[FRsAG] Re: Scaleway Dedibox - mise a jour 20.04 vers 22.04 - erreur 404

[Pierre DOLIDON]

j'ai remonté l'info. le miroir *i386 *n'est plus supporté par Scaleway 
(on est en 2024 quand même).


Le 06/06/2024 à 22:19, JM via FRsAG a écrit :

On Thu, 6 Jun 2024 15:28:56 +0200
Frederic Dumas  wrote:


Merci pour ta réponse Joyce,
mirrors.online.net  sont des dépôts internes à 
l'hébergeur
Scaleway / Online, c'est pour ça que l'URL n'apparait pas dans la liste des 
dépôts
publics d'Ubuntu. J'ai posé sur la liste la question sur l'erreur 404 
rencontrée sur la
Dedibox quand on utilise 
mirrors.online.net/ubuntu
en source.list, parce que ça m'étonne que ce problème reste inaperçu de 
l'hébergeur.
Sauf à être le seul à y avoir été confronté ? Le web ne m'a pas donné plus
d'explication.

En ce cas, l'hébergeur ne peut-il pas fournir une réponse sur le problème qui 
affecte son
propre miroir ?


--
https://linuxvillage.org
https://orditux.org/bentovillage
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Attaques http tous azimuts en hausse ou pas ?

[Pierre DOLIDON]

de mon côté, j'ai surtout remarqué un trafic intempestif provenant de 
ClaudeBot, qui va carrément ignorer le Crawl-Delay qu'on a pu mettre 
dans les robots.txt, venant à coup de plusieurs dizaines de requetes par 
secondes, particulièrement dans les champs de recherche des sites 
(souvent trop mal optimisés).. mettant les sites en PLS

https://www.google.com/search?q=ClaudeBot
a priori je suis pas le seul concerné !

Le 24/05/2024 à 13:49, David Ponzone a écrit :

C’est quoi la cible ?
Une IP exposée (site web ou autre), ou random ?

Les sources sont random ? Spoofées ? géo-filtrables ?

David


Le 24 mai 2024 à 13:30, Daniel Caillibaud  a écrit :

Bonjour,

Je bosse pour une asso qui n'a rien de politique ni d'essentiel, et on se prend 
depuis qq jours
bcp d'attaques dDOS très bourrines mais très distribuées (des centaines d'ip ≠ 
qui passent sous
les radars anti-dos avec 3~10 req/s chacune).

Ça reste ponctuel (des tranches de 5min) et cause peu de dégâts (des erreurs 
50x et un load qui
monte un peu), je me demandais si c'était généralisé.

--
Daniel

Internet permet à ceux qui n'ont rien à dire de le dire quand même.
Toorop
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/



___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Toc toc un support de chez Gandi ?

[Pierre DOLIDON]

Hello

je n'utilise plus Gandi (merci l'augmentation des tarifs !) mais de 
mémoire, pour avoir domain.tld ET www.domain.tld il faut générer un CSR 
en www.domain.tld


Le 13/03/2024 à 15:37, Théo VARIER via FRsAG a écrit :

Bonjour la liste, c'est une bouteille à la mer :

Y a t il quelqu'un de chez Gandi sur cette liste ?

Gandi m'a fourni un certificat SSL Std pour un domain sans le sous domaine www.
C'est à dire que le certificat est valide pour domain.tld mais pas 
www.domain.tld
Même en régénérant le certificat en utilisant leur ligne de commande pour 
générer la requête.

C'est une première depuis que le service existe !

Pas de réponse à mon ticket depuis hier.

Le chat en ligne ne fonctionne pas.

Le telephone répond qu'il faut utiliser le formulaire en ligne ... sont ils eux 
aussi devenus décérébrés, pardon je veux dire, inaccessibles  ?

En tout cas ils sont devenus complètement hors sol en un temps record !

NB : Aller voir ailleurs n'est pas encore le projet.

Merci d'avance

Théo VARIER

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/



___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Qui pour remplacer Nagios en 2022 ?

[Pierre DOLIDON]

Le 26/07/2022 à 17:32, Mickael MONSIEUR a écrit :

des réponses HTML dans une page HTTPS


hello


tu utilises quoi pour avoir ça ?
merci !

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: PHP Sury Debian9

[Pierre DOLIDON]

mail avec du retard

j'ai fini par trouver.

http://185.34.32.134/snapshots/sury-php/20220702010403/


Le 04/07/2022 à 17:54, Pierre DOLIDON a écrit :

Bonjour a tous

a tout hasard, quelqu'un aurait cloné le repo Sury pour les versions 
PHP de Debian 9 ? Comme elle est passée EOL, les dépots de sury 
semblent avoir été purgés également.

Par avance, merci !

<3


Pierre.

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/



___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] PHP Sury Debian9

[Pierre DOLIDON]

Bonjour a tous

a tout hasard, quelqu'un aurait cloné le repo Sury pour les versions PHP 
de Debian 9 ? Comme elle est passée EOL, les dépots de sury semblent 
avoir été purgés également.

Par avance, merci !

<3


Pierre.

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: [Jobs]

[Pierre DOLIDON]

Bonjour

dans quel secteur géographique ?

Le 26/04/2022 à 17:23, Rayane Ghilaci a écrit :


Bonjour à tous,

Je me présente Rayane, 26 ans, Administrateur Systèmes & Réseaux junior.

J'ai découvert cette mailist par le biais d'un ami qui m'as parlé de 
ce que vous fessiez et j’ai pu voir quelques discussions intéressantes 
passer.


De ce fait, je me permets de laisser un message dans cette mailist.

Ayant été diplômé d'une certification d'Administrateur Systèmes, 
Réseaux et Base de données au mois de septembre et ayant pris quelques 
mois de vacances. Étant maintenant reposé et en pleine forme, je suis 
à la recherche d'un poste dans l'IT.


Voici un bref récapitulatif de mon parcours professionnel.

2019 - 2020 : obtention d'une certification de Technicien Supérieur 
Systèmes Réseaux de niveau 5 2020 : expériences professionnelles de 
deux mois au sein de la fonction publique en tant que Technicien 
Informatique. Mes missions ont été le support utilisateur niveau 1 - 
2, le déploiement de postes utilisateurs, le déploiement d'un outil de 
visioconférences (Jitsi meet), le déploiement d'un outil de prise à 
main à distance ( Apache guacamole), le déploiement d'équipements 
réseaux.


2020-2021 : obtention d'une certification d'Administrateur Systèmes, 
Réseaux et Base de données de niveau 6.


2020-2021 : expérience professionnelle d'un an au sein d'une 
entreprise européenne d'ingénierie. Mes missions ont été la gestion de 
l'infrastructure interne de la filiale française, le déploiement 
d'outils de supervision (Zabbix, Rsylog), le déploiement d'un outil de 
sécurisation des données (Zonecentral), le déploiement de poste 
utilisateur, le support utilisateurs. Grâce à ma dernière expérience, 
j'ai pu acquérir de nombreuses compétences et de l'autonomie. Je 
recherche idéalement un poste sur la région tarnaise, mais je suis 
aussi à l'écoute d'opportunité sur la région toulousaine.


Voilà, si mon profil vous intéresse et que vous souhaitez en savoir 
plus n'hésitez pas à me contacter.


Merci d'avoir pris le temps de me lire.

À Bientôt,


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Fuck, l'outil improbable

[Pierre DOLIDON]

moi j'utilise control + alt + suppr, puis touche entrée


Le 22/04/2022 à 12:00, Dorian Netensia a écrit :


Sous linux j'utilise BlueProximity, sous Mac il y a BLEUnlock 
(https://github.com/ts1/BLEUnlock), mais je ne l'ai personnellement 
jamais essayé
Les deux permettent aussi le déverrouillage quand on revient, ce que 
Windows ne permet pas de faire.


Le 22/04/2022 à 10:59, Kevin Labécot a écrit :

Quoi ? Vous partez du PC sans verrouiller la session ? ;)

Je vais partir un chouilla hors-sujet mais quand je suis sous 
Windows, j’ai ça en place sur ma machine depuis quelques années pour 
éviter de le laisser non verrouillé quand je m'éloigne : 
https://support.microsoft.com/en-us/windows/lock-your-windows-pc-automatically-when-you-step-away-from-it-d0a5f536-74ac-0859-820a-4140dac9fcaf
(Et le périmètre d’éloignement peut être affiné via la base de 
registre, ds mon cas ca lock si je suis à ~2m du PC)


Sous Mac j’aimerai bien la même chose mais je n’ai pas trouvé 
d’équivalent.


—
Kevin



Le 22 avr. 2022 à 10:45, David via FRsAG  a écrit :

Il ne faut pas oublier dans ce cas que 'sudo' a une "latence" 
d'identification...


Si tu tapes une commande 'sudo' et que tu pars en courant aux 
toilettes pour une "urgence", quelqu'un peut profiter de ta dernière 
commande pour relancer 'sudo' sans mot de passe.


D.

Le 22/04/2022 à 10:22, C.F.G.I. a écrit :

Bonjour,

J'ai connu Unix en 1982, version SIII, sur Thomson MM32 (Motorola 
68000).

Qui peut me batre ? :-)

L'historique de commandes root se trouve aussi dans ~/.bash_history

Le seul intérèt de sudo, à mon goût, est de "quitter" l'identité root
à la fin de l'exécution de celle-ci.
Ca a plutôt été créé, à priori, pour contrer l'admin sys un poil 
laxiste
qui laisse sa connexion root active, pendant qu'il va boire un caf 
(c'est
pas long, un caf ...), parler du we (pas trop longtemps ...), ou 
des élections

(encore moins longtemps ... :-) ).
Clairement, celui qui laisse sa connexion root active une minute ou 
deux,

ça laisse largement le temps de foutre la merde sur les serveurs ...
... ou d'installer un troyen... ou autre.

En tous cas, perso, quand je n'ai pas le compte root : sudo  
passwd  root

Ce qui démontre, en passant, que /etc/sudoers est chiant à configurer.

Bon week-end

---
Bernard BELLE  -  C.F.G.I.
--
Envoyé depuis mon AMSTRAD CPC 6128
--

Le 2022-04-22 09:40, Nicolas CUVELIER a écrit :

Le 22/04/2022 à 09:29, Stéphane Rivière a écrit :
Pour un adminsys manipulant des serveurs, j'attends toujours 
qu'on m'explique l'utilité du sudo.


Bonjour,

Un intérêt sur un serveur "multi-adminsys" est que les appels "sudo"
sont journalisés (/var/log/auth.log) ; ça peut aider de revenir 
sur ce

qui a été fait par un collègue ... ou même par soi.

Bien à vous,
--
Nicolas CUVELIER
Administrateur Systèmes et Réseaux
Direction du Système d'Information et des Usages du Numérique

Institut National Universitaire Champollion
Campus d'Albi / Place de Verdun - CS 33222 - 81012 Albi Cedex
www.univ-jfc.fr
___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

--
gpg: 0x1BD490507FA3BF7D

Ce courrier électronique ne contient *aucun virus ou logiciel 
malveillant* parce qu'il a été rédigé avec des *logiciels libres*.
Plus d'infos : Association APRIL 


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/



___
Liste de diffusion du %(real_name)s
http://www.frsag.org/


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] [JOBS] Sysadmin / DevOps Linux - Bordeaux

[Pierre DOLIDON]

Bonjour.

ma société ouvre un poste de sysadmin/devops Linux, proche de bordeaux

N’hésitez pas a faire tourner, merci :-)

Voici la fiche de poste :


Dutikosociété de services à valeur ajoutée et à forte croissance sur le 
marché de l’infogérance de serveurs Linux, recherche, afin de grossir 
ses équipes, un SysAdmin/DevOps Linux.


Votre profil :Passionné par le monde fabuleux de Linux et de 
l’opensource, vous êtes à l’aise dans le travail d’équipe. Vous disposez 
d’un grand potentiel d’absorption de compétences. Vous êtes de formation 
supérieure en informatique (BTS, DUT, Licence ou +), ou autodidacte ? 
Vous pouvez déjà justifier d’une expérience de SysAdmin ? Ce job est 
pour vous !


Vous aurez à intervenir sur l’ensemble du parc des serveurs (dédiés, 
virtuels, clouds) hébergés majoritairement en externe (OVH, Online.net 
, AWS, etc.) sur diverses tâches d’administration 
quotidiennes des serveurs (surveillance, configuration, gestion) et 
participerez à la conception, l’installation et la mise en production 
des infrastructures clients.
Vous gérerez les incidents d’exploitation et de supervision, analyserez 
les situations, et assurerez leur résolution.

Vous participerez aux projets interne (infra, automatisation, etc.).
L’ensemble de ces actions devant être menées à bien avec réactivité, 
qualité et performance.


Vous travaillerez sur ces technologies

 *
   Linux (principalement Debian/Ubuntu)
 *
   Apache, NginX, PHP…
 *
   MySQL, PostgreSQL, Elasticsearch
 *
   Varnish, Redis, NodeJS
 *
   Scripting bash (Perl/Python apprécié)
 *
   Panels Plesk/Virtualmin/ISPConfig
 *
   Virtualisation (KVM, ...)
 *
   Architectures à répartition de charge / redondées (DRBD, NFS, Haproxy…)
 *
   Outils de supervision (Nagios, Centreon)
 *
   Sauvegardes (BackupPC, Bacula)
 *
   et bien d’autres tels que Postfix, Ansible, Bind…


Type de poste: CDI

Rémunération: selon profil et expérience

Lieu de travail : Le Haillan (Proche de Bordeaux)

Avantages: Mutuelle, Tickets restaurant, Télétravail, Ordinateur et 
téléphone portable


Le poste est a pourvoir dès a présent
Envie de nous rencontrer ? N’hésitez pas à nous faire parvenir votre 
candidature (CV et lettre de motivation) par mail à candidat...@dutiko.com



Pierre.___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Renforcement politique DMARC/SPF chez Gmail ?

