[FRsAG] Re: [SPAM] Re: Filtrage de message au runtime
Sans troller... Le minimum n'est-il pas de ne plus utiliser Apache (perfs totalement nazes + sécu non centralisée) ? -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Filtrage de message au runtime
Le 29/04/2024 à 11:03, ANSART David a écrit : Bonjour As tu essayé le : kernel.printk = 3 4 1 7 ? Ne présumant de rien (malgré les tests ci-dessous), j'ai tenté :) 11:10-root@i7c1:~>sysctl -w kernel.printk='3 4 1 7' kernel.printk = 3 4 1 7 11:10-root@i7c1:~>2024 Apr 29 11:15:08 i7c1 fatal: Read from socket failed: Connection reset by peer [preauth] 2024 Apr 29 11:22:45 i7c1 fatal: Read from socket failed: Connection reset by peer [preauth] 2024 Apr 29 11:42:23 i7c1 fatal: Read from socket failed: Connection reset by peer [preauth] 2024 Apr 29 12:10:32 i7c1 fatal: Read from socket failed: Connection reset by peer [preauth] 2024 Apr 29 12:16:14 i7c1 fatal: Read from socket failed: Connection reset by peer [preauth] 2024 Apr 29 13:50:16 i7c1 fatal: Read from socket failed: Connection reset by peer [preauth] 2024 Apr 29 14:36:58 i7c1 fatal: Read from socket failed: Connection reset by peer [preauth] 2024 Apr 29 15:29:27 i7c1 fatal: Read from socket failed: Connection reset by peer [preauth] La vérité est ailleurs (C) X files C'est quand même marrant... Debian 8 sûr, Debian 11 sûr, > Un petit retex de la manip, qui ne semble pas concluante... > > 1265 25/04/2024 18:37:33 sysctl -w kernel.printk=4 4 1 7 > 1266 25/04/2024 18:37:45 sysctl -w 'kernel.printk=4 4 1 7' > 1268 26/04/2024 13:34:26 sysctl -w 'kernel.printk=4 4 1 4' > 1274 26/04/2024 14:55:13 sysctl -w 'kernel.printk=3 3 1 3' > 1275 28/04/2024 09:13:29 sysctl -w 'kernel.printk=2 2 1 2' > 1276 28/04/2024 17:21:07 sysctl -w 'kernel.printk=1 1 1 1' > > J'ai toujours le message... > > Remis les réglages d'origine : kernel.printk = 7 4 1 7 -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Filtrage de message au runtime
Le 29/04/2024 à 11:10, David Ponzone a écrit : (CQFD, abus en petit blanc d’Oléron pendant les HO) Faudra que tu me donnes le GDH de ton mail, je me demande qui abuse de quoi ;> Hélas hier, j'étais de permanence et j'ai bronzé devant l'écran... Hormis un court séjour sur la terrasse de la boite... De virer syslogd et mettre rsyslogd. Pas de syslogd. Ici c'est syslog-ng. Et depuis Debian 12, finalement, la pieuvre a gagné et on utilise journalctl, qui a ses avantages, faut avouer... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Filtrage de message au runtime
Le 28/04/2024 à 19:32, David Ponzone a écrit : Mais pourquoi tu fais pas ce que je te dis ? :) T'as dis quoi ? -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Filtrage de message au runtime
Un petit retex de la manip, qui ne semble pas concluante... 1265 25/04/2024 18:37:33 sysctl -w kernel.printk=4 4 1 7 1266 25/04/2024 18:37:45 sysctl -w 'kernel.printk=4 4 1 7' 1268 26/04/2024 13:34:26 sysctl -w 'kernel.printk=4 4 1 4' 1274 26/04/2024 14:55:13 sysctl -w 'kernel.printk=3 3 1 3' 1275 28/04/2024 09:13:29 sysctl -w 'kernel.printk=2 2 1 2' 1276 28/04/2024 17:21:07 sysctl -w 'kernel.printk=1 1 1 1' J'ai toujours le message... Remis les réglages d'origine : kernel.printk = 7 4 1 7 Bonjour à toutes et tous, J'ai, comme tout le monde j'imagine, de la brute force via ssh, qui déclenche le très agaçant message en console "fatal: Read from socket failed: Connection reset by peer [preauth]" Ici y'a que de la clé (et passwords invalidés) je ne peux pas filtrer sur les IP entrantes, ni changer le port 22, le plus simple me semble donc d'ignorer la chose. J'ai googlé et ducké sans succès pour voir s'il y avait un moyen de dire au démon sshd de limiter sa prose aux fichiers de logs sans polluer la console. man sshd ou man sshd_config ne m'ont rien dit de sympa (mais j'ai peut être raté une ligne). Avez-vous une opinion ? Ça serait bien de faire un ménage de printemps :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Filtrage de message au runtime
Hello again, Selon la suggestion (qui me convient bien) de David, je regarde ce que propose Debian par défaut sur une instance de test... sysctl kernel.printk kernel.printk = 7 4 1 7 Donc je traduis, grâce au lien de David : console_loglevel = 7 messages with a higher priority than this will be printed to the console default_message_loglevel = 4 messages without an explicit priority will be printed with this priority minimum_console_loglevel = 1 minimum (highest) value to which console_loglevel can be set default_console_loglevel = 7 a priori pas utilisé Tenté un sysctl -w kernel.printk='4 4 1 7'et si ça devient sage, on scotchera ça dans le sysctl.conf Et oui Laurent... Bien vu... C'est sur une instance paléolithique (8.11) J'en ai pas énormément des comme ça... Mais je l'ai aussi sur d'autres plus récentes (11.9)... Donc c'est pas clair et j'ai posé la même commande sur une 11.9 pour voir aussi... Merci pour votre aide ! -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Filtrage de message au runtime
Bonjour à toutes et tous, J'ai, comme tout le monde j'imagine, de la brute force via ssh, qui déclenche le très agaçant message en console "fatal: Read from socket failed: Connection reset by peer [preauth]" Ici y'a que de la clé (et passwords invalidés) je ne peux pas filtrer sur les IP entrantes, ni changer le port 22, le plus simple me semble donc d'ignorer la chose. J'ai googlé et ducké sans succès pour voir s'il y avait un moyen de dire au démon sshd de limiter sa prose aux fichiers de logs sans polluer la console. man sshd ou man sshd_config ne m'ont rien dit de sympa (mais j'ai peut être raté une ligne). Avez-vous une opinion ? Ça serait bien de faire un ménage de printemps :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.
J’ai cru que quelqu’un avait mis en place une passerelle entre X et FRsAG… L'achat à 44 Md par IronMan a permis la diffusion les twitter files. Ça fait cher la vérité mais bon, ces temps-ci, la vérité a ses pointeurs en plein dépassement. Que fait l'UE d'ailleurs ? N'a t-elle pas encore songé à réguler les dépassements de pointeurs, qui tuent aussi - cf la gestion de l'accélération incontrôlée des Toyotas :() Certainement un oubli du législateur qui sera corrigé. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.
Bon... dredi... Grand beau... Rien à troller sur FRnOG (MP ayant disparu des radars), on va y mettre son poil à gratter sur la très calme et normalement apaisée FRsAG... Alors je suppose que tu commentes : "On y découvre un style de programmation artificiellement compliqué. Par exemple : mais pourquoi diable passer par un pointeur sur une fonction laborieusement stocké en de multiples exemplaires plutôt que d'appeler tout simplement la fonction elle-même ? Le reste est à l'avenant, avec notamment un recours avide aux pointeurs, une fonctionnalité très puissante lorsqu'elle est bien employée mais une source redoutable d'erreurs." La simplicité (/= simplisme) est difficile à atteindre. Sans avoir lu le code évoqué, je vois pourtant très bien de quoi Laurent parle. Les "styles de programmation artificiellement compliqués" sont légion, particulièrement en C, mais pas que. C'est une plaie commune. Je tombe dedans parfois aussi. Dans le cas du logiciel libre, souvent animé par des bénévoles, pas nécessairement des pros de l'ingénierie logicielle (ou utilisant un langage qui n'est pas adapté), ce code malhabile se voit. Parce qu'il est libre est diffusé. Et on peut toujours alors le rendre plus lisible. As-t'on idée des horreurs qui croupissent dans le code privateur ? L'épouvantail, une pratique rhétorique relativement commune. Quid de la pratique de sortir des propos polémiques pour ensuite expliquer que le message a été mal interprété ? ;) On se croirait sur FRnOG les jours de grands vents... On peut se mettre à plusieurs pour taper sur Laurent mais bon... Il a son avis non orthodoxe et/ou très discutable mais bon... La réaction me semble est un tantinet excessive. Plus sérieusement, as-tu tenté de répondre de toi-même à ta propre question ? Si je devais essayer : c'est certainement que cette complexité supplémentaire est utile. Utiliser des pointeurs de fonction est une approche qui me semble semble commune pour implémenter un automate à état fini. Convoquer un automate pour cet argumentaire est-il juste ? Comparaison n'est pas raison, parait-il... Globalement, les pointeurs "codés par les humains", c'est le mal absolu. Parfois, ils sont indispensables, même dans des langages plutôt conçus pour être sûrs, tels Ada. Parfois ils sont bannis (en apparence tout du moins) et on les déguise sous de la colle syntaxique zarbie. Le titre de ton billet de blog est "Les limites de l'open source", il se termine par (je cite) "On aboutit au résultat opposé à celui recherché par l'open source !". Plus tôt dans cet échange, tu disais "si tu veux bien le lire, tes remarques et commentaires sont les bienvenus". Si polémique il y a, je pense que nous sommes tou-te-s Tous, le pluriel est masculin en français, n'en déplaise aux wokistes et autres /abusateurs/ de langages inclusifs et piquant les yeux. Bon, cette pique pour ambiancer, rien de bien méchant, le puriste que tu es comprendra :> un peu coupables ; mais toi un peu plus que les autres. :) Je propose de pendre le coupable Laurent à un chemin de câble (avec un câble réseau bas de gamme, afin que la sentence soit symbolique). Quoique c'est grâce à un câble réseau de ce type qu'un français est devenu célèbre pour avoir reçu un Darwin Award (donc forcément à titre posthume). comprends que le mail ne laisse pas passer toutes les émotions, mais de là à qualifier mes propos de hargneux, je trouve ça très exagéré. Faut avouer que y'aurait comme un soupçon de roinçage assez palpable... Bon, je te laisse me basher maintenant... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.
Et bien voilà une information qui clos le débat sur l'automatisation de la mise à jour des certificats SSL ! Oui ! Voir aussi, en français : https://www.journaldunet.com/solutions/dsi/1523885-cycles-de-vie-raccourcis-risques-majores-comment-se-preparer-au-passage-a-des-certificats-tls-de-90-jours/ /Certes l'ACME (Automated Certificate Management Environment) peut aider les entreprises à adopter l'automatisation, il ne s'agit pas d'une solution universelle. Les équipes informatiques et de sécurité ont besoin d'une approche pluridimensionnelle de l'automatisation, comprenant l'utilisation de protocoles d'inscription standard comme ACME, SCEP et EST, ainsi que d'outils d'automatisation du cycle de vie des certificats, afin de s'assurer qu'elles peuvent répondre à tous les cas d'usage. / Plus haut... En réalité, ce ne sont pas les certificats qui posent problème mais le facteur humain. /Les gens ont tendance à oublier de les renouveler et ne peuvent se concentrer que sur un nombre limité de tâches. Ce constat est clé à l’heure où la durée de vie des certificats diminue et que la charge de travail liée à leur renouvellement est multipliée par 4 ou 5./ La seule chose qui ne change pas en IT, c'est que le journaldunet, 01info, etc. sont toujours des lectures de décideurs ;> Dans la vraie vie du monde réel, ACME/LE nous ont permis de tout automatiser. C'est devenu totalement transparent dans un cadre plus large de tâches à un niveau au dessus (créer/supprimer un site web, une interface d'admin, etc.). -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: API SMS des opérateurs tel
Non, ça n’existe plus suite à modification de la régulation. Effectivement :( Il y aura bientôt (…) des 09 (oui je sais) pour cet usage, bravo l’ARCEP. Oui. Bravo... On a un Teltonika pour ça (entre autres) avec une sim à 0€ du coup puisqu'on a une fibre fri... Tant que ça reste illimité... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.
( ici un sysadmin de 50 ans qui est aussi développeur C, et j en passe ) Ici même profil que toi. Les points que j'ai retenu, ayant taffé pour la défense est que, contrairement au discours habituel d'audition d'un code source, la protection par la non diffusion est la base de la protection (chiffre, algo, etc.) et que beaucoup d'investissements sont faits pour augmenter cette non diffusion (protection contre le reverse engineering). Inversement, la pollution d'un code source GPL peut être très subtil. Pour le chiffrement avec des algos publics, comment être certain que les vecteurs, seeds et autres tableaux de permutations sont ne sont pas "adaptés" à une attaque particulière ? Tu en parles très bien dans ta section Exception. La "viciosité" des agencs à trois ou quatre lettres est infinie. Enfin, je jamais sous-estimer la stupidité ou la distraction de mettre en commentaire la génération pseudo-aléatoire de je ne sais plus quel seed qui avait vérolé OpenSSL ou OpenSSH, je ne sais plus... Ces choses-là étant dites le logiciel libre (que je peux recompiler, par opposition à de l'open source inbuildable avec des binaires gentiment proposés) représente un tel progrès dans la connaissance et dans la prod que je n'imagine juste pas mon métier sans lui... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.
Mais quelle agressivité ! C'est clair que t'as pris cher. C'était pas mérité quand on te connais... T'avais juste un avis taquin et non consensuel (ce mot est remarquable ;). Il faut quand même préciser que ces dealers de certs payants sont parfois/souvent des passoires. Ils peuvent apporter plus de problèmes que de solutions, tout du moins pour un service payant. Affichant une préférence pour une engeance qu'on aime pas trop (voire qu'on déteste carrément, mon cas), ça peut déclencher des réactions épidermiques car ce fut un très long combat de tranchées pour arriver à la LE ! Aujourd'hui LE est peut-être (probablement ?) mieux audité que pas mal de ces dealers. Et (imho) LE est extraordinairement simple et fiable quand on le prend par le bon bout (automatisation par la méthode DNS01, la seule qui permet de scaler et d'avoir une reconnaissance de la propriété du domaine sans que le site web soit opérationnel, ce qui est généralement le cas quand on a une automation complète : on créée le certificat de préférence avant de faire monter le site). Pour bricoler, le bac à sable est parfait. Et enfin c'est devenu un process standardisé par une RFC. Santé bonheur. Comme a dit un colistier, ça a mis un coup de pied dans un petit monde bien assoupi sur un matelas de dollars bien mal acquits... Si un jour t'as envie de goûter, je te filerais quelques infos et tu seras étonné de la simplicité. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.
