cg a écrit 1735 commentaires

J'y vois un avocat, avec la chair jaune, plus verte autour du noyau, et le noyau marron en train d'être délogé :D.

Ce retour d'expérience du CHU de Brest est pas mal dans son genre aussi : https://www.nolimitsecu.fr/retex-incident-de-securite/

On y entend entre autres que l'ANSSI, ce n'est pas que des brochures de conseils, et qu'on peut se passer de sommeil pendant plusieurs jours.

D'ailleurs je te rejoins sur le fait que probablement tous les systèmes de fichier profitent de la RAM ECC (Linus Torvalds avait taclé Intel sur la non-généralisation de l'ECC il y a quelques temps).

Quitte à enfoncer une porte ouverte, pouvoir mettre en cache à tous les étages est la clé de la performance, que ce soit très bas niveau dans du cache CPU ou très haut niveau comme un proxy web ou un CDN.

Si je puis me permettre, prendre la RAM dispo pour faire du cache disque, c'est le comportement par défaut de Linux, et quand tu fais beaucoup de lectures (sur un NAS, par exemple), ça peut occuper toute la RAM dispo comme cache (la colonne buff/cache dans free).

Simplement sur ZFS ça se voit plus car la RAM est allouée à un thread nommée zfs_quelquechose, et de manière un poil plus aggressive.

Mais globalement c'est kif-kif bourricot entre ZFS et d'autres FS sur un serveur occupé à faire des E/S disques.

Par exemple sur ma machine qui ne fout rien, j'ai déjà 1.7Gio de cache, avec ext4 :

~ $ free -h
               total        used        free      shared  buff/cache   available
Mem:           7.7Gi       1.2Gi       5.1Gi       109Mi       1.7Gi       6.5Gi

Alors sur un serveur qui travaille…

Ah oui je comprend mieux, merci !

Est-ce prévu de pouvoir mettre des liens dans ces notes, vers d'autres objets (doc, tâche, url externe) ?

Genre:

10/02/2024 : Traduction en tagalog terminée ! [#3874]
08/01/2024 : Mise jour du cahier des charges [cdc_brocolis_a_plumes]

les trucs entre crochets étant des liens vers d'autres ressources.

C'est un truc que j'avais bien aimé dans le tandem Jira/Confluence, et qu'on retrouve un peu avec les "chips intelligents" dans Google Workspace (pouvoir faire des items de todo, des liens… etc dans n'importe quel doc). Mine de rien ça unifie par mal les produits entre eux.

(bon en même temps c'est très facile de transformer Google Drive en gros bordel incontrôlable :D)

Oui, complètement ! La compression est vraiement un truc qui manque à ext4.

Ce qu'on veut dire, c'est que BTRFS, comme ZFS, n'est pas forcément adapté sur du matériel grand public. Les docs de ZFS disent que sans ECC, c'est une très mauvaise idée, et BTRFS suggère que c'est utile.

Hello,

est-ce que ce genre de journal ne pourrait pas être une vue/un mode d'affichage des tâches telles qu'elles existent dans un Kanban par exemple, mais affichées de manière chronologique ?

Comme ça j'ai l'impression qu'il y a un risque de répétition d'info entre un doc de compte-rendu, des tâches et ce nouvel outil de journal. Je n'ai peut-être pas tout à fait compris l'usage, ceci dit.

Je m'étais fait le même genre de truc pour créer des tickets dans Redmine depuis un terminal, pour éviter d'oublier de noter des tâches courtes par flemme ou surcharge temporaire.

Un script Perl redmineaction qui poste un nouveau ticket, et des liens symboliques vers ce script, comme :

• todo crée un ticket en "new"
• doing crée un ticket en "in progress"
• did crée un ticket en "closed"
• incident crée un ticket type incident en "in progress"
• fixed crée un ticket type incident en "closed" etc…

Le script détecte sous quel nom il a été lancé et fait la bonne sous-commande (fonctionnement inspiré de Busybox, notre ami à toutes).

On peut mettre 2 paramètres, le premier est le sujet du ticket, le second, optionnel, est la description (courte en CLI, fatalement) :

did Mise à jour anti-virus sur le serveur webmail

J'ai perdu ce script en changeant de travail, c'est moche :(.

Ma principale motivation quand je postule, c'est quand même de ne pas mourir de faim et de froid

Oui, comme les autres candidat·es. La lettre permet de faire la différence, et c'est un exercice intéressant à faire. Tu es sans doute plus d'une somme de compétences brutes.

pour moi la lettre de motivation est juste une insulte, car elle induit que le candidat doit se plier aux désirs de l'employeur et non à ce qu'il cherche

Pour moi, c'est une manière de déterminer en quelques secondes si une personne sait transmettre des informations et rédiger de manière claire et concise. Souvent, on travaille en équipe et savoir rédiger et communiquer par écrit est important.

Ce n'est pas le seul critère, mais c'est un facteur de différentiation énorme.

J'ai reçu deux-trois fois des courriers avec lettre de motivation genre "je suis super intéressé pour venir chez vous", mais avec plein de destinataires d'autres entreprises en CC… Donc une lettre de motivation bateau et impersonnelle. Autant dire que je passe très vite sur ces candidatures.