[Pierre DOLIDON]

Le 10/03/2022 à 15:46, Matthieu Herrb a écrit :

On Thu, Mar 10, 2022 at 03:36:28PM +0100, Pierre DOLIDON wrote:

les spf free.fr seraient également rejetés par gmail ?


free.fr.    3600    IN TXT "v=spf1 include:_spf.free.fr
?all"

pourtant non... je viens de faire le test et j'ai bien reçu mon email.

?all ne serait pas incriminé alors ? ou Gmail est revenu en
arrière...

Free  est probablement assez gros pour que leurs serveurs SMTP soient
autorisés explicitement.

A priori le but de google c'est de n'avoir que quelques grozopérateurs
au niveau mondial qui font du SMTP entre eux.

Quelqu'un travaillant chez l'un de ces gros m'avait expliqué qu'il a
les 06 de personnes chez Google, Microsoft, Orange & Co capables de
débloquer des serveurs SMTP. En cas de pb ça passe par le réseau
humain.

PS: moi je n'ai pas de contacts à partager.


free est assez gros, mais pas l'agrume ?
plutôt étonnant !

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: Renforcement politique DMARC/SPF chez Gmail ?

[Pierre DOLIDON]

les spf free.fr seraient également rejetés par gmail ?


free.fr.    3600    IN TXT "v=spf1 include:_spf.free.fr 
?all"


pourtant non... je viens de faire le test et j'ai bien reçu mon email.

?all ne serait pas incriminé alors ? ou Gmail est revenu en arrière...

Le 07/03/2022 à 22:35, Jean-Yves LENHOF via FRsAG a écrit :



Le 07/03/2022 à 09:42, David Ponzone a écrit :
Y a quand même une bizarrerie chez GMail (genre nouvelle conf pas 
propagée sur tous leurs frontaux) car je viens d’envoyer 2 mails en 
telnet sur le port 25 de gmail-smtp-in.l.google.com 
, un venant de wanadoo.fr 
 et un de orange.fr , et les 2 
sont passés.


Yep, ils doivent faire du canary sur certains de leur service... 
j'avais un moment donné des mails qui ne passaient pas direct mais qui 
finissait par passer sur un autre serveur de chez eux Après pour 
moi c'est pas bon signe, ils sont en train de doser les choses, mais 
en général c'est bien pour durcir les règles.


A noter que les serveurs de Google ont commencé à interpréter aussi 
différement les mails provenants de messagerie émettant que depuis un 
port 25 et celle émettant depuis TLS, il y a un petit cadenas qui 
apparait à côté de tes mails...


A+

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

[FRsAG] Re: upgrade cluster mariadb/galera debian 10 -> debian 11

[Pierre DOLIDON]

Le 24/02/2022 à 11:37, Wallace a écrit :


Bonjour,

Je te recommande d'activer les dépôts MariaDB pour Debian et de faire 
une première migration pour avoir les paquets officiels MariaDB.


Ensuite de monter en 10.5 en Debian 10, ça se fait en choisisant la 
version dans l'url du dépôt.


De là migration Galera 4 en Debian 10.

Et seulement à la fin Debian 11 en gardant les repo en 10.5.

Voilà comment je ferais l'évolution.


+1


j'ajouterai que je sandboxerai d'abord ce genre d'upgrade



Bonne journée

Le 24/02/2022 à 11:17, BASSAGET Cédric a écrit :

Bonjour,

Nous avons un cluster de 3 machines debian 10 / mariadb 10.3 / galera3

J'ai voulu upgrader un des noeuds du cluster en debian 11, et par 
conséquent mariadb 10.5 et alera 4.


Les docs mariadb 
(https://mariadb.com/kb/en/upgrading-galera-cluster/) ne parlent pas 
d'upgrade vers 10.5, mais uniquement 10.3 -> 10.4. ma principale 
inquiétude était le passage de galera3 a galera4, mais la donc est 
plutot rassurante là dessus :
"Galera 3 and Galera 4 should be compatible for the purposes of a 
rolling upgrade, as long as you are using Galera 26.4.2 or later"

ce qui est le cas en debian 11 ( galera 26.4.44)

debian ne fournissant pas de paquets mariadb 10.4, je me suis dit que 
ça se pourrait marcher, de 10.3 a 10.5


Sauf que non.
les 2 nodes restants voient bien le wsrep_cluster_size à 3, par 
contre le node upgradé est dans les choux. j'ai des "lock wait 
timeout" dans tous les sens, par exemple

MariaDB [(none)]> SHOW GLOBAL STATUS LIKE '%wsrep%';
ERROR 1205 (HY000): Lock wait timeout exceeded; try restarting 
transaction


les journaux systemd disent :

Feb 24 11:02:03 c7000-pa2-mysqlcluster2 systemd[1]: Starting MariaDB 
10.5.15 database server...
Feb 24 11:02:04 c7000-pa2-mysqlcluster2 sh[52249]: WSREP: Recovered 
position 8a9a12bd-6240-11eb-803b-a210a81100fb:8208686
Feb 24 11:02:04 c7000-pa2-mysqlcluster2 mariadbd[52379]: 2022-02-24 
11:02:04 0 [Note] /usr/sbin/mariadbd (mysqld 
10.5.15-MariaDB-1:10.5.15+maria~bullseye-log) starting as process 
52379 ...
Feb 24 11:02:05 c7000-pa2-mysqlcluster2 rsyncd[52504]: rsyncd version 
3.2.3 starting, listening on port 
Feb 24 11:02:05 c7000-pa2-mysqlcluster2 rsyncd[52516]: connect from 
c7000-pa2-mysqlcluster1 (192.168.155.35)
Feb 24 11:02:05 c7000-pa2-mysqlcluster2 rsyncd[52516]: rsync allowed 
access on module rsync_sst from c7000-pa2-mysqlcluster1 (192.168.155.35)
Feb 24 11:02:05 c7000-pa2-mysqlcluster2 rsyncd[52516]: rsync to 
rsync_sst/ from c7000-pa2-mysqlcluster1 (192.168.155.35)
Feb 24 11:02:05 c7000-pa2-mysqlcluster2 rsyncd[52516]: receiving file 
list
Feb 24 11:02:05 c7000-pa2-mysqlcluster2 rsyncd[52516]: sent 48 bytes 
 received 199 bytes  total size 47
Feb 24 11:02:07 c7000-pa2-mysqlcluster2 rsyncd[52504]: sent 0 bytes 
 received 0 bytes  total size 0
Feb 24 11:02:07 c7000-pa2-mysqlcluster2 systemd[1]: Started MariaDB 
10.5.15 database server.
Feb 24 11:02:07 c7000-pa2-mysqlcluster2 debian-start[52656]: ERROR 
1047 (08S01) at line 1: WSREP has not yet prepared node for 
application use



et le error.log mysql, se remplit de messages du genre (j'ai activé 
le debug wsrep) :


2022-02-24 11:11:33 1417 [Note] WSREP: wsrep_commit_empty(1417)
2022-02-24 11:11:33 1417 [Note] WSREP: wsrep_after_statement for 1417 
client_state exec  client_mode local trans_state aborted
2022-02-24 11:11:33 1417 [Note] WSREP: wsrep_after_statement for 1417 
client_state exec  client_mode local trans_state aborted

2022-02-24 11:11:33 1417 [Note] WSREP: dispatch_command leave
    thd: 1417 thd_ptr: 0x7f4188000c58 client_mode: local 
client_state: result trx_state: aborted

    next_trx_id: 3289 trx_id: -1 seqno: -1
    is_streaming: 0 fragments: 0
    sql_errno: 1205 message: Lock wait timeout exceeded; try 
restarting transaction
    command: 0 query: SELECT (SELECT VARIABLE_VALUE FROM 
INFORMATION_SCHEMA.GLOBAL_STATUS WHER

2022-02-24 11:11:33 1417 [Note] WSREP: assigned new next trx id: 3480


Si quelqu'un a une piste, ou a déjà expérimenté ce genre de 
problèmes... je prends !


Merci
Cédric

___
Liste de diffusion du %(real_name)s
http://www.frsag.org/


___
Liste de diffusion du %(real_name)s
http://www.frsag.org/



___
Liste de diffusion du %(real_name)s
http://www.frsag.org/

Re: [FRsAG] [BSO] postes ouverts / remote ok.

[Pierre DOLIDON]

Le 16/12/2021 à 14:49, David Ponzone a écrit :

Moi j’aurais dit BSO mais bon…

moi aussi


Et les chiffres entre [ ], c’était quoi ?

la fourchette de salaire, en K€ ?



Le 16 déc. 2021 à 14:44, www  a écrit :

Bonjour,

Au hasard : Alterway

J'ai bon ?

Emmanuel

___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [TECH] Sonde température interrogeable en SNMP

[Pierre DOLIDON]

Le 06/12/2021 à 17:36, Pierre DOLIDON a écrit :

et si tu veux remonter le tout dans ton influxdb
https://github.com/Sn4kY/RPi_temperature_ds18b20


Le 09/11/2021 à 13:15, Ludovic Levet via FRsAG a écrit :


Moi j'utilisai :

Module Teracom TCW122B
Temp + hum : Teracom TSH202
temp : Teracom TST100

https://delmation.nl/page/1/?s=teracom_type=product


Sinon, raspberry pi zeroW + boitier + DS18b20 + alim => 30 € max !

Ou bien alim poe :  11€ => 
https://www.amazon.fr/DSLRKIT-Active-Splitter-Ethernet-Raspberry/dp/B01H37XQP8/ref=sr_1_7


j'en ai achetée une qui ne splite pas le RJ45, qui fourni donc une 
interface réseau en USB (mais je retrouve ni la ref, ni le vendeur). 
Parfait pour le Pi Zero.
https://www.uctronics.com/uctronics-poe-adapter-to-micro-usb-ethernet-power-for-raspberry-pi-zero-fire-tv-stick-chromecast-google-mini-and-more-ieee-802-3af-compliant.html 




https://www.framboise314.fr/poller-des-sondes-de-temperature-ds18b20-en-snmp/
https://raspberry-lab.fr/Composants/Sonde-de-temperature-DS18B20-sur-Raspberry-Francais/

Ludo.


Le 08/11/2021 à 16:54, Fabien Sirjean a écrit :


Salut la liste,

Quel est votre modèle préféré de sonde de température IP 
interrogeable en SNMP ?


Dans mon cahier des charges du monde idéal, il y aurait par exemple :

  * open hardware
  * SNMPv3
  * pas lié à un provider cloud bling bling quelconque
  * si ça fait l'hygrométrie aussi c'est bien
  * 0U, alimenté en USB ou mieux en POE
  * pour ~ 40-50 balles (je rêve ?)

Merci pour vos retours d'expérience :-)

Belle fin de journée,

Fabien


___
Liste de diffusion du FRsAG
http://www.frsag.org/

--
-
Ce message inclut une signature numérique. Il certifie que l'expéditeur et le 
contenue du message sont authentiques.
Si votre logiciel de messagerie est compatible, Il doit garantir que le 
document n'a pas été altéré entre l'instant où
l'auteur l'a signé et le moment où le lecteur le consulte.
Loi n°2000-230 du 13 mars 2000 Art. 1316, 1316-1, 1316-2, 1316-3, 1316-4 du 
Code civil.
La présence d'un fichier joint 'smime.p7s' (fichier signature) indique que 
votre client messagerie n'est pas compatible.
-

___
Liste de diffusion du FRsAG
http://www.frsag.org/




___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [TECH] Sonde température interrogeable en SNMP

[Pierre DOLIDON]

et si tu veux remonter le tout dans ton influxdb
https://github.com/Sn4kY/RPi_temperature_ds18b20


Le 09/11/2021 à 13:15, Ludovic Levet via FRsAG a écrit :


Moi j'utilisai :

Module Teracom TCW122B
Temp + hum : Teracom TSH202
temp : Teracom TST100

https://delmation.nl/page/1/?s=teracom_type=product


Sinon, raspberry pi zeroW + boitier + DS18b20 + alim => 30 € max !

Ou bien alim poe :  11€ => 
https://www.amazon.fr/DSLRKIT-Active-Splitter-Ethernet-Raspberry/dp/B01H37XQP8/ref=sr_1_7


j'en ai achetée une qui ne splite pas le RJ45, qui fourni donc une 
interface réseau en USB (mais je retrouve ni la ref, ni le vendeur). 
Parfait pour le Pi Zero.



https://www.framboise314.fr/poller-des-sondes-de-temperature-ds18b20-en-snmp/
https://raspberry-lab.fr/Composants/Sonde-de-temperature-DS18B20-sur-Raspberry-Francais/

Ludo.


Le 08/11/2021 à 16:54, Fabien Sirjean a écrit :


Salut la liste,

Quel est votre modèle préféré de sonde de température IP 
interrogeable en SNMP ?


Dans mon cahier des charges du monde idéal, il y aurait par exemple :

  * open hardware
  * SNMPv3
  * pas lié à un provider cloud bling bling quelconque
  * si ça fait l'hygrométrie aussi c'est bien
  * 0U, alimenté en USB ou mieux en POE
  * pour ~ 40-50 balles (je rêve ?)

Merci pour vos retours d'expérience :-)

Belle fin de journée,

Fabien


___
Liste de diffusion du FRsAG
http://www.frsag.org/

--
-
Ce message inclut une signature numérique. Il certifie que l'expéditeur et le 
contenue du message sont authentiques.
Si votre logiciel de messagerie est compatible, Il doit garantir que le 
document n'a pas été altéré entre l'instant où
l'auteur l'a signé et le moment où le lecteur le consulte.
Loi n°2000-230 du 13 mars 2000 Art. 1316, 1316-1, 1316-2, 1316-3, 1316-4 du 
Code civil.
La présence d'un fichier joint 'smime.p7s' (fichier signature) indique que 
votre client messagerie n'est pas compatible.
-

___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Propriété d'un certificat SSL

[Pierre DOLIDON]

Sinon tu achète un DV sur gandi ou a 6$ sur thesslstore, tu le valide en 
DNS ou en mail, et tu arrête de te prendre la tête pour un tarif aussi 
peu élevé !


Sinon pour infos, let's encrypt ignore totalement les caches DNS, lors 
d'une demande de certificat, les serveurs de LE viennent faire la query 
directement sur le serveur autoritaire.