Mais l'automatisation systématique est-elle vraiment un gage de sécurité absolue ? L'auteur principal du protocole ACME s'appelle Barnes. Vu de loin, c'est comme ton nom ;) L'automatisation est un gage de sûreté (de fonctionnement), une notion différente mais complémentaire de la sécurité. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.
Avé Laurent, Merci pour ta réponse bienveillante et apaisée… Mouarf :))) Cela dit, tout choix est une question d'arbitrage qui dépend du contexte. Non seulement je ne remets pas en cause ta gestion (ni celle des autres colistiers !) de tes multiples certificats SSL mais je la trouve très bien adaptée à ton cas. Et ce n'est pas un petit bug de LE de temps en temps qui va remettre en cause ton dispositif par rapport aux milliers d'euros que tu économises. En fait, tout automatisme LE correctement implémenté va réessayer. En 5 ans, j'ai jamais eu de renouvellement foiré. C'est transparent. On s'occupe de rien. Ça juste marche. Indépendamment, je trouve cela surprenant cette limite de validité à 90 jours pour les certificats LE. Sans parler d'une sollicitation moindre de leurs serveurs, si cela avait été un an, nous n'aurions jamais eu cette discussion. C'est 90 jours volontairement. Ils auraient posé 30 jours, ça ne m'aurait pas dérangé, bien au contraire. Je préfère du poisson frais à de l'avarié. Un certificat, c'est le même esprit. LE a posé la fraîcheur à 90 jours... En soit, c'est beaucoup plus propre qu'un cert valable un an... Et moins propre qu'un cert valable 30 jours. C'est un compromis. De toute façon, le précédent message a bien précisé mon point de vue sur les certs dont le certificat racine est "quelque part" dans un espace-temps "incontrôlé" :) Par contre je reste médusé par ceux qui sont capables de repérer des "vunls" à toute vitesse ou de conclure qu'un traitement open source est fiable rien qu'en constatant qu'une "centaine de ko" de code sont bien lisibles ! Pour avoir exploré les sources d'openssh à la recherche de la signification de messages d'erreur inhabituels dans les logs, je n'ai clairement pas eu cette impression. OpenSSH, t'as pris un bon exemple de simplicité :>>> Dans le cas de LE, il s'agit de l'implémentation du RFC8555 qui reste modeste. Il y a des clients ACME qui sont tous petits. Ici on a prévu de remplacer acme.sh et acmemgr.sh par un package et un utilitaire codés en Ada/Spark (programmation par contrat - https://en.wikipedia.org/wiki/SPARK_(programming_language). Ça fera un sujet qualitatif pour un stagiaire curieux. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: La mise à jour automatique des certificats LE est un cheval de Troie.
Mon cher Laurent, Comme les colistiers te l'ont détaillé, ce combat me semble un mauvais fight et il y a mille manières de régler éventuellement les points que tu évoques. Pour ma part, étant un faignant professionnel, ma génération de certs (acme.sh + acmemgr.sh en DNS01 only) est confinée dans un serveur de clés isolé et ces certs sont ensuite distribués par ssh via le réseau privé (vrack ovh pour nous) reliant toutes nos bestioles physiques sur les différentes instances concernées. Ça marche ainsi pour nos proxies web, nos (feu) serveurs de mails et autres services zarbis et stranges de nos devs. Tout ceci ne voit pas le jour du réseau public avant d'arriver à destination et c'est bien ainsi. Au bout du compte, LE est juste une bénédiction des dieux car mettre un radis (voire un champ de carottes) chez ces dealers de certs s’insupportait. Pourquoi payer un dealer pour utiliser un pot à miel totalement vérolé ? Ces histoires d'autorités de certification sont une blague. Du foutage de gueule absolu. Évidemment que les éléments secrets sont depuis le premier jour dans les jupes de toutes les agences à 3 ou 4 lettres, sinon ces chiffrements ne seraient juste pas permis car le déchiffrement en temps réel relève du monopole des états et de la négation de la vie privée. Mais c'est commercialement nécessaire, le grand voleur étatique ne tolère pas le petit arnaqueur privé, donc cert pour la sécu des transactions bancaires et pour le MITM et pour le SEO aussi afin d'éviter de se faire défoncer par le gougle & co. Mais au moins c'est désormais gratuit et avec les bons outils totalement automatique et non chronophage. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Toc toc un support de chez Gandi ?
Vu que c'est une de mes activités quotidiennes de packager du travail libre dans une distribution, je t'affirme que oui. Et je t'affirme que la vitesse de repérage de vulns ou de compromission de code dans des logiciels en source ouverte est globalement bien plus solide que ce que tu ne pourrais pondre toi-même, ou que dans un soft privé mais payant. Clairement ! À ceci près : "que ce que tu ne pourrais pondre toi-même". Ce n'est pas toujours exact. L'emploi d'une méthode et d'un langage issue de l'industrie permettrait d'augmenter la qualité et de réduire le temps de dev. Mais la communauté du libre n'est pas dans cette culture car on code d'abord avec le ou les langages que l'on maîtrise et (parfois) qui nous correspond. Un exemple histoire d'étayer. https://www.adacore.com/academia/projects/ironsides-secure-dns-server On utilise ce langage depuis longtemps et on a réellement divisé nos temps de dev par 3 (vs C++ sur du dev Gtk par exemple) et nettement augmenté la sûreté de fonctionnement. j'ai rien contre le C et dérivés cela dit. Juste une observation. Il y a une prise de conscience, avec Rust, qui reste toutefois encore à des années lumières du langage en question, mais c'est un pas dans la bonne direction ! -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Toc toc un support de chez Gandi ?
Du coup selon la même logique j'imagine que tu n'utilises pas de serveur web open-source ? Ni de firewall open-source ? Ni de système d'exploitation opensource ? Et que tu as réimplémenté tout ça puisque ça risque de prendre plus de temps à auditer par toi même qu'a réécrire ? :))) Bonne pioche. OpenSSL est-il sûr (vu que ses 30 lignes sont codées par des singes¹) ? Et ma génération de diffie-hellman est-elle correcte ? Linux est-il un gruyère sans trous ? La vie n'est pas simple et le paradis n'existe pas. La preuve, à Madagascar, les pingouins sont psychopathes. ¹ https://news.ycombinator.com/item?id=7556407 (pas récent, mais c'est l'idée). -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Toc toc un support de chez Gandi ?
Et d'ailleurs, rien ne nous oblige, lors de l'utilisation de Let's Encrypt, de faire la génération des certificats ailleurs que sur les machines de production qui les utiliseront. Déporter cette tâche ailleurs est même souvent une plutôt bonne idée. +1 Un serveur de clés est une bonne pratique (les milis et autres services utilisent ce principe). Ici, via acmemgr.sh + acme.sh, qui sont isolés sur une instance dédiée, les clés sont générées puis maintenues et dispatchées via ssh à travers le réseau privé qui relie les serveurs et instances. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Toc toc un support de chez Gandi ?
Bonjour Laurent, La mise à jour automatique des certificats LE est un cheval de Troie. acme.sh avec les bonnes options n'est pas un cheval de troie + acmemgr.sh pour gérer en masse des centaines de domaines = santé bonheur. On trouve facilement des certificats pour 10 euros et quelques centimes et avec ça on est tranquille pour un an ; pour moi cela vaut le coût. La vente de certifs n'est-il pas un ignoble racket ? L'infrastructure LE est (imho) une merveille. Fonctionnalités, résilience, bac à sable... J'aimerai bien avoir la même chose pour les certifs de mails (pour le chiffrement) mais ça n'a pas l'air d'actualité... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Toc toc un support de chez Gandi ?
On peut le dire, mais Gandi Raton ? :))) Que son fromage est plein de trous ! J'étais rs-423 chez eux (sic). La dernière fois que j'ai sorti un NDD de gandi, il n'y a pas très longtemps (ils sont en cheville avec local ou solocal, je ne sais plus), ils m'ont encore mis la misère, de vraies méthodes d'agrume (orange reste mon record avec 43 email + recours à l'AFNIC). Ils osaient me sortir que puisqu'ils étaient partenaires avec l'un des bouclars ci-dessus, la procédure était plus compliquée, ralentie, différente, etc. une vraie bande de tordus pas pros. Tout est chez OVH depuis longtemps, économique et zéroproblémo. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Toc toc un support de chez Gandi ?
Peut-on dire qu'on ressort Gandis de cette histoire ? Gandi ayant grandi, son Karma s'en est allé... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Serveur S3
J'ai trouvé Minio et Garage (qui font aussi tout ce dont je n'ai pas besoin). Minio très bien ! S'installe facile, admin sympa et gaze bien. Seul défaut (sic), leur admin en cli s'appelle mc, comme midnight commander, donc on renomme mio :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: [JOBS] - Recherche admin couteau suisse la défense / boulogne billancourt
Cela favorise également une culture d'entreprise basée sur la reconnaissance du mérite et de la performance. Ici on pratique également la transparence, au sein de la boite, tout le monde connaît les salaires. Seule la méritocratie est équitable. Ce sont les humains qui font les boites, pas l'inverse. Boeing est de train de l'apprendre à coups de milliards de pertes, et pas seulement sur le 737max. La plupart de leurs projets en cours sont des catastrophes financières et/ou techniques. C'est affligeant aussi car beaucoup de sous-traitants français sont sur leurs programmes civils, sans compter les moteurs LEAP (50-50 US-FR) et donc ça pénalise tout le secteur. Par la suite il y a un changement de titre via une promotion interne, c'est un non sens de rester enfermer dans le même métier trop longtemps. Je vais dire ça à mon chef graphiste ou à mon responsable gestion... Monter en compétence, oui, tout le temps, mais rester dans ce qu'on aime faire, pour que cette activité nommée travail reste un plaisir et que le temps passe de façon passionnante :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: [FSSAG] Anydesk hacké
Le 04/02/2024 à 13:30, Arnaud Launay a écrit : Le Sat, Feb 03, 2024 at 08:11:36PM +0100, Anthony Frnog a écrit: Pour ceux qui n auraient pas vu la nouvelle, les serveurs de production d Anydesk ont été hackés. [1]https://thehackernews.com/2024/02/anydesk-hacked-popular-remote-desktop.html?m=1 Sauf erreur, on peut utiliser rustdesk à la place, non ? +1 pour rustdesk On l'a posé sur une de nos instances, avec nos propres clés, ça fabrique / installe à partir du site web intégré, avec les bonnes clés déjà dedans. On a même rajouté d'autres trucs à installer dans le site web (genre burp, (don't suck) le backup qui a la powa de bacula mais sans sa complexité foireuse)... Les points négatifs de rustdesk : Rustdesk sous Nux, c'est X11 only. Ça tombe bien car on vomit Wayland. Sinon, trop simple à utiliser. C'est déstabilisant. Avant on avait une licence teamviewer qui coûtait un bras, pardon deux bras, y compris en renouvellement de licence, avec une procédure de validation des terminaux juste abjecte et en plus le client (enfin serveur) Linux était pourri. Total bonheur... En plus ça interférait avec la version gratuite posée par les autres intervenants. Bref devenu à fuir... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: OVH et OWA
Le 17/01/2024 à 10:49, Benoit Lair via FRsAG a écrit : Comme proposer XCP-NG comme distro de virtualisation ? :D Ça ferait connaître Xen... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: OVH et OWA
Top, enfin un qui a le courage de dégager Microsoft C'était un choix de merde mais, d'un point de vue pragmatique, ça a peut-être fini par coûter cher en ressources et en licences. D'ailleurs OWA, ça tourne sur quoi, uniquement Windows Server ? ;> Mhmm.. t'as été te promener dans leur Manager récemment? J'y suis allé hier justement. (après bien 5-8 ans) On se croirait dans un show room Microsoft par endroit. Y'a clairement des icônes qui font mal aux fesses. Qui apparaissent même si t'as 0 produit dedans. Un comble alors que nous sommes une boite 0 produit Krao$oft, de la station aux serv. Pour ceux qui n’ont pas vu, OVH éjecte OWA comme webmail pour les emails Mutu/MX-Plan, au profit de Zimbra. À quelques exception près, on a toujours des comptes avec du roundcube ici en MX-Plan. (on utilise pas roundcube) . Sauf particulièrement un compte qui semble être sur OWA (ici tous les clients mails c'est TB) et où cette saloperie nous gonfle avec des warnings débiles de "boite presque pleine" (un email par jour) alors qu'il reste un demi giga de libre sur 5 gigas... Donc l'alerte à 10% c'est naze... peut-être que c'est paramétrable mais j'ai pas été voir. Toucher à OWA, c'est un problème d'hygiène ;> -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Journal.....
Le 12/12/2023 à 09:23, Dominique Rousseau a écrit : Dominique, Merci pour tes infos:) C'est pour cette raison (qu'on retrouve dans ton lien) que j'ai claqué snap sur nos statoins d'entreprise. Backdoor via APT When Snap was introduced Canonical promised it would never replace APT. This promise was broken. Some APT packages in the Ubuntu repositories not only install snap as a dependency but also run snap commands as root without your knowledge or consent and connect your computer to the remote proprietary store operated by Canonical. Réinstaller Gnome3 standard dans Mint est parfaitement standard. https://techviewleo.com/how-to-install-gnome-desktop-on-linux-mint Notre prochaine distribution sera donc Mint, que l'utilisais quand Ubuntu avait adopté sa saleté de bureau proprio dont j'ai oublié le nom. Je crains que pour Wayland, malgré l'âge du projet (>10 ans) et toutes ses limitations, on soit dans une tendance lourde, genre systemd. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Journal.....
Ça nécessite de "réinstaller", mais une Linux Mint ça marche autant "out of the box" qu'une Ubuntu. ( en variante Ubuntu, tu bénéficies de la meme couverture de paquets, Snap en moins ) Donc avec Mint pas de snap ? Et... pas de wayland obligatoire ? J'ai cru lire que les débiles de Gnome feraient sauter le support X parce que c'est pas un "code moderne"... Je vais finir par mettre openbox partout... En plus ça fera gazer les bécanes 20% plus vite... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Journal.....
Le 08/12/2023 à 19:39, neo futur a écrit : c est la suite de l imposition de systemd partout : https://www.youtube.com/watch?v=bdmv2FQRHWg énorme :) je la garde... Merci ! -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Journal.....
