Re: Mais il passé ou Okular ?

[Jean Baptiste Favre]

Hello,

D'abord, aptitude te trouve le paquet okular, mais il est préfixé par 
"c", ce qui signifie qu'il a été désinstallé mais que les fichiers de 
configuration sont toujours là.


Ensuite, apt policy okular t'indique que la seule référence connue du 
paquet concerne la version 4:20.12.3-2-1 qui provient de 
/var/lib/dpkg/status. C'est la référence *locale* qui correspond à ce 
que aptitude a trouvé au dessus.


Enfin, apt-get install okular ne parvient à trouver aucune version car, 
comme l'a indiqué l0f4r0, tu n'utilise que les dépôts testing-updates et 
testing-security.

Il te manque donc le dépôt principal testing.

Une visite sur https://tracker.debian.org/pkg/okular te confirmera 
d'ailleurs que Okular est bien disponible dans testing (mais aucune mise 
à jour de sécurité n'a été proposé dans cette version pour testing).


Bonne soirée,
JB

On 6/16/22 23:17, Frederic Zulian wrote:



Je n'ai pas de fichiers dans /etc/apt/preferences.d

Mon sources.list est basique :

/etc/apt/sources.list

deb http://deb.debian.org/debian/  
testing-updates main contrib non-free

# debian security
deb http://deb.debian.org/debian-security/ 
 testing-security main contrib 
non-free



fred:~$  apt policy okular
okular:
   Installé : (aucun)
   Candidat : (aucun)
  Table de version :
      4:20.12.3-2 -1
         100 /var/lib/dpkg/status


Frédéric ZULIAN


Le jeu. 16 juin 2022 à 22:54, mailto:l0f...@tuta.io>> a 
écrit :


Bonjour,

Quel est le contenu de votre fichier /etc/apt/sources.list ?

Avez-vous des fichiers dans /etc/apt/preferences.d ? Si oui, quel
est leur contenu également ?

Et enfin que donne la commande suivante ?
apt policy okular

l0f4r0

Re: Passage en qwerty !?!?

[Jean Baptiste Favre]

Bonjour,
Sous Gnome également, mais je n'ai qu'un seul clavier configuré
(Français (variante)) et le problème est bien là.

En contournement, un 'setxkbmap fr' règle le souci.
Mais il faut l'appliquer à chaque reboot :(

Pas vu passer les mises à jour non plus.

++
JB


On 11/02/2019 11:24, David BERCOT wrote:
> Pour info, tu es dans quelle version pour ces produits ?
> Je ne les ai pas vu passer :-(
> 
> Merci.
> 
> David.
> 
> Le 11/02/2019 à 11:08, F. Dubois a écrit :
>> Bonjour, problème réglé ce matin (sid) avec une maj de libc, locales...
>> je crois. Donc le pb a été relevé et corrigé. Très réactif les
>> développeurs.
>>
>> Fabien
>>
>>
> 

Re: pbuilder et backports

[Jean Baptiste Favre]

Hello,

Pour la dépendance, tu dois pouvoir t'en sortir en indiquant à pbuilder
d'ajouter un repo debian aux repos par défaut.
Ça se fait avec l'option OTHERMIRROR dans /etc/pbuilderrc

Pour le build taggué backport, la solution la plus simple que je
connaisse et de produire un paquet source lui même taggué en backport.
Si tu utilises gbp, la commande gbp dch -R --bpo devrait faire le job.

++
JB


On 23/01/2017 14:07, Damien TOURDE wrote:
> Bonjour,
> 
> J'aimerais me créer un paquet .deb d'un soft dont l'une des BuildDeps ne
> se trouve que sur jessie-backports (et sid et testing).
> 
> Donc j'aurais bien aimé savoir si quelqu'un savait comment "simplement"
> utiliser pbuilder en lui spécifiant cette dépendance mais en faisant un
> build taggué "jessie-backports" et non "sid" comme par défaut.
> 
> 
> Je ne sais pas si ma demande est très claire, mais pbuilder ne l'est pas
> encore vraiment pour moi non-plus :-)
> 

Re: Debian et autonomie...

[Jean Baptiste Favre]

On 23/03/2015 14:16, David BERCOT wrote:
 Bonjour,
 
 J'ai récemment changé d'ordinateur portable et, sur la fiche de
 celui-ci, l'autonomie annoncée était d'environ 6h30.
 Sitôt reçu, j'ai supprimé le système installé pour y mettre Debian.
 
 Or, mes premiers essais montrent une autonomie tournant plutôt aux
 alentours de 2h... Certes, avec VLC pour regarder des vidéos, mais avec
 le wifi désactivé.
 
 Maintenant, il me manque peut-être certains choix qui pourraient
 augmenter mon autonomie. Auriez-vous des idées ?
 Ou alors, de process particuliers que je devrais supprimer quand mon
 portable n'est pas branché sur secteur...
 
 Tant que j'y suis, j'ai un comportement bizarre avec VLC (mais c'est la
 même chose avec Totem) : mes vidéos (HD ou pas) sont saccadées...
 Or, je suis passé d'une ancienne génération de Core i7 à un tout
 nouveau Core i5 Broadcom... C'est ma carte Intel qui fait le travail
 car j'ai des soucis avec l'AMD...
 
 Bref, merci d'avance pour les pistes à explorer...

Hello,

AMHA, le problème d'autonomie est plus dû à Linux plutôt que Debian.

Pour ma part, j'utilise powertop, mais également une série de scripts
dispo sur github: https://github.com/march-linux/powerdown

Sur un MacBook Pro sous Debian, ces scripts m'ont permis de passer de 2h
1/2 à 6h d'autonomie (Utilisation de type bureautique/Internet, Wifi
activé).
J'ai désactivé certaines parties du script, mais globalement il fait le
tour de pas mal d'optim en matière de consomation.

Mes 2 cents,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/55113877.5040...@jbfavre.org

Re: [HS] Chiffrer, oui mais...

[Jean Baptiste FAVRE]

On 16/11/2014 22:52, Gaëtan PERRIER wrote:
 Le Sun, 16 Nov 2014 22:11:48 +0100
 Gaël gag...@gmail.com a écrit:
 
 Yope,


 Si on chiffre avec la clé privée, tout le monde peut déchiffrer...

 Oui et c'est bien ce qu'il veut, non ?

 euh, nan, il veut que seul-e-s les destinataires spécifié-e-s puissent
 lire. Or, là, *tout le monde* pourra lire :)
 
 Si seuls les destinataires ont cette clé publique, ça marche. Je me disais
 que rien n'oblige à diffuser à la planète entière une clé publique, mais je me
 trompe peut-être ?

Si la clef publique ne doit pas être (trop) diffusée, c'est donc une
clef secrète/privée.
On ne chiffre *jamais* avec une clef privée, c'est inutile.

JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/546925b5.6070...@jbfavre.org

Re: Bridging avec plusieurs IPs

[Jean Baptiste FAVRE]

On 11/05/2014 06:02, Gaël wrote:
 Je n'ai jamais appliqué ça, mais je l'ai vu chez un hébergeur du
 côté de Rennes.
 
 :) Ça doit être le même, alors :)

Oui, je pense :)


 Du coup le host est obligé de causer à la gateway, y compris
 pour joindre son voisin de rack. Ça peut présenter un intérêt en
 terme de sécurité car tout le trafic transite alors par le
 routeur passerelle.
 
 Bah sauf que c'est la config sur mon serveur, je la change si je
 veux! Bon après j'imagine que ça marchera plus... Je vais demander
 des infos aux techniciens du DC.

Ce qu'ils m'avaient expliqué à l'époque (3-4 ans), c'est que les
serveurs sont connectés directement sur le routeur.
Donc, si tu changes ta passerelle, le routeur le voit et bloque le trafic.
Donc oui, tu peux changer ta passerelle, mais du coup ton host
n'accède plus à Internet, ni au réseau local d'ailleurs.


 Sauf qu'il a une adresse IP publique et qu'il y a certainement 
 d'autres adresses IP publiques contiguës au dessus et
 au-dessous de sa/ses propres adresses, d'où le masque.
 
 Mouais. L'OP a dit qu'il avait 5 adresses IP publiques. Si elles
 sont contigües ça me fait bougrement penser à un /29, bloc de 8
 adresses dont 3 sont réservées comme adresses de réseau (la
 première), passerelle et broadcast (la dernière), ce qui en
 laisse 5 utilisables. Si c'est bien le cas, alors il n'y a pas
 lieu de se livrer à toutes ces contorsions.
 
 Bah elles sont pas contigües. Et pour l'instant, j'ai pas réussi à
 avoir mon serveur joignable avec plusieurs adresses. J'ai juste
 ajouté une ligne address A.B.E.F mais le réseau ne démarre
 plus... obligé de reboot sur systeme de secours...

Sauf qu'en point à point, tu n'as pas besoin de l'adresse de réseau et
de celle de broadcast si ?
Et comme le masque est en /32, la passerelle est par définition en
dehors du réseau d'où la route statique.
Ce qui signifie qu'un /29 te donnes 8 adresses utiles et non 5.

Mais au final, avoir des adresses en /32 t'oblige surtout à déclarer
des routes statiques dans tous les sens. C'est chiant.

 L'OP a aussi écrit qu'il voulait que les machines virtuelles
 soient pontées avec le réseau extérieur, et ça, si le lien
 hôte-routeur est réellement de type point à point ou si les 5
 adresses ne sont pas dans un /29, ça risque fort de ne pas
 marcher.
 
 Ah bah là je sais rien du tout, je comprends pas tout bien !
 
 
 Merci pour vos réponses éclairées, je vous tiens au jus de mes
 avancées !
 
 Gaël
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/536f4a7b.4080...@jbfavre.org

Re: Bridging avec plusieurs IPs

[Jean Baptiste FAVRE]

On 09/05/2014 15:30, Joël BERTRAND wrote:
 Le 09/05/2014 15:24, Francois Lafont a écrit :
 Bonjour,

 Tant mieux si tu as pu résoudre ton problème.
 Du coup, je me permets de réagir et de digresser
 quelque peu sur ce point là :

 Le 09/05/2014 14:38, Gaël a écrit :

 Bah, sur ma config d'origine, fournie par l'hébergeur lors de
 l'install de l'OS, c'est bien ça.
 #auto eth0
 #iface eth0 inet static
 #   address A.B.C.D
 #   netmask 255.255.255.255
 #   network A.B.C.D
 #   broadcast A.B.C.D
 #   dns-nameservers A.B.C.1
 #   dns-search digicube.fr
 #   #Route statique vers la passerelle
 #   up route add -host A.B.C.1 dev eth0
 #   up route add default gw A.B.C.1

 C'est une drôle de config, je n'avais jamais vu encore.
 Je pensais que la passerelle par défaut se trouvait
 toujours dans le même réseau IP que celui de l'interface
 eth0 (je suppose qu'il n'y a qu'une interface en dehors de lo).
 Apparemment, ce n'est pas forcément le cas.

 Si je pige bien, pour envoyer un paquet à quelqu'un
 autre que lui-même, il utilise sa gw mais comme celle-ci
 n'est pas dans le même réseau IP que eth0, il faut définir
 en plus une route statique vers cette gw. C'est ça ?

 C'est quoi l'intérêt d'une conf comme ça ?
 Ça me semble vraiment tordu mais je me trompe peut-être.

 Ce netmask à 255.255.255.255 où, du coup, l'adresse du
 réseau est l'IP de eth0 et où l'adresse de broadcast est
 aussi l'IP de eth0 me laisse vraiment perplexe...


 
 J'avoue que moi aussi, ça me laisse perplexe. D'autant que je ne
 vois pas comment la passerelle A.B.C.D peut être atteinte depuis le
 'réseau' A.B.C.D/32 (avec D différent de 1, sinon ce n'est pas du jeu).
 

C'est juste un lien point à point.
Du coup le host est obligé de causer à la gateway, y compris pour
joindre son voisin de rack.
Ça peut présenter un intérêt en terme de sécurité car tout le trafic
transite alors par le routeur passerelle. Reste que le routeur doit être
sévèrement dimensionné pour tenir la charge je suppose.

Je n'ai jamais appliqué ça, mais je l'ai vu chez un hébergeur du côté de
Rennes.

Bon week-end,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/536d196c.8030...@jbfavre.org

Re: Bridging avec plusieurs IPs

[Jean Baptiste FAVRE]

Hello,
Le masque de sous-réseau en /32, c'est normal ?
C'est pas pour ça que ça ne fonctionne pas comme espéré ?

JB

On 04/05/2014 19:53, Gaël wrote:
 Hello !
 
 
 Bon, ça fait plusieurs jours que je farfouille, je ne parviens pas
 à faire ce que je veux.
 
 
 J'ai un dédié, avec debian fraichement installé, bien à jour,
 toussa. Je vais utiliser KVM pour avoir des machines virtuelles.
 Pour l'instant, aucune n'est installée.
 
 Je veux donc commencer par configurer le réseau.
 
 J'ai 5 adresses IPs, j'en veux une pour le host, et les 4 autres
 iront pour 4 des VMs, plus tard.
 
 
 Je veux faire du bridge, afin d'avoir, en gros, 5 machines
 accessibles depuis l'extérieur.
 
 Voilà ma config de base, avant d'essayer le bridging (je ne mets
 pas lo) :
 
 auto eth0 iface eth0 inet static address A.B.C.D netmask
 255.255.255.255 network A.B.C.D broadcast A.B.C.D dns-nameservers
 A.B.C.1 dns-search monHebergeur.fr #Route statique vers la
 passerelle up route add -host A.B.C.1 dev eth0 up route add default
 gw A.B.C.1 
 
 Voilà ce que j'ai testé :
 
 
 auto eth0 iface eth0 inet manual
 
 auto br0 iface br0 inet static [meme config que l'origine pour
 eth0] bridge_ports eth0 bridge_stp off bridge_fd 0 bridge_maxwait
 0 
 
 Mais voilà, je reboote, j'attends longtemps, et rien, pas de ping,
 pas de ssh, of course. Je redémarre donc sur le système de secours,
 essaie d'autres trucs, mais rien à faire, seule la config
 d'orginie fonctionne...
 
 
 Vous allez me dire, mais tu n'as pas de VM de lancée, ça sert à
 rien, ça peut pas marcher, mais en fait, je vais pas *toujours*
 avoir de VM de lancée, et je voudrais quand même pouvoir accéder au
 host...
 
 
 of course, bridge-utils est installé.
 
 mais ifconfig -a ne sort pas de br0 alors j'avoue je suis perdu
 perdu !
 
 
 J'ai lu au moins 20 tutoriels, certains plus bordéliques
 tutrouvespas, d'autres vraiment clairs, mais rien à faire.
 
 
 Si vous avez des idées, je prends !!
 
 
 Merci ! Gaël
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/5366929c.6060...@jbfavre.org

Re: Questions sur le rebuild d'un paquet depuis ses sources debian (après modif)

[Jean Baptiste Favre]

Hello,

On 08/11/2013 01:13, Francois Lafont wrote:
 Bonjour à tous,
 
 En général, pour rebuilder un paquet Debian, je fais ça :
 
 
 apt-get update
 apt-get devscripts dpkg-dev
 apt-get source toto
 apt-get build-dep toto
 cd le-rep-source-de-toto
 
 # Là, je modifie éventuellement le paquet.
 # Ensuite, j'édite le changlog avec dch pour
 # incrémenter la version du paquet etc.
 
 # Et enfin:
 dpkg-buildpackage -us -uc -b
 
 
 1. A priori, sur mes divers tentatives, ça marche plutôt
 bien. J'ai bon jusque là ?
 
 2. J'obtiens alors un paquet toto-xxx.deb (bon en fait
 souvent on se retrouve avec plusieurs paquet mais moi,
 c'est le paquet toto qui m'intéresse) qui possède un
 numéro de version plus récent que le paquet toto qui
 se trouve sur les dépôt officiels. Mais le paquet
 que j'obtiens possède le même nom toto, c'est seulement,
 le numéro de version qui change.
 
 Y a-t-il un moyen pour que le paquet que je builde
 ne s'appelle pas toto au final, mais s'appelle par
 exemple toto-foo (où foo est un nom qui évoque ma
 modif) ? Évidemment, on peut supposer alors que les
 paquets toto et toto-foo sont incompatibles.

Oui, c'est possible, mais je ne le recommanderais pas :)
Il faut alors modifier le fichier debian/control, changer le nom du
paquet binaire: Package: toto devient alors Package: toto-foo.
Il faut aussi renommer les fichiers debian/toto.* où * vaut instal,
init, default, dirs, ...
Il faut aussi mettre à jour les conflits éventuels dans debian/control
Conflict: toto ainsi que les remplacement Replace: toto.

Mais: du point de vue du gestionnaire de paquets, c'est alors un paquet
différent, pas une version particulière d'un paquet existant.
Pour cette raison, qui risque fort de compliquer les opérations de mises
à jour du système, je déconseille cette méthode.

Il vaut mieux, selon moi, intégrer foo dans le numéro de version plutôt
que le nom du paquet binaire.

Enfin, dpkg-buildpackage fonctionne, mais tu devrais toujours construire
tes paquets dans un environnement propre, avec pbuilder par exemple,
pour vérifier les dépendances de build, surtout si tu envisages de le
rendre disponible.

 3. Imaginons maintenant que le paquet toto, ce ne soit
 pas n'importe quel paquet mais que ce soit carrément
 linux-image-3.2.0-4-amd64. La méthode de rebuild
 donnée en exemple ci-dessus-elle toujours valable ?
 Ou bien pour un rebuild du noyau, c'est un cas
 spécifique ?

Pour le noyau, cette méthode fonctionne (a priori, à confirmer), mais tu
peux également utiliser make deb-pkg comme indiqué par nb.

 4. Même question pour le renommage. Lors du rebuild
 de linux-image-3.2.0-4-amd64 : y a-t-il un moyen de
 changer le nom du paquet pour qu'il s'appelle par
 exemple linux-image-3.2.0-4-foo-amd64 et qu'il soit,
 contrairement à précédemment, installable *en* *plus*
 du paquet linux-image-3.2.0-4-amd64 déjà installé
 sur l'OS ? L'idée étant d'avoir dans Grub la possibilité
 de lancer linux-image-3.2.0-4-amd64 ou bien
 linux-image-3.2.0-4-foo-amd64.

Même remarque que pour le point 1, mauvaise idée selon moi.


Cordialement,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/527ca6cf.4060...@jbfavre.org

Re: [Un peu HS] Retour sur l'utilisation des SSD sous debian

[Jean Baptiste Favre]

Hello,

On 03/11/2013 19:07, Sylvain L. Sauvage wrote:
 Le dimanche 3 novembre 2013 16:11:07 François Boisson a écrit :
 […]
 Comment fais-tu avec les données smart pour connaitre le
 volume de données écrites ?
 […]
 Même questions
 
   Pareil.
 
   On a des valeurs brutes (Media_Wearout_Indicator, 
 Total_LBAs_Written…) mais souvent aucune idée de la 
 signification exacte ou de la valeur de fin de vie…
 
 , à noter que
 * J'ai rajouté l'option data=writeback dans les options de
 montage (je ne me souviens plus la raison).
 * J'ai mis pas mal de répertoires en tmpfs notamment le cache
 de iceweasel, le répertoire .thumbnails et bien sûr /tmp.
 
   À noter : il y a certains doutes sur l’innocuité de l’option 
 `discard`, certains lui préfèrent l’utilisation régulière de la 
 commande `fstrim` (plus de lien sous le coude…).

http://blog.neutrino.es/2013/howto-properly-activate-trim-for-your-ssd-on-linux-fstrim-lvm-and-dmcrypt/

En gros, et pour résumer, le discard laisse le kernel gérer le truc en
temps réel, mais cela peut générer pas mal d'IO. Donc l'idée est de
lancer fstrim de manière un peu plus maîtrisée.

JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/5277c593.3020...@jbfavre.org

Re: Wheezy Freeze sur Dedibox SC

[Jean Baptiste Favre]

On 16/09/2013 01:10, Jean Baptiste FAVRE wrote:
 Hello,
 J'ai un gros soucis avec Wheezy  les Dedibox SC depuis quelques semaines.
 
 Tout fonctionnait parfaitement en Squeeze.
 Il y a 3 semaines, je réalise l'upgrade d'une Dedibox vers Wheezy. À
 partir de ce moment là, le serveur devient instable. Il freeze à
 intervalles irréguliers. Pas moyen de reprendre la main dessus: plus
 d'accès réeau, plus de ping, plus aucun services (mail) accessible.
 Seule possibilité: reboot via la console Online.
 
 J'ai demandé et obtenu un KVM. Lorsque le serveur est inaccessible,
 pas moyen de réveiller la console.
 
 Bien entendu, rien dans les logs.
 
 J'ai installé le noyau de Jessie (3.10) en lieu et place du 3.2 de
 Wheezy. Pas mieux
 
 De guerre lasse, j'ai commandé un nouveau serveur en me disant que mon
 install Squeeze était foireuse et que l'upgrade en Wheezy avait
 introduit un comportement bizarre.
 Ce dernier a fonctionné parfaitement pendant 3 semaines. Ce soir je
 réalise la migration du serveur de mail après forces synchro des boites.
 
 Et là, le drame: le nouveau serveur est lui aussi devenu instable.
 Je ne comprends plus rien et ne vois pas comment m'en sortir.
 
 Les Services actifs sur le serveur:
 - Postfix
 - Dspam avec le stockage fichiers
 - Dovecot en configuration utilisateurs virtuels
 - policy-spf
 - opendkim
 - policyd-weight
 - milter-greylist
 - clamav daemon
 
 - prosody
 
 - Nginx
 - Munin (serveur)
 - Smokeping
 
 Je n'ai pas l'impression d'avoir trop chargé le serveur, d'autant que
 tous ces services tournaient aupravant sous Squeeze sans soucis aucun
 
 Je suis preneur de toutes les bonnes idées.
 
 Cordialement,
 JB
 

Hello,

Un problème de compatibilité entre les Dedibox SC  SC Gen2 et Debian
Wheezy a été confirmé par Online:

Le module acpi-cpufreq pose effectivement problème sur les Dedibox SC 
SC Gen2, sous Debian Wheezy en architecture 64 bits.

La solution est de blacklister le module acpi-cpufreq comme indiqué ici:
http://forum.online.net/index.php?/topic/3542-important-probl%C3%A8me-de-stabilit%C3%A9-sur-les-sc/

Je viens de mettre en place la solution sur un des deux serveurs impactés.
Wait  see,

Bonne journée,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/52384867.2050...@jbfavre.org

Re: Wheezy Freeze sur Dedibox SC

[Jean Baptiste Favre]

On 16/09/2013 01:38, Gilles Mocellin wrote:
 Le 16/09/2013 01:10, Jean Baptiste FAVRE a écrit :
 Hello,
 J'ai un gros soucis avec Wheezy  les Dedibox SC depuis quelques
 semaines.

 Tout fonctionnait parfaitement en Squeeze.
 Il y a 3 semaines, je réalise l'upgrade d'une Dedibox vers Wheezy. À
 partir de ce moment là, le serveur devient instable. Il freeze à
 intervalles irréguliers. Pas moyen de reprendre la main dessus: plus
 d'accès réeau, plus de ping, plus aucun services (mail) accessible.
 Seule possibilité: reboot via la console Online.
 [...]
 Je suis preneur de toutes les bonnes idées.

