Re: Comment régler nginx comme reverse proxy pour qu’il transmette l’adresse IP du client ?
> Le 21 août 2023 à 12:15, François TOURDE a écrit > : > > Le 19589ième jour après Epoch, > Michel Verdier écrivait: > >> Le 20 août 2023 RogerT a écrit : >> >>>> Donc positionne un entête comme on t'a suggéré avec proxy_set_header et >>>> teste cet entête sur l'apache qui traite la requête. Tu n'as pas besoin >>>> de plus à priori non ? >>>> >>> Non. Le serveur a juste besoin de lire l’adresse IP du client et de >>> retourner (au reverse proxy, pour routage) la réponse à la requête. >> >> C'est exactement ce qu'on (moi et d'autres) t'explique. Donc pourquoi >> dis-tu "non" ? Explique-nous pourquoi tu ne veux pas faire cette >> solution ? > > Je pense qu'il dit "non" à "Tu n'as pas besoin de plus à priori non ?" > :) > Oui, exactement !
Re: Comment régler nginx comme reverse proxy pour qu’il transmette l’adresse IP du client ?
> Le 20 août 2023 à 09:49, Michel Verdier a écrit : > > Le 20 août 2023 RogerT a écrit : > >>> Par exemple, nginx, apache et d'autres vont pouvoir se baser sur >>> l'en-tête créé, mais si tu veux t'adresser à des service comme exim, >>> mailman ou transmission, ça risque d'être impossible. >> Serveur web Apache. https ou WebDAV. >> Pas de serveur de messagerie. > > Donc positionne un entête comme on t'a suggéré avec proxy_set_header et > teste cet entête sur l'apache qui traite la requête. Tu n'as pas besoin > de plus à priori non ? > Non. Le serveur a juste besoin de lire l’adresse IP du client et de retourner (au reverse proxy, pour routage) la réponse à la requête.
Re: Comment régler nginx comme reverse proxy pour qu’il transmette l’adresse IP du client ?
> Le 19 août 2023 à 22:00, François TOURDE a écrit > : > > Le 19588ième jour après Epoch, > RogerT écrivait: > >>>> Le 19 août 2023 à 18:58, Michel Verdier a écrit : >>> > [...] >>> Le problème que tu auras si ton proxy est transparent c'est que ton appli >>> va répondre vers l'IP du client et ça cassera la connexion. > > Techniquement, le proxy transparent peut s'amuser à se faire passer pour > l'IP externe, donc ça ne casserait pas la connection, mais je ne connais > pas d'outil qui fasse ça. > Je sais que ça existe. Je crois savoir que nginx le fait. J’ignore la syntaxe complète et testée. >> Si je comprends bien, il suffirait que le reverse proxy ajoute une >> entête avec l’adresse IP du client qui sera lue par le serveur web, >> qui répondra ensuite à la requêtes au reverse proxy qui routera au >> client. >> C’est ça ? > > Oui, avec comme petit bémol que si tu t'adresses (ton reverse proxy) à > des services qui ne gèrent pas ça, tu ne vas pas pouvoir t'en sortir. > > Par exemple, nginx, apache et d'autres vont pouvoir se baser sur > l'en-tête créé, mais si tu veux t'adresser à des service comme exim, > mailman ou transmission, ça risque d'être impossible. Serveur web Apache. https ou WebDAV. Pas de serveur de messagerie. > Perso j'utilise haproxy comme reverse (il y a aussi nginx, apache et > envoy qui font ça très bien), et je suis confronté parfois à ce même > souci d'identification de l'adresse IP d'origine. Comment le traites-tu ?
Re: Comment régler nginx comme reverse proxy pour qu’il transmette l’adresse IP du client ?
> Le 19 août 2023 à 18:58, Michel Verdier a écrit : > > Le 19 août 2023 RogerT a écrit : > >> Je sais qu’un reverse proxy peut réécrire les entêtes pour déjà faire >> passer l’adresse IP du client qu’il fait disparaître si on le laisse >> faire. > > Le problème que tu auras si ton proxy est transparent c'est que ton appli > va répondre vers l'IP du client et ça cassera la connexion. Il faut donc > voir dans ton appli l'entête qui doit être utilisée pour stocker l'IP à > vérifier. Si je comprends bien, il suffirait que le reverse proxy ajoute une entête avec l’adresse IP du client qui sera lue par le serveur web, qui répondra ensuite à la requêtes au reverse proxy qui routera au client. C’est ça ?
Re: Comment régler nginx comme reverse proxy pour qu’il transmette l’adresse IP du client ?
> Le 19 août 2023 à 16:15, François TOURDE a écrit > : > Le 19588ième jour après Epoch, > RogerT écrivait: > >> Bonjour, >> C’est très discuté dans les forums. >> Cette page que tu indiques semble confirmer que c’est assez flou (les >> ‘ X-*’ inventés pour faire des corrections rustines). > > Disons que ce ne sont pas vraiment des "rustines", mais simplement des > façon de faire liées au cas de figure dans lequel tu te trouves. > > Si tu utilises nginx comme reverse proxy, alors quoi qu'il arrive tu vas > "perdre" l'IP d'origine. La jonction TCP va se faire entre l'IP > d'origine et ta machine nginx. > > Dans ce cas, il faut établir une nouvelle jonction TCP entre ton serveur > nginx et le serveur qui délivre le service. Ce dernier n'aura donc comme > IP entrante celle de ton nginx. > > Dans le cas où tu souhaites préserver l'IP d'origine pour qu'elle arrive > sur ton serveur final, il faudrait que tu passes par un mécanisme de > NAT, comme par exemple le fait un routeur ubiquiti. Dans ce cas, ce > n'est plus du proxy mais du NAT. > > Le proxy et le routeur+NAT n'ont pas du tout les mêmes mécanismes > d'établissement et de gestion de connection. > > En espérant avoir été assez clair. Oui. Mais j’ai besoin d’un reverse proxy pour analyser et diriger la requête vers tel domaine vers le serveur web correspondant. Je sais qu’un reverse proxy peut réécrire les entêtes pour déjà faire passer l’adresse IP du client qu’il fait disparaître si on le laisse faire. Toute la question est de savoir quelle syntaxe fonctionne. Question bête : comment pourrait-on faire avec un routeur en NAT le travail d’un reverse proxy ?…
Re: Comment régler nginx comme reverse proxy pour qu’il transmette l’adresse IP du client ?
> Le 19 août 2023 à 12:12, François TOURDE a écrit
> :
>
> Le 19587ième jour après Epoch,
> yamo' écrivait:
>
>>
>> Je lis dans la doc :
>>
>> location /some/path/ {
>>proxy_set_header Host $host;
>>proxy_set_header X-Real-IP $remote_addr;
>>proxy_pass http://localhost:8000;
>> }
>>
>> Il suffit donc dans ce cas d'interroger la valeur de "X-Real-IP".
>
> Il y a aussi l'entête x-forwarded-for qui peut jouer ce rôle. Mais dans
> tous les cas, il faut que l'app derrière aille lire cette valeur.
>
> Un début de réflexion à ce sujet là:
> https://security.stackexchange.com/questions/95865/difference-between-x-forwarded-for-ip-x-real-ip-vpns-and-tor
>
> Mes 2©
>
> --
> Don't plan any hasty moves. You'll be evicted soon anyway.
>
Bonjour,
C’est très discuté dans les forums.
Cette page que tu indiques semble confirmer que c’est assez flou (les ‘ X-*’
inventés pour faire des corrections rustines).
Faudrait-il utiliser une notion de Trusted Proxies, qui serait par exemple le
réseau x.y.z.0/24 sur lequel se trouve le lien fourni par l’opérateur (adresse
IP du modem : x.y.z.t/32) ?
Voir
https://community.home-assistant.io/t/trusted-networks-when-using-nginx-reverse-proxy/37836
Et la référence qui y est citée :
https://sgrudadh.blogspot.com/2018/01/nginx-and-home-assistant.html?m=1
Je crois qu’à défaut de savoir on doit tâtonner comme je fais et beaucoup
d’autres aussi.
Qui sait pour avoir déjà réussi ce réglage ?
Re: Comment régler nginx comme reverse proxy pour qu’il transmette l’adresse IP du client ?
> Le 18 août 2023 à 10:50, didier gaumet a écrit : > > Bonjour, > > rappel: je suis une truffe en réseaux, donc ne pas se fier à mes propos > aveuglément > > la doc officielle -donc celle qui fait référence- sur le reverse proxy nginx > est là: > https://docs.nginx.com/nginx/admin-guide/web-server/reverse-proxy/ > > si je comprends correctement (c'est loin d'être sûr) ça a l'air de dire que > tu dois redéfinir la variable host (valeur $proxy_host par défaut) au moyen > de la directive proxy_set_header? > > mais je raconte peut-être de grosses bêtises. Je ne sais pas. Vu la diversité des réponses trouvées, et mon inexpérience sur cette utilisation, je me dis que quelqu’un de la liste qui a déjà rencontré le problème ou a su configurer correctement ce reverse proxy saura mettre immédiatement le doigt sur le point.
Comment régler nginx comme reverse proxy pour qu’il transmette l’adresse IP du client ?
Bonjour, Avec nginx configuré en reverse proxy, j’ai un souci pour qu’il passe l’adresse IP du client au serveur web. Il réécrit l’entête en y mettant son adresse IP (cad celle du serveur où est nginx). C’est cette adresse que voit le serveur web à qui il passe la requête et qui ne sait donc pas où se trouve le client (pour une vérification de sécurité). Il y a plein de discussions sur les forums à propos d’ancienne et de nouvelle syntaxe nginx. Vu de loin, ça a l’air simple : contrôler la réécriture des entêtes. En pratique, comment configurer ? Quelle syntaxe ? Merci
Re: apt-key is deprecated
> Le 10 août 2023 à 22:48, ajh-valmer a écrit : > > On Thursday 10 August 2023 21:01:15 didier gaumet wrote: >> Rappel: >> - Quand tu vois un signe $ en début de ligne, c'est le prompt d'un >> utilisateur ordinaire, ce sont des commandes à taper en utilisateur >> ordinaire >> - quand tu vois un dièse en début de ligne, c'est le prompt de root, ce >> sont des commandes à taper en tant que root : > > Pour ce premier paragraphe ci-dessus, tu me prends pour un super débutant. > Ça fait 20 ans que je pratique GNU/Linux et suis admin-sys sur un serveur, > et on ne peut pas tout connaître. > Avec toi, faut pas être susceptible du tout :-) > > (Que de lignes...) > Voyons la suite, le 2ème paragraphe : >> => BON , ENCORE PLUS SIMPLE, TAPE ÇA EN TANT QUE ROOT: >> # dpkg -l trinity-keyring >> si il est installé, comme c'est peut-être une vieille version (apt-key >> uniquement), tu l'enlèves: >> # dpkg -P trinity-keyring.deb >> ensuite, toujours en tant que root: >> # wget http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-keyring.deb >> # dpkg -i trinity-keyring.deb >> puis tu fais un apt update pour voir si tu as toujours le warning >> SI ÇA MARCHE, C'EST FINI >> SI ÇA MARCHE PAS TU FAIS ÇA EN TANT QUE ROOT: >> (pour bookworm, si tu as une autre version, par exemple buster, tu >> remplaces bookworm par buster) : > > Il aurait suffit d'écrire, tente les commandes de mon 1er mail en root > ou . > > La suite, le 3ème paragraphe : >> dans ton sources.list, tu remplaces les lignes : >> deb http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x >> bookworm main deps >> deb-src http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x >> bookworm main deps >> par les lignes: >> deb [signed-by=/usr/share/keyrings/trinity-keyring.gpg] >> http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x >> bookworm main deps >> deb-src [signed-by=/usr/share/keyrings/trinity-keyring.gpg] >> http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x >> bookworm main deps >> SI ÇA MARCHE, C'EST FINI >> SI ÇA MARCHE PAS TU FAIS ÇA EN TANT QUE ROOT: >> dans ton sources.list, tu remplaces maintenant les lignes : >> deb [signed-by=/usr/share/keyrings/trinity-keyring.gpg] >> http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x >> bookworm main deps >> deb-src [signed-by=/usr/share/keyrings/trinity-keyring.gpg] >> http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x >> bookworm main deps >> par les lignes: >> deb [signed-by=/usr/share/keyrings/trinity-archive-keyring.gpg] >> http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x >> bookworm main deps >> deb-src [signed-by=/usr/share/keyrings/trinity-archive-keyring.gpg] >> http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x >> bookworm main deps : > Il aurait suffit d'écrire : > Tente ces lignes dans sources.list : > deb [signed-by=/usr/share/keyrings/trinity-archive-keyring.gpg] > http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x > bookworm main deps > deb-src [signed-by=/usr/share/keyrings/trinity-archive-keyring.gpg] > http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x > (en diézant avant celles présentes si échec). > > Bon, allez, tu as rédigé une réponse très complète, qui prend du temps, > je t'en remercie, mais je ne suis pas optimiste sur la méthode... > Bonne soirée. Didier semble prendre le soin d’écrire non pas seulement pour toi mais aussi pour tous les débutants ou moins débutants qui apprécieront de le lire en train d’aider une personne qui rencontre, comme eux, une difficulté agaçante avec apt-key.
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 8 août 2023 à 09:30, benoit a écrit : > > Le lundi 7 août 2023 à 15:27, RogerT a écrit : > > >> Merci de cette confirmation ! >> J’avais découvert openbox dans un PSL et trouvé super le fait de partir de >> zéro et pouvoir tout configurer avec un fichier xml. > > > Je voudrais juste tempérer mon enthousiasme, justement à propos du xml… > Demander à des humains de travailler dans des fichiers xml, c'est de la > maltraitance de cerveau ! ;-) > Le xml, c’était moderne au siècle précédant… ;-) > C’est peut-être bien pour les machines(communiquer entre elles ou avec > des GUI comme Glade pour GTK, bien que ça occupe une place de dingue > par rapport aux données transmises), mais est-ce « human-readable » ? > Déjà, c’est pas agréable à lire, mais à rédiger à partir de rien… > Comme dirait Coluche : « Déjà à manger c'est pas bon, mais alors à > vomir… » ;-) > > -- > Benoît xml a *toujours* été lourdingue ! Aucun problème pour lire ou écrire du xml avec un interpréteur xml sans s’empêtrer les yeux dans des crochets et les enfants. Ou même, plus simple, avec un éditeur graphique de xml. Le truc important c’est de savoir quoi écrire. Je ne trouve pas d’API d’openbox. Ça existe ? Ou au moins un xsd pour écrire un fichier xml qui soit bien formé ? Il y a beaucoup d’exemples dans la doc, à commencer par : http://openbox.org/wiki/Help:Configuration Sais-tu la taille que peut prendre un très gros fichier rc.xml (qui semble être LE fichier) ?
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 7 août 2023 à 21:04, didier gaumet a écrit : > > Le 07/08/2023 à 16:48, RogerT a écrit : > >> A propos de X vs Wayland : >> X est très ancien. >> J’entends que wayland facilite la sécurisation du système. >> Mais peut-on sécuriser drastiquement X, pour arriver à ce que Wayland >> proposerait de plus ? >> J’ai été bloqué pour disposer d’un skype avec partage d’écran, j’ai du >> passer en wayland (je crois bien) pour y accéder. La version win de Skype >> restait plus complète (je crois). >> Que faut-il savoir sur X vs Wayland ? > > - Pour Skype, il y a des années que j'ai utilisé ça pour la dernière fois > donc je ne peux pas te dire si il y a un décalage de fonctionnalités entre > les versions Linux et Windows. > Par contre il y a une version web donc je suppose qu'elle est à jour et ça a > l'avantage de ne pas avoir besoin d'installer un client Parfois, le correspondant n’a que skype ou l’impose. Je ne l’ai plus utilisé depuis plus d’un an. Je note la version web qui doit certainement être complète. A essayer. Merci. > - pour l'aspect sécurisation de X11(Xorg), il semblerait qu'on ne puisse > atteindre le niveau de Wayland, quoi qu'on fasse, sans le réécrire. Ce serait un fil de discussion à part entière, mais peux-tu résumer ce qui cloche sur X11/Xorg où il y a risque de sécurité ? Sur quoi, exactement ? (Tu évoques une faille possible ci-dessous, sans décrire le type de faille) Et à partir de là, ça permettra de choisir une stratégie pour sécuriser l’utilisation de X11 (ou Wayland). C’est un peu flou pour moi. Je lis des choses pour mieux comprendre. Par exemple : https://en.m.wikipedia.org/wiki/Wayland_(protocol)#Differences_between_Wayland_and_X https://en.m.wikipedia.org/wiki/Windowing_system#Display_server Je vois à peu près l’architecture et comment le display manager procède mais je ne suis pas du tout habitué à me plonger là-dedans. Y a-t-il moyen d’utiliser un protocole de sécurité entre le display server et ses clients ?… > - pour X11 et Wayland, plutôt que de les opposer (vs), il serait peut-être > plus judicieux de voir le second comme le successeur du premier, pas son > ennemi. > Je n'ai pas une connaissance du sujet suffisante pour en parler donc je vais > juste évoquer les grandes lignes: en gros, de ce que je comprends, avant la > création de Wayland, il ne s'agissait pas de critiquer la qualité de la > conception X11, mais de se demander si cette conception était toujours > pertinente si longtemps après, alors que l'informatique en général et > l'écosystème linux ont tellement évolué. > Et la complexité de X11 (contrairement à ce qu'on pourrait croire, c'est > l'ancien X11 qui est plus complexe que le nouveau Wayland) ainsi que > l'ancienneté de son code font qu'il est de plus en plus difficile à maintenir > et n'est concrètement quasiment plus maintenu. > Donc, hypothèse, soit il risque de mourir lentement de sa belle mort, soit un > jour on verra apparaître une grosse faille de sécurité qui ne sera pas > corrigée et précipitera sa disparition assez vite. > Il semblerait qu'aujourd'hui les difficultés qu'on rencontrait sous Wayland > avec la télémaintenance RDP et ce genre de chose soient résolus, que le > fonctionnement général soit fiabilisé. > Avec Xwayland au-dessus de Wayland on peut normalement faire tourner > quasiment n'importe quelle appli X11 > => reste le problème des WM purement X11, qui ne sont pas compatibles Wayland > (dans le protocole Wayland, l'équivalent du WM c'est un compositeur Wayland > (le même programme peut être un WM et un compositeur Wayland) et ne peuvent > pas fonctionner sous X11 car leur rôle est déjà assumé par le compositeur > Wayland. Ceux qui veulent utiliser un WM purement X11 sont obligés de garder > X11. > => et si on ne souhaite pas fonctionner avec Wayland, quelle qu'en soit la > raison, aujourd'hui on peut sans souci continuer à utiliser X11. Merci pour ces infos. De ma pratique, je constate que je dois choisir X11 ou Wayland sur l’interface d’ouverture de session graphique. En même temps, je lis que : Debian ships Wayland as the default session for GNOME since version 10, released 6 July 2019.[84] Comment installer/utiliser XWayland ? J’ai trouvé ça : https://wayland.freedesktop.org/xserver.html Surtout, je ne sais pas dire si Wayland me suffit !? > - ça ne signifie pas non plus que Wayland ne va pas être remplacé par autre > chose dans les années qui viennent, comme PulseAudio est en train d'être > remplacé par Pipewire, par exemple, même si rien ne permet de privilégier > cette hypothèse à l'heure actuelle > > Voilà, j'espère ne pas en avoir trop tartiné, et surtout que mon message ne > va pas déclencher une nième stupide guerre de religion à la vi/emacs, > systemd/sysv, etc... :-) Au contraire. C’est instructif.
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 7 août 2023 à 16:20, Michel Verdier a écrit : > > Le 7 août 2023 didier gaumet a écrit : > >> De nos jours, avec les deux principaux (Gnome et Plasma, utilisables sous X11 >> et Wayland) je doute que ce soit possible d'utiliser Openbox vu que ce n'est >> pas un compositeur Wayland, et avec d'autres DE purement X11 (Xfce, LXQt, >> etc...) compte tenu de l'intégration grandissante de ces projets, je ne sais >> pas si c'est encore facilement possible (je le suppose mais je ne peux pas le >> garantir) > > Je pense que c'est toujours simple vu qu'il suffisait de changer une > ligne de conf. Mais je laisse quelqu'un qui a gnome le confirmer. > Par contre oui les anciens WM n'ont pas tous fait le virage vers > wayland. Mais on peut toujours rester sur X si on tient à son WM, dont > pour moi l'ergonomie l'emporte sur les gains de wayland. > A propos de X vs Wayland : X est très ancien. J’entends que wayland facilite la sécurisation du système. Mais peut-on sécuriser drastiquement X, pour arriver à ce que Wayland proposerait de plus ? J’ai été bloqué pour disposer d’un skype avec partage d’écran, j’ai du passer en wayland (je crois bien) pour y accéder. La version win de Skype restait plus complète (je crois). Que faut-il savoir sur X vs Wayland ?
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 7 août 2023 à 13:46, benoit a écrit : > Le lundi 7 août 2023 à 12:59, RogerT a écrit : > > >> >> >> >>>> Le 7 août 2023 à 12:22, didier gaumet a écrit : >>> Le 07/08/2023 à 10:44, RogerT a écrit : >>> [...] >>>> PS : openbox, WM très simple et entièrement paramétrable est-il toujours >>>> actif et surtout utilisable ? > Bien sût que openbox est tjs utilisable ! > Et ça déchire, tellement c'est configurable ! > > -- > Benoît Merci de cette confirmation ! J’avais découvert openbox dans un PSL et trouvé super le fait de partir de zéro et pouvoir tout configurer avec un fichier xml.
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 7 août 2023 à 12:22, didier gaumet a écrit : > Le 07/08/2023 à 10:44, RogerT a écrit : > [...] >> PS : openbox, WM très simple et entièrement paramétrable est-il toujours >> actif et surtout utilisable ? > > J'ai l'impression qu'il n'y a plus de développement depuis plusieurs années. > > De mémoire la dernière fois que je l'avais testé il me semble que sous Debian > lancé par gdm en tout cas, ça ne marchait plus très bien, contrairement à des > versions de Debian ultérieures (lesquelles et quand? j'ai oublié) > > Si ça t'intéresse tu trouveras empaquetés dans Debian plein de WM. Simplement > pour lever une éventuelle ambiguïté, de base, un WM ne fait que gérer des > fenêtres graphiques. des trucs aussi basiques qu'un menu (à fortiori > dynamique) ou une barre des tâches ne sont pas forcément fournis. Quant aux > icônes sur le bureau, c'était généralement une fonction dévolue à un > gestionnaire de fichiers lancé en arrière plan (spacefm a l'air de gérer > encore ce genre de trucs par exemple), ou à des petits utilitaires dont je > n'ai pas l'impression qu'ils soient encore disponibles) KDE et xfce l’utiliseraient : https://wiki.archlinux.org/title/Openbox Gnome et KDE sont cités : http://openbox.org/wiki/Main_Page Je lis trois modes : Openbox provides three menu options that will be in the Session Type menu when you are logging in, if they are available. The "GNOME/Openbox" option will only be present if you have GNOME installed, and the "KDE/Openbox" option will appear only if KDE is installed. Dans un DE Sans DE Sans login graphique
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 7 août 2023 à 10:11, didier gaumet a écrit : > > Le 06/08/2023 à 21:39, nicolas.patr...@gmail.com a écrit : > [...] >> Ça fait des années que j’en ai plein d'installés en même temps : KDE, GNOME, >> XFCE, > [...] >> Il n’y a pas de raison d’en installer un unique pour tous, on n’est pas dans >> Windows. > > - Oui, tu as tout-à-fait raison, on peut parfaitement avoir plusieurs DE > voire WM installés en même temps :-) > > - mais ça nécessite d'être conscient des problèmes que ça peut (et va) > apporter. > Or Roger a déjà passé pas mal de temps récemment à buter sur un problème > d'incompréhension du fonctionnement de Gnome, justement sur des problèmes > d'icônes de bureau, parce qu'il avait des scories de Xfce dans son install Sur un portable ancien, où un DE gnome avait initialement été installé, j’ai installé le DE xfce4 pour ménager la batterie en mobilité. Je n’ai eu aucune interférences visibles avec gnome. L’expérience a été plutôt inhabituelle et pas terrible seulement pour une question d’ergonomie. Peut-être certains d’entre vous ont une expérience d’incompatibilité entre deux DE et WM. PS : openbox, WM très simple et entièrement paramétrable est-il toujours actif et surtout utilisable ?