Avé Xavier ! Par contre cette saloperie n'as rien a foutre sur un serveur. systemd ah si, grand bonheur dans nos use cases (et on se débarrasse d'init.d). SURTOUT ces ersatz de truc codé par des manchots sous ecstasy: networkd, client dhcp, client ntp, firewalld etc... avec des choix hardcodés. Ah oui, là on est dans le délire et c'est même pas installé chez nous, comme ça on a pas à les virer :))) Et je ne parle pas de journald... bordel on est obligé d'avoir cette saloperie ? Question de point de vue. On peut faire sans, avec ou les deux à la fois :) D'ailleurs l'auteur original est bien parti chez M$, ce qui explique beaucoup de choses. L'auteur a toujours été controversé. Après on connaît des gens très bien qui sont partis chez MerdiMou pour "faire une fin" et gagner des millions. KroChiotte adore "acheter" des cerveaux pour les "neutraliser" ou réellement les mettre à contribution, genre celui qui avait créé Delphi et qui a ensuite créé C# et Typescript. Systemd a transformé un truc KISS peut-être pas parfait, Y'avait plein de trucs antiques dans init.d systemd seul a simplifié et affiné plein de choses. Si on lit la doc et qu'on exploite ses possibilités, c'est quand même tellement mieux. Mais que ça, sinon ça devient la pieuvre, qui porte bien son nom ! Ca c'est un délire d'Ubuntu... c'est un autre débat, mais aussi lié au fait de l'immobilisme des distributions linux à un monde où un certain nombres de choses doivent bouger rapidement (je ne parle pas de RH qui bundle encore du python 2.7 dans du RH8...). Mais alors que faire pour les stations ? Je ne sais pas... Mais il va falloir que je trouve. La dernière bonne Ubuntu était la 18.04, la 22.04 bien tweekée, ça va encore mais chez nous avec Gimp, Inkscape et Blender (et tous les goodies) rien que pour la créa, j'ai quand même intérêt à suivre les libc et les pythonneries :() -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Journal.....
Oui, systemd en lui-même est bien +1 par contre toutes ses extension networkd & compagnie c'est une daube infinie qui quand ça marche tu touche pas mais quand ça merde il faut virer. C'est ça. Nous c'est même pas installé à la création de l'instance... Et je parle pas de snapd avec ses loopx ... J'ai une proc fiable pour virer snapd sur nos stations Ubuntu (en serveur c'est debian only). Par contre ces connards vont mettre cups en snapd dans la 24.04 LTS et je crois aussi forcer wayland. Bref ils veulent vraiment me snapifier mes stations. Et là, je pète un plomb et je devrais changer de distrib et je suis dans la m... C'est 15 stations à changer sans compter les habitudes des users et une bonne intégration actuelle. Et wayland non, trop d'incompatibilité et en plus cette merde est pas plus rapide que X voire plus lente (y'a eu des tests, plus le lien). Wayland ça sert à rien, plus de 10 ans que c'est en dev en bashant X à toutes les occasions avec le bullshit habituel de "code moderne". Bande de nazes. Le seul code moderne que je connaisse, c'est celui qu'a 20 ans et qui n'évolue plus car fonctionnalités atteintes, taille sylphide et pas de bugs (genre openbox quoi). Et snapd même pas en rêve, mais je dois garder une certainement compatibilité ubuntu (les PPA Ubuntu et Debian, c'est pas pareil, les versions de lib idem, etc...) Bref je sais pas quoi faire. En plus faut garder Gnome 3 (non pas taper). -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Journal.....
Je pense que l'on peut distinguer le fait que les scripts initV étaient de la daube, que systemd soit plus clair Et plus efficace. (encore que), et que à coté de ca systemd soit quand meme vraiment de la daube. : Liste des problèmes: - configuration parfois très weird +1K pour certains 'modules' Les bugs sont pas très documentés non plus ;> Et j'attends toujours qu'on m'explique pourquoi ce que l'on faisait un fichier de conf nécessiterait plusieurs fichiers de confs (coucou networkd) et aussi qu'on me file un exemple fonctionnel de pointopoint en mode networkd. J'attends depuis le début de networkd (2016 ?). - documentation affreuse / lié au point précédent - veux tout faire et le fait mal (on parle de systemd-resolved alors qu'on a le choix avec unbound/dnsmasq) +1K rc.d open/net, openrc, s6 aurait été préférable mais RedHat est passé par la. Nous n'avons aucun de ces pb car on s'est limité à systemd et rien d'autre et surtout pas networkd. Cet ensemble est surnommé la pieuvre, à juste titre. Mais, du point de vue du sysadmin, comme du dev, systemd pur et sans rien d'autre, c'est clairement un progrès. C'est comme pulseaudio du même gus je crois, lui bientôt remplacé par pipewire, tout le monde a gueulé sans comprendre qu'enfin on avait un frontal à ALSA et qu'on allait avoir enfin un truc compatible Mme Michu et un chouya plus simple que Jack. De toute façon, le pire, c'est que pour avoir la "paix" avec ma station Nux/Gnome 3 (oui, c'est le mal mais ça lui donne un look de Mac en mieux foutu qui améliore grave le UAF (User Acceptance Factor), je doive avoir 64 Go de ram sous prétexte que j'ai 40 fenêtres de brouteurs avec 2K onglets ouverts et que ces daubes sont codées avec plus ou moins autant de lignes que le kernel (~ 20M je crois). Mais là personne ne dis rien :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Journal.....
Le 08/12/2023 à 15:42, Thomas Constans via FRsAG a écrit : Moi j'aime bien +1000 Ou les priorités fines de services actifs avant de lancer le sien, ou le restart automatique... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: postmaster chez free
Pas glop quand même... Juste une version dérivée de https://en.wikipedia.org/wiki/Embrace,_extend,_and_extinguish De toute façon, qui a lu les CGU de gmail ? Il parait que c'est crousti. -- Stéphane Rivière Ile d'Oléron - France OpenPGP_0x68A4C5C1D498F92F.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: postmaster chez free
J'dis ça, j'dis rien, mais j'ai été récupéré tes 3 mails de ce fil de discussion dans le dossier SPAM de la boite gmail que j’utilise... Non mais ça c'est normal. T'as un score de 25/10 mais le gougle te colle dans ses spams. À moins de s'appeler mailjet/chimp/gun, etc. Après moult révérences, parfois, en signalant l'ip sur des pages spécifiques à ces gafam, on arrive à améliorer. -- Stéphane Rivière Ile d'Oléron - France OpenPGP_0x68A4C5C1D498F92F.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: RAID et SSD : hardware ou software ?
Le 15/07/2022 à 13:07, David Ponzone a écrit : https://www.tomshardware.fr/highpoint-propose-des-cartes-raid-nvme-m-2-a-8-ports/ Y a aussi des contrôleurs RAID basés sur des GPU qui arrivent, avec des perfs de fou. Comme les NVME sont sur la carte même, c'est logique mais bon, ça fait cher la soluce alors que Linux et une bonne CM font ça déjà mieux que bien. -- Stéphane Rivière Ile d'Oléron - France OpenPGP_0x68A4C5C1D498F92F.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: RAID et SSD : hardware ou software ?
Aujourd'hui, comme depuis un moment, la difference ne se fera pas sur les perfs. Je trouvais déjà que le raid soft était plus performant depuis pas mal de temps mais avec les NVMe en communication directe avec le proc, je vois pas comment ça peut être pareil en intercalant un 'proxy' matériel sur un connecteur d'extension... Mais sur les "fonctionnalites", par exemple : - disque de boot en raid soft souvent plus complique a gerer ( installer grub sur tous les membres, uefi, ... ) Quelques lignes dans un scrip, c'est pas génial mais c'est le principe d'avoir un boot opérationnel sur chaque disque - cache en ecriture avec batterie de secours, sur les cartes raid materiel Donc des batteries à changer, au lieu d'un FS journalisé ?;) - fonctionnement "independant" de l'OS installé C'est je crois le gros point fort (le discriminant même) pour une solution matérielle. On va prendre du raid matériel quand l'OS sait pas gérer. -- Stéphane Rivière Ile d'Oléron - France OpenPGP_0x68A4C5C1D498F92F.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: RAID et SSD : hardware ou software ?
Le 12/07/2022 à 20:05, David Ponzone a écrit : Faut mettre des cartes très courantes, très dispos en broke et avoir un bon broker. Une carte RAID qui part en vrille, ça doit arriver je dis pas le contraire. Mais ça m’est jamais arrivé. Chanceux. Sans ironie. Mais je suis d’accord avec vous sur le fond, je préfèrerais être très à l’aise avec le soft pour faire que de l’install soft. Hélas, y a encore pas si longtemps, installer une Debian avec / sur un RaidZ1, c’était pas vraiment trivial. On fait couramment depuis plus de 15 ans. Rien de sorcier. Y compris les remplacements de disque... J'ai eu une fois un truc zarb, des partoches différentes claquées sur les deux disques (le client avait trouvé le moyen de coller une nouvelle gaine de 63 (en provenance de l'extérieur, plein est) qui arrivait au cul du serveur en question. Au premier hiver, il y a eu des conséquences (les disques étaient passés à 5°). En bref, à la fin, une resync infinie sur un volume due à un secteur défectueux sur le second disque (celui qui globalement était le moins attaqué) car ce volume ne pouvait être déclaré "sain" à la fin de la reconstruction. Ben pas de souci, y'a une façon de faire pour dire à nunux que ce secteur là, on le blackliste. Y'a une formule et les tutos pour. Pas facile à calculer mais faisable. Mais ça n'a jamais permis d'avoir ce volume sain tout de même. Mon unique problème sur des centaines de servs. C'est suite à cette expérience que, dans des cas de serveurs critiques, c'est RAID 1 avec 3 disques, idéalement de deux fabrications différentes (en 'grand public' du WD Red - usine WD - et du du WD Gold - ex usine Hitachi, ex IBM) et il n'est pas déconnant de déclencher une alarme si les disques passent en dessous de 20°, ce qui implique probablement une ambiance à 10°. Les disques qui tournent ne supportent pas les basses températures, pas du tout. -- Stéphane Rivière Ile d'Oléron - France OpenPGP_0x68A4C5C1D498F92F.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: RAID et SSD : hardware ou software ?
Le 14/07/2022 à 11:19, Arnaud Launay a écrit Ou la gestion de l'UEFI: on oublie souvent de mettre à jour le répertoire /boot/efi du deuxième disque, vu que c'est pas en raid1... Là du coup avantage au matériel, puisque du coup le bios ne voit qu'un disque. +1 l'oubli viendra frapper le jour où... Un script ultra-basique comme ça fait le job: .../... Mais c'est quand même moche. C'est l'UEFI qui est moche, et totalement useless¹, mais c'est pas politiquement correct de le dire. ¹ Dans un contexte où un minix est dans le processeur et que tous les composants clés (interface réseaux, etc) ne doivent pas être moins plombées. -- Stéphane Rivière Ile d'Oléron - France OpenPGP_0x68A4C5C1D498F92F.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: RAID et SSD : hardware ou software ?
Si NVMe, logiciel Si HDD, Hard Pourquoi ? Ayant du raid soft depuis plus de 15 ans. Avec du HDD scsi 15K de récup (sur des servs de récup), en RAID10 (bien tuné), des perfs limite pas loin des premiers SSD ;) Avec du HDD sata 7,2K, ça marchait aussi très bien. Un cas où je verrais l'utilisation du RAID matériel est l'OS qui exige de ne voir qu'un disque au boot. Pour le reste, le KISS est le mieux. -- Stéphane Rivière Ile d'Oléron - France OpenPGP_0x68A4C5C1D498F92F.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: RAID et SSD : hardware ou software ?
Je suis personnellement plus serein (peut-être à tort) avec mon / sur un Raid 1 HW, pour le moment en tout cas. Mon expérience est strictement inverse. Les cartes RAID hardware, déjà quand elles claquent, faut avoir du spare, ensuite quand le RAID claque, ça peut aller jusqu'à la perte totale (sans rien comprendre, même avec de la carte RAID haut de gamme). Avec du RAID soft, au pire, sur une reconstruction "difficile" en RAID1 on prend un disque pas mort et... on "juste le lit" (puisque on est dans du standard). Une remarque, toujours par expérience, quand c'est du lourd (médical par exemple), RAID1 3 disques (et pas 2 disques). -- Stéphane Rivière Ile d'Oléron - France OpenPGP_0x68A4C5C1D498F92F.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: RAID et SSD : hardware ou software ?
Aujourd'hui : Raid Logiciel ou Matériel ? Logiciel Observé depuis longtemps que le raid soft est généralement beaucoup rapide qu'une carte raid dédiée Aujourd'hui, le fonctionnement même d'un NVMe me semble rendre (imho) les cartes dédiées obsolètes. Sur des CM Asrock de serveur + NVMe en raid1 soft (infra ou advance OVH), on a juste des perfs de oufs. -- Stéphane Rivière Ile d'Oléron - France OpenPGP_0x68A4C5C1D498F92F.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Fuck, l'outil improbable
Je vais partir un chouilla hors-sujet mais quand je suis sous Windows, j’ai ça en place sur ma machine depuis quelques années pour éviter de le laisser non verrouillé quand je m'éloigne : Marrant et pas con. Faut pas oublier son malinphone. Je tenterais bien le même trucsous Nux avec une montre BT... Ah zut, parfois je la charge sur l'écran... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Fuck, l'outil improbable
Le 19/04/2022 à 09:38, David Ponzone a écrit : Oui mais je fais tout sous root moi, j’ai découvert Unix sur SunOS vers 1991, y avait pas sudo :) Pour un adminsys manipulant des serveurs, j'attends toujours qu'on m'explique l'utilité du sudo. Pour un user, je discute pas le principe, mais pour un sysadmin qui, direct, va se monter un terminal sous root pour s'éviter de tapoter 5 caractères (avec l'espace)... -- Stéphane Rivière Ile d'Oléron - France OpenPGP_0x68A4C5C1D498F92F.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Alternative G.Suite/Workspare
>Le GROS problème de docker c'est la NON portabilité du bidule en dehors de Linux et Docker. C'est vrai. Et quelle version de Docker qui gaze avec quelle version de noyau (me rappelle la Debian 8 pas du tout raccord avec le noyau minimal du Docker nécessaire pour, justement, Mailcow). En fait, dans tout notre environnement, on a Mailcow (qu'on avait au début en version Debian non dockerisée) et, plus tard, peut être, BigBlueButton (pas réussi à le monter à la mano, pourtant je suis entêté :) Mais il semble que la version dockerisée est tranquille. Donc en gros on invente des .exe / .app qui ne tournent que sur un ensemble d'OS limités alors les Unix sont plutôt légions. C'est pourquoi, après avoir été tenté plein de fois d'aller me diaboliser, j'en reste à Nux et Debian. C'est un choix, parmi plein d'autres, tout aussi valables. Question d'objectifs. Je sais que mon setup va gazer /simplement/ sous Linux, mes outils de devs, etc... Tout est plus compliqué quand tu sors du mainstream. Toutefois, je crois que si je devais dev sur Android avec mon langage favori, la seule mouture qui gaze bien est sous FreeBSD :) Mes devs doivent être compatibles avec les navigateurs courants pour les users ou la console (ANSI) d'une Debian pour les sysadmins. J'ai donné dans le portable Windows/Linux... Je devais gérer les spécificités des consoles (l'API de la console windows est très bien, mais elle n'a rien à voir avec le reste du monde :) et, au hasard, des liaisons séries... même émulées via l'USB, ça reste très différent. Maintenant, c'est niet. Que du Nux et basta ;) Okay c'est "kiss" mais c'est l'arbre qui cache la forêt... Le KISS se défini toujours vis à vis d'un objectif à atteindre. Nous n'avons pas tous les mêmes objectifs ou idées... Pour parler (encore) de Space X, qui vient de réussir un nombre incroyable de lancements en quelques semaines, il est certain que leur notion du KISS n'est pas celle d'un sysadmin gérant des serveurs et des apps ;) Et ca reviens encore une fois : ouais, ça a l'air sympa. Shit, ça tourne sur docker = yet another fscking blackbox... Pour moi -> no way(tm). Je comprends. Perso j'ai monté pas mal de serveurs de mails. J'ai pas /du tout/ adoré les maintenir. Mailcow m'a permis d'être ailleurs. Et... on peut dire que c'est lâche... ou que c'est reposant :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Alternative G.Suite/Workspare
Cher David, Par contre, je suis surpris que l’ami Stéphane « Kiss » Rivière en dise du bien parce que c’est tout sauf kiss: Je te cite : Install magique, install auto, etc... séti pas un peu kiss quand même ? ;) Parlant d'un serveur de mails complet, que je qualifierai de "haut de gamme", avec des composants standards et bidouillables dans le docker (les fichiers de conf sont bien rangés)... What else ? (C) Georges :) Et je te confirme que ça tourne des années sans broncher. Disons que je reboote la VM une fois par an... C'est un cas ou Docker est vraiment à sa place : un setup complexe d'un ensemble de logiciels, qui peuvent être proprement mis à jour en une seule ligne de commande... Cerise, tu peux récupérer les logs (merci docker) et les traiter avec syslog-ng (par exemple) pour ventiler les logs à l'extérieur du conteneur, à l'endroit habituel... /var/log/mailcow.log /var/log/mailcow-postfix.log /var/log/mailcow-phpfpm.log /var/log/mailcow-sogo.log /var/log/mailcow-dovecot.log Autant je ne suis pas fan du concept "une applic de rien = 1 docker" autant je trouve très pertinent pour ce genre de use-case. Bienvenue chez les Meuuuh :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: KISS (was Portail d'administration Office 365 partiellement down ?)
