Re: choix d'un ISP professionnel pour la fibre
Quel débit sont demandés ? Quelles garanties ? Quel budget? Dans quelle ville ? Est-ce que le bâtiment est déjà fibré ou non? Il y a des centaines de fai pro... Le jeu. 1 août 2019 à 13:51, Alexandre Goethals a écrit : > Bonjour, > > la fibre pro c'est pas donné non plus. > > Les deux FAI professionnel que je connais: > > - Céleste: https://www.celeste.fr/fibre-optique Il y a une offre fibre > mutualisée à partir de 40€ / mois, pour un budget de particulier, c'est > par là que je commencerais. > > - Colt: https://www.colt.net/fr/optical/ Il y a plusieurs offres aussi, > mais les prix sont sur devis je crois. > > > > Le 01/08/2019 à 05:02, Bernard Schoenacker a écrit : > > bonjour, > > > > je recherche à avoir un débit montant conséquent et pour > > l'instant je n'arrive pas à trouver de solution sous les yeux qui > > me satisfassent, ensuite j'ai dans le lot un utilisateur trop accroc > > chez agrumes et il ne se rends pas compte qu'il se fait vraiment > > escroqué au niveau du tarif et il en redemande ... > > > > qui pourrais m'aiguiller ou me donner une bonne information ou > contact > > afin de pouvoir décrocher le graal ? > > > > merci pour votre aimable attention > > > > Bien à vous > > Bernard > > > >
Retour d'expérience sur la geo-localisation par iptables
Bonjour, J'envisage de protéger quelques serveurs par des règles iptables rejetant des requêtes ne provenant pas de certains pays. Comme ces serveurs sont à destination de clients français, j'ai en tête de rejeter la terre entière sauf la France et quelques pays où des clients passeraient leurs vacances. Qui a déjà utilisé dans Debian un module déterminant le pays à partir d'une IP ? Quel retour d'expérience ? Avec la rareté des adresses IPv4 et j'imagine, la revente de plages entre opérateurs divers, une telle détection fonctionne-t-elle correctement pour la France ? Comment s'opère la mise à jour des règles ? Suggestions ? Slts
Re: Quel test unitaire illustre le problème que corrige "-j TCPMSS --clamp-mss-to-pmtu" ?
Le jeu. 11 juil. 2019 à 14:04, Bernard Schoenacker < bernard.schoenac...@free.fr> a écrit : > > bonjour, > > serait il possible de régler le mtu à 1492 sur la passerelle ? > > Sauf erreur, le MTU était déjà réglé à 1492 sur le lien ppp0, si j'en crois la sortie d' "ip link" . En commentant-décommentant ma commande iptables, l'accès au site web marche ou non. Par ailleurs, j'ai : ping -M do -s 1492 192.168.4.254 PING 192.168.4.254 (192.168.4.254) 1492(1520) bytes of data. ping: local error: Message too long, mtu=1492 où 192.168.4.254 est l'IP de mon serveur PPPoE (sur lequel le MTU est aussi valorisé à 1492). La valeur la plus grande pour laquelle le ping ci-dessus réussit est 1464 (le hack iptables ne change rien à cet égard). ping -M do -s 1464 192.168.4.254 PING 192.168.4.254 (192.168.4.254) 1464(1492) bytes of data. 1472 bytes from 192.168.4.254: icmp_seq=1 ttl=64 time=1.21 ms
Quel test unitaire illustre le problème que corrige "-j TCPMSS --clamp-mss-to-pmtu" ?
Bonjour, Dans mon labo, j'ai mis en place un environnement qui simule une connexion d'Orange s'appuyant sur PPPoE. Tout à fait par hasard, en jouant le rôle d'utilisateur se connectant avec son terminal à cet environnement, je me suis rendu compte que pouvais surfer sur de multiples sites web (lemonde.fr, ...) et que j'échouais systématiquement sur l'un d'eux. Poutant, en me connectant à ce site, via un autre réseau local, la connexion s'établissait normalement. Avec des captures Wireshark, j'ai vu que dans l'environnement en défaut, un message "ICMP Don't Fragment" était émis. Ce message m'a fait penser à un problème de MTU. En me documentant sur des problèmes de MTU, j'ai découvert dans [1] le MSS Clamping. En ajoutant à un firewall la règle ci-après, j'ai pu me connecter au site web qui posait problème. iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ppp0 -j TCPMSS --clamp-mss-to-pmtu Cette anomalie découverte par hasard me donne envie d'avoir une méthode plus rationnelle pour vérifier le bon fonctionnement d'un service réseau. Plus spécifiquement, j'aimerai a minima, savoir quelle commande permet de détecter le problème corrigé par la cible -j TCPMSS --clamp-mss-to-pmtu de mes règles iptables ? [1] https://inetdoc.net/guides/iptables-tutorial/tcpmsstarget.html Slts
Re: Firefox et le son
Si tu as lu les infos, alors tu as du voir que le support jack dans firefox est possible, simplement il n'est pas activé par défaut dans le firefox de Debian. Tu as donc une solution. D'autre part, la réponse que tu as produite est maladroite car : 1) on est pas chez un gros fournisseur commercial ici, c'est du logiciel libre, tu ne peux donc pas t'attendre à ce que tout fonctionne comme tu l'imaginerais 2) je t'ai donné une solution, et j'ai reçu 4 mots de remerciement, et 20 mots de râlage de frustration, ça ne va pas encourager à t'aider plus en avant (ni moi, ni d'autres lecteurs de la liste) 3) si tu souhaites que le bogue Debian demandant l'intégration du support jack dans firefox soit moins "désertique", ajoutes-y ta voix, probable qu'avec davantage d'utilisateurs montrant leur intérêt et demandant cette fonctionnalité, Dieu s'en occupera un peu plus vite 4) en fait, c'est pas vraiment Dieu qui s'occupe de Debian, ce sont des humains pour la plupart bénévole, ça aurait mérité d'être pris en compte dans ta réponse, et méritera d'être pris en compte dans ta future réponse Cordialement aussi - Mail original - De: l...@contacte.xyz Bonjour. Merci pour votre réponse. Mais je cherche une solution, pas un prêche dans le desert avec quatre pèlerins et Dieu qui s'en fout. Cordialement. Le 2019-06-30 22:38, humbert.olivie...@free.fr a écrit : > Bonsoir/bonjour. > >> Depuis 1000 ans maintenant, firefox et la Moz-fondation ont décidé que >> le son avec firefox = pulseaudio. >> >> https://bugzilla.mozilla.org/show_bug.cgi?id=1345661#c19 > > C'est pas si vrai que ça. > Voir https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=844688 > > Encouragement à y ajouter ta voix. > > Olivier
Re: Firefox et le son
Bonsoir/bonjour. > Depuis 1000 ans maintenant, firefox et la Moz-fondation ont décidé que > le son avec firefox = pulseaudio. > > https://bugzilla.mozilla.org/show_bug.cgi?id=1345661#c19 C'est pas si vrai que ça. Voir https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=844688 Encouragement à y ajouter ta voix. Olivier
Re: [HS mais pas trop] PC industriel
Tu as besoin de quoi? En matos ? Pour ma part, je viens de me commander 3 carte basée sur J1900, avec 8go de RAM, msata pour le système, SSD de 500go pour la data, pour moins de 180$ pièce. Après, une petite impression 3D pour avoir un boîtier comme je veux, et j'ai un cluster proxmox capable de faire du ceph, pour pas cher ;). Et c'est de l'industriel, standard (qotom). Le tout commandé... Sur Aliexpress :D Olivier Le lun. 24 juin 2019 à 19:16, kaliderus a écrit : > Rebonjour, > > Le lun. 24 juin 2019 à 13:34, bas...@starynkevitch.net > a écrit : > > > > Bonjour, > > > > A mon avis, il faudrait expliquer pourquoi faire. > J'ai hésité à me lancer là dedans en restant le plus concis possible. > Je souhaite pouvoir rajouter des cartes filles idoines dans la limite > du nombre de connecteurs. > > > > Si c'est un bricolage perso, j'essaierais d'inserer une carte ITX ou > microATX dans le rack qui va bien. Peut-être, acheter chez Castorama ou > autre des bouts de plastique (ou profilés) isolants et les percer aux > bonnes dimensions pour la carte ITX. C'est 30 minutes de bricolage. Et le > plastique est isolant et se perce facilement. > Oui mais non, les plastiques et autres composés ne sont pas si bons > isolants, et j'ai les moyens d'investir dans un vrai boitier, c'est > peut être du bricolage, mais je souhaite le faire en professionnel. > Je ne souhaite pas une solution la moins chère possible, juste à un > prix raisonnable. > > > > > https://www.castorama.fr/profile-rectangulaire-pvc-blanc/3232630606957_CAFR.prd > > > > Sinon, c'est logique qu'un PC industriel a un prix industriel. > Oui mais non encore une fois, tout dépend de la définition qu'on donne > à "industriel". > Les systèmes sur lesquels j'ai bossé utilisaient des plates-formes qui > n'étaient pas du tout dernier cri. > La carte qui recevait le processeur et la mémoire coûtait vers les > 200-300€ (processeur et mémoire comprise), le tout dans un boitier qui > devait coûter autant, et revendu au client vers les 5000€ (des fois > plus) selon la tête du client et le portefeuille du service achats. > La marge est confortable. > Le but était d'avoir une plate-forme bien connue et disons > standardisée selon nos critères, qui répond à un besoin spécifique > (c'était en l'occurrence de la récupération de données de capteurs de > position particulièrement sensibles), à savoir à débit garanti (pas > nécessairement maximal). > Quand on est dans une usine avec des machines qui rayonnent dans tous > les sens, on est content d'avoir quelque chose de bien isolé, et même > dans ce cas j'ai vu des capteurs lâché sans en connaître réellement la > cause. > > > > > Faut pas oublier que le temps d'un ingénieur coûte bien plus que le prix > du matériel industriel qu'il utilise > Ok admettons...ceci dit en tant qu'ingénieur, même à la maison, > j'essaye d'optimiser ce fameux temps, d'où ma recherche :-) > > > > Le slogan à retenir, c'est "time is money" (même quand on bricole chez > soi). Un rack aux dimensions idoines, ça se trouve facilement. > C'est plus le matos que je peux y mettre dedans qui m'interroge, le > rack restera un bout de métal. > > Merci pour vos retours. > >
Re: Contrôleur Intel 15be/e1000e supporté par Buster mais pas par Stretch: que faire ? [RESOLU]
Je viens à l'instant d'essayer [3] en utilisant un adaptateur Ethernet sur USB. À ma grande surprise, c'est particulièrement simple et ça fonctionne (en apparence) ! Je recommanderai sans hésiter d'essayer cette procédure. Merci à tous pour vos conseils ! [3] https://www.intel.fr/content/www/fr/fr/support/articles/05480/network-and-i-o/ethernet-products.html Le mar. 18 juin 2019 à 13:27, Guillaume Clercin a écrit : > Bonjour, > > Je suggère d'installer une debian stretch en utilisant une carte réseau > en USB (le temps de l'installation). Puis d'installer un noyau (avec > les firmwares si nécessaire) depuis les backports de la stretch. > > On peut renommer les interfaces soit : > * en éditant le fichier « /etc/udev/rules.d/70-persistent-net.rules » > * en utilisant le paquet « ifrename » > > Cordialement, > -- > Guillaume Clercin > > > On Tue, 18 Jun 2019 12:44:33 +0200 > Olivier wrote: > > > En complément de ma question précédente volontairement ouverte, voici les > > pistes que j'imagine: > > > > 1. Acheter un adaptateur Ethernet sur USB supporté par Stretch qui va > > remplacer purement et simplement l'adaptateur intégré (pb: quelles perfo > ? > > comment avoir un nommage de l'interface plus sympa que enx123456789abcd > ?) > > > > 2. Ajouter un dépôt magique (Stretch Backport ? depot Intel) dans lequel > se > > trouve un paquet magique. > > > > 3. Ajouter un binaire magique > > > > 4. Compiler/installer des sources > > > > Le mar. 18 juin 2019 à 12:21, Olivier a écrit : > > > > > Bonjour, > > > > > > Je viens de réceptionner un NUC Intel. > > > Je dois impérativement le livrer avec Stretch, d'ici 48h maximum. > > > > > > Avec l'installeur de Buster (cf [1]), l'interface Ethernet est > reconnue et > > > fonctionnelle. > > > Elle est vue de type 15be alias e1000e. > > > > > > L'installeur de Stretch (cf [2]) ne détecte pas cette interface > Ethernet : > > > il me présente une liste de drivers dans laquelle figure un driver > e1000e. > > > En le sélectionnant, rien ne se passe. > > > > > > Que me conseillez-vous ? > > > > > > Slts > > > > > > [1] > > > > https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/buster_di_rc1+nonfree/multi-arch/iso-cd/firmware-buster-DI-rc1-amd64-i386-netinst.iso > > > > > > [2] > > > > https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/9.9.0+nonfree/multi-arch/iso-cd/firmware-9.9.0-amd64-i386-netinst.iso > > > >
Re: Contrôleur Intel 15be/e1000e supporté par Buster mais pas par Stretch: que faire ?
En complément de ma question précédente volontairement ouverte, voici les pistes que j'imagine: 1. Acheter un adaptateur Ethernet sur USB supporté par Stretch qui va remplacer purement et simplement l'adaptateur intégré (pb: quelles perfo ? comment avoir un nommage de l'interface plus sympa que enx123456789abcd ?) 2. Ajouter un dépôt magique (Stretch Backport ? depot Intel) dans lequel se trouve un paquet magique. 3. Ajouter un binaire magique 4. Compiler/installer des sources Le mar. 18 juin 2019 à 12:21, Olivier a écrit : > Bonjour, > > Je viens de réceptionner un NUC Intel. > Je dois impérativement le livrer avec Stretch, d'ici 48h maximum. > > Avec l'installeur de Buster (cf [1]), l'interface Ethernet est reconnue et > fonctionnelle. > Elle est vue de type 15be alias e1000e. > > L'installeur de Stretch (cf [2]) ne détecte pas cette interface Ethernet : > il me présente une liste de drivers dans laquelle figure un driver e1000e. > En le sélectionnant, rien ne se passe. > > Que me conseillez-vous ? > > Slts > > [1] > https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/buster_di_rc1+nonfree/multi-arch/iso-cd/firmware-buster-DI-rc1-amd64-i386-netinst.iso > > [2] > https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/9.9.0+nonfree/multi-arch/iso-cd/firmware-9.9.0-amd64-i386-netinst.iso >
Contrôleur Intel 15be/e1000e supporté par Buster mais pas par Stretch: que faire ?