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 7 août 2023 à 10:11, didier gaumet a écrit : > Le 06/08/2023 à 21:39, nicolas.patr...@gmail.com a écrit : > [...] >> Ça fait des années que j’en ai plein d'installés en même temps : KDE, GNOME, >> XFCE, > [...] >> Il n’y a pas de raison d’en installer un unique pour tous, on n’est pas dans >> Windows. > > - Oui, tu as tout-à-fait raison, on peut parfaitement avoir plusieurs DE > voire WM installés en même temps :-) > > - mais ça nécessite d'être conscient des problèmes que ça peut (et va) > apporter. > Or Roger a déjà passé pas mal de temps récemment à buter sur un problème > d'incompréhension du fonctionnement de Gnome, justement sur des problèmes > d'icônes de bureau, parce qu'il avait des scories de Xfce dans son install > > - et à la lecture des messages précédents, le fonctionnement souhaité ici me > paraît principalement être celui de Mac OS X (encore moins ouvert que > windows), et la liberté de choix du DE/WM apportée par Linux me paraît vécue > ici comme une contrainte plus qu'une opportunité > > Le but n'étant pas de chercher une solution qui me satisfasse mais qui > satisfasse le demandeur, c'est ce qui m'a conduit à lui suggérer de ne pas > installer plusieurs DE simultanément. > Mais on peut bien sûr voir les choses autrement :-) > > PS: et puis Windows XP c'était super ouvert, je me souviens avoir trouvé la > doc correspondante et paramétré WindowMaker sous Cygwin/X pour que ce soit > mon interface à la place du standard windows, ça ne me rajeunit pas ;-)
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 6 août 2023 à 10:21, didier gaumet a écrit : > > Le 06/08/2023 à 00:30, RogerT a écrit : >>>> Le 5 août 2023 à 16:51, didier gaumet a écrit : >> [...] >> Le problème me semble être qu’on doit choisir un DE parmis plusieurs que >> l’on ne connaît pas et qui ne sont pas présentés à l’utilisateur nouveau de >> debian. Alors on se lance avec ce qui vient ! >> Rien de tout ça avec un serveur en CLI ! > > C'est l'idée que tu t'en fais mais si tu y réfléchis, ton serveur en CLI > offre un moyen d'interaction à son utilisateur (admin...) simplement > différent: le shell au lieu d'une interface graphique (qui s'appelle > Gnome-shell sous Gnome...). > Et par défaut sous Debian, le shell interactif c'est bash. Mais il y en a une > flopée d'autres disponibles (liste approximative, y en a peut-être qui > n'existent plus ou de nouveaux qui sont apparus): bash, dash, ksh, csh, tcsh, > zsh, etc... > Tu utilises bash par défaut mais tu pourrais utiliser un autre shell > interactif. > Et sous Debian, le shell non-interactif pour les scripts système c'est dash, > mais tu peux le remplacer (à tes risques et périls, par contre, encore plus > sur un serveur...) par un autre shell. > > Donc c'est pas aussi simple... Oui. Mais là on a dérivé. Le contexte c’est un utilisateur qui veut bien utiliser un poste/serveur debian pour utiliser un programme livré par mes soins, et qui veut qu’on lui dise quelle version de debian, quel shell, quel DE, quelles extensions utiliser (et aussi lui installer automatiquement, avec un outil d’automatisation, ou par remise d’un fichier au format .ova ou autre). M Pour qu’il puisse utiliser le programme, qui va d’ailleurs, une fois configuré par l’utilisateur, tourner tout seul. Le besoin c’est : stabilité. Et un minimum d’ergonomie pour accéder au programme (lanceur bureau/menu/touche Super). C’est tout. > > [...] >> Est-ce possible de juste coller un lanceur sur le bureau sans dépendance à : >> - paquet gnome-chrome-shell >> - extension GNOME Shell integration >> - extension DING >> - accès au réseau internet >> ? >> Autrement dit, comment transformer un bureau gnome ou KDE avec un tel >> lanceur ? > > En gros, je pense que ce que tu demandes c'est un mode de fonctionnement de > Gnome qui n'est pas l'un de ceux que Gnome préconise, mais dont Gnome te > garantisse la fiabilité. > Peut-être ma formulation est-elle volontairement un peu caricaturale mais > elle permet d'illustrer le dilemme: tu n'auras à mon sens pas le beurre et > l'argent du beurre. Je demande le strict minimum à une époque où un GUI qui permet de lancer un programme est dans mes habitudes depuis le Mac. > > - chez moi, désolé, en l'absence de connexion réseau, Gnome Classic > (extension DING) me montre les icônes de bureau. > (je viens de refaire le test: couper la connexion internet, sortir de la > session puis me connecter à une nouvelle session: aucun problème) > => donc non, les icônes de bureau Gnome apparaissent même sans réseau Merci pour ton test. Je vais en refaire un et voir pourquoi j’avais perdu les icônes de bureau au moment où j’avais aussi perdu mon lien internet. > > - KDE, Cinnamon, Xfce, te permettront la gestion des icônes de lancement > d'appli sur le bureau "à la Windows", LXQt te le permettra aussi mais de > manière plus litée (de mémoire) Je vais tous les tester ! Naturellement, je peux tous les installer et choisir le DE par le petit menu d’ouverture de session. Sans interférences. C’est bien ça ? > - pour la dépendance des icônes sur le bureau à une connexion réseau des > bureaux KDE, Cinnamon, Xfce, LXQt, faut que tu essaies mais je ne pense pas > que ça pose problème Ok. > > Bon courage :-) Merci. M Et merci pour ces échanges qui permettent d’y voir plus clair. Et peut-être aussi d’aider d’autres à y voir plus clair aussi !
Re: Retbleed en lançant Debian-12 et kernel panic
> Le 6 août 2023 à 12:35, nicolas.patr...@gmail.com a écrit : > > On 06/08/2023 10:25:41, didier gaumet wrote: > >> Tu as raison: apt accepte aussi la commande dist-upgrade en plus de >> full-upgrade >> (la page man d'apt ne documente que la commande full-upgrade et ne >> mentionne pas dist-upgrade) > > C’est parce que dist-upgrade disparaîtra un de ces jours, il est remplacé par > full-upgrade. > > nicolas patrois : J’ai récemment appris, et ainsi évité un accident en me fiant aux innombrables tutos simplistes et trompeurs, qu’il faut : 1/ se fier à la note de publication (release note) Je cherche la référence… pas facile. Il y a au moins : https://www.debian.org/News/2023/20230610 qui pointe vers : https://www.debian.org/releases/bookworm/installmanual Et cette page du manuel : https://www.debian.org/doc/manuals/debian-handbook/sect.dist-upgrade.fr.html (qui commence par tartiner le célèbre dist-upgrade… avant d’introduire full-upgrade, noyé au milieu de la page !) Finalement, la référence du 2/ ci-dessous semble être celle recherchée. J’ai en même temps démontré la difficulté à trouver facilement l’information nécessaire sur les sites debian.org Svp, corrigez mes références récapitulatives. 2/ se fier à la doc debian qui parle exclusivement de : # apt full-upgrade Ref : https://www.debian.org/releases/bookworm/amd64/release-notes/ch-upgrading.en.html#upgrading-full 3/ et demander à la liste quand on ne sait pas !
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 5 août 2023 à 16:51, didier gaumet a écrit : > Le 05/08/2023 à 15:11, RogerT a écrit : >> Merci. Je vais voir le xfce4 nouveau. Qui doit rester léger, j’imagine ou >> j’espère. > > Oui Xfce reste léger. > Par contre si tu veux avoir une expérience moins fruste avec Xfce, faut pas > juste installe le méta-paquet task-xfce-desktop, le plus simple c'est > d''installer en supplément toute la section xfce (je fais ça en interactif > avec aptitude) Oui, car mes expériences pour installer xfce4 sur des portables anciens avaient conduit à une expérience pas terrible. > [...] >> Avec une machine debian, j’ai l’impression qu’on peut s’appuyer sur gnome et >> KDE (recommandés lors de l’installation ?… à vérifier, ça fait longtemps que >> je n’ai pas installé debian de zéro) > > de mon point de vue, contrairement à d'autres distros (par exemple avec > Fedora quand je n'installe pas Gnome mais un autre DE j'ai un peu > l'impression d'être à poil), Debian cherche réellement à ne pas favoriser un > bureau plutôt qu'un autre, même si Gnome est chosi par défaut. Si on installe > un autre bureau, on a tout de suite un environnement à peu près fonctionnel, > après c'est plus une question de préférences de l'utilisateur Le problème me semble être qu’on doit choisir un DE parmis plusieurs que l’on ne connaît pas et qui ne sont pas présentés à l’utilisateur nouveau de debian. Alors on se lance avec ce qui vient ! Rien de tout ça avec un serveur en CLI ! > [...] >> Pré-requis : tel DE avec telle extension, ou tel autre DE avec telle >> extension. >> Ex : gnome et extension DING + accès internet, car sans ça aucune icône >> n’apparaît sur le bureau (! Dans mon cas perso ; ce qui me semble vraiment >> tordu et source de remontée de l’utilisateur surpris). > > me souviens plus mais et j'ai la flemme de tester mais je pense que tu peux > t'en tirer en réglant dans divers paramètres de na pas afficher les vignettes > réseau, de ne mettre sur le bureau les volumes réseau, etc... DING : « montrer les lecteurs reseau » : Non. Mais si pas de réseau, alors pas d’icônes quand même sur le bureau. Et l’utilisateur qui vient réclamer… >> Je parle de gnome sans même savoir comment fonctionnent les autres DE… ni >> s’il existe une spécification de référence minimale à laquelle chaque DE se >> conforme. > En gros (je peux me tromper) je crois que Freedesktop élabore maintenant les > standard après une période où KDE et Gnome faisaient leur truc chacun de son > côté, puis ont commencé à collaborer pour que les applis de l'un fonctionnent > bien sur le bureau conçu par l'autre. Très bonne idée. >> Est-ce que ce que j’ai écrit ci-dessus est vrai pour tous les DE ? >> Cad, est-ce que ce sera suffisant pour couvrir les cas d’utilisateurs >> *inconnus* et donc aussi le DE et les extensions ? > > Tu ne satisferas jamais tout le monde, y en a toujours qui râleront parce que > ceci ou cela. Me concernant, sur des PC je viserais une interface qui soit la > plus familière possible à des utilisateurs Win10/11 et sur des tablettes une > interface qui soit la plus familière possible à des utilisateurs Android. > Parce que ça représente le gros des troupes. > Si une politique BYOD a été mise en place dans le contexte considéré, les > utilisateurs qui souhaitent en bénéficier se chargent de faire en sort que > leur matériel/logiciel respecte les consignes de sécurité/productivité. > Sinon ils demandent quelques modifications qui sont appliquées si cela est > faisable dans le contexte mais globalement c'est à eux de s'adapter Je vois les choses plus simplement : - fixer des pré-requis : les DE et extensions admis - installer automatiquement un lanceur sur le bureau en plus de partout où habituellement installé (sauf si l’option pré-cochée est décochée) Ensuite, l’utilisateur se sert du programme qui se moque de la tronche du DE. PS : j’ai cette extension gnome (Minimize All) qui refuse de se mettre à jour et passe en erreur. Pas de souci avec les autres extensions. J’ai toujours eu (FF ESR) le message « Your native host connector do not support following APIs : v6. Probably you should upgrade native host connector or install plugins for missing APIs. Refer RO documentation for instructions ». Là, je trouve gnome-chrome-shell (sans rapport avec G Chrome), qui est déjà installé. Et tout en bas, je lis : https://wiki.gnome.org/action/show/Projects/GnomeShellIntegration/Installation Problem: You are getting information message about missing "v6" api. Resolution: You need to update gnome-browser-connector to at least version 42.0 Je lis : gnome-chrome-shell est renommé gnome-browser-connector. Etc. Bref. Je creuse avec journalctl -f « JS Error : extension minimizeall
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 5 août 2023 à 10:49, didier gaumet a écrit : > Le 04/08/2023 à 19:27, RogerT a écrit : > >> L’utilisateur ne veut rien gérer mais juste utiliser le logiciel livré. >> Et y accéder en un double-clic depuis son bureau. >> Il utilise le DE qu’on lui dit d’utiliser. >> xfce4 : je me ferais incendier car trop rustre. > > *éventuellement* tu peux y jeter de nouveau un coup d'oeil, la version 4.18 a > inauguré un gestionnaire de profils de panel, donc en gros en peut passer > d'un clic d'un bureau Xfce ordinaire à un truc plus organisé à la Windows ou > MacOS. Je n'utilise pas MacOS donc je ne peux pas en parler mais sur les deux > profils Windows, il en a un qui n'est pas franchement dépaysant pour un > utilisateur de Win7/8/10 Merci. Je vais voir le xfce4 nouveau. Qui doit rester léger, j’imagine ou j’espère. Note qu’on m’avait parlé d’openbox il y a quelques années. Très léger et entièrement configurable. Mais c’est juste un window manager. Et il ne serait plus supporté. Mais en fait si, inclus par ci par là, de ce que j’ai lu. L’idée de faire son DE soi-même m’avait plu, mais… >> Je n’ai pas essayé de propoyKDE ou Trinity dont tu disais qu’ils étaient >> agréables. > > - KDE est probablement le plus proche visuellement (et en termes de > fonctionnement et paramétrage) de Windows. Perso je n'utilise pas mais si je > devais installer un bureau linux pour un Windowsien qui a du mal avec autre > chose que Win7/8/10 (voire 11), je lui mettrais en priorité décroissante > Plasma(KDE), Cinnamon, Xfce(en mode panel Windows), Lxqt, Gnome. Mate j'ai > pas testé mais ça doit être entre Lxqt et Gnome. > > - Trinity, bien que je conçoive l'intérêt que ça puisse susciter chez > certains utilisateurs, personnellement je le déconseillerais: > ce n'est pas empaqueté par Debian, pour un DE ça veut dire que ça peut être > lourd à gérer pour les mise à jour de versions, entre autre > et surtout c'est un fork de KDE3 *et* Qt3. Qu'on soit attiré ou repoussé par > ce conservatisme est un autre débat mais en termes de capacité des membres du > projet Trinity à maintenir leur bureau TDE *et* Qt3 (plus maintenu upstream, > on en est à Qt6), sur le long terme j'ai de gros doutes, surtout quand on > voit que KDE a lâché du lest sur certaines choses qu'il n'avait plus les > ressources de maintenir (exemple: kdm) > Avec une machine debian, j’ai l’impression qu’on peut s’appuyer sur gnome et KDE (recommandés lors de l’installation ?… à vérifier, ça fait longtemps que je n’ai pas installé debian de zéro) ajh-valmer avait dit du bien de Trinity. Il saura te répondre. Dans le cas présent (moi ou un utilisateur quelconque), on connaît le DE utilisé (voire éventuellement recommandé). Dans le cas général, je peux écrire à destination de l’utilisateur inconnu : // Le programme sera accessible : - par le menu Applications - par la touche Super - en CLI avec truc-programme + touche entrée Pré-requis : tel DE avec telle extension, ou tel autre DE avec telle extension. Ex : gnome et extension DING + accès internet, car sans ça aucune icône n’apparaît sur le bureau (! Dans mon cas perso ; ce qui me semble vraiment tordu et source de remontée de l’utilisateur surpris). // Je parle de gnome sans même savoir comment fonctionnent les autres DE… ni s’il existe une spécification de référence minimale à laquelle chaque DE se conforme. Est-ce que ce que j’ai écrit ci-dessus est vrai pour tous les DE ? Cad, est-ce que ce sera suffisant pour couvrir les cas d’utilisateurs *inconnus* et donc aussi le DE et les extensions ?
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 4 août 2023 à 13:16, didier gaumet a écrit : > > Le 04/08/2023 à 12:52, didier gaumet a écrit : > >> et il y a des extensions dock pour Gnome (cherche avec le mot-clé dock): >> https://extensions.gnome.org/ > > je viens de tester Dash to Dock, facile à installer par un simple utilisateur > à partir du site web des extensions Gnome. > > quand une appli est lancée, tu peux l'épingler au dock, l'icône y est donc > présente en permanence (jusqu'à ce que tu désépingles) J’ai essayé Dash to Dock, mais ça colle un menu Applications déjà disponible, en permanence ou visible par survol du bord, à gauche (car j’ai mes icônes de programmes lancés en pied d’écran). Pour le type d’utilisateur auquel je pense, ou pour moi, qui avons beaucoup utilisé MacOS, ça n’est pas ergonomique. Une installation par le dev ou l’utilisateur -> le programme doit être immédiatement accessible à l’utilisateur par un lanceur sur son bureau (comme il le demande), et aussi par le menu Applications, la touche Super, et en CLI. Avec KDE ou Trinity, est-ce que le GUI se gère plus simplement qu’avec gnome ?… PS : Par ailleurs, je viens d’avoir une extension gnome (Minimiza All) dont la mise à jour a créé une erreur sans que je n’arrive à régler ce problème… c’est déjà arrivé avec Desktop Iconns NG/DING. C’est peut-être une erreur de l’extension qui va être corrigée par son auteur ?…
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 4 août 2023 à 12:53, didier gaumet a écrit : > > Le 04/08/2023 à 11:36, RogerT a écrit : > [...] >> En l’occurrence, l’utilisateur réclame une icône de lancement sur son bureau >> (tâche quotidienne). >> J’ai donc intégré cette demande en copiant le fichier .desktop dans >> /usr/share/applications/ et dans son ~/Desktop (DE : gnome) > [...]> Il reste possible d’utiliser des icônes sur un bureau. > > oui, mais: > - clairement (et fais passer le message diplomatiquement à ton utilisateur), > c'est de nos jours, une tâche *utilisateur* de créer des icônes sur le bureau > dans l'écosystème Linux, pas une tâche développeur ou administrateur. > - d'autre part, fais passer le message aussi, ton utilisateur doit savoir > choisir un environnement avec lequel il se sente à l'aise. Le paradigme de > Gnome aujourd'hui c'est une interface smartphone/tablette, même le paradigme > de Gnome-Classic c'est un bureau *sans*icônes* par défaut. Si l'utilisateur > veut des icônes dans Gnome, il doit être capable de se démerder tout seul ou > alors il choisit une autre DE, c'est pas difficile, je crois que quasiment > toutes les autres propositions en dehors de gnome facilitent plus ou moins la > création d'icônes d'applis sur le bureau (Xfce, Plasma ou Cinnamon plus que > LXQt, par exmple. Les autres je ne me souviens plus). > Faut pas confondre assistance utilisateur et assistanat utilisateurs :-) L’utilisateur ne veut rien gérer mais juste utiliser le logiciel livré. Et y accéder en un double-clic depuis son bureau. Il utilise le DE qu’on lui dit d’utiliser. xfce4 : je me ferais incendier car trop rustre. Je n’ai pas essayé de propoyKDE ou Trinity dont tu disais qu’ils étaient agréables. > >> Je ne connais pas sous gnome de lanceur/dock. Ça existe ? > [...] > je n'utilise jamais de dock (à part avec WindowMaker, et pas récemment) donc > je ne connais pas bien, mais de mémoire il y avait Cairo Dock (packagé dans > Debian si je me souviens bien): > https://glx-dock.org/ > et il y a des extensions dock pour Gnome (cherche avec le mot-clé dock): > https://extensions.gnome.org/ >
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 2 août 2023 à 13:18, didier gaumet a écrit :
>
> Le 02/08/2023 à 11:52, RogerT a écrit :
>
>> Pas vraiment.
>> Ce qui m’intéresse c’est que l’application truc soit globalement accessible
>> pour l’utilisateur : menu applications, touche Super, CLI. Et aussi sur son
>> bureau s’il le réclame
>> C’est le même fichier.
>
> ça n'a peut-être pas d'importance pour toi mais un lanceur d'application sur
> le bureau ("icône"), créé par un application GUI de création d'icône sur un
> bureau telle que celles que tu as déjà évoquées, bien qu'étant un fichier
> .desktop, ne contiendra à mon sens pas toutes les informations souhaitables
> pour un fichier .desktop générique, apte à figurer aussi dans un menu (entre
> autres, de mémoire, mais y a peut-être d'autres choses, la catégorie, les
> traductions, etc...).
Le fichier .desktop me semble devoir porter les infos nécessaires au lancement
de l’application visée.
Ensuite, on en fait ce qu’on veut.
De ce que j’ai fait étudié.
>> Pas exactement car le développeur propose (via son programme d’installation)
>> d’installer ou non une icône de lancement sur le bureau. De plus, ce
>> programme peut solliciter un rôle d’admin (la commande sudo doit être
>> incluse).
>
> pour du développement Windows ou MacOS je ne sais pas quelles sont les
> pratiques actuelles mais pour du développement Linux, on ne propose pas/plus,
> je crois, d'îcône sur le bureau. On en revient à la nuance précédente: le
> développeur fournit un fichier .desktop (qui va principalement servir à
> l'intégration de l'app dans le menu) et si l'utilisateur veut une icône sur
> son bureau, il la crée (par copie de fichier .desktop ou utilisation d'un
> outil ou d'une option de son bureau)
>
> - les droits: (j'y connais pas grand chose, enfin encore moins que ce qui
> précède) pour le côté admin, du pur GUI ça passe par une conception d'appli
> intégrant Polkit, pour du CLI a priori tu avais vu (je crois) que ça passait
> en utilisant sudo dans le terminal, ce qui nécessite que l'utilisateur fasse
> partie du groupe sudo (sous Debian, parfois wheel ailleurs). Donc si ça doit
> fonctionner pour des utilisateurs sans droits particuliers, faut peut-être
> une solution Polkit.
En l’occurrence, l’utilisateur réclame une icône de lancement sur son bureau
(tâche quotidienne).
J’ai donc intégré cette demande en copiant le fichier .desktop dans
/usr/share/applications/ et dans son ~/Desktop (DE : gnome)
Le programme réclame les droits sudo qui sollicite le pwd de l’utilisateur qui
est dans ce groupe.
>
>> Je parle de mes lanceurs dont l’installation de l’une aurait pu faire
>> planter ma session graphique. Je voudrais savoir la manière dont on procède
>> par CLI ou GUI sur debian gnome|KDE|Trinity|etc. sans tout casser.
>
> pour créer non pas *le* fichier .desktop mais une icône de bureau pour lancer
> l'app (un fichier .desktop aussi), soit copie soit outil généralement propre
> au DE.
> Or sous Gnome, même en version Gnome Classic, la métaphore privilégiée par
> l'éditeur ne comprend plus les icônes de bureau, donc copie.
Il reste possible d’utiliser des icônes sur un bureau.
Je ne connais pas sous gnome de lanceur/dock. Ça existe ?
>> Le lieu de référence du lanceur est le paquet d’installation. Le lanceur est
>> installé dans /usr/share/applications (donc pour tous utilisateurs).
>> Éventuellement dans le seule répertoire de l’utilisateur.
>> Je ne maîtrise pas les installateurs.
>> Snap m’a surtout causé des soucis, faute de l’avoir étudié.
>> J’utilise un script maison d’installation. J’ai juste besoin de connaître la
>> spécification à respecter et les commandes usuelles qui peuvent remplacer
>> des cp et autres commandes.
>
> Pour relativiser tout ce que j'ai dit jusqu'à présent, perso, je ne suis pas
> qualifié pour te répondre, simplement je pense et ce n'est qu'une opinion,
> que ce serait peut-être plus simple et efficace pour toi d'étudier une
> procédure de déploiement fiable dans une variété de cas, passant donc par un
> empaquetage Appimage/Flatpak/Snap/deb.
Snap m’a pris la tête une fois.
Je lis que Appimage est assez facile à utiliser mais requiert des réglages fins
pour fonctionner sur toutes les distributions.
Dans mon cas de figure, pour un utilisateur ou pour moi, c’est très simple : un
exécutable fourni (qui dépend juste de libc6) et une configuration pour avoir
un accès au programme (menu Applications, bureau, touche Super). Il y a trop
peu de dépendances pour s’embarquer dans un système de paquetage.
Tout au plus, pour me rafraîchir sur debian, créer un paquet .deb .
>
> Mais je ne suis pas expérimenté en la matière et je peux me tromper, hein,
> donc j'espère que quelqu'un ayant une expérience au moins minimale du sujet
> se manifestera pour t'aider :-)
>
Ce serait super !
Merci.
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 2 août 2023 à 10:19, didier gaumet a écrit : > > Le 01/08/2023 à 22:36, RogerT a écrit : > >> Un IDE ? >> Alors, soit c’est un simple éditeur de texte. >> Soit il appelle des commandes comme celles du paquet desktop-file-utils que >> je viens de découvrir pour faciliter leur mise en oeuvre ? >> Sur ton/vos DE gnome ou KDE ou Trinity, y a-t-il un menu contextuel pour >> transformer un exécutable en fichier .desktop via une panneau de >> configuration et la déployer sur le système ? > > Bonjour, > > je réponds un peu en vrac parce que j'ai relu trop vite tes messages, donc ma > réponse n'est pas exhaustive et peut comporter des erreurs et approximations. > > - d'abord le fait que tu crois la commande desktop-file-edit dépréciée, ça ne > me semble pas être le cas: > […] La commande desktop-file-edit fonctionne. Je constate que le site n’en parle pas. > - ensuite je pense que tu fais la confusion entre "icône (de lancement > d'application) sur le bureau" et fichier de type .desktop. Un fichier > .desktop peut servir d'icône de bureau mais aussi d'entrée de menu, si j'ai > bien suivi, avec toutes les traductions locales nécessaires. Pas vraiment. Ce qui m’intéresse c’est que l’application truc soit globalement accessible pour l’utilisateur : menu applications, touche Super, CLI. Et aussi sur son bureau s’il le réclame C’est le même fichier. > - donc pour moi, la création d'une icône de bureau sur son propre bureau > c'est une tâche utilisateur, mais la création d'un fichier .desktop c'est une > tâche de développeur, plus précisément d'empaqueteur (fin de développement, > conditionnement pour déploiement). Je n'utilise peut-être pas les termes > consacrés dans le domaine et peut-être que les pros du secteur ont une vision > différente, c'est ma vision des choses. Pas exactement car le développeur propose (via son programme d’installation) d’installer ou non une icône de lancement sur le bureau. De plus, ce programme peut solliciter un rôle d’admin (la commande sudo doit être incluse). > > - j'ai l'impression que malgré un titre d'enfilade peu évocateur on est > revenu à ton ancienne problématique (utilisateur MacOS d'une Debian > virtualisée à qui tu cherches à faciliter l'installation par-lui-même d'une > de tes applis). Pas exactement. Je parle de mes lanceurs dont l’installation de l’une aurait pu faire planter ma session graphique. Je voudrais savoir la manière dont on procède par CLI ou GUI sur debian gnome|KDE|Trinity|etc. sans tout casser. > Je n'ai pas testé ça moi-même mais peut-être pourrais-tu essayer (d'abord > chez toi) de mettre ton appli (avec les éventuelles modifs nécessaires à ce > fonctionnement local/portable) avec son fichier .desktop dans un répertoire > ~/.local/share/applications/MON_APPLI et de simplement copier le fichier > .desktop présent dans ce répertoire vers ton ~/Desktop? Le lieu de référence du lanceur est le paquet d’installation. Le lanceur est installé dans /usr/share/applications (donc pour tous utilisateurs). Éventuellement dans le seule répertoire de l’utilisateur. > - parce que sinon, je ne vois pas d'alternative autre que la création d'un > paquet portable Appimage (sans installation, le plus simple, faut juste que > ce soit exécutabe), Flatpak/Snap (installer en GUI via Gnome-software ou > Discover) ou d'un paquet traditionnel .deb (qu'on peut installer en GUI par > Gnome-software, Gnome-packageit ou Synaptic Je ne maîtrise pas les installateurs. Snap m’a surtout causé des soucis, faute de l’avoir étudié. J’utilise un script maison d’installation. J’ai juste besoin de connaître la spécification à respecter et les commandes usuelles qui peuvent remplacer des cp et autres commandes. Merci.