Et bien peut-être qu'il faut voir du côté des systèmes libres qui ne sont pas basé sur le manchot ? Genre avec des tridents et un p'tit diable rouge, le poisson qui pique, ou le drapeau orange? Pour ajouter à ta réflexion, en pleine install manuelle de Debian 11 (on était figé à 10 jusqu'à présent, mais ça n'a pas l'air de changer grand chose cette fois, tant mieux pour le script d'install). J'imagine que les utilisateurs des diablotins vont rigoler :) 1) Couper quelques pattes à l'araignée (celles qui n'ont rien à faire sur un serveur, par contre, c'est pas déconnant pour un portable avec de multiples interfaces). systemctl disable systemd-resolved.service resolvconf systemctl stop systemd-resolved resolvconf 2) Virer cette chiure de cloud-init : la succession de liens symboliques ou d'include pour aller chercher la conf réelle (qui n'est qu'un connexion dhcp finalement) de /etc/network/interfaces est risible de complexité. Un aptitude purge cloud-init cloud-utils cloud-image-utils cloud-guest-utils aura pour conséquence d'éradiquer 27 paquets et beaucoup de pythonneries cloud-guest-utils{p} cloud-image-utils{pu} cloud-init{p} cloud-utils{p} gdisk{u} liburing1{u} libyaml-0-2{u} net-tools{u} python3-attr{u} python3-blinker{u} python3-configobj{u} python3-importlib-metadata{u} python3-jinja2{u} python3-json-pointer{u} python3-jsonpatch{u} python3-jsonschema{u} python3-jwt{u} python3-markupsafe{u} python3-more-itertools{u} python3-oauthlib{u} python3-pyrsistent{u} python3-yaml{u} python3-zipp{u} qemu-utils{u} Un coup de "ip a" pour retrouver l'IP et les identifiants "simplifiés" et roule pour refaire un /etc/network/interfaces minimal. Le reste sera tout dynamique à base dip address/link/route et d'iptables Reboot et zou... ;) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Portail d'administration Office 365 partiellement down ?
Avé Vincent, Mais tu vendrais presque du rêve. Pourvu qu'on le transforme en réalité ! C'est clair que les infra Azure, AWS, ça coûte un bras. Quand je vois à quelle vitesse je cramais le crédit M$ Azure mensuel alloué avec notre abonnement alors que c'était juste des tests... Il y a des boites qui on coulé de n'avoir pu sortir leurs Téras à temps... (histoire racontée ici, il me semble) pensait que supprimer la prévisualisation des PDF dans l'explorateur Windows était une bonne idée, FoxIt leur dit merci ^^). :) Faudrait un jour que je me réinstalle un distrib Linux pour voir si j'arrive à supporter le pingouin. Mais c'est du temps de formation... Situation cocasse, je pense que le fait de migrer toutes mes données sur SharePoint Online afin de réduire le besoin de client lourd va permettre une certaines forme d'affranchissement. Oui, le saas propriétaire libérateur du serveur local propriétaire, le paradoxe est bien vu :) Tu ne supporteras pas le pingouin sans connaître un peu sa psychologie. Le manchot est un animal. Comme tout animal, surtout sauvage, il ne t'accordera sa confiance qu'après un certain travail, à commencer par un travail sur toi-même. C'est un peu comme être un chuchoteur à chevaux, ou savoir faire avancer un âne qui recule :) Sérieusement, tutoyer le /Penguin/ est un investissement avec retour à moyen et long terme. Pour débuter, je peux te filer les tutos install, application et utilisation sur notre distrib d'entreprise actuelle Ubuntu 18.04 LTS - ça transforme n'importe quoi (de la station 43" 4K Nuc Intel à l'ultra-portable avec veille hybride - le truc se réveille au bout de 120 mn (programmable) pour tout écrire sur le disque et s'éteindre complètement - 4G intégrée (sur Dell Latitude), VPN multi-pays et multi-sauts, etc... La sélection de logiciels est divisée en trois parties : bureautique (43), utilitaires (20) et dev (38). Allant jusqu'à gérer le colorimètre écran et vidéprojecteur X.Rire ColorMunki ou... comment récupérer les superdrives (graveur de DVD externes Apple A1379 trouvables à 10€ sur ebay¹) théoriquement inutilisables sur autre chose qu'une pomme, pour ripper sa collection de CD/DVD... ou un script de conversion de PDF RVB vers CMJN pour les imprimeurs... Même les périphs Logitetch ou les enceintes Sonos ont leur softs dédiés... Ensuite, ou préférablement selon tes goûts, le gros du taff, c'est le serveur. Arriver au KISS ultime est compliqué mais possible. On peut faire très dépouillé et très efficace avec des configs de pauvres, virtualisées en haute dispo, avec GNU/Linux Debian, Xen, Raid soft, LVM, DRBD. Sans même une instance virtualisée pour le routeur (Le nux de l'hyperviseur va très bien faire ça avec les deux commande ip et iptables et les fichiers network/interfaces et sysctl.conf - grand bonheur sur les perfs et la simplification). Et en récupérant, pour faire mentir 95% des tutos sur le net, les 16 ip d'un /28 (généralement 3 sont bouffées sur un bloc, ce qui commence à se voir sur les 8 ip d'un /29 :). On peut commencer par deux (pour la HA) raspberry pi 4, l'hyperviseur Xen tourne dessus avec 4Go de ram (ou deux Intel atom 2800 aussi, peut être plus facile car on évite la recompilation de DRBD). Pour la HA, il y a mieux que DRBD mais c'est plus cher. Pour apprendre et rester KISS en prod aussi, des paires ou triplettes de serveurs avec DRBD font le job. Le libre n'est pas gratuit. Le libre est liberté, de se former pour tracer /sa route/, afin de ne pas subir la route imposée. ¹ https://www.ebay.fr/itm/265525872214?hash=item3dd2934656:g:8t0AAOSw-ERh9PeZ -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Alternative G.Suite/Workspare
Là je peux pas m’empêcher d’être surpris…tu sais que Waze, c’est Google hein ? :) :) J'ai pas demandé à Gougle, un jour, de racheter Waze... je l'utilisais avant... Ok je sors. nan reste :) Au début, Waze, c'est une carte vide, sur une idée d'une boite israélienne. Le client est en logiciel libre. La sauce prend et tout baigne. Puis, à la v3 du client (2013, 2014 ?), le client est passé proprio. Puis la boite israélienne s'est vendue à gougle pour 700 ou 800 M dollars Quand tu roules en Allemagne, t'as pas besoin de Waze, déjà c'est pas autorisé, ensuite les policiers sont pas des pervers et les amendes sont ridicules. Sur toute, un 119 /retenu/ au lieu de 100 c'est 20 ou 30€ sans point en moins. C'est pas des chiants. De toute façon, les policiers allemands sont au service du public. C'est une autre mentalité. En France si tu roules, t'es une cible pour les cognes ou les flics donc c'est coyote + waze + de bons yeux et de quelques connaissances juridiques pour contester (dès que c'est contestable). -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Alternative G.Suite/Workspare
Arnaud, Tenté de forcer l'envoi en test only... C'est bien mignon de se plaindre des GAFA et de s'auto-féliciter de ne pas utiliser Microsoft, mais ce serait encore mieux si vous pondiez (tous, hein) des mails qui soient lisibles dans mutt et qui ne seraient pas en HTML, et qui auraient des citations qui seraient distinguables du nouveau texte. Là, j'ai des gros pâtés illisibles. Jusqu'à il y a quelques jours, j'étais en text only sur mon unique mail privé. Depuis 1993 (date de mon premier mail privé, chez cloud9.com de mémoire), j'ai toujours été en text only pour le mail privé. Mais on est en 2022, la fibre ou le haut débit sont partout. Faut évoluer. Les vidéos de chats font plus de dégâts et l'HTML est partout. L'enrichissement (gras, italiques), c'est de la typographie et la facilité d'insertion d'images (et leur redimensionnement) font que j'ai (horreur) décidé de passer à l'HTML. Ça me facilite la rédaction de longs mails. Ton choix est d'utiliser un MUA en CLI en 2022. C'est courageux. MUTT pourrait gérer l'HTML, d'abord. Et convertir les images en Ascii art. En fait, MUTT, nécessite une mise à jour ;) Et NeoMUTT, il fait pas ? -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Alternative G.Suite/Workspare
Avé David, Mon commentaire était juste une réaction au fait que tu sembles penser que les gens sur cette liste qui se plaignent de la fin de la gratuité de GSuite sont des ignorants qui ne comprennent pas le problème que pose la collecte de données pratiquée par les GAFAM. Tu dois parler de : "Et quand je vois ici les addicts à gmail, qui lit tous leurs emails (c'est marqué dans les CGU), regretter la fin de la gratuité, je m'interroge." Je n'ai aucunement parlé d'ignorance. Je m'interrogeais sur les priorités des motivations (gratuité vs confidentialité). Je pense qu’il vaut mieux aller militer à ce sujet sur lafibre.info <http://lafibre.info>. Penses pas à ma place, plize ;). Je suis juste un pragmatique. Donc oui tu as raison sur l’intérêt de pousser le libre et d’en faire ton biz. Je ne fais pas mon biz sur le libre. J'utilise du libre pour mon biz. Sans bullshit libre vers les clients (qui s'en foutent au mieux, ou trouvent ça suspect, sauf quand ils comprennent que du ouaib qui carbure au libre va leur coûter moins cher). Et on redonne au libre autant qu'on peut. C'est normal. Par contre, pour des raisons qui sont les miennes, j’ai moyennement le temps pour un domaine perso et 5 emails, de gérer un auto-hébergé et d’en faire le support, sauf si le produit est nickel, raison pour laquelle j’ai quand même hier monté une VM Mailcow pour voir. Excellent truc, beau et fiable, et j'espère avoir participé à ce choix :) C’est comme quand tu as une famille entière en iPhone. Tu résistes et puis au bout d’un moment tu craques, tu prends un iCloud 2To pour la famille, et tu as plus à t’occuper des sauvegardes, de perdre des photos si un iPhone finit dans l’eau, etc… Les smartphones sont une infection. J'ai eu longtemps un Nokia n900 (Debian/Maemo). Avec son vrai clavier rétro éclairé et son écran résistif totalement incassable, jamais eu un truc plus génial que ça. Même Waze marchait dessus ! Après comparer iChose et le Gouldroïd, c'est-y pas un peu l'hôpital qui se fout de la charité ? Ces produits sont également mauvais, intrusifs et irrespectueux. Là, j'ai un Pixel 5 avec lineageos bien dégouglisé (3 heures de taff pas pour le vieil homme = nawak), c'est à peu près supportable. Et il n’y a PAS d’alternative Libre (me parle pas d’Android, ce truc est une sombre merde insupportable, il suffit pour le mettre dans les mains d’un end-user pour s’en rendre compte. Tu as raison, les derniers Android non dégouglisés sont, comment dire... on dirait qu'on tient un panneau publicitaire dans sa main. J'ai en projet de remigrer sous Nux. Pinephone pro ou quelque chose comme ça (pour les alertes, j'ai pas trop le choix) et un droid lineageos gouglisé (gapps) pour Waze (qui ne marche pas sans je crois) dans la voiture avec une autre sim à 5€/mois. Après, honnêtement, sur le long-terme, je pense que le Libre perdra, sauf s’il y a un changement de paradigme planétaire et global Le libre s'est aujourd'hui répandu partout, et depuis longtemps. Ce n'est pas parce que le "monde de l'entreprise" ou du "jeu vidéo" sont inféodés à Krosoft, que les routeurs pros ne sont pas libres et qu'il reste plein de niches propriétaires (et c'est tant mieux, tout ne peut pas et ne doit pas être libéré) que, par le nombre et la qualité, choisir du libre pour créer un projet est juste devenu un réflexe de bon sens. Sur terre, pas une caméra, téloche, appliances diverses, etc. ne tournent sous autre chose... Même les Tesla, les Falcon 9 ou les capsules Dragon de Space X sont sous manchot (version TR). Pourtant (coming out) je cohabite (sic) avec un windows CE (très fiable) dans ma voiture (une BMW de 2005 et de techno 2001, bref conçue au siècle dernier). Aujourd'hui ils sont sous VxWorks, c'est plus flatteur (les rovers martiens ont ça aussi) mais les moteurs c'est plus ça. PS: bravo pour la CB, je sais pas comment tu fais. Rien payer en ligne, etc….respect éternel! Ben... tu sais pas, mais quand tu vas plus au resto, au ciné et que tu consommes plus de loisirs, à part la "bouffe au drive", la CB est en hibernation. Ça a remonté le compte en banque du coup. Mais bon, ça reste de la monnaie de singe. PS2: Ceci dit, le RGPD fait bien chier les GAFAM, et la bonne nouvelle c’est qu’il devient un modèle suivi par des pays hors-UE. Mmm... Il serait temps. Comme évoqué dans un précédent message, c'est pourtant pas toujours arrivé dans les hautes sphères. Et avec McKinsey à l'Élysée (c'est à dire la CIA), on a un plus grand problème de confidentialité que le RGPD. Cela dit (fait peu connu), c'était déjà le cas sous Pompidou, également banquier d'origine dans la même crémerie, pour la très controversée réforme de la banque de France du début des années 70... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Alternative G.Suite/Workspare
David, Sérieusement ? Oui. Peut-on avoir un avis différent du tient et être sérieux ? ;) Faut arrêter de penser que parce que tu as décidé de faire du Libre ton cheval de bataille, tu es le seul à comprendre les risques liés à l’usage de Gmail et autres :) Non, je ne vais pas arrêter de penser. Choisir le libre est (pléonasme) juste un choix. Comprendre les risques liés à l'usage de Gmail ? Pas 1% de tous ceux qui utilisent Gmail n'en saisissent les implications. C'est 'gratuit', ça 'marche' et 'tout le monde' a une adresse Gmail sont la trinité de la religion Google. Et c'est pas près de changer. Et ce n'est pas une question de connaissances techniques, médicales ou d'expertise ostréicole... C'est la facilité. Les gens sont prêts à tout pour la facilité. On le voit encore mieux depuis deux ans. J'ai des exemples dans des ministères ou des DG ou ComEx de boites. La compréhension des risques, et la conséquence de cette compréhension, c'est... [ ] fatiguant [ ] pas sexy [ ] politiquement sensible (s'exposer sans bénéfice), etc. D’ailleurs, tu utilises ta CB non ? Quasiment plus, je te laisse deviner pourquoi :) Comparaison n'est pas raison. Les GAFAMIT et le système bancaire européen sont deux saloperies bien distinctes. Tu vois, on a tous des combats qu’on a décidé d’abandonner. Non, je ne vois pas. /Ta/ résignation est /ton/ problème. Tes abandons sont les tiens. Je n'ai pas de /combat/, juste quelques convictions¹ révisables et des réussites (et non pas des victoires), comme notre passage au "tout libre". Et si /on/ réussi (/tous/ dans la boite), c'est aussi que /je/ me plante/seul/. Seuls ceux qui ne tentent rien ne se vautrent jamais :) PS Il est très bien expliqué, dans les deux liens de mon précédent message, que notre décision n'est pas applicable à toutes les entreprises. Les as-tu lus ? ¹ Dont une, validée par l'expérience est le KISS. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Alternative G.Suite/Workspare