(aka baisser le TTL ne sert a rien pour let's encrypt).

Le 29/09/2021 à 08:36, Julien Escario a écrit :

Le 28/09/2021 à 18:19, Ronan Dily a écrit :

Salut,

Si tu as la main sur ta zone DNS, tu peux déjà générer ton certificat LE en 
ajoutant un champ TXT.
Une fois que tout est prêt sur ton nouvel hébergement, la migration se fait en 
douceur le temps de la propagation.

Clairement la solution pour laquelle j'opterais. Par exemple, ça
s'appelle DNS manual mode dans acme.sh :
https://github.com/acmesh-official/acme.sh/wiki/DNS-manual-mode

Ca te permet de valider que ton certificat est fonctionnel AVANT de
changer quoi que ce soit et ensuite tu as trois mois pour faire ta
bascule et générer un certificat qui se renouvellera automatiquement
ensuite (par HTTP-01 comme tu sembles vouloir le faire).

Julien



___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Étiquetage de câble

[Pierre DOLIDON]

hello

d'expérience, les étiquettes de type Dymo finissent par se décoller.
préférer plutôt des porte étiquettes du genre 
https://www.google.com/search?newwindow=1=1C1CHBD_frFR901FR901=ALeKk00zN8GS5-4muNfBOC3p_d5PrZZMAA:1622801765496=%C3%A9tiquette+cable=isch=q:%C3%A9tiquette+cable,online_chips:porte+%C3%A9tiquette:B3qRGLSHzIU%3D=AI4_-kTMeCm7XaPGBWKzkNCaliwztw97AA=X=2ahUKEwipq5fW3_3wAhWsA2MBHfMVCWgQgIoDKAB6BAgIEAc=1920=1127


Le 04/06/2021 à 12:13, François Poulain a écrit :

Bonjour,

Qu'elle est votre solution préférée/conseillée d'étiquetage de câbles
(réseau) ?

François


___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] SpamCop

[Pierre DOLIDON]

Bonjour

spamcop.net on en parle ?


pour ceux qui n'auraient pas suivi, le domaine a expiré ce week end. 
mettant dans la panade de très nombreux serveurs de mail car le 
gestionnaire de parking semble avoir fait répondre 127.0.0.1 aux 
requetes DNS arrivant sur *.spamcop.net



C'est lundi, c'est déjà la misère !

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Recherche d’emploi Système et Réseau

[Pierre DOLIDON]

Le 21/11/2020 à 13:15, Sofian IKROU SOUSSI a écrit :

Bonjour à tous  !

Aujourd’hui je sollicite un peu votre aide car ça commence à être compliqué 
dans ma vie...

Voilà je vous explique tout :
En mars dernier je valide ma formation en IT spécialisation Système et réseau, 
je valide mon CCNA (Cisco certification) avec 966points /1000, 2 eme de ma 
promo, le chef d’établissement nous propose des missions plutôt bien payé avec 
par la suite une débouché en CDI, malheureusement 2 jours après on rentre en 
confinement, il nous indique quelles sont annulées...

Depuis ce jour là je suis à la recherche de travail, étant jeune, pas 
d’expérience c’est horrible à croire qu’on sort tous de l’école avec 2 ans 
d’expérience minimum.

Voilà au jour d’aujourd’hui mon compte bancaire chute pas mal, je suis prêt à 
tout prendre pour que ça me fasse au moins de l’expérience (CDI, CDD, Intérim), 
bien sûr rester dans mon domaine car j’adore, si possible en île de France je 
suis de Paris 10 eme)

Du coup si une personne aurait une piste, connaît quelqu’un qui connaît l’ami 
du père du voisin qui travail dans une boîte et serait prêt à prendre un 
débutant avec une certification que la plupart des techniciens en Réseau n’ont 
pas car difficile ça serait vraiment très cool de votre part.

Merci à vous !

Cordialement IKROU SOUSSI Sofian
___
Liste de diffusion du FRsAG
http://www.frsag.org/


Agarik ?

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Pierre DOLIDON]

Le 18/09/2020 à 13:15, Wallace a écrit :


DRBD c'est bien aussi, c'est surtout très adapté pour 2 noeuds mais 
malheureusement plus supporté par Proxmox.



Ici on fait du LVM sur du DRBD.
les piles DRBD sont faites à la main (peu d'évolutions, plateformes 
clientes, 1 VM de prod, 1 VM de test la plupart du temps)
Du coup, proxmox n'a pas besoin de savoir qu'il y a un drbd sous la 
couche LVM.


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

[Pierre DOLIDON]

Le 18/09/2020 à 11:06, Dominique Rousseau a écrit :

Le Fri, Sep 18, 2020 at 10:44:28AM +0200, Julien Escario 
[julien.esca...@altinea.fr] a écrit:

Le 17/09/2020 à 17:10, Pierre DOLIDON a écrit :

forger des spams avec une signature DKIM et des SPF valide, c'est pas
bien compliqué !

Wow ! Tu m'expliques comment tu bypasses la clé publique dans le DNS ?

Facile : tu en publies une.

Tu enregistres un domaine, tu y mets du SPF, DKIM, tu fais tes mails
signés, tu détruis le domaine.
Avec les API des registrars et les whois anonymises, ca laissera peu de
traces faciles a suivre.


oui.
ou tu pirate une boite mail ou un site wordpress tout pourri, et tu 
envoie des mails avec la fonction php mail(). comme le serveur est bien 
configuré il va signer gentiment tes vrais spams.


j'ai pas parlé de forger un From ou sender-address hein ! j'ai juste dit 
que tu pouvais très bien envoyer des spams avec une signature DKIM et un 
SPF valide !


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Pierre DOLIDON]

Le 18/09/2020 à 10:59, Stéphane Rivière a écrit :

Bonjour Julien,


Mon conseil non-demandé du jour : vire DRBD/Linstor et passe sur Ceph.

On tourne depuis des lustres avec DRBD, ça nous convient.
Mais on regarde bien sûr CEPH, alors ton avis m'intéresse :)

+1



Ma vie a changée depuis que j'ai fait ça.

Si tu pouvais m'en dire plus en quelques mots (avec ton contexte).

Ici DRBD est utilisé pour tout, en couple de serveurs, aussi bien en
interne qu'en prod (du "ouaib" et du "cloud drive").


+1


de mémoire, ceph sur 2 noeuds, c'est pas possible ? (puisque c'est un 
cluster... quorum toussa toussa).


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxmox avec gros uptime = problèmes ?

[Pierre DOLIDON]

t'as pas une sandbox pour mettre a jour ?

chez nous on upgrade régulièrement, donc pas trop de soucis, mais il fut 
un temps où on upgradait pas les proxmox. on c'est lancé, on a upgrade 
de debian7 à 10 (en étapes successives bien sur), et c'est passé comme 
une lettre à la poste (sauf le cluster, bien sur, mais ça c'est 
documenté par proxmox).



Seul bémol, on a quelques couple de proxmox qui tournent avec un socle 
DRBD. comme proxmox a retiré ses packages de ses repository (problème de 
licence avec linbit...) ben le module drbd kernel de debian8 (fourni par 
proxmox) a une version supérieure à celui fourni par debian9/10. j'ai du 
compiler à la mano (c'est pas la panacée...)


Le 18/09/2020 à 02:48, David Ponzone a écrit :

4.3.3 donc ça date mais quand ça tourne…

Pas mal de mises à jour à faire pour atteindre la dernière 4.X donc je pense 
que je vais faire l’impasse, trop risqué.
Ca sera plus simple d’ajouter des nouveaux serveurs en 6.2.X et de migrer.

En tentant de virer le swap (parce qu’il est à 100% de 8Go, problème connu, 
j’avais sapines à 60) avec swapoff: échec, l’opération termine avec un Killed 
(pas par moi).
J’avais pourtant réussi il y a quelques mois mais sur un autre Proxmox.
J’ai donc peut-être bien un Proxmox qui va pas ultra-bien.



Le 17 sept. 2020 à 23:46, Frederic MASSOT  a 
écrit :
Quelle version de Proxmox ?

Il y a quelques années, j'ai eu un problème avec une version de Proxmox qui 
avaient des compteurs ou id (je ne sais plus) sur 32 bits, ou bout de quelques 
années d'uptime les commandes de l'hôte vers les invités ne fonctionnaient plus.


___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

[Pierre DOLIDON]

Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :

Vu l'actualité il y a pas mal de monde qui durcit ses filtres en ce moment.


ouais, enfin ce qui n'est pas très logique, c'est que la signature DKIM 
filtre certes de facto quelques spams, mais

1 - c'est pas fait pour ça
2 - c'est d'une efficacité toute relative !

forger des spams avec une signature DKIM et des SPF valide, c'est pas 
bien compliqué !


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] BPCE et DKIM

[Pierre DOLIDON]

Le 17/09/2020 à 17:06, Maxime DERCHE a écrit :

Tu as vu ça juste aujourd'hui, avant les messages passaient ?


j'ai commencé mon mail par "Aujourd'hui, un client me remonte un de ses 
mailer-deamon" ;-)


sinon, je n'envoie pas des mails tous les jours a la BPCE non ;-)

___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] BPCE et DKIM

[Pierre DOLIDON]

Aujourd'hui, un client me remonte un de ses mailer-deamon :


: host 
mail-in.bpce-it.fr[91.135.189.237] said: 550

#5.7.5 DKIM unauthenticated mail is prohibited. If you believe that this
failure is in error, please refer to https://tools.ietf.org/html/rfc6376 or
contact postmas...@bpce-it.fr for more information via alternate means. (in
reply to end of DATA command)
Reporting-MTA: dns; y
X-Postfix-Queue-ID: 4728650C280F
X-Postfix-Sender: rfc822; sss...@cc.com
Arrival-Date: Tue, 15 Sep 2020 19:55:56 +0200 (CEST)

Final-Recipient: rfc822; xx
Original-Recipient: rfc822;x
Action: failed
Status: 5.0.0
Remote-MTA: dns; mail-in.bpce-it.fr
Diagnostic-Code: smtp; 550 #5.7.5 DKIM unauthenticated mail is 
prohibited. If

you believe that this failure is in error, please refer to
https://tools.ietf.org/html/rfc6376 or contact postmas...@bpce-it.fr for
more information via alternate means.




donc ça y est carrément ? tu n'as pas de signature DKIM, c'est le 550 
directement ?
un peu violent... qu'en pensez-vous ? c'est presque étonnant que ça ne 
vienne pas d'un géant américain du mail en fait ^_^


(oui, il y a encore des clients qui n'ont pas de signature DKIM dans 
leurs mails).


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Retours sur galera cluster mariadb

[Pierre DOLIDON]

Bonjour

j'eusse mis en prod du MaxScale aussi pour ce genre de cas. ça marche 
plutôt pas trop mal (c'est un truc de chez MariaDB).


Le 16/09/2020 à 14:36, Ronan Ducamp a écrit :

Hello,

Je plussoie fortement ProxySQL ! Eviter le mode RW/Split from scratch 
si l'application ne supporte pas les staleread, ça a beau être de la 
répli synchrone sur le papier en réalité ça ne l'est pas.
Custom ProxySQL pour répartir les querys en fonction du besoin est 
beaucoup mieux, sharding and co ..
HaProxy c'est bien quand ton application sait splitter, sinon bof a 
part pour faire du failover.


Pour les cas d'usage, en interne on c'est mis la barre à 5% de write 
maximum... Bien entendu, on est loin d'avoir un load de milliers de 
query/s xD


Sinon il y a repmgr  de signal18 
pour garder un semblant de cluster :) ça fait le boulot chez des 
grands noms avec un gros workload.


Ronan

Le ven. 10 juil. 2020 à 18:54, open doc > a écrit :


Hello, je viens de faire quelques tests.
avec HAProxy on peut piloter l'intégration du node via un jeux de
question réponse (clairement inspiré des redis sentinel)

---
    option          tcp-check
        tcp-check       connect
        tcp-check       send local_state\r\n
        tcp-check       expect string wsrep_local_state_comment Synced
        tcp-check       send ready\r\n
        tcp-check       expect string wsrep_ready ON
        tcp-check       send quit\r\n
        tcp-check       expect string bye
---

Si tout est validé le node est intégré.
C'est un petit script avec du xinet que l'on peut appeler en telnet

---
telnet verstestgalera03 3201
Trying X.X.X.X...
Connected to verstestgalera03.x.fr
.
Escape character is '^]'.
h
option not found
h           : help
local_state : shows the node state in a human readable format
ready       : Whether the server is ready to accept queries
local_state
wsrep_local_state_comment Synced
ready
wsrep_ready ON
quit
bye
Connection closed by foreign host
---

Sur la partie écriture on peut écrire sur un node, et écrire sur
un autre si le premier est down avec la notion de backup dans HAProxy
Effectivement, j'ai bien le décalage dans les auto increment et ca
c'est pas génial, mais on peut le bypasser

---
[galera]
wsrep_auto_increment_control=OFF

[mysqld]
auto_increment_increment = 1
auto_increment_offset = 1
---

J'ai fait plus 40 000 inserts avec 16 écritures simultanées sur
des tables avec des auto increment tout en testant un changement
de master, je n'ai pas eu de décalage.
je vais continuer les tests.

Avez vous d'autres situations ou le galera cluster n'est pas adapté ?

Alex


Le ven. 26 juin 2020 à 23:21, Jonathan Leroy - Inikup via FRsAG
mailto:frsag@frsag.org>> a écrit :

Le ven. 26 juin 2020 à 09:15, mailto:fr...@jack.fr.eu.org>> a écrit :
> Je passe sur la gestion des clef primaires
> Oui, rien ne dit que les auto_increment sont incrémentés de
1 à 1
> Et oui, certains dev qualitatifs se basent sur le fait que
c'est le cas,
> et s'étonnent ensuite que les numéros de facture vont de 3
en 3 sur un
> cluster galera

Je ne compterai pas ça comme un point négatif. C'est clair et
documenté : les auto-incréments ne doivent pas êtres utilisés
dans des
cas ou la numérotation doit être consécutive (typiquement les
numéros
de facture en France). Avec ou sans Galera, il y a un dizaine de
raisons qui font qu'il peut y avoir un trou dans les ID en
AUTO_INCREMENT (transaction annulée, INSERT IGNORE...).

