Marotte ⛧ a écrit 8719 commentaires

Vous avez un plan de reprise d'activité sur un jour ? Si un avion s'écrase sur votre datacenter vous remontez tout en 24 heures ?

Pour ne perdre qu'une seule journée en cas de catastrophe l'externalisation ne suffit pas à mon avis. Il faut avoir plusieurs sites (2+ datacenters) et répliquer les données (ainsi que les systèmes critiques…) quasi en temps réel si on ne veut pas que l'activité cesse plus de 24 heures.

Après c'est sûr ça dépend de combien de serveurs tu as à remonter.

l'externalisation, c'est pour parer à une destruction physique de tous tes serveurs dans tes bureaux.

Bah oui on est d'accord. Donc si tes serveurs sont détruits physiquement et que tu dois reconstruire depuis la sauvegarde que tu as externalisée, comment dire…

Mettons que tu externalises le lundi (soir, à la fin de la journée de prod), si tes serveurs explosent le vendredi tu perds mardi, mercredi, jeudi et vendredi. Si tu externalises tous les jours tu perds seulement vendredi (vu que tu as externalisé jeudi soir).

Bon, mon exemple est un peu bancal car généralement on externalise seulement J-1 et pas J, mais tu vois le truc non ?

L'inconvénient c'est que les pourcentages que tu avances m'ont l'air vraiment très loin de la réalité

On a donné les statistiques il n'y a pas longtemps (je ne me souviens plus de l'adresse) et on a dit qu'il y avait quelque chose comme une vingtaine de karma négatifs pour plus de 3000 comptes actifs. Donc même si tous les 20 en question étaient moinssés injustement 20/3000 ça fait moins de 0,7 %. Alors je dirais même que le système fonctionne à plus de 99 % d'efficacité ! :)

(Oui il est tard…)

Comme le fait remarquer NeoX, 11.04 est obsolète, il n'y a certainement plus de mise à jour de sécurité. Vu que tu as du réseau tu devrais peut-être télécharger la 12.04 et l'installer. Si vraiment c'est pas possible (pourquoi ?) je pense que sa solution est la bonne : éditer ton sources.list comme il te l'a indiqué.

Bienvenue à toi.

C'est quoi ta machine, je veux dire, plutôt récente ou plutôt ancienne ?

une externalisation par semaine devrait suffire

Bah c'est toujours moins bien qu'une par jour. Avec une par semaine, en cas de crash tu peux avoir perdu jusqu'à 6 jours de production lorsque tu restaures.

Après c'est peut-être tolérable en effet, tout dépend.

J'ai viré l'option route-nopull

grep ovpn /var/log/daemon.log :

Jun 20 23:14:09 medusa ovpn-hma[4126]: OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Jun  5 2013
Jun 20 23:14:09 medusa ovpn-hma[4126]: Socket Buffers: R=[87380->131072] S=[16384->131072]
Jun 20 23:14:09 medusa ovpn-hma[4127]: Attempting to establish TCP connection with [AF_INET]213.5.65.4:443 [nonblock]
Jun 20 23:14:10 medusa ovpn-hma[4127]: TCP connection established with [AF_INET]213.5.65.4:443
Jun 20 23:14:10 medusa ovpn-hma[4127]: TCPv4_CLIENT link local: [undef]
Jun 20 23:14:10 medusa ovpn-hma[4127]: TCPv4_CLIENT link remote: [AF_INET]213.5.65.4:443
Jun 20 23:14:10 medusa ovpn-hma[4127]: TLS: Initial packet from [AF_INET]213.5.65.4:443, sid=76ebbee9 b804fb53
Jun 20 23:14:11 medusa ovpn-hma[4127]: VERIFY OK: depth=1, C=UK, ST=NR, L=Attleborough, O=Hide My Ass! Pro, OU=VPN, CN=vpn.hidemyass.com, emailAddress=ca@hidemyass.com
Jun 20 23:14:11 medusa ovpn-hma[4127]: VERIFY OK: nsCertType=SERVER
Jun 20 23:14:11 medusa ovpn-hma[4127]: VERIFY OK: depth=0, C=UK, ST=NR, L=Attleborough, O=Hide My Ass! Pro, OU=VPN, CN=server, emailAddress=vpn@hidemyass.com
Jun 20 23:14:13 medusa ovpn-hma[4127]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jun 20 23:14:13 medusa ovpn-hma[4127]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jun 20 23:14:13 medusa ovpn-hma[4127]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jun 20 23:14:13 medusa ovpn-hma[4127]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jun 20 23:14:13 medusa ovpn-hma[4127]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Jun 20 23:14:13 medusa ovpn-hma[4127]: [server] Peer Connection Initiated with [AF_INET]213.5.65.4:443
Jun 20 23:14:15 medusa ovpn-hma[4127]: SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Jun 20 23:14:15 medusa ovpn-hma[4127]: PUSH: Received control message: 'PUSH_REPLY,topology subnet,route-gateway 10.200.0.1,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,redirect-gateway def1,ifconfig 10.200.1.248 255.255.252.0'
Jun 20 23:14:15 medusa ovpn-hma[4127]: OPTIONS IMPORT: --ifconfig/up options modified
Jun 20 23:14:15 medusa ovpn-hma[4127]: OPTIONS IMPORT: route options modified
Jun 20 23:14:15 medusa ovpn-hma[4127]: OPTIONS IMPORT: route-related options modified
Jun 20 23:14:15 medusa ovpn-hma[4127]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Jun 20 23:14:15 medusa ovpn-hma[4127]: ROUTE_GATEWAY 192.168.0.1/255.255.255.0 IFACE=eth0 HWADDR=90:2b:34:6d:94:27
Jun 20 23:14:15 medusa ovpn-hma[4127]: TUN/TAP device tun0 opened
Jun 20 23:14:15 medusa ovpn-hma[4127]: TUN/TAP TX queue length set to 100
Jun 20 23:14:15 medusa ovpn-hma[4127]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Jun 20 23:14:15 medusa ovpn-hma[4127]: /sbin/ifconfig tun0 10.200.1.248 netmask 255.255.252.0 mtu 1500 broadcast 10.200.3.255
Jun 20 23:14:15 medusa ovpn-hma[4127]: /sbin/route add -net 213.5.65.4 netmask 255.255.255.255 gw 192.168.0.1
Jun 20 23:14:15 medusa ovpn-hma[4127]: /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.200.0.1
Jun 20 23:14:15 medusa ovpn-hma[4127]: /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.200.0.1
Jun 20 23:14:15 medusa ovpn-hma[4127]: Initialization Sequence Completed