Tant qu'ils ne changeront pas leur fusil d'épaule, je ne suis pas prêt d'arrêter de cracher du venin sur eux. C'est toujours les mêmes techniques déloyales : - FUD - Peur, Incertitude et Doute (technique marketing de microsoft reprise pour le covid) - E³ - Embrasse, Étend, Éteint ou Extermine (technique microsoft de destruction des standards libres) "Embrace, extend, and extinguish" (EEE), also known as "embrace, extend, and exterminate", is a phrase that the U.S. Department of Justice found/that was used internally by Microsoft/ to describe its strategy for entering product categories involving /widely used standards, extending those standards with proprietary/ . https://en.wikipedia.org/wiki/Embrace,_extend,_and_extinguish Krosoft a toujours été une bestiole remarquable d'agilité... https://www.soweb.io/une-societe-sans-microsoft-part1 https://www.soweb.io/une-societe-sans-microsoft-part2 Et pour Google, leur "Don't be evil" est vraiment, vraiment un superbe bullshit... Et quand je vois ici les addicts à gmail, qui lit tous leurs emails (c'est marqué dans les CGU), regretter la fin de la gratuité, je m'interroge. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Alternative G.Suite/Workspare
Alors la bonne blague … 1 compte gmail (celui où je vous écrit) dédié aux groups et il ne se passe pas un jour ou je dois aller rechercher des e-mails de groups dans les spams. Là où je n’ai absolument pas ce problème avec mes boites pro derrière un PMG bien réglé en frontal de mes Postfix. +1000 Sans compter que google/gmail est une infection pour ceux qui ont leur propre serveurs de mails. Ils font exprès de balancer les mails de ces serveurs indépendants dans les indésirables. C'est vraiment une pratique de chacaux (pluriel de chacal). Bon, chez nous, ça a fini par se calmer un peu, mais c'est vraiment pénible... Et question antispam, rspamd est bien aussi (je connais pas PMG mais il n'y a aucune raison que ça ne soit pas très bien non plus, généralement, Proxmox fait de la qualité). -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Portail d'administration Office 365 partiellement down ?
farinés par des prestataires locaux ou nationaux qui gagnent leur vie grâce à Krosoft. Chacun sa life, je ne juge pas, il faut bien vivre. Nous, c'est de l'infra virtualisée, personnalisée et infogérée, du site ouaib et du saas. On est pas dans le même monde et il n'y a ni friction ni conflit. Chacun son champs de patates :) Et voire si on peut s'entraider, on le fait. On pose même les enregistrements des exchanges clients dans nos zones DNS avec amour, nowar :))) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Portail d'administration Office 365 partiellement down ?
Le 03/02/2022 à 17:26, Guillaume PUTIER via FRsAG a écrit : Vous aimez bien brailler pour rien hein… Une simple question part en dérive vers des truck dont tout le monde se fiche. Ça n’a rien à faire sur la liste. Le Troll est un peu en avance ? C'est demain vendredi :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Portail d'administration Office 365 partiellement down ?
A l'époque du Cloud, c'est quand même hallucinant qu'une panne comme ça puisse se produire durant aussi longtemps. C'est quoi le cloud, sinon des serveurs, qui tombent en panne comme les autres ? Nous, on va bien, pas un windows à la boite, des écrans 43" 4K, des mulots Anyware doucement velus et pas de produits microsoft dont on dépendrait... J'aime de plus en plus l'informatique. Ohisse 365 et autres SAAS proprios non maîtrisés, c'est comme une drogue. La première fois, c'est trop bon et on en redemande. Quand on réalise les à-côtés (coût, confidentialité, etc.), c'est trop tard, on est devenu accro :) Bon courage pour les impactés... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Alternative G.Suite/Workspare
D'ailleurs SOGO tu pourrais faire un petit retour dessus ? Je dois pas être le seul intéressé. SOGo, ça juste marche. Y'a une soluce all in one (sans NextCloud mais avec rspamd). https://github.com/mailcow/mailcow-dockerized Utilisée depuis des années ici. Pour la partie fichiers uniquement, si sérieusement utilisée, netxtcloud n'est pas bon, Seafile est parfait (et l'app android est gratuite aussi). La techno de Seafile est fondée sur du p2p, donc synchro par slices. Par ailleurs, Seafile est sain, jamais rien écrasé avec et infiniment plus rapide que NextCloud. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
[FRsAG] Re: Navigateur HTTP 0.9
Le 03/02/2022 à 10:27, Romain a écrit : Non rémunéré j'espère ? Au siècle dernier, un "stagiaire rémunéré" s'appelait un "employé" ;) Aujourd'hui le terme "employé" n'est plus politiquement correct. On doit "employer" (sic) le terme "collaborateur". Toujours pas très joli, mais ça devrait évoluer rapidement. Alors, on "accueillera avec bienveillance" des "camarades écoconscients" au sein "d'entreprises à missions" dans des "bâtiments virtuels" loués à vrai prix d'argent réel dans le "metaverse de culdebouc". En attendant avec impatience cet avenir radieux, le stage non rémunéré existe toujours, voire est en expansion, si j'en crois les demandes spontanées que nous recevons chaque semaine... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/
Re: [FRsAG] recherche solution relay smtp on premise
> Une solution qui fonctionne très bien est le couple : > > POSTFIX / RSPAMD voire clamav. +1 > Rspamd est beaucoup moins gourmand que spam assassin présent dans la > solution de proxmox par exemple +1000 -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] consomation electrique des postes informatiques desktop/laptop
Je m'invite dans la discussion sur les portables. En prenant les bons modèles, d'occasion, voire en les améliorant (ram et/ou ssd), on est à la fois dans une démarche vertueuse et dans l'économie... > - il faut privilégier de loin l'achat de laptop à du desktop pour tout > ce qui est bureautique (1), Oui³ :) > Je suis bien d'accord avec toi que les stations fixes ont une durée de > vie supérieure: facilité de réparation DIY, reprises/stock de pièces de > rechanges mais surtout "revalorisation" via des dons plus facile aux > collègues/écoles/assoc/etc.. Euh, si choix pertinent du matos, non :) En portable pro, avec des Thinkpads Lenovo et des Latitude Dell, jusqu'à preuve du contraire, on est vraiment dans la durée... Exemple ici : En usage ponctuel : des ultra portables Latitude D430 châssis magnésium de 2006 (avec rs232 native), 2 Go ram, recyclés avec des SSD 1,8" de 80 Go sur du Nux (pour de la saisie avec un dock d'origine et encore une rs232 native et deux écrans). Et l'autre sur du doze pour tous les softs de progs spécifiques qui ne tournent que sous windows et qui doivent être utilisés en itinérance (prog de serrures élect, de matos divers, etc.) En usage journalier (bureautique et petite infographie) : des ultra portables Latitude E7270, 8 ou 16 Go ram, 256Mo à 1To de disque, 4G intégrée, coque carbone de... 2016. On trouve les docks d'origine sur ebay entre 15 et 25€ et les dernières bêtes ont été payés entre 220 et 350 € (c'est du matos à 2K€ en 2016). Comme toujours avec du Dell pro, on trouve TOUTES les pièces sur amazon ou ebay. Avec Dell, on a tous les plans de démontage et référence de pièce à dispo. Hier, j'ai commandé le connecteur d'alim suite à un "accident grave" d'il y'a 3 ans, pris les pattes dans le câble dans un local béton, le portable a volé dans le mur d'en face puis est tombé par terre (1m de haut). La coque carbone a eu une légère rayure, le connecteur d'alim du portable "vazouillait un peu" mais ça marchait encore, le portable n'avait rien. Je l'ai trouvé à 13€, avec son connecteur de raccordement à la CM = pas de soudure et remplacement en 2mn (rien à démonter hormis la plaque ventrale). Donc, si on choisi bien son portable, imho, ça le fait, avec du plus : on est mobile et frugal en énergie. Et on jette rien : les chargeurs Dell ont la même prise depuis 20 ans et, depuis 15 ans mini, intelligente (elle communique sur la capacité de l'alim et les surcharges). C'est un connecteur spécifique Dell, très très très robuste... (testé comme vous le voyez). Et toutes nos alims de 2006 pour les portables marchent encore : 0 pannes sur une dizaine... Ça doit être aussi bien sur les Thinkpads. On a un macbook pro qui va sur ses 10 ans, 0 problème, hormis la batterie collée qu'il faudra remplacer à coup de chimie assez sauvage (dissolvant à priori). Notre pratique est de se fixer sur un modèle sûr, d'en prendre plusieurs identiques, ça permet d'avoir un stock de pièces et de les faire durer au max. L'armée fait pareil avec ses avions ou ses chars ;) Dans le civil, as "in the penguin we trust", on peut le faire très facilement. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] consomation electrique des postes informatiques desktop/laptop
Ici, tout le matos info (hormis les lasers), est sur onduleur. Le matos en baie sur l'un. Le matos en bureau sur un autre. Ensuite, un joli NUT (Network UPS Tools) et deux liaisons séries font le job. Donc, à partir de là, on a les consos globales. En coupant tel ou tel matos, on voit sa conso direct. Couplé à un soft dans l'OS, on pourrait même automatiser le relevé de conso d'un portable ou d'un fixe. En 2022, on envisage du solaire électrique en toiture, les panneaux hydrauliques assurant déjà l'eau chaude entre avril et maintenant la législation a évolué pour le solaire électrique. Couplé à des batteries, faudrait déjà voir si ça peut faire mouliner la 42U de l'intranet. Faut que j'étudie ça de près, question amortissement et compagnie. Ça serait d'ailleurs peut être l'occasion de remplacer les gros serveurs à tout faire qui ronronnent dedans alors qu'ils ont plus de 10 ans. C'est dommage mais c'est clair que ça bouffait... Dans ce temps-là... D'un autre coté, comme l'extraction de la baie sèche les bûches de la chaudière tri énergie, je sais pas si c'est une bonne idée :) En tout cas, c'est une réflexion intéressante car l'IT h24 ça gloutonne. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Sauvegarde office 365
Le 22/10/2021 à 09:03, Emmanuel Jacquet a écrit : > On est vendredi ? je peux répondre ? :-) You're welcome... C'était l'esprit de mon intervention trollesque :) > oui y'a sûrement des solutions dans le domaine libre, mais quand on a un > peu de temps non ? Oui ! C'est une volonté. Tu perds du temps au départ, tu gagnes sur d'autres aspects, question de temps, de volonté des décideurs, etc. Dans une précédente vie, dans une logique de "moindre emmerdement" car "pas de temps" aussi j'installais que du libre sur du XP (un milliers de PC sur 5 ans et 100 clients) car j'avais constaté que ce système microsoft était plus stable sans logiciels microsoft dessus. Les doze serveurs étaient bennés pour du debian avec serveurs smb/hylafax/emails/nut, etc... > En tout cas, tu peux me traiter de "décideur con", avec des "'habitudes > de vieux'" qui paie du moisi mais, je n'arrive pas à trouver une > solution à cette équation compétences/budget/temps/liberté/fonctionnalité. Je ne me permettrais pas. 35 ans de micromou ici. Fallait pas se sentir visé ;) Notre position réelle sur Microsoft ici, beaucoup plus nuancée. https://www.soweb.io/une-societe-sans-microsoft-part1 Autant te dire qu'on ne regrette pas. Mais les conclusions de l'article (en part2) sont équitables et se termine en posant la question "Une société sans le Logiciel Libre ?" :) Bonne lecture (si tu as le temps) et critiques très bienvenues :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Exchange like - OpenSource
> Personnellement j'utilise rspamd, que je trouve plus efficace que > spamassassin. +1 -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Exchange like - OpenSource
> - mise à jour majeure = migration obligatoire, la procédure c'est > nouvelle installation et migration Arf. Rédhibitoire, ça. Fatigue... > - c'est juste un serveur mail, même pas un spamassassin, rspamd, clamav > pour faire un service minimum ??? bah, c'est nul en fait ! (sic) > Au final on est revenu sur une vraie solution FLOSS, on a juste pas le Plussoie des quatre mains Nous (plus modestes ou plus faignants), on utilise mailcow, du FLOSS packagé docker, ce qui nous semble cohérent car c'est un ensemble de logiciels bien accordés. C'est d'ailleurs notre seul truc sous docker. Mailcow vient avec une interface qui fait le job, rspamd en standard, reste super bricolable, toutes les conf classiquement au même endroit, ça se maj. En client mail, c'est l'élégant SoGO... Précise qu'on savait faire tout ça nous mêmes depuis des lustres mais que c'est chronophage. La même idée que lorsqu'on a basculé de notre distrib interne Debian pour stations super stable (300j+ d'uptime en utilisation intensive)pour une Ubuntu 18.04 LTS super agréable pour les end-users (et un chouya moins fiable mais quand même très acceptable - 60j+ d'uptime). -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Exchange like - OpenSource
Le 21/10/2021 à 19:05, David Ponzone a écrit : > Si t’aimes Java et que t’as des CPU en trop, BlueMind est ton ami! J'osais pas le dire ;) Mais vu que leur soluce a plus de 10 ans (de mémoire) ça doit être au point et que la CPU et la RAM, c'est plus trop un problème... Je me rappelle qu'à l'époque, on conseillait 2Go de RAM pour Bluemind en disant que c'était énorme :))) Je suis sûr qu'il y a des colistiers qui vont pouvoir témoigner (que ça fonctionne et qu'ils en sont contents). -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Sauvegarde office 365