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
> Le 1 août 2023 à 20:53, didier gaumet a écrit : > > Le 01/08/2023 à 17:39, RogerT a écrit : >> En résumé de mon précédent long exposé : >> 1/ avec debian 11 (gnome) : >> Quel est la manière usuelle (en CLI et via le GUI) de créer une desktop icon >> et de la déployer à partir du fichier exécutable ? >> (En CLI, j’ai trouvé desktop-file-utils mais trouvé aucun moyen via le GUI) >> Est-ce différent avec d’autres DE ? > > GUI: pure supposition, comme c'est un boulot de fin de développement d'appli, > un IDE permettrait peut-être de le faire? Un IDE ? Alors, soit c’est un simple éditeur de texte. Soit il appelle des commandes comme celles du paquet desktop-file-utils que je viens de découvrir pour faciliter leur mise en oeuvre ? Sur ton/vos DE gnome ou KDE ou Trinity, y a-t-il un menu contextuel pour transformer un exécutable en fichier .desktop via une panneau de configuration et la déployer sur le système ?
Re: Plantage suite à ajout de desktop icon dans /usr/share/applications/
En résumé de mon précédent long exposé : 1/ avec debian 11 (gnome) : Quel est la manière usuelle (en CLI et via le GUI) de créer une desktop icon et de la déployer à partir du fichier exécutable ? (En CLI, j’ai trouvé desktop-file-utils mais trouvé aucun moyen via le GUI) Est-ce différent avec d’autres DE ? 2/ pensez-vous que ma manip pourtant ordinaire (sudo cp truc.desktop /usr/share/applications/ ) ait seule pu causer le plantage décrit (les petits diamants blancs en haut à gauche d’un écran subitement devenu noir) ? Merci. > Le 31 juil. 2023 à 22:59, roger.tar...@free.fr a écrit : > > > PS > > En fouillant, je découvre un paquet > https://www.freedesktop.org/wiki/Software/desktop-file-utils/ qui est > installé apparemment d'office sur (ma) debian 11. > > Il propose 3 fonctions : > desktop-file-validate > desktop-file-install > update-desktop-database > > Confirmez-vous que c'est "l'outil de référence" debian ? > > Par ailleurs, je lis ici qu'il existe gnome-desktop-item-edit (inexistant sur > ma debian 11 gnome) > https://www.xmodulo.com/create-desktop-shortcut-launcher-linux.html > > Cet autre article explique un procédé entièrement manuel (comme je faisais) : > https://cleberjamaral.hashnode.dev/how-to-create-a-desktop-launcher-on-debian > > Enfin, je n'ai pas "Create Launcher" via un clic droit sur un fichier > d'exécutable, comme je le vois sur divers forums. > Est-ce normal sur une debian 11 installée avec DE gnome ? > > > > Détail de mon exploration de 4 commandes de desktop-file-utils > = > > En CLI, avec desktop-file TAB, je peux faire apparaître : > desktop-file-edit -> bizarre, pas dans la doc > desktop-file-install > desktop-file-validate > > > 1/ Avec desktop-file-edit > $ desktop-file-edit ~/Desktop/test.desktop > Error on file "/home/test/Desktop/test.desktop": No such file or directory > > $ touch ~/Desktop/test.desktop > > $ desktop-file-edit ~/Desktop/test.desktop > /home/test/Desktop/test.desktop: error: required key "Type" in group "Desktop > Entry" is not present > /home/test/Desktop/test.desktop: error: required key "Name" in group "Desktop > Entry" is not present > Error on file "/home/test/Desktop/test.desktop": Failed to validate the > created desktop file > > ...Après recherche, il faut spécifier comme suit : > desktop-file-edit \ > --set-name="GIMP on LXD" \ > --set-comment="GIMP 2.8 with custom plugins" \ > --set-icon="/home/vivek/backups/desktop-entries/gimp.png" \ > --add-category="Graphics;2DGraphics;RasterGraphics;GTK;" \ > --set-key="Exec" --set-value="/snap/bin/lxc exec gui-1804-gimp -- sudo > --login --user vivek /usr/bin/gimp-2.8 %U" \ > --set-key="Type" --set-value="Application" \ > gimp-2.8.desktop > > https://www.cyberciti.biz/howto/how-to-install-and-edit-desktop-files-on-linux-desktop-entries/ > > Mais cette commande, valide, n'est plus mise en avant par la doc. > D'ailleurs : > $ dlocate -lsbin desktop-file-utils > /usr/bin/desktop-file-install > /usr/bin/desktop-file-validate > /usr/bin/update-desktop-database > et : > ~$ dpkg -L desktop-file-utils | grep /usr/bin/ > /usr/bin/desktop-file-install > /usr/bin/desktop-file-validate > /usr/bin/update-desktop-database > /usr/bin/desktop-file-edit > > > 2/ Avec desktop-file-install > $ sudo desktop-file-install ~/Desktop/test.desktop > (OK ; code 0) > > > 3/ Avec desktop-file-validate : > La commande indique ce qui cloche, par exemple : >warning: key "Encoding" in group "Desktop Entry" is deprecated >warning: value "Application;Network;" for key "Categories" in group > "Desktop Entry" contains a deprecated value "Application" > Pratique ! > > > 4/ Avec update-desktop-database > man update-desktop-database dit : "Build cache database of MIME types handled > by desktop files" > ~$ sudo update-desktop-database -v > ... > File "/usr/share/applications/remmina-gnome.desktop" lacks MimeType key > > Notez que ce sont les icônes créées par debian 11... > > Y a-t-il lieu de corriger ça ? Si oui, comment ? > > = >
Plantage suite à ajout de desktop icon dans /usr/share/applications/
Bonjour, Sous debian 11 et bureau gnome, je crée une desktop icon (~/Desktop). Puis je l’ajoute au repertoire habituel (/user/share/applications/) boum ! Quelques diamants apparaissent en haut à droite d’un écran noir… planté ! Ctrl Alt F2 à F6 me propose une console. Ctrl Alt F1 me propose un accueil graphique, mais impossible d’ouvrir une session. Je suis renvoyé au menu graphique, en boucle. Je redémarre. Je peux alors ouvrir une session. Le répertoire utilisé pour que le programme apparaisse au menu Applications est : /usr/share/applications J’ai fait sudo cp (du bureau vers ce répertoire) puisqu’une simple copie est refusée. Et c’est là que ça a planté. Quelles causes possibles ? J’ai trouvé Categories=Application;Programming; alors qu’aucune catégorie Application n’existe. Une scorie oubliée. Pensez-vous que ça ait pu seul causer le plantage ? J’ai une autre desktop icon avec Application qui n’a pas fait planter la machine et fonctionne actuellement bien. Comment expliquez-vous l’impossibilité d’ouvrir une session graphique sans devoir redémarrer ? Est-ce que je fais une mauvaise manip pour ajouter une application au système (accès par menu Applications et par la Touche recherche) ? Merci.
Re: Messagerie (accédée en IMAP) vidée sans cause identifiée
> Le 29 juil. 2023 à 11:00, didier gaumet a écrit : > > Le 28/07/2023 à 23:32, RogerT a écrit : > [...] >> Duplicity (https://duplicity.gitlab.io/ <https://duplicity.gitlab.io/> , >> normalement) >> Il gère le protocole IMAP. >> Merci. > > Avant de me remercier, teste un peu si c'est opérationnel, perso j'ai pas > utilisé du tout, je peux juste dire que sur le papier c'est intéressant Pour une fois, tu ne nous adressais pas un « je suis une tanche en … » ! On va quand même vérifier… Merci (de nous avoir alertés). >> Ça soulève une question : >> Vaut-il mieux : >> - sauvegarder les objets nouveaux dans la BD accessible par tel protocole >> - sauvegarder les blocs changés depuis la dernière sauvegarde > [...] > > Alors, j'ai juste regardé en diagonale la doc (dernière en date: 2021) du > protocole IMAP ici: > https://datatracker.ietf.org/doc/html/rfc9051 > > De ce que je comprends (peut-être totalement de travers), si tu veux > sauvegarder ce qu'héberge ton FAI en IMAP, Duplicity n'est pas différent des > outils IMAP dont on a parlé précédemment en ce sens que l'utilisateur a accès > aux "unités de base" IMAP sur le serveur du FAI, unités de base que sont les > messages. L'utilisateur n'a donc aucun accès à la couche de stockage de ces > messages sur le serveur constituée de fichiers à plat ou de base de données, > suivant le logiciel employé sur le serveur. > Donc en caricaturant tout ça pourrait être équivalent à un MUA IMAP en > non-interactif > > Tu as raison. Accès seulement aux objets représentant des e-mails. Comment je décrirais ça ? Un outil de sauvegarde qui manipule les objets de la base de messages que l’on veut sauvegarder, selon le protocole IMAP. Et qui sait comparer ce qu’il découvre à chaque sauvegarde avec la dernière copie qu’il gère/maintient. Je vais supposer qu’il gère aussi toutes les informations autour d’un objet e-mail (Re/Tr et De/A/Cc/Cci, texte brut/html, entête, fichiers joints et tyoes MIME …) si c’est défini par ce protocole. Est-ce le cas ? Se pose aussi la question de savoir distinguer les e-mails volontairement supprimés/déplacés dans la base en service de ceux supprimés par accident. La réponse me semble être : la sauvegarde incrémentielle permet de revenir à la version souhaitée en cas d’accident. Pour ça, il faut alors que l’utilisateur puisse restaurer un ensemble d’e-mails dans la base active. Et que l’interface utilisateur pour faire ça soit agréable et efficace (navigation dans les versions sauvegardées). Qui a de l’expérience sur les outils discutés, par rapport à ce critère (facilité et efficacité de la navigation/restauration des e-mails pour l’utilisateur) ?
Re: Messagerie (accédée en IMAP) vidée sans cause identifiée
> Le 28 juil. 2023 à 21:03, didier gaumet a écrit : > > Le 21/07/2023 à 01:26, roger.tar...@free.fr a écrit : > [...] >> Pour l'avenir, existe-t-il une solution pour sauvegarder simplement et >> automatiquement tous les e-mails échangés d'une messagerie gratuite (yahoo, >> orange, ...) avec des clients configurés en IMAP ? > [...] > > En supplément des outils IMAP qui t'ont été suggérées par différents > intervenants, un autre file de discussion sur cette liste m'a amené à > reconsulter la doc de Duplicity (outil CLI de sauvegarde locale ou réseau) et > je me suis aperçu qu'il semble capable de sauvegarder/restaurer directement: > - depuis un serveur IMAP > - vers un serveur IMAP > - entre serveurs IMAP > même avec de l'authentification OAuth > > Duplicity (https://duplicity.gitlab.io/ , normalement) Il gère le protocole IMAP. Merci. Ça soulève une question : Vaut-il mieux : - sauvegarder les objets nouveaux dans la BD accessible par tel protocole - sauvegarder les blocs changés depuis la dernière sauvegarde - autre chose, car je ne sais pas tout, d’où la forme de la question (ça nécessite de bien connaître le quoi et comment c’est implémenté ; et notamment les mécanismes de « ghost » ou pas pour sauvegarder un système à chaud , par exemple pour sauvegarder un win avec un agent Acronis - je sais qu’on peut faire des instantanés avec linux, ce qui répond au même besoin - rappel : je réfléchis à voix haute…) Je lis que Duplicity utilise rsync pour sauvegarder la partie changée d’un fichier et rdiff pour calculer les deltas : https://duplicity.gitlab.io/features.html Sur les protocoles : In theory many protocols for connecting to a file server could be supported; so far Amazon S3 Backblaze B2 DropBox ftp GIO Google Docs Google Drive HSI Hubic IMAP local filesystem Mega.co Microsoft Azure Microsoft Onedrive par2 Rackspace Cloudfiles rclone rsync Skylabel ssh/scp SwiftStack Tahoe-LAFS WebDAV have been written. Currently duplicity supports deleted files, full unix permissions, directories, and symbolic links, fifos, and device files, but not hard links. https://duplicity.gitlab.io/ rdiff You can use rdiff to update files, much like rsync does. However, unlike rsync, rdiff puts you in control. There are three steps to updating a file: signature, delta, and patch. https://linux.die.net/man/1/rdiff Enfin, ça soulève la question de la multiplicité des outils. Ou non. Ce serait bien d’avoir un outil qui couvre tous les modes et protocoles requis. Et tant pis s’il faut un outil comme Duplicity qui serait le meilleur pour sauvegarder les bases de messages en IMAP. Débat à suivre…
Re: Intérêt d’un « NAS » commercial ou open source ?
> Le 28 juil. 2023 à 11:03, didier gaumet a écrit : > > Le 28/07/2023 à 03:56, RogerT a écrit : > >> Merci beaucoup pour ton retour très détaillé et illustré. Tu as vraiment >> franchi le pas ! >> Je comprends pourquoi un utilisateur lambda (perso, prof libérale, etc.) >> préférera acheter un NAS commercial. Il le branche, installe un agent sur >> son PC et peut immédiatement gérer ses sauvegardes et même en envoyer une >> copie chiffrée sur un serveur non sûr. Les non informaticiens que j'ai vu >> l'utiliser font des choses simples (partage de fichiers, site web). >> Il me reste une double question, du point de vue d'un admin système debian >> de niveau moyen : >> 1/ Quel intérêt y a-t-il à avoir un NAS (un serveur avec du stockage >> attaché, en RAID) chez soi; si on peut héberger l'équivalent chez son >> hébergeur préféré ? (les services réseaux, dont la sauvegarde) > > Je pense que ça dépend des besoins qu'on a identifiés lors de l'étude de > ceux-ci, donc que c'est plus souvent une réflexion stratégique d'entreprise > qu'une réflexion personnelle. > > L'un des points qui me vient à l'esprit, c'est la dépendance: > > - le fournisseur est-il fiable? Déjà, quelle est son honnêteté? Risque-t-il > de voler ou laisser voler par autrui les données de l'utilisateur (pour > compte propre ou celui de sa clientèle) (entre autres, propriété > intellectuelle, vie privée, etc...) ? quel est son propre plan de sauvegarde > (à lui, l'hébergeur, parce lui aussi peut être victime d'un problème > informatique ou d'un sinistre)? quelles garanties contractuelles offre-t-il > de ne pas perdre les données de l'utilisateur? etc... > On s’en moque si la sauvegarde est en plusieurs endroits. > L'un des autres point c'est la disponibilité des sauvegardes > > - L'utilisateur a-t-il besoin de restauration très rapide? auquel cas la > disponibilité et rapidité de l'hébergeur et celles du FAI de l'utilisateur > permettront-elles une vitesse de restauration comparable à celles d'une > restauration de sauvegarde sur site? etc... > > les sauvegardes sur-et-hors-site me paraissent ne pas répondre tout-à-fait > aux mêmes besoins et pouvoir être complémentaires Une, voire deux chez deux hébergeurs. Et une en local, immédiatement disponible. Toutes chiffrées. Aussi, la taille des fichiers indispensables à l’activité est assez faible. Et on ne va quand même pas attendre de restaurer une VM ou un ordi complet. Il faut absolument dissocier ce qui relève de la configuration du poste de travail (avoir la sauvegarde ou un poste de rechange sous la main) et ce qui relève des fichiers pour faire son métier (sauvegardes multiples). Également, si les utilisateurs utilisent des terminaux ou des clients légers, on peut mettre du soin sur le serveur (réplication+ sauvegarde). Du coup, si vous adhérez à cette vision, il suffit de choisir le bon outil qui va sauvegarder et restaurer les fichiers utiles au travail à partir d’une des 3 copies de sauvegarde disponibles. D’accord ? > > Je sais que ça a l'air stupide, mais commencer par se demander "des > sauvegardes? pour quoi faire (me prémunir de quels risques)?" pourrait être > avantageux Oui, bien sûr. Mais c’est toujours la même chose. Voir article de Sébastien (indispensable, utile, inutile - ou environ). Si on choisit le bon outil, il doit amener à définir ces priorités. > >> 2/ Qu'est-ce que permet de faire un NAS commercial (qnap, syno) qu'on ne >> peut pas faire simplement avec debian ? >> Sauf erreur, avec debian on peut gérer *tous* les services réseaux. >> Et en plus des outils ordinaire, on peut écrire ou utiliser un programme de >> surveillance d'infrastructure, avec alerte et réparation automatique, qui me >> semble plus simple et adaptable qu'un GUI où il faut passer de panneaux en >> panneaux de la manière prévue par le fabricant-éditeur. > > L'appréciation personnelle de ce qui est "simple" est différente de celle > d'autrui: si tu te sens à l'aise en administration d'une Debian ce n'est pas > forcément le cas de tout le monde, et d'aucuns pourraient avoir une opinion > inverse: Synology c'est simple et Debian, non. > > D'autre part tu pourrais être amené à changer d'avis sur la simplicité > d'administration d'une Debian comparée à Synology si tu étais confronté à une > situation temporairement que tu n'avais pas envisagée de cette manière > (exemple ton récent problème de DNS) et en l'occurrence tu pourrais > (supposition, je n'ai jamais utilisé ces solutions) regretter la simplicité > d'emploi Synology, malgré la perte de contrôle que tu perçois par rapport à > une solution Debian Pour l’instant, j’ai observé et vécu la contrainte d’at
Re: Intérêt d’un « NAS » commercial ou open source ?
Le 7/27/23 à 23:24, Sébastien Dinot a écrit : Bonsoir, Sauf erreur de ma part, la question a déjà été débattue plusieurs fois ici sous une perspective ou une autre. On doit trouver trace des échanges dans les archives. Bonsoir, Oui, mais ça doit faire très longtemps. Voici mon petit retour d'expérience personnelle. Au boulot, j'utilise depuis une douzaine d'années des NAS Synology et j'en suis très satisfait. Le matériel se révèle fiable, les NAS sont compacts et se font oublier, l'interface Web est plutôt agréable et bien fichue, le système DSM est maintenu pendant au moins 7 ans (parfois plus, tout dépend de la capacité du matériel – CPU et RAM – à satisfaire les besoins des nouvelles versions de DSM). Bien que le système GNU/Linux qui se cache sous DSM soit assez exotique et bricolé, on peut faire des choses avec, d'où l'existence de paquets communautaires en plus des paquets proposés par Synology. J'ai aussi scripté quelques actions. Bref, ces NAS ont presque tout pour plaire sauf que : * à la maison, je privilégie les systèmes libres ; * à cout égal, on peut monter un NAS bien plus performant soi-même. Le seul hic est que l'offre en boitiers compacts conçus pour les NAS est anémique, à moins qu'on ait la folie des grandeurs et qu'on vise un NAS doté de 8 ou 12 disques. Mais là, le boitier commence à être sacrément volumineux et à être gourmand en énergie. Lorsque j'avais effectué mes recherches, le boitier le plus intéressant que j'avais trouvé était le JONSBO N2 : https://www.jonsbo.com/en/products/N2Black.html Malheureusement, renseignement pris auprès de mes fournisseurs habituels et de l'importateur de la marque JONSBO en France, il s'est avéré que ce boitier n'était pas disponible en France. Ne voulant pas commander sur Amazon, j'ai fait une croix sur ce boitier, d'autant plus qu'à la réflexion, il m'orientait vers une solution disproportionnée au regard de mes maigres besoins. Considérant mon cahier des charges, je suis in fine parti sur une carte Odroid H3 de Hardkernel : https://www.hardkernel.com/shop/odroid-h3/ Et je me suis fait mon NAS : https://www.palabritudes.net/2023/05/10/nas-diy-odroid-h3.html Au départ, j'ai opté pour un boitier low cost vendu par Hardkernel, mais je n'étais pas satisfait. J'ai donc décidé de créer mon propre boitier : https://www.palabritudes.net/2023/06/18/boitier-decoupe-laser-nas-diy.html Restait la question du système. J'aurais tout à fait pu me contenter d'un système Debian nu, mais opter pour TrueNAS était pour moi l'occasion de me frotter à FreeBSD – dont j'ignore tout – et de voir ce que valait un OS libre pour NAS par rapport à des systèmes tels que DSM. Mon bilan actuel est que : * TrueNAS propose une interface web agréable qui répond au besoin, mais qui reste très classique au regard du « WebOS » qu'est DSM. * FreeBSD, c'est peut-être un Unix, mais c'est un autre monde quand on n'a connu que GNU/Linux ! * Je ne regrette absolument pas d'avoir monté mon propre NAS, car j'en tire une petite fierté et j'ai pas mal appris au passage (y compris en concevant mon propre boitier). Mais il est clair que je ne conseillerai pas cette voie à mon entourage. Il faut être un libriste teinté d'admin. sys. pour y trouver de la satisfaction. Le caractère clé en main et cadré des produits propriétaires est bien plus séduisant pour un quidam qui voudrait juste un espace de stockage partagé (c'est une situation assez classique). Sébastien Merci beaucoup pour ton retour très détaillé et illustré. Tu as vraiment franchi le pas ! Je comprends pourquoi un utilisateur lambda (perso, prof libérale, etc.) préférera acheter un NAS commercial. Il le branche, installe un agent sur son PC et peut immédiatement gérer ses sauvegardes et même en envoyer une copie chiffrée sur un serveur non sûr. Les non informaticiens que j'ai vu l'utiliser font des choses simples (partage de fichiers, site web). Il me reste une double question, du point de vue d'un admin système debian de niveau moyen : 1/ Quel intérêt y a-t-il à avoir un NAS (un serveur avec du stockage attaché, en RAID) chez soi; si on peut héberger l'équivalent chez son hébergeur préféré ? (les services réseaux, dont la sauvegarde) 2/ Qu'est-ce que permet de faire un NAS commercial (qnap, syno) qu'on ne peut pas faire simplement avec debian ? Sauf erreur, avec debian on peut gérer *tous* les services réseaux. Et en plus des outils ordinaire, on peut écrire ou utiliser un programme de surveillance d'infrastructure, avec alerte et réparation automatique, qui me semble plus simple et adaptable qu'un GUI où il faut passer de panneaux en panneaux de la manière prévue par le fabricant-éditeur. PS : j'utilise un client Thunderbird où mon texte apparaît beaucoup plus gros que le tien ; on verra ce que ça donne une fois envoyé...
Re: Intérêt d’un « NAS » commercial ou open source ?
> Le 27 juil. 2023 à 15:00, ptilou a écrit : > > Bonjour, > >> Le jeudi 27 juillet 2023 à 11:20:05 UTC+2, RogerT a écrit : >> Bonjour, >> >> J’ai eu l’occasion de manipuler quelques « NAS » commerciaux (un serveur >> avec une baie…). Dont qnap et synology (basé sur debian). >> >> Le matériel neuf fait bonne figure. >> >> Le GUI est censé simplifier la vie de l’administrateur, mais de mon >> expérience la lui complique et le ralentit, l’empêche de gérer vite et bien >> en CLI. Et en particulier de faire des scripts et de personnaliser le >> système, en partie verrouillé. Ou alors il faut passer par des panneaux >> lents et contraignants. >> Sans compter la dépendance matérielle ET logicielle à un éditeur qui >> verrouille le système libre qu’il intègre (debian). >> >> Je comprends que celui qui veut sauvegarder ses machines win/mac/linux peut >> le faire avec très peu de compétences (presser des boutons). >> >> Mais il peut très bien faire des sauvegardes chiffrées chez un hébergeur de >> son choix qui propose le même service. >> Le temps de restauration sera dicté par le débit de sa connexion (mais il >> peut aussi conserver une sauvegarde sur un support de stockage en local) >> Non ? >> >> Il y a sur ces « NAS » (qui est un serveur avec du stockage attaché, donc un >> serveur… oui, le stockage pourrait être attaché au réseau / SAN…) diverses >> applications : utilisateurs, vpn, serveur de fichier (avec accès web), >> serveur de messagerie, serveur de nom, etc. >> >> Mais un serveur debian peut faire tout ça, librement. >> >> J’ai aussi aperçu divers « NAS » opensource (truenas, freenas…). Je ne les >> connais pas. >> >> Ce genre de matériel propose aussi de monter un cluster haute dispo juste en >> branchant un câble 10 Gbps pour le heartbeat et de cliquer sur un bouton « >> créer le cluster » (de ce qu’on m’a rapporté, il arrive quand même des >> problèmes). >> >> Par ailleurs, Proxmox est disponible en version gratuite ou avec support >> payant. Ça fonctionne bien mais il faut quand même de l’expertise pour le >> gérer en production. >> >> Quand un support de stockage tombe en rade, le NAS ne suffit pas pour le >> diagnostiquer : il faut le sortir et le tester avec l’outil de son >> fabricant. Bon… Inutile, autant le remplacer à chaud s’il donne un signe de >> faiblesse… >> >> Selon vous, quel intérêt a un « NAS » commercial par rapport à un serveur >> debian ? >> Et surtout pour qui ? (Cad selon le profil de son propriétaire et >> administrateur). >> >> Autrement dit : à partir de quel niveau un administrateur système debian >> peut-il se passer purement et simplement de ce genre d’engin (basé sur >> debian, au moins pour synology) ? >> >> Merci. > > Alors deja la principale raison de ne pas faire du maison, c'est de tisser > des liens commerciaux, avec d'autre entites ... > > La question ou les n'est pas dans un contexte de quelqu'un qui exploite > puisque les donnees technique ne sont pqs presente comme ce qu'il y a en > therme de bandes passantes et de volumes de donnees ! > > Le tous recemblant a un troll ! > > Sinon en 2003 j'ai propose de faire un cluster sur une sortie serie en > processsus 2 ou 3, et avec l'usb et la possibilite de faire de l'esclave > maitre, de masquer une deuxieme sauvegarde ! > > Mais tous ces choses datent des annees 70 en informatique > Et ?
Re: Intérêt d’un « NAS » commercial ou open source ?
