eric gerbier a écrit 311 commentaires

D'après la doc ( http://www.policyd.org/content/quotas) la gestion des quotas de policyd devrait aussi permettre de limiter les flux sortants.

il y a moyen de limiter les flux sortants par des iptables avec une option --hitcount

J'utilise snare depuis des années, sans soucis : facile d'installation et d'utilisation

réferences :

• http://sourceforge.net/projects/snare/

• http://www.intersectalliance.com/projects/BackLogNT/

d'après la doc rpm, l'ordre des opérations dans un upgrade est le suivant :

• %pre sur le nouveau package
• installation des nouveaux fichiers
• %post sur le nouveau package
• %preun sur l'ancien package
• suppression des anciens fichiers
• %postun sur l'ancien package

donc à l'étape %post, tu as bien les 2 versions installées
il faudrait essayer dans le %postun

si on regarde le swap : il est quasi-plein (99,7%) , ce qui n'est pas une situation "normale" :
SwapTotal: 1925116 kB
SwapFree: 4300 kB

je te conseille d'augmenter ton swap , par exemple avec une autre partition de même taille, ce qui te ramerait à un taux d'occupation plus confortable de 50%.

Ca peut être le disque ou la connectique (boitier, cable). Il serait intéressant de sortir ton disque du boitier pour le brancher directement en sata sur ta carte mère pour voir si le problème vient effectivement du disque.

Pour récupérer les données, j'utilise dd_rhelp ( http://www.kalysto.org/utilities/dd_rhelp/index.fr.html), qui est une surcouche de dd_rescue (celui de Kurt Garloff). C'est long, mais ça marche bien.

Tu as oublié un point important : ça rame !!!

Utilisant gnome depuis une douzaine d'années, après quelques essais de gnome3, puis de unity, je suis passé sous xfce : c'est rapide (et ça ne perturbe pas mes vieilles habitudes)

Tu fais une sauvegarde avant de faire un upgrade ?

Parce que la fedora 14 ne sera bientot plus supportée : 2011-12-08

Dans leur dernier hors série numéro 22 ( http://www.linux-pratique.com/index.php/2011/09/30/linux-pratique-hs-n%C2%B022-%E2%80%93-octobrenovembre-2011-%E2%80%93-chez-votre-marchand-de-journaux#more-915) il y a un chapitre sur les différents logiciels qui existent et leur mise en service (page 72).

A titre personnel, pour mes enfants, j'utilise timepkr pour restreindre les temps de connexion et dansguardian/tinyproxy comme filtre web. Ils sont décrits dans l'article.

Pour faire simple : quand j'installe une Ubuntu, les périphériques sont reconnus sans problème et tout marche "de base". Avec une debian (stable), ça marcheras aussi, mais il faudra y consacrer du temps et avoir quelques compétences en informatique.

Mon choix personnel, c'est d'utiliser des distributions comme Ubuntu ou Fedora en poste de travail, et Debian ou un Freebsd comme serveur : il y a de la place pour chacun d'entre eux.

C'est vrai, mais j'ai décidé de passer sous lxde en cours de mise à jour. Après, sans réseau, impossible de télécharger lubuntu ...

De mémoire (mais je peux me tromper), ce n'était pas disponible (ou expérimental) sur ma première ubuntu.
Ensuite, c'est un pc qui est allumé 4/5 heures par semaine seulement, et j'ai peu de coupures (en gros une par an sur 10 ans). Si j'ajoute les sauvegardes, c'était un risque assumé.

J'utilise en parallèle fedora et ubuntu, que je mets à jour toutes les 2, tous les 6 mois. Je n'ai pas plus de problèmes d'utilisation sur l'une que sur l'autre.

Comme différence, il y a beaucoup plus de mises à jours (au fil de l'eau) sur fedora que sur ubuntu.

C'était peut-être bien ça mon problème : j'ai vu des messages d'erreurs concernant dbus dans les log.

ça m'aura permis de tester mes sauvegardes, et de passer de ext2 à ext4 :)

J'utilise aussi debian (stable), notamment pour des serveurs (et c'est très bien), mais pour un poste de travail, < mode troll on > ce n'est pas comparable avec ubuntu < mode troll off >

Ceci dit, si ça se reproduit dans un contexte moins compliqué, je regarderais d'autres distributions (Mint ?)

Je précise que j'ai lu les notes de publications, et que ce n'était pas la première machine que je mettais à jour (mais c'est la seule où j'ai eu le problème).

Et pour debian, nous ne sommes pas vendredi !

Après une nuit de repos, voici quelques indications supplémentaires :

TOMOYO a plusieurs modes (pour chaque règle) qui permettent une mise en oeuvre progressive:

• "apprentissage" (learning) qui permet de générer les règles pour sa machine

• "warning" (permissive) : prévient mais laisse faire si la règle n'existe pas

• "securite" (enforcing) : prévient et bloque si la règle n'existe pas

Je l'ai utilisé en exploitation pour sécuriser une machine en DMZ pendant plusieurs années. Cela demande un travail quotidien si les applications évoluent. Et il y a beaucoup de choses à reprendre quand on fait une montée d'OS (en gros repasser en mode apprentissage, et nettoyer les règles inutiles)

J'ai essayé SELinux (sur fedora), AppArmor (sur ubuntu ?) et TOMOYO (sur mandriva). Voici mon avis

• SELINUX : difficile à prendre en main sans investissement, l'administration ne me parait pas naturelle

• AppArmor : j'aime bien : simple à administrer, efficace. J'ai laissé tomber car à un moment, il n'était plus vraiment maintenu.

• TOMOYO : simple à utiliser et administrer, avec des notamment des interfaces curses bien faites : c'est mon préféré. On peut aussi scripter sans soucis. En plus, le projet est très actif et évolue rapidement.

Il y a aussi quelques contre-exemples de projets qui ont misés dès le début sur la sécurité et qui ont du succès : postfix, vsftpd ...

Pourtant, en tapant "man dash" sur google, le premier lien renvoyé est bon chez moi :
http://linux.die.net/man/1/dash

(paragraphe invocation)
Dash lit les fichiers /etc/profile et .profile s'ils existent. Il peut aussi utiliser le contenu de la variable d'environnement ENV pour exécuter un autre fichier.

RTFM :)

Ce que tu veux faire ressemble fortement au comportement des live-cd !

Plutôt que faire un wget, il y a une autre solution qui ressemble à celle proposée par Fedora pour ses updates : un rpm qui mets à jour les dépots. La documentation est sur :
http://blog.famillecollet.com/pages/Config

Cela revient à faire (pour une fedora 14 par exemple ) :
su
rpm -Uvh http://rpms.famillecollet.com/remi-release-14.rpm
yum --enablerepo=remi install firefox4

Il y a pas mal de services qui fonctionnent comme cela, pour ne pas avoir une démon qui tourne sous le compte root : postgresql par exemple (du moment qu'ils n'ont pas besoin d'ouvrir un port < 1024). Tu peux prendre exemple sur leurs scripts de démarrage.

Les plus sécurisé effectuent en plus un chroot pour éviter la corruption de la racine, en cas d'attaque.

Si tu ne veux pas faire d'erreurs, le plus simple est de comprendre ce que tu tapes :

• su : passer root
• cd /etc/yum.repos.d/ : aller dans le répertoire qui décrit les dépots rpm
• wget http://repos.fedorapeople.org/repos/remi/Remi/fedora-remi.repo : récuperer un fichier décrivant un dépot
• yum --enablerepo=remi install firefox4 : installer le package firefox4 en utilisant le dépot remi

Le seul souci éventuel sera la compatibilité du dépot avec ta version de fedora.