Malheureusement la plupart des dev ne le comprennent pas, donc
on est
obligés de trouver des solutions en catastrophe quand la compta se
rend compte qu'ils vont avoir de gros problèmes avec les impôts.


> Enfin, des problèmes liés au setup, j'en ai eu plein
> En revanche, des problèmes évités grace au setup, beaucoup
moins (c'est
> subjectif, naturellement)

C'est un peu le cas de toutes les solutions de HA : ajout de
machines
= archi plus complexe.

Mais c'est particulièrement vrai sur les SGBD pour lesquels ça ne
pardonne pas. J'ai eu quelques fois à fusionner les données de
tables
après un split-brain MySQL, je m'en souviens encore. (:

Il y a quelques années les équipes de GitHub ont décidées de
redonder
complètement leurs archis physique *et* logicielle : tout a
été doublé
niveau hardware (serveurs, switchs, routeurs...) et niveau
soft (infra
MySQL complexe).
Dans l'année qui a suivie, le nombre 

Re: [FRsAG] deb.sury.org... miroir ou sauvegarde ?

[Pierre DOLIDON]

Le 21/07/2020 à 17:33, Arnaud Launay a écrit :

Le Mon, Jul 20, 2020 at 04:26:51PM +0200, Stéphane Rivière a écrit:

Merci à Ronan pour le partage...
Je laisse ça à dispo ici, pour un bout de temps, si ça peut aider
d'autre paléojessiens à avoir du PHP 7.4 dessus (entre autres).
https://stef.genesix.org/pub/sury-jessie

J'en ai une rigolote dans l'autre sens: j'ai un client qui a besoin de
php *4* pour une appli avant sa migration d'ici la fin de l'année en
théorie. Je ne suis même pas sûr de pouvoir retrouver une etch pour lui
faire tourner ça dessus... Je pars du principe que ça n'existe pas sous
buster, on est d'accord ? :)

Arnaud.
___
Liste de diffusion du FRsAG
http://www.frsag.org/



à l'époque, j'avais écrit une procédure pour le compiler sur debian 7 
(doit être adaptable en debian 8, sur stretch et buster, j'en sais rien, 
j'ai jamais essayé, mais ça doit être la misère avec les libs)


## installer OpenSSL 0.9.X :
./config --prefix=/opt/applis/openssl-0.9.8zh

## installer les dépendances (Debian 7)
aptitude install flex libssl-dev libcurl4-openssl-dev 
libgnutls-openssl27 libcurl-dev libcurl4 libxml2-dev libpng-dev 
libpng3-dev libmcrypt-dev mcrypt libtomcrypt-dev libjpeg8-dev 
libfreetype6-dev libmhash-dev libmysqlclient-dev libexpat1-dev 
libxslt1-dev libgd2-xpm-dev autoconf bison libbison-dev libbz2-dev 
libbz2-dev curl libxpm-dev libicu-dev unixodbc-dev libreadline-dev 
libgmp-dev libjpeg-dev libpspell-dev libicu-dev


## faire un peu de karaté avec les libs
mkdir /usr/kerberos
mkdir /usr/include/freetype2/freetype/
ln -s /usr/lib/x86_64-linux-gnu/libjpeg.so /usr/lib/libjpeg.so
ln -s /usr/lib/x86_64-linux-gnu/libpng.so /usr/lib/libpng.so
ln -s /usr/lib/x86_64-linux-gnu/libmysqlclient.so /usr/lib/libmysqlclient.so
ln -s /usr/lib/x86_64-linux-gnu/libmysqlclient.so.18 
/usr/lib/libmysqlclient.so.18

ln -s /usr/lib/x86_64-linux-gnu/libexpat.so /usr/lib/libexpat.so
ln -s /usr/include/freetype2/freetype.h 
"/usr/include/freetype2/freetype/freetype.h"

ln -s /usr/lib/x86_64-linux-gnu/ /usr/lib64

## configurer le bouzin
./configure --prefix=/opt/applis/php-4.4.9 --with-zlib-dir 
--with-freetype-dir --enable-mbstring --with-libxml-dir=/usr 
--enable-soap --enable-calendar --with-curl --with-mcrypt --with-zlib 
--with-gd --disable-rpath --enable-inline-optimization --with-zlib 
--enable-sockets --enable-sysvsem --enable-sysvshm --enable-pcntl 
--enable-mbregex --with-mhash --enable-zip --with-pcre-regex 
--with-mysql=/usr --with-mysql-sock=/var/run/mysqld/mysqld.sock 
--with-jpeg-dir=/usr --with-png-dir=/usr --enable-gd-native-ttf 
--with-openssl=/opt/applis/openssl-0.9.8zh 
--with-openssl-dir=/opt/applis/openssl-0.9.8zh 
--with-libdir=/lib/x86_64-linux-gnu --enable-ftp --with-imap-ssl 
--with-kerberos --with-gettext --with-expat-dir=/usr --enable-fastcgi



et voilà ça marchait.

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Question aux Pro de let's Encrypt

[Pierre DOLIDON]

Le 24/04/2020 à 16:06, x.r...@sipleo.com a écrit :


Bonjour,


hello


Quelqu’un sait quel paramètre ou procédure pour avoir un certificat 
Let’s Encrypt ailleurs que le container par défaut.



gné ? le container par défaut ?


Notamment pour ne pas avoir a géré à la main lors des renouvellements.


gné ? le renouvellement à la main ?


as-tu suivi la doc d'installe ? (y'a un cron qui est fourni)

quelle méthode tu utilise pour demander un certificat ? Quelle 
authentification ?


c'est pour installer le certif sur quoi ?
as-tu regardé les deploy-hooks ?


Merci

Très bonne fin de semaine

Xavier


___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [DIY] boîtier pour NAS

[Pierre DOLIDON]

Hello

question bête
pourquoi ne pas laisser tout le temps un ventilo allumé ?
chez Noctua par exemple ils en font des vraiment très silencieux et 
performants de toute tailles, et de toutes les vitesses de rotation, et 
ils vendent même les pattes en caoutchouc qui vont bien avec pour le 
fixer sans vis + la résistance pour abaisser encore au minmum la vitesse 
de rotation.


tu pourrais te retrouver avec un gros ventilo de 12 CM qui tourne a 400 
rpm, donc totalement inaudible, mais qui brasse suffisamment d'air pour 
ne pas avoir besoin de te prendre la tête.


Ah, pour infos, ce qui tue les disques mécaniques, ce sont les 
variations de température. je préfèrerai avoir un léger flux d'air, mais 
constant, plutôt que d'avoir une variation importante entre la journée 
et la nuit !


voilà, my 2 cts.

Sinon, un RPi Zero W avec une sonde 1-Wire type DS18B20 + le code python 
qui va bien, et tu peux monitorer la température dans ton boitier sur un 
zouli grafana.
allez, je te fais même économiser du temps 
https://github.com/Sn4kY/RPi_temperature_ds18b20/blob/master/temperature_maison.py


A++

Le 20/04/2020 à 18:25, David Ponzone a écrit :

Je profite du confinement pour donner les dernières nouvelles du NAS DIY à base 
de RockPro64.

Ca tournait bien, et puis subitement, il y a 3 ou 4 semaines, plantage. Pas de 
l’OS complet, mais plus de réseau.
Les voyants de la carte LAN étaient éteints.
Le seul moyen de sortir ce cette situation était soit de laisser le NAS éteint 
un certain temps (15 ? 30 ? 60 min, je sais pas trop), ou de le booter une fois 
sur un OS type Recallbox.
J’ai donc pensé que c’était un problème de température, car la version d’OMV 
que j’ai installée ne gère pas automagiquement le ventilo. Donc le ventilo ne 
tournait pas du tout. Ca semblait pas trop chauffer pourtant dedans, le NAS ne 
faisant que du file-sharing, avec 2 HD 8TB.
Et ça s’est reproduit de plus en plus souvent, parfois au bout de 24h d’uptime, 
et il fait justement plus chaud depuis quelques temps.

J’ai donc mis en place une petite cron pour allumer le ventilo à fond en 
journée, un peu moins à fond en soirée, et l’éteindre vers 2h, et depuis 8 
jours, plus de souci.

Je pense qu’il faut que j’attende encore 1 semaine pour être sûr que c’était un 
problème de température. Et ensuite, il faudrait recouper le ventilo pour voir 
si ça re-plante et être sûr à 200%.

Ceci dit:
-juste le partie LAN qui plante, j’ai jamais vu, mais je suppose qu’avec un 
SBC, tout est possible
-pourquoi le boot sur recallbox règle le problème sans laisser refroidir ? Une 
valeur sauvegardée dans le BIOS quelque part que Recall va effacer au boot ?
-il va se passer quoi quand il va faire 35° dehors, avec ce petit ventilo….

Ca va peut-être me pousser à commander un Kobol Helios64 car il est à peine 
plus gros que le chassis en métal que j’ai et il prend 4 HD au lieu de 2. Et 
j’ose espérer que la ventilation est au point.

A suivre…


Le 31 déc. 2019 à 13:31, Frank ALEXIS  a écrit :

Oui j’ai suivi avec intérêt les péripéties :-D
Effectivement c’est assez tentant mais au final, est-ce que tout ce temps et 
ces aller retours de produits / tests / risques ne sont pas overkill sur le 
bénéfice obtenu ?

En SAV, Syno c’est caviar via SQP :)

Pour un soucis, si c’est le hardware qui est cuit, c’est swap sur un modèle 
identique ou upscale zéro mais alors zéro soucis.
Pour le RAID, ben j’ai JAMAIS eu, même chez un client sur un 8 baies avec au 
moins 10 coupures de courant successives récemment (coucou les manif à 
montpellier en centre ville et les gentils EDF !), j'ai eu du DD HS, du DD 
incompatible qui fait planter la grappe et faut remplacer, du upgrade de 
version grand écart DSM, de l'onduleur qui donne pas la bonne info au NAS et 
fait éteindre ... un petit florilège de geek quoi mais jamais de catastrophe 
(croisage des doigts très fort !!)

Le DS218+ ou le DS718  en 2 baies sont loin d’être ridicule, avec 2 SSD, ça va 
pas mal du tout et le 718 gère le failover/load balacing mais c’est du 2x1Gb :-(

Après je suis le premier à passer des nuits sur des trucs juste pour le fun ;-) 
ou le proof !

Good luck et si ça tourne rond, j’achète le tuto !!!

___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Nos compétences et infrastructures au service de la crise

[Pierre DOLIDON]

Le 17/03/2020 à 16:29, Antoine Nivard a écrit :

Bonjour à toutes et à tous,

Je me permets de vous informer de ceci :

Nous sommes un groupe (en cours de constitution) de volontaires avec 
des compétences techniques en IT/cybersécurité prêts à soutenir les 
acteurs cruciaux à la vie locale en cas de crise.


Si vous souhaitez en faire partie, rejoignez nous sur Discord : 
https://discord.gg/pYjA3q



sinon, il n'y a pas déjà l'IRC de FRsAG ?

#frsag sur freenode

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] doc de config Postfix / spamassassin / clamav

[Pierre DOLIDON]

Bonjour

Ma bible :
https://www.starbridge.org/spip/spip.php?article12 




> Le 18 oct. 2017 à 17:01, Sylvain Faivre  a écrit :
> 
> Bonjour,
> 
> Auriez-vous de bonnes docs à conseiller sur la config Postfix / spamassassin 
> / clamav ?
> 
> Par "bonnes", j'entends assez détaillées et qui expliquent le pourquoi du 
> comment, contrairement aux centaines de tutoriaux qui balancent juste une 
> configuration à laquelle faire confiance aveuglement.
> 
> Pour l'instant, j'ai trouvé :
> 
> https://www.akadia.com/services/postfix_uce.html
> => bien comme premier aperçu
> 
> https://jimsun.linxnet.com/misc/postfix-anti-UCE.txt
> => nickel mais pas très pratique à lire, et ne couvre pas tout ce qui est SPF 
> / DKIM, ni spamassassin et clamav
> 
> http://www.postfix.org/postconf.5.html
> => utile comme référence
> 
> NB: Il s'agit d'un serveur mail à faible volume, qui tourne déjà pas trop 
> mal. Mon but est donc d'améliorer la configuration, sans changer de soft.
> 
> Merci d'avance.
> 
> 
> -- 
> Sylvain Faivre
> Administrateur systèmes et réseaux
> CIRM - UMS 822 - CNRS/SMF
> Tél. 04.91.83.30.23
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] : blackliste chez Hotmail/live

[Pierre DOLIDON]

> D'après mon passif (laborieux) avec M$/HotMail/SNDS/FBL/... ce qui est appelé 
> "l'organisation" est en fait le domaine final du récepteur, et non de 
> l'emmeteur, en tout cas lorsque cela passe par les "protection.outlook.com"
> 
> Donc la conséquence pourrait être que ce ne soit pas toi qui soit BL, mais 
> plutôt que le domaine (l'adresse?) destinatrice soit elle hors quota ?

donc hotmail considère que *@hotmail.fr a reçu trop d’email et a donc 
blacklisté les mails vers *@hotmail.fr ?