Bonjour, Je viens de réceptionner un NUC Intel. Je dois impérativement le livrer avec Stretch, d'ici 48h maximum. Avec l'installeur de Buster (cf [1]), l'interface Ethernet est reconnue et fonctionnelle. Elle est vue de type 15be alias e1000e. L'installeur de Stretch (cf [2]) ne détecte pas cette interface Ethernet : il me présente une liste de drivers dans laquelle figure un driver e1000e. En le sélectionnant, rien ne se passe. Que me conseillez-vous ? Slts [1] https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/buster_di_rc1+nonfree/multi-arch/iso-cd/firmware-buster-DI-rc1-amd64-i386-netinst.iso [2] https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/9.9.0+nonfree/multi-arch/iso-cd/firmware-9.9.0-amd64-i386-netinst.iso
Re: Clef USB - disparition de données [résolu]
Bonjour Belaïd", et merci pour ce conseil. Je n'avais pas encore utilisé ce programme jusqu'à maintenant. En fait, je viens de récupérer les fichiers (1273 fichiers, 3,8Go) sur mon disque dur grâce à testdisk. Maintenant, il ne me reste plus qu'à comprendre s'il s'agit d'un problème de la clef (au quel cas, je ne pourrais pas continuer à l'utiliser et appliquerai une méthode proche de celle de Basile), où si c'est dû à une mauvaise manipulation de ma part. En tout cas, grand merci, je suis content d'avoir pu remettre la main sur mes données. Bonne soirée/journée. Olivier PS : et un gros bravo aux personnes derrière testdisk/photorec si elles nous lisent ici. À: "Belaïd MOUNSI" Cc: "DUF" Envoyé: Vendredi 14 Juin 2019 18:12:28 Objet: Re: Clef USB - disparition de données Bonjour, Essai de récupérer la partition perdu avec photorec par exemple... Le ven. 14 juin 2019 18:05, < [ mailto:humbert.olivie...@free.fr | humbert.olivie...@free.fr ] > a écrit : Bonsoir/bonjour à toutes et tous. (Debian Stretch, à jour ici) Hier, j'ai fait du tri dans mes clefs USB et leurs contenus. J'ai tout mis sur mon disque dur, et j'ai reformaté les clefs USB (avec GParted 0.25.0) en fat32. En fat32 car certaines étaient en ext4, et d'autres en fat, et ça n'était pas pratique lorsque j'avais besoin de me servir d'un autre système d'exploitation. Ensuite, j'ai réintégré mes données du disque dur vers les clefs USB en les triant/copiant/collant. Dans l'ensemble, pas de soucis, sauf avec une clef USB. Dans celle ci, j'avais placé 3 répertoires dans la racine, et effectué des ajouts/suppressions de fichiers dans ces dossiers. Ensuite je l'ai démontée. Lorsque j'ai voulu la remonter, plus rien. Je veux dire par là, que la clef n'a pas montée du tout. Quand je la branche, dmesg me dit ceci : [331425.040018] usb 3-3: new high-speed USB device number 65 using ehci-pci [331425.160032] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 [331425.160035] usb 3-3: New USB device strings: Mfr=1, Product=2, SerialNumber=0 [331425.160038] usb 3-3: Product: USB DISK [331425.160040] usb 3-3: Manufacturer: SMI Corporation [331425.161654] usb-storage 3-3:1.0: USB Mass Storage device detected [331425.161873] scsi host6: usb-storage 3-3:1.0 [331428.149862] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 ANSI: 4 [331428.156460] sd 6:0:0:0: Attached scsi generic sg2 type 0 [331428.157214] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 GB/7.32 GiB) [331428.158087] sd 6:0:0:0: [sdb] Write Protect is off [331428.158095] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 [331428.158959] sd 6:0:0:0: [sdb] No Caching mode page found [331428.158961] sd 6:0:0:0: [sdb] Assuming drive cache: write through [331428.188107] sd 6:0:0:0: [sdb] Attached SCSI removable disk Et il n'y a pas de sdb1 dans /dev/, just un sdb Quand je branche une autre clef (exactement le même modèle), elle aussi formatée en fat32, dmesg me dit ceci : [331681.056017] usb 3-3: new high-speed USB device number 69 using ehci-pci [331681.175681] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 [331681.175684] usb 3-3: New USB device strings: Mfr=1, Product=2, SerialNumber=0 [331681.175686] usb 3-3: Product: USB DISK [331681.175688] usb 3-3: Manufacturer: SMI Corporation [331681.176112] usb-storage 3-3:1.0: USB Mass Storage device detected [331681.176981] scsi host6: usb-storage 3-3:1.0 [331682.404602] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 ANSI: 4 [331682.411544] sd 6:0:0:0: Attached scsi generic sg2 type 0 [331682.411571] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 GB/7.32 GiB) [331682.412307] sd 6:0:0:0: [sdb] Write Protect is off [331682.412310] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 [331682.412929] sd 6:0:0:0: [sdb] No Caching mode page found [331682.412931] sd 6:0:0:0: [sdb] Assuming drive cache: write through [331682.417719] sdb: sdb1 [331682.420461] sd 6:0:0:0: [sdb] Attached SCSI removable disk et là, le sdb1 est bien présent et je peux monter le système de fichier et y avoir accès normalement. Si je lance gparted sur /dev/sdb de la clef me posant un soucis, il me dit que la clef n'a pas de partition formatée, voir le fichier joint "gparted-clef-prob.png". Gparted sur /dev/sdb de la clef ne posant pas de soucis, il me dit que la clef possède une partition fat32, voir le fichier joint "gparted-clef-normal.png". Alors 2 choses : - je suis curieux de savoir ce qui a bien pu se passer, d'autant plus que j'y ai eu accès lorsque j'ai copié des fichiers dessus après son formatage. - j'aimerai beaucoup pouvoir récupérer les fichiers de la clef posant un soucis, la terre ne s'arrêtera probablement pas de tourner si je n'y parviens pas, mais j'avais plusieurs travaux en cours dessus et des informations dont j'ai besoin. Une idée pour m'assister avec
Re: Clef USB - disparition de données
(avec les pièces jointes) Bonsoir/bonjour à toutes et tous. (Debian Stretch, à jour ici) Hier, j'ai fait du tri dans mes clefs USB et leurs contenus. J'ai tout mis sur mon disque dur, et j'ai reformaté les clefs USB (avec GParted 0.25.0) en fat32. En fat32 car certaines étaient en ext4, et d'autres en fat, et ça n'était pas pratique lorsque j'avais besoin de me servir d'un autre système d'exploitation. Ensuite, j'ai réintégré mes données du disque dur vers les clefs USB en les triant/copiant/collant. Dans l'ensemble, pas de soucis, sauf avec une clef USB. Dans celle ci, j'avais placé 3 répertoires dans la racine, et effectué des ajouts/suppressions de fichiers dans ces dossiers. Ensuite je l'ai démontée. Lorsque j'ai voulu la remonter, plus rien. Je veux dire par là, que la clef n'a pas montée du tout. Quand je la branche, dmesg me dit ceci : [331425.040018] usb 3-3: new high-speed USB device number 65 using ehci-pci [331425.160032] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 [331425.160035] usb 3-3: New USB device strings: Mfr=1, Product=2, SerialNumber=0 [331425.160038] usb 3-3: Product: USB DISK [331425.160040] usb 3-3: Manufacturer: SMI Corporation [331425.161654] usb-storage 3-3:1.0: USB Mass Storage device detected [331425.161873] scsi host6: usb-storage 3-3:1.0 [331428.149862] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 ANSI: 4 [331428.156460] sd 6:0:0:0: Attached scsi generic sg2 type 0 [331428.157214] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 GB/7.32 GiB) [331428.158087] sd 6:0:0:0: [sdb] Write Protect is off [331428.158095] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 [331428.158959] sd 6:0:0:0: [sdb] No Caching mode page found [331428.158961] sd 6:0:0:0: [sdb] Assuming drive cache: write through [331428.188107] sd 6:0:0:0: [sdb] Attached SCSI removable disk Et il n'y a pas de sdb1 dans /dev/, just un sdb Quand je branche une autre clef (exactement le même modèle), elle aussi formatée en fat32, dmesg me dit ceci : [331681.056017] usb 3-3: new high-speed USB device number 69 using ehci-pci [331681.175681] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 [331681.175684] usb 3-3: New USB device strings: Mfr=1, Product=2, SerialNumber=0 [331681.175686] usb 3-3: Product: USB DISK [331681.175688] usb 3-3: Manufacturer: SMI Corporation [331681.176112] usb-storage 3-3:1.0: USB Mass Storage device detected [331681.176981] scsi host6: usb-storage 3-3:1.0 [331682.404602] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 ANSI: 4 [331682.411544] sd 6:0:0:0: Attached scsi generic sg2 type 0 [331682.411571] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 GB/7.32 GiB) [331682.412307] sd 6:0:0:0: [sdb] Write Protect is off [331682.412310] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 [331682.412929] sd 6:0:0:0: [sdb] No Caching mode page found [331682.412931] sd 6:0:0:0: [sdb] Assuming drive cache: write through [331682.417719] sdb: sdb1 [331682.420461] sd 6:0:0:0: [sdb] Attached SCSI removable disk et là, le sdb1 est bien présent et je peux monter le système de fichier et y avoir accès normalement. Si je lance gparted sur /dev/sdb de la clef me posant un soucis, il me dit que la clef n'a pas de partition formatée, voir le fichier joint "gparted-clef-prob.png". Gparted sur /dev/sdb de la clef ne posant pas de soucis, il me dit que la clef possède une partition fat32, voir le fichier joint "gparted-clef-normal.png". Alors 2 choses : - je suis curieux de savoir ce qui a bien pu se passer, d'autant plus que j'y ai eu accès lorsque j'ai copié des fichiers dessus après son formatage. - j'aimerai beaucoup pouvoir récupérer les fichiers de la clef posant un soucis, la terre ne s'arrêtera probablement pas de tourner si je n'y parviens pas, mais j'avais plusieurs travaux en cours dessus et des informations dont j'ai besoin. Une idée pour m'assister avec ce soucis ? Bonne soirée/journée à tout le monde, Olivier
Clef USB - disparition de données
Bonsoir/bonjour à toutes et tous. (Debian Stretch, à jour ici) Hier, j'ai fait du tri dans mes clefs USB et leurs contenus. J'ai tout mis sur mon disque dur, et j'ai reformaté les clefs USB (avec GParted 0.25.0) en fat32. En fat32 car certaines étaient en ext4, et d'autres en fat, et ça n'était pas pratique lorsque j'avais besoin de me servir d'un autre système d'exploitation. Ensuite, j'ai réintégré mes données du disque dur vers les clefs USB en les triant/copiant/collant. Dans l'ensemble, pas de soucis, sauf avec une clef USB. Dans celle ci, j'avais placé 3 répertoires dans la racine, et effectué des ajouts/suppressions de fichiers dans ces dossiers. Ensuite je l'ai démontée. Lorsque j'ai voulu la remonter, plus rien. Je veux dire par là, que la clef n'a pas montée du tout. Quand je la branche, dmesg me dit ceci : [331425.040018] usb 3-3: new high-speed USB device number 65 using ehci-pci [331425.160032] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 [331425.160035] usb 3-3: New USB device strings: Mfr=1, Product=2, SerialNumber=0 [331425.160038] usb 3-3: Product: USB DISK [331425.160040] usb 3-3: Manufacturer: SMI Corporation [331425.161654] usb-storage 3-3:1.0: USB Mass Storage device detected [331425.161873] scsi host6: usb-storage 3-3:1.0 [331428.149862] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 ANSI: 4 [331428.156460] sd 6:0:0:0: Attached scsi generic sg2 type 0 [331428.157214] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 GB/7.32 GiB) [331428.158087] sd 6:0:0:0: [sdb] Write Protect is off [331428.158095] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 [331428.158959] sd 6:0:0:0: [sdb] No Caching mode page found [331428.158961] sd 6:0:0:0: [sdb] Assuming drive cache: write through [331428.188107] sd 6:0:0:0: [sdb] Attached SCSI removable disk Et il n'y a pas de sdb1 dans /dev/, just un sdb Quand je branche une autre clef (exactement le même modèle), elle aussi formatée en fat32, dmesg me dit ceci : [331681.056017] usb 3-3: new high-speed USB device number 69 using ehci-pci [331681.175681] usb 3-3: New USB device found, idVendor=090c, idProduct=1000 [331681.175684] usb 3-3: New USB device strings: Mfr=1, Product=2, SerialNumber=0 [331681.175686] usb 3-3: Product: USB DISK [331681.175688] usb 3-3: Manufacturer: SMI Corporation [331681.176112] usb-storage 3-3:1.0: USB Mass Storage device detected [331681.176981] scsi host6: usb-storage 3-3:1.0 [331682.404602] scsi 6:0:0:0: Direct-Access FLASH Drive SM_USB20 1100 PQ: 0 ANSI: 4 [331682.411544] sd 6:0:0:0: Attached scsi generic sg2 type 0 [331682.411571] sd 6:0:0:0: [sdb] 1536 512-byte logical blocks: (7.86 GB/7.32 GiB) [331682.412307] sd 6:0:0:0: [sdb] Write Protect is off [331682.412310] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 [331682.412929] sd 6:0:0:0: [sdb] No Caching mode page found [331682.412931] sd 6:0:0:0: [sdb] Assuming drive cache: write through [331682.417719] sdb: sdb1 [331682.420461] sd 6:0:0:0: [sdb] Attached SCSI removable disk et là, le sdb1 est bien présent et je peux monter le système de fichier et y avoir accès normalement. Si je lance gparted sur /dev/sdb de la clef me posant un soucis, il me dit que la clef n'a pas de partition formatée, voir le fichier joint "gparted-clef-prob.png". Gparted sur /dev/sdb de la clef ne posant pas de soucis, il me dit que la clef possède une partition fat32, voir le fichier joint "gparted-clef-normal.png". Alors 2 choses : - je suis curieux de savoir ce qui a bien pu se passer, d'autant plus que j'y ai eu accès lorsque j'ai copié des fichiers dessus après son formatage. - j'aimerai beaucoup pouvoir récupérer les fichiers de la clef posant un soucis, la terre ne s'arrêtera probablement pas de tourner si je n'y parviens pas, mais j'avais plusieurs travaux en cours dessus et des informations dont j'ai besoin. Une idée pour m'assister avec ce soucis ? Bonne soirée/journée à tout le monde, Olivier
Utilisation de dhclient-up-hooks
Bonjour, La doc dhclient-script [1] fait référence à un script /etc/dhcp/dhclient-up-hooks qui n'est jamais exécuté sur ma machine sous Stretch. Sur ma machine, les scripts dans /etc/dhcp/dhclient-enter-hooks.d sont exécutés mais pas le script /etc/dhcp/dhclient-up-hooks ou des variations de celui-ci (script /etc/dhcp/dhclient-up-hooks.d/ffobar, ...). Qui a réussit à faire exécuter ce script ? Slts [1] https://linux.die.net/man/8/dhclient-script
Re: Recherche d'une distribution linux très légère ...
3W... Je doute qu'un ordinateur P2 consommais 3W, hein... ;) https://elinux.org/RPi_Hardware Olivier Le lun. 29 avr. 2019 à 17:17, Jean Bernon a écrit : > > @Olivier Ce qui est lourd c'est le bureau : donc avec Openbox ou antiX ça > devrait marcher, peut-être même avec Xfce. > > @Basile Tu as peut-être raison sur le fond, mais le choix de réutiliser > une vieille machine n'est pas que nostalgique, c'est aussi un choix > écologique (est-ce qu'un Raspberry consomme vraiment beaucoup moins > d'énergie ?) > > - Mail original - > > > De: "Basile Starynkevitch" > > À: "platus.olivier" > > Cc: "ML Debian User French" > > Envoyé: Lundi 29 Avril 2019 17:04:34 > > Objet: Re: Recherche d'une distribution linux très légère ... > > > On 4/29/19 3:54 PM, platus.olivier wrote: > > > Bonjour, > > > > > > J'ai un peu regardé les disributions pour vieux pc et il y en a > > > beaucoup. > > > La machine cible : pentium 2 300MHz 512Mo graphique radeon 64Mo. > > > Le but : lire tout format de document avec du texte et des images > > > (journaux, > > > documentation technique, ..etc) stocké sur un disque dur avec la > > > possibilité > > > de télécharger cette documentation grâce à une clé usb 2.0 wifi > > > connectée > > > sur un port usb 1.1. > > > Juste une observation: un raspberry pi récent coûte quelques dizaines > > d'euros et c'est une machine bien plus puissante que ça (et > > consommant > > moins d'énergie). > > > Pourquoi donc se fatiguer à installer un Linux sur un tel vieux clou? > > Par nostalgie informatique (ou mode du rétrocomputing)? > > > Et même si tu réussis à installer un vieux Linux sur ce vieux clou, à > > combien estimes-tu ton propre temps pour ce faire? Ça va te prendre > > des > > heures, voire des jours! > > > Rationnellement, le choix optimal me parait être de liquider ce > > matériel > > (en le remplaçant par exemple par un RaspBerry Pi plus puissant). > > Mais > > il a aussi des raisons affectives ou émotionnelles peut-être ? > > > Librement > > > -- > > Basile STARYNKEVITCH == http://starynkevitch.net/Basile > > opinions are mine only - les opinions sont seulement miennes > > Bourg La Reine, France > >
Re: Comment émettre des courriels d'alerte depuis des sites distants ?
J'ai fait très rapidement quelques essais avec Mailgun : - il existe une formule gratuite (jusqu'à 10k emails/mois) - avec elle, on peut très facilement émettre depuis une machine sur laquelle curl est installé et à destination de certaines adresses de courriel (pour éviter cette limite, il faut fournir un numéro de carte de crédit) - j'ai aussi pu émettre en SMTP via Mailgun avec swaks Ce dernier point laisse augurer la possibilité d'émettre via la multitude d'applications qui utilisent le SMTP (et non le HTTP) pour émettre un courriel. En conclusion, j'ai bien envie de remplacer GMail par Mailgun Le sam. 27 avr. 2019 à 16:14, Benoit B a écrit : > Le ven. 26 avr. 2019 à 18:53, Olivier a écrit : > > > > J'avais moi aussi choisi l'option "applications moins sécurisées", mais > sauf erreur (*), même avec celle-ci, j'ai encore des alertes de sécurité à > la noix matérialisées par des questions orientées ("Oui, je me suis fait > piraté", "Non, je veux changer mes paramètres"). > > > > Idem pour moi, j'ai choisi l'option "applications moins sécurisées", > je parviens à me connecter, mais j'ai toujours ces alertes... > >
Comment autoriser les invités d'un réseau à ne communiquer qu'avec Internet et pas les autres réseaux locaux ?
Bonjour, J'ai un serveur Debian qui assure le routage entre Internet et plusieurs réseaux . J'ai des utilisateurs qui ont la possibilité de se connecter à un réseau Invité. Quelle est la façon plus "pertinente" (terme volontairement vague qui englobe les performances, la subjective facilité à maintenir ces règles) de: - leur interdire de communiquer avec les autres réseaux locaux, - leur autoriser de communiquer avec Internet. J'imagine leur dédier : - soit une table de routage - soit des règles iptables Qui a déjà réfléchi à la question ? Quelle solution conseillez-vous ? Slts
Re: Comment émettre des courriels d'alerte depuis des sites distants ?
@haricophile: À quelle solution penses-tu ? Monter son propre serveur de messagerie et configurer ses clients de messagerie pour qu'ils le consultent ? Le lun. 29 avr. 2019 à 08:01, Haricophile a écrit : > Le vendredi 26 avril 2019 à 18:52 +0200, Olivier a écrit : > > J'avais moi aussi choisi l'option "applications moins sécurisées", mais > > sauf erreur (*), même avec celle-ci, j'ai encore des alertes de sécurité > à > > la noix matérialisées par des questions orientées ("Oui, je me suis fait > > piraté", "Non, je veux changer mes paramètres"). > > > Bienvenu dans le monde des GAFAM qui font bien ce qu'ils veulent. Dont des > changement de serveurs/certificats a chaque connexion, des alertes dès > qu'il y > a un changement sur votre profile... pour votre sécurité vraiment ? > > Franchement c'est pas le moment pour vous de songer a une solution plus > libre > et beaucoup moins intrusive ? Ou tout au moins beaucoup plus > professionnelle ? > Il y a d'autres fournisseurs sur la planète. Pourquoi être masochiste ? > >
Re: Comment émettre des courriels d'alerte depuis des sites distants ?
Le ven. 26 avr. 2019 à 16:12, Belaïd a écrit : > salut, > > Vérifiez "l'accès Pour les applications moins sécurisées" dans la section > sécurité de ton compte Gmail. Je ne sais pas trop ce que Gmail veut dire > par "applications moins sécurisées " car dans mon cas, si l'option > ci-dessus est désactivée, je n'arrive pas à me connecter depuis tous les > clients (Thunderbird, Mail d'apple, claws-mail...) à part depuis le > client officiel Gmail > > > J'avais moi aussi choisi l'option "applications moins sécurisées", mais sauf erreur (*), même avec celle-ci, j'ai encore des alertes de sécurité à la noix matérialisées par des questions orientées ("Oui, je me suis fait piraté", "Non, je veux changer mes paramètres"). (*) J'emploie le terme "sauf erreur" car je ne peux pas exclure que certains échecs aient une autre cause que leur politique "tu envoies tes emails via l'appli Web GMail, je laisse passer, tu envoies via autre chose et je vais continuer à t'empoisonner la vie jusqu'à ce que tu changes". J'envoie au grand maximum 1000 alertes par moi vers une seule adresse cible. 1. Que penser d'un prestataire de type MailGun et son relais SMTP ? Est-ce adapté à l'envoi d'email par SMTP (les applis systèmes ne semblent pas laisser d'autre choix) ? 2. Si non, quel autre canal ai-je intérêt à regarder ? [1] https://www.mailgun.com/smtp
Comment émettre des courriels d'alerte depuis des sites distants ?