 Cordialement,
 JB

 Désolé, mais j'ai eu le même problème, insoluble.
 On est pas les seuls :
 http://forum.online.net/index.php?/topic/2344-dedibox-via-nano-et-debian/?hl=instable
 
 
 De mon coté, j'étais sous Proxmox, et c'est apparu lors de ma migration
 à la version 3.0, basée sur Wheezy.
 *Mais*, avec un noyau Proxmox qui est basé sur RedHat !
 Je pense donc que le problème n'est pas noyau, mais plutôt libc.
 En tout cas, pour moi ça se déclenche sous forte charge réseau.
 
 Ma solution, prendre un Kimsufi chez le concurrent, avec un proc Atom,
 plus standard. Pas de soucis avec.
 
 J'ai gardé la dedibox, en mettant un seul container dessus pour tests,
 et j'ai à nouveau eu un problème il n'y a pas longtemps...
 

Hello,
Voilà qui n'est pas fait pour me rassurer :-/

Voici quelques liens qui pourraient expliquer le problème.
En résumé, tout serait lié au CPU frequency scaling.
http://www.coreboot.org/Coreboot_Options
http://www.coreboot.org/pipermail/coreboot/2012-July/071078.html
http://permalink.gmane.org/gmane.linux.kernel.cpufreq/8088

J'ai vérifié, cpufreqd et cpufrequtils n'étaient pas installés chez moi,
mais la fréquence CPU était fixée à 800MHz pour un max à 1.6GHz

J'ai donc installé ces 2 paquets. Depuis, le CPU a le choix entre
1.6GHz et... 1.6GHz (parce que fonctionne sur secteur) :)

Je vais voir si ça tient. Pour le moment, les serveurs touchés n'ont
jamais tenu plus de 36h. On va donc voir s'ils en tiennent 72...

Sinon, une autre solution semble être de blacklister le module acpi_cpufreq.
Je testerai cette solution le cas échéant.

Cordialement,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/5236d2d1.3040...@jbfavre.org

Re: Wheezy Freeze sur Dedibox SC

[Jean Baptiste FAVRE]

Le 16/09/2013 20:00, Gilles Mocellin a écrit :
 Le 16/09/2013 11:43, Jean Baptiste Favre a écrit :
 [...]
 
 J'ai vérifié, cpufreqd et cpufrequtils n'étaient pas installés
 chez moi, mais la fréquence CPU était fixée à 800MHz pour un max
 à 1.6GHz
 
 J'ai donc installé ces 2 paquets. Depuis, le CPU a le choix
 entre 1.6GHz et... 1.6GHz (parce que fonctionne sur secteur) :)
 
 Je vais voir si ça tient. Pour le moment, les serveurs touchés
 n'ont jamais tenu plus de 36h. On va donc voir s'ils en tiennent
 72...
 
 Sinon, une autre solution semble être de blacklister le module 
 acpi_cpufreq. Je testerai cette solution le cas échéant.
 
 Cordialement, JB
 
 Bizarre, je n'ai pas de module acpi_cpufreq de chargé, ni rien
 d'autre concernant les fréquences. Je vais essayer aussi avec
 cpufrequtils...

Bon, en fait, ça ne fonctionne pas mieux.
J'ai eu un petit espoir, mais ils ont été déçu en un peu plus de 12h

J'en arrive donc à essayer de blacklister le module acpi-cpufreq qui
semble être à l'origine de mes déboires, cf. les liens ci-dessus.

J'ai donc désinstallé les paquets cpufreqd et cpufrequtils, et ajouté
blacklist acpi-cpufreq dans /etc/modprobe.d/acpi-cpufreq.conf (j'ai
aussi essayé avec acpi_cpufreq).

Idem avec mperf qui utilise acpi-cpufreq (Source [1])

Sauf que, même après un depmod -ae -F /boot/System.map-3.2.0-4-amd64
suivi d'un update-initramfs -u et d'un reboot, le module est quand
même chargé.

J'ai essayé avec le fichier /etc/modprobe.d/blacklist.conf, même topo.

Un examen des logs de démarrage (dmesg) semble indiquer que le module
est chargé par udev.
Bon, là, sur un serveur remote, je ne suis pas chaud du tout pour me
lancer dans l'aventure. Donc, si quelqu'un connaît mieux (pas dur)
udev que moi, je suis preneur de ses conseils.

Je me donne jusqu'à la fin de la semaine pour trouver une solution.
Sinon, je prends un serveur avec un vrai CPU qui fonctionne et je
virtualise.

Cordialement,
JB

[1] https://wiki.debian.org/KernelModuleBlacklisting

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/52376886.9090...@jbfavre.org

Wheezy Freeze sur Dedibox SC

[Jean Baptiste FAVRE]

Hello,
J'ai un gros soucis avec Wheezy  les Dedibox SC depuis quelques semaines.

Tout fonctionnait parfaitement en Squeeze.
Il y a 3 semaines, je réalise l'upgrade d'une Dedibox vers Wheezy. À
partir de ce moment là, le serveur devient instable. Il freeze à
intervalles irréguliers. Pas moyen de reprendre la main dessus: plus
d'accès réeau, plus de ping, plus aucun services (mail) accessible.
Seule possibilité: reboot via la console Online.

J'ai demandé et obtenu un KVM. Lorsque le serveur est inaccessible,
pas moyen de réveiller la console.

Bien entendu, rien dans les logs.

J'ai installé le noyau de Jessie (3.10) en lieu et place du 3.2 de
Wheezy. Pas mieux

De guerre lasse, j'ai commandé un nouveau serveur en me disant que mon
install Squeeze était foireuse et que l'upgrade en Wheezy avait
introduit un comportement bizarre.
Ce dernier a fonctionné parfaitement pendant 3 semaines. Ce soir je
réalise la migration du serveur de mail après forces synchro des boites.

Et là, le drame: le nouveau serveur est lui aussi devenu instable.
Je ne comprends plus rien et ne vois pas comment m'en sortir.

Les Services actifs sur le serveur:
- Postfix
- Dspam avec le stockage fichiers
- Dovecot en configuration utilisateurs virtuels
- policy-spf
- opendkim
- policyd-weight
- milter-greylist
- clamav daemon

- prosody

- Nginx
- Munin (serveur)
- Smokeping

Je n'ai pas l'impression d'avoir trop chargé le serveur, d'autant que
tous ces services tournaient aupravant sous Squeeze sans soucis aucun

Je suis preneur de toutes les bonnes idées.

Cordialement,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/52363e67.2030...@jbfavre.org

Re: firewall à base d'iptables au démarrage (/etc/init.d/)

[Jean Baptiste FAVRE]

Bonjour,

Là encore, je pense que if-pre-up.d serait plus indiqué.

De cette manière, le firewall est appliqué avant l'activation de
l'interface :)

Cordialement,
JB

Le 01/09/2013 10:00, François TOURDE a écrit :
 Le 15949ième jour après Epoch, Gaëtan PERRIER écrivait:
 
 Bonsoir,
 
 C'est possible quand on est sur un réseau statique mais avec une
 réseau en dhcp ça ne me semble pas possible, non ?
 
 Idem qu'en statique, sauf que la ligne de l'interface est du style
 
 auto eth0 iface eth0 inet dhcp pre-up
 /usr/local/sbin/firewall.sh
 
 Et sinon, il y a comme répondu déjà le répertoire if-up.d dans 
 /etc/network/
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/52230212.1030...@jbfavre.org

Re: firewall à base d'iptables au démarrage (/etc/init.d/)

[Jean Baptiste FAVRE]

Bonsoir,
Idéalement le firewall devrait être actif avant le démarrage du
réseau, pour éviter un laps de temps, si court soit-il, pendant lequel
la machine n'est pas protégée.

Personnellement, je préfère utiliser un script shell que j'appelle
dans la configuration réseau (fichier /etc/netork/interface). Par exemple:

auto eth0
iface eth0 inet static
address xxx.yyy.zzz.aaa
netmask 255.255.255.0
network xxx.yyy.zzz.0
broadcast xxx.yyy.zzz.255
gateway xxx.yyy.zzz.1
pre-up /usr/local/sbin/firewall.sh

De cette manière, le firewall est chargé avant que l'interface ne soit
activée et configurée.

Cordialement,
JB

Le 31/08/2013 22:21, Dominique Asselineau a écrit :
 Bonjour,
 
 J'ai adapté un firewall à partir de la doc de Debian security, que 
 j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exécuter
 au bon moment lors du démarrage.
 
 Au début du script il faut donc placer des lignes d'en-tête pour
 que insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un 
 update-rc.d.  Et j'ai un petit doute sur les contraintes à insérer 
 dans cette en-tête.
 
 Dans la mesure où ces règles doivent protéger la machine dans le 
 réseau, le service réseau doit-il être opérationnel ou justement
 ne doit-il pas l'être tant que ces règles ne snt pas en place ?
 
 dom
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/5222545c.7070...@jbfavre.org

Re: Bonnes pratiques d'administration de Debian côté sécurité

[Jean Baptiste Favre]

Bonjour,

On 9/28/12 11:21 AM, David BERCOT wrote:

Bonjour,

Comme je ne suis certainement pas le premier à me pencher sur ce sujet,
je me permets de faire appel à vos lumières (et surtout à votre
expérience ;-))...

Donc, au sein de vos entreprises, vous avez sûrement des serveurs
Debian géographiquement éloignés. Comment vous y connectez-vous ?

SSH


Directement en root ? Via un compte de service (générique et
utilisé par plusieurs personnes) ? Avec un identifiant personnalisé ?

Jamais en root, login nominatif


Dans ces 2 derniers cas, quand vous devez passer root, vous fournissez
un mot de passe. Comment ceux-ci sont-ils gérés ?

Industrialisation avec Puppet


Et quand une personne change de service (ou quitte l'entreprise),
avez-vous des mesures spécifiques quant aux mots de passe connus ? Aux
clés SSH en sa possession ?

Idem, puppet fait le ménage qui s'impose



Merci d'avance pour vos bons conseils...

David.



Cordialement,
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/50657da2.1060...@jbfavre.org

Re: Comment ne générer que les paquets binaires avec pbuilder

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonjour à tous,
Je reviens à la charge avec mes soucis pbuilder/reprepro

Cette fois, c'est reprepro qui me pose problème:
La génération des paquets binaires fonctionne bien, certains paquets
source générent les paquets dépendants d'une architecture (suffixes
i386 ou amd64) et d'autres indépendants (suffixe all).

Lors de l'inclusion dans le dépôt, reprepro va chercher le fichier
.changes correspondant à la compilation i386 et amd64.
Pour chacune de ces architectures, reprepro va essayer d'inclure les
paquets 'all'.

Résultat, ces paquets 'all' provoquent un conflit car ils n'ont pas la
même somme de hashage d'une architecture à l'autre.

Dans le man de reprepro, je suis tombé sur l'option -A:
Note that architecture all packages can be included to each
architecture but are then handled separately.  Thus using -A correctly
allows to have different versions of an architecture all package in
different architectures of the same distribution.

Ceci semble bien devoir répondre à mon problème, mais malheureusement
je ne trouve pas la bonne manière de spécifier cette option pour gérer
plusieurs version des packages 'all' au sein d'une même distribution.

Bref, je suis preneur de toute indication,

Cordialement,
JB


On 19/05/2012 12:34, Jean Baptiste FAVRE wrote:
 On 19/05/2012 01:39, Charles Plessy wrote:
 Le Fri, May 18, 2012 at 07:17:38PM +0200, Jean Baptiste FAVRE a 
 écrit :
 
 Y-a-t'il moyen de dire à pbuilder de ne générer que les paquets
  binaires, si oui comment (je n'ai pas vu l'option dans le man
 et Google n'est pas prolixe sur le sujet).
 
 Bonjour,
 
 Il faut dire à pbuilder de le dire à dpkg-buildpackage avec 
 l'option --debbuildopts.
 
 Ah ben oui, forcément... bon, je retourne à la lecture du man alors
 :-)
 
 Merci, JB
 

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk/KFHgACgkQM2eZoKJfKd2xQQCfVJgazsAmLmUGr9xL2KiHGn/5
YfYAn25j+iEo8xjnqFaBu/YUQmOJmBSB
=7+nU
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4fca148b.5050...@jbfavre.org

Re: Comment ne générer que les paquets binaires avec pbuilder

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On 19/05/2012 01:39, Charles Plessy wrote:
 Le Fri, May 18, 2012 at 07:17:38PM +0200, Jean Baptiste FAVRE a
 écrit :
 
 Y-a-t'il moyen de dire à pbuilder de ne générer que les paquets 
 binaires, si oui comment (je n'ai pas vu l'option dans le man et 
 Google n'est pas prolixe sur le sujet).
 
 Bonjour,
 
 Il faut dire à pbuilder de le dire à dpkg-buildpackage avec
 l'option --debbuildopts.

Ah ben oui, forcément... bon, je retourne à la lecture du man alors :-)

Merci,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk+3dyMACgkQM2eZoKJfKd2yvQCeNtTcdDCVue977voHajS8AnH7
fm0An36rCBwYLqQwKX3TAHatmDR5weJZ
=A35t
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4fb77723.9040...@jbfavre.org

Comment ne générer que les paquets binaires avec pbuilder

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonsoir,
J'essaie de packager des paquets Debian, autant pour apprendre que
parce que j'en ai besoin pour le boulot.

Histoire de faire les choses bien, j'utilise pbuilder pour être sûr
des dépendances.
Comme pbuilder réclame un paquet source, je génère ce dernier sur ma
machine (en Squeeze, amd64). J'obtiens bien les fichier voulus,
notamment le .dsc

Lors de la compilation par pbuilder (2 distrib, 2 architectures, soit
4compilations), j'obtiens bien les paquets binaires, mais également
les paquets sources (donc en quadruple), tous légèrement différents
des premiers.

Du coup, je ne sais pas trop quels paquets sources importer dans mon
dépôts que je gère avec reprepro.

Y-a-t'il moyen de dire à pbuilder de ne générer que les paquets
binaires, si oui comment (je n'ai pas vu l'option dans le man et
Google n'est pas prolixe sur le sujet).
Si non, je choisis quel paquet source pour l'inclusion dans le dépôt ?

Cordialement,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk+2hBgACgkQM2eZoKJfKd1HxQCfUXoffDUu5G2yQLeumUY9txKx
IoEAn2wRZBOZP+a4xhAjOUpSOcAjJvvH
=eeZk
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4fb68432.1010...@jbfavre.org

Re: Logiciel visioconf serveur opensource

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Je n'ai jamais testé, et donc pas testé sous Debian, mais je pense que
cela devrait faire l'affaire:
http://www.bigbluebutton.org/

Cordialement,
JB

Le 05/02/2012 22:35, Jean-Yves F. Barbier a écrit :
 On Sun, 05 Feb 2012 21:36:02 +0100 Grégoire COUTANT
 gregoire.cout...@gmail.com wrote:
 
 Je cherche un logiciel de visioconférence à installer sur un
 serveur debian avec les contraintes suivantes :
 
 * interface user friendly + + * partage de bureau * open source *
 pas cher voire gratuit
 
 Openmeetings ne répond vraiment pas au premier besoin, vous
 auriez des pistes ?
 
 Ta demande est plutôt que confuse; déjà visioconférence regroupe
 plusieurs choses: conférence à 2 ou à N utilisateurs? sachant que
 la plupart du temps, c'est pris pour 2 participants. Ensuite est-ce
 un logiciel client ou server? Et si c'est du serveur, est-ce qu'on
 parle d'intranet ou d'internet?
 
 Si c'est pour de l'internet en xti-utilisateurs, tu oublies tout
 de suite, à moins d'avoir des lignes SDSL de plusieurs Mb/s.
 

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk8u98cACgkQM2eZoKJfKd3zjACgnNV4vW0Y0DPkip8kRjZhGHpt
4fIAn0/WCUPsABvlg6fBQjW/2Ugol1km
=Tlke
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4f2ef7d2.9070...@jbfavre.org

Re: Gnome 3 !

[Jean Baptiste FAVRE]

Bonjour,
J'ai fait la mise à jour hier aussi et... je suis un peu perdu :)
Bon, je ne vais pas jeter le bébé avec l'eau du bain: je vais lui
laisser sa chance et essayer d'apprivoiser la bête.

Néanmoins, j'ai (déjà) quelques soucis: mon laptop a une carte graphique
nVidia (avec les drivers proprio car nouveau ne gère pas ma carte
convenablement).

En dual screen avec l'écran externe en haut, la barre de notif se cache
sur l'écran de mon laptop en dessous. En gros, Gnome3 voit bien 2 écrans
et un seul bureau, mais la barre de notif s'accroche désespèrement au
milieu.
Du coup, c'est compliqué d'accéderau menu des applis qui sont sur
l'écran du dessous car elles sont en partie recouverte par la barre de
notif. Pas encore trouver l'option pour la scotcher tout en bas (voire
l'intégrer dans la barre du haut).

Solution trouvée pour l'instant: déclarer l'écran du laptop en primaire
mais du coup, GNOME3 ne détecte pas correctement l'écran externe et je
ne peux plus maximiser les fenêtres sur l'écran du haut :(

Mes 2 cents,
JB


On 16/10/2011 11:00, David BERCOT wrote:
 Bonjour,
 
 Merci pour vos avis/contributions (que je n'espérais pas aussi
 nombreux ;-)).
 J'ai également testé le mode restreint (fallback), mais ça ne me
 convient pas vraiment...
 
 J'aurais aussi souhaité conserver Compiz (comme mahashakti89), mais je
 n'y arrive pas...
 
 Je vais sûrement faire d'autres tests prochainement (Openbox, etc...),
 mais, en attendant, je vais rester sur Xfce...
 
 Merci encore pour vos retours.
 
 David.
 
 Le Sun, 16 Oct 2011 16:29:13 +0900,
 Charles Plessy ple...@debian.org a écrit :
 Le Sat, Oct 15, 2011 at 08:12:50PM +0200, David BERCOT a écrit :

 Ce matin, lors de la mise à jour de Debian, je suis passé en Gnome
 3.0. Et là, le choc ;-)

 D'abord, ça ne fonctionnait pas correctement (à l'ouverture de
 session, je ne voyais que le bureau), mais, après quelques
 tripatouillages (utilisation du mode Gnome restreint), j'ai quand
 même réussi à obtenir quelque chose.

 Le changement est brutal ! Et j'avoue qu'il ne me convient pas
 trop...

 Bonjour,

 il semble qu'il y ait un mode « de secours » (fallback) pour retourner
 à au style de fonctionnement antérieur.

  http://lists.debian.org/debian-project/2011/04/msg00023.html
  http://www.marcusmoeller.ch/misc/try-gnome3-with-fallback-mode.html

 Amicalement,
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4e9aa354.5000...@jbfavre.org

Re: Gnome 3 !

[Jean Baptiste FAVRE]

Bonsoir,

On 16/10/2011 13:40, Rémi Letot wrote:
 Jean Baptiste FAVRE debian...@jbfavre.org writes:
 
 
 [...]
 
 
 Néanmoins, j'ai (déjà) quelques soucis: mon laptop a une carte graphique
 nVidia (avec les drivers proprio car nouveau ne gère pas ma carte
 convenablement).

 En dual screen avec l'écran externe en haut, la barre de notif se cache
 sur l'écran de mon laptop en dessous. En gros, Gnome3 voit bien 2 écrans
 et un seul bureau, mais la barre de notif s'accroche désespèrement au
 milieu.
 Du coup, c'est compliqué d'accéderau menu des applis qui sont sur
 l'écran du dessous car elles sont en partie recouverte par la barre de
 notif. Pas encore trouver l'option pour la scotcher tout en bas (voire
 l'intégrer dans la barre du haut).
 
 Le multi-écran est une faiblesse connue de gnome-shell 3.0.
 
 gnome-shell 3.2, à venir je suppose dès que la transition actuelle sera
 terminée, améliore drastiquement ce point.
 

 Solution trouvée pour l'instant: déclarer l'écran du laptop en primaire
 mais du coup, GNOME3 ne détecte pas correctement l'écran externe et je
 ne peux plus maximiser les fenêtres sur l'écran du haut :(
 
 J'ai la même config, mais j'ai fait l'inverse: déclarer l'écran externe
 comme écran primaire permet d'accéder facilement au menu. Les
 notifications sont un peu plus difficile à atteindre car entre les deux
 écrans, mais c'est jouable :-)
Bon au final, j'ai tout de même gagné ma journée: je me suis débarrassé
des drivers nVidia proprio.
Au passage, le driver nouveau merde dès que je mets quiet spalsh
nomodeset en paramètre au noyau. Pas eu le temps de creuser, mais ne
rien mettre me permets d'avoir la bonne résolution et, surtout, de
pouvoir basculer entre X et la console.

Ensuite, je peux régler la résolution et l'activation de l'écran externe
avec: xrandr --output VGA-1 --auto --primary --above LVDS-1 --output
LVDS-1 --auto

Seulement, une fois ce résultat obtenu, autre problème: Gnome3 refuse de
démarrer normalement et me colle d'autorité en mode restreint.
Une après-midi de galère plus tard, c'est en fait un problème de prise
en charge de la 3D: celle-ci est gérée par du soft.

Pour obtenir la 3D gérée par la carte graphique, il faut, dans mon cas,
installer libgl1-mesa-dri-experimental

Bon à savoir, l'astuce vient de là:
http://www.debian-fr.org/driver-nouveau-et-acceleration-3d-qui-a-teste-t35338.html

Globalement, j'ai maintenant un système utilisable. Seule ombre au
tableau avec le dual screen: la message tray reste stockée au milieu,
entre les 2 écrans (j'ai aussi fini par déclarer l'écran externe comme
'principal'). Pas très génant, sauf qu'au lieu de se cacher, elle
descend... donc empiète sur les fenêtres d'appli de l'écran de dessous
en les cachant. Résultat: impossible d'accéder simplement aux menus des
applications concernées :(

Si vous avez une solution à ce souci, je suis preneur. Idéalement, il
faudrait que Gnome3 colle la message tray tout en bas du bureau,
quelque soit sa taille, mais visiblement, il n'y a pas d'option pour cela.

Cordialement,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4e9b0d9c.6040...@jbfavre.org

Re: Gnome 3 !

[Jean Baptiste FAVRE]

On 16/10/2011 19:20, Rémi Letot wrote:
 Jean Baptiste FAVRE debian...@jbfavre.org writes:
 
 
 [...]
 
 
 Globalement, j'ai maintenant un système utilisable. Seule ombre au
 tableau avec le dual screen: la message tray reste stockée au milieu,
 entre les 2 écrans (j'ai aussi fini par déclarer l'écran externe comme
 'principal'). Pas très génant, sauf qu'au lieu de se cacher, elle
 descend... donc empiète sur les fenêtres d'appli de l'écran de dessous
 en les cachant. Résultat: impossible d'accéder simplement aux menus des
 applications concernées :(

 Si vous avez une solution à ce souci, je suis preneur. Idéalement, il
 faudrait que Gnome3 colle la message tray tout en bas du bureau,
 quelque soit sa taille, mais visiblement, il n'y a pas d'option pour
 cela.
 
 non, c'est un problème spécifiquement adressé dans gnome-shell 3.2
 
 Le tray ne dépassera plus sur l'écran du dessous, et les zones sensibles
 en bord d'écran seront plus faciles à déclencher. Sais pas très bien
 comment ils ont fait, mais je suis impatient :-)

Merci pour l'info. Du coup, je suis impatient aussi :)
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4e9b2cd6.3000...@jbfavre.org

Re: [HS] Outil de monitoring

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

+1 pour Zabbix=proxy, mais pas sur le firewall, amha, plutôt en interne
sur le LAN.
C'est zabbix-proxy qui se connectera au serveur zabbix pour récupérer sa
conf (liste des mesures/serveurs) et envoyer les résultats (donc
connexions sortantes).