Quand je candidate, en général j'ai vraiment envie, alors je rédige un courrier de zéro très personnel, j'adapte le CV pour mettre en avant certains trucs plus pertinents, et je vais même jusqu'à changer les couleurs des titres dans mon CV pour correspondre à la charte graphique de l'entreprise que je convoite :).

Et c'est clair qu'à partir d'un moment, il faut enlever du détail dans le CV, sinon c'est trop long.

Aussi, sur les NAS Synology, c'est du BTRS par défaut. J'ai travaillé quelques mois avec une dizaine de serveurs Syno à 300+To en RAID6, ça se comporte plutôt bien je dois dire.

Ceci dit, les versions sont validées par l'éditeur, les disques durs sont de qualité (SATA mais haut de gamme), et la RAM fait de la correction d'erreur (ECC). J'imagine que rien que la RAM ECC ça joue pas mal sur la fiabilité.

Après, globalement, ZFS fonctionne bien aussi, XFS aussi… Mais au final EXT4 s'en sort bien également et est tellement plus testé que pour un usage de base, je ne vois pas l'intérêt d'utiliser autre chose.

Il me semble qu'un intérêt de argon2 est qu'il demande "beaucoup" de mémoire par essai, du genre 64MB, et que ça rend la recherche par forte brute sur GPU beaucoup plus lente, car ça coûte très cher d'avoir assez de RAM. Par exemple avec une carte 64GB tu ne peux faire que 1000 tests en parallèle, alors que les GPUs ont beaucoup plus de cœurs.

Après je ne suis pas spécialiste du domaine non plus !

Je ne sais pas s'il y a beaucoup d'études sur le sujet, mais quand je parle de cette peur de l'échec, et de la peur de ne pas être "à la hauteur" à des femmes (principalement dans la tech, l'éducation, et le milieu artistique qui représentent ma bulle sociale principale), c'est quasiment unanime qu'il existe un frein psychologique lié au genre, infusé par l'éducation.

J'en ai justement parlé à une femme qui est architecte réseau il y a deux jours. Je lui ai demandé si elle faisait des conférences/des causeries dans des événements. Elle m'a dit que non car elle a peur du regard des autres et de ne pas être à la hauteur. Le fait qu'on trouve plus de 80% d'orateurs mâles dans ce genre d'événements est à la fois la cause et la conséquence.

Cette causerie parle spécifiquement de ça. (il y a une transcription en Anglais et en Français pour celles et ceux qui préfèrent lire que regarder une vidéo).

Après, peut-être qu'avec les plus jeunes, les lignes bougent un peu.

Ah ben non j'ai dit une grosse connerie, c'est bien un routeur : net.ipv4.ip_forward=1.

170 euros c'est le prix de l'ordi, pas de la carte réseau :).

Et oui, ça peut fonctionner avec des interfaces USB, et même avec un seul port physique avec des VLANs, si le switch/firewall les supportent.

L'éternité c'est long, surtout vers la fin. (Kafka via Woody Allen)

Le schéma n'est pas vraiment limpide et laisse penser que la machine fait routeur, mais d'après le texte, la machine n'est pas configurée pour faire le routage (forwarding) des paquets.

C'est donc bien une machine de rebond (jumphost), qui demande d'ouvrir une session (même de manière automatique et non interactive avec des clés SSH) sur cette machine pour aller de l'autre côté.

Comme ça, je dirais qu'un bastion moderne va avoir de base des fonctions type tracabilité forte… Mais la différence entre bastion et jumphost se discute :).

Oui, c'est tout à fait exact, et on peut imaginer que l'audit a été bien fait, s'agissant d'un service public qui a probablement eu de l'aide de la part de l'ANSSI.

Dans le doute, on a quand même changé nos mots de passe dans ma famille. On attend encore l'option MFA…

De mes souvenirs (~ 2017), Confluence était pas mal. L'intégration avec Jira et le fait d'avoir des éléments sémantiques et dynamiques (les todos, les checklists, les refs de ticket, les requêtes) en faisait un truc assez unique. Maintenant y'a la même chose dans Notion, Google Docs et sans doute d'autres wikis…

Si tu aimes les wikis et Drawio, alors sache que WikiJS et Bookstack gèrent nativement Drawio (et donc indirectement Mermaid). Bookstack a ceci de particulier qu'il impose de ranger sa doc comme une bibliothèque : étagères, livres, chapitres, pages. Ça semble contraignant mais ça force à se structurer. Du bonheur pour les bordéliques, perso j'aime bien :D.

Hello,

• Fichier de 10.74 Gigaoctets -> environ 85 à 100 Gigabits sur le réseau (selon la quantité "d'emballage réseau")
• 85 Gigabits en 3 minutes et 24 secondes, ça fait 0,42 Gigabits par seconde, soit 420 Megabits par seconde, soit environ tes 49,95 Mégaoctets par seconde qu'indique rsync (Mégaoctets == MBps et non Mégabits Mbps !).