Bonjour, Je gère des serveurs sous Debian sur de multiples sites. Ceux-ci sont configurés pour utiliser un compte Gmail quand ils émettent un courriel (alerte, envoi fichiers). J'utilise un compte unique pour des dizaines de machine. Souvent, celles-ci n'émettent aucun message pendant des mois. Quand elles en émettent, j'observe qu'il arrive souvent que ces messages soient bloqués et que je reçoive à la place de Google, une alerte de sécurité. J'ai lu dans [1] que plutôt que configurer mes serveurs avec le login-mot de passe du compte Gmail, il fallait utiliser un "mot de passe d'application". 1. Que conseillez-vous ? 2. N'importe quel compte Gmail permet-il l'utilisation d'un "mot de passe d'application" ? Slts [1] https://support.google.com/accounts/answer/185833?hl=fr
Re: [HS] Navigateur sur smartphone avec client VPN intégré
J'ignorai qu'Opera intégrait un VPN: merci à tous pour l'avoir signalé. En lisant ses caractéristiques, celles-ci sont toutefois assez limitées: je pense que je vais devoir dissocier le VPN du navigateur et apprendre aux utilisateurs à se servir des deux. Encore merci Le ven. 19 avr. 2019 à 18:46, didier gaumet a écrit : > > J'ai entendu dire qu'Opera avait un VPN intégré, je n'en sais pas plus... > >
[HS] Navigateur sur smartphone avec client VPN intégré
Bonjour, Je souhaite donner à quelques utilisateurs peu férus d'informatique (le mot est faible), la possibilité de consulter depuis Internet une appli web auto-hébergée. J'imagine le faire en leur disant "pour consulter l'appli, lancer le navigateur trucmuch" en espérant que ce navigateur dédié sache automatiquement lancer un client VPN avant d'accéder à l'appli web elle-même. Si ce navigateur dédié peut être configuré comme un Site Specific Browser, tant mieux, sinon c'est pas grave. Pour la technologie du VPN, aucune importance (OpenVPN, L2TP, PPTP, ...). Je n'ai pas d'exigence sur le niveau de couplage ou d'intégration entre le Client VPN et le navigateur sinon que le lancement de l'un déclenche l'autre. La plateforme de l'utilisateur est un smartphone (Android, iOS). Avez-vous des recommandations ou retour d'expérience ? Slts
[HS] Matériel pour Ethernet Bypass
Bonjour, Pour augmenter la continuité de service, je recherche un matériel capable de supporter la fonction Ethernet Bypass ou A/B switch pour Ethernet. Par Ethernet Bypass ou A/B switch pour Ethernet, j'entends "basculer un lien Ethernet d'un équipement principal A vers un équipement de secours B ou réciproquement quand proviennent certains événements (réception d'une commande, perte ou retour du courant électrique, etc ...)". Pour le dire autrement, j'ai trois équipements A, B et C et mon commutateur X. Je connecte A, B et C au commutateur X Quand le commutateur X est éteint, C est connecté à A (au sens continuité électrique des 4 paires Ethernet). Quand X est allumé, C est connecté à B. Réduire la durée de transition d'un état à l'autre ne me semble pas très important: 60s, par exemple, me semble acceptable. Un témoin lumineux quelconque trahissant l'état courant (allumé/éteint) me semble suffisant. Avec mon moteur de recherche, je vois des prix, à mon sens assez élevés (700 E.HT pour 4 liens pour le moins cher, il y a aussi le Mikrotik RB1100 à 13 ports Ethernet dont 2 avec Ethernet Bypass). Avez-vous connaissance d'un matériel compact à 150 E.HT pour 1 lien ? À défaut, un guide pour construire de type d'équipement à partir de composants (Pi, relais, ...) faciles à trouver pourrait faire l'affaire. Slts
cle usb multiboot
Bonjour. Je souhaite creer une cle usb multiboot. J'utilise une cle usb 2.0 de 134GB ou 125Go connectee a un port usb 1.1 d'une ordinateur 32 bits (pentium 2 avec 512Mo de memoire vive). Le systeme d'exploitation est debian stretch 9.5 pour i386 . Je travaille sous xwindow + twm + xterm et le compte utilisateur toto. Pour cela je m'aide de la page internet : https://linuxconfig.org/how-to-create-multiboot-usb-with-linux Voici l'ensemble des operations a effectuer : # root cree la cle usb multiboot su Mot de passe : parted -s /dev/sdb mklabel msdos parted -s /dev/sdb mkpart primary 1MiB 551MiB parted -s /dev/sdb set 1 esp on parted -s /dev/sdb set 1 boot on mkfs.fat -F32 /dev/sdb1 parted -s /dev/sdb mkpart primary 551MiB 8743MiB # càd 8Go mkfs.ext4 /dev/sdb2 mkdir /media/{efi,data} mount /dev/sdb1 /media/efi mount /dev/sdb2 /media/data grub-install --target=i386-pc --recheck --boot-directory=/media/data/boot /dev/sdb grub-install --target=x86_64-efi --recheck --removable --efi-directory=/media/efi --boot-directory=/media/data/boot mkdir /media/data/boot/iso chown 1000:1000 /media/data/boot/iso wget -O /media/data/boot/iso/Fedora-Workstation-netinst-x86_64-28-1.1.iso https://download.fedoraproject.org/pub/fedora/linux/releases/28/Workstation/x86_64/iso/Fedora-Workstation-netinst-x86_64-28-1.1.iso wget http://releases.ubuntu.com/18.10/ubuntu-18.10-desktop-amd64.iso -O /media/data/boot/iso/ubuntu-18.10-desktop-amd64.iso # root edite grub.cfg menuentry "Fedora-Workstation-netinst-x86_64-28-1.1" { isofile="/boot/iso/Fedora-Workstation-netinst-x86_64-28-1.1.iso" loopback loop "${isofile}" linux (loop)/isolinux/vmlinuz iso-scan/filename="${isofile}" inst.stage2=hd:LABEL=Fedora-WS-dvd-x86_64-28 quiet initrd (loop)/isolinux/initrd.img } menuentry "Ubuntu 18.10 - Try without installing" { isofile="/boot/iso/ubuntu-18.10-desktop-amd64.iso" loopback loop "${isofile}" linux (loop)/casper/vmlinuz iso-scan/filename="${isofile}" boot=casper quiet splash --- initrd (loop)/casper/initrd } Cependant apres la ligne creant le systeme de fichier ext4 : mkfs.ext4 -v /dev/sdb2 mke2fs 1.43.4 (31-Jan-2017) résolution de fs_types pour mke2fs.conf : 'ext4' Étiquette de système de fichiers= Type de système d'exploitation : Linux Taille de bloc=4096 (log=2) Taille de fragment=4096 (log=2) « Stride » = 0 blocs, « Stripe width » = 0 blocs 524288 i-noeuds, 2097152 blocs 104857 blocs (5.00%) réservés pour le super utilisateur Premier bloc de données=0 Nombre maximum de blocs du système de fichiers=2147483648 64 groupes de blocs 32768 blocs par groupe, 32768 fragments par groupe 8192 i-noeuds par groupe UUID de système de fichiers=6f283e9f-d959-4b37-9806-c957d0805b6a Superblocs de secours stockés sur les blocs : 32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632 Allocation des tables de groupe : complété Écriture des tables d'i-noeuds : complété Création du journal (16384 blocs) : complété Écriture des superblocs et de l'information de comptabilité du système de fichiers : complété une erreur se produit lors du montage de la partition 2 correspondant a la ligne : mount /dev/sdb2 /media/data mount: wrong fs type, bad option, bad superblock on /dev/sdb2, missing codepage or helper program, or other error In some cases useful info is found in syslog - try dmesg | tail or so. Aussi je tape la ligne : dmesg | tail [ 2360.894305] sd 2:0:0:0: [sdb] 262144000 512-byte logical blocks: (134 GB/125 GiB) [ 2360.897505] sd 2:0:0:0: [sdb] Write Protect is off [ 2360.897560] sd 2:0:0:0: [sdb] Mode Sense: 03 00 00 00 [ 2360.902203] sd 2:0:0:0: [sdb] No Caching mode page found [ 2360.902254] sd 2:0:0:0: [sdb] Assuming drive cache: write through [ 2360.924852] sdb: sdb1 [ 2360.943268] sd 2:0:0:0: [sdb] Attached SCSI removable disk [ 2442.120240] sdb: sdb1 [ 2509.685836] sdb: sdb1 sdb2 [ 2527.514797] sdb: sdb1 sdb2 Je precise egalement le resultat de la ligne : apt search ext4 En train de trier... Fait Recherche en texte intégral... Fait android-libext4-utils/stable 7.0.0+r33-1 i386 bibliothèque utilitaire ext4 Android disktype/stable 9-6 i386 detection of content format of a disk or disk image e2fslibs/stable,stable,now 1.43.4-2 i386 [installé] bibliothèque pour les systèmes de fichiers ext2/ext3/ext4 e2fsprogs/stable,stable,now 1.43.4-2 i386 [installé] utilitaires pour les systèmes de fichiers ext2/ext3/ext4 extlinux/stable 3:6.03+dfsg-14.1+deb9u1 i386 ensemble de chargeurs de démarrage (Linux ext2/ext3/ext4, btrfs et xfs) extundelete/stable 0.2.4-1+b2 i386 Utilitaire pour récupérer des fichiers supprimés sur des partitions ext3/ext4 fuse2fs/stable 1.43.4-2 i386 ext2 / ext3 / ext4 file system driver for FUSE libmono-system-reflection-context4.0-cil/stable 4.6.2.7+dfsg-1 all Mono System.Reflection.Context library (for CLI 4.0) libtsk13/stable 4.4.0-5 i386 library for forensics
Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
À mon sens, il y a deux aspects bien distincts: 1- empêcher les accès illégitimes 2- empêcher les conséquences néfastes d'un accès illégitime. J'ai quand même l'impression que sur une machine Linux sur laquelle root a beaucoup (trop ?), le point 2 n'est vraiment pas facile à traiter. Qui sait vraiment cloisonner une machine ? Mon sentiment est que la majorité se focalise sur le point 1 en gardant pour plus tard le point 2, un jour ou on aura le temps ... C'est sûr que si une société doit exposer une machine sur Internet et qu'en plus elle est susceptible d'attaques ciblées de la part de concurrents ou autres, prêts à investir pour la voler ou lui nuire ... Le mar. 26 mars 2019 à 14:58, Daniel Caillibaud a écrit : > Le 26/03/19 à 10:36, BERTRAND Joël a écrit : > > Le nombre de clients que j'ai déjà vus avoir des machines > > compromises avec un accès root total parce que le mot de passe était trop > > compliqué > > Des mdp root… Question sécurité ça commence mal, donc ensuite, pass mysql > ou pas… > > > et qu'ils ont collé un mot de passe à la turc avec un accès ssh > > distant possible pour root ne se comptent plus (et même sans ça, le plus > > beau était un compte ftpuser/ftpuser avec un root/toor, sans accès > > distant à root par ssh, durée de vie de la machine sur le grand terne, un > > week-end !). Donc par défaut, l'accès à une base de données se fait chez > > moi avec un mot de passe même en étant root. > > J'ai toujours pas compris ce que ça apportait question sécurité… > > Avec un shell root tu change le pass du root db comme tu veux, donc le fait > qu'il ait un pass ne protège de rien du tout. > > -- > Daniel > > L'esprit, c'est l'inverse de l'argent, moins on en a, plus on est heureux. > Voltaire > >
Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
Le lun. 25 mars 2019 à 12:19, BERTRAND Joël a écrit : > > > Pas chez moi : > > > @Joel: Que donne 'SELECT host, user, password, plugin FROM mysql.user;' sur ta machine ? Sur la mienne, j'ai bien le plugin unix_socket qu'Alexandre mentionne dans son message. @Alexandre: Merci pour ton lien: il explique bien le nouveau paramétrage. Le lien [1] le détaille aussi. Pour l'instant, je conserve ce nouveau fonctionnement en l'état. Je marque néanmoins ce fil de discussion comme RESOLU car je pense qu'il pourra être utile à d'autres. Merci à vous [1] https://mariadb.com/kb/en/library/authentication-plugin-unix-socket/
Conseils sur l'administration de MySQL/MariaDB sur Buster ?
Bonjour, Je travaille sur une configuration de Freeradius avec une base de données pour Debian Buster. Comme la documentation de Freeradius avec base de données se réfère massivement à MySQL, j'ai installé sur une VM, MySQL/MariaDB avec la commande apt-get install default-mysql-server suivie de mysql_secure_installation. J'ai volontairement installé default-mysql-servercar dans mon cas, je suis indifférent au choix MySQL/MariaDB: je souhaite juste mettre au point une configuration qui fonctionnera quand Buster sera la version stable de Debian. Ce faisant, j'ai été surpris de constater qu'après ces 2 commandes, la méthode d'accès à MySQL/MariaDB avait changé: - l'utilisateur root peut se connecter sans mot de passe ou avec un mot de passe erroné - un utilisateur lambda ne peut plus se connecter en tant qu'utilisateur MySQL/MariaDB root même en fournissant le bon mot de passe. J'ai trouvé sur Internet vraiment très peu de doc sur l'administration de MySQL/MariaDBsous Buster. Avez-vous des conseils sur ceci dans le cas où on a besoin d'exécuter des scripts de création-configuration de base de données MySQL ? Faut-il installer MySQL plutôt que MariaDB ? Le contraire ? Y-a-t-il une autre commande que mysql_secure_installation à exécuter ? Peut-on sans état d'âme ignorer cette différence avec les versions de MySQL sous Jessie ou autre ? Documentation ? Slts
Conseils sur la configuration de PostgreSQL
Hello, Déformé par des années de pratique (peu intensive) de MySQL, je découvre PostgreSQL. J'ai un peu de mal à me faire une religion sur la façon canonique de configurer PostgreSQL. Avez-vous des conseils sur le sujet ? 1. Est-ce un bon objectif de configurer un mot de passe pour l'utilisateur postgres ? Si oui, quelle méthode conseillez-vous pour scripter (cf [2]) des commandes PostgreSQL ? 3. Comment maintenir le fichier pg_hba.conf ? En y ajoutant une directive indiquant un fichier externe (perso.conf, local.conf, ...) de façon à bien distinguer les paramètres de Debian de ses propres paramètres ? Slts [1] https://wiki.debian.org/PostgreSql [2] https://blog.sleeplessbeastie.eu/2014/03/23/how-to-non-interactively-provide-password-for-the-postgresql-interactive-terminal/
Re: prise de contrôle d'accès distant d'un ordi
Merci à tous pour ces précieux conseils: Anydesk me semble à moi aussi plus pertinent que TeamViewer. Le jeu. 7 mars 2019 à 13:52, daniel huhardeaux a écrit : > Le 07/03/2019 à 12:40, Olivier a écrit : > > > > Le jeu. 8 nov. 2018 à 09:45, Touch13 > <mailto:touc...@free.fr>> a écrit : > > > > Bonjour, > > > > J'ai regardé rapidement 'dwservice.net <http://dwservice.net>', ça a > > l'air pas mal, mais est-ce > > que quelque sait qui est derrière ? > > > > Cordialement. > > --- > > Christophe. > > > > Bonjour, > > > > Je recherche moi aussi une alternative à Teamviewer à qui je reproche: > > - un prix assez élevé (30 E/mois) > > - des difficultés fréquentes de compatibilité entre versions logicielles. > > > > Je viens de découvrir Chrome Remote Desktop (cf [1]). > > Je ne l'ai pas encore utilisé et je serai ravi de connaître des retours > > d'expérience sur son utilisation. > > J'ai eu les mêmes réflexions le mois dernier, pour terminer avec > anydesk. Gratuit pour un usage privé, pas cher si on veut une licence et > compatible Linux/Mac/Chromebook/Windows/Android/... > > Le problème de Chrome Remote Desktop est qu'il est trop lié aux comptes > Google et difficile à télécharger et exécuter, comme d'habitude avec > Google ou il faut passer par x pages pour trouver l'info. > > x2go mentionné dans un autre message est une alternative, l'installation > cependant nécessite un accès à la machine car à mes yeux l'utilisateur > lambda ne s'en sortira pas. > > > > > > > [1] > > > https://www.ionos.com/digitalguide/server/tools/the-best-teamviewer-alternatives/ > > > -- > Daniel > >
Re: prise de contrôle d'accès distant d'un ordi
Le jeu. 8 nov. 2018 à 09:45, Touch13 a écrit : > Bonjour, > > J'ai regardé rapidement 'dwservice.net', ça a l'air pas mal, mais est-ce > que quelque sait qui est derrière ? > > Cordialement. > --- > Christophe. > > Bonjour, Je recherche moi aussi une alternative à Teamviewer à qui je reproche: - un prix assez élevé (30 E/mois) - des difficultés fréquentes de compatibilité entre versions logicielles. Je viens de découvrir Chrome Remote Desktop (cf [1]). Je ne l'ai pas encore utilisé et je serai ravi de connaître des retours d'expérience sur son utilisation. [1] https://www.ionos.com/digitalguide/server/tools/the-best-teamviewer-alternatives/
Que vaut Buster/Gnome avec un écran tactile ?