Seul bémol, la surveillance de la machine zabbix-proxy *devrait* se
faire en direct depuis le serveur, via zabbix-agent. Donc une connexion
entrante, pas compatible avce les règles de FW.
On peu faire différemment, mais tu risques d'avoir des faux-positifs en
cas de crash du zabbix-proxy.

Mes 2 cents,
JB


On 29/07/2011 18:13, daniel huhardeaux wrote:
 Le 29/07/2011 15:05, Jean-Bernard Yata a écrit :
 Bonjour à tous,
 
 Bonjour
 

 Je fais appel à la base de connaissance que constitue notre liste.

 Je cherche à monitorer des serveurs en masse placés derrière des LAN
 sans avoir à modifier les paramètres NAT de ces réseaux.
 Les outils principaux disponibles sont cacti, zabbix, nagios
 (dérivés), mais ils semblent tous nécessiter que le serveur principal
 gerant le monito puisse se connecter sur les cibles. Je recherche la
 fonctionnalité inverse.

 Si l'un d'entre vous a un début de proposition, je suis preneur.
 
 Zabbix sur le fw joue le role de proxy, récupère les données du LAN et
 les envois au serveur. Parfaitement fonctionnel
 

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk4z11sACgkQM2eZoKJfKd1UjwCgj5SLo5In7F+mliRR+2xKajSk
T3QAoLl5pqMsFxiTQ0N3GPTaC8dzWcb/
=CYNP
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4e33d776.1020...@jbfavre.org

Re: Clef wifi USB reconnue ne détecte pas de réseau

[Jean Baptiste Favre]

Bonjour,

Le 09/05/11 08:59, giggzounet a écrit :

Salut,

Le 06/05/2011 23:40, Seb a écrit :

Bonsoir,


[snip]

as tu regardé si ta clé a un rfkill ?
install le paquet du même nom. lire le man...

mais je ne pense pas que ça vienne de là. car si ton rfkill était à on,
tu n'aurais pas d'interface wlan0 visible.

Pas tout à fait exact: rfkill possède 2 type de kill switch: hard et soft.

Dans le premier cas, il s'agit en général de l'interrupteur hardware (si 
présent).

Dans ce cas là effectivement, la carte n'est généralement pas reconnue.

Dans le second  cas en revanche, il s'agit d'un switch logiciel (qui 
suppose donc que la carte soit reconnue).


Exemple chez moi:
# rfkill list
0: sony-wifi: Wireless LAN
Soft blocked: yes
Hard blocked: no
1: sony-bluetooth: Bluetooth
Soft blocked: no
Hard blocked: no
2: hci0: Bluetooth
Soft blocked: no
Hard blocked: no
3: phy0: Wireless LAN
Soft blocked: no
Hard blocked: yes

# ifconfig -a
# ip link
1: lo: LOOPBACK,UP,LOWER_UP mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc pfifo_fast 
state UP qlen 1000

link/ether 00:24:be:b8:e2:55 brd ff:ff:ff:ff:ff:ff
3: wlan0: BROADCAST,MULTICAST mtu 1500 qdisc mq state DOWN qlen 1000
link/ether 2c:81:58:e9:bf:b2 brd ff:ff:ff:ff:ff:ff


Donc oui, rfkill est définitivement une bonne piste ;)

Mes 2 cents,
JB

| # /etc/network/interfaces
| allow-hotplug wlan0
| auto wlan0
| iface wlan0 inet dhcp
| wireless-essidSSID
| wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

Je n'ai pas encore configuré wpa_supplicant, je me dis que cela vient en
aval de la détection de réseaux.


Ce que tu peux faire pour tester:
tu vires ces lignes du fichier interface:
wpa-ssid
wpa-psk

et tu fais un fichier de conf wpa_supplicant. Ensuite tu lances en mode
debug wpa_supplicant dessus. je sais c'est po très clair :D mais je suis
au boulot et j'ai pas trop de doc sous la main :D

pour les exemples de fichiers de conf:
/usr/share/doc/wpasupplicant/example

(attention dans certaines versions de wpa_supplicant, le monsieur est
capricieux: parfois il faut mettre des guillements autour des
password/passphrase, parfois non...lire le man et tester...)

pour lancer wpa_supplicant:
sudo wpa_supplicant -iMoninterfaceWifi -c Monfichierdeconf -d -K

Je n'ai jamais réussi à faire marcher du wifi direct en dur dans
/etc/network/interfaces. J'utilise le roaming de wpa_supplicant. lire la
doc de wpa_supplicant c'est bien expliqué et ça marche!

en espérant t'avoir donné des pistes.
GiGGz

[snip]



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4dc79a0b.4050...@jbfavre.org

Re: Plus de wifi sur wheezy avec le driver b43

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On 30/04/2011 09:37, Bernard Schoenacker wrote:
 Le Fri, 29 Apr 2011 23:52:40 +0200,
 Jean Baptiste FAVRE debian...@jbfavre.org a écrit :
 
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1

 On 29/04/2011 23:38, Jean Baptiste FAVRE wrote:
 On 29/04/2011 20:48, Bernard Schoenacker wrote:
 Le Thu, 28 Apr 2011 08:21:29 +0200,
 Laurent Guignard lguignard.deb...@gmail.com a écrit :

 On Sat, 23 Apr 2011 19:29:32 +0200, Jean Baptiste FAVRE wrote:
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1

 Bonjour,
 J'ai fait une grosse mise à jour de mon netbook sous Wheezy et je
 n'arrive plus à me connecter en Wifi
 Network-manager (en version 0.8.3.999-1) refuse d'activer le Wifi
 (en fait, il ne réagit pas).

 Un downgrade de network-manager plus tard, il me dit maintenant
 que le périphérique n'est pas prêt.

 Pourtant, la carte est bien reconnue:
 [2.037654] b43-pci-bridge :02:00.0: PCI INT A - GSI 28
 (level, low) - IRQ 28
 [2.037674] b43-pci-bridge :02:00.0: setting latency timer
 to 64 [   14.779854] b43-phy0: Broadcom 4312 WLAN found (core
 revision 15) [   14.974734] Registered led device: b43-phy0::tx
 [   14.974771] Registered led device: b43-phy0::rx
 [   14.974807] Registered led device: b43-phy0::radio

 Les firmware sont installés:
 dpkg -l|grep firmware-b43
 ii  firmware-b43-lpphy-installer 4.174.64.19-4
 Installer package for firmware for the b43 driver (LP-PHY
 version)

 Ce qui est bizarre, c'est qu'avant, je crois me souvenir que le
 driver chargeait un bout de firmware; maintenant, plus trace de
 ce chargement.

 Une idée ?
 JB


 Bonjour,

 Oui je viens d'installer le noyau 2.6.38 en architecture 686 et
 j'observe le même problème. En 2.6.32 j'avais du installé le
 module broadcom-sta via module-assistant et cela fonctionnait.
 En 2.6.38, même avec module-assistant je n'arrive pas à utiliser
 le Wifi. J'attends une prochaine version du noyau et je suis
 retourné en 2.6.32...

 Peut-être quelqu'un a-t-il trouvé la solution ?

 Librement.
 Laurent

 Bonjour,

qui a ommis de mettre dkms et module-assistant en place ?

slt
bernard

 Euh... pas moi: j'ai le problème avec les 2 drivers: b43 et
 broadcom-sta

 Pour une raison que j'ignore, network-manager estime que la carte
 n'est pas utilisable et positionne le soft-switch.
 Pour le débloquer, l'utilisation de rfkill est obligatoire.

 Après quelques tets supplémentaires, je me suis aperçu que wicd
 parvient à faire fonctionner le wifi sans problème. Je me dis donc
 qu'il ne s'agit pas d'un souci driver.
 Par contre, sur un autre portable, le wifi fonctionne parfaitement
 avec la même version de network-manager et le driver ath9k

 J'ai bien essayé de revenir en noyau 2.6.32, mais sans changement :(
 Je vais retenter le coup ce week-end pour voir (la première fois,
 je ne crois pas avoir utilisé rfkill).

 En attendant, j'ai soumis un rapport de bug sur network-manager:
 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=623863

 Wait  see,
 JB

 Bon, mea culpa, mea maxima culpa.
 Je viens de tester le noyau 2.6.32 et le wifi re-fonctionne.
 Donc, il s'agirati bien d'un problème kernel.

 Du coup Bernard, pourquoi aurais-je besoin de dkms avec le driver
 b43 ? Le driver broadcom-sta, je veux bien (quoique module-assistant
 suffise d'après moi), mais le vieux b43 ?

 Cordialement,
 JB
 
 bonjour,
 
   dit donc le pontus tu va pas faire la leçon à un bouchon 
   gras ...
 
   voici ce que me donne :
 
   locate b43.ko
 
   /lib/modules/2.6.38-1-686/kernel/drivers/net/wireless/b43/b43.ko
   /lib/modules/2.6.38-2-686/kernel/drivers/net/wireless/b43/b43.ko
 
   donc :
 
   echo -e b43 »/etc/modules
 
   ou utiliser modconf
 
   slt
   bernard
 
Bonjour,
Le problème n'est pas de trouver le driver.

Mon problème est qu'en essayant avec le driver b43 et le noyau 2.6.38,
ça ne fonctionne pas du tout (ni avec wicd ni network-manager). Avec le
driver wl, cela fonctionne, mais uniquement avec wicd.

Le driver wl a été installé à partir des instructions de cette page:
http://wiki.debian.org/wl (donc avec module-assistant)

Donc, je rate peut-être quelque chose en n'utilisant pas dkms, auquel
cas on en revient à ma question: en quoi me trompe-je en n'utilisant que
module-assistant ?

Le noyau 2.6.32 me permettant d'avoir un wifi fonctionnel avec
network-manager, il y a moins d'urgence, sauf que du coup je ne sais pas
trop ce que je dois faire de mon rapport de bug.

Cordialement,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk2703gACgkQM2eZoKJfKd109gCfaPJxiWfogHIdwkjZHLz0RVdy
NVUAn2T8eLSTimog465S3YVbg7Gvj6T+
=+p3Q
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ

Re: Plus de wifi sur wheezy avec le driver b43

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On 29/04/2011 20:48, Bernard Schoenacker wrote:
 Le Thu, 28 Apr 2011 08:21:29 +0200,
 Laurent Guignard lguignard.deb...@gmail.com a écrit :
 
 On Sat, 23 Apr 2011 19:29:32 +0200, Jean Baptiste FAVRE wrote:
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1

 Bonjour,
 J'ai fait une grosse mise à jour de mon netbook sous Wheezy et je
 n'arrive plus à me connecter en Wifi
 Network-manager (en version 0.8.3.999-1) refuse d'activer le Wifi
 (en fait, il ne réagit pas).

 Un downgrade de network-manager plus tard, il me dit maintenant que
 le périphérique n'est pas prêt.

 Pourtant, la carte est bien reconnue:
 [2.037654] b43-pci-bridge :02:00.0: PCI INT A - GSI 28
 (level, low) - IRQ 28
 [2.037674] b43-pci-bridge :02:00.0: setting latency timer
 to 64 [   14.779854] b43-phy0: Broadcom 4312 WLAN found (core
 revision 15) [   14.974734] Registered led device: b43-phy0::tx
 [   14.974771] Registered led device: b43-phy0::rx
 [   14.974807] Registered led device: b43-phy0::radio

 Les firmware sont installés:
 dpkg -l|grep firmware-b43
 ii  firmware-b43-lpphy-installer 4.174.64.19-4
 Installer package for firmware for the b43 driver (LP-PHY version)

 Ce qui est bizarre, c'est qu'avant, je crois me souvenir que le
 driver chargeait un bout de firmware; maintenant, plus trace de ce
 chargement.

 Une idée ?
 JB


 Bonjour,

 Oui je viens d'installer le noyau 2.6.38 en architecture 686 et
 j'observe le même problème. En 2.6.32 j'avais du installé le module
 broadcom-sta via module-assistant et cela fonctionnait.
 En 2.6.38, même avec module-assistant je n'arrive pas à utiliser le
 Wifi. J'attends une prochaine version du noyau et je suis retourné en
 2.6.32...

 Peut-être quelqu'un a-t-il trouvé la solution ?

 Librement.
 Laurent
 
 Bonjour,
 
   qui a ommis de mettre dkms et module-assistant en place ?
 
   slt
   bernard
 
Euh... pas moi: j'ai le problème avec les 2 drivers: b43 et broadcom-sta

Pour une raison que j'ignore, network-manager estime que la carte n'est
pas utilisable et positionne le soft-switch.
Pour le débloquer, l'utilisation de rfkill est obligatoire.

Après quelques tets supplémentaires, je me suis aperçu que wicd parvient
à faire fonctionner le wifi sans problème. Je me dis donc qu'il ne
s'agit pas d'un souci driver.
Par contre, sur un autre portable, le wifi fonctionne parfaitement avec
la même version de network-manager et le driver ath9k

J'ai bien essayé de revenir en noyau 2.6.32, mais sans changement :(
Je vais retenter le coup ce week-end pour voir (la première fois, je ne
crois pas avoir utilisé rfkill).

En attendant, j'ai soumis un rapport de bug sur network-manager:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=623863

Wait  see,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk27L9EACgkQM2eZoKJfKd2OtwCgpnBJAcZss+suM3LkcLamyPMW
vXMAn1NbdVf9qc3ANjIJyVEVhhSbx7hN
=zEJy
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4dbb2fd1.4040...@jbfavre.org

Re: Plus de wifi sur wheezy avec le driver b43

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On 29/04/2011 23:38, Jean Baptiste FAVRE wrote:
 On 29/04/2011 20:48, Bernard Schoenacker wrote:
 Le Thu, 28 Apr 2011 08:21:29 +0200,
 Laurent Guignard lguignard.deb...@gmail.com a écrit :
 
 On Sat, 23 Apr 2011 19:29:32 +0200, Jean Baptiste FAVRE wrote:
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1

 Bonjour,
 J'ai fait une grosse mise à jour de mon netbook sous Wheezy et je
 n'arrive plus à me connecter en Wifi
 Network-manager (en version 0.8.3.999-1) refuse d'activer le Wifi
 (en fait, il ne réagit pas).

 Un downgrade de network-manager plus tard, il me dit maintenant que
 le périphérique n'est pas prêt.

 Pourtant, la carte est bien reconnue:
 [2.037654] b43-pci-bridge :02:00.0: PCI INT A - GSI 28
 (level, low) - IRQ 28
 [2.037674] b43-pci-bridge :02:00.0: setting latency timer
 to 64 [   14.779854] b43-phy0: Broadcom 4312 WLAN found (core
 revision 15) [   14.974734] Registered led device: b43-phy0::tx
 [   14.974771] Registered led device: b43-phy0::rx
 [   14.974807] Registered led device: b43-phy0::radio

 Les firmware sont installés:
 dpkg -l|grep firmware-b43
 ii  firmware-b43-lpphy-installer 4.174.64.19-4
 Installer package for firmware for the b43 driver (LP-PHY version)

 Ce qui est bizarre, c'est qu'avant, je crois me souvenir que le
 driver chargeait un bout de firmware; maintenant, plus trace de ce
 chargement.

 Une idée ?
 JB


 Bonjour,

 Oui je viens d'installer le noyau 2.6.38 en architecture 686 et
 j'observe le même problème. En 2.6.32 j'avais du installé le module
 broadcom-sta via module-assistant et cela fonctionnait.
 En 2.6.38, même avec module-assistant je n'arrive pas à utiliser le
 Wifi. J'attends une prochaine version du noyau et je suis retourné en
 2.6.32...

 Peut-être quelqu'un a-t-il trouvé la solution ?

 Librement.
 Laurent
 
 Bonjour,
 
  qui a ommis de mettre dkms et module-assistant en place ?
 
  slt
  bernard
 
 Euh... pas moi: j'ai le problème avec les 2 drivers: b43 et broadcom-sta
 
 Pour une raison que j'ignore, network-manager estime que la carte n'est
 pas utilisable et positionne le soft-switch.
 Pour le débloquer, l'utilisation de rfkill est obligatoire.
 
 Après quelques tets supplémentaires, je me suis aperçu que wicd parvient
 à faire fonctionner le wifi sans problème. Je me dis donc qu'il ne
 s'agit pas d'un souci driver.
 Par contre, sur un autre portable, le wifi fonctionne parfaitement avec
 la même version de network-manager et le driver ath9k
 
 J'ai bien essayé de revenir en noyau 2.6.32, mais sans changement :(
 Je vais retenter le coup ce week-end pour voir (la première fois, je ne
 crois pas avoir utilisé rfkill).
 
 En attendant, j'ai soumis un rapport de bug sur network-manager:
 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=623863
 
 Wait  see,
 JB

Bon, mea culpa, mea maxima culpa.
Je viens de tester le noyau 2.6.32 et le wifi re-fonctionne.
Donc, il s'agirati bien d'un problème kernel.

Du coup Bernard, pourquoi aurais-je besoin de dkms avec le driver b43 ?
Le driver broadcom-sta, je veux bien (quoique module-assistant suffise
d'après moi), mais le vieux b43 ?

Cordialement,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk27MyYACgkQM2eZoKJfKd3CHwCghzhsVW98SLOVZywE1CQ87QhG
ixAAmwWrsLy8u+Qp6xZipRq01Z57BMu2
=4S2k
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4dbb3328.5010...@jbfavre.org

Plus de wifi sur wheezy avec le driver b43

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonjour,
J'ai fait une grosse mise à jour de mon netbook sous Wheezy et je
n'arrive plus à me connecter en Wifi
Network-manager (en version 0.8.3.999-1) refuse d'activer le Wifi (en
fait, il ne réagit pas).

Un downgrade de network-manager plus tard, il me dit maintenant que le
périphérique n'est pas prêt.

Pourtant, la carte est bien reconnue:
[2.037654] b43-pci-bridge :02:00.0: PCI INT A - GSI 28 (level,
low) - IRQ 28
[2.037674] b43-pci-bridge :02:00.0: setting latency timer to 64
[   14.779854] b43-phy0: Broadcom 4312 WLAN found (core revision 15)
[   14.974734] Registered led device: b43-phy0::tx
[   14.974771] Registered led device: b43-phy0::rx
[   14.974807] Registered led device: b43-phy0::radio

Les firmware sont installés:
dpkg -l|grep firmware-b43
ii  firmware-b43-lpphy-installer 4.174.64.19-4
Installer package for firmware for the b43 driver (LP-PHY version)

Ce qui est bizarre, c'est qu'avant, je crois me souvenir que le driver
chargeait un bout de firmware; maintenant, plus trace de ce chargement.

Une idée ?
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk2zDHwACgkQM2eZoKJfKd2O/QCfdT8X3Y6IvweEL627PF1rTg2j
HeIAoLWUkNcHekuMv3vyEeWi3om8VqTH
=RyDz
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4db30c7c.2030...@jbfavre.org

Re: Certification d'un horodatage

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonjour,

Le 26/01/2011 15:56, François Boisson a écrit :
 En fait la solution serait d'avoir un serveur de temps à qui tu envois un
 hachage md5sum de ton fichier et qui te retournes ce md5sum concaténé avec la
 date et l'heure et le tout signé via gpg. Sa signature publique peut valider à
 tout moment ultérieur le timestamp. Ça peut être automatisé cette histoire.

Mais cela ne réglera pas le problème de la confiance des partenaires.
Si Alain a le contrôle du serveur de temps, rien ne l'empêche alors de
modifier l'heure, et donc la preuve. Et on revient au point de départ.

La seule solution viable, et ce quelque soit la solution technique, est
de faire appel à un tiers reconnu de confiance par les 2 parties.

 J'ai 2 serveurs de temps (un strate 2 et un autre strate 3) sur le pool fr, à
 l'occasion j'essayerais de faire un tel robot pour voir à titre expérimental,
 mais il faut que j'ai 1 petite heure devant moi pour faire les scripts.

Mes 2 cents,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk1AXwkACgkQM2eZoKJfKd0azACglyruWQow7kjkMQExnqPtIpFE
aFYAoLOMXCPtquxIfxNzbWHHeLlYuG/v
=q8Id
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4d405f09.8070...@jbfavre.org

Magic SysRQ + Xen + screen + Putty

[Jean Baptiste Favre]

Bonjour la liste,
J'ai un serveur de test qui me fait un kernel panic régulier au reboot.
Rien de bien méchant (c'est une machine de test après tout), mais j'ai
un soucis pour envoyer les Magic SysRQ.

Ce serveur est contrôlé par port série depuis une machine Debian. Sur
cette dernière, je lance screen /dev/ttyUSB2 115200.

En local depuis la machine Debian, les Magic SysRQ marchent bien.

Lorsque j'accède à cette machine à distance depuis un windows par SSH
(Putty), ça ne passe pas.

J'ai pensé à un problème de mapping clavier entre Windows et Linux, mais
je ne trouve pas d'option particulière dans Putty.

Une idée ?

Cordialement,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4d2ec86b.7060...@jbfavre.org

Re: Magic SysRQ + Xen + screen + Putty

[Jean Baptiste Favre]

Le 13/01/2011 13:18, Eric Belhomme a écrit :
 Le Thu, 13 Jan 2011 10:39:55 +0100, Jean Baptiste Favre a écrit :
 
 Bonjour la liste,
 J'ai un serveur de test qui me fait un kernel panic régulier au reboot.
 Rien de bien méchant (c'est une machine de test après tout), mais j'ai
 un soucis pour envoyer les Magic SysRQ.

 Ce serveur est contrôlé par port série depuis une machine Debian. Sur
 cette dernière, je lance screen /dev/ttyUSB2 115200.

 En local depuis la machine Debian, les Magic SysRQ marchent bien.

 Lorsque j'accède à cette machine à distance depuis un windows par SSH
 (Putty), ça ne passe pas.

 J'ai pensé à un problème de mapping clavier entre Windows et Linux, mais
 je ne trouve pas d'option particulière dans Putty.

 
 Le problème vient plus probablement de screen qui n'envoie pas la bonne 
 séquence d'échappement.
 Je ne sais pas comment régler le problème avec screen, en revanche 
 j'utilise console-server (et console-client) pour gérer mes serveurs via 
 les ports série, et la séquence CTRLEcl0magic key fonctionne 
 parfaitement via ce biais.

Bonjour,
Merci pour la réponse.
Je ne connaissais pas conserver-server et conserver-client et vais donc
les tester.

Juste une question à propos de CTRLEcl0. le CRTL, ok je vois. Mais
la suite ? Il s'agit de lettre (e majuscule, c minuscule, l
minuscule et 0) à taper les unes après les autres, ou d'une séquence
simultanée ? ET si j'ai bien suivi, ceci remplace le Alt+Syst des
Magic SysRQ classiques ?

Néanmoins, dans la mesure où en local sur ma machine les séquences SysRQ
fonctionnent correctement, je me dis que screen n'est pas concerné.

Cordialement,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4d2efecc.6090...@jbfavre.org

Re: xen + debian lenny + sauvegarde VM

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Le 01/01/2011 05:25, Thierry B a écrit :
 Le 31/12/2010 21:06, Jean Baptiste FAVRE a écrit :
 Bonsoir,

 Le 31/12/2010 18:31, Thierry B a écrit :
 Le 31/12/2010 15:48, Jean Baptiste FAVRE a écrit :
 Qu'en pensez-vous ?

 J'en pense que, pour ma part, moins j'en mets dans le dom0, mieux je me
 porte. Le dom0 est là pour gérer les VM, pas les backups. La solution
 domU dédié aux backups me paraît plus propre.