> Hmmm pas tout à fait. Les clouds des 3 gros sont des usines à gaz, pas faites > pour un client final en direct. Tu serais surpris de voir le nombre de devs qui, devenant par la magie du verbe, des devops, se targuent de gérer un cloud AWS. Moi-même, j'y prétends pas. Je bricole sur de backs de clients, mais clairement, et c'est voulu, pour être au top, il ne faut faire quasiment que de l'AWS (et en y croyant très fort). Après les premières factures (même si ça s'optimise), ça rigole moins. Et quand tu vois ce qu'ils font du beau jouet, c'est à pleurer. Mais bon... à part de DAF, tout le monde est content :) > Pas grand chose à voir avec MS365 qui propose plusieurs applications bien > intégrées ensemble formant un ensemble collaboratif cohérent. Donc oui, > contre de l’argent, ça fait des maux de tête en moins au service IT (qui > existe de moins en moins de nos jours). On est d'accord, c'est une question de méthode. Dans ce cas une méthode de type "rache". On pose tous nos documents dans le grand nuage kro$oft et, même si on est un industriel, avec des secrets industriels, tout va bien (j'ai un client comme ça, il adore 365, il est heureux). > Un peu comme les voitures hein. Les boites qui ont des flottes de milliers de > véhicules: > -ils sont en leasing > -ils sont fabriqués par un constructeur commercial > -ils ne sont même pas entretenus en interne C'est une bonne comparaison. Vu que Windows est le seul OS qui s'use quand il sert... Comme une voiture... > Tu peux me donner le nom d’un produit OpenSource équivalent ? C'est une question de méthode. On bosse avec LibreOffice et Seafile branché sur un repository local et ça le fait, aussi bien pour les commerciaux que pour les sédentaires. Et il faut aussi poser la glue autour et les sauvegardes, etc. Après, ça bouge plus. C'est pas automagique comme 365. C'est pour ça que les gens adorent 365. Rien à installer, tout est là. On est d'accord que ça plaît :) > Tu peux donner le nom d’un de ces groupes, la taille de leur équipe IT et son > budget ? T'en a plein dans le monde mais le plus évident dans ce pays est la gendarmerie nationale, leur équipe de devs spécifiques n'est pas si maousse et ils ont un partenariat avec Ubuntu. Remarque, vu la vétusté des terminaux, c'est un bon point pour eux d'être sous nux. Ils peuvent les faire durer 10 ans facile. Mais ta question n'est pas la bonne, le grand groupe qui se prend un crypto "qui le tue pendant 3 semaines", il répare puis ne change (presque) rien. À part 'vitrifier' les terminaux des users (windows, ça se sécurise quand on sait faire) pour les transformer en gros minitels. La question est : si "recommencer à l'infini sans rien changer est la définition de la folie" (bon mot attribué à Einstein)... Pourquoi les services IT en front ne feraient-ils pas comme leurs collègues du back pour se rapprocher de la banquise ? Ça dégagerait beaucoup d'argent en économies de maintenance et achats stupides pour améliorer la qualité. Parce que le libre, avant tout, c'est l'augmentation de la qualité et la réduction des coûts. Faudrait confier l'IT aux DAF :> -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Sauvegarde office 365
Le 21/10/2021 à 14:55, David Ponzone a écrit : > Peut-être parce que l’open source a jamais été capable de délivrer les mêmes > outils avec le même niveau d’intégration ? Arf, le trool... on n'est que jeudi... Si t'es totalement en dehors de cette horreur, tu intègres tout très bien... Faut juste de pas avoir de logichiures de cette pieuvre. > Je suis le dernier à défendre MS, mais MS365, avec absolument tout > contrôlable/configurable depuis un powershell n’importe où dans le monde, > c’est bluffant de puissance, particulièrement pour un mastodonte de l’IT > traditionnel qui aurait pu échouer à se transformer en mastodonte de l’IT 2.0 Ben déjà powersell (sic), c'est nope :) MS365, c'est juste de la drogue. Les gens qui y goûtent on du mal à s'en défaire alors que c'est juste une question de méthode. Pareil pour le claoude AWS, Zure ou Gougle. Sérieusement, ça fait longtemps que je ne me pose plus de question sur l'abysse des raisonnements des 'décideurs' et, mieux, je ne cherche même plus à les convaincre. Déjà, pour une TPE, entre une suite LibreOffice qui ne coûte rien et fait bien mieux le job et un abonnement à l'année pour avoir le droit de tapoter une lettre sur un jouet (word est un jouet par rapport à writer)... Alors pour un mastodonte, comme tu dis, avec les économies d'échelle phénoménales + la pérennité des documents et des logiciels +l'offre du libre en bureautique = on reste chez petitmou car... (mettre ici les 1K raisons de ne rien changer). Après les gens font comme ils veulent... Il y a des groupes de 100K personnes qui taffent sous Ubuntu avec que du libre et du développé en interne, d'autres qui veulent payer du moisi pour pas contrarier leurs 'habitudes de vieux', même après s'être fait 'trépanés en cinémascope' par un crypto méchant. >> Mais je n’ai jamais compris pourquoi des entreprises jettent aux orties des >> solutions mails qui fonctionnent correctement pour s’en remettre >> complètement à la bonne volonté d’un mastodonte. +1K Question de connerie. Faut jamais sous-estimer un con. Un con qui marche va plus loin qu'un intellectuel assis, même si, à un moment "La connerie à ce point là, ça commence par devenir gênant." (C) Audiard. Et je ne parle même pas du RGPD, du Patriot Act... Quand on voit que Thalès se met en ménage avec Google pour monter du SecNumCloud en France, après les grandes "réussites étatiques" de "clouadeouate et nuemairgie" y'a de quoi soupirer... Thalès/Google... Et pourquoi pas Thalès/NSA pendant qu'on y est. Enfin, avec McKinsey à l'Élysée... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [TECH][MAIL] GMail trappe silencieusement les mails
Le 09/10/2021 à 19:34, Jacques MICHAU a écrit : > SNAFU. > On nage en plein délire. C'est aussi bien orchestré que d'autres choses que nous vivons ces temps-ci, inspirées du célèbre FUD microsoftien ou, plus spécifiquement pour le mail, le non moins fameux E³ : Embrace, Extend and Extinguish) En l’occurrence, "tuer le mail, s'il n'est le nôtre". Et on peut dire que les GAFAM sont à l'œuvre Après, si t'es un gros, tu peux résister. Un colistier l'avait bien dit : plus tu envoies de mail, plus t'es intouchable. Quand on voit les en-têtes de mailjet, c'est très clair pour les GAFAM, et c'est acheminé... Enfin, les gens craignent la peur et aiment la servitude. Ils ont leurs petits besoins sécuritaires dans leur environnement de travail et se protègent : on ne peut reprocher à quiconque d'avoir choisir le leader du marché :> C'est un bon parapluie. Microsoft fonctionne ainsi. Une foule de clients adoptent leurs soluces car elles sont estampillées "One, Microsoft Way" et non pas parce que, parfois, ce sont de bonnes solutions. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] alternative à phpMyAdmin ?
> Dommage qu'il n'y ait pas pareil pour PostgreSQL en libre, clairement > les clients ne veulent pas s'embêter pour si peu. Adminer gère PostgreSQL... -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [TECH][MAIL] GMail trappe silencieusement les mails
> Si quelqu'un a une super idée, je suis preneur Lis mon msg de 12:53... T'as le bon lien (donné en son temps par un colistier de 'je ne sais plus quelle liste', mais qu'il en soit encore ici remercié pour l'éternité) + un message tout prêt Pour nous ça a marché... (la réaction n'est pas rapide) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [TECH][MAIL] GMail trappe silencieusement les mails
Avé Jacques, > Observé depuis quelques temps, GMail accepte les mails mais ne les > distribue pas. Normal on dira. Totalement sournois, mais bon... Extrait de notre (toute petite) doc interne sur le sujet Avec la bonne url et le message type pour le gougle, et on a fait 'coucou' à kromou aussi... On est plus emmerdé (depuis un an, ce qui est nouveau, on dira...) Bon courage :) PS Pour nous c'est que du mail de 2 entreprises et 4 domaines, pas un gros volume (ce qui ne semble pas bon en fait) et aucun spam de notre coté. Après, utiliser mailjet (par exemple, ils sont très bien) en relay sur le postfix est une option qui fait sens. On n'en est pas encore là. === 3Blacklistage Sport national des GAFAMIT pour inciter les moutons à utiliser leurs produits payants en lieu et place d’un service standard, gratuit et qui, pendant des décennies, avait bien fonctionné. 3.1 Contrôle AS OVH 16276 Chez ces motherfuckers d’uceproject : http://www.uceprotect.net/en/rblcheck.php?asn=16276 3.2 Contrôle listes de BL Check sur https://mxtoolbox.com Sur les 88 listes, on était ban sur une (SORBS SPAM - http://www.sorbs.net) depuis le 02/19 :> Vite fait ce qu'il fallait (s'inscrire, toutes les coordonnées, la taille des chaussures, le motif argumenté, etc.) et, très vite, en 30 minutes : 149.*.*.*/32 has been delisted for the first time We will place this ticket in 'Resolved' state, as no further action seems to be pending on our part. Thank you Son of Robbie the Robot on behalf of SORBS Support SORBS Support Re check sur https://mxtoolbox.com Checking 149.*.*.* against 88 known blacklists... Listed 0 times 3.3 GMAIL • Emails en spam chez gmail.txt Des colistiers (et des clients) voient nos emails en spam et n'importe quel email de n'importe quel domaine géré par notre serveur n'arrive pas sur mon email gmail. Sans rien dire. Ni retourner. Pourtant, dans les logs de Postfix, pas d'erreur, il est bien envoyé sans souci et effacé de la queue ('culé gougeule) Feb 20 18:51:13 127.0.0.1 b54e6184ef15[421]: Feb 20 17:51:12 postfix/smtp[16553]: EAE9F40EA2: to=<@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.76.26]:25, delay=1.1, delays=0.28/0.02/0.3/0.5, dsn=2.0.0, status=sent (250 2.0.0 OK 1582221053 v5si215647wrs.565 - gsmtp) Feb 20 18:51:13 127.0.0.1 b54e6184ef15[421]: Feb 20 17:51:12 postfix/qmgr[352]: EAE9F40EA2: removed Même pas un serveur mail pourri, via le test : 10/10 – https://www.mail-tester.com/* Maintenant j'ai réclamé à Google via leur questionnaire ici : https://support.google.com/mail/troubleshooter/2696779?hl=fr_topic=7280460 Dépannage des problèmes de distribution rencontrés par les expéditeurs de messages : Quelle est la nature du problème ? (o) Les messages envoyés sont "Non distribué après un certain délai / Rejeté” ou classés comme “Spam/Hameçonnage” Et après une grille de questions, on peut expliquer : Bonjour, Les emails émis par notre serveur (pro) de mail (149.*.*.* - ..*.org) passent en spam chez gmail ou sont simplement effacés (3 domaines sont sur ce serveur, avec les mêmes effets, quel que soient les emails et les domaines - ***.org, .io et k.fr. Ce serveur est clean de toutes BL connues et a 10/10 à mail-tester.com (résultat du test : https://www.mail-tester.com/*). Rien vu non plus dans les logs de postfix. Donc je vous contacte. gmail est important et nous devons atteindre nos correspondants gmail. Bien cordialement, Stéphane Rivière. PS, un message émis typique. Log postfix sans erreur d'un message similaire : Feb 20 18:51:13 127.0.0.1 b54e6184ef15[421]: Feb 20 17:51:12 postfix/smtp[16553]: EAE9F40EA2: to=<*@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.76.26]:25, delay=1.1, delays=0.28/0.02/0.3/0.5, dsn=2.0.0, status=sent (250 2.0.0 OK 1582221053 v5si215647wrs.565 - gsmtp) Feb 20 18:51:13 127.0.0.1 b54e6184ef15[421]: Feb 20 17:51:12 * postfix/qmgr[352]: EAE9F40EA2: removed En tête d'un message typique : Reply-To: s...@genesix.org To: *@gmail.com From: =?UTF-8?B?U3TDqXBoYW5lIFJpdmnDqHJl?= Subject: test Message-ID: <87e1cc36-5766-dad2-6328-0206ec6e0...@genesix.org> Date: Thu, 20 Feb 2020 20:38:51 +0100 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Thunderbird/68.4.1 MIME-Version: 1.0 Content-Type: text/plain; charset=iso-8859-15 Content-Language: fr Content-Transfer-Encoding: 8bit Réponse : Merci d'avoir envoyé votre demande. Veuillez prévoir un délai d'au moins deux semaines entre chaque envoi pour que les modifications, le cas échéant, soient répercutées. Pour mesurer et surveiller la distribution des e-mails aux utilisateurs de Gmail, veuillez utiliser les Postmaster Tools. Donc, attendre, deux semaines, ok google. 3.4 Microsoft Recensement IP serveur de mail chez Microsoft : https://support.microsoft.com/en-us/supportreq
Re: [FRsAG] Avis d'admin sys sur supermicro
(historiquement, on a du Dell, du Dell et encore du Dell). Excellent choix :) Sinon on a du Supermicro depuis... pfff... ça le fait grave aussi. Mais c'est pas la même approche. +1K sur le message de Wallace pour les détails. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Sondage : délai de basculement IPFO
Bonjour à toutes et tous, TG d'ice tea, de café glacé et de glaces... Chez OVH, faire bagoter une IPFO entre deux servs, constate que la moyenne de 3 à 5 mn irait plus vers 5 à 10 mn ces derniers temps. Je souhaitais avoir une idée des délais que vous rencontrez... OVH : Scaleway : autres hébergeurs : Merci de vos réponses :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [ALERT] BBQ OVH
> et ça continue, encore & encore... Un barbu, c'est un barbu. deux barbus, c'est des barbouzes. La loi des séries... mais sur un ensemble de batteries non raccordées depuis plus de 10 jours... J'ai vraiment du mal à comprendre. 300 batteries de 25Kg ? Je vois bien 300 batteries de 25 Kg rentrer dans un 40 pieds (un peu moins de 60 m³ avec l'isolation). Même avec les châssis, ça fera toujours moins de la moitié de la charge utile d'un 40 pieds (entre 20 et 30 T suivant le type). Ça fait un beau stockage d'environ un /quart/ de MW... Quoique l'émission de gaz (avec d'ailleurs plus d'O2 que de H) avec ces batteries est infime, j'imagine mal que cette concentration ait été laissé sans aération. Ces batteries ont-elles souffert de la chaleur pendant l'incendie ? Une réaction lente ? Mmm... Comprends pas. -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Où mettre mes images de VMs ?