Bonjour, J'ai un écran iiyama 26'' tactile et un ancien Chromebook Acer 720P. J'ai prévu de connecter le premier à une UC sous Buster/Gnome et d'installer Buster/Gnome sur le deuxième. Avez-vous déjà utilisé Buster sous Gnome avec un écran tactile pour quel retour d'expérience ? Plus spécifiquement: - Est-il possible/souhaitable d'utiliser à tour de rôle deux dispositifs de pointage (souris/tactile) ? - Bénéficie-t-on du multi-point sur beaucoup d'applications ? - J'avais observé dans le passé des déclenchements intempestifs en l'absence de toute action tactile réelle sur l'écran. Est-ce actuel ? - Conseils et suggestions ? Slts
Conseils sur la mise à jour d'application maison développée avec Django
Bonjour, Je dois bientôt démarrer le développement d'une application "maison" avec Django (et Postgres pour la base de données). J'imagine livrer plusieurs versions successives de l'application avec entre deux versions principalement des modifications du modèle et du code applicatif mais peut être aussi l'ajout ou la mise à jour de modules Django. L'application gère relativement peu de données (des données de configuration) et pour donner un ordre de grandeur, la perte de toutes les données saisies pendant une saisie me semble acceptable. Avez-vous des conseils pour que les changements de version s'opèrent en douceur ? Comment opèrent ceux qui font du CI/CD au petit déjeuner ? Slts
Re: clipit empeche le copier/coller
Bonsoir Basile et tout le monde, Simplement pour confirmer que j'ai observé le même phénomène avec le Clipit dans Buster. Par contre, aucun soucis avec celui de Stretch. Ceci en utilisant MATE. Le bogue a déjà été reporté ici : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=903997 et ici : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=904030 Je n'aurai pas le temps d'ajouter des éléments de confirmation du bogue dans les prochains jours, et tâcherai de le faire ensuite. Je vous encourage à faire de même. Olivier
OpenVPN. Certificat ca.crt expiré. Comment éviter une redistribution de ca.crt
Bonjour, J'ai laissé passer la date d'expiration du certificat ca.crt sur mon serveur OpenVPN sur lequel, ce matin, je vois: openssl x509 -noout -text -in ca.crt Certificate: ... Signature Algorithm: sha1WithRSAEncryption Issuer: ... Not Before: Jan 28 18:27:35 2009 GMT Not After : Jan 26 18:27:35 2019 GMT Avec le temps, j'ai distribué ce fichier avec chaque client du VPN. Ce matin, je n'ai plus de connexion VPN avec tous mes clients du VPN. Pour quelques uns d'entre eux, je peux encore me connecter autrement que par le VPN mais pour les autres, je dois déranger un collaborateur sur place et corriger au cas par cas. 1. Voyez-vous une astuce pour éviter une re-distribution manuelle, au cas par cas, du nouveau fichier ca.crt ? 2. Avez-vous mis en place une procédure particulière pour éviter ce genre de contre-temps ? Slts
Re: Conseils sur le routage de client à client avec OpenVPN [RESOLU]
Grâce aux différents conseils ici reçus, j'ai pu rapidement mettre en place un prototype de VPN dédié à la télé-gestion de réseaux locaux distants en complément de mon VPN dédié à la télé-gestion de machines distantes. - Mes deux VPN utilisent OpenVPN. - On peut faire tourner parallèlement plusieurs instances d'OpenVPN mais chacune doit avoir son propre procole/port d'écoute. - On peut mettre en communs des certificats et clés. - La topologie subnet est recommandée (celle par défaut est net30) - L'option client-to-client facilite les communications "directes" inter-clients - Chaque instance d'OpenVPN produit son fichier openvpn-status.lo qui contient une photo de la table de routage interne à OpenVPN à savoir la liste des clients OpenVPN et la liste des réseaux locaux déclarés par ces clients - Au démarrage, un client OpenVPN modifie la table de routage du client: je n'ai pas eu besoin d'ajouter des règles pour le NAT. Merci infiniment à tous pour votre aide
Re: Conseils sur le routage de client à client avec OpenVPN
Le jeu. 24 janv. 2019 à 11:18, Daniel Huhardeaux a écrit : > > > Rien ne t'empêche de mettre une seconde configuration VPN en parallèle > chez tes clients (et chez toi) sur un autre port ! > Je suis d'accord. > Pour ma part, je réitère: un serveur VPN central sur lequel vont se > connecter les clients et toi, du réseau bureau ou déplacement. > > serveur VPN > / | ...\ > clt1clt2Cltx > > Le lien est permanent pour les clients sauf pour toi (si tu le désire) > Je suis d'accord sauf peut-être sur la persistance des liens car ne l'oublions pas, j'ai des plages d'adresses identiques sur des sites différents et ça va rester. Quelle techno de VPN te sembles la plus adaptée pour ça ? On garde OpenVPN (pas de logiciels supplémentaire à installer): juste une re-configuration au cas par cas pour la deuxième instance d'OpenVPN ? Ça me semble une très bonne idée mais je préfère demander. > > Pas de port ouvert sauf celui pour le VPN et ssh en secours. Cela veut > dire que tu pourras te connecter (ssh avec mot de passe) chez tes > clients à partir de n'importe quel matériel, pas seulement de ceux qui > te sont connus. > > > > > > > > > > Le mer. 23 janv. 2019 à 16:16, Pascal Hambourg > <mailto:pas...@plouf.fr.eu.org>> a écrit : > > > > Le 23/01/2019 à 15:58, Olivier a écrit : > > > > > > [1] > https://serverfault.com/questions/736274/openvpn-client-to-client > > > > Ce lien confirme ce que j'écrivais ci-dessous : > > > > > Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg > > mailto:pas...@plouf.fr.eu.org>> a > > > écrit : > > > > > >> Le 23/01/2019 à 14:39, Olivier Bitsch a écrit : > > >>> > > >>> 1. Oui tu as bien compris, client-to-client ne transite pas le > > paquet par > > >>> le serveur. Du coup pas de filtrage possible si c'est option > > est activée. > > >> > > >> Si j'ai bien compris, plus précisément les paquets envoyés à > > l'intérieur > > >> du tunnel entre deux clients ne transitent pas par l'interface > > tun/tap > > >> ni la pile réseau de la machine qui fait tourner le serveur > openvpn, > > >> mais les paquets transportant le tunnel passent quand même par le > > >> serveur openvpn. > > > >
Re: Conseils sur le routage de client à client avec OpenVPN
Bonjour, La nuit porte conseil et en repensant à ce qui précède, je pense que mon besoin premier est d'utiliser mon VPN comme un tunnel laissant passer des flux entre deux clients du VPN sans les interpréter lui-même. Le VPN est le seul lien que j'ai avec des sites distants et je ne peux pas risquer de perdre un lien en reconfigurant OpenVPN. Or il me semble que les paramètres de routage d'OpenVPN ont une portée générale avec des précautions que j'ai du mal à respecter (adresses uniques, ...). En conclusion: 1- je ne change pas ma configuration d'OpenVPN 2- s'il existe une technique pour utiliser ma configuration OpenVPN comme un "tunnel entre mon PC et un LAN distant" et sans le re-configurer, ça m'intéresse 3- s'il existe une autre technologie de VPN (IPSEC ? Wireguard ? ...) pour faire ce que je recherche et utilisable en parallèle à OpenVPN, ça m'intéresse aussi. Pour le point 3, je n'ai pas besoin d'avoir un tunnel permanent entre mon PC et le LAN distant: j'ai juste besoin de pouvoir établir ce tunnel le temps d'une session de déboguage. Je peux pouvoir initier ce tunnel quand je suis en déplacement et connecté à réseau local dont je ne pourrai pas modifier la configuration du routeur: je devrai donc passer par une machine tierce sur Internet qui aura les ports ouverts nécessaires. Pour compléter mon cahier des charges: - toutes les machines concernées (mon PC, machine tierce, routeur sur le LAN distant) sont sous Debian avec toutefois des versions variées (jessie, stretch, ...). Conseils, remarques et suggestions bienvenues ! Le mer. 23 janv. 2019 à 16:16, Pascal Hambourg a écrit : > Le 23/01/2019 à 15:58, Olivier a écrit : > > > > [1] https://serverfault.com/questions/736274/openvpn-client-to-client > > Ce lien confirme ce que j'écrivais ci-dessous : > > > Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg > a > > écrit : > > > >> Le 23/01/2019 à 14:39, Olivier Bitsch a écrit : > >>> > >>> 1. Oui tu as bien compris, client-to-client ne transite pas le paquet > par > >>> le serveur. Du coup pas de filtrage possible si c'est option est > activée. > >> > >> Si j'ai bien compris, plus précisément les paquets envoyés à l'intérieur > >> du tunnel entre deux clients ne transitent pas par l'interface tun/tap > >> ni la pile réseau de la machine qui fait tourner le serveur openvpn, > >> mais les paquets transportant le tunnel passent quand même par le > >> serveur openvpn. > >
Re: [HS] Astuce pour le redémarrage distant d'une freebox
Merci Erwin pour ces infos: - Cette option n'a rien à voir avec l'option Reverse DNS des anciennes Freebox, non ? - Reste-t-il possible d'utiliser freeboxos.fr si on est en IPv4 full stack (pas d'IP publique partagée avec 3 autres clients) ? - Quand je télé-configure une Freebox 4K via freeboxos.fr, plus besoin de re-démarrer électriquement quelque soit le paramètre modifié ou bien y-a-t-il quelques opérations qui l'exigent toujours. Le mar. 22 janv. 2019 à 17:27, erwin a écrit : > Le Tue, 22 Jan 2019 17:00:33 +0100 > Olivier écrivait: > > > Bonjour, > > > > Je pense utiliser sur plusieurs sites distants une Freebox en complément > > d'une Livebox. > > Sauf erreur, quand le change un paramétrage réseau via le site free.fr, > on > > me demande un re-démarrage électrique de la Freebox. > > Avez-vous une astuce pour contourner cette limitation ? > > Bonsoir, > on peut redémarrer à distance une freebox > Il faut se créer un nom de domaine dans "paramètres->nom de domaine" de la > freebox de la forme sousdomaine.freeboxos.fr > un n° de port sera donné et il suffira de taper https://. > freeboxos.fr:/ > cdt > Erwin > >
Re: Conseils sur le routage de client à client avec OpenVPN
Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg a écrit : > > Il y a une bidouille possible à base de double NAT source+destination. > Pour chaque réseau utilisant l'adressage 192.168.1.0/24 en interne, on > définit un réseau externe unique, on configure le routage des réseaux > externes sur le serveur openvpn et on met en place des règles NETMAP sur > la passerelle de chaque réseau pour faire en sorte que : > - quand un paquet est émis vers le tunnel, son adresse source est mappée > en son adresse externe correspondant au réseau ; > - quant un paquet est reçu par le tunnel à destination d'une adresse > externe, son adresse est mappée en l'adresse interne correspondante. > > Evidemment, ça ne marche qu'avec les protocoles supportés par le NAT. > > Excellent ! Je ne connaissait pas l'option -j NETMAP qui a l'air adaptée car si sur beaucoup de sites distants, je retrouve les mêmes adresses IP, j'ai aussi une nomenclature avec un entier unique pour chaque site. Il devrait pas être difficile d'associer cet entier à une plage d'adresse propre à chaque site. Merci infiniment pour l'avoir signalée
Re: Conseils sur le routage de client à client avec OpenVPN
Mea culpa: voici le lien manquant ! [1] https://serverfault.com/questions/736274/openvpn-client-to-client Le mer. 23 janv. 2019 à 15:46, Pascal Hambourg a écrit : > Le 23/01/2019 à 14:39, Olivier Bitsch a écrit : > > > > 1. Oui tu as bien compris, client-to-client ne transite pas le paquet par > > le serveur. Du coup pas de filtrage possible si c'est option est activée. > > Si j'ai bien compris, plus précisément les paquets envoyés à l'intérieur > du tunnel entre deux clients ne transitent pas par l'interface tun/tap > ni la pile réseau de la machine qui fait tourner le serveur openvpn, > mais les paquets transportant le tunnel passent quand même par le > serveur openvpn. > > > 2. Si tous les réseaux connectés sont sur le même réseau (192.168.1.0/24 > ), > > je ne vois pas comment il sera possible de router les paquets d'un réseau > > comme il faut. Donc je ne vois pas comment ça peut marcher. > > Il y a une bidouille possible à base de double NAT source+destination. > Pour chaque réseau utilisant l'adressage 192.168.1.0/24 en interne, on > définit un réseau externe unique, on configure le routage des réseaux > externes sur le serveur openvpn et on met en place des règles NETMAP sur > la passerelle de chaque réseau pour faire en sorte que : > - quand un paquet est émis vers le tunnel, son adresse source est mappée > en son adresse externe correspondant au réseau ; > - quant un paquet est reçu par le tunnel à destination d'une adresse > externe, son adresse est mappée en l'adresse interne correspondante. > > Evidemment, ça ne marche qu'avec les protocoles supportés par le NAT. > > >> J'ai découvert que je pouvais utiliser l'option client-to-client > d'OpenVPN > >> pour permettre la communication directe entre deux clients OpenVPN. > >> J'ai lu en [1], que cette communication s'opérait à "l'insu de la > >> configuration réseau du serveur OpenVPN" : les flux passaient > directement > >> d'un client OpenVPN à un autre sans que je puisse, avec le firewall du > >> serveur OpenVPN définir des régles très précises comme celle de > n'autoriser > >> que la communication depuis ou vers un ou deux clients OpenVPN. > > Qu'est-ce que [1] ? > >
Re: Conseils sur le routage de client à client avec OpenVPN
Le mer. 23 janv. 2019 à 14:39, Olivier Bitsch a écrit : > Bonjour Olivier, > > 1. Oui tu as bien compris, client-to-client ne transite pas le paquet par > le serveur. Du coup pas de filtrage possible si c'est option est activée. > > 2. Si tous les réseaux connectés sont sur le même réseau (192.168.1.0/24), > je ne vois pas comment il sera possible de router les paquets d'un réseau > comme il faut. Donc je ne vois pas comment ça peut marcher. > Je viens d'y passer la matinée mais sans succès malheureusement. En mode client-to-client, les clients peuvent facilement se parler mais c'est tout: une commande "ip route add 192.168.1.0/24 via 10.8.1.40" est refusée même si je peux atteindre (via openvpn) l'adresse 10.8.1.40. J'ai l'impression qu'il faut jouer avec des paramètres OpenVPN comme route (côte client OpenVPN) et/ou iroute (côte serveur OpenVPN) mais je n'ai pas encore essayé. > > 3. Pour les étapes B et C, et sous réserve que chaque réseau aient leur > propre adressage, il faut utiliser la topologie subnet avec OpenVPN. Je > peux te donner des exemples si tu en as besoin. > > obitwo > > Le mar. 22 janv. 2019 à 16:48, Olivier a écrit : > >> Bonjour, >> >> J'ai plusieurs réseaux locaux distants dont le routeur est un serveur >> Debian sur lequel un client OpenVPN est installé. >> >> Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé un >> client OpenVPN, atteindre les machines connectées des différents réseaux >> locaux distants qui par ailleurs, sont à peu près tous configurés de la >> même façon (tous en 192.168.1.0/24, par exemple). >> >> Pour fixer les choses, j'envisage d'opérer de la façon suivante: >> + sur mon PC: >> A. je lance mon client OpenVPN >> B. j'adapte ma configuration réseau en indiquant comment atteindre les >> machines d'un réseau distant >> + sur mon serveur OpenVPN >> C. j'adapte ma configuration réseau >> + sur un routeur Debian distant particulier: >> D. j'adapte la configuration réseau afin que les machines du réseau local >> puissent communiquer avec mon PC (par chance, le routeur Debian est déjà la >> passerelle par défaut de ces machines). >> >> Le serveur OpenVPN est une machine sur le cloud. >> J'ai découvert que je pouvais utiliser l'option client-to-client >> d'OpenVPN pour permettre la communication directe entre deux clients >> OpenVPN. >> J'ai lu en [1], que cette communication s'opérait à "l'insu de la >> configuration réseau du serveur OpenVPN" : les flux passaient directement >> d'un client OpenVPN à un autre sans que je puisse, avec le firewall du >> serveur OpenVPN définir des régles très précises comme celle de n'autoriser >> que la communication depuis ou vers un ou deux clients OpenVPN. >> >> Mes questions: >> 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ? >> >> 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec >> iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian): >> iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70 >> Qu'en pensez-vous ? >> >> 3. Que faire pour les étapes B et C ? >> J'ai essayé sans trop de succès différentes commande "ip route add" sans >> succès pour l'instant. >> >> Slts >> >> >> >> >> >> >>
Re: Conseils sur le routage de client à client avec OpenVPN
Bonjour Olivier, 1. Oui tu as bien compris, client-to-client ne transite pas le paquet par le serveur. Du coup pas de filtrage possible si c'est option est activée. 2. Si tous les réseaux connectés sont sur le même réseau (192.168.1.0/24), je ne vois pas comment il sera possible de router les paquets d'un réseau comme il faut. Donc je ne vois pas comment ça peut marcher. 3. Pour les étapes B et C, et sous réserve que chaque réseau aient leur propre adressage, il faut utiliser la topologie subnet avec OpenVPN. Je peux te donner des exemples si tu en as besoin. obitwo Le mar. 22 janv. 2019 à 16:48, Olivier a écrit : > Bonjour, > > J'ai plusieurs réseaux locaux distants dont le routeur est un serveur > Debian sur lequel un client OpenVPN est installé. > > Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé un > client OpenVPN, atteindre les machines connectées des différents réseaux > locaux distants qui par ailleurs, sont à peu près tous configurés de la > même façon (tous en 192.168.1.0/24, par exemple). > > Pour fixer les choses, j'envisage d'opérer de la façon suivante: > + sur mon PC: > A. je lance mon client OpenVPN > B. j'adapte ma configuration réseau en indiquant comment atteindre les > machines d'un réseau distant > + sur mon serveur OpenVPN > C. j'adapte ma configuration réseau > + sur un routeur Debian distant particulier: > D. j'adapte la configuration réseau afin que les machines du réseau local > puissent communiquer avec mon PC (par chance, le routeur Debian est déjà la > passerelle par défaut de ces machines). > > Le serveur OpenVPN est une machine sur le cloud. > J'ai découvert que je pouvais utiliser l'option client-to-client d'OpenVPN > pour permettre la communication directe entre deux clients OpenVPN. > J'ai lu en [1], que cette communication s'opérait à "l'insu de la > configuration réseau du serveur OpenVPN" : les flux passaient directement > d'un client OpenVPN à un autre sans que je puisse, avec le firewall du > serveur OpenVPN définir des régles très précises comme celle de n'autoriser > que la communication depuis ou vers un ou deux clients OpenVPN. > > Mes questions: > 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ? > > 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec > iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian): > iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70 > Qu'en pensez-vous ? > > 3. Que faire pour les étapes B et C ? > J'ai essayé sans trop de succès différentes commande "ip route add" sans > succès pour l'instant. > > Slts > > > > > > >
Re: Conseils sur le routage de client à client avec OpenVPN
Le mar. 22 janv. 2019 à 17:31, Daniel Huhardeaux a écrit : > Le 22/01/2019 à 16:48, Olivier a écrit : > > Bonjour, > > Bonjour > > > > 1. les machines des réseaux de l'entreprise: un serveur OpenVPN en mode > tun, tous les serveurs des sites clients s'y connectent, je peux joindre > n'importe quel machine sur ces autres réseaux, aucun n'a le même plan > d'adresses IP. > > Comment le "routage" entre le réseau distant et les clients du VPN ?