 Au pire, il peut être intéressant pour les paranos comme moi de
 s'inspirer de Qubes-OS qui déporte la gestion du stockage dans un domU :)

 Un snapshot d'un FS en cours d'utilisation impose un fsck à un moment ou
 à un autre. Si en plus il est fait hors du domU (donc par exemple depuis
 le dom0 soit sous le domU) , il n'y a aucun moyen élégant (c-a-d
 hors SSH) de dire au domU de synchroniser ses disques juste avant de
 faire le snapshot. Ajoutez à cela les différents rôles que peuvent
 prendre un domU (MySQL, HTTP, ...) et vous aurez vite un script façon
 usine à gaz.

 Ce n'est que mon avis, mais je le partage :)

 Hello,

 Tu gérerais comment ensuite la sauvegarde de la VM proprement parlé dans
 cette hypothèse?

 Tout dépend comment elle est installée :)
 Dans le meilleur des mondes, on s'en fout: toute la conf est gérée par
 Puppet ou CFEngine, donc tu as juste besoin d'un template de VM de base.
 
 Un template de VM sous forme d'un LV ou fichier image?

Tout dépend de ce que tu utilises. Mais dans le cas d'un LVM, un
snapshot VM arrêté suivi d'un gros dd est amplement suffisant :-)
Tu obtiens une image disque que tu peut restaurer sur ton nouveau LV.

Ou alors tu joues avec des fichiers images et tu peux même utiliser le
Copy-On-Write (QCOW).
Du coup ton image de base ne change jamais et chacun de tes domU
n'utilise en espace disque que le delta avec l'image de base.

 Reste le problème des data: de mon point de vue, il faut séparer les
 partitions data du système. Donc par exemple un LV data dédié. Du coup,
 on fait les backups depuis le domU.
 
 Ouais, j'ai essayé de séparer le data du système mais en créeant le LV
 data coté dom0 : par exemple, un LV pour stocker le mail, un autre pour
 le web et ensuite ces LV sont mappés vers des partitions virtuelle
 xdva1,2...
 
 Si les backups sont justement sur le domU, j'ai du mal à voir comment en
 cas de crash de la VM, tu peux récupérer ces backups vu qu'ils sont dans
 le domU?

Euh... Le fait que tu sois en environnement virtualisé ou non ne change
rien au besoin de gestion des backups.
Que tu fasse les backups depuis le dom0, depuis un domU dédié ou dans
chaque domU ne change rien au problème: il faut les séparer des data
d'origine.

Chez moi, j'ai un domU dédié aux backup qui dispose d'un accès NFS sur
un NAS. Quand j'ajoute une machine (domU ou non) J'ai juste besoin
d'ajouter le nom de la machine à la liste des backups à faire.
Ensuite, tous mes serveurs et domU sont organisés de la même façon:
installation en PXE avec preseed + configuration par Puppet. Tout est
dans /data. Du coup, pas de questions existentielles à se poser pour
savoir quoi backuper:
/etc (au cas où, même si en fait je n'en ai pas besoin grâce à Puppet)
/data
/home
/usr/local (pour les scripts que j'ajoute. Là encore, en fait pas besoin
car déployé par Puppet)

Les backups sont faits avec rdiff-backups et stockés sur le NAS.

Et voilà :-)

 Si la VM plante, on en démarre une nouvelle, on raccroche le LV data et
 c'est reparti.

 C'est par exemple le modèle Amazon.

 Au pire, tu fais une sauvegarde de la VM une fois installée/configurée
 au petits oignons. Du coup, plus besoin de faire de sauvegarde (sauf si
 changement de conf !). Et tu as juste besoin de faire les maj de paquets
 audn tu en démarres une nouvelle.

 Finalement, je me dis que pour mon utilisation de cette VM, une fois que
 tout sera bien installé, plus trop besoin d'installer de nouvelles
 choses, donc par exemple, je pourrais faire:

 - une sauvegarde avec shutdown + lv snapshot de temps en temps en cas
 d'install de nouveaux paquets avec donc une interruption de service de
 la VM d'une minute ou deux peut-etre.

 - des synchrpnisations de ce qui change de façon quotidienne, comme les
 logs, les mails...

 Encore une fois, je n'aime pas bcp les backups depuis le dom0

 Aller, dernier mail de l'année :)
 Bon réveillon à toutes et à tous,
 
 Bonne année 2011 :-)

Meilleurs voeux,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk0fIMAACgkQM2eZoKJfKd3+ugCfdwbqnutE0/O14vMm3nbkoMKI
UxwAoIjxI7CR2ukb3o8zjeZyzgBcqUSu
=ZAxV
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org

Re: xen + debian lenny + sauvegarde VM

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Le 01/01/2011 14:32, Thierry B a écrit :
 Le 01/01/2011 13:40, Jean Baptiste FAVRE a écrit :
 Tout dépend de ce que tu utilises. Mais dans le cas d'un LVM, un
 snapshot VM arrêté suivi d'un gros dd est amplement suffisant :-)
 Tu obtiens une image disque que tu peut restaurer sur ton nouveau LV.

 Ou alors tu joues avec des fichiers images et tu peux même utiliser le
 Copy-On-Write (QCOW).
 Du coup ton image de base ne change jamais et chacun de tes domU
 n'utilise en espace disque que le delta avec l'image de base.
 
 Ok donc ton domU vu depuis le dom0 est soit
 - un LV : sauvegarde avec dd par exemple
 - une image de base et là tu peux utiliser la Copy On Write (je sais pas
 trop encore ce que c'est lol)
 
 Pourquoi l'image ne changerait pas?
 Si tu installes des nouveaux paquets dans ton domU par exemple, l'image
 va grossir ou bien l'espace utilisé par le LV depuis dom0 va augmenter
 aussi non?

Il faut considérer l'image de base comme le plus petit dénominateur
commun à tous tes domU (en gros, une install système de base debian).
Le Copy-On-Write est aux fichiers image ce que le snapshot est à LVM: le
snapshot initial prend très peu de place. Il va dériver au fil du temps
puisque chaque modif dans le LV d'origine provoque la modif inverse dans
le snapshot.

Dans le cas de images, si l'image en lecture seule est le système de
base, l'image en écriture contiendra toutes les modifications de conf et
les paquets supplémentaires que tu auras installé: exemple d'un serveur
Web, le serveur HTTP n'est pas présent dans l'image de base, mais il est
ajouté dans l'image spécifique au domU.



 Reste le problème des data: de mon point de vue, il faut séparer les
 partitions data du système. Donc par exemple un LV data dédié. Du coup,
 on fait les backups depuis le domU.

 Ouais, j'ai essayé de séparer le data du système mais en créeant le LV
 data coté dom0 : par exemple, un LV pour stocker le mail, un autre pour
 le web et ensuite ces LV sont mappés vers des partitions virtuelle
 xdva1,2...

 Si les backups sont justement sur le domU, j'ai du mal à voir comment en
 cas de crash de la VM, tu peux récupérer ces backups vu qu'ils sont dans
 le domU?

 Euh... Le fait que tu sois en environnement virtualisé ou non ne change
 rien au besoin de gestion des backups.
 Que tu fasse les backups depuis le dom0, depuis un domU dédié ou dans
 chaque domU ne change rien au problème: il faut les séparer des data
 d'origine.

 Chez moi, j'ai un domU dédié aux backup qui dispose d'un accès NFS sur
 un NAS. Quand j'ajoute une machine (domU ou non) J'ai juste besoin
 d'ajouter le nom de la machine à la liste des backups à faire.
 Ensuite, tous mes serveurs et domU sont organisés de la même façon:
 installation en PXE avec preseed + configuration par Puppet. Tout est
 dans /data. Du coup, pas de questions existentielles à se poser pour
 savoir quoi backuper:
 /etc (au cas où, même si en fait je n'en ai pas besoin grâce à Puppet)
 /data
 /home
 /usr/local (pour les scripts que j'ajoute. Là encore, en fait pas besoin
 car déployé par Puppet)

 Les backups sont faits avec rdiff-backups et stockés sur le NAS.

 Et voilà :-)
 
 Euh pas compris cette histoire de /data.
 /data est monté à partir d'une partition qui se trouve où? sur ton dom0,
 sur chaque domU?

En fait peu importe: soit tu fais un LV particulier dans le dom0 que tu
exporte au niveau du domU (le plus propre selon moi), soit tu fais un
LV ou une partition à l'intérieur du domU.


 Par exemple pour le mail, j'ai un LV Mail crée depuis le dom0 et depuis
 le domU dédié, ce LV est vu comme une partition virtuelle.

Donc tu utilises mon premier exemple

 Donc ces datas là, pour le moment, je les sauvegarde depuis le dom0 dans
 le dom0.
 
 Si je voulais sauvegarder ces datas dans un domU, faudrait que je linke
 ce LV là (qui a été crée coté dom0), dans le domU à partir duquel je
 souhaite faire la sauvegarder de ces datas.
 Mais du coup, si je fais ma sauvegarde depuis le domU, la sauvegarde
 sera stockée dans le domU.

Rien ne t'empêche de faire un snapshot depuis ton domU s'il est installé
en LVM. En revanche, il faut toujours sortir les data du domU, d'où
l'intérêt d'avoir une machine (virtuelle ou non) qui soit dédiée à cela.

Tu ne peux pas linker 1 LV sur 2 domU (sauf avoir un FS cluster, mais de
toute façon je ne pense pas que Xen te l'autorise).
En revanche, rien ne t'empêche de faire un rsync depuis un autre domU
(man rdiff-backup :) )


 Si tu as un peu de temps à l'occcasion, tu pourrais me donner un exemple
 concret et simple (création d'un LV toto depuis tel domX...) pq j'ai
 toujours du mal à voir comment ta conf marche lol.

Ma conf n'a rien de sorcier: je fais en virtualisé ce que je faisais
déjà en physique: un serveur se charge de backuper tous les autres et
stocke les backup sur un NAS.

Au pire, pour optimiser, tu peux considérer que les domU sont
jetables (surtout avec Puppet ou équivalent). Du coup, il vaut
peut

Re: xen + debian lenny + sauvegarde VM

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Le 31/12/2010 10:47, Daniel Caillibaud a écrit :
 Le 29/12/10 à 16:59, Jean Baptiste FAVRE debian...@jbfavre.org a écrit :
 JBF  Sur ma dedibox, j'utilise une lenny avec xen de testing et pour ma
 JBF  sauvegarde de VM, je fais un script qui pour résumer fait :
 JBF  - xm pause
 JBF  - Création d'un LV snapshot à partir du LV de la VM
 JBF  - xm unpause
 JBF 
 JBF  Qu'en pensez-vous?
 
 Que pour mysql, ou d'autres trucs serveurs qui ont des fichiers en cours 
 d'écriture, c'est pas
 top...
 lsof aide à voir qui ça concerne.
 
 JBF pour MySQL cela ne m'étonne pas du tout. C'est comme si
 JBF tu sauvegardais tes bases MySQL en faisant un snapshot LVM: les pools
 JBF innodb sont utilisés, les tables MyISAM idem, ...
 
 Il faut ajouter du lockflush/unlock
 
 - mysql ... -e 'FLUSH TABLES WITH READ LOCK;'
 - xm pause
 - Création d'un LV snapshot à partir du LV de la VM
 - xm unpause
 - mysql ... -e 'UNLOCK TABLES;'

Ce qui oblige à un accès depuis le dom0 au mysql, en parallèle du
snapshot. Pour cela, je préfère largement mylvmbackup dans le domU.

 Ça lui dit d'écrire sur le disque toutes les modifs qui n'existent que dans 
 la RAM et de ne
 plus faire de modifs dans les tables. Attention, faut pas que ça dure 
 longtemps avec un mysql
 chargé car tous les process qui veulent écrire (update/insert/delete) sont 
 mis en attente et la
 charge peut exploser assez rapidement.
 
 JBF Je m'étonne d'ailleurs que tu n'ais aucun message d'erreur concernant le 
 FS.
 
 Pour l'OS y'a aucun pb de fs, et pour mysql juste des bases inconsistantes 
 mais pas de pb de
 fichiers...

Lors de la restauration du snapshot dans un autre DomU, le FS va
forcément être vérifié, sauf à faire un sync juste avant le pause et encore.

Le snapshot va réaliser un instantané du FS *en cours d'utilisation*.
D'où ma comparaison avec un arrêt électrique brutal. Il faut
nécessairement prendre un certain nombre de précaution pour limiter les
dégâts en vue de la restauration.

Cordialement,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk0du7cACgkQM2eZoKJfKd2huQCbBRl2lokrt3S90BmVnvGeJ+lm
/GUAn2qamHv2qHiYqGwFWLc14V4HgVyv
=+8o4
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4d1dbbb7.7020...@jbfavre.org

Re: xen + debian lenny + sauvegarde VM

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonjour,

Le 31/12/2010 15:01, Guy Roussin a écrit :
 Bonjour,
 
 Je voulais savoir si quelqu'un utilisait une config serveur xen + debian
 lenny à partir de laquelle il fait des sauvegarde VM régulières?
 Oui (avec xen de lenny)
 
 Sur ma dedibox, j'utilise une lenny avec xen de testing et pour ma
 sauvegarde de VM, je fais un script qui pour résumer fait :
 - xm pause
 - Création d'un LV snapshot à partir du LV de la VM
 - xm unpause

 Qu'en pensez-vous?
 
 Actuellement, je fais les sauvegardes avec des rsync à l'interieur des
 domU.
 (j'ai un domU dédié aux backups avec rsnapshot)
 
 Mais là, je suis entrain de terminer un script qui fait un backup depuis
 le dom0. Voilà ce ça donne en gros :
 
 1. lvcreate snapshot diskdomU
 2. mount snapshot
 3. rsync snapshot/ backups/
 4. umount snapshot
 5. lvremove snapshot
 
 if --with-Pause
  6. xm pause
  7. mount lvdisk snapshot
  8. rsync --delete snapshot backups/
  9. umount snapshot
  10. xm unpause
 fi
 
 if --with-Shutdown
  6. xm shutdown
  7. mount lvdisk snapshot
  8. rsync --delete snapshot backups/
  9. umount snapshot
  10. xm start
 fi
 
 L'idée du script est de faire le gros du boulot avec le snapshot
 puis de finaliser le rsync après un shutdown du domU.
 Ce qui fait que l'indisponibilité est très limitée (parfois moins
 d'une minute) ...
 
 Finalement, j'ai donc 3 possibilités de sauvegarde de mes domU :
 - sauvegarde d'un snapshot seul (1 à 5)
 - sauvegarde avec Pause/Unpause (--with-Pause)
 - sauvegarde avec Shutdown/start (--with-Shutdown)
 
 Autre remarque. Jusqu'à présent mes domU sont créés dans des
 LV du dom0. Mais il serait peut-être judicieux de créer aussi
 des LV au niveau du domU pour gérer des snapshots dans les
 domU (cf mylvmbackup). Mais on perd la possibilité des
 sauvegardes type rsync à partir du dom0 ...
 
 Qu'en pensez-vous ?

J'en pense que, pour ma part, moins j'en mets dans le dom0, mieux je me
porte. Le dom0 est là pour gérer les VM, pas les backups. La solution
domU dédié aux backups me paraît plus propre.

Au pire, il peut être intéressant pour les paranos comme moi de
s'inspirer de Qubes-OS qui déporte la gestion du stockage dans un domU :)

Un snapshot d'un FS en cours d'utilisation impose un fsck à un moment ou
à un autre. Si en plus il est fait hors du domU (donc par exemple depuis
le dom0 soit sous le domU) , il n'y a aucun moyen élégant (c-a-d
hors SSH) de dire au domU de synchroniser ses disques juste avant de
faire le snapshot. Ajoutez à cela les différents rôles que peuvent
prendre un domU (MySQL, HTTP, ...) et vous aurez vite un script façon
usine à gaz.

Ce n'est que mon avis, mais je le partage :)

Cordialement,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk0d7U4ACgkQM2eZoKJfKd1EDQCeJriL5rHd0CEAMd9po3jfIDdg
a4wAn2LIxC/coKSvgr38we1vdj3xUN9L
=3D3J
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4d1ded4f.80...@jbfavre.org

Re: xen + debian lenny + sauvegarde VM

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonsoir,

Le 31/12/2010 18:31, Thierry B a écrit :
 Le 31/12/2010 15:48, Jean Baptiste FAVRE a écrit :
 Qu'en pensez-vous ?

 J'en pense que, pour ma part, moins j'en mets dans le dom0, mieux je me
 porte. Le dom0 est là pour gérer les VM, pas les backups. La solution
 domU dédié aux backups me paraît plus propre.

 Au pire, il peut être intéressant pour les paranos comme moi de
 s'inspirer de Qubes-OS qui déporte la gestion du stockage dans un domU :)

 Un snapshot d'un FS en cours d'utilisation impose un fsck à un moment ou
 à un autre. Si en plus il est fait hors du domU (donc par exemple depuis
 le dom0 soit sous le domU) , il n'y a aucun moyen élégant (c-a-d
 hors SSH) de dire au domU de synchroniser ses disques juste avant de
 faire le snapshot. Ajoutez à cela les différents rôles que peuvent
 prendre un domU (MySQL, HTTP, ...) et vous aurez vite un script façon
 usine à gaz.

 Ce n'est que mon avis, mais je le partage :)
 
 Hello,
 
 Tu gérerais comment ensuite la sauvegarde de la VM proprement parlé dans
 cette hypothèse?

Tout dépend comment elle est installée :)
Dans le meilleur des mondes, on s'en fout: toute la conf est gérée par
Puppet ou CFEngine, donc tu as juste besoin d'un template de VM de base.

Reste le problème des data: de mon point de vue, il faut séparer les
partitions data du système. Donc par exemple un LV data dédié. Du coup,
on fait les backups depuis le domU.
Si la VM plante, on en démarre une nouvelle, on raccroche le LV data et
c'est reparti.

C'est par exemple le modèle Amazon.

Au pire, tu fais une sauvegarde de la VM une fois installée/configurée
au petits oignons. Du coup, plus besoin de faire de sauvegarde (sauf si
changement de conf !). Et tu as juste besoin de faire les maj de paquets
audn tu en démarres une nouvelle.

 Finalement, je me dis que pour mon utilisation de cette VM, une fois que
 tout sera bien installé, plus trop besoin d'installer de nouvelles
 choses, donc par exemple, je pourrais faire:
 
 - une sauvegarde avec shutdown + lv snapshot de temps en temps en cas
 d'install de nouveaux paquets avec donc une interruption de service de
 la VM d'une minute ou deux peut-etre.
 
 - des synchrpnisations de ce qui change de façon quotidienne, comme les
 logs, les mails...

Encore une fois, je n'aime pas bcp les backups depuis le dom0

Aller, dernier mail de l'année :)
Bon réveillon à toutes et à tous,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk0eN88ACgkQM2eZoKJfKd0PnQCgnfa0c0Clew0r7HUWi1Vp34L9
MOwAoKj16zuc+bp3wZQWTLcyVFRS/UIs
=KguW
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4d1e37cf.1040...@jbfavre.org

Re: xen + debian lenny + sauvegarde VM

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonjour,

Le 29/12/2010 15:32, Thierry B a écrit :
 Le 28/12/2010 10:51, Thierry B a écrit :
 Bonjour,

 Je voulais savoir si quelqu'un utilisait une config serveur xen + debian
 lenny à partir de laquelle il fait des sauvegarde VM régulières?

 Sur ma dedibox, j'utilise une lenny avec xen de testing et pour ma
 sauvegarde de VM, je fais un script qui pour résumer fait :
 - xm pause
 - Création d'un LV snapshot à partir du LV de la VM
 - xm unpause

 Qu'en pensez-vous?

Pas de raison que cela ne marche pas.


 Avant le xm pause / unpause, c'etait xm save VM / xm restore VM, mais
 une fois,  lors de l'exécution automatique du script, j'ai eu un
 plantage à cause de cela, et j'ai du redémarrer ma machine physique
 carrement pour pouvoir redemarrer ma VM, le pause /unpause a l'air moins
 méchant...

C'est juste totalement différent: save / restore est comparable à la
mise en veille, pause / unpause à un freeze passager.

Si on compare avec un process, pause/unpause c'est comme si tu
interdisais au noyau d'accorder du CPU à un processus.
Avantage: bcp plus rapide que save / restore et moins douloureux.
Inconvénient: peut-être embêtant avec des processus temps-réel (?)

 Sinon, y'a aussi la solution, de faire un shutdown et de la relancer
 mais bon, c'est p-e pas top pour une config serveur non?

 J'attends vos avis.

 Merci :-)

 
 Hello,
 
 A priori, ça ne fonctionne pas trop mal en essayant de restaurer cela
 sur un autre domU.
 
 Le soucis, c'est qu'il n'arrive pas à démarrer clamav et il me dit qe ce
 n'est pas clean niveau mysql.
Pour Clamav je ne sais pas trop (un fichier de lock, un socket qui
traîne ?), mais pour MySQL cela ne m'étonne pas du tout. C'est comme si
tu sauvegardais tes bases MySQL en faisant un snapshot LVM: les pools
innodb sont utilisés, les tables MyISAM idem, ...

La restauration est alors comparable à un redémarrage de serveur après
un arrête électrique !

Je m'étonne d'ailleurs que tu n'ais aucun message d'erreur concernant le FS.

 Idéalement, faudrait peutêtre stopper ces services avant le xm pause
 puis les relancer après le xm unpause...
Mouais, pourquoi pas.

 Comment puis-je faire cela?
SSH ?

Sinon, tu as une autre possibilité:
1. snapshot LVM
2. fsck sur le snapshot (peut-être besoin de kpartx avant, tout dépend
de ta conf LVM)
3. montage du snapshot
4. effacement des sockets et lock
5. vérification MySQL à froid
6. umount snapshot
7. dd du snapshot dans une archive


En conclusion, utiliser ce type de système pour sauvegarder des data
(MySQL) ne sert à rien. Autant continuer à avoir des scripts classiques.

Cordialement,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk0bWtgACgkQM2eZoKJfKd2hoACfaJwTVSE6624FEBt041ye9qyu
Zq8AoKV+L8mUEUxUhTQqePtL4HhlxG9Z
=PrFV
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4d1b5ad8.8030...@jbfavre.org

Re: Squeeze Xen4.0 : Échec de démarrage de x end

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Le 12/12/2010 10:30, Yann Cohen a écrit :
 Bonjour,
 
 Sur une machine toute neuve, j'ai installé Squeeze, puis j'ai suivi pas
 à pas le petit wiki http://wiki.debian.org/Xen pour la mise en place de
 xen sur la machine.
 
 J'ai rebooté sur le noyau xen4 et j'ai eu deux failed pour xen dans
 les messages de démarrage.
 
 Connecté sur la machine, xm info me dit que xend ne doit pas être
 démarré. et c'est ben le cas !
 
 Les traces /var/log/xen/xend.log donne cela après un 'xend start'
 
  extrait de /var/log/xen/xend.log 
 [2010-12-12 10:15:32 1810] INFO (SrvDaemon:332) Xend Daemon started
 [2010-12-12 10:15:32 1810] INFO (SrvDaemon:336) Xend changeset:
 unavailable. [2010-12-12 10:15:32 1810] ERROR (SrvDaemon:349) Exception
 starting xend (Broken capability chain: :04:07.0) Traceback (most
 recent call last): File

[ ... SNIP ... ]

  extrait de /var/log/xen/xend.log 
 
 Configuration de la machine
 uname -a
 Linux xianco 2.6.32-5-xen-amd64 #1 SMP Thu Nov 25 20:08:32 UTC 2010
 x86_64 GNU/Linux
 
 Qu'ai-je raté ?
 merci de votre aide
 
 Yann.
 