> Donc t'es obligé de prendre un des backup ailleurs (celui qui servira > vraiment en dernier > recours, car probablement bcp plus long à remonter), accessible seulement en > écriture (et pas > en modif) à l'agent de backup, qui pourra pusher de la data mais plus la > modifier une fois > écrite (lui aussi peut être compromis, les backups précédents doivent alors > rester intègres). Comme d'ab, expliqué ainsi, je plussoie :) J'y avais pas pensé... -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Où mettre mes images de VMs ?
> mon experience vis a vis d ovh pour ce qui est du tres mauvais > support, et de leur interface usine a gaz reste actuelle. Jamais eu de pb avec eux, sauf des temps d'attente, mais on laisse sur ampli. En fait j'ai du appeler 3 fois ces 10 dernières années, pour des trucs bien pointus... La plupart du temps, on cause ou on lit les ML et les docs OVH et on trouve. À part les restes du manager v4 (voip) avec son ergo 'à tiroirs', je trouve que le manager actuel : - Est plutôt très bien, le qualifier d'usine à gaz vu les centaines de services qu'ils proposent est exagéré, les services sont répartis par genre au dessus de l'écran, c'est plutôt bien fichu pour l'accès, en 2 clics t'es sur le service souhaité. Après c'est plutôt une question de goût. J'aime pas celui de Gandi, Scaleway me rappelle plus, donc ça devait être plutôt bien, Ionos, quand je sors un client de chez eux, vaut mieux pas en parler et médaille d'or à OBS (Orange Business Service), comme d'ab... - Opensource, donc on peut l'améliorer... :) - Par contre leur (nouvel) écran d'accueil de manager ne sert à rien (imho). Ça serait bien d'avoir un paramètre pour le désactiver. Par contre, on a intérêt à utiliser l'API pour les tâches répétitives mais c'est valable pour tous ceux qui brassent un peu de services. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Où mettre mes images de VMs ?
> * tres mauvaise connectivite avec l asie OVH a un DC à singapour avec de la connectivité là bas (entre autres). Ça fait quelques années qu'on a des clients dans le coin (Malaisie aussi). Personne se plaint (et nos tests de réactivité non plus). On a même des clients malaisiens qui ont leur serv à RBX (car audience FR/EU). On teste régulièrement (pour contrôle externe) via ProtonVPN qui a des sorties là bas. Latence toujours correcte avec RBX. Je suppose que ton expérience doit avoir quelques années, comme la mienne d'ailleurs avec Scaleway (2016) - globalement j'aime beaucoup tout ce qui tourne autour d'illiad :) -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Où mettre mes images de VMs ?
> Après si c'est possible éviter de mettre tous ces œufs dans le même > panier... C'est dommage de se priver de l'excellent réseau privé d'OVH et d'en profiter pour unifier les APIs... Il suffit d'utiliser plusieurs DC OVH et d'avoir une politique de sauvegarde correcte, imho. Pas besoin d'aller voir ailleurs... Je dis ça parce que je l'ai fait, en 2013-2015... Je suis vite revenu. Scaleway, supers serveurs HP, plantaient une fois par trimestre. J'ai pas du avoir de chance. 0 log utile à chaque fois. Frustrant. Moins de goodies dans les coins qu'OVH. Des cartes RAID qui te bouffaient de la ram sur la CM. Donc on vire le RAID de la carte pour l'utiliser en SATA de base et on fait du RAID1 soft (plus efficace d'ailleurs). Un peu plus cher qu'OVH. Un support très sympa sinon. Mon use-case c'est du dédié uniquement. Pas de Pci ni de Pcc. -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Où mettre mes images de VMs ?
> https://www.kimsufi.com/fr/commande/kimsufi.xml?reference=1801sk15 On a, en plus de toutes nos autres sauvegardes, des kimsufi à 6,99 HT, précisément des "Serveur KS-2E - AtomN2800 - 4GB - 1x2To SATA" Ces Atom N2800 sont géniaux, ils poutrent bien et supportent les hyperviseurs. Y coller une Debian/Xen, 512Mo pour l'hyper et le reste pour les 2 VM et qui vont se partager 2000 Mo de sauvegarde pour 6,99. Après il suffit d'en avoir plusieurs en fonction du volume. C'est bien chez nous la sauvegarde ultime, après trois autres sauvegardes avec des cibles différentes : vm complète à chaud, DB à chaud, filer à chaud. -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [ALERT] BBQ OVH
Merci Johann pour ces infos qui expliquent les SBG-5/6 invisibles... > DC Physique : > SBG-1: partiellement (4/12 conteneurs brulés) > SBG-2: totalement brûlé > SBG-3/4: coupés électriquement (mais l'ensemble des équipements sont safe) Octave (sur son tweet) parle "semaines" pour le rétablissement HT/BT > Voici le mapping zone Openstack/DC Physique : > - DC SBG1/SBG2 : Region Openstack SBG1, SBG2, SBG3, SBG4 > - DC SBG3 : Region Openstack SBG5, SBG6 > > Oui c'est totalement contre intuitif... +1 -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [ALERT] BBQ OVH
> C'en était effectivement. Si cela en a choqué certains je m'en excuse > platement. J'aurais été capable de la faire... pour une autre boite qu'OVH, entreprise sans qui notre développement aurait été beaucoup plus difficile et coûteux. Et j'apprécie bien "Octave et son œuvre", sans oublier la famille Klaba et toute l'équipe d'OVH. Par ailleurs BBQ désigne également la "délicate" pratique mafieuse (déjà en pratique à Bordeaux à la fin des années 80) d'occire la cible dans sa bagnole puis d'y mettre le feu. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [ALERT] BBQ OVH
En fait c'est là... Et c'est triste :( J'ai beau aimer l'humour noir... http://travaux.ovh.net/?do=details=49471 -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] [ALERT] BBQ OVH
Le 10/03/2021 à 09:06, Nathan delhaye a écrit : > Coucou ! > > Juste un petit mail pour ceux qui sont chez OVH à SBG et qui auraient > raté l'info. Oui j'ai raté... Incendie ? : > http://travaux.ovh.net/?do=details=49484 Cette adresse me renvoyant 502 Bad Gateway... Et ayant des servs aussi dans ce DC et qui ne répondent plus Si vous pouvez m'en dire plus, ça serait pas de refus... Heureusement GRA et RBX répondent, ouf ! -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Single node Ceph (Was: Re: Proxmox 6.3-2 et Pool LVM-Thin)
> Au passage, je ne vois pas pourquoi 4 serveurs seraient forcément > nécessaires, ni une bonne idée. Je n'utilise pas CEPH. Voilà le notes que j'avais pris à l'époque. Aucune idée de la pertinence. Ces colistiers ont du vécu :) Leurs messages m'ont semblé assez clairs. J'en avais conclu que c'était super mais nécessitait une certaine "aisance" et, qu'en attendant, on continuerai avec DRBD... Laissé les emails : les archives sont publiques et ça permet de les contacter pour des précisions... 1Architecture rich...@demongeot.biz : CEPH étant (massivement) distribué, il devient de plus en plus performant avec le volume de disques que tu lui affectes. Selon la documentation, le minimum préconisé est de faire "3 copies", sur "3 machines différentes". CEPH préfère par ailleurs un accès direct au disque, et ne pas avoir de raid sur les disques. Setup standard CEPH : +--+ +--+ +--+ | Hôte1| | Hôte2| | Hôte3| | HDD1HDD2 | | HDD3HDD4 | | HDD5HDD6 | +--+ +--+ +--+ Ton premier bloc sera sur les disques 1, 3 et 5; Ton second sur les disques 2, 4 et 5; Etc. CEPH s’amusera à les placer différemment à chaque fois. Du coup, si tu n'as que 3 disques, les 3 seront "identiques", mais la fragmentation va te faire perdre en performance vis à vis de DRBD. Si tu as 12 disques ou plus, réparti dans plusieurs châssis, tu va pouvoir tirer parti de l'ensemble des axes / ports disques. Et plus tu rajoutes de disque, plus ta performance s'améliore :). 2Algorithme frsag@frsag.org : Question de précision de l'algorithme de répartition des blocs de données (PG en langage ceph). Le manque de précision est du a une optimisation pour trouver plus rapidement le lieu ou est stocké le PG, du coup il y a une variation de quelques pourcents (voir dizaine) entre la quantité de données sur chaque disque. Les paramètres recommandés sont : 3 replicas, 2 nécessaires pour activer les écritures. Si on n'a que 3 noeuds et qu'on en perd un, on n'a pas *exactement* 33% des PG hors ligne, mais un peu plus ou un peu moins, ce qui fait qu’on se retrouve potentiellement avec des écritures bloquées sur une partie du cluster. D’où le 4 pour avoir une marge de manœuvre. 3Incident wall...@morkitu.org : Ceph sur trois noeuds dans le moule Proxmox, ça marche quand tout est ok. Si tu perds un nœud le quorum en prend un coup comme pour Proxmox mais ça passe. On a découvert avec douleur qu'un cluster Proxmox trois nœuds qui démarre à froid (coupure courant de nuit dans une entreprise malgré l'onduleur ça n'a pas tenu jusqu'au matin) et qui a un nœud ceph mort (l'équipe sur place faisait une maintenance sur les disques la veille) refuse de démarrer et donc tu ne peux pas faire repartir. Proxmox dans ce cas on peut toujours dire tel host a un point plus grand pour le quorum et/ou baisser le nombre de voix de chaque membre ça passe. Ceph on a pas trouvé et la seule façon a été de reconfigurer le cluster pour demander une réplication sur 2 noeuds au lieu de 3. Du coup gros travail de Ceph qui a bien saturé ses liens pendant 3 jours mettant des perfs assez faibles pour les vms. -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Single node Ceph (Was: Re: Proxmox 6.3-2 et Pool LVM-Thin)
> Maintenant, est-ce que d'après vous j'ai loupé un truc dans le setup ou > est-ce que c'est réellement viable ? (en dehors du fait que c'est un > gros hack par rapport à ce pourquoi Ceph est prévu). Aucune idée. Mais SPOF sur le node... mais j'imagine que dans certains cas, ça doit être bien :) DRBD a au moins le mérite de proposer de la migration à chaud, du n TIERS, etc. avec une mise en œuvre qui doit être rigoureuse mais quiest peu coûteuse... -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Proxmox 6.3-2 et Pool LVM-Thin
> @Stéphane > > Je ne connais pas du tout Ganeti (j'ai été voir un peu de quoi il > s'agissait) Imho, ce fut génial, ça l'est encore dans certains cas. Pas pour notre use-case. > C'est intéressant comme approche votre gestionnaire de cluster (et ca > m'éclaire un peu plus sur le fonctionnement et rôle des metas) Ben dès que t'as du DRBD, mais que tu veux laisser l'humain en priorité et refuser l'automagie "pacemaker/corosync"... Pas trop le choix. Sinon des scripts pour monter et descendre proprement les nodes (ce qu'on faisait jusqu'à présent)... Et laisser l'humain faire le reste. Ganeti nous a inspiré. Ce que l'on code est mille fois plus simple à utiliser mais limité à notre use-case GNU/Linux Debian Xen LVM DRBD. > Pour ma part, je suis encore en mono-server sans HA et j'ai cru > comprendre que Ceph sous Proxmox répondait également à ce besoin. Je CEPH c'est le top mais pour les riches (smile), il parait qu'il faut 4 bécanes pour être vraiment tranquille (j'ai gardé une thread au chaud sur ça par "les gens qui savent" : 3 ne seraient pas assez... Nous, on est pauvre et c'est du DRBD... Et vu notre use-case, c'est très bien en plus. Mais CEPH est à un autre niveau :) -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Truc bête mais pratique (GougleGroop Pumping)
Trouvé un script bash redoutablissime pour scraper un google group vers (par exemple) thunderbird : https://git.scuttlebot.io/%25nkOkiGF0Dd321GmNqs6aW%2BWHaH9Uunq4m8dVfJuU%2Bps%3D.sha256 - Scraper ggscrape download Testé et approuvé sur un groupe démarré fin 2007, contenant 11500 messages pour 100Mo. Relancé, le script détecte et conserve les messages déjà téléchargés. - Importer Installer l'extension TB (si > 68, sinon prendre importexporttools) https://addons.thunderbird.net/en-US/thunderbird/addon/importexporttools-ng Créer un dossier local dans TB et se positionner dessus. Outils > Importer mbox/eml > Importe tous les fichiers .eml à partir de Tombe en marche tout bien rangé par thread en mode automagique. - Option en scraping Comptage auto de l'import dans une autre console : while true; do find ./ -type f | wc -l; sleep 5; done (Permet de vérifier d'un coup d'œil si la relance a chopé un nombre important de nouveaux message) -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Truc bête mais pratique...
Le 03/10/2020 à 16:17, Wallace a écrit : > Tout full python et 3.X en plus ouah que de changement en quelques > années !!! Oui pour python 3 Non patoufoule python pour l'instant. Ils veulent (mais c'est pas encore fait) porter la partie dev en fonctionnel haskell vers procédural python, qu'ils considèrent comme plus aimable et qui permettrait aussi de s'affranchir de beaucoup de déps haskell. Dans Ganeti 3, ils ont réglé aussi des obsolescences de déps Haskell. Et comme ça suit bien coté packaging Debian, il est clair qu'ils visent Debian 11, avec gestion du passage 10 à 11. > Par contre quand tu dis ils visent les dev, ils ont quoi derrière la > tête c'est quand même pas très dev friendly. Y'a du volume de code, c'est clair... L'idée d'un projet avec un seul langage ne me semble pas totalement déconnant. Haskell a été introduit en 2009/2010 pour (en simplifiant) mettre de l'intelligence¹ dans le déplacement d'instances dans Ganeti. Haskell implémente donc logiquement ganeti-htools (et rien d'autre). Toute l'histoire de l'introduction d'Haskell dans Ganeti est là... C'est très intéressant à lire. https://k1024.org/papers/icfp10-haskell-reagent.pdf À la fin, il y a un paragraphe assez... surprenant de franchise : "Lastly, we believe that the most significant problem is the highbarrier to entry. Even after the completion of this project, the author feels that this knowledge of Haskell is very much incomplete, and that heis far from being familiar with advanced topics". .../... "The second remark on this topic refers to the difficulty of co-opting other people to contribute; except for a few trivial patches,in our project the Haskell component *remains a one person effort*, compared to the Python code which has had around three to fiveactive contributors (depending on project phase). ¹ Le mot 'intelligence' fait peur. Disons une aide à la décision :) -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Truc bête mais pratique...