>_<
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] : blackliste chez Hotmail/live

[Pierre DOLIDON]

> 
> J'ai l'impression que leur service antispam est géré par des robots qui
> font n'importe quoi, on a toujours la même réponse quand on les contacte
> par mail. Ils bloquent des IPs sans aucune raison, et les range d'IPs
> bloquées changent tous les jours, parfois on reçois des retours de
> plaintes 6 mois après que le mail ai été envoyé.
> 
> Hotmail c'est 16% de notre trafic mail sortant, je trouve hallucinant
> qu'un tel prestataire se permette de bloquer arbitrairement
> des IPs sans raison et que personne ne puisse gérer le filtrage
> et le blocage des mails de leur coté.
> 


Un nouveau message d’erreur que j’avais encore jamais vu jusqu’ici sur leurs 
retours SMTP

(host hotmail-fr.olc.protection.outlook.com[104.47.2.33] said: 450 4.7.3 
*Organization queue quota exceeded.* 
[DB5EUR01HT089.eop-EUR01.prod.protection.outlook.com] 
[DB5EUR01FT037.eop-EUR01.prod.protection.outlook.com] (in reply to end of DATA 
command))


Hum, okay, c’est bien, mais par "Organization queue" ils entendent quoi 
excactement ? organisation d’un point de vue RIPE ?, on est pas dans la merde… 
encore un /16 chez online.net  quoi en ce qui concerne ce 
serveur hébergé pour l’un de mes clients :-(

Sérieusement, ils veulent quoi ? que les gens n’aient plus de mails chez 
microsoft ? c’est bien parti !___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] : blackliste chez Hotmail/live

[Pierre DOLIDON]

c'est des nazis...
il y a peu de temps ils ont carrément bl un /16 (oui le /16 en 
entier...) de chez OVH (ou Online.net, je sais plus, même combat).


Dans ce cas, ya pas grand chose a faire effectivement, a part les 
harceler, et harceler l'opérateur. et tenter ta chance avec le lien de 
demande de déblacklist : 
https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0=capsub=edfsmsbl3=en-us=636204115436537073


:x

Le 15/09/2017 à 16:47, Thomas DUBOIS a écrit :

Le 15/09/2017 à 16:07, JC PAROLA a écrit :

Bonjour à tous,

Depuis une semaine, certaines des adresses IP de serveur (mutualisé ou
dédié) sont blacklistés chez live/hotmail.

Dans chaque cas, le SPF est bien configuré et la quantité de mails
envoyé chez hotmail est extrement faible (confirmation de commande)

Les clients se sont même abonnés aux outils de reporting de Microsoft
(qui est sensé nous envoyer une copie de tous les mails reconnus comme
spam par ses services) mais rien.

Mais rien n'y fait, les IP sont toujours blacklistées.

Sommes nous les seuls dans cette situation ?

Avez vous des informations sur ce qu'il fait mettre en place pour
valider les mails (DKIM,DMARC) ?

Merci pour vos retours


Bonjour,

j'ai eu le tour il y a un an, d'un serveur qui marchait bien, dont la 
conf n'avait pas changé d'un iota, et qui, du jour au lendemain, s'est 
retrouvé BL par hotmail. comme il ne s'agissait que de mon serveur 
perso, avec un envoi quasi nul vers hotmail, j'ai laissé coulé, puis 
je me suis dis tiens je vais en profiter pour mettre SPF (qui n'était 
pas configuré pour le domaine HOOU), puis DKIM. Toujours blacklisté.
J'ai fini par trouver je ne sais plus où une page web ou tu donnes ton 
serveur, ton domaine, pour qu'ils regardent. Au bout de 2-3h, le 
serveur a été débloqué, j'ai reçu un mail du style "on vous met en 
probation et on verra" et depuis, ça roule.


je n'ai plus les liens en tête, j'avais du gratter un peu, mais ça 
devait être sur çà : http://mail.live.com/mail/troubleshooting.aspx



Espérant être utile,

Thomas
___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Panel web hosting sur debian

[Pierre DOLIDON]

Virtualmin ?

wget -q http://software.virtualmin.com/gpl/scripts/install.sh -O 
virtualmin_install.sh
chmod +x virtualmin_install.sh
./virtualmin_install.sh -f



> Le 2 mars 2017 à 16:20, Olivier Duquesne (DaffyDuke)  a 
> écrit :
> 
> Hello,
> Sinon mon voisin de bureau vous suggère 
> http://cockpit-project.org/running.html 
> 
> A+
> 
> Le jeu. 2 mars 2017 à 16:01, cam.la...@azerttyu.net 
>   > a écrit :
> Salut
> 
> Pareil que dit précédemment pour certains, Alternc pour ma part.
> Ça fonctionne, c'est peu invasif, le boulot est fait et l'équipe est sympa.
> 
> Km
> et pas plus objectif que les autres :)
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/ 
> -- 
> Oliver Duquesne aka DaffyDuke
> http://www.coincoin.fr.eu.org 
> Excusez les éventuelles erreurs, ce message
> a été envoyé depuis un mobile.
> 
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Fournisseur de certificat OV pour signer du code et wildcard sur 2 sous-domaines ?

[Pierre DOLIDON]

Le 28/09/2016 à 19:07, merlin8282 a écrit :

On 28/09/2016 00:04, Arnaud Launay wrote:

Par contre le pricing d'instantssl fait super mal au fion.

Je suis le seul à avoir lu "piercing" ?


"Le piercing fait mal au fion"
ça parait évident.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Fournisseur de certificat OV pour signer du code et wildcard sur 2 sous-domaines ?

[Pierre DOLIDON]

SSL247 ?

j’ai eu de bonnes expériences avec eux dans ma vie passée.


> Le 27 sept. 2016 à 16:47, Guillaume Hilt  a écrit :
> 
> Bonjour,
> 
> Je cherche, pour une société, un bon fournisseur pour me fournir à la fois :
> - un certificat pour signer du code
> - un certificat pour signer domaine.tld, *.domaine.tld et *.prod.domaine.tld 
> (idéalement en un seul certificat)
> 
> Le prix est une variable importante.
> Il faut que le certificat soit de type OV (organization validation).
> Je ne veux pas de letsencrypt, je connais, j'utilise pas mal, mais dans le 
> cas présent, ça ne me convient pas.
> 
> Une suggestion ?
> 
> Si StartCom était crédible, ça serait une bonne option, mais de base c'était 
> déjà douteux, et ils ont été rachetés par un groupe chinois en août dernier.
> 
> Merci,
> 
> -- 
> Guillaume Hilt
> 
> 
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [JOB] Sysadmin Linux sur Bordeaux

[Pierre DOLIDON]

Pas de problèmes (et merci).

Encore un coup du market’ qui m’a répondu « c’est le cache qui est pas a jour, 
je vide ».

Bref, c’est corrigé.


> Le 19 sept. 2016 à 10:49, VAILLEAU Olivier <olivier.vaill...@ch-sevrey.fr> a 
> écrit :
> 
> Arf..
> Toi aussi, il faut que tu te crées, comme moi,  une règle d’auto-correction 
> pour le mot administaRteur..
>  
> (Désolé de troller..)
>  
>  
> Olivier.
>  
> De : FRsAG [mailto:frsag-boun...@frsag.org <mailto:frsag-boun...@frsag.org>] 
> De la part de Pierre DOLIDON
> Envoyé : lundi 19 septembre 2016 10:46
> À : frsag@frsag.org <mailto:frsag@frsag.org>
> Objet : [FRsAG] [JOB] Sysadmin Linux sur Bordeaux
>  
> Bonjour a tous, et bon Lundi.
>  
> Si certains d’entre vous ont envie de changer de société et rejoindre une 
> petite entreprise en plein développement, j’ai un job pour vous :
>  
> https://www.dutiko.com/a-propos/recrutement/ 
> <https://www.dutiko.com/a-propos/recrutement/> 
>  
> Au plaisir de vous rencontrer.
>  
> Pierre.

___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] [JOB] Sysadmin Linux sur Bordeaux

[Pierre DOLIDON]

Bonjour a tous, et bon Lundi.

Si certains d’entre vous ont envie de changer de société et rejoindre une 
petite entreprise en plein développement, j’ai un job pour vous :

https://www.dutiko.com/a-propos/recrutement/ 
 

Au plaisir de vous rencontrer.

Pierre.___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] [JOBS] Commercial B2B

[Pierre DOLIDON]

Bonjour.

ma jeune entreprise recrute un commercial B2B, sur Bordeaux-Mérignac.
Voici l’annonce :


Dutiko société de services à forte valeur ajoutée sur le marché de 
l’infogérance de serveurs Linux, recherche un commercial B-to-B dans le cadre 
de son développement.

Votre profil : H/F de formation commerciale Bac+2 minimum ou autodidacte, vous 
justifiez d’une première expérience réussie de 1 à 2 ans minimum en tant que 
commercial en B-to-B idéalement dans un secteur d’activité identique ou proche 
(Métiers du web, Infogérance Serveurs, Administration système…).

Passionné(e) par les nouvelles technologies, vous savez vous montrer persuasif 
et aimez convaincre vos clients. La satisfaction du client est un élément que 
vous maîtrisez. Dynamique et rigoureux, vous savez organiser votre travail en 
toute autonomie. Vous aimez également le travail d’équipe.
Enfin, vous disposez d’une réelle volontée d’évoluer au sein d’une entreprise 
en forte croissance.

Vos missions

Identifier et prospecter de nouveaux clients (Prise de contact, démarchage 
téléphonique/mails…)
Comprendre les besoins du client/prospect pour proposer et vendre des solutions 
adaptées
Développer un portefeuille de clients
Assurer le suivi client/prospect
S’assurer de la satisfaction du client
Les missions proposées sont vouées à évoluer selon l'implication du candidat. 

Type de poste : CDI

Prise de fonction : Dès que possible 

Lieu de travail : Bordeaux - Mérignac (33)  

Rémunération : Fixe + Variable (système incitatif et motivant à base de 
commissions), à négocier selon profil et expérience. 

Avantages : mutuelle, tickets restaurant, budget équipement bureautique, 
télétravail 

Le poste vous intéresse ? N’hésitez pas à nous faire parvenir votre candidature 
(CV et lettre de motivation) par mail à candidature_at_dutiko.com




https://www.dutiko.com/a-propos/recrutement/ 


Pierre.___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] compression en masse de pdf

[Pierre DOLIDON]

Je connais un outil plutôt pas mal pour traiter les PDF :

pdfsam

je sais pas si il fait de la compression et si il permet de faire du batch, 
mais c’est possible. A tester car gratuit (et/ou opensource)

> Le 12 juil. 2016 à 14:20, ay pierre  a écrit :
> 
> bonjour,
> 
> connaissez vous un outil même payant qui permet de faire de la
> compression de pdf en masse sur un répertoire ?
> 
> par avance merci
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] "Défrag" Banque Exchange

[Pierre DOLIDON]

Le 12/04/2016 14:51, Fabien LEBRET a écrit :

Bonjour,

En fait, c'est normal, les banques Exchange agissent comme des bases 
SQL Server. Quand il y'a un besoin de stockage, l'espace libre dans le 
fichier est vérifié, s'il n'y en a pas, le fichier augmente sa taille. 
Lorsque de la place est libérée, l'espace est marqué comme libre dans 
le fichier, mais il n'est pas "shrinké".


Un petit lien pour checker l'espace : 
https://blogs.technet.microsoft.com/rmilne/2013/08/20/how-to-check-database-white-space-in-exchange/





Comme MySQL et innodb...


Bonne journée,
Fabien



Le 12 avril 2016 à 10:28, SIMANCAS Hugo 
> a écrit :


Bonjour,

J’ai deux banques de données Exchange 2010 Std :

-Primaire 850 Go

-Archive : 100 Go

Lorsque je déplace des boites depuis la primaire vers l’archive,
la taille de la banque archive augmente bien mais la primaire ne
baisse pas. J’ai vu qu’Il y avait un job de maintenance sur la
base toute les nuit entre 2h et 4h, mais ça fait 2 jours que la
taille ne change pas.

Avez-vous une idée ?

Merci d’avance

Hugo


___
Liste de diffusion du FRsAG
http://www.frsag.org/




___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Let's Encrypt

[Pierre DOLIDON]

j'ai marqué "il parait que".

mais sinon, 3ans pour une société stable, non ce n'est pas long du tout.
Après, n'importe quelle CA te permet de régénérer ton certif en cas de 
pépin (clé privée perdue, failles comme poodle, etc.), donc pas de 
problèmes a avoir de ce côté.


Le 12/04/2016 11:47, Alarig Le Lay a écrit :

On Tue Apr 12 11:19:46 2016, Pierre DOLIDON wrote:

D'autres raisons pourrait être aussi la pénalité du SEO sur des certifs a
TTL courte... Ce n'est pas officiel mais il parait que Google favorise :
- les sites en SSL
- les sites SSL dont la durée de vie est longue (<= 3 ans)
- les sites dont le certif est EV

Matin,

Tu es sûr pour la durée de vie à trois ans ? Ça me semble bien long pour
un certificat SSL.



___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Xeon E5645

[Pierre DOLIDON]

Avec ta permission, je phagocyte ton mail,

j'ai une paire de E5130 moi a refourguer, si qqn n'en veut... Ebay n'en 
a pas voulu durant plusieurs mois...


Le 20/01/2016 15:37, Julien Escario a écrit :

Bonjour,
Je suis à la recherche d'un couple de Xeon E5645 pour recycler une machine un
chouilla vieillotte et ça devient vraiment difficile à trouver.

Est-ce que quelqu'un aurait ça qui traîne dans une machine qui part à la casse
et pourrait me les vendre ?
Je peux payer en paypal, chèque ou bières (ça risque de faire une bonne biture
quand même).

Merci !
Julien



___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Qu'est-ce qui marche comme antispam de nos jours sur un MTA perso ?

[Pierre DOLIDON]

Bien d'accord avec cette technique.

mais le pop gmail n'est pas très régulier (genre 1x/heure maxi...)


Le 12/12/2015 17:37, Jonathan Leroy a écrit :

Salut,


Le 12 décembre 2015 à 13:35, Jeremie Le Hen  a écrit :

Mon problème c'est que mes chers utilisateurs ont utilisé leur adresse
mail ! ;-) Du coup, leurs adresses ont rapidement été collectées par ces
gros c*ds de spammers (désolé si certains lisent ces lignes) si bien
que la majorité de ce que je forwarde aujourd'hui sur Gmail est du spam.

Ce type de configuration est fortement déconseillé, précisément pour
cette raison.

Tu héberges combien de redirections ? Si le nombre n'est pas énorme,
je te conseille de les transformer en BAL, et de configurer les
comptes Gmail / Hotmail de tes utilisateurs pour venir les popper
régulièrement.