Bonjour,
Il semble que ce soit lié à un problème de détection PCI par Xen.
As-tu compilé Xen depuis les sources, ou utilises-tu les paquets de
Squeeze ?
Dans le premier cas, je te conseille d'utiliser également le noyau Dom0
fourni par Xen: j'ai constaté quelques soucis de compatibilité sans
avoir eu le courage de creuser (je sais, c'est mal :-) )
Il faut dire que le portage du noyau Dom0 vers PVOPS, bien que stable,
évolue pas mal entre les versions.

Cordialement,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk0Emv4ACgkQM2eZoKJfKd0HyACgqKjEyUUGoeenMDxDN5p712oQ
4csAn0zjrtqZHEw88nQADTGMKzLjs4YP
=CQ+e
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4d049afe.2050...@jbfavre.org

Re: Xen sous lenny et noyau 2.6.32 de squeeze

[Jean Baptiste Favre]

Bonjour,
 Pour les domU en revanche, le noyau étant mappé en mémoire, il faudra
 rebooter le domU pour autant que je sache. Je ne suis pas sûr que des
 outils comme KSplice gère le cas des domU en paravirtualisation.
 La migration peut être tentée après l'upgrade du noyau domU sur le dom0,
 si les bouts de noyau modifiés ne sont pas utilisés par le domU, mais
 j'ai quand même un gros doute sur la faisabilité du truc.
 Perso, je n'ai jamais cherché à jouer avec ça: soit la VM est vitale (et
 donc doublée), soit elle ne l'est pas et je reboote.
 Ok.
 Chez moi les domU bootent en quelques secondes (la plupart du temps moins
 de 10 secondes). Par contre, mes dom0 (en boot on SAN) mettent au moins
 5 minutes à rebooter. C'est pour cette dizaine de minutes nécessaire à
 la màj + reboot que j'envisage la procédure évoquée. Je l'ai testée
 hier au
 soir sur un Dom0 et ça a plutôt bien marché, même si sur certains domU
 j'ai eu
 le problème du Time went backwards. Je met en place le workaround #3
 http://wiki.debian.org/Xen#A.27clocksource.2BAC8-0.3ATimewentbackwards.27
 On verra bien lors de la prochaine màj de noyau.
J'ai posé la question à la liste xen-users sur ce sujet. La réponse qui
m'a été donnée est la suivante:
Le noyau étant totalement mappé en mémoire, la migration ne devrait pas
poser de problème. En revanche, il faudra toujours rebooter pour que la
mise à jour soit prise en compte.

Du coup, ta solution devrait être viable :)

Cordialement,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4cf8cc95.6030...@jbfavre.org

Re: Xen sous lenny et noyau 2.6.32 de squeeze

[Jean Baptiste Favre]

Le 01/12/2010 23:33, Guy Roussin a écrit :
 Le 01/12/2010 20:47, Jean Baptiste FAVRE a écrit :
 Il suffit de le mettre ailleurs, par exemple dans /boot/xen et d'adapter
 la configuration des VM en conséquence.
 Merci beaucoup Jean Baptiste, c'est ce que je viens de faire et ça le
 fait bien !

 Question au passage, comment gérez vous les upgrades de kernel
 (2.6.26) du dom0 (lenny)
 et de tous les domU (lenny et squeeze) lorsqu'on a la possibilité de
 migrer les machines
 virtuelles sur un dom0-backup de secours (qui accède au même disque en
 LV) ?

 Est-ce que cet ordre est ok :
 1 . upgrade du dom0-backup et reboot
 2 . migration des VMs du dom0 vers dom0-backup
 3 . upgrade dom0 et reboot
 4 . migration des VMs du dom0-backup vers le dom0
Bonjour,
Concernant la mise à jour des noyaux du dom0, pas de secret, il faut
rebooter. La seule exception pourrait être d'utiliser des outils comme
ksplice, mais je ne suis pas sûr qu'ils supportent un noyau xenifié (à
vérifier sur le site).

Pour les domU en revanche, le noyau étant mappé en mémoire, il faudra
rebooter le domU pour autant que je sache. Je ne suis pas sûr que des
outils comme KSplice gère le cas des domU en paravirtualisation.
La migration peut être tentée après l'upgrade du noyau domU sur le dom0,
si les bouts de noyau modifiés ne sont pas utilisés par le domU, mais
j'ai quand même un gros doute sur la faisabilité du truc.
Perso, je n'ai jamais cherché à jouer avec ça: soit la VM est vitale (et
donc doublée), soit elle ne l'est pas et je reboote.

Cordialement,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4cf75ab5.9070...@jbfavre.org

Re: Xen sous lenny et noyau 2.6.32 de squeeze

[Jean Baptiste FAVRE]

Il suffit de le mettre ailleurs, par exemple dans /boot/xen et d'adapter
la configuration des VM en conséquence.

Cordialement,
JB

Le 01/12/2010 17:51, Guy Roussin a écrit :
 Bonsoir,
 
 J'ai un dom0 xen (3.2.1) lenny amd64 (noyau 2.6.26-2).
 
 Pour faire tourner quelques domU avec squeeze, j'ai mis
 ça à la main en plus du 2.6.26 dans le /boot/ du dom0 :
 # ls -al *32*
 -rw-r--r-- 1 root root  106724 déc  1 17:24 config-2.6.32-5-xen-amd64
 -rw-r--r-- 1 root root 9073101 déc  1 17:24 initrd.img-2.6.32-5-xen-amd64
 -rw-r--r-- 1 root root 1693529 déc  1 17:24 System.map-2.6.32-5-xen-amd64
 -rw-r--r-- 1 root root 2472320 déc  1 17:24 vmlinuz-2.6.32-5-xen-amd64
 
 Pour l'instant les domU squeeze (et lucid aussi) fonctionnent bien.
 
 Le truc c'est que lors d'une mise à jour du dom0, un update-grub
 me prend en compte ce noyau 2.6.32 et me le met comme noyau de
 boot par defaut (dans le menu.lst) du dom0 ! Et là le dom0 ne
 boote pas ...
 Y a t-il une méthode propre pour éviter ce comportement et continuer
 à booter le dom0 sur le 2.6.26 ?
 
 Merci.
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4cf6a650.50...@jbfavre.org

Configuration GDM

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonsoir,
J'aimerais adapter la configuration de GDM.
Rien de bien méchant: dans la mesure où je suis le seul utilisateur du
PC, je voudrais cacher les menus déroulant de choix de locale et
d'agencement de clavier, ainsi que celui de choix du gestionnaire de
fenêtre.

J'ai déjà réussi à cacher le menu d'accessibilité dans
/etc/gdm3/greeter.gconf-defaults mais je n'ai rien trouvé pour les menus
déroulant.

J'ai essayé de regarder dans /usr/share/gdm/gdm-greeter-login-window.ui
mais ça n'a pas l'air d'être là non plus.

Une idée ?

Merci d'avance,
JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAkze1ZAACgkQM2eZoKJfKd0T7ACgk20VJ9KrWwoBEO5iAB1hzdA4
eGEAnRlDJzx/scHGBhAiHtesSX37fbof
=EtWx
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4cded590.9030...@jbfavre.org

Re: Configuration GDM

[Jean Baptiste FAVRE]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Le 13/11/2010 21:17, Jérôme a écrit :
 Le samedi 13 novembre 2010 à 19:14 +0100, Jean Baptiste FAVRE a écrit :
 Bonsoir,
 J'aimerais adapter la configuration de GDM.

 J'ai déjà réussi à cacher le menu d'accessibilité dans
 /etc/gdm3/greeter.gconf-defaults mais je n'ai rien trouvé pour les menus
 déroulant.

 J'ai essayé de regarder dans /usr/share/gdm/gdm-greeter-login-window.ui
 mais ça n'a pas l'air d'être là non plus.

 Une idée ?

 Merci d'avance,
 JB
 
 Un peu pénible gdm3 d'avoir réduit au minimum l'interface de config. En
 même temps chez moi (debian) la barre d'accessibilité n'est pas gênante
 (affichage en bas après avoir rentré le nom) et plutôt utile.
Je ne dis pas que ce n'est pas utile, ni même encombrant, mais c'est
l'occasion pour moi de découvrir comment ça marche en profondeur et,
accessoirement, d'obtenir une interface dépouillée du superflu ce qui,
évidemment, est un avis totalement personnel ;-)

 Par contre pour le thème, j'ai une astuce plutôt pratique, avis aux
 amateurs :
 
 cp /usr/share/applications/gnome-appearance-properties.desktop 
 /usr/share/gdm/autostart/LoginWindow
 ## affiche le menu d'apparence gnome-appearance-properties au chargement
 de la fenêtre de connection. Pratique pour mettre clearlook quand
 l'esthétique du thème ubuntu vous donne de l'urticaire.
 
 unlink 
 /usr/share/gdm/autostart/LoginWindow/gnome-appearance-properties.desktop
 ## supprime l'affichage du menu d'apparence.
Vais tester ça de ce pas.

JB
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAkzfC6sACgkQM2eZoKJfKd2XXwCfYKSnxRggfpsVcwsML2IjjsF9
KbAAoIejmTuhaPJLyc6avB0DujzvZ8sI
=VY0A
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4cdf0bab.9040...@jbfavre.org

Re: Ma Debian victime de l'exploit dd_ssh ... Oh my god !

[Jean Baptiste FAVRE]

Des 0-Day Apache pas rares ? Je serais curieux d'avoir quelques exemples.

Parce que des failles PhpMyAdmin, OK, des failles Webmail je veux bien,
des failles Apaches même d'accord, mais des 0-Day Apache, ça fait un
sacré bail que je n'en ai pas vu.

Cordialement,
JB


On 15/08/2010 20:41, Cornichon wrote:
 
 Le 15 août 2010 20:26, JC jc2...@aygalenq.net
 mailto:jc2...@aygalenq.net a écrit :
 
 
 Néanmoins et si j'ai bien compris ce que je viens de lire, cette
 faille de
 phpMyAdmin a été corrigé au mois d'avril de cette année par Debian.
 Donc le serveur n'était pas vraiment ce que l'on appelle à jour, non ?
 
 
 Effectivement, ceci a été corrigé le 17 avril ; voir les CVE-2008-7251,
 CVE-2008-7252 et CVE-2009-4605.
 Plus généralement, je m'interroge sur la nécessité d'avoir un phpmyadmin
 accessible de l'extérieur. Une application à ce point sensible devrait
 au pire être protégée par de solides ACLs. Les mises à jours de sécurité
 proposées par debian ne suffisent pas. Les 0 day d'apache ou phpmyadmin
 sont loin d'être rares.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c684002.8010...@jbfavre.org

Re: [HS] Virtualisation

[Jean Baptiste FAVRE]

Bonsoir,

On 22/07/2010 12:02, JF Straeten wrote:
 C'est sur ce principe que fonctionne Qubes, qui paraît très
 prometteur.
 
 Intéressant, en effet. Et la roadmap semble serrée (une version 1.0
 pour la fin de l'année, apparemment, c'est pas mal).
 
 Mais as-tu vu quelque part les raisons du choix de Xen plutôt que KVM
 (je n'ai pas lu leur PDF...) ?
Pour faire court, l'hyperviseur KVM est intégré à l'équivalent du Dom0.
Chez Xen, le dom0 est lui-même une VM avec des privilèges.

En d'autres termes, l'hypervisuer Xen lance une VM privilégiée appelée
dom0 là où KVM est lancé par l'OS de gestion.

Donc, dans le principe, si tu parviens à compromettre l'OS de gestion de
KVM (appelé dom0 sous Xen), tu as immédiatement et implicitement accès
à l'hyperviseur. Pour Xen, compromettre le dom0 ne signifie pas
compromettre l'hyperviseur.

Tout ceci est censé renforcer la sécurité de Xen par rapport à d'autres
soutions de virtualisation.

Mais ce n'est valable que tant qu'on n'aura pas démontré de faille
prouvant le contraire ;-)

@+
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c488d06.8050...@jbfavre.org

Re: [HS] Virtualisation

[Jean Baptiste FAVRE]

Re,

On 22/07/2010 22:49, JF Straeten wrote:
 Re,
 
 On Thu, Jul 22, 2010 at 08:25:10PM +0200, Jean Baptiste FAVRE wrote:
 
 Mais as-tu vu quelque part les raisons du choix de Xen plutôt que KVM
 (je n'ai pas lu leur PDF...) ?
 
 Donc, dans le principe, si tu parviens à compromettre l'OS de
 gestion de KVM (appelé dom0 sous Xen), tu as immédiatement et
 implicitement accès à l'hyperviseur. Pour Xen, compromettre le dom0
 ne signifie pas compromettre l'hyperviseur.
  
 Tout ceci est censé renforcer la sécurité de Xen par rapport à
 d'autres soutions de virtualisation.
  
 Mais ce n'est valable que tant qu'on n'aura pas démontré de faille
 prouvant le contraire ;-)
 
 Hmm... le dom0, c'est Xen + un noyau dessus, non ?
En fait, pas exactement.

Xen, c'est l'hyperviseur, il est tout seul.
Il lance automatiquement un OS classique en machine virtuelle. Cette
machine est privilégiée, mais n'a pas d'autres accès à l'hyperviseur que
ceux qu'il veut bien exposer.
Par exemple, c'est comme cela que Qube OS parvient à séparer les
fonctions stockage et réseau: l'hyperviseur donne accès à la carte
réseau à une VM non privilégiée et au stockage à une autre.

Dans  le cas de KVM, c'est un OS classique qui est lancé, OS auquel on
adjoint un mécanisme d'hypervision. Cette capacité est gérée par un
module du noyau. Donc, l'OS est l'hyperviseur, ce qui n'est pas le cas
de Xen.

De mémoire il y a en plus des histoires de ring des processeurs, mais je
ne maîtrise que peu cet aspect des choses, notamment pour KVM.

 
 Donc, si je ne dis pas de bêtise, l'ensemble du code Xen + noyau est
 plus important que le noyau tout seul qui contient KVM...
 
 Est-ce que ça n'augmente pas logiquement la probabilité d'une faille
 s'il y a plus de code ?
En fait non car dans le cas de KVM, il faudrait prendre en compte tout l'OS.

Mais je suis loin d'être un spécialiste en la matière. Je ne fais que
retranscrire ce que j'ai compris (ou cru comprendre) de mes lectures sur
le sujet ;-)

@+
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c48b9bc.2020...@jbfavre.org

Re: [HS] Virtualisation

[Jean Baptiste FAVRE]

Re,

On 22/07/2010 22:27, Daniel Huhardeaux wrote:
 Le 22/07/2010 20:25, Jean Baptiste FAVRE a écrit :
 [...]
 Donc, dans le principe, si tu parviens à compromettre l'OS de gestion de
 KVM (appelé dom0 sous Xen), tu as immédiatement et implicitement accès
 à l'hyperviseur. Pour Xen, compromettre le dom0 ne signifie pas
 compromettre l'hyperviseur.

 Tout ceci est censé renforcer la sécurité de Xen par rapport à d'autres
 soutions de virtualisation.

 
 Mais que faire d'un Xen dont la dom0 est compromise? Dans les deux cas
 de figure les VM sont corrompues. La seule éventuelle différence à mes
 yeux est que le système hote d'un Xen ne serait pas corrompu. Et le
 serait par définition me ferait recommencer de zéro.
Pas nécessairement car toutes les communications (au sens process et pas
au sens réseau) entre VM doivent passer par l'hyperviseur, y compris
celles entre le dom0 et un domU.
Donc, la compromission du dom0 n'implique pas nécessairement la
compromission du domU, en tout cas pas facilement.

Dans l'exemple de Qcube OS, leur pdf est super bien foutu et explique
beaucoup mieux que ce que je pourrais faire pourquoi Xen possède,
d'après eux, un avantage sur KVM.

 Je continue donc à préférer KVM ;-)
Personne n'est parfait :-p
Les goûts et les couleurs... :-D

@+
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4c48bc10.4090...@jbfavre.org

hardening debian

[Jean Baptiste FAVRE]

Bonjour la liste,

J'ai découvert il y a quelques jours le paquet hardening-wrapper qui
permet de compiler des binaires en activant les options de protections
de GCC.

J'ai donc décidé d'essayer cela sur un de mes dom0 Xen histoire d'en
renforcer autant que faire se peut la sécurité (il n'y a pas de troll
inside ;-) ).

Mais avant de me lancer la-dedans, j'aimerais savoir si certains d'entre
vous l'ont déjà essayé ?
A priori, les options de protections sont intéressantes et rendent
l'exploitation d'une vulnérabilité sinon impossible, en tout cas plus
difficiles.
Existent-il des paquets Debian récalcitrants ? Je dis ça parce que la
sécurité d'un tout est égale à la sécurité du maillon le plus faible.
Donc, si un paquet ne fonctionne plus après avoir été compilé avec les
options hardening, c'est peut-être pas la peine de me lancer là-dedans,
d'autant que je n'ai pas des masses de ressources pour la compilation.

Enfin, le jeu en vaut-il la chandelle ? Vu qu'il faudra recompiler tous
les paquets avant de les installer sur mes dom0, est-ce que le temps
passé à faire ça vaut le gain de sécurité ? Ce point est évidemment
subjectif ;-)

En tout cas, je suis preneur de retours d'expérience là-dessus.

Cordialement,
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4bdda5cc.7090...@jbfavre.org

load-balancing ProFTPD par pen

[Jean Baptiste FAVRE]

Bonsoir la liste,
J'ai besoin de load-balancer 2 serveurs ProFTPd.
Pour des questions de ressources, j'envisageais de le faire avec pen.
Le site officiel indique que c'est faisable, mais pour ma part je n'y
arrive pas.

J'ai bien essayé de jouer avec la directive MasqueradeAddress de ProFTPd
mais sans succès.

Quelqu'un aurait-il une solution ?

Cordialement,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4b82e237.3000...@jbfavre.org

Re: Mise à jour parc serveurs Debian

[Jean Baptiste Favre]

Bonjour,

Par exemple:
apt-cache search cluster shell
...
clusterssh - Administrer de multiples shells ssh ou rsh simultanément

Mais, à mon humble avis, ce n'est jamais une bonne idée de déclencher
les mises à jour en simultané sur tout le parc:
- D'abord pour un problème de perf (tous les serveurs vont télécharger
le même contenu en même temps sur le même serveur), mais ceci ce règle
avec apt-proxy.
- Mais surtout parce que, même rare, on n'est jamais à l'abri d'une
régression lors de la mise à jour. Et là, il vaut mieux avoir une
machine impactée que 100 ;-)

JB


Gilles Guiot a écrit :
 Bonjour,
 
 Confronté à la problématique de mise à jour de plusieurs serveurs Debian
 (pour la plupart en stable) j'aurais aimé savoir comment les personnes
 géraient cet aspect de l'administration (outil dédié, script en place,
 astuces) Et accessoirement s'il y a une commande qui limite les upgrades
 aux mises à jour de sécurité ?
 
 En remerciant par avance les personnes qui voudront bien me (nous ?)
 faire part de leur expérience.
 
 Bonne journée
 
 
 Gilles
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Xen + Snort

[Jean Baptiste Favre]

Bonjour,
Il me semble que l'interface physique est renommée en peth0 par Xen.

D'autre part, les bonnes pratique recommandent de n'installer que le
strict minimum sur le Dom0, puisqu'il est privilégié.
Installer Snort dans un DomU serait peut-être plus adapté.

Cordialement,
JB


Cornichon a écrit :
 Salut à tous,
 
 On dispose d'un parc serveurs virtualisés par xen (2.6.26 amd64 - lenny).
 Sur la machine dom0, voici le début la chaine forward (par défaut) :
 
 Chain FORWARD (policy ACCEPT)
 target prot opt source   destination
 ACCEPT all  --  0.0.0.0/00.0.0.0/0   PHYSDEV
 match --physdev-in vif1.0
 ACCEPT all  --  0.0.0.0/00.0.0.0/0   PHYSDEV
 match --physdev-in vif1.1
 ACCEPT all  --  0.0.0.0/00.0.0.0/0   PHYSDEV
 match --physdev-in vif2.0
 ACCEPT all  --  0.0.0.0/00.0.0.0/0   PHYSDEV
 
 
 
 
 L'interface qui m'intéresse est eth0 (DMZ) :
 eth0  Link encap:Ethernet  HWaddr 00:05:5d:2c:13:ff
   UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
   RX packets:1269 errors:0 dropped:0 overruns:0 frame:0
   TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
   collisions:0 lg file transmission:0
   RX bytes:46584 (45.4 KiB)  TX bytes:569 (569.0 B)
 
 
 Pour être plus clair, eth0 est bridgée et permet aux différentes
 machines virtuelles d'avoir leur propre IP sur le réseau.
 Bien que toutes les données des domU passent par eth0, on n'y voit aucun
 traffic : RX bytes:46584 (45.4 KiB)  TX bytes:569 (569.0 B)
 
 
 J'en viens maintenant à l'IDS. On voudrait placer un snort sur le dom0,
 qui écoute eth0.
 Mais le problème est que le trafic ne semble pas être capté par eth0.
 Quelles solutions s'offrent à nous?
 
 
 J'espère avoir clair dans mes explications..
 Merci pour vos lumières.
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Debian+LVM+RAID

[Jean Baptiste Favre]

Bonjour,
Au moment de l'installation, il faut:
1. Partitionner tes disques (type de fichier: RAID)
2. Mettre en place le RAID (RAID 1 OK)
3. À partir les MD RAID, mettre en place le LVM.
4. Créer le système de fichiers sur  les LV
5. Installer le système.

C'est juste un peu perturbant au début, mais on se fait à cette nouvelle
logique.
JB

Vilasith Phonepadith a écrit :
 Bonjour,
 
 Il y deux jour que j'ai étudié sur LVM+RAID, et j'ai fait qq tests. J'ai
 besoin vos conseils d'installation de Debian, version 5.0 de Lenny.
 
 Problème: je dois installer Debian avec les besoins suivant:
 
 * partition: utiliser le système LVM pour le partitionnement des
   serveurs
 * si possible sur des disques RAID1 (mirroir)
 
 
 J'arrive pas à comprendre bien ce qui doit faire avant, après ou en même
 temps. Si on installe normal, c'est normal. Mais avec LVM+RAID, c'est
 autre chose et anormal.
 
 Merci beaucoup par avance, et bonne journée.
 
 Vilasith
 
 
 What can you do with the new Windows Live? Find out
 http://www.microsoft.com/windows/windowslive/default.aspx

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Debian+LVM+RAID

[Jean Baptiste Favre]

Bonjour,
Si je me souviens bien, il faut choisir le partionnement manuel et
dérouler les étapes dans mon mail précédent.

Sauf erreur de ma part (pas impossible car j'installe tout en auto
maintenant), le choix 2 (Guide - use entire disk and set up LVM) ne
prend pas en compte le RAID Soft.

Cordialement,
JB

Vilasith Phonepadith a écrit :
 Bonjour,
 
 Mais quand il me demande de ces choix, lequel que je dois choisir?
 
 * Guide - use entire disk
 * Guide - use entire disk and set up LVM
 * Guide - use entire disk and set up encrypted LVM
 * Manuel
 
 
 Je suppose de deuxième choix (Guide - use entire disk and set up LVM),
 n'est-ce pas?
 