Re: Conseils sur le routage de client à client avec OpenVPN
Merci Daniel pour ta réponse. J'aurai pu le préciser mais j'arrive à me connecter ponctuellement aux équipements distants via des commandes SSH du type ssh -f -N foo@remote -L1234:192.168.151:80 mais c'est assez fastidieux car je dois désigner les ports distants, choisir des ports disponibles sur ma machine, ajouter un éventuel rebond. Je recherche maintenant à re-configurer le réseau afin d'avoir une re-configuration ponctuelle plus générique Le mar. 22 janv. 2019 à 17:31, Daniel Huhardeaux a écrit : > Le 22/01/2019 à 16:48, Olivier a écrit : > > Bonjour, > > Bonjour > > > > > J'ai plusieurs réseaux locaux distants dont le routeur est un serveur > > Debian sur lequel un client OpenVPN est installé. > > > > Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé > > un client OpenVPN, atteindre les machines connectées des différents > > réseaux locaux distants qui par ailleurs, sont à peu près tous > > configurés de la même façon (tous en 192.168.1.0/24 > > <http://192.168.1.0/24>, par exemple). > > > > Pour fixer les choses, j'envisage d'opérer de la façon suivante: > > + sur mon PC: > > A. je lance mon client OpenVPN > > B. j'adapte ma configuration réseau en indiquant comment atteindre les > > machines d'un réseau distant > > + sur mon serveur OpenVPN > > C. j'adapte ma configuration réseau > > + sur un routeur Debian distant particulier: > > D. j'adapte la configuration réseau afin que les machines du réseau > > local puissent communiquer avec mon PC (par chance, le routeur Debian > > est déjà la passerelle par défaut de ces machines). > > > > Le serveur OpenVPN est une machine sur le cloud. > > J'ai découvert que je pouvais utiliser l'option client-to-client > > d'OpenVPN pour permettre la communication directe entre deux clients > > OpenVPN. > > J'ai lu en [1], que cette communication s'opérait à "l'insu de la > > configuration réseau du serveur OpenVPN" : les flux passaient > > directement d'un client OpenVPN à un autre sans que je puisse, avec le > > firewall du serveur OpenVPN définir des régles très précises comme celle > > de n'autoriser que la communication depuis ou vers un ou deux clients > > OpenVPN. > > > > Mes questions: > > 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ? > > > > 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec > > iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian): > > iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70 > > Qu'en pensez-vous ? > > > > 3. Que faire pour les étapes B et C ? > > J'ai essayé sans trop de succès différentes commande "ip route add" sans > > succès pour l'instant. > > Perso j'utilise 2 types d'organisations: > > 1. les machines des réseaux de l'entreprise: un serveur OpenVPN en mode > tun, tous les serveurs des sites clients s'y connectent, je peux joindre > n'importe quel machine sur ces autres réseaux, aucun n'a le même plan > d'adresses IP. > > L'inconvénient pour toi est que justement tous les réseaux auxquels tu > veux te joindre ont le même plan d'adressage IP > > 2. les réseaux des clients: j'utilise un serveur OpenVPN mode tun en DC > auquel les serveurs clients se connectent soit via OpenVPN soit en ssh > avec autossh (reverse ssh). > > Dans les 2 cas, à partir de mon portable je peux joindre n'importe quel > machine derrière les réseaux clients en utilisant les commandes ssh > (pour le cas 2 essentiellement ProxyCommand pour tous les clients, > Hostname en plus pour ceux en VPN) > > -- > Daniel > >
[HS] Astuce pour le redémarrage distant d'une freebox
Bonjour, Je pense utiliser sur plusieurs sites distants une Freebox en complément d'une Livebox. Sauf erreur, quand le change un paramétrage réseau via le site free.fr, on me demande un re-démarrage électrique de la Freebox. Avez-vous une astuce pour contourner cette limitation ? Slts
Conseils sur le routage de client à client avec OpenVPN
Bonjour, J'ai plusieurs réseaux locaux distants dont le routeur est un serveur Debian sur lequel un client OpenVPN est installé. Je souhaite pouvoir depuis mon propre PC sur lequel est aussi installé un client OpenVPN, atteindre les machines connectées des différents réseaux locaux distants qui par ailleurs, sont à peu près tous configurés de la même façon (tous en 192.168.1.0/24, par exemple). Pour fixer les choses, j'envisage d'opérer de la façon suivante: + sur mon PC: A. je lance mon client OpenVPN B. j'adapte ma configuration réseau en indiquant comment atteindre les machines d'un réseau distant + sur mon serveur OpenVPN C. j'adapte ma configuration réseau + sur un routeur Debian distant particulier: D. j'adapte la configuration réseau afin que les machines du réseau local puissent communiquer avec mon PC (par chance, le routeur Debian est déjà la passerelle par défaut de ces machines). Le serveur OpenVPN est une machine sur le cloud. J'ai découvert que je pouvais utiliser l'option client-to-client d'OpenVPN pour permettre la communication directe entre deux clients OpenVPN. J'ai lu en [1], que cette communication s'opérait à "l'insu de la configuration réseau du serveur OpenVPN" : les flux passaient directement d'un client OpenVPN à un autre sans que je puisse, avec le firewall du serveur OpenVPN définir des régles très précises comme celle de n'autoriser que la communication depuis ou vers un ou deux clients OpenVPN. Mes questions: 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ? 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian): iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70 Qu'en pensez-vous ? 3. Que faire pour les étapes B et C ? J'ai essayé sans trop de succès différentes commande "ip route add" sans succès pour l'instant. Slts
Re: Cockpit/NetworkManager sur un serveur
Le mer. 16 janv. 2019 à 13:59, Olivier Bitsch a écrit : > Bonjour, > > Pour répondre aux questions : > > 1. Oui j'ai déjà utilisé Cockpit avec un serveur et une IP fixe. > NetworkManager est une dépendance du paquet cockpit-networkmanager, donc > oui. > > 2. Je n'ai pas approfondi, mais dans la mesure ou Cockpit utilise > NetworkManager, il va stocker toute sa configuration dans NetworkManager > (/etc/NetworkManager). > > 3. J'ai fini par désinstaller cockpit-networkmanager ainsi que > network-manager car j'ai eu des surprise en appliquant des règles de > réseau. D'une manière générale, c'est toujours une très mauvaise idée de > faire des configurations réseaux d'un serveur à distance (SSH ou Interface > Web), car c'est un coup à se couper l'herbe sous les pieds. > > En conclusion, je ne préconiserais donc pas l'utilisation de Cockpit avec > NetworkManager. Pour ma part, je continue à utiliser Cockpit, mais j'ai > désinstallé son module Network Manager. Je continue de configurer mon > réseau via le paquet ifupdown (dans /etc/network/interfaces) > > Olivier > > Merci beaucoup Olivier pour ce témoignage. J'ai toujours une forte inquiétude dès que je modifie la configuration réseau d'une machine d'autant que dans la majorité des cas, ces machines sont distantes, n'ont pas d'écran ou de clavier connecté avec aucun utilisateur chevronné à proximité. En lisant cette liste, il y a longtemps, j'avais noté dans un coin de mon esprit de maintenir en parallèle une double configuration IPv4 et IPv6, l'une pouvant me permettre de réparer l'autre en cas d'urgence. Cette idée est restée à l'état d'idée. Merci pour l'info sur la désinstallation possible de cockpit-networkmanager: c'est bon à savoir.
Re: Cockpit/NetworkManager sur un serveur
Bonjour, Pour répondre aux questions : 1. Oui j'ai déjà utilisé Cockpit avec un serveur et une IP fixe. NetworkManager est une dépendance du paquet cockpit-networkmanager, donc oui. 2. Je n'ai pas approfondi, mais dans la mesure ou Cockpit utilise NetworkManager, il va stocker toute sa configuration dans NetworkManager (/etc/NetworkManager). 3. J'ai fini par désinstaller cockpit-networkmanager ainsi que network-manager car j'ai eu des surprise en appliquant des règles de réseau. D'une manière générale, c'est toujours une très mauvaise idée de faire des configurations réseaux d'un serveur à distance (SSH ou Interface Web), car c'est un coup à se couper l'herbe sous les pieds. En conclusion, je ne préconiserais donc pas l'utilisation de Cockpit avec NetworkManager. Pour ma part, je continue à utiliser Cockpit, mais j'ai désinstallé son module Network Manager. Je continue de configurer mon réseau via le paquet ifupdown (dans /etc/network/interfaces) Olivier Le mar. 15 janv. 2019 à 13:09, Olivier a écrit : > Bonjour, > > J'ai souvent lu (cf [1]) que l'administration des paramètres réseau d'un > serveur devait se faire SANS NetworkManager, en utilisant les fichiers du > répertoire /etc/network. > > Pourtant, je découvre l'existence de Cockpit [2] qui semble s'appuyer sur > NetworkManager, si NetworkManager est installé (cf [3]). > À cet égard, le paquet cockpit de Buster recommande le paquet > cockpit-networkmanager. > > 1. Avez-vous déjà utilisé Cockpit sur une machine dont l'adresse IP est > fixe ? > Si oui, avez-vous conjointement installé NetworkManager ? > > 2. Peut-on facilement retrouver dans /etc/NetworkManager ce qu'on avait > dans /etc/network (je pense à /etc/network/if-pre-up.d, ...) ? > > 3. Que peut apporter (ou retirer) NetworkManager à un serveur ? > > [1] https://wiki.debian.org/fr/NetworkManager > [2] https://cockpit-project.org/ > [3] https://cockpit-project.org/guide/latest/feature-networkmanager.html > > Slts >
Cockpit/NetworkManager sur un serveur
Bonjour, J'ai souvent lu (cf [1]) que l'administration des paramètres réseau d'un serveur devait se faire SANS NetworkManager, en utilisant les fichiers du répertoire /etc/network. Pourtant, je découvre l'existence de Cockpit [2] qui semble s'appuyer sur NetworkManager, si NetworkManager est installé (cf [3]). À cet égard, le paquet cockpit de Buster recommande le paquet cockpit-networkmanager. 1. Avez-vous déjà utilisé Cockpit sur une machine dont l'adresse IP est fixe ? Si oui, avez-vous conjointement installé NetworkManager ? 2. Peut-on facilement retrouver dans /etc/NetworkManager ce qu'on avait dans /etc/network (je pense à /etc/network/if-pre-up.d, ...) ? 3. Que peut apporter (ou retirer) NetworkManager à un serveur ? [1] https://wiki.debian.org/fr/NetworkManager [2] https://cockpit-project.org/ [3] https://cockpit-project.org/guide/latest/feature-networkmanager.html Slts
Re: Quel firewall pour Buster et au delà ?
Le ven. 11 janv. 2019 à 17:55, Wallace a écrit : > Clairement vu ce que je ressort de la conversation, quitte à faire un saut > autant sauter directement à BPF. > Justement, j'ai compris que BPF, c'était la cuisine interne de Linux: on configure avec nftables ou firewalld ou autre et c'est nftables qui s'appuie sur BPF à l'insu de l'administrateur. Bien entendu, je peux avoir compris de travers et je serai ravi qu'une personne plus qualifiée que moi me corrige ;-)))
[HS] Recommandations pour la collecte des statistiques de commutateurs
Bonjour, Parmi mes bonnes résolutions de 2019, figure la collecte et le stockage de statistiques produites pas des commutateurs sur des réseaux locaux distants. J'ai survolé quelques infos sur Netflow/IPFIX et sFlow. Je suppose ici que mes commutateurs supportent l'un ou l'autre des deux protocoles. Je suppose aussi qu'ils supportent aussi SNMP. Voici mes questions: 1. Est-il possible/habituel/recommandé d'exclure certaines interfaces d'un commutateur du périmètre ? Je pense aux liens directs entre deux commutateurs: est-il utile d'accumuler des données sur les deux extrémités d'un même lien Ethernet ? Idem pour les serveurs: faut-il collecter leurs stats réseau sur le port du switch ou sur le serveur ? 2. Que pensez-vous de nfdump pour collecter du Netflow ou du sFlow ? Slts
Re: Quel firewall pour Buster et au delà ?
Le ven. 11 janv. 2019 à 16:24, Wallace a écrit : > > Ca voudrait donc dire que iptables ne fait plus parti du kernel? > > > Je pense que des scripts iptables fonctionneront sans modification pendant encore de longues années. Pour une machine "ancienne", on devrait pouvoir la passer à Buster sans modification. Par contre, pour une nouvelle machine, je pense qu'on peut avoir intérêt à se poser la question d'une autre syntaxe ou d'un autre niveau d'abstraction.
Re: Quel firewall pour Buster et au delà ?
Le ven. 11 janv. 2019 à 16:05, didier gaumet a écrit : > > Firewalld n'est qu'une surcouche à, auparavant iptables, désormais > nftables? Un peu comme Shorewall > > J'ai compris la même chose que toi. Je recommande le lien [1] qui l'explique. [1] https://developers.redhat.com/blog/2018/08/10/firewalld-the-future-is-nftables/ En toute logique, quand on choisit firewalld, on ne configure plus iptables, nftables ou autre (c'est firewalld qui s'appuie sur ces techno). Le ven. 11 janv. 2019 à 16:05, didier gaumet a écrit : > Le 11/01/2019 à 15:44, Wallace a écrit : > > Bonjour, > > > > Merci d'avoir lancé le sujet qui trottait dans mon esprit. > > > > Actuellement on gère iptables grâce à Shorewall qui fait très bien le > > travail et permet de retrouver une lecture similaire à une configuration > > de firewall appliance. C'est pratique pour que tout le monde soit au > > diapason sur la lecture. Y a Ferm qui fait pareil aussi. > > > > Shorewall a déjà annoncé qu'il ne partirait pas dans ce chantier de > > refonte étant trop lié à iptables. > > > > Personnellement je n'ai rien à reprocher à iptables et j'envisage donc > > de continuer de l'utiliser. Mais si l'on est bloqué par une suppression > > de iptables et obligation de passer sur nftables alors il va falloir > > anticiper. > > > > Il y a du coup deux questions : > > > > - y a t il eu une annonce quand on retrait du kernel ou le End Of Life > > de iptables? > > > > - nftables est il forcément lié à firewalld? ou est-ce que l'on peut > > parler directement au kernel comme avant? > > Alors je suis une truffe pour tout ce qui est réseaux mais j'ai quand > même l'impression qu'il y a un quiproquo sur nftables/firewalld, non? > > Firewalld n'est qu'une surcouche à, auparavant iptables, désormais > nftables? Un peu comme Shorewall > > D'après ce que j'ai compris, le paquet iptables sera dans la prochaine > version Debian et ne sera pas un pseudo-paquet pointant vers nftables, > mais utilisera le backend nftables dans le noyau mais en conservant la > syntaxe iptables? Et si on souhaite utiliser véritablement nftables, il > est possible (au moins pour le moment) d'utiliser l'ancienne syntaxe > iptables ou la nouvelle syntaxe dédiée nftables? > > Didier, truffe réseau en mal de culture ad-hoc ;-) > > >
Re: [HS] Plateforme de type NUC avec une interface NbaseT, 10Gb/s ou SFP+
Les grands esprits se rencontrent : j'avais moi aussi repéré cette machine de Supermicro (NUC-killer) mais je la voyait plus pour par exemple, produire ou recevoir du trafic réseau dans un labo, à cause de ses nombreuses interfaces. Ma question originale visait une machine de routage assez performante pour router du traffic (avec NAT et tout le toutim) vers deux interfaces à 1 Gb/s. On trouve des routeurs sur étagère mais administrer des machines Debian me convient mieux qu'apprendre des OS spécialisés et leurs pièges ;-))). Pourquoi un NUC, alors ? J'apprécie leur capacité disque (quand on les comparent aux routeurs), leur silence et leur compacité (des clients à l'autre mot de la France acceptent de me les renvoyer ce qui est plus difficile avec des machines plus grandes). J'ai aussi l'impression qu'avec un Core i3/i5/i7 et les qualités intrinsèques à Linux, je peux atteindre le niveau de performance voulu. J'ai lu des annonces d'adaptateurs NbaseT sur USB mais les produits et la version Linux nécessaires ne sont pas, à ma connaissance, encore disponibles. En résumé, mon objectif est de construire un routeur une unique interface physique qui arrive à saturer deux liens à 1 Gb/s. Le ven. 11 janv. 2019 à 10:54, Vincent a écrit : > Le 11/01/2019 à 10:05, Olivier a écrit : > > Bonjour, > > > > Connaissez-vous une plateforme de type NUC avec une interface NbaseT, > > 10Gb/s ou SFP+ ? > > J'en ai croisées avec une deuxième interface 10/100 mais rien qui > > dépasse le Gigabit. > > > > Slts > > > > Pas vraiment un nuc ( miniITX, pas de hdmi, son, usb limité ) mais très > complet niveau réseau pour la taille. > > https://www.supermicro.com/products/system/Mini-ITX/SYS-E300-9A.cfm > > sinon > > https://www.supermicro.com/products/system/Mini-ITX/SYS-E300-8D.cfm > > https://www.supermicro.com/products/system/Mini-ITX/SYS-E300-9D.cfm > > https://www.supermicro.com/products/system/Mini-ITX/SYS-E300-9C.cfm ou > autre miniITX + carte réseau qui va bien > > C'est pour quel usage ? > >
[HS] Plateforme de type NUC avec une interface NbaseT, 10Gb/s ou SFP+
Bonjour, Connaissez-vous une plateforme de type NUC avec une interface NbaseT, 10Gb/s ou SFP+ ? J'en ai croisées avec une deuxième interface 10/100 mais rien qui dépasse le Gigabit. Slts
Quel firewall pour Buster et au delà ?
Bonjour, Je maintiens depuis des années un script qui configure le firewalling sur des serveurs. Ce script est installé dans /etc/network/if-pre-up.d Il comprend une bonne trentaine de règles iptables dont des règles pour le NAT. J'ai lu que Linux remplaçait iptables par nftables. Par ailleurs, la technologie eBPF semble aussi très prometteuse. J'ai toute confiance sur l'existence dans Buster et ses successeurs de moyens pour conserver le bon fonctionnement de scripts iptables. Néanmoins, je me demande si le moment n'est pas le bienvenu pour justement pour sauter le pas en réécrivant mes scripts iptables avec autre chose. On annonce ici ou là: - une plus grande pérennité - de meilleurs performances - une syntaxe plus simple. Je serai très heureux d'échanger ici des réflexions sur le sujet. Voici en vrac quelques questions et réflexions: 1. Avez-vous un retour d'expérience positif ou non sur un passage d'iptables à firewalld, en général (ie sur Stretch, Jessie, ...) ? 2. Trouvez-vous facilement de l'aide (mailing lists, documentation en ligne, publications, ...) sur la version 0.6.3 de firewalld (celle de Buster) ? 3. Comme le suggère la réponse à une question dans [1], doit-on vraiment voir eBPF comme une cuisine interne à Linux et se focaliser sur firewalld ? 4. Commentaires et suggestions ? [1] https://developers.redhat.com/blog/2018/08/10/firewalld-the-future-is-nftables/ Slts
Re: Joyeuses fêtes
Joyeux Noël à tout le monde, aux vôtres, et aux autres.