> Le 27 juil. 2023 à 11:47, Gaëtan Perrier a écrit : > > > Bonjour, > > Je ne vais pas répondre à toutes tes interrogations mais juste partager ma > toute petite expérience. Bonjour, Merci pour ton retour. > J'ai un NAS Synology 4 baies (DS918+). > > Pourquoi avoir choisi un NAS tout fait plutôt que d'en monter un à base d'une > debian ? > En premier pour l'intégration ! C'est tout petit ça ne prend pas de place, ça > ne fait pas de bruit (ou si peu). Quand on vit dans un petit appartement > c'est important ! > En second parce que je n'ai pas des besoins poussés donc l'eco système > Synology me convient très bien. C'est simple, efficace, maintenu sur une > longue période. Une baie de 6 disques + ventilos, ça n’est pas silencieux ! > > Pourquoi ne pas avoir choisi une sauvegarde en ligne ? En fait je fais les > deux. En matière de sauvegarde je ne fie pas à une seule technique... > Un hébergeur peut toujours disparaître, ses serveurs planter, etc. D’où l’intérêt d’une sauvegarde en au moins deux endroits (dont une locale). Vu l’offre des hébergeurs avec agent de sauvegarde pour le PC (comme synlogy, etc.), je n’arrive vraiment pas encore à voir l’intérêt de s’embarrasser avec un NAS, qui plus est à la maison. > Enfin sur un Synology tu peux te connecter en ssh pour faire de la cli si tu > veux. Mais n'ayant pas expérimenté la chose je n'en connais pas les limites. Accéder en ssh, ça oui. Mais tout est remanié par rapport à debian ! Et il y a plein de choses que tu ne peux pas faire. Ou/et alors au risque de perdre la garantie du fournisseur. Déclencher un script ? Il y a un panneau pour glisser le script (ou un pointeur qui source le script visé). C’est lourdingue, de mon expérience, par rapport à un système debian simple et net. A+ > > A+ > > Gaëtan > > > > Le 27 juillet 2023 11:12:49 GMT+02:00, RogerT a écrit : >> Bonjour, >> >> J’ai eu l’occasion de manipuler quelques « NAS » commerciaux (un serveur >> avec une baie…). Dont qnap et synology (basé sur debian). >> >> Le matériel neuf fait bonne figure. >> >> Le GUI est censé simplifier la vie de l’administrateur, mais de mon >> expérience la lui complique et le ralentit, l’empêche de gérer vite et bien >> en CLI. Et en particulier de faire des scripts et de personnaliser le >> système, en partie verrouillé. Ou alors il faut passer par des panneaux >> lents et contraignants. >> Sans compter la dépendance matérielle ET logicielle à un éditeur qui >> verrouille le système libre qu’il intègre (debian). >> >> Je comprends que celui qui veut sauvegarder ses machines win/mac/linux peut >> le faire avec très peu de compétences (presser des boutons). >> >> Mais il peut très bien faire des sauvegardes chiffrées chez un hébergeur de >> son choix qui propose le même service. >> Le temps de restauration sera dicté par le débit de sa connexion (mais il >> peut aussi conserver une sauvegarde sur un support de stockage en local) >> Non ? >> >> Il y a sur ces « NAS » (qui est un serveur avec du stockage attaché, donc un >> serveur… oui, le stockage pourrait être attaché au réseau / SAN…) diverses >> applications : utilisateurs, vpn, serveur de fichier (avec accès web), >> serveur de messagerie, serveur de nom, etc. >> >> Mais un serveur debian peut faire tout ça, librement. >> >> J’ai aussi aperçu divers « NAS » opensource (truenas, freenas…). Je ne les >> connais pas. >> >> Ce genre de matériel propose aussi de monter un cluster haute dispo juste en >> branchant un câble 10 Gbps pour le heartbeat et de cliquer sur un bouton « >> créer le cluster » (de ce qu’on m’a rapporté, il arrive quand même des >> problèmes). >> >> Par ailleurs, Proxmox est disponible en version gratuite ou avec support >> payant. Ça fonctionne bien mais il faut quand même de l’expertise pour le >> gérer en production. >> >> Quand un support de stockage tombe en rade, le NAS ne suffit pas pour le >> diagnostiquer : il faut le sortir et le tester avec l’outil de son >> fabricant. Bon… Inutile, autant le remplacer à chaud s’il donne un signe de >> faiblesse… >> >> Selon vous, quel intérêt a un « NAS » commercial par rapport à un serveur >> debian ? >> Et surtout pour qui ? (Cad selon le profil de son propriétaire et >> administrateur). >> >> Autrement dit : à partir de quel niveau un administrateur système debian >> peut-il se passer purement et simplement de ce genre d’engin (basé sur >> debian, au moins pour synology) ? >> >> Merci. > > -- > Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma > brièveté.
Intérêt d’un « NAS » commercial ou open source ?
Bonjour, J’ai eu l’occasion de manipuler quelques « NAS » commerciaux (un serveur avec une baie…). Dont qnap et synology (basé sur debian). Le matériel neuf fait bonne figure. Le GUI est censé simplifier la vie de l’administrateur, mais de mon expérience la lui complique et le ralentit, l’empêche de gérer vite et bien en CLI. Et en particulier de faire des scripts et de personnaliser le système, en partie verrouillé. Ou alors il faut passer par des panneaux lents et contraignants. Sans compter la dépendance matérielle ET logicielle à un éditeur qui verrouille le système libre qu’il intègre (debian). Je comprends que celui qui veut sauvegarder ses machines win/mac/linux peut le faire avec très peu de compétences (presser des boutons). Mais il peut très bien faire des sauvegardes chiffrées chez un hébergeur de son choix qui propose le même service. Le temps de restauration sera dicté par le débit de sa connexion (mais il peut aussi conserver une sauvegarde sur un support de stockage en local) Non ? Il y a sur ces « NAS » (qui est un serveur avec du stockage attaché, donc un serveur… oui, le stockage pourrait être attaché au réseau / SAN…) diverses applications : utilisateurs, vpn, serveur de fichier (avec accès web), serveur de messagerie, serveur de nom, etc. Mais un serveur debian peut faire tout ça, librement. J’ai aussi aperçu divers « NAS » opensource (truenas, freenas…). Je ne les connais pas. Ce genre de matériel propose aussi de monter un cluster haute dispo juste en branchant un câble 10 Gbps pour le heartbeat et de cliquer sur un bouton « créer le cluster » (de ce qu’on m’a rapporté, il arrive quand même des problèmes). Par ailleurs, Proxmox est disponible en version gratuite ou avec support payant. Ça fonctionne bien mais il faut quand même de l’expertise pour le gérer en production. Quand un support de stockage tombe en rade, le NAS ne suffit pas pour le diagnostiquer : il faut le sortir et le tester avec l’outil de son fabricant. Bon… Inutile, autant le remplacer à chaud s’il donne un signe de faiblesse… Selon vous, quel intérêt a un « NAS » commercial par rapport à un serveur debian ? Et surtout pour qui ? (Cad selon le profil de son propriétaire et administrateur). Autrement dit : à partir de quel niveau un administrateur système debian peut-il se passer purement et simplement de ce genre d’engin (basé sur debian, au moins pour synology) ? Merci.
Re: Networkmanager en mode console
> Le 26 juil. 2023 à 23:47, didier gaumet a écrit : > > Le 26/07/2023 à 23:05, RogerT a écrit : > [...] >> Je ne crois pas avoir raté un message, mais je comprends que systemctl start >> NetworkManager ne fonctionne pas dans ce mode ? >> ( ça pose sacrément question sur l’intérêt de systemd dans ce contexte). > [...] > > Avant de répondre, j'avais vérifié quels services étaient chargés en mode > recovery. > NetworkManager, logiquement, n'était pas chargé. > Toujours dans ce mode recovery, j'ai démarré NetworkManager (systemctl > start...) sans souci (obtention d'une adresse IP pour ma carte wifi). > > Tu établis, par ouï-dire, que *systemctl*, au moins pour cette commande > précise (...start NetworkManager), ne fonctionne pas. > Même si c'était vrai, ce qui n'est pas le cas, ça ne signifierait pas que > *systemd* est sans intérêt: quand on en est à philosopher en regardant sa > console recovery Debian 12 standard (système d'init: systemd), ça valide de > facto a minima l'intérêt de Systemd puisque c'est lui qui a permis d'arriver > à ladite console ;-) > > Je n’établis rien. J’interroge (systemctl start NetworkManager fonctionne-t-il dans ce mode recovery ?) Et je conclus que ça pose (selon la réponse) une question sur systemd. Je fais quand même gaffe de n’être pas assertif, sans savoir ! Merci pour vos intéressants échanges.
Re: Networkmanager en mode console
> Le 26 juil. 2023 à 21:10, ajh-valmer a écrit : > Merci pour vos réponses. > > On Wednesday 26 July 2023 19:08:24 didier gaumet wrote: >> je crois que tu confonds le mode console et le mode récupération >> (recovery). > > C'est quasi pareil, c'est le mode dépannage, permettant, > sans la couche graphique Xorg, un dépannage plus fluide. > Je ne vois pas la raison de bloquer networkmanager dans ce mode. > Comment dépanner sans réseau ? C'est impossible. > Seule solution, modifier "/etc/network/interfaces", > rebooter et lancer le réseau par ifup . Pensée pour NoSpam et interfaces/ifupdown ! Sérieusement, je suis très intéressé pour apprendre les subtilités de ces modes assez peu utilisés au quotidien. Sauf quand il y a un pépin. Je ne crois pas avoir raté un message, mais je comprends que systemctl start NetworkManager ne fonctionne pas dans ce mode ? ( ça pose sacrément question sur l’intérêt de systemd dans ce contexte). En tous cas, je vous lis avec intérêt et vais mettre à jour ma fiche pour les cas d’urgence. Merci. > > Bonne soirée. > A. Valmer
Re: Networkmanager en mode console
> Le 26 juil. 2023 à 14:08, ajh-valmer a écrit : > Hello, > lorsque je boote Debian-12 en mode console (recovery), > sans Xorg, le réseau ne fonctionne plus, > networkmanager ne semble pas ouvrir la connexion. > Quid ? > Merci. > Je ne vais pas pouvoir t’aider. Mais je ne peux m’empêcher de rappeler ce que NoSpam nous a écrit hier dans le fil « Comment router le trafic réseau finement » ou j’étais empêtré dans NM ou systemd, et les systèmes de résolution de nom : man interfaces & remove NM Si tu peux accéder à ta machine en mode normal et basculer sur ifupdown, peux-tu nous dire si ce gestionnaire d’interface monte le réseau en mode recovery ? NoSpam répondra sans doute même sur la capacité de ifupdown en mode recovery, nous convainquant encore plus de l’intérêt d’un système simple.
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 13:47, Michel Verdier a écrit : > > Le 26 juillet 2023 RogerT a écrit : > >> J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme (des >> messages…). Je n’ai pas encore trouvé la manière de le configurer >> correctement >> pour ça. Mon vieil Outlook me semble plus familier > > Pour rester dans le libre et, j'ose espérer, sur debian, tu as > thunderbird oui et evolution, les 2 visent à cloner outlook. > Pour les messageries légères tu as l'embarras du choix : claws-mail, > sylpheed, etc. Le mieux c'est de prendre aptitude, ou le gestionnaire > gnome, qui te liste clairement par catégorie et tu trouveras ton bonheur. > (bon le bonheur pour moi s'appelle gnus :) désolé pour mutt) > Avec la concision de Michel, même plus besoin de créer un fil « Quel client de messagerie ?… » ! L’essentiel est dit. Merci. As-tu un retour solide sur Thunderbird et Evolution, de la part d’utilisateurs d’Outlook et des outils d’Apple ? (C’est parfait/c’est passable/ç’est pas très agréable/ce n’est pas très productif, etc.) J’utilise apt et apt-get dont je suis satisfait (avec quelques commandes dpkg pour divers cas). Je n’ai jamais utilisé aptitude qui ne m’a jamais été proposé à l’installation de debian. Je vois Synaptics installé avec mon DE gnome. Ça doit être le gestionnaire gnome dont tu parles. Je n’y mets jamais les pieds. Mais je vais le visiter s’il permet de fouiller facilement dans les paquets. Merci.
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 13:47, steve a écrit : > > Le 26-07-2023, à 13:26:09 +0200, RogerT a écrit : > >> >> >>>> Le 26 juil. 2023 à 12:54, NoSpam a écrit : >>> >>> >>>> Le 26/07/2023 à 12:42, RogerT a écrit : >>>> J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme >>>> (des messages…). Je n’ai pas encore trouvé la manière de le >>>> configurer correctement pour ça. Mon vieil Outlook me semble plus >>>> familier >>> Ici c'est thunderbird, aucun problème. >>> >> Avec le réglage fourni à l’installation, ou encore avec un savant réglage ? > > Un logiciel publié avec des valeurs par défaut ne va jamais répondre à > tous les cas d'usage possibles et imaginables. Il faut donc passer un > peu de temps à le régler pour qu'il réponde à ses propres besoins. > > Est-ce que cela répond à ta question ? > Non ! Je n’aime pas trop les logiciels livrés avec des défauts…! Simplement pour ajouter le répertoire de la liste debian France, en plus du répertoire de ma boite de réception, j’ai du chercher comment l’ajouter. Mon vieil Outlook que je connais pas coeur me permet d’être très productif sur quelques comptes. Quand j’y ajoute un compte de messagerie en IMAP, il ne me dissimule pas les répertoires sauf la boîte de réception, sans me proposer de les afficher/publier. J’y accède immédiatement. Je sens que ça va susciter la création d’un nouveau fil de discussion… comme : « Quel client de messagerie aujourd’hui réunit le meilleur de ce qui existe, pour des utilisateurs exigeants et habitués aux logiciels Apple et MS ? »
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 12:54, NoSpam a écrit : > > >> Le 26/07/2023 à 12:42, RogerT a écrit : >> J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme (des >> messages…). Je n’ai pas encore trouvé la manière de le configurer >> correctement pour ça. Mon vieil Outlook me semble plus familier > Ici c'est thunderbird, aucun problème. > Avec le réglage fourni à l’installation, ou encore avec un savant réglage ?
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 12:26, steve a écrit : > >> Mon client webmail zimbra.free.fr ne respecte apparemment pas >> correctement l’indentation et le retour à la ligne, sauf en texte brut. > > Participer à une liste de diffusion Debian (mais pas que) avec un > webmail est un exercice pour le moins sportif … ;-) Oui. Ce webmail crée même des fils de discussion distincts ! (perte d’identifiant de message ?) > >> Mon client de smartphone respecte l’indentation. > > Lequel est-ce ? iOS Apple Mail (que j’utilise ici pour répondre). J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme (des messages…). Je n’ai pas encore trouvé la manière de le configurer correctement pour ça. Mon vieil Outlook me semble plus familier PS : Actuellement, ne fait-on pas du middle posting (ou interleaved posting) ? (si le bottom posting consiste à répondre entièrement en dessous du message précédent).
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 11:58, Michel Verdier a écrit : > > Le 26 juillet 2023 steve a écrit : > >> Cette conversation est très intéressante, malheureusement le top-posting >> et le formatage de ces échanges rendent son suivi difficile. Serait-il >> possible de faire quelques efforts pour respecter un minimum les règles >> énoncées ici >> >> https://www.debian.org/MailingLists/ >> >> et ici >> >> https://www.debian.org/code_of_conduct >> >> Merci d'avance. > > +1 > Quelles améliorations spécifiques suggères-tu ?
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 11:41, steve a écrit : > > Bonjour, > > Cette conversation est très intéressante, malheureusement le top-posting > et le formatage de ces échanges rendent son suivi difficile. Serait-il > possible de faire quelques efforts pour respecter un minimum les règles > énoncées ici > > https://www.debian.org/MailingLists/ > > et ici > > https://www.debian.org/code_of_conduct > > Merci d'avance. > > s. Bonjour, Merci de ton retour. En effet, je crois qu’on aborde des points utiles pour beaucoup en matière de réseau. Top posting : ok. tu voudrais du bottom-posting où les échanges se succèdent avec le plus ancien en bas. Bonne conduite. Je ne crois pas qu’il y ait eu de mauvaise conduite ! Mon client webmail zimbra.free.fr ne respecte apparemment pas correctement l’indentation et le retour à la ligne, sauf en texte brut. Mon client de smartphone respecte l’indentation. Quel client de messagerie recommandes-tu (recommandez-vous) qui fasse correctement une mise en forme idéale pour une liste de discussion ? Y a-t-il autre chose à corriger ? Merci.
Re: Comment router le trafic réseau finement
Voilà ! C’est intéressant de te lire pour comprendre qu’on peut faire des choses très complètes en restant simple avec des outils « de base » et fiables. Justement pour « router le trafic réseau finement », qui est l’objet de ce fil. Ça commence par les interfaces. Ma situation illustre bien le risque de l’automatisation d’une installation de poste de travail avec DE et autres outils systemd ou autre. Avec le problème de doc et les tutos fumeux, il faut faire un important effort pour revenir à l’essentiel. Merci encore pour tous tes retours. > Le 26 juil. 2023 à 11:02, NoSpam a écrit : > > >> Le 26/07/2023 à 10:54, RogerT a écrit : >> [...] >> >> Je voulais juste savoir si tu connaissais un inconvénient à utiliser >> systemctl enable plutôt que ifupdown. >> C’est tout. >> Ça m’intéresse aussi de savoir si on peut vivre sans systemctl ! > > Comme déjà écris précédemment, pourquoi utiliser X outils pour faire la même > chose. Tu utilises NM, systemctl et que sais je encore pour monter tes > interfaces, je n'utilise que ifupdown pour le même travail et qui de plus est > compatible avec cloud-init. Aussi, j'utilise principalement ipv6, je dois > donc faire passer ipv4 via ipv6: encore un argument pour gérer via des > scripts perso. > > [...] >>>> Le 26 juil. 2023 à 10:45, NoSpam a écrit : >>> >>> >>>> Le 26/07/2023 à 10:40, RogerT a écrit : >>>> [...] >>>> >>>> Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as >>>> dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … >>>> ), etc. >>> Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui >>> gère les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ... >>>> [...] >>>>>> Le 26 juil. 2023 à 10:22, NoSpam a écrit : >>>>> >>>>>> Le 26/07/2023 à 10:17, RogerT a écrit : >>>>>> [...] >>>>>> >>>>>> Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un >>>>>> service enabled ? >>>>> Qu'est ce que cela à voir dans l'histoire ? >>>>> >
Re: Comment router le trafic réseau finement
Mince. Encore un malentendu. Je prends soin d’écrire ce que j’ai compris. J’ai écrit que c’est moi qui utilisait systemctl avec wg. Et il me semble avoir compris que tu as dit « pas besoin, ni de nm -> ifupdown suffit). J’ai donc bien compris que tu utilises ifupdown. Et que tu n’utilises apparemment pas systemctl puisque tu n’en as pas besoin. Je voulais juste savoir si tu connaissais un inconvénient à utiliser systemctl enable plutôt que ifupdown. C’est tout. Ça m’intéresse aussi de savoir si on peut vivre sans systemctl ! Merci de ta patience. > Le 26 juil. 2023 à 10:45, NoSpam a écrit : > > >> Le 26/07/2023 à 10:40, RogerT a écrit : >> [...] >> >> Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as >> dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … >> ), etc. > Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui gère > les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ... >> [...] >>>> Le 26 juil. 2023 à 10:22, NoSpam a écrit : >>> >>> >>>> Le 26/07/2023 à 10:17, RogerT a écrit : >>>> [...] >>>> >>>> Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un >>>> service enabled ? >>> Qu'est ce que cela à voir dans l'histoire ? >>> >
Re: Comment router le trafic réseau finement
Tu sais, bien que je saches gérer mon poste de travail et mes serveurs, mes connaissances sont limitées et avaient été déformées par les installations automatiques d’outils voulant remplacer ses concurrents, voire par le wiki debian qui m’a souvent égaré. Et par divers tutos fumeux qui méconnaissent certains outils et te font casser ton système (ex : resolvconf recommandé, sans considération pour l’existant ; ben non, il n’y a pas de policier qui alerte qu’il y a deux services de résolution de nom en conflit). D’où mes questions détaillées ici pour y voir enfin complètement clair. Et en faire profiter d’autres lecteurs. Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc. J’ai compris l’intérêt de ifupdown, que les outils récents semblaient faire passer pour un truc dépassé. J’aimerais juste comprendre l’inconvénient que tu trouves à utiliser systemd (avec un service enabled pour le démarrage/l’arrêt automatique). Si tu en vois, par rapport à ifupdown. Il y a peut-être un malentendu sur le fait que tu m’as vu utiliser systemctl start wg0 alors que j’utilise aussi systemctl enable pour démarrer/arrêter automatiquement wg avec le serveur (systemd est rentré dans ma pratique sur un serveur). Merci. > Le 26 juil. 2023 à 10:22, NoSpam a écrit : > > >> Le 26/07/2023 à 10:17, RogerT a écrit : >> [...] >> >> Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un >> service enabled ? > > Qu'est ce que cela à voir dans l'histoire ? >
Re: Comment router le trafic réseau finement
J’ai compris que je peux utiliser les scripts wg-quick up | down declenchés en post-up et pre-down de ifupdown qui lit /etc/network/interfaces. Ou les modifier selon mes besoins et ma compréhension (il y a quelques commandes que je dois étudier pour bien comprendre). Je comprends que le déclenchement par ifupdown est simple, efficace et automatisé (j’irai voir si pour désactiver le montage/démontage de l’interface wg il existe l’équivalent de systemctl enable | disable). Je vois que les scripts présents (openvpn) n’ont pas d’extension .sh ; et qu’elles ne devaient pas en avoir il y a quelques années sur ubuntu https://askubuntu.com/questions/406126/why-is-ifup-not-running-all-of-the-if-pre-up-d-scripts. A vérifier Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ? > Le 26 juil. 2023 à 09:42, NoSpam a écrit : > Pour clarifier, setconf est lancer dans mes scripts post-up, manuellement en > est pour moi le reflet. > > Le 26/07/2023 à 09:38, NoSpam a écrit : >> Le 26/07/2023 à 01:22, roger.tar...@free.fr a écrit : >>> [...] >>> Si on décide à la place d'utiliser des commandes élementaires, par quoi >>> remplacerait-on les commandes wg setconf et wg set ? >> Je n'utilise pas ces commandes, je configure manuellement. >> Comprends bien que tu ne dois pas être un clone de mes >> configurations/remarques/... à toi de découvrir ce qui te convient le mieux, >> ce avec quoi tu es à l'aise et surtout comment tu pourras réparer en cas de >> problème.
Re: Comment router le trafic réseau finement
> Le 25 juil. 2023 à 18:55, NoSpam a écrit : > > [...] > A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou > client) ? (puisque pas de service) > Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets > tout en place (MTU, DNS, routes, ...) Je ne suis pas habitué à faire comme ça. Peux-tu en dire davantage sur la manière de procéder ? Merci.
Re: Comment router le trafic réseau finement
> Le 25 juil. 2023 à 17:53, NoSpam a écrit : > > Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit : >> Bonne nouvelle : les 2 clients wg win (win10/admin et win avant 10/non >> admin) fonctionnent. >> Chaque pair peut joindre l'autre sur le vpn (ping). >> >> >> Je pense m'être emmêlé entre plusieurs choses : > D'ou ma question si tu penses avoir compris wg ... Le noyau semble costaud (d’où l’intégration au noyau linux depuis 5.6). L’UI est perturbante, comparée à d’autres applications. La documentation est super incomplète et les tutos trouvés se marchent dessus Surtout sur le comportement de wg, selon les directives des fichiers de configuration n’est pas expliqué… il faut tout lire man wg-quick, etc. >> [...] >> A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou >> client) ? (puisque pas de service) > Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets > tout en place (MTU, DNS, routes, ...) Tu veux sans doute dire en postup après le démarrage du système (il y a PostUp dans le fichier de configuration du serveur wg). Merci de considérer mon niveau moyen. Quelle raison te fait ne pas utiliser un service ?
Re: Comment router le trafic réseau finement
> Le 25 juil. 2023 à 11:40, NoSpam a écrit : > > Bonjour. Je fais simple comme dit dans mes messages précédents et cela > fonctionne. De ce que je lis de ce message, tu as activé wireguard en tant > que service ce que je ne fais jamais. > Oui, en tant que service. Comme montré dans les différents tutos trouvés. Pourquoi pas ? > Si le tunnel est activé tu as un soucis avec les IP autorisées dans le > tunnel. Es tu sûr de prendre du temps pour comprendre le fonctionnement de wg > ? > Oui. J’ai tout lu la doc de wg et effectué divers tutos. Clients linux ou iOS : impeccable. Clients Win : je patauge manifestement dans les réglages du fw win. > Aussi, avant de jouer avec un utilisateur lambda je validerai en tant > qu'administrateur de la machine. Ah oui, teste ta config windows sur une > machine linux ou inversement si la config linux est opérationnelle: la conf > de l'un doit fonctionner pour l'autre sans modification aucune. > Sur la machine win10, je suis utilisateuradmin. J’avais quand même fait et pu faire les deux réglages (commandes ou via GUI) recommandés hier. J’ai tenté de faire sur le fw (attention : je suis très moyen en fw win !) : Autoriser l’application Wireguard.exe Pas suffisant. J’ai alors ajouté une règle pour autoriser le trafic vers le port 51820 udp (pas sûr que ça suffise puisque wg crée des connexions en retour sur d’autres ports sur lesquels le client écoute…). Peux-tu me dire exactement comment tu configures le poste win10 (utilisateur admin) pour que le client wg fonctionne ? Merci. > Le 25/07/2023 à 01:00, roger.tar...@free.fr a écrit : >> Sur win (version avant 10) : >> Comme avec w10, j'ai ajouté l'utilisateur au groupe "Opérateurs de >> configuration réseau" avec le GUI (appelé par lusrmgr.msc) >> >> Puis, j'ai pu appliquer cette recette en CLI : >> >> Enable WireGuard >> "C:\Program Files\WireGuard\wireguard.exe" /installtunnelservice "C:\Program >> Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi" >> >> Disable WireGuard >> "C:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice >> "NAME_OF_CONNECTION" >> >> Rq : le fichier NAME_OF_CONNECTION.conf a été transformé automatiquement en >> fichier chiffré NAME_OF_CONNECTION.conf.dpapi >> Il vaut donc mieux le gérer ailleurs avant de le glisser dans C:\Program >> Files\WireGuard\Data\Configurations\ ! >> >> Effet : ça a réveillé le GUI et fait apparaître les boutons ! >> Sauf le bouton Edit puisque le fichier de conf est chiffré... >> >> Rq : il m'a été proposé par win d'ajouter la connexion à un réseau >> domestique ou de bureau. Ce que j'ai accepté. >> Pas plus de ping possible vers le serveur. >> >> Au final, j'ai pu arriver au même comportement qu'avec le client wg w10 : >> il dit "Activé" mais n'arrive pas à se connecter au serveur qui ne le voit >> pas. >> >> Avec un problème accessoire en prim, puisque je suis connecté en RDP à ce >> win et que la tentative de connexion en wg coupe la connexion RDP, ce qui >> m'oblige à aller déterrer le PC concerné. >> >> Je suis très curieux de savoir comment tu (NoSpam) arrives à faire tourner >> des clients wg sous Win. >> Bonne nuit. >> >> Ref : >> https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/ >> https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md >> (-> >> https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata >> ) >> >> >> >> >> >> De: "roger tarani" >> À: "Liste Debian" >> Envoyé: Lundi 24 Juillet 2023 23:27:56 >> Objet: Fwd: Comment router le trafic réseau finement >> >> >>
Re: Comment router le trafic réseau finement
> Le 25 juil. 2023 à 10:11, Michel Verdier a écrit : > > Le 24 juillet 2023 roger tarani a écrit : > >> Commencer par un service de résolution directe et inverse ? (bind) >> Oui, mais ne faudrait-il pas d'abord avoir posé le plan d'adressage ? > > C'est ce que je disais. Et que installer bind fixe mieux les idées à mon > avis. Entendu. Je me pose des questions de dimensionnement et d’architecture. Je suis donc en train de « monter une infra ». Elle doit fonctionner et elle doit aussi être assez réactive (latence faible, débit suffisant). Pour installer un service de nom, il est recommandé (dans divers tutos) de monter deux serveurs distincts (un master et un slave). Je vais utiliser un VPs chez mon hébergeur pour ne pas avoir à maintenir de matériel chez moi. Ok ? Dois-je absolument prendre deux VPS basiques chez mon hébergeur préféré ? (Si oui, alors je pourrai aussi l’utiliser pour des services complémentaires, car un service de nom ne me semble pas solliciter beaucoup de ressources) Si je décide de monter un vpn, j’envisage que chaque machine, dont les 2 serveurs qui hébergent les 2 services de nom soit automatiquement connectés au vpn. L’essentiel du trafic sensible sera forcé à passer par le tunnel. Et aussi, si le client est réglé pour ça, pour la navigation internet (via ProxyFoxy, par exemple) Par rapport à la vivacité souhaitée pour la navigation, vois-tu une objection ? En effet, j’ai testé Wireguard sur mon smartphone. En 4G il est plus réactif en navigation que lorsque le vpn est actif et redirige tout le trafic vers le serveur vpn. La latence de ma liaison 4G (smartphone vers serveur wg) est de 30-50 ms avec un débit serveur vers smartphone de 50-60 Mbps. En vpn, l’affichage des pages prend un temps supplémentaire nettement perceptible. Je tiens à ce que les utilisateurs aient une bonne expérience de navigation. Merci. > >> Est-ce que tout ça est suffisant pour définir un plan d'adressage ? > > C'est à toi de savoir si ça te suffit ou pas. Chacun a des besoins > différents. > D’habitude, je fais des configurations réseau simple (poste de travail, serveur). Ou j’interviens sur des configurations déjà faites. Là, en partant de zéro, il faut penser à tout Ce qui suppose de connaître tous les composants utilisés.