Bref la questions est simple.  Quels outils efficaces, non-commerciaux
de préférence, utilisez-vous ?

Dans ton cas, si tu ne peux pas transformer ces redirections en
boîtes, tu devrais souscrire à un service tel que ProtecMail
(https://www.protecmail.com/) qui s'occupe du filtrage et propose une
interface web de quarantaine.



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Problème d’alias avec postfix

[Pierre DOLIDON]

> Le 7 déc. 2015 à 17:28, Alarig Le Lay <ala...@swordarmor.fr> a écrit :
> 
> On Mon Dec  7 15:17:30 2015, Pierre ?DOLIDON wrote:
>> Je dirai, vu que le postfix tente bien de passer l’email au mda, que ce 
>> n’est pas un problème de virtual au niveau de postfix. C’est bien dovecot 
>> qui te refuse l’email.
>> 
>> Que te retourne ta requête :
>> SELECT goto FROM alias WHERE address='%u@%d' AND active = 1
>> ? 
> 
> Oui, ça répond l’adresse pour laquelle l’alias est configuré.
> 
>> As-tu pu faire logguer ton mysql pour pouvoir vérifier que la requête passée 
>> à ce moment précis est correcte ?
> 
> Oui, le postfix demande l’adresse correspondant à l’alias. Le hic est que le 
> mda
> demande l’alias et non l’adresse réelle. Il ne sait donc que faire du
> mail.
> J’ai donc tendance à penser que postfix n’étend pas l’alias vers
> l’adresse. (sinon l’adresse passée au mda serait l’adresse réelle)


En effet, tu as raison.
Sur ma conf (similaire) :

Dec  7 17:52:04 mail postfix/smtp[13914]: C1EF3360E1: to=<mail...@sn4ky.net 
<mailto:mail...@sn4ky.net>>, orig_to=<al...@sn4ky.net 
<mailto:al...@sn4ky.net>>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.2, 
delays=0.22/0/0/1, dsn=2.0.0, status=sent (250 2.0.0 from 
MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0002A36112)
[...]
Dec  7 17:52:04 mail postfix/pipe[13922]: 0002A36112: to=<mail...@sn4ky.net 
<mailto:mail...@sn4ky.net>>, relay=dovecot, delay=0.06, delays=0/0/0/0.05, 
dsn=2.0.0, status=sent (delivered via dovecot service)

Tu n’as pas mentionné cette première ligne, qui montre bien que la traduction 
ALIAS->MAILBOX a bien fonctionné. et postfix passe bien au mda MAILBOX@domain

Dans mon master.cf :
alias_maps = hash:/etc/aliases
[...]
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf,[...]

Et la requête :
query = SELECT goto FROM alias WHERE address='%s' and active = '1'


ma conf provient d’ici : http://www.starbridge.org/spip/spip.php?article12 
<http://www.starbridge.org/spip/spip.php?article12> 



> 
>> Est-ce que le compte qui pointe sur l’alias existe bien ?
> 
> Oui, je l’utilise présentement :)
> 
> -- 
> Alarig Le Lay
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Synchronisation de fichier multisite pour home directory

[Pierre DOLIDON]

Salut

pour avoir tenté de l’utiliser en master/master, j’ai eu pas mal de problèmes, 
notamment lors de l’upload FTP.
les fichiers se retrouvaient mutuellement écrasés (le node A transfert au node 
B, puis le node A se voit modifier sa date, donc node B écrase avec un fichier 
plus « récent »…
La joie.


Sinon, GlusterFS ?


> Le 19 oct. 2015 à 16:50, Jean-Francois Maeyhieux  a écrit :
> 
> Hello,
> 
>pour info, le bête script existe et s'appelle lsyncd: 
> https://github.com/axkibe/lsyncd 
> 
> Cela marche vraiment bien, en configuration de base, il utilise inotify pour 
> scruter les modifications des fichiers/repertoires et transfèrent lorsque 
> soit 30s se sont écoulés, soit la file de modifications a dépassé un seuil. 
> Néanmoins, son usage reste master/slaves, je ne garantie rien en usage 
> master/masters.
> 
> 
> -- 
> Le mercredi 09 septembre 2015 à 15:03 +0200, Alexis Lameire a écrit :
>> Hello
>> 
>> Un bête script basée sur inotify ne pourrait t'il pas faire l'affaire ? Avec 
>>  une tit bdd au cas où l'un des serveur perd la synchro
>> 
>> Alexis
>> 
>> Le 9 sept. 2015 2:57 PM, "Gilles Mocellin" > > a écrit :
>>> Le 2015-09-09 12:31, Youenn PIOLET a écrit :
 Bonjour,
 
 Je cherche à savoir sil existe dautres solutions que BitorrentSync
 pour faire de la synchronisation de fichiers utilisateurs multipoints
 en temps réel.  
 
 Je cherche typiquement à synchroniser des /home directories
 utilisateurs entre 4/5 serveurs NFS qui seront montés par les autres
 système. BtSync pose un problème sur les permissions de fichier, et
 je me vois mal lancer une instance de BtSync pour chaque utilisateur.
 Un système de gestion des conflits serait un plus.
 
 Les FS distribués sont probablement à écarter pour des raisons de
 latence très élevée entre mes sites mais je reste ouvert à toute
 solution miracle dans cette direction.
 
 Avez-vous des pistes ?
 
 Cordialement,
 
>>> 
>>> Salut,
>>> 
>>> Si tu peux te permettre un point central, accessible par tous les systèmes, 
>>> il y a owncloud.
>>> 
>>> Sinon, pas tout à fait dans ta cible, je me suis toujours dit qu'il doit 
>>> être possible de faire
>>> quelque chose de sympa avec Tahoe-LAFS 
>>> https://www.tahoe-lafs.org/trac/tahoe-lafs 
>>> 
>>> 
>>> ___
>>> Liste de diffusion du FRsAG
>>> http://www.frsag.org/ 
>>> 
>> 
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/ 
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] FRsAG blacklisté par spamhaus vers gmail

[Pierre DOLIDON]

Sinon,

postscreen_access_list = permit_mynetworks, 
cidr:/etc/postfix/postscreen_access.cidr


/etc/postfix/postscreen_access.cidr :
62.210.131.4permit


Le 06/10/2015 07:17, Sylvain Viart a écrit :

Salut,


une IP non-blacklistée chezSpamHaus, mais elle l'est chez Gmail


Si je comprends bien, tu relais les mail via Gmail ?


Autant allez directement sur un google group, au niveau privacy 
 ça fera pareil. (on 
n'est pas vendredi mais quand même)


Bon, j'ai une idée de projet que je lance en vrac et qui aurait pu 
servir dans ce cas précis…


Une mailing list sous forme d'image iso, type turnkey linux 
 ou autre container à déployer. Cela inclurait :


  * MTA
  * mailmain (probablement la nouvelle version 3)
  * un service web pour le message de bienvenu ou wiki ou blog avec le
formulaire d'inscription
  * un service d'hébergement de PJ de mailinglist
  * la configuration de tout ça, en bien propre, et check du DNS
enregistrement MX et SPF etc.
  * éventuellement aliassage de mail du genre :
monal...@nom-de-lassoc.org pour les plus forts…
  * et plus si affinité ;-)

Vous voyez l'intérêt pour votre assoc locale de mamies qui font du 
tricot, ou encore les végés qui veulent planter au centre du rond 
point, ou d’automobilistes conducteurs de 4x4 qui veulent des routes 
plates et rapides, ou de regroupement de mamans qui veulent faire un 
service de garderie à la maison, ou Dev rubyistes par encore Ops qui 
veulent se partager des poèmes.rb, ou …  ?


Ceci étant dit, ça fonctionne cette liste d'échange FRsAG et c'est 
plutôt sympa et de haut niveau, merci ! ;-)


Sylvain.


___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] FRsAG blacklisté par spamhaus

[Pierre DOLIDON]

Bonjour

FRsAG est blacklisté par spamhaus :

Sep 21 01:41:06 mail postfix/postscreen[6586]: NOQUEUE: reject: RCPT from [195.154.243.10]:54749: 
550 5.7.1 Service unavailable; client [195.154.243.10] blocked using zen.spamhaus.org; 
from=, to=, proto=ESMTP, 
helo=


Du coup, j'imagine ne pas être le seul a ne plus recevoir d'emails de 
FRsAG depuis un certain temps... voir un temps certain !


En fait, c'est un mail pour tester que ma conf de whitelist fonctionne 
bien :)


Merci
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Rouncube, spellcheck, Google

[Pierre DOLIDON]

Bonjour a tous.

Ce matin, tous de nombreux clients utilisant Roundcube me disent "on 
arrive plus à envoyer d'emails".


En effet, ça marche plus sur leurs comptes.
J'ai retourné la config roundcube et postfix, rien n'y faisait.

En comparant avec un compte fraichement créé et fonctionnel, on 
s'aperçoit que la seule différence est la présence de la checkbox 
"Vérifier l’orthographe avant d'envoyer un message" dans les paramètres 
de rédaction des messages du compte.


En recherchant un petit peu on voit qu'il s'agit d'un module intégré à 
roundcube utilisant un webservice de google (lequel ?) pour faire la 
correction automatique.


Sauf que, ben depuis ce matin, ça marche plus.

Avez-vous subi le même problème ? Une info quelque part pour en faire 
part à mes clients ?



Merci.

Pierre.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Command at RHEL 6.6

[Pierre DOLIDON]

le démon atd est lancé ?

Le 20/08/2015 09:33, Stan Garret a écrit :

Bonjour à tous,

j'ai un soucis avec la commande at.

Les commandes que je veux lancer ne passent pas et le job se met dans
l'état suivant :

5   2015-08-20 08:50 = root (job qui aurait dû tourner à 8h50)
6   2015-08-20 09:40 a root (job qui tournera à 9h40)

Pouvez-vous m'indiquer pourquoi mon job reste avec = et n'est pas lancé ?

pour info /etc/at.deny est vide et /etc/at.allow n'existe pas (donc
tout utilisateur et suceptible de lancer un job) et les tâches à
lancer sont exécutables.

Merci

Stan
___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Spam + virus

[Pierre DOLIDON]

Salut

j'ai BL les IP qui m'envoyaient leurs saloperies

-A INPUT -s 50.250.38.225/32 -j DROP
-A INPUT -s 202.85.38.184/32 -j DROP
-A INPUT -s 119.77.209.173/32 -j DROP
-A INPUT -s 60.251.133.50/32 -j DROP
-A INPUT -s 178.23.209.96/32 -j DROP
-A INPUT -s 194.112.179.129/32 -j DROP
-A INPUT -s 217.92.225.26/32 -j DROP
-A INPUT -s 24.116.160.201/32 -j DROP


Surement très peu, mais efficace pour le moment.


Le 20/07/2015 15:05, GUIOT Jean-Philippe a écrit :


Bonjour,

Effectivement, ils sont très très bien fait.

Nous avons le même souci, par vagues et pour ma part je constate ceci 
depuis 1 semaine environ. Pas de recette, juste l’antispam en effet 
qui aide un peu.


JP

--

Jean-Philippe GUIOT

Skype :jp.guiot- Twitter :jpguiot https://twitter.com/jpguiot

*De :*FRsAG [mailto:frsag-boun...@frsag.org] *De la part de* MOBILIA Anael
*Envoyé :* lundi 20 juillet 2015 14:59
*À :* frsag@frsag.org
*Objet :* Re: [FRsAG] Spam + virus

Salut Franck,

C’est un problème relativement global dixit les ml OVH.

Cette attaque dure depuis plusieurs jours (certains parlent de 
semaine), avec des spams très très bien fait et dont les 
pièces-jointes sont systématiquement des fichiers .doc avec au choix 
une saleté intégrée ou un downloader typiquement d’un cheval de troie.


Globalement, j’ai pu constaté que les anti-virus (virustotal) ne 
détectaient que les pièces-jointes du jour précédent (soit autant dire 
le temps qu’il leur faut pour apprendre la nouvelle version du virus 
qui est envoyée).


Je ne sais pas si certains ici ont trouvé une recette miracle ?

A notre niveau on a remonté le niveau de l’anti-spam ce qui permet de 
limiter la casse, mais on a toujours 2/3 séries par jour qui passent…


Bon courage,

Anael

*De :*FRsAG [mailto:frsag-boun...@frsag.org] *De la part de* Franck 
Routier

*Envoyé :* lundi 20 juillet 2015 14:51
*À :* frsag@frsag.org mailto:frsag@frsag.org
*Objet :* [FRsAG] Spam + virus

Bonjour,

je suis inondé (plusieurs dizaines) depuis quelques jours de spam 
assez convaincants (en français, avec logo légitimes, etc...) 
contenant des pièces jointes au format Word.
Mon antivirus (clamav avec signatures securiteinfo.com 0 day) ne 
détecte rien. Sur https://www.metascan-online.com, seuls 4 des 44 
anti-virus détectent un malware :


ThreatTrack



422 ms



Jul 20 2015



LooksLike.Macro.Malware.g (v)

F-secure



1030 ms



Jul 20 2015



Trojan:W97M/MaliciousMacro.GEN

QuickHeal



110 ms



Jul 16 2015 (4 days ago)



W97M.Dropper.Gen

McAfee-Gateway



344 ms



Jul 20 2015



W97M/Downloader.akh


Constatez-vous le même type d'activité ? Avez-vous une idée du type de 
malware dont il s'agit ? (Office / Windows only ?)


Franck



___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Spam + virus

[Pierre DOLIDON]

Le 20/07/2015 15:25, Alarig Le Lay a écrit :

On Mon Jul 20 15:12:36 2015, Pierre DOLIDON wrote:

Salut

j'ai BL les IP qui m'envoyaient leurs saloperies

-A INPUT -s 50.250.38.225/32 -j DROP
-A INPUT -s 202.85.38.184/32 -j DROP
-A INPUT -s 119.77.209.173/32 -j DROP
-A INPUT -s 60.251.133.50/32 -j DROP
-A INPUT -s 178.23.209.96/32 -j DROP
-A INPUT -s 194.112.179.129/32 -j DROP
-A INPUT -s 217.92.225.26/32 -j DROP
-A INPUT -s 24.116.160.201/32 -j DROP


Surement très peu, mais efficace pour le moment.