Re: Copier une image Raspbian avec dd ou équivalent [RESOLU]
En changeant de machine et donc de lecteur de carte SD, la commande habituelle (dd) a fonctionné et j'ai pu démarrer le Raspberry sur le nouveau disque. Merci à tous pour votre aide. Slts
Re: Copier une image Raspbian avec dd ou équivalent
Je n'ai pas de doute sur l'identification du disque: c'est bien le sdc. Voici la sortie utile de fdisk /dev/sdc: Commande (m pour l'aide) : p Disque /dev/sdc : 29,8 GiB, 32010928128 octets, 62521344 secteurs Unités : secteur de 1 × 512 = 512 octets Taille de secteur (logique / physique) : 512 octets / 512 octets taille d'E/S (minimale / optimale) : 512 octets / 512 octets Type d'étiquette de disque : dos Identifiant de disque : 0xa05fe7fa Autrement dit aucune partition. Par contre, voici un (long) extrait de dmesg. Il s'y trouve la phrase " Add. Sense: Incompatible medium installed" assez mystérieuse. [ 274.388026] usb 4-2.3: new high-speed USB device number 7 using ehci-pci [ 274.480937] usb 4-2.3: New USB device found, idVendor=14cd, idProduct=168a [ 274.480943] usb 4-2.3: New USB device strings: Mfr=1, Product=3, SerialNumber=2 [ 274.480948] usb 4-2.3: Product: USB Mass Storage Device [ 274.480951] usb 4-2.3: Manufacturer: USB Device [ 274.480955] usb 4-2.3: SerialNumber: 816820130806 [ 274.481391] usb-storage 4-2.3:1.0: USB Mass Storage device detected [ 274.481543] scsi9 : usb-storage 4-2.3:1.0 [ 275.480722] scsi 9:0:0:0: Direct-Access USB Mass Storage Device 1.00 PQ: 0 ANSI: 0 [ 275.481187] sd 9:0:0:0: Attached scsi generic sg2 type 0 [ 275.484620] sd 9:0:0:0: [sdc] 62521344 512-byte logical blocks: (32.0 GB/29.8 GiB) [ 275.485206] sd 9:0:0:0: [sdc] Write Protect is off [ 275.485211] sd 9:0:0:0: [sdc] Mode Sense: 03 00 00 00 [ 275.485827] sd 9:0:0:0: [sdc] No Caching mode page found [ 275.485833] sd 9:0:0:0: [sdc] Assuming drive cache: write through [ 275.491948] sdc: unknown partition table [ 275.495074] sd 9:0:0:0: [sdc] Attached SCSI removable disk [ 275.568051] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 275.744040] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 275.920045] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 276.108032] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 276.292045] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 276.468063] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 276.644051] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 276.820060] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 276.996030] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 277.172026] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 277.264581] sd 9:0:0:0: [sdc] Unhandled error code [ 277.264586] sd 9:0:0:0: [sdc] [ 277.264589] Result: hostbyte=DID_ERROR driverbyte=DRIVER_OK [ 277.264593] sd 9:0:0:0: [sdc] CDB: [ 277.264595] Read(10): 28 00 00 00 00 20 00 00 18 00 [ 277.264612] end_request: I/O error, dev sdc, sector 32 [ 277.264615] quiet_error: 8 callbacks suppressed [ 277.264618] Buffer I/O error on device sdc, logical block 4 [ 277.264622] Buffer I/O error on device sdc, logical block 5 [ 277.264624] Buffer I/O error on device sdc, logical block 6 [ 277.340026] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 277.516037] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 277.692029] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 277.868028] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 278.044038] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 278.150197] sd 9:0:0:0: [sdc] [ 278.150202] Result: hostbyte=DID_OK driverbyte=DRIVER_SENSE [ 278.150206] sd 9:0:0:0: [sdc] [ 278.150208] Sense Key : Aborted Command [current] [ 278.150213] sd 9:0:0:0: [sdc] [ 278.150218] Add. Sense: Incompatible medium installed [ 278.150221] sd 9:0:0:0: [sdc] CDB: [ 278.150223] Read(10): 28 00 00 00 00 40 00 00 38 00 [ 278.150238] end_request: I/O error, dev sdc, sector 64 [ 278.150242] Buffer I/O error on device sdc, logical block 8 [ 278.150246] Buffer I/O error on device sdc, logical block 9 [ 278.150248] Buffer I/O error on device sdc, logical block 10 [ 278.150250] Buffer I/O error on device sdc, logical block 11 [ 278.150253] Buffer I/O error on device sdc, logical block 12 [ 278.150254] Buffer I/O error on device sdc, logical block 13 [ 278.150257] Buffer I/O error on device sdc, logical block 14 [ 278.528027] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 278.704043] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 278.880035] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci [ 279.002824] sdc: unknown partition table [ 279.100023] usb 4-2.3: reset high-speed USB device number 7 using ehci-pci Le mer. 19 déc. 2018 à 21:47, Belaïd a écrit : > Bonjour, > > Peux tu donner la table de partition, en tapant: fdisk /dev/sdc (vérifie > bien que sdc correspond à ta carte mémoire) puis en sélectionnant l'option > "p" pour imprimer la table de partition > > Le mer. 19 déc. 2018 19:26, Olivier a écri
Copier une image Raspbian avec dd ou équivalent
Bonjour, De multiples fois, avec mon PC sous Jessie, j'ai copié sur une carte mémoire SD toute neuve, une image de Raspbian en suivant exactement la procédure [1] qui repose sur la commande dd bs=4M if=2018-11-13-raspbian-stretch.img of=/dev/sdX conv=fsync Dans mon cas, cette commande s'exécute avec: 445+0 enregistrements lus 445+0 enregistrements écrits 1866465280 octets (1,9 GB) copiés, 179,076 s, 10,4 MB/ Ma carte est une Samsung EVO 32GB. Pourtant, j'ai: fdisk -l /dev/sdc Disque /dev/sdc : 29,8 GiB, 32010928128 octets, 62521344 secteurs Unités : secteur de 1 × 512 = 512 octets Taille de secteur (logique / physique) : 512 octets / 512 octets taille d'E/S (minimale / optimale) : 512 octets / 512 octets alors que j'ai fdisk -l ~/Téléchargements/2018-11-13-raspbian-stretch-lite.img Disque /home/foobar/Téléchargements/2018-11-13-raspbian-stretch-lite.img : 1,8 GiB, 1866465280 octets, 3645440 secteurs Unités : secteur de 1 × 512 = 512 octets Taille de secteur (logique / physique) : 512 octets / 512 octets taille d'E/S (minimale / optimale) : 512 octets / 512 octets Type d'étiquette de disque : dos Identifiant de disque : 0x7ee80803 Device Boot Start End Sectors Size Id Type /home/foobar/Téléchargements/2018-11-13-raspbian-stretch-lite.img1 8192 98045 89854 43,9M c W95 FAT32 (LBA) /home/foobar/Téléchargements/2018-11-13-raspbian-stretch-lite.img2 98304 3645439 3547136 1,7G 83 Linux Avant d'investir plus de temps (essayer avec une autre image, une autre caret, un autre lecteur), avez vous une piste ou un conseil ? Slts [1] https://www.raspberrypi.org/documentation/installation/installing-images/linux.md
Re: Tuto Debian-Facile/preseed: clé USB non bootable [RESOLU]
[3] https://askubuntu.com/questions/791238/how-to-convert-a-iso9660-iso-to-a-usb-iso Le mar. 11 déc. 2018 à 17:05, Olivier a écrit : > J'ai trouvé le lien [2] qui me laisse penser que la différence entre mes > deux fichiers .iso est que l'un est hybride, l'autre pas. > Je ne l'avais pas précisé mais la machine avec laquelle j'essaie de créer > ma clé bootable est encore sous Jessie. > > Le lien [3] indique comment convertir une iso9660 en iso hybride. > En suivant ses instructions, j'ai pu créé une image hybride et booter > dessus ! > > > [2] > https://www.ostechnix.com/bootiso-lets-you-safely-create-bootable-usb-drive/ > > Le mar. 11 déc. 2018 à 15:27, Bernard Schoenacker < > bernard.schoenac...@free.fr> a écrit : > >> >> - Mail original - >> >> > De: "Olivier" >> > À: "ML Debian User French" >> > Envoyé: Mardi 11 Décembre 2018 15:22:54 >> > Objet: Re: Tuto Debian-Facile/preseed: clé USB non bootable >> >> > Le mar. 11 déc. 2018 à 15:11, roger gm < rhb...@gmail.com > a écrit : >> >> > La commande dd donne une clé bootable avec mon fichier >> > firmware_xxx.iso mais une clé non-bootable avec mon fichier >> > custom_install.iso. >> > Le mystère demeure ... >> >> bonjour, >> >> voici le mode opératoire suivant le tuto à lire : >> >> >> https://www.linuxquestions.org/questions/linux-newbie-8/how-to-a-bootable-flag-on-usb-stick-664033/ >> >> merci >> slt >> bernard >> >
Re: Automatiser la configuration initiale de machines physiques
Le lun. 19 nov. 2018 à 20:09, Étienne Mollier a écrit : > > > http://fai-project.org/ > http://fai-project.org/fai-guide/ > > > Bonjour Étienne, Merci pour ces conseils. En effet semble une solution intéressante, d'autant que de mémoire, pas mal de machines bootent par défaut par le réseau. Il me reste plusieurs questions: 1. Je trouve preseed extrêmement difficile à maîtriser. FAI simplifie-t-il les choses à cet égard ? Je pense en particulier au partitionnement des disques. 2. Est-il exact de penser que FAI est adapté une installation sur un réseau local, pas sur un WAN, à cause de l'utilisation de TFTP ou bien est-ce inexact ? Slts PS: Désolé pour le temps mis pour réagir aux messages mais j'ai été happé par d'autres priorités.
Re: Tuto Debian-Facile/preseed: clé USB non bootable [RESOLU]
J'ai trouvé le lien [2] qui me laisse penser que la différence entre mes deux fichiers .iso est que l'un est hybride, l'autre pas. Je ne l'avais pas précisé mais la machine avec laquelle j'essaie de créer ma clé bootable est encore sous Jessie. Le lien [3] indique comment convertir une iso9660 en iso hybride. En suivant ses instructions, j'ai pu créé une image hybride et booter dessus ! [2] https://www.ostechnix.com/bootiso-lets-you-safely-create-bootable-usb-drive/ Le mar. 11 déc. 2018 à 15:27, Bernard Schoenacker < bernard.schoenac...@free.fr> a écrit : > > - Mail original - > > > De: "Olivier" > > À: "ML Debian User French" > > Envoyé: Mardi 11 Décembre 2018 15:22:54 > > Objet: Re: Tuto Debian-Facile/preseed: clé USB non bootable > > > Le mar. 11 déc. 2018 à 15:11, roger gm < rhb...@gmail.com > a écrit : > > > La commande dd donne une clé bootable avec mon fichier > > firmware_xxx.iso mais une clé non-bootable avec mon fichier > > custom_install.iso. > > Le mystère demeure ... > > bonjour, > > voici le mode opératoire suivant le tuto à lire : > > > https://www.linuxquestions.org/questions/linux-newbie-8/how-to-a-bootable-flag-on-usb-stick-664033/ > > merci > slt > bernard >
Re: Tuto Debian-Facile/preseed: clé USB non bootable
Le mar. 11 déc. 2018 à 15:11, roger gm a écrit : > Le Tue, 11 Dec 2018 14:46:26 +0100, > Olivier a écrit : > > > Bonjour, > Bonjour > > > > > > > > Qui a une explication ? > > Je n'ai pas d'explication mais tu peux utiliser la commande dd pour la > création de clé usb bootable: > https://debian-facile.org/doc:install:usb-boot > > > Quelle commande me permettrait de copier ce fichier > > custom_install.iso sur ma clé USB et faire que celle-ci soit > > bootable ? > > > > Slts > > > > [1] https://debian-facile.org/doc:install:preseed?s[]=preseed > > La commande dd donne une clé bootable avec mon fichier firmware_xxx.iso mais une clé non-bootable avec mon fichier custom_install.iso. Le mystère demeure ...
Tuto Debian-Facile/preseed: clé USB non bootable
Bonjour, J'ai découvert ce tuto [1]. Malheureusement, celui-ci ne détaille pas la dernière étape qui consiste à copier le fichier .iso créé sur une clé USB bootable. J'ai dans mon répertoire courant, le fichier : $ file custom_install.iso custom_install.iso: ISO 9660 CD-ROM filesystem data 'CDROM' (bootable) À titre de comparaison, j'ai aussi: $ file firmware-9.6.0-amd64-i386-netinst.iso firmware-9.6.0-amd64-i386-netinst.iso: DOS/MBR boot sector ISO 9660 CD-ROM filesystem data 'Debian 9.6.0 M-A 1' (bootable); partition 2 : ID=0xef, start-CHS (0x3ff,254,63), end-CHS (0x3ff,254,63), startsector 4256, 1376 sectors Ma cible est une clé de 8Go sur /dev/sdc. La commande ci-après produit une clé bootable; sudo cat firmware-9.6.0-amd64-i386-netinst.iso > /dev/sdc Par contre, la clé n'est pas bootable avec celle ci-après: sudo cat custom_install.iso > /dev/sdc Qui a une explication ? Quelle commande me permettrait de copier ce fichier custom_install.iso sur ma clé USB et faire que celle-ci soit bootable ? Slts [1] https://debian-facile.org/doc:install:preseed?s[]=preseed
Ajouter un disque à un ensemble LVM sur LUKS
Bonjour, J'ai un nouveau système avec un disque SSD chiffré avec LUKS et plusieurs disques mécaniques inutilisés pour l'instant. # lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda8:00 2,7T 0 disk └─sda1 8:10 2,7T 0 part sdb8:16 0 2,7T 0 disk └─sdb1 8:17 0 2,7T 0 part sdc8:32 0 2,7T 0 disk └─sdc1 8:33 0 2,7T 0 part sdd8:48 0 2,7T 0 disk └─sdd1 8:49 0 2,7T 0 part sde8:64 0 55,9G 0 disk ├─sde1 8:65 0 243M 0 part /boot ├─sde2 8:66 01K 0 part └─sde5 8:69 0 55,7G 0 part └─sde5_crypt 254:10 55,7G 0 crypt ├─foobar--vg-root 254:208G 0 lvm / ├─foobar--vg-var254:303G 0 lvm /var ├─foobar--vg-swap_1 254:40 15,7G 0 lvm [SWAP] ├─foobar--vg-tmp254:50 588M 0 lvm /tmp └─foobar--vg-home 254:60 28,4G 0 lvm /home sr0 11:01 1024M 0 rom Je souhaite étendre la partition foobar--vg-var avec la totalité de sda1 sans avoir à saisir au démarrage une deuxième "phrase de passe". Comment procéder ? J'ai trouvé [1]. qu'en penser ? [1] https://bbs.archlinux.org/viewtopic.php?id=214833 Slts
Automatiser la configuration initiale de machines physiques
Bonjour, J'utilise intensivement des machines virtuelles KVM pour mettre au point la configuration de serveurs physiques. Le serveur host KVM est sous Debian Stretch (pas d'environnement graphique). Les cibles sont aussi sous Debian Stretch et sans environnement graphique. Je procède en rédigeant un script d'installation que j'adapte et relance régulièrement sur une machine virtuelle. Quand j'estime que ce script est au point : 1. je lance l'installeur Debian sur mon serveur physique avec un partitionnement standard 2. je modifie le partitionnement standard avec une clé RescueCD (*) 3. je copie mon script d'installation sur mon serveur physique 4. je lance mon script d'installation en corrigeant les éventuelles erreurs résiduelles. (*) Les modifications que j'apporte au partitionnement standard sont de diminuer la taille de la partition /home et d'augmenter celle dédiée à /var. Je trouve plus simple de faire ces opérations en ligne de commande avec lvreduce/lxextend. J'aimerai améliorer ce processus particulièrement sur les étapes 1 et 2 au terme desquelles je dispose d'une machine physique, dont : - le partitionnement correspond à mes besoins (en gros, la place du disque est répartie équitablement entre /var et /home), - le réseau est correctement configuré - le hostname est configuré - le SSH est installé (avec la copie d'une ou deux clés SSH) - les comptes sont configurés - le clavier/la langue sont configurés. J'ai noté l'existence de plusieurs technologies qui pourrait améliorer ce processus: - preseed - vagrant - packer Mes rares et anciens essais avec preseed étaient assez déprimants. Je n'ai jamais essayé les deux autres. Qu'en pensez-vous ? Que conseillez-vous ? Slts.
Re: Télé-gestion électrique d'équipements informatiques 5, 12 et 24v
Le mer. 14 nov. 2018 à 18:15, Yann Serre a écrit : > Bonjour > > Le 14/11/2018 à 17:28, Olivier a écrit : > > J'ai été surpris de l'impact du remplacement d'un bloc d'alimentation > > sur des Livebox ou Freebox > > Tu peux développer ? > J'ai vu de mes propres yeux une Freebox ADSL bondir de 6 à 9Mb/s en changeant 2 choses: le bloc d'alim 12v le cordon ADSL Par ailleurs, à chaque appel, le support d'Orange me questionne sur l'alimentation électrique: "êtes-vous sur une multi-prise, ... J'ai d'ailleurs bien envie d'ouvrir un fil de discussion sur ce seul sujet (qualité des alimentation des box) car je suis un peu frustré de ne pas pouvoir étayer par des chiffres (voltage, ampérage, ...) mes observations. > > Yann > >
Télé-gestion électrique d'équipements informatiques 5, 12 et 24v
Bonjour, Je gère à distance des installations informatiques qui ont le point commun d'inclure un NUC sous Debian et plusieurs équipements informatiques de type modem, routeur. Ces équipements sont chacun fournis avec leur propre bloc d'alimentation : d'un côté une prise mâle 2P+T, de l'autre un câble terminé par une prise Powerjack 2.5x5.5 ou 2.1x5.5 voire même par du micro-USB (pour un Raspberry). J'aimerai bien pouvoir remplacer ces blocs d'alimentation par un unique appareil télé-administrable possédant plusieurs (4 à 6) sorties d'alimentation continue (et 1 entrée 2P+T, bien sûr) pas trop cher (<500 E.TTC), rackable ou non. Avec celui-ci (sans ordre d'importance, sans que chaque besoin soit impératif) : - pouvoir sélectionner ou régler la tension continue (12V pour Livebox, 5V pour le Pi, 28V pour un routeur, 19V pour le NUC ?) - protéger chaque sortie (est-ce redondant avec la protection interne à chaque équipement ?) - éteindre, allumer ou redémarrer à distance certains de ces équipements - avoir un câblage électrique optimisé (*) - avoir une alimentation de meilleure qualité (**) - être notifié en cas de coupure ou reprise de courant secteur - arrêter ou démarrer gracieusement en cas de reprise ou coupure de courant secteur - en cas d'onduleur, pouvoir faire remplacer les batteries par un homme d'entretien 1. Qui pourrait recommander un onduleur ou un ePDU (est-ce le bon terme ?) adapté aux alimentation en courant continu ou à défaut avec des prises 2P+T largement espacées (voire orientées à 90°) ? Quel retour d'expérience ? 2. Comment mécaniser le démarrage ou l'arrêt du NUC sous Debian local ? 3. Comment implémenter une règle du type "si le courant est coupé depuis plus de 10mn, arrêter ce groupe d'équipement, puis celui-ci ..." ? Slts (*) Les blocs d'alimentation peuvent être très encombrants et empiéter sur les emplacements adjacents d'une multiprise (**) J'ai été surpris de l'impact du remplacement d'un bloc d'alimentation sur des Livebox ou Freebox
Re: [HS] L'accès vers le même site web réussit ou échoue selon le LAN utilisé
Le ven. 19 oct. 2018 à 17:23, Pascal Hambourg a écrit : > Le 19/10/2018 à 15:41, Olivier a écrit : > > > > - je consulte un site web (d'une université) avec une commande wget, pour > > uniformiser le contexte, > > - la commande échoue (dans 1 cas sur 5) ou réussit (4 cas sur 5) selon la > > machine sur laquelle elle est lancée, > (...) > > Qu'en pensez-vous ? > > Que sans connaître au minimum le message d'erreur de wget, on ne peut > pas en dire grand-chose. S'agit-il d'une erreur lors de la résolution > DNS, de l'établissement de la connexion TCP, de la négociation SSL/TLS > si HTTPS, du traitement de la commande HTTP... ? > > Et sinon, cet URL, il est confidentiel ? > > Non: voici les infos Echec: # wget http://myservices.imt-lille-douai.fr --2018-10-19 18:28:28-- http://myservices.imt-lille-douai.fr/ Résolution de myservices.imt-lille-douai.fr (myservices.imt-lille-douai.fr)… 193.48.235.178 Connexion à myservices.imt-lille-douai.fr (myservices.imt-lille-douai.fr)|193.48.235.178|:80… Succès: # wget http://myservices.imt-lille-douai.fr --2018-10-19 18:30:15-- http://myservices.imt-lille-douai.fr/ Résolution de myservices.imt-lille-douai.fr (myservices.imt-lille-douai.fr)… 193.48.235.178 Connexion à myservices.imt-lille-douai.fr (myservices.imt-lille-douai.fr)|193.48.235.178|:80… connecté. requête HTTP transmise, en attente de la réponse… 302 Found Emplacement : https://myservices.imt-lille-douai.fr/ [suivant] Est-ce la machine finale, qui pour une raison inconnue, refuse la connexion ?