On peut déjà en déduire que l'interface n'est pas en 100Mbps à cause d'un mauvais câble par exemple :).

• Le maximum théorique que tu peux avoir sur un lien GE va être de 150 Mégaoctets (1000 Megabits). En pratique c'est moins car les protocoles réseau prennent de la place aussi.
• D'expérience, avec rsync+ssh ce n'est pas forcément aberrant comme résultat. Essaye avec un outil type speedometer ou iperf pour voir si ça fait pareil. Voire même avec un truc tout simple comme speedtest.net si tu as une bonne connexion Internet (pas forcément simple sur un serveur).
• Enfin, dans la majorité des configs, LACP ne va pas te permettre de saturer les deux liens de l'agrégat avec une seule connexion : une connexion TCP va rester sur un seul lien. Si tu veux faire de la répartition de charge au niveau paquet et non connexion, il faudra changer le mode de répartition des paquets au niveau du bond (le mode round-robin), mais ça peut mettre le bazar si les switchs le gèrent mal, il faut bien tester avant.
• Pour contrer ce dernier cas, tu peux essayer aussi de lancer 10 transferts en parallèle avec rsync, netcat ou iperf, tu auras ainsi plus de chance d'arriver à saturer les deux liens GE.

Bon courage !

Hello,

en fait c'est surtout cette question :

Pourquoi un tel système n'est-il pas universel ? Je me le demande bien.

qui m'a faire répondre "mauvaise idée". Dans un cadre individuel, si tu es conscient des limites de ton système, tu fais bien ce que tu veux :p. Je suis pas blanc-blanc non plus, je ne vais pas donner des leçons :D.

Mais j'y avais repensé, parce que je trouvais mon argument technique du sel un peu pourri…

Je me suis dit qu'on pouvait le voir dans l'autre sens : l'apex est le sel, et le "mot de passe" est réutilisé sur tous les sites. Sauf que dans ce cas, ton sel est très simple à connaître (typiquement ebay, linuxfr, impots…). Reste le mot de passe qui est costaud, mais réutilisé partout.

Si tu n'as pas de bol, et que tu tombes un jour sur une machine avec un keylogger ou un logiciel espion quelconque (genre chez le neveu qui rulez sur le darknet), ton mot de passe maître se retrouve compromis et le générateur n'est pas protégé par de la double authentification. Tu as donc tes fameuses 3/4 heures pour rechanger tes mots de passes partout, en compétition avec les amis de ton neveu. 3, 2, 1, partez ! Certes tu n'as peut-être pas le poids de Mark Zuckerberg, mais par contre ce sont tes données et c'est ça qui t'importe je crois :D.

Avec la MFA active partout où c'est possible, c'est moins un problème, ceci dit.

À moins de tracer/observer les paquets directement sur les switchs, tu ne peux pas faire ça au niveau 2.

Question bête : est-ce que tous les switchs qui ont un agrégat supportent bien LACP ? Ça pourrait être une piste. Es-tu certain que c'est bien configuré ET actif sur les serveurs ?

Pour déboguer, tu peux essayer ça :

• activer LLDP pour que les switchs et les autres machines remontent l'info de qui est branché sur quel port ;
• si tu peux, essaye de débrancher (ou désactiver de façon logicielle) un des deux câbles d'un trunk.
• regarder les compteurs d'erreurs sur les machines et les switchs, (avec la commande ethtool -S bond0 par exemple sur Linux).

Ça devrait t'aider à passer une nuit blanche : https://neal.fun/password-game/

Merci pour le journal. Sans doute que ce premier outil t'as fait réfléchir à quelques problématiques, et te feras réfléchir à d'autres questions, et c'est super !

Mais en vrai, c'est une mauvaise idée. D'une manière générale, créer sa solution cryptographique sans très bien connaître le domaine mène à une situation risquée voire potentiellement catastrophique.

Le minimum, si tu calcules ton mot de passe, c'est d'ajouter un sel différent pour chaque mot de passe, ce qui revient à avoir un mot de passe maître qui change pour chaque mot de passe, et du coup ton logiciel ne fonctionne plus, sauf si tu stockes ces mots de passe maîtres… dans un gestionnaire de mots de passe :D.

Bref, utilises un gestionnaire agnostique du navigateur (Bitwarden, Lastpass…), mais qui s'intègre bien aux navigateurs et aux mobiles, et est dispo en https pour quand tu es "pas chez toi". Active la MFA pour accéder à ce coffre électronique et tu n'auras plus de problème.

On conseille souvent de changer ses mots de passe régulièrement

Plus tellement, on conseille surtout d'utiliser l'authentification multiple dès que possible¹. Webauthn le permet, TOTP a abaissé la barre en terme de facilité d'usage et de coût (avec Authy ou Google Authenticator), et les passkeys sont le véritable équivalent des paires de clés SSH pour le web. Un très grand intérêt de la double authentification est que le vol du mot de passe n'est pas suffisant pour accéder au compte et te laisse le temps de changer le mot de passe s'il s'avère que ton mot de passe a vraiment été divulgué/trouvé.