Salut,

Une autre idée peut être de mettre du greylist sur le serveur mail, avec
du bol les MX qui envoient les spams n’ont pas de queue et le mail se
verra envoyé dans la nature.
Pour ma part j’utilise ce mécanisme sur tous les serveurs mails où j’ai
la main, et c’est très efficace.


Le greylist est efficace. voir même trop.
Avec Gmail, tes mails peuvent être délayés de plusieurs heures, (pour 
pas dire un ou 2 jours !)
entre les moultes serveurs relai qui sont a la fois IPv4 et IPv6 et le 
système qui veut que le mail tente, a chaque émission échouée, de 
changer de serveur sortant... et de basculer entre v6 et v4...


Effectivement tu reçoit moins de spams, mais également les serveurs 
spammeurs sont aussi des serveurs hackés, et donc ont une belle queue mail.


A mon avis, le système n'est pas assez efficace compte tenu des 
problèmes de retard de transmission que cela peut engendrer.


Après, greylist + whitelist ça doit être le top, mais chiant à maintenir...




___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] MiTM Swisscom ?

[Pierre DOLIDON]

Salut.

Penses également à ne pas utiliser les DNS qui te sont proposés par ton 
opérateur, afin d'utiliser quelque chose moins intrusif...


Le 15/04/2015 22:20, Florian Siegenthaler a écrit :

Bonjour à tous,

Problème résolu, le certificat provient de la box Swisscom de son 
interface web, j'ai réussi à reproduire le problème, quand je perd 
l'accès à Internet c'est l'interface web du routeur qui s'affiche pour 
le signaler, c'est un portail captif qui a envoyé son certificat à 
ownCloud. Pour ce faire il suffit de débrancher le lien DSL et la box 
renvoie pour toutes les requêtes DNS sa propre IP.


Donc le résolveur DNS de la box ment en plus du résolveur FAI pour 
signaler la perte de connexion et ownCloud a reçu ce certificat par 
erreur.
Constaté par un wget --no-check-certificate 
https://files.siegenthaler.mx :


florian@florian-pc-fixe:/home/florian$ wget --no-check-certificate 
https://files.siegenthaler.mx

--2015-04-15 22:01:07-- https://files.siegenthaler.mx/
Resolving files.siegenthaler.mx (files.siegenthaler.mx)... 192.168.1.1
Connecting to files.siegenthaler.mx 
(files.siegenthaler.mx)|192.168.1.1|:443... connected.
WARNING: cannot verify files.siegenthaler.mx's certificate, issued by 
‘/C=ch/ST=Swisscom/L=Switzerland/O=Swisscom/CN=Swisscom’:

  Self-signed certificate encountered.
WARNING: certificate common name ‘Swisscom’ doesn't match 
requested host name ‘files.siegenthaler.mx’.

HTTP request sent, awaiting response... 200 OK
Length: 4852 (4.7K) [text/html]
Saving to: ‘index.html.3’

100%[===] 
4'852   --.-K/s   in 0.005s


2015-04-15 22:01:21 (996 KB/s) - ‘index.html.3’ saved [4852/4852]

Ce n'est pas grave à priori, mais dans l'histoire j'ai tout de même 
supprimé l'autorité de certification Swisscom de toutes mes machines 
car cela leur offre la possibilité d'un mitm très peu visible et sans 
aucune alerte sur tous leurs clients (j'imagine de l'ordre du 
million), de plus je n'ai pas confiance en mon FAI.


Merci pour votre participation et vos remarques.
Florian Siegenthaler
//

On 12. 04. 15 12:01, Florian Siegenthaler wrote:

Bonjour,

Merci de vos réponses.

Donc oui c'est bien sur une ligne Swisscom (avec DNS géré par Swisscom),
cet opérateur est aussi autorité de certification mais il ne me semble
pas que ce faux certificat soit signé par cette autorité.
Merci pour les conseils sur les requêtes HTTP, je vais étudier cela et
installerai Framapic sur le serveur prochainement.

Pour Qualys Lab déjà testé, mon serveur renvoie bien le bon certificat.
Et non je suis connecté directement en câble, donc pas de portail wifi
captif.

Ce qui m'intéresserait c'est de pouvoir savoir précisément si ce
certificat provient de l'autorité de certification Swisscom mais j'en
doute sinon ownCloud n'y aurait vu que du feu et ne m'aurait pas affiché
d'avertissement. Aussi j'aimerai pouvoir identifier le problème si il
survient à nouveau, est-il possible de faire un tcpdump sélectif pour
récupérer le certificat et d'autres informations (provenance IP, etc) ?

J'ai d'ailleurs supprimé de mes machines cette autorité de certification
car ils gèrent aussi les DNS des clients, je ne comprends d'ailleurs pas
sa présence dans les OS et navigateurs...

Florian Siegenthaler
//

On 09. 04. 15 23:39, Luc didry wrote:

Le jeudi 9 avril 2015, 17:27:02 neo futur a écrit :

c est interessant et ca a surement sa place ici, amha c est meme
suffisemment interessant pour crossposter sur frnog si tu ne trouve
pas ton bonheur ici.


Oui, ça pue le MITM, mais c'est quand même bizarre, parce que quand on veut 
faire du MITM, on fait pas ça comme un gros goret, on essaye d'être discret.

Tu pourrais regarder avec les outils de développement de Firefox pour suivre 
les requêtes HTTP.

Conseil ± HS : si tu souhaites diffuser ton image sur frnog, je te conseillerai 
bien de la mettre surhttps://framapic.org  ouhttps://lut.im  plutôt que sur ton 
owncloud : owncloud a la mauvaise habitude de mettre quelques tonnes de js et 
de css dans chacune de ses pages, du coup c'est pas mal lent (j'ai mis 
plusieurs secondes pour commencer à voir la page, ça a fait 84 requètes HTTP 
pour une bête page). Les deux services que je cite sont libres et respectueux 
de la vie privée, promis juré craché, et c'est rapide à l'affichage.

Astuce HS : mettre 'asset-pipeline.enabled' = true dans le config.php 
d'owncloud permet de concaténer les js/css, du coup y a que 2/3 fichier js/css 
d'appelés.



___
Liste de diffusion du FRsAG
http://www.frsag.org/




___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Gestion des sites SSL à petite échelle

[Pierre DOLIDON]

ne pas oublier un truc, normalement les IE sur XP ne devraient même plus 
pouvoir naviguer sur le SSL, avec poodle tout le monde a raisonnablement 
désactivé SSLv3, et TLS 1.0 est désactivé par défaut dans IE. Donc 
normalement, if IE + Win XP = Pas HTTPS.


Donc SNI ou pas, ça changera pas le problème...

Le 01/04/2015 12:19, Dominique Rousseau a écrit :

Le Wed, Apr 01, 2015 at 12:07:22PM +0200, Artur [fr...@pydo.org] a écrit:
[...]

La question porte sur la mise en oeuvre de tout ça.
Peut-on raisonnablement envisager une gestion des serveurs web virtuels
dans une telle config ?
Ou au contraire prévoir systématiquement une IP par serveur web ssl (ça
fait riche !) ?

De nos jours, avec SNI, c'est faisable.
En gros, à part les Windows XP, tout le monde peut disposer d'un
navigateur comptaible :

https://en.wikipedia.org/wiki/Server_Name_Indication#Implementation


Plutôt utiliser Apache2 avec des modules PHP ou au contraire un Nginx
avec fpm ?

La même conf que celle que tu fais quand tu n'utilise pas de SSL !
(puisque c'est celle que tu connais)

Selon le besoin, un simple reverse-proxy qui transfère les requetes
arrivant sur un frontal HTTPS dédié vers le/s serveur/s hébegeant
habituellement des sites.



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] connexion RDP impossible sur Windows 7 pro

[Pierre DOLIDON]

Le 25/03/2015 09:54, Edouard BAUDIER - FCNET a écrit :


·Changer le port d’écoute de 3389 à 3390

La commande « netstat –a –o » montre que le port 3389 n’est pas en écoute.



C'est normal du coup, tu a changé ton port en 3390.

Bon, troll a part, j'ai déjà rencontré un problème similaire (avec un 
2012 R2) : les services tournent, mais le port n'est pas en écoute.
La solution a été de réinstaller complètement le serveur (nous avions 
déjà réinstallé tous les services RDP et les joyeusetés qui vont avec en 
version serveur, sans aucunes améliorations)...


C'est pas vraiment une solution en soit, certes, mais on avait retourné 
le web pour tenter de trouver qqch, et ce qu'on a le plus trouvé c'était 
tu a pensé à démarrer le service ?...


Juste pour être certain, tu a pensé au compte invité ?
Le RDP a déjà fonctionné ?


Pierre.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Problème gestion de température

[Pierre DOLIDON]

Salut.

Tous tes disques identiques ont le même firmware ? Celui de la carte 
raid est a jour ?


Le 19/02/2015 18:57, Noël a écrit :

Hello,

Je ne sais pas si la liste est adaptée vu que je n’ai pas souvent vu des 
problèmes plus hard que soft mais je tente ma chance…

Sur un serveur HP Gen6 équipé de 8 emplacements SFF j'avais en [1] et [2]2 SAS 
HP 900Go de 2012 en RAID1 et en [5] [6] [7] et [8] 4 SATA 1To Hitachi 7k1000 de 
2014 en RAID5.
  
Tout fonctionnait bien, tout étant un peu à l'étroit sur le Raid 5.
  
J'ai donc ajouté en [3] et [4] 2 HGST 7k1000 pour les ajouter à la grappe R5. (ce qui a d’ailleurs été fait et fonctionne)
  
Mais j'ai un probleme, alors que les disques sont froids au toucher et même avec un seul des deux disques enfiché (j'ai testé avec chaque disque) j'ai un mauvais report de température et donc les ventillos à 80% et une alert température dans iLO2.
  
Est-ce que ça vient d'une modif de sonde sur les disques entre 2014 et 2015 ? du fait qu'il y aurait des versions sans sonde de température ? d'un problème avec les nouveau FW ? du fait que les disques soient dans la meme banque que les 2 SAS ?
  
Est-ce qu'il y a moyen de désactiver le contrôle de temp de ces disques ? de modifier quelque chose pour que le report de température soit ok ?


Noël
___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Fonctions Haute Disponibilité et PRA sur les solutions de Bdd

[Pierre DOLIDON]

En ce qui concerne du mysql-like, regarde du côté de galera cluster.

Sinon, tu peux envisager une réplication mysql master-master, et faire 
pointer les appli sur une IP gérée par un keepalived ou quelque chose 
comme ça.


évidemment, il faut supervision l'ensemble et vérifier que les synchros 
sont opérationnelles entre les 2 mysql.


Le 20/01/2015 12:47, Cyrille Verger a écrit :

Bonjour Jean-Yves,

En ce qui concerne SQL Server, il existe la fonction mirroring de base 
qui te permet d'assurer de la haut dispo, sinon si tous tes serveurs 
sont virtualisé (sous Vmware ou Hyper-v) la solution Veeam peut être 
intéressante à étudier pour ces notions de répliqua.
Toujours sur Vmware la fonction FT (Fault Tolerence) permet d'avoir de 
la très haute dispo mais avec pas mal de contrainte.
Après tout dépend des SLA que tu (ou tes utilisateurs) souhaite(ent) 
ceci risque d'orienter tes choix d'architectures.


Cordialement

Cyrille

Le 20 janvier 2015 12:32, jean-y...@lenhof.eu.org 
mailto:jean-y...@lenhof.eu.org a écrit :


Bonjour,

Pouvez-vous m'orienter sur les solutions de Haute Disponibilité et
de PRA disponibles sur les Bases de données suivantes :
- SQL Server
- MySQL
- PostgreSQL

Exemple typique de solution robuste disponible chez l'un des
concurrents, Oracle (écarté du fait de son coût et de ses
problèmes de licensing sur des environnements virtuels VMWARE),
Oracle Dataguard !

On me demande en effet une disponibilité à 99% sur une année et un
PRA exécutable en 2h (99% sur une infra VMWARE ne me parait pas si
difficle, mais c'est plus ce dernier point de 2h qui me tracasse
le plus, deux heures en pleine nuit, cela va très vite entre le
réveil, la prise d'appels, le diagnostic et ensuite seulement
l'action !).

De plus les fonctionnalités équivalentes à celle de Flashback
d'Oracle pourraient aussi être un point intéressant à regarder
pour le projet en question...

Cordialement,

JY
___
Liste de diffusion du FRsAG
http://www.frsag.org/




___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [JOBS] Sysadmin Linux - Télétravail

[Pierre DOLIDON]

Le 14/01/2015 17:59, Laurent a écrit :

Le 14/01/2015 17:51, j...@captainadmin.com a écrit :

A travailler de chez soit, on doit avoir d'autres avantages sans doute,
comme un pc portable ou même un téléphone fournit par l'employeur?

C'est même obligatoire, me semble-t-il, ainsi que la prise en charge du
coût de la liaison.


Pas sur que ça soit obligatoire. En revanche, une contribution 
utilisation du matos + Internet + electricité + chauffage, ça oui, ça 
doit l'être.


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] SSLv3

[Pierre DOLIDON]

Le 17/12/2014 00:36, Jonathan Leroy a écrit :

Le 17 décembre 2014 00:07, Luc PIERRE lucp...@gmail.com a écrit :

Hello,

Salut,


l'un de mes client souhaite que l'on refuse le chiffrement RC4_128 sur son
webmail, ce qui reviendrait, dans son idée, à refuser le SSLv3 pour
n'accepter que le TLS. Or, je ne suis pas un expert en chiffrement mais il
me semble que bloquer le chiffrement ne revient pas a bloquer le protocole
et donc que le SSLv3 continuera à fonctionner avec d'autres cipher que le
RC4_128 non ?

Oui, protocoles de sécurisation et algorithmes de chiffrement sont
deux choses différentes.
Aujourd'hui, il est conseillé de désactiver tous les protocoles  TLS
1.0 (dont SSLv3) et certains algos sensibles aux attaques comme RC4.