Re: Comment router le trafic réseau finement
> Le 24 juil. 2023 à 19:40, NoSpam a écrit : > Le 24/07/2023 à 18:56, roger.tar...@free.fr a écrit : >> [...] >> C'est bien compliqué d'installer wg sur win ! > Je n'ai pas eu ces soucis avec des W11 & quelques W10. Accuser wg est fort je > trouve, bienvenue dans le monde de WinXX Je n’accuse personne. Je trouve étonnant qu’installer wg sur win soit ausssi compliqué. Et que le site wg ne fournisse pas les infos requises. J’ai trouvé ça : https://s0ph0s.dog/blog/wireguard-windows-10-home-non-admin/ qui renvoie vers un message de l’auteur de wg : https://lore.kernel.org/wireguard/CAHmME9oMFQtePYt37+4eyOn23mwHwP2UGxQi=sajk9j3p1z...@mail.gmail.com/ Un résumé serait bienvenu sur leur site, à la page installation. J’ai installé le serveur wg très vite. J’ai configuré un client linux assez vite (première fois). J’ai configuré un client wg iOS en 1 mn : je vois ce client depuis le serveur. J’ai configuré un client wg win10 en quelques mn. mais il dit Activé alors que le serveur wg ne le voit pas m( et ta 2ème commande n’a pas fonctionné). J’ai tenté d’exécuter wg client w10 en admin : il dit Activé, mais le serveur ne le voit pas. Comment régler ce problème win10 avec Add-LocalGroupMember ? Comment expliques-tu que le client wg sur win10 (utilisateur normal ou admin) affiche Activé alors que le serveur ne voit rien ? Merci. >> [...] >> Oui, c’est mal formulé. Je voulais dire que l’on peut sans doute démarrer >> avec nft sans même connaître iptables et ufw. > ufw n'est qu'un front-end à iptables (tout comme sfw à nftables) et semble > compatible avec nftables Entendu. Je suis en train d’apprendre nft. >> (même si la syntaxe est différente, c'est vrai que connaitre la syntaxe >> iptables permet de savoir les notions manipulées). > nftables n'a rien de commun avec iptables. Comme dit par Michel, commencer > par le wiki. Difficile de dire alors que je connais un peu iptables et que je découvre nftables. Il semble que la syntaxe change pour faire la même chose. Cf. https://linuxhandbook.com/iptables-vs-nftables/. Merci.
Re: Tunnel openvpn - comment router ...
> Le 23 juil. 2023 à 21:06, Michel a écrit : > > Le 23/07/2023 à 19:40, Michel Verdier a écrit : >> Le 23 juillet 2023 roger tarani a écrit : >> >>> plein de choses mélangées avec un subject trop long >> >> Là moi je suis perdu. S'il vous plaît utilisez un MUA correct en faisant >> des reply avec les belles indentations habituelles (>) sinon on ne >> sait plus qui a dit quoi et ce qui est répondu à "quoi". > > Ah, toi aussi... > Le webmail free (zimbra) doit mal baliser/indenter les textes antérieurs. Là, je réponds depuis un MUA de smartphone et je vois l’indentation correcte de vos deux messages. Merci.
Fwd: Tunnel openvpn - comment router tout le trafic dedans ou bien router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un process dans SON propre tunnel?
Début du message transféré : > De: RogerT > Date: 23 juillet 2023 à 12:52:19 UTC+2 > À: debian-user-french@lists.debian.org > Objet: Rép. : Tunnel openvpn - comment router tout le trafic dedans ou bien > router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un > process dans SON propre tunnel? > > Donc ce tuto > https://www.tecmint.com/set-permanent-dns-nameservers-in-ubuntu-debian/ > qui invite à faire ce qui suit est un peu bizarre, non ? > > Save the changes and restart the resolvconf.service and systemd-resolved or > reboot the system. > > Correction du copier-coller incomplet ou illisible : $ sudo systemctl restart resolvconf.service $ sudo systemctl restart systemd-resolved.service
Re: Tunnel openvpn - comment router tout le trafic dedans ou bien router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un process dans SON propre tunnel?
> Le 23 juil. 2023 à 09:03, didier gaumet a écrit : > > Le 23/07/2023 à 05:18, roger.tar...@free.fr a écrit : > > tout ça va bien au-delà de ce que je connais donc je réponds juste sur ceci: > > [...] >> Ma question : Faut-il bien choisir resolvconf ou bien systemd-resolved ? Et >> lequel privilégier ? > [...] > > ni l'un ni l'autre, il faut utiliser openresolv ;-) > > Non, je plaisante: dans Debian ce sont trois alternatives qui remplissent les > mêmes fonctions. Je suppose (pas vérifié) qu'historiquement resolvconf est > apparu en premier et que les deux autres plus tard. Les paquets > systemd-revolved et openresolv fournissent le nom de paquet resolvconf > lorsqu'installés. > Donc en fait à moins d'avoir des éléments d'information (fiabilité, rapidité > d'exécution, réactivité des développeurs, pérennité du projet, etc...) ou des > expérimentations qui te permettent de privilégier un outil plutôt qu'un > autre, tu choisis n'importe lequel. > > C'est un peu comme le choix d'un client dhcp, avant on avait le choix > (dhcp-client, isc-dhcp (de mémoire)) et les solutions étaient > interchangeables. > > Par contre il ne faut pas chercher à installer plusieurs outils assurant > simultanément la même fonction, sinon on risque les problèmes. Merci pour ta précision. Donc ce tuto https://www.tecmint.com/set-permanent-dns-nameservers-in-ubuntu-debian/ qui invite à faire ce qui suit est un peu bizarre, non ? Save the changes and restart the resolvconf.service and systemd-resolved or reboot the system. $ sudo systemctl restart resolvconf.service $ sudo systemctl restart systemd-resolved.service D’après les commentaires laissés sur ce site, les résultats ont été variables… resolvconf semble marcher. systemd-resolved aussi (bien qu’il faille toujours fouiller dans la doc de systemd pour bien tout comprendre ; ensuite, ça va) Quel outil de résolution de nom faut-il choisir pour quel usage ? Sur un poste de travail ? Sur un serveur ? PS : Quand on installe debian pour la première fois, je ne me souviens plus qu’on m’ait demandé quel service de résolution de nom je pouvais choisir. A ça on ajoute les infos variées de wiki debian et de différents sites plus ou moins à jour et, en tant que débutant ou bien moins débutant, on se retrouve perdu. Et surtout coupé d’internet sur sa machine de travail car on a perdu la résolution des noms ! Je ne crois pas avoir vu un mécanisme de surveillance qu’il y a bien un unique service de résolution de noms. Est-ce que ça existe ? Merci.
Re: matrix sous debian
> Le 22 juil. 2023 à 13:47, hamster a écrit : > > Le 22/07/2023 à 13:32, RogerT a écrit : >> Question sans rapport direct avec ta demande à laquelle je ne saurais pas >> répondre puisque non utilisateur de matrix ou d’element : >> Qui gère les clefs maître/privée sur ces deux plateformes ? >> Est-ce la plateforme ou chaque utilisateur ?… > > Pour ce que j'en ai compris, matrix fait du chiffrement de bout en bout. Mais > je suis pas sur de ce que je dis, je suis très débutant sur matrix. > Chiffrement de bout en bout : oui. Ou de long en large, ou de bas en haut. Mais qui contrôle les clefs ?…
Re: matrix sous debian
Question sans rapport direct avec ta demande à laquelle je ne saurais pas répondre puisque non utilisateur de matrix ou d’element : Qui gère les clefs maître/privée sur ces deux plateformes ? Est-ce la plateforme ou chaque utilisateur ?… Merci. > Le 22 juil. 2023 à 12:55, hamster a écrit : > > Hello. > > J'essaye de me mettre a matrix. J'ai donc cherché des clients pour ca, mais > j'ai des soucis pour arriver a une solution fonctionnelle. > > Avec quaternion, j'arrive a utiliser matrix mais pas la fonction chiffrement, > et les gens avec qui je cherche a tchatter chiffrent tout. > > Avec nheko, ca plante dès que je met mon mot de passe. > > Avec spectral, j'arrive meme pas a l'étape ou il faut taper son mot de passe. > > Avec thunderbird, j'arrive a tchatter, y compris de facon chiffrée, par > contre je vois pas les images qui sont insérées dans le flux de tchat. > > On m'a conseillé element, mais il est pas dans les dépots officiels et je > rechigne a installer un dépot tiers. > > Donc au final, si y'a ici des gens qui utilisent matrix, comment vous faites ? > > Merci d'avance. >
Re: Connexion ethernet qui saute sans raison
> Le 22 juil. 2023 à 13:08, steve a écrit : > > Sur cette page (https://wiki.debian.org/NetworkManager) : > > NetworkManager will only handle interfaces not declared in > /etc/network/interfaces (see README file). > > cat /etc/network/interfaces > (vide) Oui, mais… il y a une directive dans /etc/NetworkManager/NetworkManager.conf pour changer le comportement normal de NM (cad : ne pas gérer les interfaces définies dans /etc/network/interfaces) : # managed=false managed=true Ce petit rappel peut aider ceux perdus entre /etc/network/interfaces, nm et systemd-networkd (sans compter, peut-être, netplan que je connais pas et n’utilise pas ; et aussi le resolver…)
Re: Connexion ethernet qui saute sans raison
> Le 22 juil. 2023 à 11:45, ajh-valmer a écrit : > Vérifier le fichier "/etc/network/interfaces" > enlever le paragraphe de celle défaillante, Ne faut-il pas vérifier avant par quoi est géré le réseau ? (nm, systemd-networkd, /etc/network/interfaces)
Re: Messagerie (accédée en IMAP) vidée sans cause identifiée
Comment ? Si le client est réglé en POP3 « en laissant copie sur le serveur », alors je conserve en local une copie des messages reçus. Mais pour avoir une copie des messages envoyés, il faut sans doute que je me mette en Cci dans tous mes messages envoyés (classés en messages reçus spéciaux ?… ou à réinjecter en messages envoyés ?…) Si c’est en IMAP, alors il me semble que le client suit ce que dit le serveur. Mais peut-être Thunderbird ou autre permet-il de ne pas altérer la copie locale ? (ajouter, ne pas supprimer/déplacer) Et alors, ce client peut-il gérer plusieurs versions ? J’en doute. Sauf à faire des instantanés de la machine locale. C’est confus. Ce point est très important pour s’assurer de la sécurité et la simplicité de la solution : - A minima, récupérer tous ses e-mails échangés ou quelques-uns. - Idéalement, en plus, restaurer les messages sur le serveur de messagerie. Justement, en cas d’accident, comment alimentes-tu le serveur pour le restaurer ? Merci. Ce qu’on discute est une bouée de sauvetage pour retrouver des e-mails qui peuvent être cruciaux. J’imagine qu’il doit y avoir des solutions de serveur de messagerie (à héberger) qui traite ce problème de la sauvegarde/restauration globale ou détaillée d’une base d’e-mails. Oui ? Perso, je suis décidé à franchir le pas de gérer ma propre messagerie. Et à assister quelques copains à en profiter pour s’affranchir de ces services de messagerie prétendus gratuits. > Le 21 juil. 2023 à 13:19, Frederic Zulian a écrit : > > > Thunderbird, fait une copie locale, au fil de l'eau" des mails de tes > boites mails. > Si l'hébergeur perd des mails, tu les as toujours en local. > > Pour les archives, je les fais manuellement sur un disque dur externe. > > > Frédéric ZULIAN > > >> Le ven. 21 juil. 2023 à 11:49, RogerT a écrit : >> Peux-tu configurer une copie/un archivage fin au fil de l’eau avec ta >> solution ? Car en un mois, un accident est vite arrivé et tu peux mettre en >> risque 29 jours de messages échangés… >> >> Comment se déroule la récupération/restauration en cas d’accident chez le >> fournisseur de messagerie ? >> >> Enfin, à tous : >> connaissez-vous des moyens d’accéder aux journaux de la messagerie gratuite >> yahoo/orange/etc. ? (Qui s’est connecté ? Quand ? Quels >> suppressions/déplacements sont survenus ?) >> >> Merci >> >>>> Le 21 juil. 2023 à 11:29, Frederic Zulian a écrit : >>>> >>> >>> J'utilise thunderbird (imap) + spamassassin+ archivage 1 x mois. Il me >>> copie le contenu de 5 boîtes mails. >>> >>> Frédéric ZULIAN >>> >>>> Le ven. 21 juil. 2023 à 11:24, didier gaumet a >>>> écrit : >>>> Le 21/07/2023 à 09:53, Sébastien NOBILI a écrit : >>>> > Bonjour, >>>> > >>>> > Le 2023-07-21 01:26, roger.tar...@free.fr a écrit : >>>> >> Pour l'avenir, existe-t-il une solution pour sauvegarder simplement et >>>> >> automatiquement tous les e-mails échangés d'une messagerie gratuite >>>> >> (yahoo, orange, ...) avec des clients configurés en IMAP ? >>>> > >>>> > Tout dépend de ce que tu entends par "simplement" :D >>>> > >>>> > J'utilise offlineimap [1]. Configuration à faire dans un fichier texte, >>>> > enregistrement en crontab. Il enregistre les messages au format maildir, >>>> > ça permet de faire des sauvegardes/synchronisations efficaces. >>>> > >>>> > Sébastien >>>> > >>>> > 1: https://packages.debian.org/bookworm/offlineimap3 >>>> >>>> En alternative à la solution de Sébastien, pour ceux qui utilisent un >>>> client e-mail le permettant (Thunderbird, Evolution, je n'ai vérifié que >>>> ces deux-là vu que je les utilise), on peut a priori simplement >>>> configurer la synchronisation hors-ligne IMAP (j'ai pas testé): >>>> https://support.mozilla.org/fr/kb/le-protocole-imap#w_configurer-la-synchronisation-et-lespace-disque >>>> https://help.gnome.org/users/evolution/stable/mail-working-offline.html.fr >>>> >>>>
Re: Messagerie (accédée en IMAP) vidée sans cause identifiée
Peux-tu configurer une copie/un archivage fin au fil de l’eau avec ta solution ? Car en un mois, un accident est vite arrivé et tu peux mettre en risque 29 jours de messages échangés… Comment se déroule la récupération/restauration en cas d’accident chez le fournisseur de messagerie ? Enfin, à tous : connaissez-vous des moyens d’accéder aux journaux de la messagerie gratuite yahoo/orange/etc. ? (Qui s’est connecté ? Quand ? Quels suppressions/déplacements sont survenus ?) Merci > Le 21 juil. 2023 à 11:29, Frederic Zulian a écrit : > > > J'utilise thunderbird (imap) + spamassassin+ archivage 1 x mois. Il me > copie le contenu de 5 boîtes mails. > > Frédéric ZULIAN > >> Le ven. 21 juil. 2023 à 11:24, didier gaumet a >> écrit : >> Le 21/07/2023 à 09:53, Sébastien NOBILI a écrit : >> > Bonjour, >> > >> > Le 2023-07-21 01:26, roger.tar...@free.fr a écrit : >> >> Pour l'avenir, existe-t-il une solution pour sauvegarder simplement et >> >> automatiquement tous les e-mails échangés d'une messagerie gratuite >> >> (yahoo, orange, ...) avec des clients configurés en IMAP ? >> > >> > Tout dépend de ce que tu entends par "simplement" :D >> > >> > J'utilise offlineimap [1]. Configuration à faire dans un fichier texte, >> > enregistrement en crontab. Il enregistre les messages au format maildir, >> > ça permet de faire des sauvegardes/synchronisations efficaces. >> > >> > Sébastien >> > >> > 1: https://packages.debian.org/bookworm/offlineimap3 >> >> En alternative à la solution de Sébastien, pour ceux qui utilisent un >> client e-mail le permettant (Thunderbird, Evolution, je n'ai vérifié que >> ces deux-là vu que je les utilise), on peut a priori simplement >> configurer la synchronisation hors-ligne IMAP (j'ai pas testé): >> https://support.mozilla.org/fr/kb/le-protocole-imap#w_configurer-la-synchronisation-et-lespace-disque >> https://help.gnome.org/users/evolution/stable/mail-working-offline.html.fr >> >>
Re: Authentification ssh et PAM
> Le 21 juil. 2023 à 10:26, Michel Verdier a écrit : > > Le 19 juillet 2023 RogerT a écrit : > >> La validation par le gouvernement n’est en rien une garantie (sgdg…). > > Bien sûr, mais c'est quand même un plus par rapport à rien du tout. Ça ne vaut rien du tout. Rien. > >> Pour Keepass, tu stockes ta BD où tu veux. Le problème était la possibilité >> d’exporter en clair les pwds : >> https://www.it-connect.fr/faille-critique-dans-keepass-un-attaquant-peut-exporter-les-mots-de-passe-en-clair/ > > https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24055 > Celui-là concerne le client KeePass, d'autres clients comme KeePassXC ne > sont pas touchés. Et ça concerne le paramétrage du client pas la > base elle-même. > >> Encore une nouvelle faille en 2023 : CVE-2023-35866 >> 19/07/2023 >> https://www.it-connect.fr/une-faille-de-securite-keepassxc-permet-de-changer-le-mot-de-passe-maitre-lediteur-conteste/ > > https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=CVE-2023-35866 > Ca concerne KeePassXC mais il faut laisser la base ouverte en libre > d'accès. A partir de là forcément n'importe quoi peut être fait sur la > base et sans doute aussi sur le poste. Ce CVE est disputé. C’est suffisamment grave et répété (pour d’autres gestionnaires de pwd) pour reconsidérer l’utilisation de ces passoires. « Disputed » : l’éditeur n’est pas d’accord. Ça ne veut rien dire d’autre (comme d’être partie à un procès dont on ignore l’issue). Avec des arguments pour keepass[xc] comme: « Oui, mais si un attaquant prend le contrôle de la machine alors il n’y a rien à faire » !! et « On ne peut pas faire de la sécurité en milieu non sûr » !!! Ils sont fous ces gars !
Re: Authentification ssh et PAM
> Le 20 juil. 2023 à 10:16, didier gaumet a écrit : > > Le 20/07/2023 à 09:25, Michel Verdier a écrit : >> Le 19 juillet 2023 didier gaumet a écrit : >>> Pour autant que ça s'applique ici, Wikipedia a une explication d'un >>> mécanisme >>> d'autentification à clés asymétriques par l'utilisation d'un double >>> chiffrement avec les deux clés publiques (celles de chaque partie): >>> https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique#M%C3%A9canismes_d'authentification >> En français c'est mieux :) >> On retrouve Alice et Bob. Et effectivement le dernier truc sur lequel je >> travaillais c'est de l'authentification qui crypte avec la clef privée, >> d'où mon inversion pour ssh. > > Ah, c'est pas à moi que ça arriverait, ça: je ne me trompe jamais, qu'on se > le dise ;-) > > D'ailleurs c'est à se demander quel phénomène occulte et maléfique est > intervenu pour corrompre et distordre mon message précédent, puisque à le > lire soigneusement ainsi que le lien qu'il cite, on s'aperçoit que je me suis > encore planté (c'est pas un double chiffrement par les deux clés publiques, > c'est un double chiffrement par la clé privée de l'émetteur puis la clé > publique du destinataire ;-) > > Encore une preuve qu'il ne faut pas faire aveuglément confiance à un > contributeur mais valider l'exactitude et la pertinence de ses propos :-) > Bonjour, Il faut toujours vérifier. Ça me semblait bizarre de chiffrer avec les deux clefs publiques. En vérifiant, j’ai redécouvert le mécanisme que je connaissais de chiffrement d’un fichier par l’expérience avec la clef publique du destinataire. C’est un mécanisme pour assurer la confidentialité. En revérifiant, j’ai découvert le mécanisme de chiffrement d’un (hash de) fichier avec la clef privée de l’expéditeur, qui permet au destinataire de vérifier que l’expéditeur est bien celui qui le revendique. C’est un mécanisme d’authentification (par signature). Et si on combine les deux (chiffrement par l’expéditeur avec sa clef privée d’un hash du fichier et avec la clef publique du fichier, alors on obtient une communication confidentielle et authentifiée. On peut donc supposer que le client ssh envoie simplement au serveur un message signé avec sa clef privée. Et le serveur ssh qui a une copie de la clef publique peut vérifier que celui qui demande la connexion est celui qu’il dit être (authentification). Échanger ici a permis de mettre les idées au clair. Merci. PS : une fois cette authentification configurée, il faut penser impérativement à désactiver l’authentification par pwd ou bien avoir un fail2ban installé pour éviter des intrusions qu’on croirait devenues impossibles sans avoir la clef privée si longue (RSA 2048 ou 4096). J’ai commencé à étudier PAM et ses fichiers de configuration. En pratique, si j’utilise une clef USB sans chiffrement ou avec chiffrement ou carrément un HSM, PAM est-il transparent à utiliser (cad qu’il suffit de configurer account, auth, password, session) ou faut-il trouver/développer un composant logiciel pour interagir avec chaque type ou modèle de HSM ? Quelle est votre expérience pratique avec un HSM/une clef USB et PAM ? PS : La question viendra ensuite de savoir quelle confiance on peut accorder à PAM en tant que « bus/slot/interface). Cad quelle garantie apporte-t-il de n’être pas un trou de sécurité ?