[HS] L'accès vers le même site web réussit ou échoue selon le LAN utilisé
Bonjour, Une question qui semblera peut-être idiote à certains. La voici malgré tout: - je consulte un site web (d'une université) avec une commande wget, pour uniformiser le contexte, - la commande échoue (dans 1 cas sur 5) ou réussit (4 cas sur 5) selon la machine sur laquelle elle est lancée, - les 5 tentatives sont effectuées sur des serveurs Debian récents (Stretch) sur lequels "Internet fonctionne", - les serveurs sont installés sur des LAN différents aux 4 coins du pays avec des ISP de tout poil, - la commande traceroute donne des résultats analogues et on transite par la même machine, si j'en crois la sortie de traceroute: ... 10 * noropale-vl340-gi8-3-lille-rtr-021.noc.renater.fr (193.51.183.89) 25.936 ms * 11 noropale-vl340-gi8-3-lille-rtr-021.noc.renater.fr (193.51.183.89) 33.658 ms * 33.610 ms Qu'en pensez-vous ? Que faire ? Slts
Conserver et visualiser des données collectées avec statsd
Bonjour, J'utilise une application (Asterisk pour ne pas la nommer) qui sait produire des statistiques Statsd. L'hôte est sous Debian Stretch et plusieurs de ses métriques générales (CPU, utilisation de la carte réseau, ...) m'intéressent elles aussi. Je souhaite "conserver ces statistiques (celles de mon application et celles de l'hôte) pour les inclure ultérieurement dans un rapport de test ". Pour l'instant je ne suis pas très exigeant , sur la façon de présenter ces métriques: un simple tableau en colonne pourrait me suffire. Je pense avoir besoin d'inclure dans mon rapport de test, des mesures faites à chaque seconde pendant un test d'une durée totale de 300s max (300 mesures max par test, 1 mesure correspondant à une dizaines de valeurs) Conserver les données sur la machine testée me suffit. Pouvoir les centraliser peut aussi m'intéresser. Mes questions: 1. Quels sont les logiciels à installer pour conserver et visualiser des données produites au format statsd ? J'ai lu que le paquet collectd et son plugin statsd pourrait faire tout ça mais je ne suis pas sûr de ceci. J'ai aussi découvert l'existence d'un serveur Statsd mais il ne semble pas empaqueté dans Debian. 2. Ces logiciels enregistrent-ils aussi les données de l'OS (CPU, mémoire, ...) ? 3. Conseils ? Suggestions ? Slts
Re: Comment grouper plusieurs interfaces tun d'OpenVPN ou wg de Wireguard?
Mon objectif est de pouvoir agréger plusieurs liens xDSL pour en créer un lien unique dont la capacité soit en gros la somme totale de tous les liens (comme dans l'exemple [1]). Un résultat concret espéré est qu'un téléchargement soit plus rapide parce que réparti sur sur plusieurs liens parallèles, cette parallélisation ne s'opérant, bien sûr que que sur une portion du transport. [1] https://www.jeedom.com/forum/viewtopic.php?t=31683 Le ven. 28 sept. 2018 à 11:27, Guillaume Clercin a écrit : > Bonjour, > > Le vendredi 28 septembre 2018, 09:59:18 CEST Olivier a écrit : > > Bonjour, > > > > Je découvre les mécanismes de bonding et de teaming (cf [1]). > > > > 1. Le teaming est-il disponible dans Debian ? Je vois le paquet > > libteamdctl0 dans les dépôts mais rien de plus. > > > > 2. Le bonding ou le teaming sont-ils utilisables sous Debian Stretch avec > > des interfaces tun d'OpenVPN ou wg de Wireguard ? > > > > [1] > > > https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/htm > > l/networking_guide/sec-comparison_of_network_teaming_to_bonding > > > > Slts > > Concernant le bonding, quelle est l'intérêt d'avoir une interface > virtuelle > qui est membre d'un agrégat ? > > Le cas classique est on a deux interfaces réseaux (par exemple 1Gb > ethernet) > et on les agrège pour en faire un lien 2Gb (mode balance-rr). Il existe > d'autres modes. > > Sinon, est-ce que tu veut transformer une machine qui est dans un VPN en > routeur ? > > Cordialement, > -- > Guillaume Clercin
[HS] Conseils sur le choix d'un point d'accès WiFi
Bonjour, Pour servir de passerelle WiFi à des appareils ne pouvant se connecter en WPA2 Entreprise (consoles, TV) , je recherche un appareil aux caractéristiques ci-après. Certaines caractéristiques sont simplement souhaitées. Les autres sont requises. Général: - Pas trop cher (<50 E.HT) - Disponible à la vente en France Matériel: - 802.11ac double bande - 1 ou 4 ports Ethernet or Gigabit - si possible, alimentable en 5V (USB, microUSB ou non) - bouton reset - si possible, pas de port USB (pour la sécurité) - assez performant pour le jeu en réseau - si possible, bouton programmable avec LED pour qu'un même appareil puisse servir plusieurs modes de fonctionnement Logiciel: - si possible openwrt - sinon facile à configurer Avez-vous un appareil qui vous vient à l'esprit ? Slts
Comment grouper plusieurs interfaces tun d'OpenVPN ou wg de Wireguard ?
Bonjour, Je découvre les mécanismes de bonding et de teaming (cf [1]). 1. Le teaming est-il disponible dans Debian ? Je vois le paquet libteamdctl0 dans les dépôts mais rien de plus. 2. Le bonding ou le teaming sont-ils utilisables sous Debian Stretch avec des interfaces tun d'OpenVPN ou wg de Wireguard ? [1] https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/networking_guide/sec-comparison_of_network_teaming_to_bonding Slts
Wireguard: quel équivalent du paramètre local d'OpenVPN ?
Bonjour, La doc d'OpenVPN décrit le paramètre local qui permet à un client OpenVPN possédant plusieurs adresses IP, de spécifier son adresse IP source, quand il établit et maintient la connexion OpenVPN (cf [1]). Existe-t-il un équivalent avec Wireguard ? [1] https://openvpn.net/archive/openvpn-users/2002-10/msg6.html Slts
Relayer les alertes de sites distants
Bonjour, J'ai plusieurs réseaux sur des sites géographiques éloignés. Dans ces réseaux j'ai un une machine sous Debian qui émet de temps en temps (1 ou 2 fois par an) des alertes par mail. Jusqu'à présent, ces alertes sont envoyées via un compte GMail, plus ou moins dédié à cet usage: plusieurs machines disséminées sur toute la France utilisent ce compte pour émettre des alertes. Malheureusement, une fois sur deux, pour ne pas dire plus, GMail bloque ces envois car ils sont pour lui un caractère suspect. Qui a trouvé une solution satisfaisante dans ce type de situation ? Comment la décrire ? J'imaginais en vrac: 1. Envoyer des SMS plutôt que des emails (mais il arrive fréquemement qu'une unique panne génère 20 ou 30 emails alors ...) 2. Utiliser un autre compte mail (mais lequel ?) Quels suggestions et retour d'expérience ? Slts
Re: Recommandations pour un PC portable "réparable"
@Pierre L.: Le modèle Dell Latitude 7390 me plait pas mal. Sa doc indique clairement ses possibilités de réparation. Slts Le jeu. 20 sept. 2018 à 20:19, Pierre L. a écrit : > Alors, un choix a été fait ? > > > > Le 10/09/2018 à 12:52, Olivier a écrit : > > J'aimerai remplacer mon propre PC portable et sacrifierai très > > volontiers quelques millimètres (15 mm d'épaisseur en plus ne me > > dérageraient pas) et grammes contre une machine dont je pourrai > > moi-même remplacer les principales pièces (batterie, écran, disque). > > > > J'avais repéré la machine HP Elite x2 mais la batterie de sa dernière > > mouture 1013 G3 n'est plus échangeable :-((( ! > > > > Auriez-vous une recommandation ? > > > > >
Re: Ma première connexion PPPoE en labo [RESOLU]
Hello, Le jeu. 13 sept. 2018 à 20:56, Pascal Hambourg a écrit : > Le 13/09/2018 à 10:44, Olivier a écrit : > > Non, l'utilisateur user1 n'existait pas sur mon serveur. > > En le créant (avec un simple adduser), j'ai pu établir ma première > > connexion PPPoE ! > > Je ne me rappelle pas avoir dû faire cela pour utiliser pppoe-server. > L'option "login" ne serait-elle pas activée dans la configuration de > pppd du serveur PPPoE ? > En effet, il y a une ligne login dans mon fichier /etc/ppp/pppoe-server-options. Je comprends maintenant à quoi elle sert ! Merci beaucoup pour ce complément, qui j'en suis sûr, sera utile à d'autres.
Re: Que provoque l'activation en usine d'un module TPM sur un PC Dell ?
Si je comprend bien, je peux commander sans risque l'option Activé: je pourrai installer Debian Stretch sans difficulté dès réception. Merci à tous pour vos réponses. Le jeu. 13 sept. 2018 à 10:06, yamo' a écrit : > Salut, > > Olivier a écrit le 13/09/2018 à 08:30 : > > Bonjour, > > > > J'examine une configuration d'un PC portable Dell. Il y a une option > > (gratuite) 'Expédition avec module TPM (dés)activé'. > > > > Évidemment le PC est livré avec Windows et je ne vois pas d'option pour > > une livraison sans celui-ci. > > > > Ma cible serait : > > 1. soit de conserver une VM KVM Windows (ma préférence), > > 2. soit de fonctionner en double boot (alternative). > > > > À quoi correspond cette option d'Activation/Désactivation ? > > Recevoir une machine neuve avec Windows et un module TPM activé > > empêche-t-il rend-il plus difficile, l'installation de notre OS préféré > ? > > > > Slts > > > > > > > Je ne pense pas qu'il y ai un problème ; c'est désactivable dans le > BIOS/UEFI. Et justement si c'est désactivé ce sera encore plus inoffensif. > > Quand on l'active, c'est utile pour crypter avec Bitlocker un windows. > Comme Bernard a répondu ça doit être utile pour stocker des données > confidentielles de manière sécurisée ... > > -- > Stéphane > >
Re: Ma première connexion PPPoE en labo [RESOLU]
Non, l'utilisateur user1 n'existait pas sur mon serveur. En le créant (avec un simple adduser), j'ai pu établir ma première connexion PPPoE ! Merci beaucoup Dominique pour ton aide ! Le jeu. 13 sept. 2018 à 10:18, Dominique Dumont a écrit : > On Tuesday, 11 September 2018 16:17:29 CEST Olivier wrote: > > Comment interpréter les logs ci-dessus ? > > > On dirait que soit le password de user1 n'est pas bon, soit user1 n'existe > pas > sur le serveur: > > Sep 11 15:34:57 pppserver pppd[922]: Initializing PAM (2) for user user1 > Sep 11 15:34:57 pppserver pppd[922]: ---> PAM INIT Result = 0 > Sep 11 15:34:57 pppserver pppd[922]: Attempting PAM account checks > Sep 11 15:34:57 pppserver pppd[922]: PAM Account checks failed: 7: > Authentication failure > Sep 11 15:34:57 pppserver pppd[922]: Peer user1 failed CHAP Session > verification > > Peux-tu te logger en tant que user1 sur ton serveur ? > > HTH > > > >
Que provoque l'activation en usine d'un module TPM sur un PC Dell ?
Bonjour, J'examine une configuration d'un PC portable Dell. Il y a une option (gratuite) 'Expédition avec module TPM (dés)activé'. Évidemment le PC est livré avec Windows et je ne vois pas d'option pour une livraison sans celui-ci. Ma cible serait : 1. soit de conserver une VM KVM Windows (ma préférence), 2. soit de fonctionner en double boot (alternative). À quoi correspond cette option d'Activation/Désactivation ? Recevoir une machine neuve avec Windows et un module TPM activé empêche-t-il rend-il plus difficile, l'installation de notre OS préféré ? Slts
Re: Freeradius: qu'est ce qu'un certificat de server pour WiFi WPA-Entreprise PEAP ?
Bonjour, En consultant d'autres listes, j'ai collecté des conseils qu'il me parait intéressant de partager ici. Pour faire simple, si j'ai bien compris, des personnes conseillent de traiter les connexions aux réseaux WiFi sécurisés de la façon suivante: - l'utilisateur importe sur sa machine un certificat plus ou moins caché dans un paquet cadeau bien présenté, - l'utilisateur se connecte ensuite au réseau WiFi sécurisé en désignant simplement le nom du réseau WiFi. À aucun moment, l'utilisateur ne saisit véritablement les paramètres "techniques" de connexion: ils sont livrés avec le certificat. Ce processus rappelle celui des fichiers .mobileconfig du monde Apple. Le site https://cat.eduroam.org/ présente un installeur multi-plateforme pour confectionner ces paquets cadeau. On parle d'Onboarding (cf [1]) [1] https://www.ruckuswireless.com/solutions/secure-onboarding. Slts Le ven. 7 sept. 2018 à 14:29, Olivier a écrit : > Bonjour, > > J'ai compris que pour faciliter la connexion de PC sous Windows à un > réseau WiFi WPA-Entreprise, on pouvait fournir aux utilisateurs potentiels, > un "certificat serveur" (cf [1]). > > Sous la forme d'un simple fichier dans un format connu, les utilisateurs > potentiels ajoutent ce certificat sur leur appareil. > > Ceci fait, un utilisateur potentiel peut ensuite se connecter au réseau > WiFi WPA-Entreprise en saisissant simplement son login et son mot de passe. > > 1. À quoi ressemble un tel certificat ? à un fichier .pem ? .der ? p12 ? > 2. Est-il bien exact que ce fichier fait partie de la configuration de la > base Freeradius sur laquelle s'appuie le réseau WiFi WPA-Entreprise ? > > Slts > > [1] https://wiki.freeradius.org/protocol/EAP-PEAP >
Re: RE: Recommandations pour un PC portable "réparable"
Le mar. 11 sept. 2018 à 14:40, elguero eric a écrit : > bonjour, > > la batterie non extractible j'étais > dubitatif aussi mais force est > de constater qu'aussi bien sur > le macbook pro que j'ai depuis 4 ans > que sur le HP Zbook (2 ans), la batterie > d'origine est durable. > Tiens, ça m'apprends quelque chose car s'il y a bien un composant dans lequel j'ai une confiance limitée, c'est bien la batterie (cf smartphones, ...). A-t-on une explication (lise sur une datasheet, si possible) à ceci ? > Je réformerai probablement > l'apple alors que sa batterie fonctionne encore. > > e.e. > >
Ma première connexion PPPoE en labo
Bonjour, J'ai configuré deux machines virtuelles sous Debian Stretch afin d'étudier PPPoE. Ces deux machines ont une interface Ethernet ens9 dédiée au PPPoE. Je suis totalement novice sur PPPoE donc je me sens parfaitement capable des pires erreurs et énormités. Le serveur PPPoE est lancé avec une commande manuelle: pppoe-server -C isp -L 192.168.4.254 -p /etc/ppp/allip -I ens9 Le client PPPoE est lancé avec une commande: pon dsl-provider Voici les logs de mon serveur PPPoE: Sep 11 15:34:54 pppserver pppoe-server[922]: Session 4 created for client 52:54:00:06:76:f1 (192.168.4.4) on ens9 using Service-Name '' Sep 11 15:34:54 pppserver pppd[922]: pppd 2.4.7 started by root, uid 0 Sep 11 15:34:54 pppserver pppd[922]: using channel 21 Sep 11 15:34:54 pppserver pppd[922]: Using interface ppp0 Sep 11 15:34:54 pppserver pppd[922]: Connect: ppp0 <--> /dev/pts/1 Sep 11 15:34:55 pppserver pppd[922]: sent [LCP ConfReq id=0x1 ] Sep 11 15:34:55 pppserver pppd[922]: rcvd [LCP ConfAck id=0x1 ] Sep 11 15:34:57 pppserver pppd[922]: rcvd [LCP ConfReq id=0x1 ] Sep 11 15:34:57 pppserver pppd[922]: sent [LCP ConfAck id=0x1 ] Sep 11 15:34:57 pppserver pppd[922]: sent [LCP EchoReq id=0x0 magic=0xf4461b37] Sep 11 15:34:57 pppserver pppd[922]: sent [CHAP Challenge id=0xf , name = "pppserver"] Sep 11 15:34:57 pppserver pppd[922]: rcvd [LCP EchoReq id=0x0 magic=0xd81cd70b] Sep 11 15:34:57 pppserver pppd[922]: sent [LCP EchoRep id=0x0 magic=0xf4461b37] Sep 11 15:34:57 pppserver pppd[922]: rcvd [LCP EchoRep id=0x0 magic=0xd81cd70b] Sep 11 15:34:57 pppserver pppd[922]: rcvd [CHAP Response id=0xf <57d229599fb61a49d9fea733e5810bd9>, name = "user1"] Sep 11 15:34:57 pppserver pppd[922]: sent [CHAP Success id=0xf "Access granted"] Sep 11 15:34:57 pppserver pppd[922]: Initializing PAM (2) for user user1 Sep 11 15:34:57 pppserver pppd[922]: ---> PAM INIT Result = 0 Sep 11 15:34:57 pppserver pppd[922]: Attempting PAM account checks Sep 11 15:34:57 pppserver pppd[922]: PAM Account checks failed: 7: Authentication failure Sep 11 15:34:57 pppserver pppd[922]: Peer user1 failed CHAP Session verification Sep 11 15:34:57 pppserver pppd[922]: Connection terminated. Sep 11 15:34:57 pppserver pppoe[925]: read (asyncReadFromPPP): Session 4: Input/output error Sep 11 15:34:57 pppserver pppd[922]: Exit. Sep 11 15:34:57 pppserver pppoe-server[888]: Session 4 closed for client 52:54:00:06:76:f1 (192.168.4.4) on ens9 Sep 11 15:34:57 pppserver pppoe-server[888]: Sent PADT Voici les logs du client: Sep 11 15:34:54 pppclient pppd[470]: Plugin rp-pppoe.so loaded. Sep 11 15:34:54 pppclient kernel: [ 95.455020] PPP generic driver version 2.4.2 Sep 11 15:34:54 pppclient pppd[476]: pppd 2.4.7 started by root, uid 0 Sep 11 15:34:54 pppclient kernel: [ 95.467103] NET: Registered protocol family 24 Sep 11 15:34:54 pppclient pppd[476]: Send PPPOE Discovery V1T1 PADI session 0x0 length 4 Sep 11 15:34:54 pppclient pppd[476]: dst ff:ff:ff:ff:ff:ff src 52:54:00:06:76:f1 Sep 11 15:34:54 pppclient pppd[476]: [service-name] Sep 11 15:34:54 pppclient pppd[476]: Recv PPPOE Discovery V1T1 PADO session 0x0 length 35 Sep 11 15:34:54 pppclient pppd[476]: dst 52:54:00:06:76:f1 src 52:54:00:fb:e1:f1 Sep 11 15:34:54 pppclient pppd[476]: [AC-name isp] [service-name] [AC-cookie be 39 e0 28 0b d7 26 07 66 18 6c d3 f3 ef ae cd 78 03 00 00] Sep 11 15:34:54 pppclient pppd[476]: Send PPPOE Discovery V1T1 PADR session 0x0 length 28 Sep 11 15:34:54 pppclient pppd[476]: dst 52:54:00:fb:e1:f1 src 52:54:00:06:76:f1 Sep 11 15:34:54 pppclient pppd[476]: [service-name] [AC-cookie be 39 e0 28 0b d7 26 07 66 18 6c d3 f3 ef ae cd 78 03 00 00] Sep 11 15:34:54 pppclient pppd[476]: Recv PPPOE Discovery V1T1 PADS session 0x4 length 4 Sep 11 15:34:54 pppclient pppd[476]: dst 52:54:00:06:76:f1 src 52:54:00:fb:e1:f1 Sep 11 15:34:54 pppclient pppd[476]: [service-name] Sep 11 15:34:54 pppclient pppd[476]: PADS: Service-Name: '' Sep 11 15:34:54 pppclient pppd[476]: PPP session is 4 Sep 11 15:34:54 pppclient pppd[476]: Connected to 52:54:00:fb:e1:f1 via interface ens9 Sep 11 15:34:54 pppclient pppd[476]: using channel 1 Sep 11 15:34:54 pppclient pppd[476]: Using interface ppp0 Sep 11 15:34:54 pppclient pppd[476]: Connect: ppp0 <--> ens9 Sep 11 15:34:54 pppclient pppd[476]: sent [LCP ConfReq id=0x1 ] Sep 11 15:34:55 pppclient pppd[476]: rcvd [LCP ConfReq id=0x1 ] Sep 11 15:34:55 pppclient pppd[476]: sent [LCP ConfAck id=0x1 ] Sep 11 15:34:57 pppclient pppd[476]: sent [LCP ConfReq id=0x1 ] Sep 11 15:34:57 pppclient pppd[476]: rcvd [LCP ConfAck id=0x1 ] Sep 11 15:34:57 pppclient pppd[476]: sent [LCP EchoReq id=0x0 magic=0xd81cd70b] Sep 11 15:34:57 pppclient pppd[476]: rcvd [LCP EchoReq id=0x0 magic=0xf4461b37] Sep 11 15:34:57 pppclient pppd[476]: sent [LCP EchoRep id=0x0 magic=0xd81cd70b] Sep 11 15:34:57 pppclient pppd[476]: rcvd [CHAP Challenge id=0xf , name = "pppserver"] Sep 11 15:34:57 pppclient pppd[476]: sent [CHAP Response id=0xf <57d229599fb61a49d9fea733e5810bd9>, name =
Recommandations pour un PC portable "réparable"
Bonjour, Depuis plusieurs années et la mode des ultra-portables, j'observe avec tristesse que beaucoup de PC portables sont difficilement réparables et peu évolutifs: - mémoire vive soudée, - disque inaccessible ou fixé, - batterie impossible à remplacer. J'aimerai remplacer mon propre PC portable et sacrifierai très volontiers quelques millimètres (15 mm d'épaisseur en plus ne me dérageraient pas) et grammes contre une machine dont je pourrai moi-même remplacer les principales pièces (batterie, écran, disque). J'avais repéré la machine HP Elite x2 mais la batterie de sa dernière mouture 1013 G3 n'est plus échangeable :-((( ! Auriez-vous une recommandation ? Voici mon cahier des charges: 1. Utilisable(*) avec Debian Stretch 2. 802.11ac 3. Gigabit si possible 4. Alimentation par Thunderbolt 5. NVMe (200 Go, pas nécessairement plus) 6. Mémoire vive 8 ou 16 Go 7. Écran 13, 14 ou 15'' 8. Tactile (avec stylet) avec charnière idoine (?) 9. Utilisable avec une station d'accueil Thunderbolt 10. Carte graphique indifférente (pas de jeux) Slts (*) OK pour perdre quelques fonctions connexes en attendant que Buster devienne stable.