 Merci
 
 Vilasith
 
 Date: Thu, 9 Jul 2009 08:12:25 +0200
 From: debian...@jbfavre.org
 To: debian-user-french@lists.debian.org
 Subject: Re: Debian+LVM+RAID

 Bonjour,
 Au moment de l'installation, il faut:
 1. Partitionner tes disques (type de fichier: RAID)
 2. Mettre en place le RAID (RAID 1 OK)
 3. À partir les MD RAID, mettre en place le LVM.
 4. Créer le système de fichiers sur les LV
 5. Installer le système.

 C'est juste un peu perturbant au début, mais on se fait à cette nouvelle
 logique.
 JB

 Vilasith Phonepadith a écrit :
  Bonjour,
 
  Il y deux jour que j'ai étudié sur LVM+RAID, et j'ai fait qq tests. J'ai
  besoin vos conseils d'installation de Debian, version 5.0 de Lenny.
 
  Problème: je dois installer Debian avec les besoins suivant:
 
  * partition: utiliser le système LVM pour le partitionnement des
  serveurs
  * si possible sur des disques RAID1 (mirroir)
 
 
  J'arrive pas à comprendre bien ce qui doit faire avant, après ou en même
  temps. Si on installe normal, c'est normal. Mais avec LVM+RAID, c'est
  autre chose et anormal.
 
  Merci beaucoup par avance, et bonne journée.
 
  Vilasith
 
  
  What can you do with the new Windows Live? Find out
  http://www.microsoft.com/windows/windowslive/default.aspx

 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
 ``spam'' dans vos champs From et Reply-To:

 Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
 vers debian-user-french-requ...@lists.debian.org
 En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

 
 
 Invite your mail contacts to join your friends list with Windows Live
 Spaces. It's easy! Try it!
 http://spaces.live.com/spacesapi.aspx?wx_action=createwx_url=/friends.aspxmkt=en-us

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: debian et baladeur mp4

[Jean Baptiste Favre]

Bonjour,
Sans hésitation: Cowon iAudio
Perso, j'ai un A3.
Ils sont reconnus comme stockage de masse en USB donc accès ultra simple
aux fichiers.
De plus, pas besoin de soft spécialisés (sous Windows uniquement) pour
mettre à jour le firmware: il suffit de copier les fichiers à la racine
du disque et de redémarrer la bête.

Enfin, le site est super bien fait et les instruction de mise à jour
très claires.

Cerise sur le gâteau, le format OGG est reconnu nativement ;-)

Cordialement,
JB

Franck Delage a écrit :
 Salut à tous,
 
 je cherche à acheter pour l'anniv de ma fille (10 ans !)
 un baladeur mp4 de bonne facture et qui ne me gonfle pas
 avec ma Lenny, voire qui tourne sous Linux.
 
 je cherche en même temps sur google, mais je me dis que 
 vous avez sûrement un avis à me donner.
 
 merci d'avance.
 
 Franck.
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: debian et baladeur mp4

[Jean Baptiste Favre]

Edi Stojicevic a écrit :
 * Jean Baptiste Favre debian...@jbfavre.org [2009-03-19 17:00:55 +0100] 
 wrote :
 [..]
 
 Bonjour,
 Sans hésitation: Cowon iAudio
 
 Je connaissais pas cette marque ...
 
 Perso, j'ai un A3.
 
 Je viens de voir le S9 sur leur site qui a des airs d'iPhone  Co.
 Existe-t-il un revendeur en France ? 
Oui, j'ai vu cette marque dans plusieurs magasins, Surcouf par exemple
(mais pas que)

 Ils sont reconnus comme stockage de masse en USB donc accès ultra simple
 aux fichiers.
 De plus, pas besoin de soft spécialisés (sous Windows uniquement) pour
 mettre à jour le firmware: il suffit de copier les fichiers à la racine
 du disque et de redémarrer la bête.
 
 Et pour les vidéos ? 
Les quelques tests que j'ai pu faire avec une ancienne version du
firmware posaient des soucis au bout d'une heure, une heure 1/4.
Il y a eu une mise à jour du firmware il y a 1 mois. Je l'ai appliquée
cet AM. Je teste et je fais un retour.
Pour l'encodage, un format iPod passe bien.

Cordialement,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs From et Reply-To:

Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: Un serveur Xen pour 2 sous-réseaux

[Jean Baptiste Favre]

Bonjour,

Arnaud Jayet a écrit :
SNIP
Le plus marrant: bonding réseau sur les 2 eth, 2 IP, 1 par VLAN 
(taggués) et les DomU sont bindés sur la pseudo-interface 
correspondant à leur VLAN avec une IP dans le bon ss-réseau.
L'avantage ici, c'est que si tu perds unswitch (mise à jour, panne, 
...) le trafic passe de manière transparente par l'autre.


ça j'ai pas encore essayé mais ça fait partie de ma to try list
tu n'aurais un exemple de fichier de configuration bonding+8021q+bridge 
XEN ? ça m'intéressait bcp STP. merci.
Ben en fait, non (je sais, c'est mal de proposer des solutions qu'on n'a 
pas testées).

J'ai une conf d'aggrégation d'interfaces réseaux sous Debian:
http://www.debian-administration.org/articles/350 (trouvé là: 
http://wiki.debian.org/NetworkConfiguration)


J'ai aussi, comme tout le monde, la conf réseau Xen par défaut.
Mettre les 2 ensemble fait également partie de ma liste 
a-faire-absolument ;-)


Mais je me dis que monter un bridge Xen sur eth0 ou bond0 ne change 
pas grand'chose au final d'un point de vue configuration. En revanche, 
d'un point de vur technique, c'est génial car on ne change plus d'IP 
lors de la bascule de carte physique et donc, les connexions réseau ne 
sont pas perdues (sauf peut-être si l'interruption est trop longue).


Cordialement,
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Un serveur Xen pour 2 sous-réseaux

[Jean Baptiste Favre]

Bonjour,

Le plus simple: 2 bridges, 1 par eth. 2 IP, 1 par eth (donc par ss-réseau).
Les domU sont bindés sur le bridge adapté.
C'est (presque) la conf par défaut de Xen sous Debian, au deuxième 
bridge près.


Le plus marrant: bonding réseau sur les 2 eth, 2 IP, 1 par VLAN 
(taggués) et les DomU sont bindés sur la pseudo-interface 
correspondant à leur VLAN avec une IP dans le bon ss-réseau.
L'avantage ici, c'est que si tu perds unswitch (mise à jour, panne, ...) 
le trafic passe de manière transparente par l'autre.


Cordialement,
JB


Guy Roussin a écrit :

Bonjour,

J'ai deux sous réseaux (classe C) ...

Je veux mettre en place un serveur XEN sur un
sous-réseau (dom0) avec des domU dont les hôtes
pourraient appartenir à un sous-réseau ou à l'autre.
Mon serveur est équipé de 2 cartes réseaux,
connecté à un switch manageable (vlan ...).

Comment puis-je m'y prendre (debian lenny) ?

Merci.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Firmwares et install de lenny

[Jean Baptiste Favre]

Bonsoir,
J'ai trouvé ça dans mes RSS:
http://dannf.org/bloggf/tech/add-firmware-to.html

L'idée est d'intégrer le firmware directement dans l'image ISO.
Je n'ai pas testé, mais ça pourrait peut-être résoudre ton problème.
Cordialement,
JB


Guy Roussin a écrit :

Bonsoir,

Je viens de télécharger la version amd64 de lenny en iso de 180Mo.

Lors de l'install dans la phase de détecter le matériel réseau, j'ai 
le message suivant :

...
Les fichiers microcode manquant sont : ql2400_fw.bin bnx2-06-4.0.5.fw
Faut-il charger le microcode manquant depuis un support amovible (Oui/Non)


J'ai mis une cle USB avec les fichiers en question à la racine mais ça ne
marche pas.

Un terminal busybox me montre que la clé USB est reconnue mais
pas montée ...
mount /dev/sdc1 /mnt me renvoie failed: Invalid argument.
J'ai essayé différentes options sans succès (-t ext2, ...)

Cette machine n'a pas de lecteur de disquette ...

Merci.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Installation automatique de debian et partitionnement

[Jean Baptiste FAVRE]

Bonjour la liste,

Après les questions metaphysiques sur Xen et LVM, me voilà en bute a un 
autre souci:
J'essaye de réaliser une installation automatique de machine Xen sous 
Debian via PXE avec un fichier preseed.

Tout va bien sauf... le partitionnement de mon disque.

Je suis parti de là:
http://d-i.alioth.debian.org/manual/en.i386/apbs04.html#preseed-partman
et d'autres exemples glanés sur le net (notamment là: http://hands.com/)

Ce que je voudrais faire:
- Partitionnement assisté LVM
- Partition /home séparée

Au mieux, il ne prend pas en compte mes réglages, au pire un message 
d'erreur apparaît à propos du nom de VG qui existe déjà.

Ceci m'étonne un peu dans la mesure où j'efface le disque à chaque fois.

Une piste ?
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Installation automatique de debian et partitionnement

[Jean Baptiste FAVRE]

Re (et c'est fini pour aujourd'hui ;-) )
Bon, j'ai fini par réussir mes install.
En fait, j'ai l'impression qu'effectivement LVM n'initialise pas ou pas 
bien le LV dans le Dom0.


Du coup, lorsque je veux réinstaller un DomU, je suis obligé de faire:
lvremove
lvcreate
dd if=/dev/urandom of=/dev/XenHosting/xps-103.disk.1 bs=1G
xm create

Un peu chiant car un peu long, mais pas dramatique. Je vais peut-être 
essayée avec moins de 1G, faut p'tre pas exagérer ;-)
Je suis en tout cas toujours preneur de conseils pour me débarrasser du 
dd :-)


Merci,
JB

Jean Baptiste FAVRE a écrit :


Re,
En fait, j'ai l'impression d'être tombé sur un comportement bizarre de 
LVM dans le Dom0:


- Je créée un LV tout neuf pour mon DomU:

SNIP


- J'installe mon DomU dans ce LV avec le paramétrage suivant pour le 
preseed:

SNIP


Tout va bien ! L'installation se fait en automatique, comme je le veux, 
le DomU redémarre correctement.


- J'éteins (un peu brutalement je l'avoue) mon DomU:
# xm shutdown xps-104

- Je détruis et recrééele LV:
# lvremove -f /dev/XenVG/xps-104.disk.1
  Logical volume xps-104.disk.1 successfully removed
# lvcreate XenVG -n xps-104.disk.1 -L 10G
  Logical volume xps-104.disk.1 created

- Je recréée mon Domu et j'ai l'erreur.

J'en déduis donc qu'il y a une sorte de rémanence, c'est-à-dire que le 
LV dans le Dom0 n'est pas effacé correctement. Du coup, lorsqu'il est 
recréé, le VG est toujours là et l'installeur Debian perd les pédales.


C'est embêtant dans la mesure où cela m'oblige à faire mes tests sur des 
DomU différents à chaque fois (mon install créée le LV en fnction du nom 
du DomU). C'est juste fatigant ;-)



Une piste pour forcer la réinitialisation du LV dans le Dom0 ?
JB

Gilles Mocellin a écrit :
Le Tuesday 11 November 2008 12:28:17 Jean Baptiste FAVRE, vous avez 
écrit :

Bonjour la liste,

Après les questions metaphysiques sur Xen et LVM, me voilà en bute a un
autre souci:
J'essaye de réaliser une installation automatique de machine Xen sous
Debian via PXE avec un fichier preseed.
Tout va bien sauf... le partitionnement de mon disque.

Je suis parti de là:
http://d-i.alioth.debian.org/manual/en.i386/apbs04.html#preseed-partman
et d'autres exemples glanés sur le net (notamment là: http://hands.com/)

Ce que je voudrais faire:
- Partitionnement assisté LVM
- Partition /home séparée

Au mieux, il ne prend pas en compte mes réglages, au pire un message
d'erreur apparaît à propos du nom de VG qui existe déjà.
Ceci m'étonne un peu dans la mesure où j'efface le disque à chaque 
fois.


Une piste ?
JB


Le partitionnement LVM en preseed est vraiment minimal 
sous Etch.

J'espère que ça sera mieux avec Lenny.

Mon problème à moi, c'était que je ne voulais pas utiliser tout 
l'espace libre.

Et au bout d'un moment, j'avais compris qu'on était obligé.
Du coup je créais un LV que je supprimais après, avec un script...

Voici la partie concernant le partitionnement que j'ai testé :

SNIP

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Installation automatique de debian et partitionnement

[Jean Baptiste FAVRE]

Re,
En fait, j'ai l'impression d'être tombé sur un comportement bizarre de 
LVM dans le Dom0:


- Je créée un LV tout neuf pour mon DomU:
# lvcreate XenVG -n xps-104.disk.1 -L 10G
Résultat
# lvdisplay /dev/XenVG/xps-104.disk.1
  --- Logical volume ---
  LV Name/dev/XenVG/xps-104.disk.1
  VG NameXenHosting
  LV UUIDdbP9tN-sgV2-XYq0-mLBT-4J2J-MP4i-90GSX3
  LV Write Accessread/write
  LV Status  available
  # open 2
  LV Size10,00 GB
  Current LE 2560
  Segments   1
  Allocation inherit
  Read ahead sectors auto
  - currently set to 256
  Block device   254:3

- J'installe mon DomU dans ce LV avec le paramétrage suivant pour le 
preseed:

#
### Disk and partitions configuration
#
# LVM configuration
d-i partman-auto/disk   string /dev/hda
d-i partman-auto/method string lvm
d-i partman/confirm_write_new_label boolean true
d-i partman-auto/purge_lvm_from_device  boolean true
d-i partman-lvm/device_remove_lvm   boolean true
d-i partman-lvm/confirm boolean true
d-i partman-auto-lvm/new_vg_namestring
# Partitions repartition
d-i partman-auto/choose_recipe  select Partition /home séparée
d-i partman/choose_partitionselect Terminer le partitionnement et 
appliquer les changements

d-i partman/confirm boolean true
d-i partman-lvm/confirm_nochanges   boolean false

Tout va bien ! L'installation se fait en automatique, comme je le veux, 
le DomU redémarre correctement.


- J'éteins (un peu brutalement je l'avoue) mon DomU:
# xm shutdown xps-104

- Je détruis et recrééele LV:
# lvremove -f /dev/XenVG/xps-104.disk.1
  Logical volume xps-104.disk.1 successfully removed
# lvcreate XenVG -n xps-104.disk.1 -L 10G
  Logical volume xps-104.disk.1 created

- Je recréée mon Domu et j'ai l'erreur.

J'en déduis donc qu'il y a une sorte de rémanence, c'est-à-dire que le 
LV dans le Dom0 n'est pas effacé correctement. Du coup, lorsqu'il est 
recréé, le VG est toujours là et l'installeur Debian perd les pédales.


C'est embêtant dans la mesure où cela m'oblige à faire mes tests sur des 
DomU différents à chaque fois (mon install créée le LV en fnction du nom 
du DomU). C'est juste fatigant ;-)



Une piste pour forcer la réinitialisation du LV dans le Dom0 ?
JB

Gilles Mocellin a écrit :

Le Tuesday 11 November 2008 12:28:17 Jean Baptiste FAVRE, vous avez écrit :

Bonjour la liste,

Après les questions metaphysiques sur Xen et LVM, me voilà en bute a un
autre souci:
J'essaye de réaliser une installation automatique de machine Xen sous
Debian via PXE avec un fichier preseed.
Tout va bien sauf... le partitionnement de mon disque.

Je suis parti de là:
http://d-i.alioth.debian.org/manual/en.i386/apbs04.html#preseed-partman
et d'autres exemples glanés sur le net (notamment là: http://hands.com/)

Ce que je voudrais faire:
- Partitionnement assisté LVM
- Partition /home séparée

Au mieux, il ne prend pas en compte mes réglages, au pire un message
d'erreur apparaît à propos du nom de VG qui existe déjà.
Ceci m'étonne un peu dans la mesure où j'efface le disque à chaque fois.

Une piste ?
JB


Le partitionnement LVM en preseed est vraiment minimal sous 
Etch.

J'espère que ça sera mieux avec Lenny.

Mon problème à moi, c'était que je ne voulais pas utiliser tout l'espace 
libre.

Et au bout d'un moment, j'avais compris qu'on était obligé.
Du coup je créais un LV que je supprimais après, avec un script...

Voici la partie concernant le partitionnement que j'ai testé :

###
d-i partman-auto/method string lvm

# This makes partman automatically partition without confirmation.
d-i partman/confirm_write_new_label boolean true
d-i partman-auto/purge_lvm_from_device  boolean true
d-i partman-lvm/device_remove_lvm   boolean true
d-i partman-lvm/confirm boolean true
d-i partman-auto-lvm/new_vg_namestring vgsys
d-i partman-auto/expert_recipe  string ghm-serveur :: \
96 128 128 ext3 \
$primary{ } \
$bootable{ }\
method{ format }\
format{ }   \
use_filesystem{ }   \
filesystem{ ext3 }  \
options/noatime{ noatime }  \
mountpoint{ /boot } \
.   \
128 200% 512 linux-swap \
$lvmok{ }   \
method{ swap }  \
format

Re: RAID 5 matériel installation - retour d'expérience

[Jean Baptiste FAVRE]

Bonsoir,
Rien de spécial à dire: le RAID matériel va présenter un seul disque à 
l'OS, qui ne saura pas forcément qu'il a affaire à du RAID ;-)
Donc l'install devrait bien se passer, pour peu que ton disque soit 
reconnu par l'OS.


Pas forcément, parce qu'il faut se préoccuper du monitoring: comme l'OS 
ne voit pas les disques, il ne pourra pas t'alerter lorsque l'un d'entre 
eux tombe en panne. Et si tu n'as que 4 disques, cela veut dire que tu 
n'as pas de spare. Regarde donc du côté d'HP, ils proposent sûrement les 
logiciels pour monitorer la carte RAID et les disques. Avec ça, l'OS ne 
verra toujours qu'un seul disque, mais tu seras capable de surveiller la 
carte par le driver associé.


Enfin, si tu as besoin de perfs et que l'espace disque n'est pas vital, 
je te suggère de regarder du côté du RAID 10. Ça dépend des cartes RAID, 
mais j'ai eu jusqu'à 20% de gains en I/O sur un DELL PE2950. Pour une 
grosse base de données MySql, c'est loin d'être négligeable.


Cordialement,
JB


[EMAIL PROTECTED] a écrit :

Bonjour,

je dois installer un serveur HP Proliant ML350 G3 4 disque en RAID 5.
Avez-vous un retour d'expérience ou des liens how-to.

Je ne suis pas spécialiste du RAID ... beau challenge !

Merci d'avance



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Installation automatique de debian et partitionnement

[Jean Baptiste FAVRE]

Bonsoir,

Gilles Mocellin a écrit :

On Tue, Nov 11, 2008 at 04:21:43PM +0100, Jean Baptiste FAVRE wrote:

Re (et c'est fini pour aujourd'hui ;-) )
Bon, j'ai fini par réussir mes install.
En fait, j'ai l'impression qu'effectivement LVM n'initialise pas ou pas  
bien le LV dans le Dom0.


Du coup, lorsque je veux réinstaller un DomU, je suis obligé de faire:
lvremove
lvcreate
dd if=/dev/urandom of=/dev/XenHosting/xps-103.disk.1 bs=1G
xm create

Un peu chiant car un peu long, mais pas dramatique. Je vais peut-être  
essayée avec moins de 1G, faut p'tre pas exagérer ;-)
Je suis en tout cas toujours preneur de conseils pour me débarrasser du  
dd :-)


Ca ressemble a des infos (VGDA) qui reste physiquement sur le disque.

On dirait oui... mais je découvre un peu tout ça ;-)


Après le lvremove, est-ce-qu'un lvscan trouve quelque chose ?
non, rien du tout. Il me montre bien les LV actifs, mais pas celui que 
je viens de supprimer (ce qui est logique quelque part).



Sinon, tu pourrais aussi jouer l'installation sans pressed (en tout cas pour la 
partie partitionnement) pour voir s'il y a une différence de comportement entre 
les deux cas (lv écrasé avec le dd ou non).
Il y a peut-être une question du style ce LV existe déjà, voulez-vouus vraiment 
utiliser ce nom ?

J'essaierai ça dès demain ;-)

Bonne nuit,
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Limitation du nombre de partitions par disque SATA

[Jean Baptiste FAVRE]

Bonjour Gilles,
C'était mon idée de départ, mis à part le SAN dont je ne dispose pas 
chez moi ;-)
Mais, cf. le début du thread, je me heurtais à un autre problème: la 
limitation noyau à 15 partitions par disque SATA. Les suivantes ne sont 
pas détectées et créées dans /dev.


Du coup, je me suis orienté vers un PV sur mon disque, un VG 
correspondant et un LV par machine virtuelle. Ce LV est vu comme un 
disque par le DomU.
Sauf que du coup, je n'ai plus accès aux partitions DomU depuis le Dom0 
pour, par exemple, monter le filesystem en cas de crash du DomU.
Je n'ai accès qu'au disque (le LV), mais ne vois pas les partitions 
que le DomU y a créé.


Accessoirement, je suis aussi confronté à un problème pour 
redimensionner une partition du DomU malgré un lvextend. Même à 
l'intérieur du DomU, ça ne marche pas bien qu'il voie l'espace libre. 
Mais c'est sans doute un peu HS ici.


JB


Gilles Mocellin a écrit :

On Sat, Nov 08, 2008 at 10:31:02PM +0100, Jean Baptiste FAVRE wrote:

Bonsoir,

La finalité est effectivement la souplesse, ou plus exactement  
l'indépendance des XEN entre elles d'un point de vue système de fichier.  
L'aspect sécurité est également important mais viendra dans un second  
temps, dès que j'aurai réglé ce souci ;-)



[...]

Du coup, je ne comprends plus bien l'utilité des VG. M'enfin, je vais me  
replonger dans les tutos LVM pour piger. J'ai dû raté un truc, c'est  
clair :-(


Le fait d'avoir un VG par machine virtuelle peut-être très utile dans un 
cluster.
Ce que je fais au boulot :
Chaque VM est stockée dans :
- un filesystem hébergé sur
- un LV, dans
- un VG, sur
- un PV qui correspond à
- une LUN de notre SAN (vu comme un disque)

Avec un système de cluster Heartbeat ou RedHatCluster Suite, on peut 
activer/désactiver un VG sur  un serveur ou l'autre.
Si on veut pouvoir bouger une VM d'un serveur à un autre, soit on travaille 
directement au niveau disque (LUN),
soit au niveau VG.
Avec des machines suur LV, on ne pourrait pas les dissocier.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Limitation du nombre de partitions par disque SATA

[Jean Baptiste FAVRE]

Pascal Hambourg a écrit :


Jean Baptiste FAVRE a écrit :


Du coup, je me suis orienté vers un PV sur mon disque, un VG 
correspondant et un LV par machine virtuelle. Ce LV est vu comme un 
disque par le DomU.
Sauf que du coup, je n'ai plus accès aux partitions DomU depuis le 
Dom0 pour, par exemple, monter le filesystem en cas de crash du DomU.
Je n'ai accès qu'au disque (le LV), mais ne vois pas les partitions 
que le DomU y a créé.


En effet le noyau ne s'attend pas à trouver des partitions sur un LV, 
mais à ma connaissance seulement sur un disque physique (où du moins 
vu comme tel : hdX, sdX) ou un volume RAID partitionnable. Mais de toute 
façon tu aurais aussi rencontré le même problème avec un VG par domU, non ?
Euh, en fait oui. J'ai écris un peu vite. Un test réalisé après l'envoi 
du mail a confirmé l'état de fait, désolé.