>> Je réagit sur Ganeti, ça existe encore? On avait utilisé cela y a 10 ans >> pour créer une virtualisation multi providers c'était génial. Plus précisément, la première annonce de juin pour la 3.0.0beta1 : --- Almost 13 years ago, on August 30th in 2007, Google released the first version of Ganeti. After internal development has been slowed down and ultimately discontinued in the past years, the public community of Ganeti users and enthusiasts has taken over further development of this project. Today, we are happy to release Ganeti 3.0.0beta1! Being the first major release without direct help/involvement from Google, this is a huge step forward for this project. Please download and test the new release from the Github Release page - and report any feedback you have back to the mailing lists or through Github Issues. Out of all the people who helped getting this release onto the road we would like to specifically acknowledge the work done by Apollon Oikonomopoulos and Iustin Pop. While Apollon provided most of the work, especially for the Python 3 migration, Iustin used his expertise as a long-time project member/contributor and reviewed many pull requests. Thank you both! With the help and acknowledgment of Google this project and all assets are currently being transferred to SPI Inc. (Software in the Public Interest), a non profit organisation which helps open source projects by providing a legal entity, donation handling and other services to them. We are happy to announce that the SPI board has voted to welcome Ganeti as its 40th project. Other well-known projects supported by SPI include Debian, systemd or PostgreSQL. A comprehensive list can be found here: http://spi-inc.org/projects/ How does the project operate? The project is currently maintained by the Ganeti organisation team. In regular (virtual) meetings we discuss current topics, new releases, map out milestones etc. Out of this group of people, Sascha Lucas and Rudolph Bott are the project liaisons to SPI. Other than that, there are no fixed roles. We all participate in discussions, pull request reviews, conference planning etc. If you would like to join us, please contact us through the mailing list or directly. Does anything change? There will be only one major visible change: we have dropped the requirement of a CLA (Contributer License Agreement). After internal discussions we have come to the conclusion that it is not needed any more and also makes contributing to Ganeti harder than it could be. We would like to welcome new (and returning) contributors to this project! We are also currently preparing a relaunch of the ganeti.org website, but this may take some time to finish. How can I help? We are always looking for help on various topics: * pull requests for new features, bug fixes, documentation * reviewers (some degree of familiarity with the codebase would help here) * everything around GanetiCon * testing, testing, testing (and opening issues of course!) You can also help us by sharing the way you use Ganeti in your environment - this will make it easier for us to decide which features should be prioritized, locate unused features which can be deprecated/dropped in the future etc. We, the Ganeti organisation team, would like to thank everyone who has participated in Ganeti over the years and has invested his time to make the Ganeti project what it is today: a rock-solid virtualisation environment! Cheers, Rudi - on behalf of Ansgar, Apollon, Guido, Iustin, Sascha -- Rudolph Bott - bo...@sipgate.de Telefon: +49 (0)211-63 55 56-41 Telefax: +49 (0)211-63 55 55-22 sipgate GmbH - Gladbacher Str. 74 - 40219 Düsseldorf HRB Düsseldorf 39841 - Geschäftsführer: Thilo Salmon, Tim Mois Steuernummer: 106/5724/7147, Umsatzsteuer-ID: DE219349391 www.sipgate.de - www.sipgate.co.uk --- -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Truc bête mais pratique...
Le 02/10/2020 à 21:03, Adrien Rivas a écrit : Tu aurais la même astuce pour le FRnOG Stéphane ? Les archives semblent désactivées sur cette ml, au moins hors connexion : http://sympa.frnog.org/wss/info/frnog Sinon frnog propose ça, à défaut des archives : http://www.mail-archive.com/frnog@frnog.org -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Truc bête mais pratique...
Le 02/10/2020 à 18:55, Wallace a écrit : > Sympa l'astuce, pour ma part je garde bêtement tous les mails de la ML > depuis sa création et TB est assez rapide pour chercher. J'étais pas abo à FRsAG en 2010. Je ne me suis abo qu'en 2018... > Je réagit sur Ganeti, ça existe encore? Oui. Ca revivrait même. La 3.0.0 rc1 vient de sortir. Porté Python 3.x. + d'autres goodies. Ils souhaitent également virer Haskell pour tout remettre en python afin de rendre ganeti plus populaire pour le dev. Perso, je vais en rester sagement à la 2.16.1 stable de Debian 10. Je cherchais une sorte 'd'orchestrateur du pauvre' en CLI. J'aime la CLI. J'aime aussi comprendre ce que je fais sans 'simplicité apparente' qui ne fait que cacher de la complexité qui se vengera un jour où l'autre. Il y a quelques mois, des colistiers, un certain Phil ;) mais également un non moins certain Jean-François :) m'ont très gentiment confirmé que c'était une voie pour mon use-case... > On avait utilisé cela y a 10 ans pour créer une virtualisation multi > providers c'était génial. J'ai vu tes posts dans FRsAG :) > On avait arrêté de l'utiliser quand on voyait des merge requests qui ne > bougeaient plus et avions décidé d'automatiser nous même les strates > avec Ansible. Aujourd'hui (notre v2) on a des paires de serveurs debian/xen/raidsoft/lvm/drbd qui juste marchent grave depuis près de 4 ans (routage par l'hyperviseur, pas de VM dédiée à ça). Des scripts bash pour tout. Demain (notre v3) du ganeti stable de Debian 10 sur des triplettes 2 esclaves de prod sur dédiés OVH Infra-2 et 1 maître sans instances de prod en instance Public Cloud OVH. Le tout avec un réseau à 2 Gbps entre les nodes de prod. On voit si ça gaze. Puis on généralise. Tout le reste est identique à notre setup actuel. Nous espérons vite être en terrain de connaissance :) Plus tard (notre v4), on verra... en fonction de l'expérience v3 :) -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Truc bête mais pratique...
Avant de poser une question sur une ml, je dl toutes les archives et creuse dedans. Dans mon cas, je souhaitais rechercher du coté de FRsAG sur Ganeti. Rien de sorcier mais si ça peut servir aux colistiers... --- * Décompression des archives dans le répertoire courant, en ignorant l'arborescence du site et en limitant la charge sur le serveur. wget --execute robots=off --limit-rate=50k --no-parent --no-host-directories --recursive --cut-dirs 2 --level 1 --accept txt.gz https://www.frsag.org/pipermail/frsag ; gzip -d *.txt.gz * Recherche insensible à la casse sur "ganeti" qui liste les fichiers concernés puis concaténation de ces derniers dans un fichier unique grep -l -i ganeti 20*.txt | { xargs cat ; } > sélection.txt --- Y'a plus qu'à ouvrir 'sélection.txt' et tapoter 'ganeti' dans un ctrl-F insensible à la casse pour fouiller. FRsAG, 10 ans d'archives et 25 Mo d'infos plain text. J'en profite pour remercier les tauliers :) -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Rachat de SaltStack par VMware
Le 29/09/2020 à 16:00, Rémy Dernat a écrit : > Bonjour, > > Oui, triste nouvelle pour moi également. Certes, ils font des choses Ca doit être dans l'air du temps. Chef s'est aussi fait racheté ce mois-ci. -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Des retours d'expérience sur les Logiciels libres OpenMairie ?
Petites réflexions suite à une proximité d'une petite dizaine d'années avec les communes et ComCom de mon coin et les prestas infos, y compris les logiciels. C'est très local comme point de vue... Pas généraliser. Open mairie, c'est très inégal et parfois (souvent ?) vieillot pour les users ou déclassé. Y'a des trucs bien aussi. Ca devrait être sérieusement re-financé car c'est d'utilité publique. Pas regardé ces dernières années, j'ai changé de taff. Mais à l'époque, j'avais rien réussi à placer - ce qui ne prouve rien :) On avait mis en place http://gertrude-logiciel.org (gestion de crèche), pour une crèche municipale. La CAF ne subventionnait que des soluces privatrices à plusieurs milliers d'euros. Bravo la CAF. J'avais donc limité mes coûts de presta pour passer sans subvention mais avec l'appui de la directrice. Ensuite, ça a été tout un bazar pour les modes de calcul. La CAF trouvait toujours à redire. Alors que Gertrude était déjà utilisée par une centaine de crèches de tout types. C'était de la mauvaise volonté. Puis la directrice est partie et la mairie a plongé direct (sur préco CAF) dans la soluce proprio subventionnée pour une blinde. Il faut dire que l'argent gratuit (des autres) ne coûte rien. D'autres expériences similaires avec des mairies de tous bords (l'étiquette ne préjuge pas de l'écoute ou de la pertinence des actions). C'est de la perte de temps au final. Souvent la logique est purement politicienne : casser ce qu'a fait la précédente mandature. Je m'étais arrêté aux rares mairies qui avaient pour doctrine de faire travailler les locaux. Là, de bonnes relations s'étaient établies dans la durée. Alternance municipale ou pas, les dossiers d'intérêt général étaient continués et la doctrine persistait ! Pour plein de prestations. Services techniques, Pompiers, Écoles, Crèches, Ports, Capitaineries, etc. Merci à elles et surtout aux élus de tous bords qui, dans ces communes là, allaient toujours dans le bon sens... Mais (y'a toujours un mais) jamais sur les logiciels en mairie ni même du câblage en mairie, toujours chasse gardée du syndicat informatique. Pourtant j'ai essayé. Un autre problème de fond est que les élus passent et que les fonctionnaires territoriaux restent. Il faut donc nécessairement travailler le dialogue sur les deux publics. Et voir, selon la mairie, par quel bout prendre le truc. Parfois (très rare) c'est les élus qui sont porteurs, souvent ce sont les fonctionnaires (et les élus suivent). Donc trouver des moteurs en interne. Pas facile avec ces fameux syndicats informatiques en embuscade, les communauté de communes bouffies où c'est plus le secrétaire général (fonctionnaire non élu) que les élus qui tire les petites ficelles qui ne se voient pas mais qui ont de grandes conséquences. Je rentrais souvent par les services techniques. Ils ont une vraie compétence et de vrais problèmes à résoudre alors on arrivait à quelque chose. Puis on montait pour aller vers d'autres services de la mairie (ehpad municipal, camping municipal, etc.). Mais bosser avec les collectivités locales, on avait laissé tomber, sauf les exceptions mentionnées. Soit parfois magouilles sur les AO soit toujours frictions avec les "syndicats informatiques" qui ne se limitaient pas aux logiciels étatiques et faisaient le reste n'importe comment mais toujours à prix d'or. Il faut dire que l'argent gratuit (des autres) ne coûte rien (bis). Ça c'est un vrai questionnement. Quand le public concurrence (mal) le privé. Il n'y a pas de "syndicat des toitures" que je sache... Donc si tu pars là dedans, tente de repérer des éléments réellement moteurs parmi les élus. Coup de bol, ils sont en début de mandat. Mais après, rien ne se fera aussi sans les fonctionnaires territoriaux. Heureusement, il y en a des bons. Faut juste aussi les détecter et créer des liens de confiance. Ils restent, eux. Et peuvent servir de jointure avec les élus suivants. Mon approche Logiciel Libre insistait sur : - La pérennité des données administratives (format OpenDocument ISO vs format Mi¢ro$oft par exemple) - L'augmentation de la qualité (moins d'anomalies, code source dispo, interopérabilité, etc.) - La réduction des coûts (pas de licence ni de gestion de licence, interopérabilité naturelle des logiciels libres, meilleure résistance aux malwares, etc.) - La maturité du libre (avec des exemples en france, gendarmerie et ailleurs, etc.) Après il faut développer. En moins de 20 mn, pour ne pas que l'attention retombe, on peut faire un speech sympa sans trop de slides :) Bon courage ! -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Proxmox avec gros uptime = problèmes ?
Merci Vincent aussi :) -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Proxmox avec gros uptime = problèmes ?
Merci Wallace pour le retex douloureux Merci Richard, ta réponse générale, qui est limpide ! Dans mon use-case j'en reste donc à DRBD. -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Proxmox avec gros uptime = problèmes ?
> Ceph c'est bien à partir de 4 noeuds pour être tranquille. Je ne connais pas ceph et pose certainement une question idiote... Quel serait l'avantage d'avoir a minima 4 nœuds (par rapport à, par exemple, 2 nœuds de prod + un nœud d'arbitrage - ça je comprends l'idée) ? > DRBD c'est bien aussi, c'est surtout très adapté pour 2 noeuds mais > malheureusement plus supporté par Proxmox. Actuellement ici, c'est DRBD, ce dernier étant réseau privé. Les cochons d'un coté, les poules de l'autre, avec chacun sa mangeoire. En cas de resynchro, ça aide 'légèrement'. -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Proxmox avec gros uptime = problèmes ?
> Ben oui la ram en 2020 c'est encore utilisé, pas pour le dépassement de .../...> hyperviseurs diskless c'est finit depuis 10 ans quand on veut de la perf. Manifestement on n'utilise pas la même techno et on n'a pas le même use-case. Sur un hyperviseur Xen, la mémoire est utilisée pour l'hyperviseur, pas pour les VM. Le seul endroit où la swap est accessible est l'hyperviseur. Les VM n'ont pas, par définition de swap. La swap est un arrangement qui fut utile et qui est désormais obsolète, tout du moins dans mon use-case. Je dimensionne mes VM en fonction de ce que je fais dessus, additionne la ram et obtient la capa souhaitée du serveur. Dans ton use-case, il est probable que ta techno permette aux VM de /mutualiser/ de la mémoire surnuméraire de l'hyperviseur (et donc mobiliser la swap), ce que Xen permet mais qui n'est absolument pas (pour Xen tout du moins) une pratique efficiente. Devoir swapper sur 128 Gb en flash et en raid 0 me semble démontrer que nos use-case sont trop divergents. Si c'est pas confidentiel, un exemple de use-case et nommer ton hyperviseur me permettrait de comprendre, et donc d'apprendre encore des choses. De notre coté, nos bécanes roxent et sont stables. On a passé du temps à tout optimiser et valider. Je suis un dinosaure et compte les GB, Mbps, ns et Iops :) Mais ma solution est celle de mon use-case. Elle ne prétend pas à être universelle. -- Be Seeing You Number Six ___ Liste de diffusion du FRsAG http://www.frsag.org/