Freeradius: qu'est ce qu'un certificat de server pour WiFi WPA-Entreprise PEAP ?
Bonjour, J'ai compris que pour faciliter la connexion de PC sous Windows à un réseau WiFi WPA-Entreprise, on pouvait fournir aux utilisateurs potentiels, un "certificat serveur" (cf [1]). Sous la forme d'un simple fichier dans un format connu, les utilisateurs potentiels ajoutent ce certificat sur leur appareil. Ceci fait, un utilisateur potentiel peut ensuite se connecter au réseau WiFi WPA-Entreprise en saisissant simplement son login et son mot de passe. 1. À quoi ressemble un tel certificat ? à un fichier .pem ? .der ? p12 ? 2. Est-il bien exact que ce fichier fait partie de la configuration de la base Freeradius sur laquelle s'appuie le réseau WiFi WPA-Entreprise ? Slts [1] https://wiki.freeradius.org/protocol/EAP-PEAP
Freeradius: qu'est ce qu'un certificat de server pour WiFi WPA-Entreprise PEAP ?
Bonjour, J'ai compris que pour faciliter la connexion de PC ou smartphone à un rées [1] https://wiki.freeradius.org/protocol/EAP-PEAP
Re: recherche un cms pour site statique sans base de données
De: "Bernard Schoenacker" > je recherche un cms pour réaliser un site statique > sans devoir installer php et qui puisse être alimenté > par des pages rédigées en markdown à l'aide d'un lien > pointant vers un document pdf qui change chaque semaine > > le tout doit pouvoir être facilement employable et > configurable et sans base de données http://dokuwiki.org/
Re: OpenVPN fonctionne mais "service openvpn status" affiche active (exited) [RESOLU]
Le 13 août 2018 à 16:38, Olivier a écrit : > Bonjour, > > J'ai l'habitude de vérifier l'état courant d'un daemon avec la commande > service. > > Sur plusieurs clients OpenVPN sous Stretch ou Jessie, j'ai: > > # service openvpn status > ● openvpn.service - OpenVPN service >Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor > preset: enabled) >Active: active (exited) since Mon 2018-08-13 16:20:25 CEST; 7min ago > Process: 6959 ExecStart=/bin/true (code=exited, status=0/SUCCESS) > Main PID: 6959 (code=exited, status=0/SUCCESS) > > août 13 16:20:25 foo-dev systemd[1]: Starting OpenVPN service... > août 13 16:20:25 foo-dev systemd[1]: Started OpenVPN service. > > Pourtant, le client OpenVPN fonctionne (je peux m'y connecter, la commande > ip link montre un lien tun0, ...). > > > Qu'en pensez-vous ? Que suggérez-vous ? > > Slts > > > Comme OpenVPN permet le lancement de plusieurs instances définies par un fichier /etc/openvpn/client1.conf, la commande ci-après donne le résultat escompté: service openvpn@client1 status J'espère que cette réponse sera utile à d'autres.
OpenVPN fonctionne mais "service openvpn status" affiche active (exited)
Bonjour, J'ai l'habitude de vérifier l'état courant d'un daemon avec la commande service. Sur plusieurs clients OpenVPN sous Stretch ou Jessie, j'ai: # service openvpn status ● openvpn.service - OpenVPN service Loaded: loaded (/lib/systemd/system/openvpn.service; enabled; vendor preset: enabled) Active: active (exited) since Mon 2018-08-13 16:20:25 CEST; 7min ago Process: 6959 ExecStart=/bin/true (code=exited, status=0/SUCCESS) Main PID: 6959 (code=exited, status=0/SUCCESS) août 13 16:20:25 foo-dev systemd[1]: Starting OpenVPN service... août 13 16:20:25 foo-dev systemd[1]: Started OpenVPN service. Pourtant, le client OpenVPN fonctionne (je peux m'y connecter, la commande ip link montre un lien tun0, ...). Qu'en pensez-vous ? Que suggérez-vous ? Slts
Re: synchronisation sur un seveur distant: quelle solution?
Hello, Pourquoi passer par un cron? Pour moi inotify + rsync est bien plus efficace, et te permets de garantir la synchro de tes données. Olivier Le mer. 4 juil. 2018 à 15:29, a écrit : > Bonsoir à tous, > > Je recherche une solution pour synchroniser toutes les 5mn un répertoire > locale vers un répertoire distant. > Je souhaiterai synchroniser uniquement les changements. > J'ai le cron, mais quelle commande ou quel paquet dois-je utiliser? > Merci pour vos conseils. > > Alex PADOLY >
Conseils sur l'utilisation des mémoires eMMC, SDHC ou flash sur des serveurs télé-administrés
Bonjour, Depuis plusieurs années maintenant, il existe des machines de tout format (NUC, tower, ...) dotées de mémoire eMMC, d'interfaces USB3 et d'interface pour carte mémoire. Qui utilise ces mémoires dans machines sans écran, fournissant des services réseau (sécurité, réseau, ToIP, ...) sur des sites distants et souhaiterai partager ici son expérience ? J'imagine des utilisations avancées comme: 1. J'installe un OS de base sur la carte eMMC, et un autre sur une clé USB3 (de petit format). Je boote prioritairement sur la clé USB3 puis la carte eMMC. En cas de problème, ou pour changer sans risque de version de Debian, je change de clé USB. En la retirant, je peux faire des diagnostics. 2. Idem que précédemment mais avec une carte mémoire plutôt qu'un clé USB3. Aussitôt, pas mal de questions me viennent à l'esprit: 1. Quelles sont les mémoires les plus durables ? 2. Comment se comparent les performances ? 3. Comment vieillit une mémoire eMMC ? Et logiquement, comment se comporte son OS installé en 2018 et qu'on ré-utilise 4 ans plus tard ? 4. Peut-on réellement implémenter des règles comme "je boote prioritairement sur la clé USB3 puis la carte eMMC" y compris quand on change de clé USB3 (j'ai la vague impression que les BIOS étaient surprenant à cet égard et avec ce type de machine pas d'accès possible au BIOS) ? 5. Conseils ? Suggestions ? Slts
Re: partager /var/cache/apt/archives/ ?
J'ai un serveur lxc qui fait gateway, j'ai une règle IP tables des paquets entrant du réseau qui renvoi vers squid sur cette même machine. Ma règle est la suivante : iptables -A PREROUTING -i eth0 ! -s 192.168.0.1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 Squid est configuré en mode proxy transparent ainsi qu'avec jesred (/etc/squid3/squid.conf) http_port 3128 transparent redirect_program /usr/lib/squid/jesred Enfin dans Jesred, j'ai des petit regex certainement perfectible qui va renvoyer certaines requêtes vers apt-cacher (/etc/jesred.rules) regex ^http://(.*/debian/(dists|pool)/.*(udeb|deb))$ url= http://192.168.3.8:3142/\1 regex ^http://(.*/ubuntu/(dists|pool)/.*(udeb|deb))$ url= http://192.168.3.8:3142/\1 regex ^http://(.*/debian-security/(dists|pool)/.*(udeb|deb))$ url= http://192.168.3.8:3142/\1 Voilà, pas plus compliqué que ça :D Obitwo PS : obitwo car obiwan c'est déjà pris :D Le 15 juin 2018 à 11:13, Marc Chantreux a écrit : > On Fri, Jun 15, 2018 at 10:08:06AM +0200, olivier.bit...@gmail.com wrote: > > Pour ma part, j'ai résolu le soucis a coup de iptables / squid / apt- > > cacher-ng. En gros, je dis à iptables de rediriger le traffic du port > > 80 vers squid > > wow! c'est brutal ca doit effectivement etre pas trop compliqué à mettre > en place ... mais ... > > * tu bases ta regle sur l'interface entrante ? > * debian n'a rien pour eviter le man in the middle ? > > > Obitwo > > c'est dans lequel que Obi tue Harry ? > > marc > >
Re: partager /var/cache/apt/archives/ ?
Hello, Pour ma part, j'ai résolu le soucis a coup de iptables / squid / apt- cacher-ng. En gros, je dis à iptables de rediriger le traffic du port 80 vers squid, puis couplé à jesred qui va détecter les url de dépôts debian, un renvoi des requêtes vers apt-cacher-ng. ça parrait compliqué comme ça, mais ça l'est pas vraiment, et ça me permet de gagner beaucoup de temps sur mes install Debian. Obitwo. Le jeudi 14 juin 2018 à 10:37 +0200, Marc Chantreux a écrit : > salut, > > en plus de mon système de base, j'ai sur ma machine plein de conteneurs > docker et lxc qui ont tous en commun d'être sous debian buster et sur > lesquels je fais pas mal de tests et de modifications. > > du coup si tout ce beau monde pouvait partager et alimenter un même cache, > ca serait quand même bien sympatique pou ma bande passante, le temps de > production d'un container et les ours blancs. > > j'ai bien vu qu'il y avait un apt-cacher-ng et deb-squid qui sont > probablement des solutions que j'utiliserais si tous ces conteneurs > étaient sur un même réseau pouvaient se connaitre mais ca n'est pas le > cas. > > je m'apprete a faire en sorte qu'ils tappent tous sur le même > /var/cache/apt/archives/ (et pourquoi pas celui de mon système) > et je me demande vraiment si je m'apprête a faire une grosse connerie. > > une idée, une réflexion, une derniere volonté ? > marc >
Re: github et microsoft
Qu'est-ce que je suis content d'être passé à Gitlab, hébergé sur un de mes serveurs, depuis plusieurs années! Le mar. 5 juin 2018 à 11:19, Vandendaelen Clément < vandendaelenclem...@gmail.com> a écrit : > Sincèrement, je ne bouge aucun de mes repos avant de voir ce que ça donne. > Comme le dit le bas de l'article. Par apport à il y a 10 ans et surtout > l'arrivée de Satya Nadella, le mastodonte s'est pas mal ouvert l'esprit. > Après, il y a clairement du chemin à faire avant l'apparition d'un Windows > Open-source, je vous l'accorde, mais quand on vois le nombre de projet de > l'entreprise et le nombre de contributeurs à ceux ci, on pourrais laisser > le bénéfice du doute ? > Jeune et naïf, mais j'ai envie de croire que le monde évolue parfois du > bon côté. > Bav, > > Clément > > -- > *From:* Bernardo > *Sent:* Tuesday, June 5, 2018 10:57:51 AM > *To:* debian-user-french@lists.debian.org > *Subject:* Re: github et microsoft > > Créer un "Gittube" sur le modèle de Peertube de framasoft ? > > Sinon il existe déjà Framagit. > > Gitlab, prochaine victime de µmou ? > > Le 05/06/2018 à 10:51, Bernard Schoenacker a écrit : > > bonjour, > > > > voici la nouvelle toute fraîche : > > > > > https://www.lemonde.fr/pixels/article/2018/06/04/le-rachat-de-github-par-microsoft-suscite-des-inquietudes-chez-les-developpeurs_5309561_4408996.html > > > > comment créer un fork à github ? > > > > merci > > slt > > Bernard > > > > > > -- > Cordialement, > Bernardo. > > Les plus grands ne sont pas ceux qui ne tombent > jamais, mais ceux qui se relèvent toujours. > >
Utilisation de la commande gem, installation d'Asciidoctor-diagram sur Debian
Bonjour, La page [1] indique une installation d'Asciidoctor-diagram par: gem install asciidoctor-diagram Quelles sont les étapes à suivre, précautions à prendre, spécifiques à Debian, pour installer et maintenir "proprement" un programme installé avec gem ? Est-il possible et conseillé d'opérer en tant que root pour l'installation [1] https://asciidoctor.org/docs/asciidoctor-diagram/ Slts
Auto-complétion d'URL avec Firefox ESR/Chromium sur Jessie ou Stretch
Bonjour, Connaissez-vous un mécanisme d'auto-complétion ou équivalent, utilisable dans Firefox et Chromium qui permette l'auto-complétion du nom de domaine. Ce mécanisme est-il factorisable avec celui de bash ? Exemple, dans mon fichier /etc/hosts, ou mieux avec un serveur dns local, j'ai défini l'entrée: 192.168.12.12 foobar toto Quand dans ma barre d'URL, je saisi foo+TAB ou tot+TAB (TAB étant la touche de tabulation), mon navigateur complète intelligemment ma saisie. J'imagine qu'on peut tromper le navigateur en ajoutant par programme des entrées dans l'historique de navigation. Slts
Re: KVM/Qemu : 100% CPU sur Jessie depuis le 14 mai 2018
Le 22 mai 2018 à 14:14, Jérôme <haricoph...@aranha.fr> a écrit : > On Tue, 22 May 2018 13:24:02 +0200 > Olivier <oza.4...@gmail.com> a écrit : > > > Bonjour, > > > > 1. Chez moi, j'ai toujours une CPU qui grimpe à 100% au démarrage de > chaque > > VM, avant même l'affichage des premiers écrans. > > Est-ce aussi le cas chez toi ? > > > > 2. As-tu identifié la modification (mise à jour ?) qui pourrait avoir > > provoqué cette anomalie ? > > > > 3. Quelle architecture (i686 ? amd64 ? ...) sur la machine concernée ? > > > > @tous: > > 4. Qui d'autre rencontre le même pb ? > > > > Slts > > Moi j'ai eu ce problème mais sans VM, à cause du paquet > unattended-upgrades (en testing) > > @Jérôme: 1. Le pb est-il résolu maintenant ou toujours ? 2. Que faut-il comprendre par "ce problème mais sans VM" ? Que tu avais d'autres programmes que des VM qui utilisaient 100% de la CPU ? 3. Quelle architecture sur la machine concernée ? ams64 ? i686 ?
Re: Retour d'expérience avec un clavier Qwerty International
Des expériences ici relatées, faut-il retenir que: - la disposition matricielle des touches d'un clavier (par opposition à une disposition en quinconce où les touches d'une rangée sont en décalage d'une demie-unité des rangées adjacentes) est moins importante qu'un positionnement linguistique naturel (voyelles d'un côté, consonnes de l'autre, lettre positionnées selon leur fréquence d'utilisation) ? - passe-t-on sans trop de mal d'un Bepo-matrice à une Bepo-quinconce ou réciproquement ? Le 18 mai 2018 à 23:46, Jérômea écrit : > On Wed, 16 May 2018 23:03:05 +0200 > andre_deb...@numericable.fr a écrit : > > > Mon objectif est d'acheter un portable clavier AZERTY, 15 pouces, > > donc sans pavé numérique, et de pouvoir utliser > > les touches à chiffres en haut, sans avoir à appuyer > > sur une des 2 touches "SHIFT". > > > > André > > Tu reconfigure le clavier. Il n'y a rien qui l'empêche sous Linux. > >