Il n'y aurait pas moyen d'accéder aux partitions du LV depuis un autre 
domU ?
Oui, c'est une idée. Créer un DomU de secours dans lequel je déclare les 
disques du DomU a corrigé. À tester mais il n'y a a priori pas de raison 
que ça ne marche pas.


Accessoirement, je suis aussi confronté à un problème pour 
redimensionner une partition du DomU malgré un lvextend. Même à 
l'intérieur du DomU, ça ne marche pas bien qu'il voie l'espace libre. 


Comment ça ?
le lvextend marche correctement. Après redémarrage, le DomU voit bien 
l'espace supplémentaire (au départ, le LV ne fait que 9G) et un cfdisk 
/dev/hda me montre bien l'espace libre:

## fdisk -l /dev/hda
#
#Disk /dev/hda: 10.7 GB, 10737418240 bytes
#255 heads, 63 sectors/track, 1305 cylinders
#Units = cylinders of 16065 * 512 = 8225280 bytes
#
#   Device Boot  Start End  Blocks   Id  System
#/dev/hda1   *   1 336 269+  83  Linux
#/dev/hda2 3371174 67312355  Extended
#/dev/hda5 337 381  361431   82  Linux swap / 
#Solaris

#/dev/hda6 3821174 6369741   83  Linux

Mais le resize2fs plante:
## resize2fs /dev/hda6 7G
#resize2fs 1.40-WIP (14-Nov-2006)
#La partition (ou le périphérique) n'a seulement que 1592435 (4k) blocs.
#Vous avez demandé une nouvelle taille de 1835008 blocs.

J'ai évidemment démonter la partition en question avant les 
manipulation. J'ai même essayé de la passer en ext2 et fait le fsck de 
rigueur, mais rien n'y fait.





Mais c'est sans doute un peu HS ici.


Bah, pourquoi ?

C'est peut-être plus axé Xen que Debian, même si le DomU est en Debian ?

JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Limitation du nombre de partitions par disque SATA

[Jean Baptiste FAVRE]

Gilles Mocellin a écrit :

On Sun, Nov 09, 2008 at 05:43:44PM +0100, Pascal Hambourg wrote:

Jean Baptiste FAVRE a écrit :

[...]

En effet le noyau ne s'attend pas à trouver des partitions sur un LV,  
mais à ma connaissance seulement sur un disque physique (où du moins  
vu comme tel : hdX, sdX) ou un volume RAID partitionnable.


On doit pouvoir s'en sortir avec kpartx, mais je ne m'engagerais pas dans cette 
voie.

Moi non plus ;-)

Mais de toute  
façon tu aurais aussi rencontré le même problème avec un VG par domU, non 
?


Ben, avec Xen, on il peux avoir un LV par filesystem (/dev/sda1 directement...)
A priori non, en tout cas par en HVM (Virtualisation matérielle). Il 
faut alors exporter des disques entiers que la VM partitionne. Du 
coup, le LV est un disque et ses partitions ne sont pas visibles depuis 
le Dom0 (bien que fdisk les voie).



Il n'y aurait pas moyen d'accéder aux partitions du LV depuis un autre  
domU ?


Accessoirement, je suis aussi confronté à un problème pour  
redimensionner une partition du DomU malgré un lvextend. Même à  
l'intérieur du DomU, ça ne marche pas bien qu'il voie l'espace libre. 

Comment ça ?


Si le LV est plus grand, un resize2fs devrait passer. Si c'est seulement le PV, 
il faut peut-être un pvresize avant.
Mais, je crains qu'il y ai un soucis sans redémarrer la VM. Peut-être un 
problème de geometrie sur le disque virtuel.
Loi de Murphy oblige, ce qui ne marchait pas ce matin marche à présent. 
J'ai dû faire les chose à l'envers.
Dont, depuis le DomU, j'arrive bien à agrandir une partition (sauf /, 
mais là je n'ai pas de solution pour l'instant à part exporter le disque 
dans un autre DomU). La réduction marche également, même s'il faudra que 
je peaufine ça car mon disque une fois réduit (d'autant qu'il avait été 
agrandi) était plus petit qu'au début ! ce qui n'a pas empêché Debian de 
booter, au prix de nombreux messages d'erreurs il est vrai. Mais ce 
n'est qu'une machine virtuelle servant à des tests, donc pas grave, pour 
l'instant en tout cas.



Mais c'est sans doute un peu HS ici.

Bah, pourquoi ?



En effet, au contraire !
Je pensais que le sujet s'éloignait de Debian. Mais après tout, il 
s'agit d'une utilisation de notre distribution préférée, alors pourquoi 
pas ;-)


JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Undelivered Mail Returned to Sender

[Jean Baptiste FAVRE]

Bonjour la liste,

Je bute sur un problème, probablement trivial: j'ai partitionné un 
disque de 500Go en autant de partitions de 10Go pour jouer avec LVM.

Jusque là, pas de problème.

Mon problème, c'est que seules les 15 premières partitions sont 
reconnues et gérées par le système.

Il semble que ce soit une limitation liée au protocole SCSI et à libata.

Pour la contourner, j'ai vu sur le net qu'il fallait utiliser evms.
Un apt-cache evms me renvoie:
# apt-cache search evms
dmsetup - The Linux Kernel Device Mapper userspace library
fatresize - FAT16/FAT32 filesystem resizer
initramfs-tools - tools for generating an initramfs
libdevmapper-dev - The Linux Kernel Device Mapper header files
libdevmapper1.02.1 - The Linux Kernel Device Mapper userspace library


Je décide d'installer dmsetup pour créer mes partitions dans 
/dev/mapper, mais rien n'y fait.
J'ai essayé un dmsetup create sdb16, dmsetup create /dev/sdb16, rien ne 
passe.


Une idée ?
Merci,
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Limitation du nombre de partitions par disque SATA (WAS: Undelivered Mail Returned to Sender)

[Jean Baptiste FAVRE]

Bonjour,

Pascal Hambourg a écrit :


Salut,

Jean Baptiste FAVRE a écrit :


Je bute sur un problème, probablement trivial: j'ai partitionné un 
disque de 500Go en autant de partitions de 10Go pour jouer avec LVM.


Pourquoi as-tu besoin d'autant de partitions pour jouer avec LVM ?

Parce que fdisk me laisse faire ?
Plus sérieusement, je pourrais faire sans.
J'étais parti au départ pour faire du XEN sur LVM pour pouvoir tester 
l'ajout/suppression de partitions avec pleins de machines virtuelles et 
suis tombé sur cette limitation. Donc voilà.


Mais bon, peu importe pourquoi et comment je suis tombé sur cette 
limitation. La qeustion est plutôt: comment j'outrepasse ça si c'est 
faisable ;-)


Cordialement,
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Limitation du nombre de partitions par disque SATA

[Jean Baptiste FAVRE]

Pascal Hambourg a écrit :


Jean Baptiste FAVRE a écrit :


Pourquoi as-tu besoin d'autant de partitions pour jouer avec LVM ?

Parce que fdisk me laisse faire ?


fdisk lit directement les structures du disque et n'est pas concerné par 
les numéros de périphérique des partitions. C'est une limitation du noyau.


J'étais parti au départ pour faire du XEN sur LVM pour pouvoir tester 
l'ajout/suppression de partitions avec pleins de machines virtuelles 
et suis tombé sur cette limitation. Donc voilà.


Je vois pas bien le problème. Tu peux créer autant de volumes logiques 
LVM que tu veux dans un seul volume physique, non ?

J'avais dans l'idée de faire ça pour commencer:
1 partition = 1 pv
1 VG = 1 PV
1 LV = 1 VG

Puis ajouter au besoin des PV aux VG. Mais y a p'tre un truc que j'ai 
pas saisi :-s




Mais bon, peu importe pourquoi et comment je suis tombé sur cette 
limitation. La qeustion est plutôt: comment j'outrepasse ça si c'est 
faisable ;-)


Je ne vois pas comment ce serait possible, mais je ne suis pas spécialiste.

Dommage, mais tant pis.

Cordialement,
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Limitation du nombre de partitions par disque SATA

[Jean Baptiste Favre]

Pascal Hambourg a écrit :


Jean Baptiste FAVRE a écrit :


Pourquoi as-tu besoin d'autant de partitions pour jouer avec LVM ?

Parce que fdisk me laisse faire ?


fdisk lit directement les structures du disque et n'est pas concerné par 
les numéros de périphérique des partitions. C'est une limitation du noyau.


J'étais parti au départ pour faire du XEN sur LVM pour pouvoir tester 
l'ajout/suppression de partitions avec pleins de machines virtuelles 
et suis tombé sur cette limitation. Donc voilà.


Je vois pas bien le problème. Tu peux créer autant de volumes logiques 
LVM que tu veux dans un seul volume physique, non ?

J'avais dans l'idée de faire ça pour commencer:
1 partition = 1 pv
1 VG = 1 PV
1 LV = 1 VG

Puis ajouter au besoin des PV aux VG. Mais y a p'tre un truc que j'ai 
pas saisi :-s




Mais bon, peu importe pourquoi et comment je suis tombé sur cette 
limitation. La qeustion est plutôt: comment j'outrepasse ça si c'est 
faisable ;-)


Je ne vois pas comment ce serait possible, mais je ne suis pas spécialiste.

Dommage, mais tant pis.

Cordialement,
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Limitation du nombre de partitions par disque SATA

[Jean Baptiste FAVRE]

Re,
On dévie un peu de la quesiton d'origine, mais pas grave.
Je corrige ce que je voudrais faire par rapport à ce que j'ai annoncé 
tout à lheure:

- Découper le disque en blocs de 10Go
- Créer un VG par machine Xen. Au départ, ce VG ne comprend qu'un PV 
(bloc) de 10Go, libre à moi d'en ajouter par la suite avec vgextend. A 
priori, on ne peut pas partage un PV entre plusieurs VG.
- Dans le VG, créer autant de LV que la mahcine Xen en a besoin. Ce 
seront les partition de la machine XEN. Je pourrai les agrandir/rétrécir 
avec lvextend


Et donc, je retombe sur mon problème d'origine: comment faire apparaître 
plus de 15 partitions (les blocs de la première étape) dans mon Dom0 ?


JB

Pascal Hambourg a écrit :


Jean Baptiste FAVRE a écrit :



J'avais dans l'idée de faire ça pour commencer:
1 partition = 1 pv
1 VG = 1 PV
1 LV = 1 VG

Puis ajouter au besoin des PV aux VG. Mais y a p'tre un truc que j'ai 
pas saisi :-s


J'aurais plutôt créé un seul PV sur le disque, affecté à un VG contenant 
tous les LV. Il me semble que c'est l'utilisation classique de LVM.




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Limitation du nombre de partitions par disque SATA

[Jean Baptiste FAVRE]

Bonsoir,

La finalité est effectivement la souplesse, ou plus exactement 
l'indépendance des XEN entre elles d'un point de vue système de fichier. 
L'aspect sécurité est également important mais viendra dans un second 
temps, dès que j'aurai réglé ce souci ;-)


Je m'explique:
En ayant un VG par machine XEN, je comptais simplifier leur 
création/suppression.


Pour la création:
vgcreate VGxxx /dev/sdb1 par exemple. Le groupe de la machine Xen est créé.
Ensuite, lvcreate -n LVroot_xxx VGxxx et lvcreate -n LVswap_xxx VGxxx me 
permettent de créer une partition root et une swap qui seront 
utilisées dans la mahcine XEN.


Pour la suppression, un simple vgremove VGxxx suffit.

Mais, en faisant quelques essais pour étayer mes dires, je m'aperçois 
que les LV sont tout aussi adaptés. Mouarf...


Du coup, je ne comprends plus bien l'utilité des VG. M'enfin, je vais me 
replonger dans les tutos LVM pour piger. J'ai dû raté un truc, c'est 
clair :-(


Cordialement,
JB

François Cerbelle a écrit :


Jean Baptiste FAVRE a écrit :

- Découper le disque en blocs de 10Go
- Créer un VG par machine Xen. Au départ, ce VG ne comprend qu'un PV 
(bloc) de 10Go, libre à moi d'en ajouter par la suite avec vgextend. A 
priori, on ne peut pas partage un PV entre plusieurs VG.
- Dans le VG, créer autant de LV que la mahcine Xen en a besoin. Ce 
seront les partition de la machine XEN. Je pourrai les 
agrandir/rétrécir avec lvextend



Salut,

Ca ne répond pas à ta question, mais j'aimerai connaitre la finalité.

Si c'est la sécurité, tu peux recompiler Xen avec le mecanisme de 
politique de sécurité qui te verrouillera les ressources et les domaines 
pouvant tourner ensemble sur un même hyperviseur et quel domaine peut 
accéder à quelle ressource.


Si c'est la souplesse, tu devrais plutot envisager un systeme de fichier 
LVM LV qui te serve de modele et tu crées des snapshots en R/W pour 
chaque domaine, auquel cas, tu dois les avoir sur le meme VG...


Je ne vois donc pas quelle raison peut te pousser à choisir une telle 
architecture. Pourrais tu nous expliquer ?


Fanfan



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: [HS] Probleme SSH

[Jean Baptiste FAVRE]

Salut,
À mon avis, c'est parce que l'authentification par mot de passe est 
désactivée dans SSH.

Vérifie son paramétrage:
grep Password /etc/ssh/sshd_config
PermitEmptyPasswords no
PasswordAuthentication yes

JB


giggz a écrit :

Bonsoir,

j'ai un soucis avec ssh.

J'ai regénéré toutes mes clés (root et user). J'ai un serveur où j'ai de
même. Je supprime tous les firewall. je peux me connecter ss probleme
sur mon serveur en ssh. mais je ne peux pas me connecter de mon serveur
vers mon laptop.

De même si dans une console je tente de faire un ssh en local : ssh
monhostname, j'ai le même message d'erreur :

1:47 [EMAIL PROTECTED] ~/.ssh % ssh grut
Permission denied (publickey).

Avez vous une idée ?

Merci d'avance
Guillaume



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: [HS] Probleme SSH

[Jean Baptiste Favre]

Salut,
À mon avis, l'authentification par mot de passe est désactivée dans SSH:
grep Password /etc/ssh/sshd_config
PermitEmptyPasswords no
PasswordAuthentication yes

JB
giggz a écrit :

Bonsoir,

j'ai un soucis avec ssh.

J'ai regénéré toutes mes clés (root et user). J'ai un serveur où j'ai de
même. Je supprime tous les firewall. je peux me connecter ss probleme
sur mon serveur en ssh. mais je ne peux pas me connecter de mon serveur
vers mon laptop.

De même si dans une console je tente de faire un ssh en local : ssh
monhostname, j'ai le même message d'erreur :

1:47 [EMAIL PROTECTED] ~/.ssh % ssh grut
Permission denied (publickey).

Avez vous une idée ?

Merci d'avance
Guillaume



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Pare-feu : ouverture de ports à reception d'un mail

[Jean Baptiste FAVRE]

Bonsoir,
Toutes mes excuses à Edi qui a reçu le mail en privé :-(

Dans le filon portknocking, il existe une solution hyper-light: netfilter.
Je l'utilise avec bonheur sur ma machine:
http://www.jbfavre.org/publications/portknocking

Bonne soirée,
JB


Edi Stojicevic a écrit :
 * Jeremy Garrouste [EMAIL PROTECTED] [2008-07-09 09:26:09 +0200] wrote :
 
 On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER [EMAIL PROTECTED] wrote:

 Bonjour,

 Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
 attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
 a été attaqué 302 fois cette nuit ...
 Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
 messagerie reçoit un mail.
 Avez-vous déjà mis cela en oeuvre ?

 Merci.

 [EMAIL PROTECTED]

 Bonjour,

 Ce que tu cherches a faire s'appelle du portknoking.
 http://www.giac.org/certified_professionals/practicals/gsec/4122.php

 A bientot
 
 Il existe le package knockd qui est relativement simple a mettre en
 place et qui permet apes une sequence donnee de connexions sur
 differents ports d'ouvrir le port ssh pour X minutes.
 
 @+
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Mise à jour des clé SSH

[Jean Baptiste FAVRE]

Bonjour,
Oui, les clefs générées sous Debian avec une version vulnérable
d'OpenSSL sont à changer et ce quelque soit leur taille.

Elles ne figurent pas dans la liste des clefs blacklistées car cette
liste ne contient que les clefs de 1024 et 2048 bits.
Au-délà, le temps de génération des 32 767 clefs possibles pour toutes
les tailles devient tout simplement prohibitif (et le paquet serait
aussi beaucoup plus gros ;-) ).

Mais ne doutes pas un instant que des petits malins le feront pour le
plaisir... enfin surtout pour s'approprier les machines de ceux qui se
seront crus à l'abri.

Bonne journée,
JB

Emmanuel Lesouef a écrit :
 Le Sat, 17 May 2008 18:53:57 +0200,
 Julien Valroff [EMAIL PROTECTED] a écrit :
 
 Pour le vérifier, mets à jour ton système, change les clés du serveur
 et lance ssh-vulnkey -a en tant que root, cela va tester les clés
 des utilisateurs (ainsi que les clés autorisées), seulement dans les
 emplacements courants (~/.ssh/id_rsa.pub par exemple)

 Si une des clés est blacklistée, il te faudra la supprimer et
 demander à l'utilisateur concernée d'en re-générer une (en lui
 demandant de vérifier sont système également, mais rien ne t'empêche
 de tester cette clé de ton coté !)

 @+
 Julien

 
 Sait-on si les clés de plus de 2048bits sont concernées ? Car elles ne
 figurent pas dans les blacklists et sont considérées comme :
 
 Unknown (no blacklist information)
 
 Merci.
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Openssh et public_key authentification

[Jean Baptiste Favre]

Oui,
Tous ceux qui appliquent les correctifs de sécurité sans regarder ce
qu'il y a dedans :-s
En l'occurence, ta clef publique est sûrement considérée comme
vulnérable et blacklistée par SSH.
Tu trouveras la confirmation dans /var/log/auth.log

Bonne journée,
JB


Olivier Achard a écrit :
 Bonjour,
 Depuis ma mise à jour d'Openssh hier, je n'arrive plus à me connecter
 avec authentification clé publique. Le serveur me demande
 systématiquement un mot de passe. J'ai fait les vérifications
 préconisées par la faq de Openssh sans succès :
 
 3.14 - I copied my public key to authorized_keys but public-key
 authentication still doesn't work.
 
 Typically this is caused by the file permissions on $HOME, $HOME/.ssh or
 $HOME/.ssh/authorized_keys being more permissive than sshd allows by
 default.
 
 In this case, it can be solved by executing the following on the server.
 
 $ chmod go-w $HOME $HOME/.ssh
 $ chmod 600 $HOME/.ssh/authorized_keys
 
 If this is not possible for some reason, an alternative is to set
 StrictModes no in sshd_config, however this is not recommended.
 
 Quelqu'un a-t'il le même problème ?
 Merci
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

[Jean Baptiste FAVRE]

Petite erreur d'aiguillage, j'ai répondu en privé à Sylvain. Toutes mes
excuses.

Re,

Sylvain Sauvage a écrit :
  Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST
  Bonsoir,
 
  ’jour,
 
  Pour être vraiment complet (!), HTTPS n'est pas le seul
  protocole concerné. Dès que vous utilisez TLS ou SSL, vous
  êtes concernés (FTPS, SMTPS, ...)
 
Rappelons que, pour ces protocoles, le problème ne se pose que
  pour les _serveurs_ (se sont eux qui génèrent le certificat).
Donc si vous avez un .pem pour un de ses services : regénérer
  (cf. tous les liens déjà donnés : des instructions sont données
  pour chaque programme).
 
Pas d'accord: les certificats clients sont également impactés à partir
du moment où ils ont été générés sur un serveur avec une mauvaise
version d'OpenSSL (cf. les impôts ci-dessous).

En conclusion, pour moi: ya pas à chercher midi à 14 heures. Remplacez
toutes vos clefs et certificats et vous dormirez tranquilles  :-)
Bon évidemment, c'est ma solution parce que je n'ai que 10 clefs SSH à
gérer et 5 certificats. J'imagine que des structures plus importantes
vont peut-être chercher à optimiser la chose, mais pour information: les
tentatives de connexions sur le port 22 de mon serveur ont explosée
depuis 2 jours. Je reste serein puisqu'il est protégé par du
port-knocking mais tout le monde n'est pas dans mon cas  ;-)

  En ce qui conerne les impôts, le mieux est de leur poser la
  question. Je ne sais pas personnellement ce qu'ils utilisent
  pour générer leurs certificats (mais je pencherais pour un
  dispositif matériel vu la quantité de certificats gérés)
 
Autrement dit : le certificat est généré par les Impôts, donc
  le fait que vous ayez utilisé ce certificat sur une Debian ne
  devrait poser aucun problème. (Il ne pourrait y avoir de
  problème que si les Impôts ont utilisé une Debian touchée pour
  ce faire, ce qui est fort peu probable.)
 
Plus généralement, si votre certificat est signé par une CA officielle
(Verisign and co), le mieux est de prendre contact avec eux.
Si vous avez généré votre certificate request sous Debian ou si leur CA
l'a été, vous avez gagné !

Bon week-end,
JB

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

[Jean Baptiste FAVRE]

J'entendais par officielle (notez les guillemets) une AC déjà
intégérée das les principaux navigateurs.

Désolé pour mon approximation ;-)
JB


Stephane Bortzmeyer a écrit :
 On Fri, May 16, 2008 at 07:02:26PM +0200,
  Jean Baptiste FAVRE [EMAIL PROTECTED] wrote 
  a message of 61 lines which said:
 
 Plus généralement, si votre certificat est signé par une CA
 officielle (Verisign and co), le mieux est de prendre contact avec
 eux.
 
 Précisons que la notion de CA officielle ne veut rien dire. Verisign
 est plus cher mais n'a rien de plus officiel.
 
 Selon http://taint.org/2008/05/16/114533a.html, RapidSSL renouvelle
 gratuitement les clés des pauvres utilisateurs Debian (il parait que
 Thawte le fait aussi).
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

[Jean Baptiste FAVRE]

Bonsoir,
Pour être vraiment complet (!), HTTPS n'est pas le seul protocole
concerné. Dès que vous utilisez TLS ou SSL, vous êtes concernés (FTPS,
SMTPS, ...)

En ce qui conerne les impôts, le mieux est de leur poser la question. Je
ne sais pas personnellement ce qu'ils utilisent pour générer leurs
certificats (mais je pencherais pour un dispositif matériel vu la
quantité de certificats gérés)

Mes 2 cents,
JB

antoine de hillerin a écrit :
 D ailleurs a ce sujet faut il regenerer le certificat pour les impots 
 
 Merci d avance!
 
 AH
 
 
 
 
 Le 15 mai 2008 22:14, Mathieu Chappuis [EMAIL PROTECTED]
 mailto:[EMAIL PROTECTED] a écrit :
 
 Bonsoir,
 
 Toujours à propos de :
 
 http://www.debian.org/security/2008/dsa-1571
 
 
 Luciano Bello discovered that the random number generator in Debian's
 openssl package is predictable. This is caused by an incorrect
 Debian-specific change to the openssl package (CVE-2008-0166). As a
 result, cryptographic key material may be guessable
 
 
 J'insiste, mais il n'y a pas que la partie SSH qui est touchée..
 
 Si comme moi vous avez généré des demandes de certificats SSL à partir
 d'une version compromise d'open-ssl (debian) vous pouvez vite demander
 une regénération complète de vos certificats à votre prestataire,
 quand c'est possible, car vos .key ne valent pas clopette..
 