Re: Authentification ssh et PAM
> Le 19 juil. 2023 à 17:58, Michel Verdier a écrit : > > Le 19 juillet 2023 RogerT a écrit : > >>>> Ou alors il faut un gestionnaire de pwd pour stocker la phrase de passe… >>> >>> Tout à fait, c'est à ça que sert kwallet ou gnome-agent ou keepassxc >> Keepass[xc], etc.ne sont pas sûrs comme la plupart des gestionnaires de pwd >> qui ont tous déjà été attaqués. Y compris dashlane. Voir divers articles. > > keepass est validé par le gouvernement > https://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portable/ > D'autres gestionnaires attaqués dont j'ai entendu parlé (1password, etc) > avaient du > stockage en ligne, ce n'est pas le cas de keepass. As-tu les références > d'articles ? La validation par le gouvernement n’est en rien une garantie (sgdg…). Pour Keepass, tu stockes ta BD où tu veux. Le problème était la possibilité d’exporter en clair les pwds : https://www.it-connect.fr/faille-critique-dans-keepass-un-attaquant-peut-exporter-les-mots-de-passe-en-clair/ L’éditeur n’a pas craint d’affirmer : « l'éditeur de KeePass estime que la base de données de mots de passe n'est pas censée être protégée contre un attaquant disposant déjà d'un accès local sur un PC. » L’éditeur aurait aussi affirmé « on ne peut pas faire de la sécurité dans un environnement non sûr » !!! (j’ai lu ça ; je recherche la source). Encore une nouvelle faille en 2023 : CVE-2023-35866 19/07/2023 https://www.it-connect.fr/une-faille-de-securite-keepassxc-permet-de-changer-le-mot-de-passe-maitre-lediteur-conteste/ L’éditeur écrit : "Pour l'instant, nous ne prévoyons pas de modifier radicalement le programme pour répondre à cette demande." - Et aussi : "La solution la plus simple pour contrer ce vecteur de menace est de verrouiller votre base de données avant de quitter votre poste de travail." Rappel : ne quittez pas votre poste en laissant la BD déverrouillée : https://security.stackexchange.com/questions/115086/is-it-safe-to-leave-keepass-always-opened-on-a-computer On attend la révélation des autres failles ou faiblesses…
Fwd: Authentification ssh et PAM
COMPLÉMENT J’ai approfondi ma vérification. J’étais parti sur le seul schéma habituel : chiffrer avec la clef publique et déchiffrer avec la clef privée. Je crois que tu voulais parler de signature numérique, où Alice (ici le client ssh) chiffre avec sa clef privée probablement un message fourni par Bob (ici le serveur ssh). Bob « déchiffre le message d’Alice » avec la clef publique. Il est alors certain que ça vient d’Alice et lui ouvre la porte. C’est ça ? Il m’échappe encore un truc que je vais explorer : je ne comprends pas comment Bob peut déchiffrer avec la clef publique d’Alice un message d’Alice. J’imagine qu’il s’agit en fait seulement de « vérifier que la signature provient d’Alice ». Je fouille dans ce sens. Peux-tu expliquer le procédé ? Source : « If Alice encrypts a message using her private key and sends the encrypted message to Bob, then Bob can be sure that the data he receives comes from Alice; if Bob can decrypt the data with Alice's public key, the message must have been encrypted by Alice with her private key, and only Alice has Alice's private key. The problem is that anybody else can read the message as well because Alice's public key is public. Although this scenario does not allow for secure data communication, it does provide the basis for digital signatures. » https://www.ibm.com/docs/en/sdk-java-technology/8?topic=processes-public-key-cryptography Début du message transféré : > De: RogerT > Date: 19 juillet 2023 à 16:59:28 UTC+2 > À: debian-user-french@lists.debian.org > Objet: Rép. : Authentification ssh et PAM > > > >>> Le 19 juil. 2023 à 16:32, Michel Verdier a écrit : >>> Le 19 juillet 2023 RogerT a écrit : >>> >>> Pour chiffrer une phrase il suffit de la clef publique. >>> Pour déchiffrer une phrase il faut la clef privée. >> >> Non c'est l'inverse. C'est pour ça que seul toi a la privée et que tu >> diffuses la publique à tous ceux qui doivent déchiffrer > > Après vérification, et sauf erreur ou omission de ma part, je regrette mais > en cryptographie asymétrique, seule la clef privée permet de DÉchiffrer. > Tandis que la clef publique permet à tout le monde de chiffrer un message. > > En cas d’erreur de ma part, je te/vous remercie de m’expliquer en quoi je me > tromperais alors que c’est le premier cas de figure ultra connu entre Alice > et Bob pour échanger un secret (chiffré avec la clef publique et déchiffré > avec la seule clef privée). > >> >>> Le serveur a seulement la clef publique. >> >> Oui, tous les serveurs qui doivent te déchiffrer (= tous ceux sur >> lesquels tu dois te connecter) ont la publique > Le serveur distant a la clef publique que j’y ai copié. Mais pas pour > déchiffrer. Voir plus haut. Sauf erreur ou omission. > > >>> Le client a les deux clefs. >>> Seul le client peut déchiffrer une phrase chiffrée. >> >> Non, seul le client peut chiffrer > > Tous ceux qui ont la clef publique peuvent chiffrer. > Et aussi celui qui a seulement la clef privée car elle permet de générer une > clef publique (je suppose qu’on peut chiffrer aussi avec la clef privée) > >> >>> Comment fait le serveur ssh pour savoir que c’est bien le détenteur de >>> la clef privée qui frappe à la porte ? >> >> Parce qu'il décode, avec la clef publique, une phrase chiffrée par le >> client avec sa clef privée > Toujours pas d’accord. > Peut-être as-tu un détail de la séquence entre client et serveur ? > > >>>> L'idée c'est quand même d'y mettre un mot de passe pour avoir les 2 >>>> facteurs d'authentification. >>> Ça enlève l’intérêt d’une authentification rapide. >>> Ou alors il faut un gestionnaire de pwd pour stocker la phrase de passe… >> >> Tout à fait, c'est à ça que sert kwallet ou gnome-agent ou keepassxc > Keepass[xc], etc.ne sont pas sûrs comme la plupart des gestionnaires de pwd > qui ont tous déjà été attaqués. Y compris dashlane. Voir divers articles. > >> >>>> sur le client il faut utiliser le paramètre -i pour utiliser le clef adhoc >>>> ou l'indiquer dans ~/.ssh/config du client. Donc il faut monter ta clef >>>> pour qu'elle soit accessible par le client. >>> Entendu. >>> Modulo le nom du dev /dev/sdb … >>> Sauf à utiliser un UUID pour le device (ça se fait, je crois). >> >> oui tu mets ce qui va bien avec uuid ou partuid ou label dans /etc/fstab, >> avec >> l'option user, et le client fait un mount du nom du répertoire que tu >> précise. Par exemple chez moi : >> >> #/dev/sdc1: LABEL_FATBOOT="CLEF" LABEL="CLEF" UUID="CC7E-404F" >> BLOCK
Re: Authentification ssh et PAM
> Le 19 juil. 2023 à 16:32, Michel Verdier a écrit : > Le 19 juillet 2023 RogerT a écrit : > >> Pour chiffrer une phrase il suffit de la clef publique. >> Pour déchiffrer une phrase il faut la clef privée. > > Non c'est l'inverse. C'est pour ça que seul toi a la privée et que tu > diffuses la publique à tous ceux qui doivent déchiffrer Après vérification, et sauf erreur ou omission de ma part, je regrette mais en cryptographie asymétrique, seule la clef privée permet de DÉchiffrer. Tandis que la clef publique permet à tout le monde de chiffrer un message. En cas d’erreur de ma part, je te/vous remercie de m’expliquer en quoi je me tromperais alors que c’est le premier cas de figure ultra connu entre Alice et Bob pour échanger un secret (chiffré avec la clef publique et déchiffré avec la seule clef privée). > >> Le serveur a seulement la clef publique. > > Oui, tous les serveurs qui doivent te déchiffrer (= tous ceux sur > lesquels tu dois te connecter) ont la publique Le serveur distant a la clef publique que j’y ai copié. Mais pas pour déchiffrer. Voir plus haut. Sauf erreur ou omission. >> Le client a les deux clefs. >> Seul le client peut déchiffrer une phrase chiffrée. > > Non, seul le client peut chiffrer Tous ceux qui ont la clef publique peuvent chiffrer. Et aussi celui qui a seulement la clef privée car elle permet de générer une clef publique (je suppose qu’on peut chiffrer aussi avec la clef privée) > >> Comment fait le serveur ssh pour savoir que c’est bien le détenteur de >> la clef privée qui frappe à la porte ? > > Parce qu'il décode, avec la clef publique, une phrase chiffrée par le > client avec sa clef privée Toujours pas d’accord. Peut-être as-tu un détail de la séquence entre client et serveur ? >>> L'idée c'est quand même d'y mettre un mot de passe pour avoir les 2 >>> facteurs d'authentification. >> Ça enlève l’intérêt d’une authentification rapide. >> Ou alors il faut un gestionnaire de pwd pour stocker la phrase de passe… > > Tout à fait, c'est à ça que sert kwallet ou gnome-agent ou keepassxc Keepass[xc], etc.ne sont pas sûrs comme la plupart des gestionnaires de pwd qui ont tous déjà été attaqués. Y compris dashlane. Voir divers articles. > >>> sur le client il faut utiliser le paramètre -i pour utiliser le clef adhoc >>> ou l'indiquer dans ~/.ssh/config du client. Donc il faut monter ta clef >>> pour qu'elle soit accessible par le client. >> Entendu. >> Modulo le nom du dev /dev/sdb … >> Sauf à utiliser un UUID pour le device (ça se fait, je crois). > > oui tu mets ce qui va bien avec uuid ou partuid ou label dans /etc/fstab, avec > l'option user, et le client fait un mount du nom du répertoire que tu > précise. Par exemple chez moi : > > #/dev/sdc1: LABEL_FATBOOT="CLEF" LABEL="CLEF" UUID="CC7E-404F" > BLOCK_SIZE="512" TYPE="vfat" PARTUUID="f42f95e2-01" > LABEL="CLEF"/media/usb vfat user,noexec,noauto,noatime,lazytime > 0 2 > > PARTUUID="42711922-2694-43bd-bf1f-9d6a7fccebec" /media/backup exfat > user,noexec,noauto,noatime,lazytime 0 0 > > /dev/mmcblk0p1 /media/sd xfs > user,noexec,noauto,rw,noatime,inode64,logbufs=8,logbsize=32k,noquota,lazytime > 0 0 Ok. Merci. >> Je me dis que pour que le HSM se substitue à moi dans la gestion des clefs, >> et >> aller au-delà d’indiquer le chemin de la clef (avec ssh -i) il faut sans >> doute >> utiliser PAM (d’ailleurs, qui sert aussi à interfacer une authentification >> LDAP). > > A la base les PAM c'est plutôt pour le local, d'ailleurs sshd appelle les > PAM pour établir la session. Là ce que tu travailles c'est la > sécurisation d'une connexion ssh sur le client, donc à priori aucun > rapport avec les PAM. > Mais peut-être plutôt avec udev qui peut lancer le ssh qui va bien dès > que tu insères une clef USB ? Je ne sais pas trop. PAM offre aux applications une interface standard pour l’authentification qui permet de s’affranchir du mécanisme sous-jacent. Je suis en train d’étudier PAM.
Re: Authentification ssh et PAM
Merci beaucoup pour tes pointeurs. Je vais étudier ça. Le HSM gérera la clef ; ou plutôt il gérera la passphrase de protection beaucoup plus courte que la clef elle-même 2048 bits. En pratique, sais-tu si pour utiliser un HSM on DOIT s’interfacer avec le système via PAM ? (Je me dis que oui, car je crois savoir que l’authentification par LDAP passe par PAM). Qui a de l’expérience sur utiliser un HSM via ou sans PAM ? Merci. > Le 19 juil. 2023 à 10:08, didier gaumet a écrit : > > je n'y connais rien mais tu peux éventuellement consulter ce qui suit: > > - sur le fonctionnement général de PAM: la vieille doc de kernel.org (The > Linux-PAM System Administrators' Guide) n'est plus semble-t-il disponible sur > le site d'origine mais on la dtouve encore ailleurs: > https://beausanders.org/linux_shared_files/Linux-PAM_System_Administrators_Guide.pdf > la mage man de PAM(8) peut aussi être consultée > > - sur le principe général (avec diagrammes, plus visuels) de l'emploi des > smartcards (sous-type de HSM); RedHat propose cette doc: > https://www.redhat.com/en/blog/consistent-pkcs-11-support-red-hat-enterprise-linux-8 > > - sur la configuration particulière nécessaire à cet usage en liaison avec > des applis/serveurs, Red Hat propose cette doc: > https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/configuring-applications-to-use-cryptographic-hardware-through-pkcs-11_security-hardening >
Re: Authentification ssh et PAM
> Le 19 juil. 2023 à 09:05, Michel Verdier a écrit : > Le 18 juillet 2023 roger tarani a écrit : > >> Quel est le mécanisme détaillé conduisant à l'authentification de >> l'utilisateur par l'hôte distant ? >> (la clef privée reste sur l'hôte local ; comment la clef publique et la clef >> privée sont-elles liées ? par la création d'un jeton ? ou autre ? ) > > La clef publique est indiquée au serveur lors de la demande de connexion. > Le serveur s'en sert ensuite pour décrypter une phrase cryptée par le > client avec sa clef privée. Je ne comprends pas. Pour chiffrer une phrase il suffit de la clef publique. Pour déchiffrer une phrase il faut la clef privée. Le serveur a seulement la clef publique. Le client a les deux clefs. Seul le client peut déchiffrer une phrase chiffrée. Comment fait le serveur ssh pour savoir que c’est bien le détenteur de la clef privée qui frappe à la porte ? Je ne vois que ça : le serveur chiffre une phrase et l’envoie au client qui lui retourne déchiffrée. Il compare et constate si le client a su déchiffrer. C’est ça ? >> Stocker la clef privée localement avec pour seule protection des droits 600 >> me semble léger même si c'est habituel. > > L'idée c'est quand même d'y mettre un mot de passe pour avoir les 2 > facteurs d'authentification. Ça enlève l’intérêt d’une authentification rapide. Ou alors il faut un gestionnaire de pwd pour stocker la phrase de passe… > >> Si je décide de stocker la clef privée en dehors de l'hôte local, soit sur >> une >> clef flash déconnectée du réseau (avec ou sans chiffrement), soit carrément >> sur un HSM, comment dois-je procéder pour qu'elle soit utilisée par le >> système > > sur le client il faut utiliser le paramètre -i pour utiliser le clef adhoc > ou l'indiquer dans ~/.ssh/config du client. Donc il faut monter ta clef > pour qu'elle soit accessible par le client. Entendu. Modulo le nom du dev /dev/sdb … Sauf à utiliser un UUID pour le device (ça se fait, je crois). > >> En cherchant, j'ai lu des choses sur PAM que je n'ai jamais pratiqué. >> https://linux.goffinet.org/administration/securite-locale/pluggable-authentication-modules-pam/ >> >> >> Puis-je utiliser ce qui existe (biblio PAM) pour faire communiquer l'hôte >> local et le HSM afin de réaliser une authentification ssh ? >> Comment faut-il faire ? > > Je ne comprend pas ce que tu cherches à faire ? Tu veux qu'une > authentification PAM passe par ssh et pas par le login habituel ? Je me dis que pour que le HSM se substitue à moi dans la gestion des clefs, et aller au-delà d’indiquer le chemin de la clef (avec ssh -i) il faut sans doute utiliser PAM (d’ailleurs, qui sert aussi à interfacer une authentification LDAP).
Re: Authentification ssh et PAM
Merci. Je connais l’usage. Je voudrais savoir comment fonctionne le mécanisme d’authentification par clefs asymétriques permettant de donner l’accès à l’hôte distant. Qui fait quoi. Et surtout comment procéder pour utiliser un HSM ou une clef USB où sera stockée la clef privée. Et aussi savoir si on doit utiliser PAM, et comment. > Le 19 juil. 2023 à 00:00, ajh-valmer a écrit : > > Il suffit de taper 3 mots dans un moteur de recherche : > www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server-fr > :-) > >> On Tuesday 18 July 2023 18:16:21 roger.tar...@free.fr wrote: >> Un utilisateur dispose d'une clef ssh privée et d'une clef publique >> rangés dans ~/.ssh/ , avec des droits 600. >> S'il a copié la clef publique sur un serveur distant, l'agent local >> saura "lier la clef publique et la privée" pour lui donner accès à l'hôte >> distant sans besoin de saisir id et pwd. >> Classique. >> Quel est le mécanisme détaillé conduisant à l'authentification de >> l'utilisateur par l'hôte distant ? >> (la clef privée reste sur l'hôte local ; comment la clef publique et la clef >> privée sont-elles liées ? par la création d'un jeton ? ou autre ? ) >> Stocker la clef privée localement avec pour seule protection des droits 600 >> me semble léger même si c'est habituel. >> Si je décide de stocker la clef privée en dehors de l'hôte local, soit sur >> une clef flash déconnectée du réseau (avec ou sans chiffrement), soit >> carrément sur un HSM, comment dois-je procéder pour qu'elle soit utilisée >> par le système ? >> En cherchant, j'ai lu des choses sur PAM que je n'ai jamais pratiqué. >> https://linux.goffinet.org/administration/securite-locale/pluggable-authentication-modules-pam/ >> >> Puis-je utiliser ce qui existe (biblio PAM) pour faire communiquer l'hôte >> local et le HSM afin de réaliser une authentification ssh ? >> Comment faut-il faire ? >
Re: Comment modifier l'objet erroné d'un fil de discussion ?
Bonjour Ok. Merci. > Le 18 juil. 2023 à 09:48, Étienne Mollier a écrit : > > Bonjour, > > roger.tar...@free.fr, on 2023-07-17: >> Par exemple, je me suis trompé : >> Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ? >> >> au lieu de : >> Driver r8169 pour carte PCI réseau DLink DGE-528T : jouable ? >> >> Quelle est la convention pour renommer un fil de discussion ? > > La convention typique pour changer le sujet d'un fil de > discussion est de mettre l'ancien nom dans un pseudo-champ Was : > >Subject: Driver r8169 pour carte PCI réseau DLink DGE-528T : jouable ? > (Was: Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ?) > > Mais si c'est juste pour corriger une coquille, je pense que de > juste la corriger dans le sujet entre deux courriels sera tout à > fait tolérable. > > Bonne journée, :) > -- > Étienne Mollier > Fingerprint: 8f91 b227 c7d6 f2b1 948c 8236 793c f67e 8f0d 11da > Sent from /dev/tty1, please excuse my verbosity. signature.asc Description: Binary data
Re: Existe t-il quelque chose de plus "léger" que X2Go et compatible arm
Tu deviens chaque jour plus convaincant ! Je vais peut-être réveiller ma flotte de RPi bouffeurs de carte flash… (en lisant seulement la carte flash et en ajoutant un ssd). Merci. > Le 17 juil. 2023 à 14:39, NoSpam a écrit : > > https://www.youtube.com/watch?v=TIDrqM2ZyDA > >> Le 17/07/2023 à 13:07, Olivier Back my spare a écrit : >> J'ai eu peur de me faire jeter parce que ma demande ne concerne pas >> exclusivement du X86 ou x86_64 ou du amd64. >> En fait le pupitre est mon ordi sous linux et je souhaite accèder aussi en X >> sur mes raspberry pi4 et un sbc avec chipset arm Rockchip RK3588. >> >> >>> Le 17/07/2023 à 12:38, RogerT a écrit : >>> Bonjour, >>> >>> Demandons à NoSpam si MeshCentral/MeshAgent (discuté par ailleurs dans « >>> Accès distant graphique performant, sécurisé, écran-clavier-souris ») >>> convient pour arm. >>> >>> C’est aussi pour MacOS qui tourne en arm, donc peut-être… >>> https://www.meshcommander.com/meshcentral2/installation >>> <https://www.meshcommander.com/meshcentral2/installation> >>> >>> >>>> Le 17 juil. 2023 à 12:16, Olivier Back my spare >>>> a écrit : >>>> >>>> Bonjour >>>> >>>> Existe t-il quelque chose de plus léger que x2go et qui soit aussi porté >>>> sur arm64 (Raspberry pi entre autre)? >>>> Je cherche mais je ne trouve pas. La suite des vnc viewer, nomachine... >>>> >>>> -- >>>> "It is possible to commit no errors and still lose. That is not a >>>> weakness. That is life." >>>> – Captain Jean-Luc Picard to Data >>>> >> >
Driver r3189 pour carte PCI réseau DLink DGE-528T : jouable ?
Bonjour, Je voudrais installer une carte réseau additionnelle. J’ai retrouvé une DLink DGE-528T achetée il y a 5-6 ans, vendue pour mac/linux/win. Je voudrais savoir si ça vaut le coup de l’installer. Je vois dans la doc d’origine « pour linux 2.4 et 2.6 » Et dans la doc plus récente : aussi noyau 3.16 https://eu.dlink.com/fr/fr/-/media/business_products/dge/dge-528t/datasheet/dge_528t_c1_datasheet_en.pdf La machine est en 5.10 Je lis ici : https://linux-hardware.org/index.php?id=pci:1186-4300-1186-4300 Ver Source Config By ID 5.3 - 6.3 drivers/net/ethernet/realtek/r8169_main.c CONFIG_ETHERNET CONFIG_NET_VENDOR_REALTEK CONFIG_R8169 1186:4300 J’ai commencé à jouer du lspci et lsmod. Je ne crois pas voir le driver realtek8169 installé. J’hésite à me lancer dans une compilation de pilote, etc. vu mes expériences parfois difficiles et vu le prix d’une carte réseau récente. D’après votre expérience, est-ce que ça vaut le coup d’essayer de l’installer ? Et comment ? Merci.
Re: Existe t-il quelque chose de plus "léger" que X2Go et compatible arm
Bonjour, Demandons à NoSpam si MeshCentral/MeshAgent (discuté par ailleurs dans « Accès distant graphique performant, sécurisé, écran-clavier-souris ») convient pour arm. C’est aussi pour MacOS qui tourne en arm, donc peut-être… https://www.meshcommander.com/meshcentral2/installation > Le 17 juil. 2023 à 12:16, Olivier Back my spare a > écrit : > Bonjour > > Existe t-il quelque chose de plus léger que x2go et qui soit aussi porté sur > arm64 (Raspberry pi entre autre)? > Je cherche mais je ne trouve pas. La suite des vnc viewer, nomachine... > > -- > "It is possible to commit no errors and still lose. That is not a weakness. > That is life." > – Captain Jean-Luc Picard to Data
Re: Problème Email sous ROUNDCUBE-
> Le 16 juil. 2023 à 11:10, Zuthos a écrit : > > roger.tar...@free.fr a écrit : >> On te lit ! > > Bonjour, > > Merci pour votre retour et votre aide > >> Pour la connexion au serveur smtp, il faudrait commencer par vérifier ce >> qu'exige ton serveur smtp. >> En général, il faut : >> L'adresse du serveur SMTP > > En fait, je crois que je mélange un peu tout. > > J'ai une machine qui gère les Emails avec Exim4 dessus. Puis-je > considerer qu'EXIM fait du SMTP? exim peut être un serveur smtp ou bien utiliser le serveur smtp de ton choix (cf. menu de configuration d’exim) > > Exim renvoit a un SMTP extérieur pour distributions du courrier. ce SMTP > est accéssible avec le PORT 587. As-tu essayé de vérifier que le service smtp utilisé est opérationnel ? Soit en utilisant un client de messagerie de ton choix (thunderbird ou autre), ce qui est le plus simple. Soit en CLI. > J'ai cru comprendre que désormais, il falait s'hautentifier auprès des > serveurs SMTP A ma connaissance, depuis toujours ! Sinon tout service smtp serait ouvert à tous. > >> Le nom d'utilisateur >> Le mot de passe > J'ai plusieurs utilisateurs. Faut-il faire une authentification par > utilisateurs? par fournisseurs d'email? Tu dois choisir : un utilisateur et son compte de messagerie chez tel fournisseur. Et utiliser les infos de connexion données par ce fournisseur. ex : smtp smtp.free.fr id jp.durand pwd * port 587 > >> >> Et puis il faut aussi vérifier que le port choisi est ouvert sur la route >> jusqu'au serveur SMTP (voir le fw utilisé). >> Voilà ce que je peux dire de ma modeste expérience. > > Pour l'instant, mes test sont fait sur le serveur. Donc, pas de soucis > de firewall. > > Merci de votre patience.
Re: Accès distant graphique performant, sécurisé, écran-clavier-souris
> Le 15 juil. 2023 à 23:07, ajh-valmer a écrit : > On Saturday 15 July 2023 20:09:56 didier gaumet wrote: >> Enfin bref, c'est peut-être moi qui n'en comprend pas l'intérêt mais >> j'ai du mal à envisager XDMCP comme une solution intéressante. > > XDMCP est la solution la plus utilisée pour le mode Terminaux/Serveur, > à utiliser de préférence en mode intranet (sécurité). > Elle ne doit pas être comparée à d'autres solutions qui n'ont pas > le même objectif, telle celui d'un établissement scolaire. > > SSH, Teamviewer, Anydesk..., c'est pour un autre objectif, > dépannage à distance, prendre la main sur un ordinateur distant... > L’objectif est « Accès distant graphique performant, sécurisé, écran-clavier-souris ». Tu n’as pas du tout parlé de sécurité de la connexion. Pour assurer la sécurité de la connexion à un serveur via le protocole XDMCP, je dois d’abord ouvrir un tunnel ssh, par exemple. C’est impératif. Voir Warning en rouge dans https://wiki.archlinux.org/title/XDMCP . C’est comme avec VNC qui n’utilise pas de protocole sécurisé de connexion. Cf. notamment https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-vnc-on-ubuntu-20-04-fr#etape-3-connexion-securisee-au-bureau-vnc . Le client Remmina propose de gérer ce tunnel. Le client java de Tightvnc aussi. Car l’utilisateur ordinaire habitué à un client utilisable en un clic ne saisira jamais, avant d’ouvrir la connexion XDMCP ou VNC, une commande comme : ssh -L 5901:localhost:5901 REMOTE_IP Ensuite, il faut veiller à ce que le port udp 177 soit ouvert sur le réseau pour XDMCP. Ah, non… pas si on utilise un tunnel ssh (port 22). Comme avec VNC qui utilise le port 5901. A ma connaissance, il faut quand même que le fw du serveur accepte les requêtes sur le port 22, et 177 ou 5901. Mais il faut encore que le routeur du LAN autorise le routage de port depuis l’adresse IP publique avec un numéro à définir (pas 22, s’il y a plusieurs serveurs ssh sur le LAN) vers le port 22 du serveur considéré. Ça marche mais c’est rustique. C’est en détaillant tout ça, avec ma connaissance réseau ordinaire, qu’on voit que MeshCentral permet de s’affranchir (à la Teamviewer) de toutes ces contraintes, selon NoSpam : > « MeshAgent permet de se désengager de toute > installation/configuration/gestion de FW du client. Comme Anydesk ou > Teamviewer, une appli à télécharger par le client, peu importe l'OS, et vous > avez accès à sa machine soit en Gui soit en console (ou les deux). On peux > également se connecter en RDP à un client si l'accès est autorisé sur celui > ci. » PS : Tu as écrit : > « Chez moi, Teamviewer ne marche pas. > Par contre, Anydesk marche très bien. » Peux-tu expliquer pourquoi ?
Re: Accès distant graphique performant, sécurisé avec écran-clavier-souris
> Le 15 juil. 2023 à 17:55, ajh-valmer a écrit : > > On Saturday 15 July 2023 17:40:16 RogerT wrote: >>> tde-trinity : il a la possibilité d'une connexion distante sur un client >>> avec XDMCP. (X Display Manager Control Protocol). >>> Elle se fait au boot du bureau => Menu => >>> Connexion distante : >>> On paramètre XDMCP dans le fichier "/etc/trinity/tdm/tdmrc", >>> rubrique XDMCP. > >> Ça fonctionne entre deux machines linux, équipées de TDE pour >> au moins une des deux (le «serveur») ? Ou les deux aussi le «client» ? : > > Oui, bien sûr. Il faut juste TDE sur le serveur. Mais pas forcément sur le client, puisque ce peut être Mac/Win. C’est ça ? > >> Est-ce qu’un utilisateur qui tourne sous MacOS ou win pourra se >> connecter à l’hôte qui tourne sous (l’excellent) TDE ? >> (cad déport de l’environnement graphique vers le «client» non linux) >> Et comment ? > > Oui, à condition de faire le nécessaire sous MacOS et Windows. > Pour ce dernier il y a RDP. Pas fait d'essai avec MacOS. Un client RDP suffit donc. C’est ça ? >
Re: Accès distant graphique performant, sécurisé avec écran-clavier-souris
> Le 15 juil. 2023 à 15:13, ajh-valmer a écrit : > > On Friday 14 July 2023 19:38:05 RogerT wrote: >> Quelle expérience de connexion à distance partagée, >> individuelle à ce DE/bureau as-tu ? >> Avec quel client ? > > tde-trinity : il a la possibilité d'une connexion distante sur un client > avec XDMCP. (X Display Manager Control Protocol). > Elle se fait au boot du bureau => Menu => > Connexion distante : > > On paramètre XDMCP dans le fichier "/etc/trinity/tdm/tdmrc", > rubrique XDMCP. > > Linux, les systèmes à base Unix, sont taillés pour les connexions > distantes, c'est leur point fort, dont les connexions Terminaux/Serveur, > Dans un réseau, un seul système, le serveur, et les terminaux s'y connectent > sans posséder de système selon login + . > On utilise des vieux ordinateurs comme terminaux, qui deviennent des > "bêtes de course" utilisant la puissance du serveur. > C'est le cas dans plusieurs établissements scolaires, > à la fin de l'année on supprime les comptes users des élèves qui > ont quitté l'établissement, quel gain de temps pour l'administrateur. > Dernier point, pour alléger le serveur, les terminaux peuvent avoir > leur propre serveur graphique. > > Conclusion : l'accès distant graphique performant et sécurisé + > écran-clavier-souris marche parfaitement avec Tde-Trinity. > > A. Valmer > ça fonctionne entre deux machines linux, équipées de TDE pour au moins une des deux (le « serveur ») ? Ou les deux aussi le « client » ? Est-ce qu’un utilisateur qui tourne sous MacOS ou win pourra se connecter à l’hôte qui tourne sous (l’excellent) TDE ? (cad déport de l’environnement graphique vers le « client » non linux) Et comment ?
Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris
MeshCentral Développé par Ylian Saint-Hilaire, ingénieur chez Intel, MeshCentral permet la prise de contrôle de machines/serveurs via un agent Windows/Linux/MacOS à installer, en exécution seule (type Teamviewer QuickSupport) ou via la technologie Intel AMT (Active Management Technology). MeshCentral vous fournit, en plus de l’agent, le serveur associé qui centralise toutes les connexions des agents. https://homepages.lcc-toulouse.fr/colombet/meshcentral-solution-libre-pour-remplacer-teamviewer/ Ça va bien au-delà d’un simple partage d’écran. Utilises-tu la centralisation offerte par MeshCentral ? Alors, pourquoi ne pas regarder aussi vers Teleport, que j’ai aperçu récemment ? https://goteleport.com/ Dans les deux cas, il reste encore à vérifier la sécurité apportée par ces engins qui ouvrent toutes les portes de l’infrastructure… > Le 15 juil. 2023 à 14:20, NoSpam a écrit : > > Tant que l'agent tourne sur le client l'accès est ouvert. Si l'e client ne > veut pas que le service tourne, il le lance à la main sur demande. > > Des utilisateurs/groupes d 'utilisateurs peuvent être créés pour la gestion > des accès. > > >> Le 15/07/2023 à 14:07, RogerT a écrit : >> Très bien. >> Quelle garantie de sécurité/confidentialité y a-t-il avec MeshAgent (ou >> MeshCentral) ? >> >> https://framalibre.org/content/meshcentral >> >> De ton expérience, est-ce un partage d’écran ou aussi l’ouverture de >> sessions graphiques indépendantes (hôte linux) ? > > Les deux, tout comme chat et autre joyeusetés. > > https://www.google.com/url?sa=t=j==s=web==rja=8=2ahUKEwix5-732JCAAxXmTKQEHQktCE8QFnoECCEQAQ=https%3A%2F%2Fgithub.com%2FYlianst%2FMeshCentral=AOvVaw3rpgnKF8I_jnse61A52d94=89978449 > > https://www.google.com/url?sa=t=j==s=web==rja=8=2ahUKEwix5-732JCAAxXmTKQEHQktCE8QtwJ6BAg0EAI=https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DpGBIjBGqlfI=AOvVaw247r9520YSVhaEk7Xt5XjQ=89978449 > > https://www.google.com/url?sa=t=j==s=web==rja=8=2ahUKEwiu5bSc2ZCAAxXcdqQEHWU5Dng4ChAWegQIDRAB=https%3A%2F%2Fhomepages.lcc-toulouse.fr%2Fcolombet%2Fmeshcentral-solution-libre-pour-remplacer-teamviewer%2F=AOvVaw1mT9VaJoEW2i9n6K4nafPY=89978449 > >> >>>> Le 15 juil. 2023 à 13:55, NoSpam a écrit : >>> >>> J'insiste, mais MeshAgent permet de se désengager de toute >>> installation/configuration/gestion de FW du client. Comme Anydesk ou >>> Teamviewer, une appli à télécharger par le client, peu importe l'OS, et >>> vous avez accès à sa machine soit en Gui soit en console (ou les deux). On >>> peux également se connecter en RDP à un client si l'accès est autorisé sur >>> celui ci. >>> >>> Le 15/07/2023 à 13:12, RogerT a écrit : >>>> Merci. >>>> >>>> Rustdesk, « sans configuration », avec un serveur relais auto hébergé pour >>>> éviter la surveillance dénoncée (à vérifier : est-ce que ça suffit ?) : ça >>>> semble donc une bonne alternative. >>>> >>>> Pour ma part, j’ai un bon retour d’expérience avec le client Remmina multi >>>> protocoles. >>>> Il reste à déterminer les meilleurs serveur et protocole à installer sur >>>> la machine à laquelle accéder, en tenant compte du DE à installer (pas >>>> simple avec les DE linux qui posent visiblement diverses contraintes - se >>>> connecter en RDP à une machine win ne pose jamais de problème, sauf >>>> l’unicité de la session graphique, à ma connaissance, qui amène à utiliser >>>> Teamviewer pour partager l’écran). >>>> >>>> >>>> >>>>> Le 15 juil. 2023 à 12:58, didier gaumet a écrit >>>>> : >>>>> >>>>> Le 14/07/2023 à 12:44, RogerT a écrit : >>>>> [...] >>>>>> Il y a 6 alternatives à TeamViewer : >>>>>> https://framalibre.org/alternatives?tid=TeamViewer >>>>>> <https://framalibre.org/alternatives?tid=TeamViewer> >>>>> [...] >>>>> >>>>> J'ai regardé un peu tout ça. >>>>> >>>>> Perso, vu mon niveau et mon besoin potentiel de pouvoir assister des >>>>> possesseurs de PC Windows que je n'administre pas, je privilégie un truc >>>>> simple sans configuration: ici Hoptodesk ou Rustdesk >>>>> >>>>> Hoptodesk: >>>>> - j'ai essayé une Appimage officielle, elle s'est vautrée. En lançant >>>>> dans un terminal je vois qu'il manque une bibliothèque (pour une >>>>> Appimage, hein, c'est pas censé arriver...), je l'installe à la main, >>>>> pour voir: ça ne couine plus sur le manque d'un bibliothèque, ça se >>>>> vautre avec une myriade de messages d'erreur :-( >>>>> - je cherche un peu sur internet et je m'aperçois qu'en fait Hoptodesk >>>>> est un fork de Rustdesk dont l'auteur n'avait à l'origine pas compris les >>>>> termes des licences AGPL/GPL et avait supprimé les copyright Rustdesk :-( >>>>> => je ne sais pas pour vous mais pour moi, Hoptodesk est à fuir >>>>> >>>>> >>> >
Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris
Très bien. Quelle garantie de sécurité/confidentialité y a-t-il avec MeshAgent (ou MeshCentral) ? https://framalibre.org/content/meshcentral De ton expérience, est-ce un partage d’écran ou aussi l’ouverture de sessions graphiques indépendantes (hôte linux) ? > Le 15 juil. 2023 à 13:55, NoSpam a écrit : > J'insiste, mais MeshAgent permet de se désengager de toute > installation/configuration/gestion de FW du client. Comme Anydesk ou > Teamviewer, une appli à télécharger par le client, peu importe l'OS, et vous > avez accès à sa machine soit en Gui soit en console (ou les deux). On peux > également se connecter en RDP à un client si l'accès est autorisé sur celui > ci. > > Le 15/07/2023 à 13:12, RogerT a écrit : >> Merci. >> >> Rustdesk, « sans configuration », avec un serveur relais auto hébergé pour >> éviter la surveillance dénoncée (à vérifier : est-ce que ça suffit ?) : ça >> semble donc une bonne alternative. >> >> Pour ma part, j’ai un bon retour d’expérience avec le client Remmina multi >> protocoles. >> Il reste à déterminer les meilleurs serveur et protocole à installer sur la >> machine à laquelle accéder, en tenant compte du DE à installer (pas simple >> avec les DE linux qui posent visiblement diverses contraintes - se connecter >> en RDP à une machine win ne pose jamais de problème, sauf l’unicité de la >> session graphique, à ma connaissance, qui amène à utiliser Teamviewer pour >> partager l’écran). >> >> >> >>> Le 15 juil. 2023 à 12:58, didier gaumet a écrit : >>> Le 14/07/2023 à 12:44, RogerT a écrit : >>> [...] >>>> Il y a 6 alternatives à TeamViewer : >>>> https://framalibre.org/alternatives?tid=TeamViewer >>>> <https://framalibre.org/alternatives?tid=TeamViewer> >>> [...] >>> J'ai regardé un peu tout ça. >>> Perso, vu mon niveau et mon besoin potentiel de pouvoir assister des >>> possesseurs de PC Windows que je n'administre pas, je privilégie un truc >>> simple sans configuration: ici Hoptodesk ou Rustdesk >>> Hoptodesk: >>> - j'ai essayé une Appimage officielle, elle s'est vautrée. En lançant dans >>> un terminal je vois qu'il manque une bibliothèque (pour une Appimage, hein, >>> c'est pas censé arriver...), je l'installe à la main, pour voir: ça ne >>> couine plus sur le manque d'un bibliothèque, ça se vautre avec une myriade >>> de messages d'erreur :-( >>> - je cherche un peu sur internet et je m'aperçois qu'en fait Hoptodesk est >>> un fork de Rustdesk dont l'auteur n'avait à l'origine pas compris les >>> termes des licences AGPL/GPL et avait supprimé les copyright Rustdesk :-( >>> => je ne sais pas pour vous mais pour moi, Hoptodesk est à fuir
Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris
Merci. Rustdesk, « sans configuration », avec un serveur relais auto hébergé pour éviter la surveillance dénoncée (à vérifier : est-ce que ça suffit ?) : ça semble donc une bonne alternative. Pour ma part, j’ai un bon retour d’expérience avec le client Remmina multi protocoles. Il reste à déterminer les meilleurs serveur et protocole à installer sur la machine à laquelle accéder, en tenant compte du DE à installer (pas simple avec les DE linux qui posent visiblement diverses contraintes - se connecter en RDP à une machine win ne pose jamais de problème, sauf l’unicité de la session graphique, à ma connaissance, qui amène à utiliser Teamviewer pour partager l’écran). > Le 15 juil. 2023 à 12:58, didier gaumet a écrit : > > Le 14/07/2023 à 12:44, RogerT a écrit : > [...] >> Il y a 6 alternatives à TeamViewer : >> https://framalibre.org/alternatives?tid=TeamViewer >> <https://framalibre.org/alternatives?tid=TeamViewer> > [...] > > J'ai regardé un peu tout ça. > > Perso, vu mon niveau et mon besoin potentiel de pouvoir assister des > possesseurs de PC Windows que je n'administre pas, je privilégie un truc > simple sans configuration: ici Hoptodesk ou Rustdesk > > Hoptodesk: > - j'ai essayé une Appimage officielle, elle s'est vautrée. En lançant dans un > terminal je vois qu'il manque une bibliothèque (pour une Appimage, hein, > c'est pas censé arriver...), je l'installe à la main, pour voir: ça ne couine > plus sur le manque d'un bibliothèque, ça se vautre avec une myriade de > messages d'erreur :-( > - je cherche un peu sur internet et je m'aperçois qu'en fait Hoptodesk est un > fork de Rustdesk dont l'auteur n'avait à l'origine pas compris les termes des > licences AGPL/GPL et avait supprimé les copyright Rustdesk :-( > => je ne sais pas pour vous mais pour moi, Hoptodesk est à fuir > >
Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris
Quelle expérience de connexion à distance partagée, individuelle à ce DE/bureau as-tu ? Avec quel client ? > Le 14 juil. 2023 à 16:18, ajh-valmer a écrit : > > On Friday 14 July 2023 15:56:49 RogerT wrote: >>>> Le 14 juil. 2023 à 15:35, ajh-valmer a écrit : >>> >>> On Friday 14 July 2023 10:34:22 RogerT wrote: >>>> Et installer un DE léger comme xfce4 va créer un rejet chez l’utilisateur >>>> habitué à VNC ou RDP. >>>> Peut-on configurer x2go de manière à conserver un bureau gnome allégé de >>>> certains effets graphiques ? Et comment ? >>>> Ou alors KDE qui semble un DE confortable très apprécié sous debian ? >>>> PS : Quelle est la situation de x2go par rapport au duo xorg/wayland ? >>>> Puisque j’ai compris qu’on migrait progressivement vers wayland, plus >>>> sécurisé. > >>> Pour la partie DE, je conseille le bureau Tde-Trinity : > >> Merci pour la référence. >> Je voulais tester KDE dont beaucoup parlent en bien par rapport à gnome. >> Si ce DE Tde Trinity convient à l’utilisateur habitué à Gnome, >> je l’installerai et testerai l’accès à distance. >> VNC et RDP sont deux protocoles permettant d’accéder à distance au DE/bureau >> graphique. >> De mon expérience, avec VNC et RDP c’est un partage d’écran >> (on accède à la session ouverte). Avec RDP vers Win, c’est limité par la >> session unique (sinon, acheter Win server). Pour VNC, il est possible >> d’avoir deux sessions concurrentes : >> > https://superuser.com/questions/363476/is-there-a-way-of-running-two-concurrent-vnc-sessions-one-per-logged-on-user#1408540 > ) >> Tandis que x2go ouvre sa propre session graphique. Ça surprend la première >> fois. >> On doit pouvoir partager une session graphique avec x2go mais je n’ai jamais >> essayé et je ne me souviens pas que la doc x2go en parle. > > Essayer TDE-Trinity c'est l'adopter :-) > Pour l'installer, souces.list (toute la ligne) (remplacer bookworm par sa > distribution) : > deb http://mirror.ppa.trinitydesktop.org/trinity/deb/trinity-r14.1.x bookworm > main deps > > Il y a une ML (en anglais), ce sujet VNC ou RDP a été évoqué. > Voici ses coordonnées : > tde-users mailing list -- us...@trinitydesktop.org > https://mail.trinitydesktop.org/mailman3/accounts/signup/?next=/mailman3/hyperkitty/list/users%40trinitydesktop.org/ > > Hope it helps. >
Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris
> Le 14 juil. 2023 à 15:35, ajh-valmer a écrit : > > On Friday 14 July 2023 10:34:22 RogerT wrote: >> J’ai besoin pour un utilisateur ordinaire de lui permettre un accès >> graphique à un hôte debian 12 sous gnome. >> J’ai repensé à x2go, discuté dans ce fil de 2018. >> J’ai été embêté par la configuration. Je n’ai pas réussi >> Il semble que ce ne soit pas vraiment compatible avec gnome de debian 12. >> Et installer un DE léger comme xfce4 va créer un rejet chez l’utilisateur >> habitué à VNC ou RDP. >> Peut-on configurer x2go de manière à conserver un bureau gnome allégé de >> certains effets graphiques ? Et comment ? >> Ou alors KDE qui semble un DE confortable très apprécié sous debian ? >> PS : Quelle est la situation de x2go par rapport au duo xorg/wayland ? >> Puisque j’ai compris qu’on migrait progressivement vers wayland, plus >> sécurisé. > > Bonjour, > > Pour la partie DE, je conseille le bureau Tde-Trinity, > il est léger, ergonomique, s'installe bien sur tous GNU/Linux, > un vrai bureau ! > C'est un fork de KDE-3 qui n'a pas cessé d'évoluer, car très bien maintenu. > Aujourd'hui, il est comme un bureau KDE-5 sans ses inconvénients. > > Y a t-il un rapport entre VNC ou RDP et un bureau ? Merci pour la référence. Je voulais tester KDE dont beaucoup parlent en bien par rapport à gnome. Si ce DE Tde Trinity convient à l’utilisateur habitué à Gnome, je l’installerai et testerai l’accès à distance. VNC et RDP sont deux protocoles permettant d’accéder à distance au DE/bureau graphique. De mon expérience, avec VNC et RDP c’est un partage d’écran (on accède à la session ouverte). Avec RDP vers Win, c’est limité par la session unique (sinon, acheter Win server). Pour VNC, il est possible d’avoir deux sessions concurrentes (voir https://superuser.com/questions/363476/is-there-a-way-of-running-two-concurrent-vnc-sessions-one-per-logged-on-user#1408540 ) Tandis que x2go ouvre sa propre session graphique. Ça surprend la première fois. On doit pouvoir partager une session graphique avec x2go mais je n’ai jamais essayé et je ne me souviens pas que la doc x2go en parle.
Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris
Bonjour Merci pour l’avertissement ! Et pour la référence à Rustdesk. Je note qu’on peut auto héberger ou écrire son propre serveur relais, si ça règle « le problème signalé de tracking dans l’application ». Il y a 6 alternatives à TeamViewer : https://framalibre.org/alternatives?tid=TeamViewer Rustdesk y apparaît. Et le client Remmina. Ça me rappelle que j’utilise le client Remmina (RDP, VNC, SPICE, NX, XDMCP, SSH et EXEC). Avec satisfaction. Juste deux problèmes mineurs : - la barre du haut est parfois activée quand on approche la souris sans le vouloir - il faut voir si la dernière version corrige ça (comme iOS RDP dont la barre de contrôle peut être réduite pour ne pas gêner) - en RDP, la connexion saute, rarement, quand on manipule en édition des pdf, ce qui doit générer des séquences de caractères pertubantes (avec Acrobat pro sur une machine Win) A y réfléchir ensemble, la solution que je recherche est peut-être tout simplement de garder un client Remmina et de trouver un bon serveur RDP ou VNC ou autre protocole pertinent, à déterminer. Ce qui ramène au fil que j’ai ouvert hier : « tightvnc vs. tigervnc vs. ? ». > Le 14 juil. 2023 à 11:58, didier gaumet a écrit : > Le 14/07/2023 à 10:34, RogerT a écrit : >> Bonjour, >> Je déterre ce fil. >> J’ai besoin pour un utilisateur ordinaire de lui permettre un accès >> graphique à un hôte debian 12 sous gnome. >> J’ai repensé à x2go, discuté dans ce fil de 2018. > [...] > > Avertissemnt désormais habituel: le réseau et la sécurité sont des domaines > dans lesquels je suis une vraie tanche, donc prudence > > vu que tu élargis le spectre précédemment cantonné à vnc, si tu recherches > une simplicité de mise en oeuvre et d'emploi équivalente à Teamviewer > (logiciel et protocole propriétaires), tu peux peut-être regarder du côté de > Rustdesk (logiciel libre mais semble avoir créé son propre protocole(?), en > tout cas il n'est pas fait état de protocole standard genre vnc ou rdp) > https://github.com/rustdesk/rustdesk > > Moi qui suis un vrai blaireau pour tout ce genre de choses et qui dois > parfois assister une amie sous Windows depuis un Linux, j'utilise d'habitude > Teamviewer (simplissime donc à ma portée et à la sienne). > > Je suis en train de tester des OS immuables (Fedora Silverblue et Opensuse > Micro-OS/Aeon) pour voir ce que c'est: le but est que le système > d'exploitation soit découplé des applications facilement installable par > l'utlisateur, prioritairement par flatpak (par l'app store Gnome-Software) > même si il y a des alternatives (mais c'est pas vraiment pour l'utilsateur > lambda, ces alternatives). > Donc le but est de ne *pas* installer de paquets traditionnels et d'éviter > ces alternatives (Toolbox et autres) rebutantes pour l'utilisateur > > Ben je viens de faire un essai entre mes deux machines virtuelles Silverblue > et Aeon où j'ai installé dans chacune un flatpak Rustdesk, ça a l'air de > marcher tout seul, sans aucune configuration. J'ai tenté de prendre le > contrôle de l'une à partir de l'autre, aucun problème: en termes de > fonctionnalités, je suis impressionné (vu que c'est du Flatpak, je > m'attendais à ce que ça ne marche pas ou mal à cause du bac à sable (ouais, > sur flatpak aussi, je suis une tanche)) . > > En termes de sécurité, je ne sais pas ce que vaut Rustdesk: je suppose que vu > que c'est distribué sur les app-stores Google et F-Droid et que ça figure > dans des dépôts communautaires AUR (Archlinux) et Opensuse, ça ne doit pas > être une vérole totale au niveau sécurité, même si F-Droid semble signaler > qu'il y a du tracking dans l'appli, si j'ai bien suivi.
Re: Accès distant graphique performant et sécurisé /avec écran-clavier-souris
Bonjour, Je déterre ce fil. J’ai besoin pour un utilisateur ordinaire de lui permettre un accès graphique à un hôte debian 12 sous gnome. J’ai repensé à x2go, discuté dans ce fil de 2018. J’ai été embêté par la configuration. Je n’ai pas réussi Il semble que ce ne soit pas vraiment compatible avec gnome de debian 12. Et installer un DE léger comme xfce4 va créer un rejet chez l’utilisateur habitué à VNC ou RDP. Peut-on configurer x2go de manière à conserver un bureau gnome allégé de certains effets graphiques ? Et comment ? Ou alors KDE qui semble un DE confortable très apprécié sous debian ? PS : Quelle est la situation de x2go par rapport au duo xorg/wayland ? Puisque j’ai compris qu’on migrait progressivement vers wayland, plus sécurisé. Merci. > Le 23 juin 2018 à 23:57, roger.tar...@free.fr a écrit : > > Désolé. j'ai répondu depuis mon smartphone en webmail. > Apparemment j'ai fait un DnD de ton adresse email dans le champ objet. > > Merci pour tes indications. > je vais tout simplement mettre en oeuvre la solution x2go. > Je vais aussi m'intéresser à SELinux. > > - Original Message - > From: "Gabriel Moreau" > To: "Liste Debian" > Sent: Friday, June 22, 2018 7:46:32 AM > Subject: Re: Accès distant graphique performant et sécurisé /avec > écran-clavier-souris > > >> Ça donne envie. >> Je vais essayer de me connecter à un vieux PC core2 duo sous Debian Jessie >> qui fera serveur, depuis mon portable Win7/Debian Stretch. > > Pourquoi tu as changé le sujet du courriel ? > >> Sécurité : je ne m'inquiète pas du transport et du secure shell (ssh). Ce >> n'est pas ce qui sera attaqué en premier. >> Je me préoccupe de la sécurité apportée par les composants de x2goclient et >> de x2goserver. >> Je ne sais pas bien de quoi je parle car j'ignore tout de l'architecture de >> x2go. >> Sur quel fondement peut-on dire que ces logiciels sont sûrs ? >> Ça m'intéresse vraiment de savoir. >> >> Je suis niveau élémentaire question sécurité mais je préfère posee la >> question. > > La sécurité est comme tout ce qui est X-Window. Il y a forcément un > trou. Les choses se sont bien améliorées depuis quelques années (X ne > tourne plus sous root désormais mais c'est par exemple encore le cas > sous Jessie). > > Donc si tu es sur la machine, si tu es bon, tu arrives à prendre la > main... C'est un peu ce qu'on dis de tous les bons pirates (ce que je ne > suis pas). > > C'est le cas d'un peu toutes les distributions de bureau... Si tu n'as > pas SELinux bien configuré sur 100% des applications qui tournent avec > un noyau à jour et tout et tou, il y a des chances qu'il reste un trou. > > Bref, x2go me semble bien mieux que faire du VNC ;-) Le projet est > suivis, maintenus, développés. Il intègre des pans entier de Xorg petit > à petit plutôt que de maintenir son propre arbre. Bref, la vie est belle ;-) > > gaby > -- > Gabriel Moreau - IR CNRShttp://www.legi.grenoble-inp.fr > LEGI (UMR 5519) Laboratoire des Ecoulements Geophysiques et Industriels > Domaine Universitaire, CS 40700, 38041 Grenoble Cedex 9, France > mailto:gabriel.mor...@legi.grenoble-inp.fr tel:+33.476.825.015 >
Re: Feuille de calcul web + outil de sondage web
Bonjour, Ça a l’air très complet et surtout ergonomique (ex : changer la couleur d’une cellule en un clic comme dans un tableur ordinaire auquel on est habitués). Ça offre le chiffrement de bout en bout en même temps que la collaboration. Pour ça, je lis qu’ils intègrent le client d’OnlyOffice Spreadsheets avec un serveur maison. https://docs.cryptpad.org/en/FAQ.html S’il y avait une API, alors ce serait formidable. Merci. > Le 13 juil. 2023 à 08:58, Sébastien NOBILI > a écrit : > > Bonjour, > > Le 2023-07-12 18:26, RogerT a écrit : >> A-t-on un logiciel alternatif un peu plus sympa pour l’utilisateur ? >> Sondage « autre » : trop basique (oui/non/si nécessaire/ne se > > Tu trouveras peut-être ton bonheur là : https://cryptpad.fr/ > > C'est libre et auto-hébergeable. > > Sébastien >
Re: Feuille de calcul web + outil de sondage web
> Le 12 juil. 2023 à 19:47, Haricophile a écrit : > Le Wed, 12 Jul 2023 13:42:22 +0200, > RogerT a écrit : > >> Bonjour, >> >> Pour héberger une feuille de calcul accessible à différents >> utilisateurs simultanément, de quoi dispose-t-on ? (Comme alternative >> libre à quoi vous savez) >> >> Option accessoire : contrôle d’accès par utilisateur (à un classeur, >> une feuille, une cellule). >> >> Comme il s’agit juste de recueillir des informations nominatives >> relatives à la participation à un événement (nom, coordonnées, >> déplacement, hébergement, etc.), le réflexe Excel est commun. Mais >> n’existe-t-il pas un outil minimaliste pour entrer juste la chaque >> colonne de chaque participant une liste d’informations le concernant. >> Sans mise en forme sophistiquée et sans formules inutiles ? >> >> Ça pourrait aussi servir à faire un sondage en ligne pour connaître >> les dates de disponibilités de participants, ou leur avis sur une >> question (à la doodle). Mais peut-être existe-t-il un paquet dédié au >> sondage rapide et simple ? >> >> Merci. > > Pourquoi faire simple quand on peut faire compliqué ? Je veux dire par > là que un remplissage de formulaire balancé dans un tableau c'est une > technique assez primitive qui fonctionne depuis qu'on a inventé le > formulaire en HTML. > C’est pas faux ! C’est même très pertinent. Et ça réglerait les complications de mise en forme de cellule soulevées dans mon retour sur Ethercalc. Si j’étais beaucoup plus à l’aise en programmation web, je le ferais bien. Un framework léger serait alors bien utile pour ne pas traiter tout le html à la main, non ? Ou un modèle.
