à 1.

    à eux de te fournir un certificat, signé par leur autorité.
    ca reste un certificat interne, mais utilisable par tous les utilisateurs de l'entreprise.

    Tout à fait. Ça me semblerait aussi être la meilleure solution si il n'y avait qu'une IP et qu'une "entité" qui accède au serveur web.

    Mon vrai problème c'est qu'on peut accéder à l'appareil en question de plein de façons différentes (ce que j'avais pas précisé dans ma question):
    - par une interface avec une IP fixe : là OK pour le certificat sur IP et ajouté au PC
    - par une ou plusieurs autres interfaces LAN/Wi-Fi avec une IP dynamique : là ça ne marche plus pour les certificats
    - enfin plusieurs boîtes (au moins fournisseur et client) vont s'y connecter : là encore compliqué de partager un CA auto-signé entre deux boîtes je pense …

  • [^] # Re: certbot + challenge DNS?

    Posté par  . En réponse au message HTTPS sur réseau local. Évalué à 1.

    L'appareil sera une sorte de box sur un réseau local et pas accessible d'internet donc le nom de domaine pour le CA ou let's encrypt ne me parait pas jouable.

    Sinon je pense aussi que les risques sont assez bas sur un réseau local filaire ou Wi-Fi en rapport des données échangées donc ça ne me semble pas justifier d'habituer l'utilisateur ou l'utilisatrice à accepter des warnings de sécurité à tout va!

  • [^] # Re: Oui !

    Posté par  . En réponse au message HTTPS sur réseau local. Évalué à 2.

    Merci pour les retours!

    Ça confirme un peu ce que je craignais : tant que le CA n'aura pas été ajouté sur les PC, il y aura au moins une alerte de sécurité la première fois.
    C'est destiné a être utilisé par Mme/M Michu+ et je suis pas sur que ça plaise trop aux services info qui passent leur temps à dire de pas tout accepter :)
    L'option d'ajouter un CA auto-signé devrait pas les enchanter non plus :) mais bon on peut pas tout avoir non plus!

    Le bon point c'est qu'on ne l'aura plus après sauf si:
    - il y a changement de certificat (MITM par exemple)
    - on se connecte sur un autre appareil qui utilise le même principe avec la même IP mais un certificat différent

    Au final, je pense pas partir sur cette option dans ce contexte. Trop de warning du navigateur si le CA n'est pas ajouté au navigateur ou si on change de méthode de connexion (potentiellement plusieurs IP pour se connecter), donc ça serait sans HTTPS

    Par contre dans le cas où je veux juste chiffrer les données envoyées par le client (typiquement mot de passe etc) est ce qu'il n'est pas possible de bricoler un truc en JS?
    - la page web embarque du code avec une clé publique
    - quand l'utilisateur rempli un formulaire et envoie les données au serveur, elles sont chiffrées avec la clé publique
    - le serveur à la clé privée et est capable de déchiffrer les données reçues.
    Ça n'apporte pas d'authentification, ça ne chiffre pas les urls, ni les données de la page, mais au moins les données envoyées au serveur peuvent être chiffrées. Ça peut peut-être suffire dans mon cas.

  • [^] # Re: Ce que je fait

    Posté par  . En réponse au message Comment garder une arborescence cohérente . Évalué à 1.

    Merci pour le retour.

    J'ai mis en place quelque chose de similaire:
    / et /home sur SSD LVM
    /Win/{Docs, Applis win}
    /Data<Volume LVM HDD/{VM, Archives, ISO, Multimedia}
    Et des liens de home vers le contenu de Win et Data avec en plus les données pas trop grosses directement dans home sur le SSD

    Il me reste à mettre un lvmcache ..