 # openssl-vulnkey monsite.key
 Enter pass phrase for monsite.key:
 Enter pass phrase for monsite.key:
 COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key
 
 Le package n'est pas proposé dans testing : voilà un lien
 
 
 http://wiki.debian.org/SSLkeys?action=AttachFiledo=gettarget=openssl-blacklist_0.1-0%7Edebian-1_all.deb
 
 http://wiki.debian.org/SSLkeys?action=AttachFiledo=gettarget=openssl-blacklist_0.1-0%7Edebian-1_all.deb
 
 
 Sinon voir : http://wiki.debian.org/SSLkeys
 
 Bon week-end à tous!!!
 
 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.org/DebFrFrenchLists
 Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
 Reply-To:
 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 mailto:[EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact
 [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]
 
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

[Fwd: Re: Poweredge2850 et Linux]

[Jean Baptiste FAVRE]

Avec Dell OpenManage, ça marche bien.
Un peu lourd, mais ça marche ;-)
http://www.francillon.eu/wiki/howto/debian/dell-omsa

Edi Stojicevic a écrit :
 Bonjour,
 
 Je voudrais savoir si quelqu'un a reussi a faire fonctionner la carte
 DRAC du poweredge 2850 pour le monitoring a distance ? 
 
 Si vous avez des infos, liens ou que sais-je encore ...
 
 
 Merci
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: xorg et la gestion dynamique des écnans

[Jean Baptiste Favre]

Il me semble que c'est déjà le cas:
http://wiki.debian.org/XStrikeForce/HowToRandR12

Cordialement,
JB

Patrice OLIVER a écrit :
 Bonjour,
 
 Vous savez tous que la version 8.04 d'Ubuntu amène entre autre la
 gestion dynamique des écrans par xorg, notamment est cas de
 branchement d'un écran en cours d'utilisation de la machine. Pour les
 afficionados, il faut espérer que l'outil de gestion du double écran
 dans le centre de configuration de KDE sera cette fois-ci opérationnel
 avec les pilotes ATI.
 
 Bref, savez-vous si de telles améliorations, apportant un confort
 d'utilisation non négligeable et faisant ainsi un pas de plus vers les
 utilisateurs, sont au programme de Debian ?
 
 Merci.
 :)
 
 
 

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: apache - customlog sans ip local

[Jean Baptiste FAVRE]

Remys Morrissette a écrit :
 Bonjour,
Bonsoir,

 
 sur un serveur personnel
 
 ~$ apache2ctl -v
 Server version: Apache/2.0.55
 Server built:   May 29 2006 01:44:04
 
 comment puis-je faire afin que mon ip personnelle
 ne remplisse pas les logs à chaque fois que je visite ma page?
 j'ai effectué la configuration suivante dans le fichier apache2.conf,
 mais ça ne fonctionne pas.
 
 
 LogFormat %h %l %u %t \%r\ %s %b common
 SetEnvIf Remote_Addr 192\.168\.1\.1 dontlog
 CustomLog /serveurapache/logs/access.log common env=!dontlog
Ceci devrait effectivement marcher.


 il doit me manqué une information.
 
 Dois-je activé un module spécial comme mod_setenvif ?
 si oui, comment je fais pour l'obtenir ou le mettre en place ?
Ah ben oui, ça peut aider ;-) , parce que là, ton serveur ne doit même
pas démarrer. Pour l'activer, man a2enmod. Pour faire court, a2enmod
setenvif

 
 voici la liste des modules de /apache2/mods-available/
 
 actions.load  dav_fs.conf  info.load   speling.load
 asis.load dav_fs.load  ldap.load   ssl.conf
 auth_anon.loaddav.load mem_cache.load  ssl.load
 auth_dbm.load deflate.load mime_magic.conf suexec.load
 auth_digest.load  disk_cache.load  mime_magic.load unique_id.load
 auth_ldap.loadexpires.load proxy.conf  userdir.conf
 cache.loadext_filter.load  proxy_connect.load  userdir.load
 cern_meta.loadfile_cache.load  proxy_ftp.load  usertrack.load
 cgid.conf headers.load proxy_http.load vhost_alias.load
 cgid.load imap.loadproxy.load
 cgi.load  include.load rewrite.load
 
 
 Merci,
De rien,

 Remys
JB


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ATTENTION: MISE À JOUR XSERVER-XORG-COR E BUGGÉ

[Jean Baptiste FAVRE]

J'ai oublié la référence:
DSA-1466-2
@+
JB

Jean Baptiste FAVRE a écrit :
 Il veut parler de la version de xorg. La dernière mise à jour provoque
 une régression.
 JB
 
 
 Klaus Becker a écrit :
 Am Samstag, 19. Januar 2008 13:28 schrieb dPailler:
 Depuis ce matin je n'accédé plus à vlc, c'est du à la dernière mise à
 jour : 2:1.1.1-21etch2
 Salut,

 je m'étonne de ta version, j'ai sous Etch AMD64 :

 $ apt-cache policy vlc
 vlc:
   Installé : 0.8.6.a.debian-6~1
   Candidat : 0.8.6.a.debian-6~1
  Table de version :
  *** 0.8.6.a.debian-6~1 0
 100 /var/lib/dpkg/status
  0.8.6-svn20061012.debian-5etch1 0
 500 http://security.debian.org stable/updates/main Packages
 500 http://ftp.debian.org stable/main Packages

 ciao
 Klaus

 pour réglé le pb:

 dans synaptic: paquet --- forcer la version 2:1.1.1-21etch1

 et redémarrage du serveurX


 cordialement


 
 


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ATTENTION: MISE À JOUR XSERVER-XORG-COR E BUGGÉ

[Jean Baptiste FAVRE]

Il veut parler de la version de xorg. La dernière mise à jour provoque
une régression.
JB


Klaus Becker a écrit :
 Am Samstag, 19. Januar 2008 13:28 schrieb dPailler:
 Depuis ce matin je n'accédé plus à vlc, c'est du à la dernière mise à
 jour : 2:1.1.1-21etch2
 
 Salut,
 
 je m'étonne de ta version, j'ai sous Etch AMD64 :
 
 $ apt-cache policy vlc
 vlc:
   Installé : 0.8.6.a.debian-6~1
   Candidat : 0.8.6.a.debian-6~1
  Table de version :
  *** 0.8.6.a.debian-6~1 0
 100 /var/lib/dpkg/status
  0.8.6-svn20061012.debian-5etch1 0
 500 http://security.debian.org stable/updates/main Packages
 500 http://ftp.debian.org stable/main Packages
 
 ciao
 Klaus
 
 pour réglé le pb:

 dans synaptic: paquet --- forcer la version 2:1.1.1-21etch1

 et redémarrage du serveurX


 cordialement
 
 
 


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Une touche hotkeys recalcitrante

[Jean Baptiste Favre]

Bonjour,
Essaye un 'tail -f /var/log/acpid' dans un terminal.
Pendant ce temps, exécute la combinaison de touches ki_va_bien pour
changer le mode vidéo.
Normalement, si la combinaison est reconnue, elle devrait apparaître
dans le terminal.
Par exemple, chez moi (sur un Dell):
received event video VID1 0080 

Il faut que acpid soit capable s'associer une combinaison de touche
(event) avec un script (action). Tout se passe dans /etc/acpi

Bon courgae,
JB


giggz a écrit :
 Bonjour la liste,
 
 J'ai ma touche Fn+F3 qui ne fonctionne pas sur mon laptop. Cette touche
 correspond théoriquement au switch video. Je voudrais associer un script
 (ça j'ai) à cette touche. Le probleme est que Fn+F3 n'a l'air d'être
 reconnu en tant que combinaison de touche. En effet Fn+F1 (help), Fn+F2
 (hibernate), Fn+F4 (luminosity), Fn+F5 (sound) fonctionnent
 parfaitement, mais pas Fn+F3. J'aurais voulu savoir à qui s'adresser
 pour tenter un rapport de bug. Ces touches sont du ressort de l'acpi,
 non ? Donc il faudrai que je demande aux acpi people ?
 
 Merci d'avance
 Guillaume
 
 


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: [HS] Recherche script de basculement d ecran pour laptop (XrandR)

[Jean Baptiste Favre]

Bonjour,
Une recherche de :
Fn+F7 sample script ubuntu
sur google me renvoie au moins un lien potentiellement intéressant:
http://www.thinkwiki.org/wiki/Sample_Fn-F7_script

Ensuite, pour l'adapter, on pourra aller là:
http://wiki.debian.org/XStrikeForce/HowToRandR12
linké ici: http://www.x.org/wiki/Projects/XRandR)
pour savoir comment sont appelées les sorties en fonction du driver.

Voilà,
@+
JB

GiGGz a écrit :
 Bonjour la liste,
 
 Désolé pour ce petit HS. Dans le fil concernant le dual-head sur les
 carte Intel, un des intervenants a parlé de script permettant de passer
 en dual screen que l'on pourrait associé à la touche correspondante des
 laptop.
 Je cherche un script offrant le même fonctionnement que cette touche
 sous win, ie :
 une pression : on éteint la sortie VGA
 une pression : on clone la sortie VGA et l'écran LCD
 une pression : on passe en bureau étendu.
 
 Auriez vous vu un tel script sur le net ? Google ne m'a po trop
 aidé...trop de réponse.
 
 Merci d'avance
 Guillaume
 
 


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

test

[Jean Baptiste FAVRE]

Désolé pour le bruit, mais je ne parviens pas à poster sur la liste
(blacklist wanadoo)

Merci,


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: test

[Jean Baptiste FAVRE]

Bon, il semble qu'utiliser smtp.gmail.com comme serveur d'envoi
fonctionne, passer par ceux de Free ou Wanadoo ne marche pas :-(
L'année commence bien :-s

Jean Baptiste FAVRE a écrit :
 Désolé pour le bruit, mais je ne parviens pas à poster sur la liste
 (blacklist wanadoo)
 
 Merci,


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: xorg: driver i810, carte 945GM et double sortie

[Jean Baptiste FAVRE]

Sylvain Sauvage a écrit :
 ’jour,
 
 Francois Mescam, jeudi 10 janvier 2008, 07:32:13 CET
 […] 
 Nicolas Folin wrote:
 debianpmd a écrit :
 Le Wednesday 09 January 2008 20:23:17 Nicolas Folin, vous
 avez écrit : 
 Bonjour/soir
 Je n'arrive pas à faire fonctionner la sortie vga de ma
 carte graphique avec le driver qui
   
 Oui, j'ai bien vu tout ça du man i810, mais ... (honte)
 c'est quoi RandR ?
 
   RandR : Rotate and Resize (et inversement)
 
   C’est la capacité de changer à la volée la définition de
 l’écran (improprement « résolution ») ou son orientation
 (pratique pour les tablettes).
 
 Enfin, surtout, comment je lui passe
 l'information VGA ?
 Sur mon portable dell je fais ainsi pour activer la sortie VGA
 quand le cable est connecté :

 xrandr --output VGA --auto

 xrandr fait partie du paquet x11-xserver-utils

 Je dois faire cela depuis que le driver i810 s'appelle
 xserver-xorg-video-intel, avant avec le driver précédent il
 suffisait de paramétrer dans xorg.conf avec la sortie toujours
 activée ce qui était plus pratique. C'est ça le progrès,
 m'enfin ça marche quand même.
 
   Activer toutes les sorties alors qu’une seule sert, c’est
 dispendieux. Ça doit quand même au moins consommer 1 W.
 (« Un watt n’est pas un watt, c’est une économie. », plus ou
  moins Balthazar Picsou)
 
J'irais même plusloin: avant, on devait activer la sortie en permanence.
Mais si l'écran n'était pas connecté, la résolution de la sortie VGA
était fixée à 640x480. Dans le cas d'un bureau étendu, bonjour les
fenêtres cachées.
De plus, c'était super galère pour utiliser des vidéo-projecteurs. Il
fallait connaitre la résolution et adapter xorg.conf.
Alors, maintenant, certes on doit taper une ligne de commande, mais au
moins, la détection et la configuration du 2ème écran sont automatiques.

Maintenant, sur lew portables, on peut toujours binder la touche Fn+F7
et les scripts d'exemple foisonnent sur le Net :-)
@+
JB


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
Reply-To:

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Buffer I/O error on device

[Jean Baptiste Favre]

Bonjour,
Une question en passant: avez-vous essayer de diagnostiquer l'état du
disque avec smartmontools ?
Parce que, des I/O Error, j'en ai eu également et c'était plutôt la
carte contrôleur qui partait en vrille. Il est vrai que c'était du RAID
mais quand même, on ne sait jamais.

Cordialement,
JB

Gaëtan PERRIER a écrit :
 Le Sun, 01 Jul 2007 01:54:19 +0200
 Gaëtan PERRIER [EMAIL PROTECTED] a écrit:
 
 À priori c'est un problème de chauffe du disque. Ce matin quand j'ai démarré
 le boot a échoué sur le montage de disque. Je suis donc logué en mode mini et
 j'ai lancé un e2fsck sur le disque qui a dit que tout est ok sur le disque.
 J'ai donc redémarré et là aucun problème le boot c'est correctement passé.
 J'ai redémarré 2 ou 3 fois dans la journée pour voir et plus aucun soucis une
 fois le disque chaud.

 Le disque est un FUJITSU MAT3147NC Version: 5704
 Je ne sais pas quoi faire. Remplacer le disque?

 Gaëtan


 
 Si je temporise un peu lors du boot (30 sec/1min), je n'ai plus aucun
 problème. Il semble bien que ce soit un problème de mise en route du disque.
 Existe-t-il un moyen de temporiser automatiquement pendant le boot?
 
 Gaëtan
 
 

Personnalisation d'apache

[Jean-Baptiste FAVRE]

Bonjour la liste,
J'aurais besoin de personnaliser apache tout en gardant la rigueur des paquets 
Debian, notamment les dépendances :-)
Le but est d'ajouter un petit patch ce que j'ai réussi à faire (ajout dans 
debian/patches/ avec le numéro le plus élevé possible pour qu'il soit pris en 
compte après les patches Debian).

un make -f debian/rules build marche pour les patches mais plante un peu 
après sur apxs

J'ai beau chercher, je ne trouve pas comment installer, si c'est faisable, les 
bibliothèques dont il dépend comme OpenSSL automagiquement ?

À moins que je me plante totalement de méthode (très très possible :-) )
Une idée ?

Merci et bonne après-midi,
JB

Re: Protection contre un DDOS tcp open

[Jean Baptiste Favre]

Bonsoir à tous,

Finalement, c'est Benjamin Riou
(http://lists.debian.org/debian-user-french/2007/05/msg00765.html) qui,
j'espère, m'a mis sur les rails pour trouver une solution. J'espère
parce que l'attaque s'est arrêtée (jusqu'à la prochaine fois...). Comme
quoi, une probable connerie n'en est pas forcément une :-)
Merci Benjamin.

Le plus simple est effectivement de filtrer sur la présence (ou pas)
d'une requête HTTP, ce qui n'empêche pas de limiter le nombre de
connexions par IP. Bon, la redirection ou le rewrite rule ne me
conviennent pas pour différentes raisons, mais un proxy léger et rapide
m'irait comme un gant.

Donc, j'ai un peu fouillé le net et suis tombé sur ça: pound
(http://www.apsis.ch/pound/ et packagé Debian) ou HAProxy
(http://haproxy.1wt.eu/ mais pas packagé :-( ).

Ils semblent très légers et performants et leur configuration, a priori,
assez simple.

Je teste tout ça le plus rapidement possible et je vous tiens au courant.

Merci en tout cas pour toutes vos suggestions, ça fait toujours avancer
sa propre réflexion :-)
@+
JB

François Boisson a écrit :
 Le Wed, 16 May 2007 08:05:04 +0200
 Stephane Bortzmeyer [EMAIL PROTECTED] a écrit:
 
 On Wed, May 16, 2007 at 12:11:31AM +0200,
  François Boisson [EMAIL PROTECTED] wrote 
  a message of 25 lines which said:

 J'ai du mal à croire qu'un gars ait dix mille machines à sa
 disposition pour te polluer mais je ne comprends pas comment il
 fait...
 C'est un petit botnet. Les plus gros font plus de cent mille
 machines. « A botnet is comparable to compulsory military service for
 Windows boxes » (Stromberg)

 Voir l'excellent article de Honeynet « Know your Enemy »
 http://www.honeynet.org/papers/bots/
 
 Merci de ce papier particulièrement complet, Il ne manque que le prix de
 location et l'endroit où trouver cela. Je ne pensais pas que ce phénomène
 s'était généralisé à ce point.
 
 Le problème consiste donc à différencier une connexion vivante d'une connexion
 endormie et ce, juste après l'établissement de la dite connexion. Je ne vois
 qu'une fonctionnalité de netfilter que je ne connaitrais pas ou un wrapper à
 Apache (à faire)...
 
 François Boisson
 
 

Re: Protection contre un DDOS tcp open

[Jean Baptiste Favre]

Bonsoir à tous,
La discussion continue, c'est cool :-)

Quelques précisions, adaptées à et motivées par ce cas précis.

Pourquoi je n'ai pas retenu la solution Redirect ? Parce que cela
m'oblige à potentiellement renvoyer une information à l'attaquant,
dévoilant par là même ma stratégie de défense ('tain, ça fait riche la
phrase là. J'vais la noter pour quand je ferai consultant :-) ).
Accessoirement, cela oblige à ouvrir à tout va le port  sur lequel
écoute HTTPD. Donc accessible aussi au méchant.

Pourquoi je n'ai pas retenu la solution RewriteRules ? Pour diverses
raison, par exemple parce que la solution proxy est plus complète, plus
souple et permet un plus grand contrôle, parce que je ne connais que
très mal les RewriteRules, ...

Pourquoi je n'ai pas retenu la solution Iptables/* ? Parce que cela ne
règle pas le problème puisque les connexions parviennent au serveur
HTTP, ce que je veux à tout prix éviter.

Pourquoi j'ai finalement retenu la solution proxy (sous réserve des
tests) ? Parce qu'elle répond à mon besoin sans dévoiler d'informations
à l'attaquant qui n'aura qu'une seule porte d'accès au système: le
proxy. Reste à trouver un proxy qui tienne la charge (pound et/ou
haproxy en phase de tests).

Si vous avez d'autres idées, je suis preneur évidemment :-)

Bon week-end,
JB

Benjamin RIOU a écrit :
 Je ne comprends pas.
 Qu'est ce que cela apporte en plus de travailler sur le port 8040, qui
 ne pourrait etre fait sur le port 80 ? Les nouvelles connexions sont
 toujours presentes !

 Je vois ce que tu as ecris de la facon suivante :
 Le client etablit une connexion sur le port 80, puis effectue un GET qui
 est renvoyé en local sur le port 8040 (ou le serveur apache est à
 l'ecoute). Ensuite le dialogue entre le serveur apache et le client se
 fait sur le port (serveur) 8040.
 Ainsi, impossible pour le client d'ouvir une nouvelle connexion
 directement
 sur le port 8040.
 
 je n'ai pas compris comme toi.
 Le client ouvre une connexion vers le port 80.
 Le port 80 lui renvoie une erreur 304 : Moved Permantly (@ip : 8040).
 ** Point barre. Une unique connexion vers le port 80 et un timeout très
 court.
 Y a rien de renvoyé en local ou quoi que ce soit.
 
 Le client ouvre une connexion une connexion vers le port 8040, et est
 connecté au serveur.
 
 Le botnet ne faisant pas de requete GET /,
 Jean Baptiste a choisi de le localiser les mauvaises connexions de
 cette manière.
 Ce qui revient à faire un filtrage de couche 7 (conso CPU en montée en
 charge ?)
 
 ++
 Ben

Protection contre un DDOS tcp open

[Jean-Baptiste FAVRE]

Bonsoir à tous,
De petits rigolos s'amusent à ouvrir des connections TCP sur mon serveur web 
sans envoyer de requêtes.
Donc, on a bien SYN/SYN-ACK/ACK mais rien derrière.
Le problème et que j'ai une appli un peu lourde qui nécessite un timeout 
d'apache à 25 minimum.

J'ai beau chercher, je ne trouve pas de système pour se protéger de telles 
attaques et c'est pourquoi je m'en remets à vous.
Une idée ?

Merci,
JB

Re: Protection contre un DDOS tcp open

[Jean-Baptiste FAVRE]

Salut,

En fait, déjà envisagé mais, j'aurais dû le préciser dans mon premier mail 
désolé, une dizaine de milliers d'IP (heureusement pas simultanées) provenant 
d'une 30aine de pays différents...
Un peu dur à gérer :-)

Merci quand même
JB

 Message du 15/05/07 18:52
 De : Benjamin RIOU [EMAIL PROTECTED]
 A : Jean-Baptiste FAVRE [EMAIL PROTECTED]
 Copie à : 
 Objet : Re: Protection contre un DDOS tcp open
 
 Salut !
 
 Que penses tu de limiter le nombre connexion par IP avec connlimit (si
 les attaques sont issues d'un sous réseau IP défini) ou bien avec le
 module recent d'iptables ?
 
 ++
 Ben
 

Re: Protection contre un DDOS tcp open

[Jean Baptiste Favre]

Je fais une réponse un peu groupée:

Netfilter Recent: pourquoi pas mais il faudrait alors que je marque les
connexions ouvertes et que je guette le paquet suivant dans une fenêtre
de temps définie. Reste qu'Apache prendra quand même la connexion
(puisqu'ouverte), et la fenêtre de temps pourrait bien rendre le timeout
d'Apache obsolète.

Connlimit: j'y ai pensé aussi mais il y a rarement plus de 2-3
connexions simultanées depuis la même IP. En fait, le problème est
qu'Apache attend sagement le timeout (et je ne peux pas le baisser,
cause l'appli PHP qui tourne... je sais, faut refaire l'appli, mais là,
je ne peux pas faire grand'chose.). Dans finalement, je ne suis pas
certain de l'efficacité de la mesure. Mais je vais recreuser l'affaire.

Pourquoi tant de haine: ben, j'aimerais bien que le proprio du botnet
me le dise :-s Plus sérieusement, soit je suis un dégât collatéral, soit
il se trompe d'IP.

J'vais p'tre creuser un mix des 2 solutions Netfilter. Je vous tiens au
courant.

Merci pour les réponses,
JB


Stephane Bortzmeyer a écrit :
 On Tue, May 15, 2007 at 08:13:39PM +0200,
  Benjamin RIOU [EMAIL PROTECTED] wrote 
  a message of 24 lines which said:
 
 Oui, mais tu peux peut être empecher plus de X connexions TCP
 simultanées pour chaque IP (voir le module recent d'iptables).
 
 connlimit
 
 Voir par exemple http://www.gecko26.com/blog/connlimit_sarge
 
 

Re: Protection contre un DDOS tcp open

[Jean Baptiste Favre]

Les SYN-Cookies sont déjà activés, sans problèmes (effets de bord)
jusqu'à présent.

Merci quand même,
JB

Stephane Bortzmeyer a écrit :
 On Tue, May 15, 2007 at 11:11:25PM +0200,
  Pascal Hambourg [EMAIL PROTECTED] wrote 
  a message of 26 lines which said:
 
 Si je ne m'abuse, les SYN cookies ne protègent que contre les
 connexions half-open (pas de ACK en réponse au SYN-ACK).
 
 Hmmm, oui, en relisant le message originel, en effet.
 
 syncookies seriously violate TCP protocol,
 
 C'est très discuté.
 
 do not allow to use TCP extensions,
 
 C'est exact. Qui utilise ces options ? Qui les a déjà vues dans un
 paquet réel ?