Re: Feuille de calcul web + outil de sondage web
Merci. Ça semble davantage correspondre à ce que je recherche pour des utilisateurs habitués à Excel. Mais ça semble ni libre ni gratuit. Open source pour onlyoffice. Collaboraoffive : payant ou gratuit en version CODE pour usage domestique et petite équipe https://www.collaboraoffice.com/code/. > Le 12 juil. 2023 à 14:47, JARRIGE Virgile (DNUM) > a écrit : > > Hello > >> Ça c’est de l’hébergé. Merci pour les infos. >> Je souhaite héberger ces outils en ligne. >> Merci. > > En général ces plateformes utilisent "onlyoffice" pour des fichiers microsoft > office et/ou "collaboraoffice" pour des fichiers libre/open office. > > Bon après-midi, > > Virgile
Re: Feuille de calcul web + outil de sondage web
J’ai testé Ethercalc. La version d’essai hébergé est lente. J’imagine que c’est normal. Surtout le formatage des cellules est préhistorique : Ouvrir un menu-fenêtre très laid et incompréhensible. Ça risque de repousser des utilisateurs habitués à Excel ou l’équivalent en ligne. A-t-on un logiciel alternatif un peu plus sympa pour l’utilisateur ? Framadate (alternative à doodle): Sondage date : c’est suffisant. Sondage « autre » : trop basique (oui/non/si nécessaire/ne se prononce pas). Mais pas de boutons radio. Les sondés peuvent donc répondre plusieurs choix alors qu’une seule réponse est attendue par le sondeur. Et il n’y a pas de test conditionnel (si répondu ça, alors appeler telle question). C’est plus sophistiqué et je ne m’attendais pas à trouver ça. > Le 12 juil. 2023 à 14:37, RogerT a écrit : > > > Bonjour > > Merci pour ta réponse rapide. > > J’ai trouvé vite : > https://framasoft.org/fr/ > https://degooglisons-internet.org/fr/ > > J’ai trouvé de suite l’alternative à G s… : > Ethercalc, qui était noyé sur le net dans des longues listes de > comparatifs/alternatives. > https://framalibre.org/content/ethercalc > > Et Framadat comme alternative à doodle : > https://framalibre.org/content/framadate > > Ça me plaît bien. > Merci. > > PS juridique > Sauf erreur, à partir du moment où l’application web collecte des infos > persos, en tant qu’hébergeur (ma machine ou celle d’un fournisseur d’IaaS, je > suis obligé de me conformer au RGPD. C’est-à-dire de proposer a minima la > possibilité de supprimer ces infos. > > Mais à partir du moment où chaque personne insère de plein gré ses infos > personnelles et des infos dont il est à la source, les édite (au sein d’un > groupe consentant à collaborer), et donc peux les supprimer librement, il me > semble que ça lève des contraintes. Toutes je ne sais pas. Le RGPD est une > lecture longue. > > Avez-vous une expérience juridique de ce « détail », quand on héberge une > application web pour un groupe de copains ou de personnes collaborant dans un > projet pzrso ou pro ? > Merci. > > >>> Le 12 juil. 2023 à 13:55, Jean-François Bachelet a >>> écrit : >>> >> Framasoft
Re: Feuille de calcul web + outil de sondage web
Il y a une API REST. Intéressant. Merci. > Le 12 juil. 2023 à 14:48, Fab a écrit : > > Le 12/07/2023 à 14:39, RogerT a écrit : >> Bonjour >> Ça c’est de l’hébergé. Merci pour les infos. >> Je souhaite héberger ces outils en ligne. > oops, j'ai été trop vite, dsl. > > du coup: https://github.com/audreyt/ethercalc > c'est ça qu'on utilise dans pas mal de CHATONS > > f. > > >
Re: Feuille de calcul web + outil de sondage web
Bonjour Ça c’est de l’hébergé. Merci pour les infos. Je souhaite héberger ces outils en ligne. Merci. > Le 12 juil. 2023 à 14:13, Fab a écrit : > > hello, > > https://tableur.kaz.bzh/ > https://calc.ouvaton.coop/ > > etc... > > a+ > > f. > > >> Le 12/07/2023 à 13:42, RogerT a écrit : >> Bonjour, >> Pour héberger une feuille de calcul accessible à différents utilisateurs >> simultanément, de quoi dispose-t-on ? >> (Comme alternative libre à quoi vous savez) >> Option accessoire : contrôle d’accès par utilisateur (à un classeur, une >> feuille, une cellule). >> Comme il s’agit juste de recueillir des informations nominatives relatives à >> la participation à un événement (nom, coordonnées, déplacement, hébergement, >> etc.), le réflexe Excel est commun. >> Mais n’existe-t-il pas un outil minimaliste pour entrer juste la chaque >> colonne de chaque participant une liste d’informations le concernant. Sans >> mise en forme sophistiquée et sans formules inutiles ? >> Ça pourrait aussi servir à faire un sondage en ligne pour connaître les >> dates de disponibilités de participants, ou leur avis sur une question (à la >> doodle). >> Mais peut-être existe-t-il un paquet dédié au sondage rapide et simple ? >> Merci. > >
Re: Feuille de calcul web + outil de sondage web
Bonjour Merci pour ta réponse rapide. J’ai trouvé vite : https://framasoft.org/fr/ https://degooglisons-internet.org/fr/ J’ai trouvé de suite l’alternative à G s… : Ethercalc, qui était noyé sur le net dans des longues listes de comparatifs/alternatives. https://framalibre.org/content/ethercalc Et Framadat comme alternative à doodle : https://framalibre.org/content/framadate Ça me plaît bien. Merci. PS juridique Sauf erreur, à partir du moment où l’application web collecte des infos persos, en tant qu’hébergeur (ma machine ou celle d’un fournisseur d’IaaS, je suis obligé de me conformer au RGPD. C’est-à-dire de proposer a minima la possibilité de supprimer ces infos. Mais à partir du moment où chaque personne insère de plein gré ses infos personnelles et des infos dont il est à la source, les édite (au sein d’un groupe consentant à collaborer), et donc peux les supprimer librement, il me semble que ça lève des contraintes. Toutes je ne sais pas. Le RGPD est une lecture longue. Avez-vous une expérience juridique de ce « détail », quand on héberge une application web pour un groupe de copains ou de personnes collaborant dans un projet pzrso ou pro ? Merci. > Le 12 juil. 2023 à 13:55, Jean-François Bachelet a écrit > : > > Framasoft
Feuille de calcul web + outil de sondage web
Bonjour, Pour héberger une feuille de calcul accessible à différents utilisateurs simultanément, de quoi dispose-t-on ? (Comme alternative libre à quoi vous savez) Option accessoire : contrôle d’accès par utilisateur (à un classeur, une feuille, une cellule). Comme il s’agit juste de recueillir des informations nominatives relatives à la participation à un événement (nom, coordonnées, déplacement, hébergement, etc.), le réflexe Excel est commun. Mais n’existe-t-il pas un outil minimaliste pour entrer juste la chaque colonne de chaque participant une liste d’informations le concernant. Sans mise en forme sophistiquée et sans formules inutiles ? Ça pourrait aussi servir à faire un sondage en ligne pour connaître les dates de disponibilités de participants, ou leur avis sur une question (à la doodle). Mais peut-être existe-t-il un paquet dédié au sondage rapide et simple ? Merci.
Créer ou exporter e VM au format OVA
Bonjour, Depuis debian 11 ou 12, comment faire pour fabriquer une VM (debian, en l’occurrence) au format OVA, que l’utilisateur va pouvoir lire/importer dans son système de virtualisation ? De manière directe, de préférence avec des outils 100% debian (cf. virsh, etc. ) sans utiliser virtualbox, VMware, etc. Exigence complémentaire : Il doit pouvoir y avoir un DE sur cette VM. Et un serveur de connexion graphique a distance (xRDP, VNC server, etc. ) A ce propos, quel serveur de connexion graphique universel est recommandé ? xRDP me semblait attractif car beaucoup d’utilisateurs ont un client RDP pour se connecter à des machines win. J’avais essayé x2go, qui était pas mal aussi (graphique +tunnel ssh). Avec un serveur tightvnc, il me semble que j’ai eu des problèmes avec des utilisateurs qui avait leur compte et leur licence vnc qui n’était pas compatible avec tightvnc (je n’ai jamais eu d’éléments détaillés sur le problème rencontré). Merci.
Re: Tunnel openvpn - comment router tout le trafic dedans ou bien router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un process dans SON propre tunnel?
Wireguard est encore différent de L2TP/IPsec et de OpenVPN. Très intéressant. Merci. > Le 9 juil. 2023 à 18:08, NoSpam a écrit : > Il te faut du marquage aussi via nftables ou iptables. Wireguard est > effectivement alternatif à openvpn, mais plus rapide, plus facile à > configurer, technologie récente proche du noyau.
Re: super miniPC 100% compatible linux
> Le 9 juil. 2023 à 10:53, Basile Starynkevitch a > écrit : > > >> On 7/9/23 10:47, Basile Starynkevitch wrote: >> >>> On 7/9/23 10:34, RogerT wrote: >>> Bonjour, >>> >>> Pour me simplifier la vie et celle de l’utilisateur, je voudrais lui livrer >>> un programme qui gère divers services réseau (pas de messagerie), >>> directement implanté sur un mini PC, le plus petit et fiable possible. >>> >>> J’ai déjà fait ça sur Raspberry Pi mais au bout de quelques mois les cartes >>> flash finissent par tomber en rade. De mon expérience (50% des machines). >>> >>> J’aimerais utiliser un mini PC le plus compact et économe en énergie >>> possible. >>> Éventuellement, car ces services sont déclenchés à heure fixe, la machine >>> doit pouvoir se mettre en veille et en sortir. Ou être réveillée par WoL et >>> mise ensuite en veille. >>> >>> Quels sont les modèles à privilégier ? >>> >>> Je pensais aussi à un vieux PC portable 2 coeurs et 2-4 Go de RAM qui >>> pourrait faire l’affaire et dont la batterie permet aussi de faire face aux >>> coupures de courant. >>> Mais il y a écran/clavier dont je n’ai pas besoin. >>> >>> Pour la télémaintenance éventuelle, il faudrait que je puisse configurer >>> une interface réseau et le faire se connecter à un vpn server que je >>> contrôle pour pouvoir m’y connecter s’il a un accès à internet. > > > > Cette exigence suggère, pour un PC fixe, un onduleur compatible Linux. Pas > mal le sont (en particulier, ceux avec liaison USB, pas trop récents) Plus j’y pense, plus je me dis qu’un vieux portable avec sa batterie qui assure l’alimentation, devrait faire l’affaire. Pour 50€. Sinon, on en revient à une carte, discutée ici, alimentée par une batterie, elle-même connectée à un chargeur automatique. > > >>> >>> Je cherche donc une sorte de Raspberry Pi robuste (et optionnellement sur >>> batterie : c’est simple, il suffit d’en rajouter une) qui soit 100% >>> compatible linux (debian). >>> >>> Quel modèle recommandez-vous ? >> >> Plusieurs entreprises basées en France vendent des PC avec une compatibilité >> Linux assurée. >> >> En particulier, https://materiel.net/ (basé à Nantes, et ils ont des >> boutiques ailleurs), https://www.pcw.fr/ (78700 Conflans Sainte Honorine), >> https://www.linuxshop.fr/ (08390 BAIRON) https://keynux.com/ (06800 >> CAGNES-SUR-MER) >> >> DELL vend aussi des ordinateurs avec Linux pré-installé. >> https://www.dell.com/ >> >> HP vend aussi des ordinateurs avec Linux pré-installé. >> >> >> https://www.boulanger.com/ aussi vend des ordinateurs avec Linux préinstallé. >> >> IBM vend des serveurs sous Linux https://www.ibm.com/power >> >> Dans mon expérience, un ordinateur avec un Linux qui tourne peut faire >> tourner Debian sans difficulté majeure, surtout si le modèle est en vente >> depuis au moins 6 mois. >> >> (pour ma part, je cherche des partenaires intéressés par le moteur >> d'inférences http://refpersys.org/ qui tourne sous Linux) >> >> Librement >> > -- > Basile Starynkevitch > (only mine opinions / les opinions sont miennes uniquement) > 92340 Bourg-la-Reine, France > web page: starynkevitch.net/Basile/ >
Re: super miniPC 100% compatible linux
> Le 9 juil. 2023 à 11:37, bernardo a écrit : > > Bonjour, > >> Le 09/07/2023 à 10:34, RogerT a écrit : >> Bonjour, >> Pour me simplifier la vie et celle de l’utilisateur, je voudrais lui livrer >> un programme qui gère divers services réseau (pas de messagerie), >> directement implanté sur un mini PC, le plus petit et fiable possible. >> J’ai déjà fait ça sur Raspberry Pi mais au bout de quelques mois les cartes >> flash finissent par tomber en rade. De mon expérience (50% des machines). > > depuis déjà un certain temps, il est possible de démarrer et de faire tourner > un Raspi avec un HDD ou un SSD. J’ai arrêté les frais vers 2017-18. SSD : je vois ça : https://www.raspberryme.com/comment-configurer-un-ssd-avec-le-raspberry-pi-4/ Par contre, je n’ai jamais eu de carte RPi défaillante. Juste la carte SD. > > >> J’aimerais utiliser un mini PC le plus compact et économe en énergie >> possible. >> Éventuellement, car ces services sont déclenchés à heure fixe, la machine >> doit pouvoir se mettre en veille et en sortir. Ou être réveillée par WoL et >> mise ensuite en veille. >> Quels sont les modèles à privilégier ? >> Je pensais aussi à un vieux PC portable 2 coeurs et 2-4 Go de RAM qui >> pourrait faire l’affaire et dont la batterie permet aussi de faire face aux >> coupures de courant. >> Mais il y a écran/clavier dont je n’ai pas besoin. >> Pour la télémaintenance éventuelle, il faudrait que je puisse configurer une >> interface réseau et le faire se connecter à un vpn server que je contrôle >> pour pouvoir m’y connecter s’il a un accès à internet. >> Je cherche donc une sorte de Raspberry Pi robuste (et optionnellement sur >> batterie : c’est simple, il suffit d’en rajouter une) qui soit 100% >> compatible linux (debian). >> Quel modèle recommandez-vous ? >> Merci. > -- > Cordialement, > Bernardo. > > > Mais là j'ai un p'tit coup de fatigue intellectuelle. > Un 'tit jus d'O ? :) >-+- Daniel à Pierre, sur fr.rec.photo -+- >
Re: super miniPC 100% compatible linux
Bonjour, J’utilisais notamment des cartes flash micro SD Verbatim 3 class 10 Pro. Plutôt du haut de gamme en boutique. Quelles cartes utilises-tu qui durent sans souci ? Alix : tu parles de ça ? https://www.pcengines.ch/ > Le 9 juil. 2023 à 11:27, NoSpam a écrit : > > Bonjour > > je fais cela depuis des années avec des raspberry jamais eu de problème avec > les cartes. Le pi démarre, monte un VPN wireguard, tous les services passent > dedans (téléphonie, vidéo, maintenance, etc). Sinon les boitiers Alix sont > super, plusieurs ports réseau, carte SD donc silencieux. > >> Le 09/07/2023 à 10:34, RogerT a écrit : >> Bonjour, >> >> Pour me simplifier la vie et celle de l’utilisateur, je voudrais lui livrer >> un programme qui gère divers services réseau (pas de messagerie), >> directement implanté sur un mini PC, le plus petit et fiable possible. >> >> J’ai déjà fait ça sur Raspberry Pi mais au bout de quelques mois les cartes >> flash finissent par tomber en rade. De mon expérience (50% des machines). >> >> J’aimerais utiliser un mini PC le plus compact et économe en énergie >> possible. >> Éventuellement, car ces services sont déclenchés à heure fixe, la machine >> doit pouvoir se mettre en veille et en sortir. Ou être réveillée par WoL et >> mise ensuite en veille. >> >> Quels sont les modèles à privilégier ? >> >> Je pensais aussi à un vieux PC portable 2 coeurs et 2-4 Go de RAM qui >> pourrait faire l’affaire et dont la batterie permet aussi de faire face aux >> coupures de courant. >> Mais il y a écran/clavier dont je n’ai pas besoin. >> >> Pour la télémaintenance éventuelle, il faudrait que je puisse configurer une >> interface réseau et le faire se connecter à un vpn server que je contrôle >> pour pouvoir m’y connecter s’il a un accès à internet. >> >> Je cherche donc une sorte de Raspberry Pi robuste (et optionnellement sur >> batterie : c’est simple, il suffit d’en rajouter une) qui soit 100% >> compatible linux (debian). >> >> Quel modèle recommandez-vous ? >> Merci. >
super miniPC 100% compatible linux
Bonjour, Pour me simplifier la vie et celle de l’utilisateur, je voudrais lui livrer un programme qui gère divers services réseau (pas de messagerie), directement implanté sur un mini PC, le plus petit et fiable possible. J’ai déjà fait ça sur Raspberry Pi mais au bout de quelques mois les cartes flash finissent par tomber en rade. De mon expérience (50% des machines). J’aimerais utiliser un mini PC le plus compact et économe en énergie possible. Éventuellement, car ces services sont déclenchés à heure fixe, la machine doit pouvoir se mettre en veille et en sortir. Ou être réveillée par WoL et mise ensuite en veille. Quels sont les modèles à privilégier ? Je pensais aussi à un vieux PC portable 2 coeurs et 2-4 Go de RAM qui pourrait faire l’affaire et dont la batterie permet aussi de faire face aux coupures de courant. Mais il y a écran/clavier dont je n’ai pas besoin. Pour la télémaintenance éventuelle, il faudrait que je puisse configurer une interface réseau et le faire se connecter à un vpn server que je contrôle pour pouvoir m’y connecter s’il a un accès à internet. Je cherche donc une sorte de Raspberry Pi robuste (et optionnellement sur batterie : c’est simple, il suffit d’en rajouter une) qui soit 100% compatible linux (debian). Quel modèle recommandez-vous ? Merci.
Re: Service proxy : quel paquet simple et fiable ?
Merci pour la précision. FW Tu parles de nftables sur debian12. Je suppose que la syntaxe est proche de celle de iptables. Doit-on ou peut-on oublier ufw ? Proxy De ce que j’ai compris de Squid : une fois que j’ai configuré les interfaces réseau avec nmcli ou autre, je définis les acl puis les règles accept/reject sur ces acl. S’agissant d’un serveur hébergé pour réaliser ce service de proxy, est-ce que je peux me contenter d’une seule adresse IP ? Si un serveur est caché derrière le proxy, c’est l’IP publique du proxy qui reçoit le flux et le route ers le serveur caché, selon la configuration de Squid. Si un client est caché derrière le proxy, il saura contacter le proxy par son adr IP publique (et le port adapté) et ce proxy routera le flux vers le serveur web visé. Je ne vois donc pas de difficulté à utiliser une seule adresse IP pour le serveur hébergé qui va rendre le service proxy. Ou alors ai-je oublié qqchose ? Merci. > Le 6 juil. 2023 à 13:38, NoSpam a écrit : > > > Bonjour. > > Pour information, certains outils de Debian11 ne sont pas les mêmes pour 12: > iptables par ex. est remplacé par nftables. > > Concernant nmcli je suis étonné, il est censé ne pas toucher aux interfaces > configurées dans ce fichier. > > https://wiki.debian.org/fr/NetworkManager > > NetworkManager ne gérera que les interfaces qui ne sont pas déclarés dans > /etc/network/interfaces (voir le fichier README). > > Sinon pour le réseau, cloud-init, systemd-networkd, etc. > >> Le 06/07/2023 à 13:06, RogerT a écrit : >> J’ai besoin d’aide pour l’interconnexion de réseaux (2 LAN, 1 LAN et 1 VPN, >> 1 LAN/1 WAN) en tenant compte d’un éventuel proxy (Squid) qui route/filtre >> le traffic d’un réseau à un autre. >> >> Sur debian 11, la gestion du réseau se fait d’office avec nm, c’est bien ça ? >> >> Rq : balloté dans la doc debian ancienne et non indiquée comme telle, j’ai >> déjà eu l’expérience de batailler avec resolvconf/resolv.conf ou >> /etc/network/interfaces qui était généré et donc écrasé par nm ; j’ai donc >> déjà fait l’expérience de tourner longtemps en rond. >> >> Pouvez-vous m’indiquer un pointeur pour aller directement vers l’outil pour >> gérer ça ? >> Je dirais : nmcli ?… + fw (ufw ou iptables) >> >> Merci. >> >>>> Le 5 juil. 2023 à 11:00, roger.tar...@free.fr a écrit : >>>> Squid. >>>> Merci. >>>> >>>> Le Squid interne avec cache sert donc seulement en cas de mauvais lien >>>> internet ? (cache) >>>> >>>> Pour le Squid externe, je compte prendre un serveur hébergé de base à >>>> quelques euros/m, auquel je confierai éventuellement quelques services >>>> complémentaires (ex : VPN server). >>>> Quelles ressources sont nécessaire pour un service proxy ? >>>> >>>> Pour le Squid du LAN, pour éviter de gérer un serveur juste pour ça et >>>> pour ne pas toucher à l'existant, n'y a -t-il pas des boîtiers/appliance >>>> réseau ? Sinon, je récupérererai un ancien miniPC. >>>> >>>> >>>> - Mail original - >>>> De: "Michel Verdier" >>>> À: "Liste Debian" >>>> Envoyé: Mercredi 5 Juillet 2023 09:08:19 >>>> Objet: Re: Service proxy : quel paquet simple et fiable ? >>>> >>>> Le 5 juillet 2023 roger tarani a écrit : >>>> >>>> Schéma >>>> Machine (client ou serveur) <--> Routeur/Modem <-- connexion TLS en IPv4 >>>> --> service proxy <---> internet >>>> >>>> Le fournisseur de nom de domaine, par exemple, ne verra plus l'adresse IP >>>> publique du modem mais celle du serveur qui héberge le service proxy. Un >>>> proxy, quoi ! >>>> Le flux autorisé doit être celui autorisé par le Modem/Routeur : 80,443, >>>> messagerie, etc. >>>> >>>> Je ne vois pas de difficulté théorique. Mais je n'ai jamais configuré ça >>>> par moi-même car je n'en ai jamais eu besoin, ou alors c'était déjà >>>> configuré ou intégré. >>>> >>>> Une première recherche pointe vers Dante et Squid. >>>> >>>> Quelle est la solution de référence, simple et fiable, sur debian ? >>> Pour moi c'est squid qui a toutes les fonctionnalités qu'on attend d'un >>> proxy. Je ne connais pas dante mais j'ai l'impression qu'il ne fait pas >>> de cache, que c'est un freemium et donc moins pérenne car juste une >>> société qui le développe. >>> >>> Au sujet du cache d'ailleurs je te conseillerais de faire : >>> >>> Machine (client ou serveur) <--> squid interne avec cache <-> Routeur/Modem >>> <-- connexion TLS en IPv4 --> squid externe <---> internet >>> >>> sauf si ta connexion est vraiment bonne.
Re: Service proxy : quel paquet simple et fiable ?
J’ai besoin d’aide pour l’interconnexion de réseaux (2 LAN, 1 LAN et 1 VPN, 1 LAN/1 WAN) en tenant compte d’un éventuel proxy (Squid) qui route/filtre le traffic d’un réseau à un autre. Sur debian 11, la gestion du réseau se fait d’office avec nm, c’est bien ça ? Rq : balloté dans la doc debian ancienne et non indiquée comme telle, j’ai déjà eu l’expérience de batailler avec resolvconf/resolv.conf ou /etc/network/interfaces qui était généré et donc écrasé par nm ; j’ai donc déjà fait l’expérience de tourner longtemps en rond. Pouvez-vous m’indiquer un pointeur pour aller directement vers l’outil pour gérer ça ? Je dirais : nmcli ?… + fw (ufw ou iptables) Merci. > Le 5 juil. 2023 à 11:00, roger.tar...@free.fr a écrit : > Squid. > Merci. > > Le Squid interne avec cache sert donc seulement en cas de mauvais lien > internet ? (cache) > > Pour le Squid externe, je compte prendre un serveur hébergé de base à > quelques euros/m, auquel je confierai éventuellement quelques services > complémentaires (ex : VPN server). > Quelles ressources sont nécessaire pour un service proxy ? > > Pour le Squid du LAN, pour éviter de gérer un serveur juste pour ça et pour > ne pas toucher à l'existant, n'y a -t-il pas des boîtiers/appliance réseau ? > Sinon, je récupérererai un ancien miniPC. > > > - Mail original - > De: "Michel Verdier" > À: "Liste Debian" > Envoyé: Mercredi 5 Juillet 2023 09:08:19 > Objet: Re: Service proxy : quel paquet simple et fiable ? > > Le 5 juillet 2023 roger tarani a écrit : > >> Schéma >> Machine (client ou serveur) <--> Routeur/Modem <-- connexion TLS en IPv4 --> >> service proxy <---> internet >> >> Le fournisseur de nom de domaine, par exemple, ne verra plus l'adresse IP >> publique du modem mais celle du serveur qui héberge le service proxy. Un >> proxy, quoi ! >> Le flux autorisé doit être celui autorisé par le Modem/Routeur : 80,443, >> messagerie, etc. >> >> Je ne vois pas de difficulté théorique. Mais je n'ai jamais configuré ça par >> moi-même car je n'en ai jamais eu besoin, ou alors c'était déjà configuré ou >> intégré. >> >> Une première recherche pointe vers Dante et Squid. >> >> Quelle est la solution de référence, simple et fiable, sur debian ? > > Pour moi c'est squid qui a toutes les fonctionnalités qu'on attend d'un > proxy. Je ne connais pas dante mais j'ai l'impression qu'il ne fait pas > de cache, que c'est un freemium et donc moins pérenne car juste une > société qui le développe. > > Au sujet du cache d'ailleurs je te conseillerais de faire : > > Machine (client ou serveur) <--> squid interne avec cache <-> Routeur/Modem > <-- connexion TLS en IPv4 --> squid externe <---> internet > > sauf si ta connexion est vraiment bonne.