Un exemple de conf Nginx respectant les recommandations actuelles du
Qualys SSL Labs (https://www.ssllabs.com/) :

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS;
ssl_prefer_server_ciphers on;

Qualys propose aussi un test en ligne pour vérifier la confirmité d'un
site : https://www.ssllabs.com/ssltest/index.html


Je rajouterai même un site qui récap bien les ciphers et autres confs a 
utiliser


https://wiki.mozilla.org/Security/Server_Side_TLS







___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Vos retours sur le stockage distribué / Glusterfs ?

[Pierre DOLIDON]

Bonjour.

J'ai effectivement pu constater des bugs sur glusterfs, particulièrement 
sur des environnements web répliqués. Les serveurs partaient en sucette 
fréquemment.

Cette histoire de NFS qui est assez pénible aussi.

Actuellement je bench une solution articulée autour de DRDB en 
primary/primary avec un filesystem OCFS2 par dessus (monté sur les 2 
serveurs bien sur).


Mis a part un bug de désynchro insolvable de DRBD (en 8.3, migré en 8.4 
via les backports) pas de réels problèmes, les deux semblent fait pour 
s'entendre à la perfection.


Je ne peux pas vraiment tester les perfs en écriture, le lien DRBD étant 
monté au travers un VPN IPsec de pauvre (100Mbps en pointe).



Pierre.

Le 12/12/2014 13:37, Greg a écrit :

Bonjour,

J'ai testé GlusterFS en production, ce fus une très mauvaise 
expérience. Ceph était beaucoup plus stable même si j'ai eu quelques 
trucs bizarres. Au final on utilise ce bon vieux NFSv4 qui est le plus 
mauvais niveau performance, mais le plus stable ...


Aujourd'hui, si possible, je pense que je partirais sur une solution 
très différente, par exemple à base d'elasticsearch qui est 
ultra-stable, performant, scalable, un bonheur pour les sysadmins, 
mais qui nécessite plus d'adaptation coté application.


Greg


Le 12 décembre 2014 13:21, Pierre Schweitzer pie...@reactos.org 
mailto:pie...@reactos.org a écrit :


Bonjour,

On 12/12/2014 12:32 PM, fr...@jack.fr.eu.org
mailto:fr...@jack.fr.eu.org wrote:
 glusterfs ne m'a pas donné l'impression d'être un projet qui a
classe.
 J'ai plutôt eu l'impression d'avoir une paire de script, qui
marchent,
 mais pas trop

C'est un peu ça oui.
Pour avoir utilisé GlusterFS pendant un temps certain en production,
c'est extrêment chaotique avec des situations où GlusterFS refuse
purement et simplement de fonctionner sans messages d'erreurs d'aucune
sorte nul part.

Sans compter des applications qui finissent en D sur le GluterFS sans
vraiment de raisons connues. Ce qui grève fortement les
performances et
la stabilité de l'ensemble.

À noter également l'incompatibilité entre le NFS server utilisé par la
distribution et celui de GlusterFS (si si) qui peut mener à de sacrés
sketchs lorsque vous exportez du NFS hors de GlusterFS.

Bref, autant dire que les backups ont servi plusieurs fois...

Je déconseille fortement en production.


 On 12/12/2014 12:14, Jerome LE TANOU wrote:
 Bonjour,

 - Nous souhaitons mettre un oeuvre une solution de stockage
d'au moins
 200To utiles qui seront accédés en mode fichiers (NFS, CIFS).
 - Il faudrait que l'on puisse disposer d'une redondance
permettant de
 pallier à la panne d'un ou plusieurs disques ou d'un noeud.
 - Il est acceptable d'avoir une interruption de service pour
redémarrer
 le service en cas de panne majeure dans la limite de 4H.

 - A noter qu'actuellement nos utilisateurs utilisent énormément de
 petits fichiers (plus de 400 millions de fichiers de moins de
128ko).
 - A noter que pour convenance du service, les systèmes hôtes
seront sous
 Debian.

 Au vue des différents articles, documentations que nous avons
consulté,
 nous penchons vers le choix de GlusterFS.
 Toujours à la suite de nos lectures, nous pensons partir sur une
 implémentation en Distributed Replicated Volume basée sur 2
briques
 (qui seront hébergées sur  2 sites distants interconnectés en
10Gbps)
 composées chacune d'au moins 2 noeuds (voire 4).

 Bien entendu, avant d'investir et de partir en production nous
allons
 maquetter cela.
 Toutefois, on se dit que plusieurs d'entre nous ont surement
testés cela
 voire même mis en oeuvre ce type de solution et pourraient nous
faire
 gagner du temps voire nous suggérer d'autres implémentations.

 Du coup, comme vous l'avez surement compris nous sommes
intéressé pour
 tout retour sur l'utilisation de GlusterFS, notamment sur les
choix que
 vous avez pu faire.
 De même nous serions intéressé pour avoir des retours sur un
couplage
 GlusterFS et ZFS.

 Si vous avez également des retours heureux sur d'autres systèmes de
 stockage distribué qui pourraient satisfaire nos besoins, nous
sommes
 intéressés.

 Merci d'avance.

 Jérôme LE TANOU




--
Pierre Schweitzer pie...@reactos.org mailto:pie...@reactos.org
System  Network Administrator
Senior Kernel Developer
ReactOS Deutschland e.V.


___
Liste de diffusion du FRsAG
http://www.frsag.org/




--
Greg


___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Client XMPP SSO

[Pierre DOLIDON]

Tiens, mon antispam a mis 10 points a cause que neal groot huis.name est dans 
SBL...

 *   10 URIBL_SBL Contains an URL's NS IP listed in the SBL blocklist
 *  [URIs: neal groot huis.name]

je dois pas être le seul...

Le 25/11/2014 08:04, Thierry Chevalier a écrit :


Bonjour,

Spark le fait si je ne sit pas de bêtise.

Le 25 nov. 2014 00:37, Stephane Martin stephane.mar...@vesperal.eu 
mailto:stephane.mar...@vesperal.eu a écrit :



http://superuser.com/questions/642609/how-can-i-enable-kerberos-gssapi-authentication-in-pidgin-on-linux
http://www.neal  groot
huis.name/2013/09/gssapikerberos-authentication-in-pidgin/ (même
chose)

il y a quelques années il y avait eu un patch pour gajim aussi...
pas testé. et avec gajim on se trimbale pygtk, pas très élégant
sous windows

comme dit précédemment, pidgin s'appuyant (toujours) (via sur
l'implémentation MIT Kerberos, il faut que les libs soient
installées, y compris sous windows
voir http://web.mit.edu/kerberos/ pour les libs

sinon pandion est dead et spark n'a pas reçu un commit depuis 3 ans


 Le 24 nov. 2014 à 22:10, ML m...@cybcorps.com
mailto:m...@cybcorps.com a écrit :

 Merci pour vos réponses !



 Pidgin fonctionne pas mal, et existe en multiplateforme.
 Point sympa, tu peux lui adjoindre des fonctionnalités via les
plugins.

 Seul bémol, je me souviens qu'il fonctionnait (à l'époque) via
 l'implémentation MIT de Kerberos client, sous windows client, à
tester
 donc dans ton environnement. A voir donc si c'est toujours
nécessaire,
 les developpements ayant peut être évolué depuis les derniers tests
 que j'ai menés sous windows (sous linux, aucun souci
d'intégration en
 revanche)
 J'utilise déjà Pidgin sur les postes Linux, aucun soucis
effectivement !
 Mais je n'ai pas trouvé de plugins permettant le SSO =/

___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Faille dans le protocole SSLv3

[Pierre DOLIDON]

le module de paiment online d'Atos (enfin surtout le retour qui est 
passé au site marchand) ne supportait pas TLS v1.X.
Et a priori la cause serait que leur curl (puisque c'est dans le sens 
retour validation de la transaction Atos - site e-commerce) aurait été 
compilé avec un openssl qui n'avait pas TLS.


mais c'est peut être réglé depuis le temps... enfin j'espère...

Le 26/10/2014 20:09, Olivier Duquesne (DaffyDuke) a écrit :

pas compris, tu peux détailler ?

Le 26 octobre 2014 16:38, Pierre `Sn4kY` DOLIDON sn...@sn4ky.net 
mailto:sn...@sn4ky.net a écrit :


Atos Worldline également...

la faute à un curl pas compilé ya 10 ans avec un vieux openssl
super la sécurité des espaces de transactions bancaires !!!


Le 24/10/2014 09:46, Christophe a écrit :

Elsynet non plus (HSBC)

Le 24/10/2014 09:39, Antoine Benoit a écrit :

Par contre visiblement Mercanet ne fait pas de TLS, donc
désactiver SSLv3 bloque les confirmations de paiement quand on
utilise leur solution...


___
Liste de diffusion du FRsAG
http://www.frsag.org/




___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/




--
Olivier Duquesne aka DaffyDuke
http://www.coincoin.fr.eu.org


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] wget et les adresses link-local

[Pierre DOLIDON]

http://lists.gnu.org/archive/html/bug-wget/2009-06/msg0.html


btw pourquoi ne pas utiliser l'IPv4 entre ton RP et ton upstream ? tu 
compte faire disparaitre IPv4 totalement de ton réseau ?


Sinon autre question, pourquoi te cantonner a ton linklocal ? tes hosts 
IPv6 n'ont pas de global ?


Le 01/09/2014 15:46, Emmanuel Thierry a écrit :

Le 1 sept. 2014 à 15:33, Julien Escario a écrit :


Bonjour,
Je tente de faire aspirer une page sur un serveur en ipv6 avec mon wget. Le 
serveur n'a que du link-local, on est sur un même LAN.

Mais pas moyen de lui enfiler l'adresse :
$ wget http://[fe80::7827:c1ff:fe6c:a351]
--2014-09-01 15:23:42--  http://[fe80::7827:c1ff:fe6c:a351]/
Connecting to fe80::7827:c1ff:fe6c:a351:80... failed: Invalid argument.

$ wget http://[fe80::7827:c1ff:fe6c:a351%eth1]
http://[fe80::7827:c1ff:fe6c:a351%eth1]: Invalid IPv6 numeric address.

$ wget http://[fe80::7827:c1ff:fe6c:a351]%eth1
http://[fe80::7827:c1ff:fe6c:a351]%eth1: Invalid host name.

Une idée ?

Si tu peux utiliser curl, oui. ;)

$ curl http://fe80::dead:beef:cafe:1234%virbr0/;

___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] wget et les adresses link-local

[Pierre DOLIDON]

Le 01/09/2014 17:19, Julien Escario a écrit :

Pour revenir sur les différents propositions :
* Echapper les [] ne change rien : c'est la partie interface qui est 
gênante dans le link-local. Typiquement, avec une vraie adresse ipv6 
(bon là du 6to4), ca marche bien :

$ wget http://[2002:c3c8:d907::1]
--2014-09-01 17:13:49--  http://[2002:c3c8:d907::1]/
Connexion vers 2002:c3c8:d907::1:80...connecté.
requête HTTP transmise, en attente de la réponse...200 OK
Longueur: 1522 (1,5K) [text/html]
Sauvegarde en : «index.html»

* Curl se comporte correctement, un point pour lui mais du coup ça ne 
résoud pas le soucis avec nginx.


* Mon idée est effectivement de faire disparaître totalement ipv4 de 
mon réseau pour les services 'non frontaux' qui n'ont absolument aucun 
besoin de me bouffer des IPv4.


la RFC1918 est si petite que ça pour parler de bouffer des IPv4 ??? 
(et je comprends pas la nécessité de faire disparaitre IPv4 d'un réseau 
de BACK).



Et RFC1918 + vlan, bof, c'est lourd à maintenir dans le temps.


Mettre tout le monde dans le même subnet sans aucun compartiment c'est 
bien pire d'un point de vue topologie. Alors oui ça exige un peu de 
rigueur et de réf, mais c'est bien plus propre a l'entretient c'est ça 
devient pas la cacophonie sur ton vlan par défaut...




* Utiliser 6to4 : ben c'est encore de l'ipv4 déguisée et ca me rajoute 
de la latence de 8ms entre deux machines branchées sur le même swtich.


Du coup, avoir posé la question m'a fait reformuler ma demande à 
Google : il semblerait que l'utilisation du link-local soit la 
mauvaise façon de faire ça.


ULA semblant (d'après ce que j'ai lu ici et là) en voie de deprecated, 
il ne me reste qu'à me faire attribuer un subnet natif que je vais 
firewaller et n'utiliser qu'en local.


C'est particulièrement foireux d'un point de vue ipv4 mais commence à 
prendre du sens quand on se place d'un point de vue ipv6. Je n'ai pas 
encore tous les réflexes. Faut déjà revenir à une logique de 
gaspillage, j'ai du mal.


Julien

Le 01/09/2014 15:33, Julien Escario a écrit :

Bonjour,
Je tente de faire aspirer une page sur un serveur en ipv6 avec mon 
wget. Le

serveur n'a que du link-local, on est sur un même LAN.

Mais pas moyen de lui enfiler l'adresse :
$ wget http://[fe80::7827:c1ff:fe6c:a351]
--2014-09-01 15:23:42--  http://[fe80::7827:c1ff:fe6c:a351]/
Connecting to fe80::7827:c1ff:fe6c:a351:80... failed: Invalid argument.

$ wget http://[fe80::7827:c1ff:fe6c:a351%eth1]
http://[fe80::7827:c1ff:fe6c:a351%eth1]: Invalid IPv6 numeric address.

$ wget http://[fe80::7827:c1ff:fe6c:a351]%eth1
http://[fe80::7827:c1ff:fe6c:a351]%eth1: Invalid host name.

Une idée ?

Pour donner le problème dans sa globalité : je cherche à mettre un 
upstream ipv6
à mon nginx. Ca semble supporté depuis 1.3 environ donc largement. 
Mais encore
une fois, avec le link-local pour lequel il faut préciser l'interface 
quand on

fait un ping6 par exemple, ça ne passe pas ...

Merci,
Julien
___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/