ip route :

0.0.0.0/1 via 10.200.0.1 dev tun0 
default via 192.168.0.1 dev eth0 
10.200.0.0/22 dev tun0  proto kernel  scope link  src 10.200.1.248 
128.0.0.0/1 via 10.200.0.1 dev tun0 
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.11 
213.5.65.4 via 192.168.0.1 dev eth0

Je suis dubitatif quand à la première route : 0.0.0.0/1 ça signifie quoi ? Ça doit correspondre à :

/sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.200.0.1

Mais je comprend pas à quoi ça sert. (Le premier qui dit que de toute façon je comprends rien à rien je le moinsse ;)

ifconfig tun0 :

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet adr:10.200.1.248  P-t-P:10.200.1.248  Masque:255.255.252.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:229 errors:0 dropped:0 overruns:0 frame:0
          TX packets:272 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100 
          RX bytes:75764 (73.9 KiB)  TX bytes:24634 (24.0 KiB)

Je devine déjà que je ne dois pas me baser sur l'IP de l'interface tun0 pour mon routage car elle peut changer d'une connexion à l'autre.

Voilà ce que j'ai avec un des fichiers fourni par HMA, les seules modifications que j'ai faites c'est d'indiquer le fichier contenant le user/pass à l'option auth-user-pass et ajouter l'option auth-nocache (à cause d'un warning dans la log).

L'IP 213.5.65.4 qui apparaît dans la table de routage c'est celle indiquée pour le paramètre « remote » dans mon fichier de conf OpenVPN.

Je reprendrai tout ça un autre jour à tête reposée. Même si j'y vois déjà un peu plus clair je suis vanné (pas juste pour ça je vous rassure).

Je n'ai pas trop le temps de mettre en place les machines pour tester

J'en demande pas tant mais merci pour l'intention !

j'ai remarqué quelque chose d'étrange sur ton interface tun0
inet adr:10.200.3.45 P-t-P:10.200.3.45

Oui moi aussi ça me surprend mais comme j'y connais pas grand chose :/

Regarde les logs d'OpenVPN

Je les avais pas trouvé hier, visiblement faut que je fasse un grep ovpn /var/log/daemon.log

Encore merci pour ton commentaire. Même si tu ne me donnes pas de solution « clé en main » ça fait plaisir de se sentir aidé.

le moins de règles iptables possibles. Valide la configuration de routage dans un environnement simple pour commencer, tu compliqueras les choses après ;)

Oui c'est ce que je compte faire.

Oui, tu as raison en effet. Ralala les gens ! :)

Bon, on a qu'à inclure l'empreinte ADN dans l'état-civil en le prélevant sur tous les nouveaux nés, comme ça plus de problème de gens stigmatisés \o/ Faudrait que je propose ça à François tiens.

Oui je confirme. Au moins depuis Squeeze.

Je fais toujours mes installations en mode « expert » et je recommande, même aux grands débutants, cette manière de faire. En effet il suffit de conserver le choix par défaut proposé si on ne comprend pas la question. C'est juste des dialogues en plus mais ce n'est absolument pas plus compliqué que le mode normal.

Ça me fait penser à la conf du noyau où à presque chaque option tu as à la fin de chaque description : « Si vous avez un doute, laissez le choix par défaut » (traduction approximative)

Une loi ça s'abroge… Ce qu'on a « vendu » aux gens c'était bien un fichage pour les criminels et les délinquants, pas un fichage généralisé.

Debian, si j'en crois cette étude, c'est à peu près 1/3 des serveurs, CentOS 1/4 et Ubuntu un petit peu moins.

Ça m'étonne que Suse ne soit pas devant Ubuntu en entreprise.

Debian semble effectivement tenir encore plus la corde, puisque je peux mettre autre chose que Gnome ou KDE

Tu peux mettre autre chose que Gnome ou KDE sur à peu près toutes les distributions…

Euh… Si, quand même, c'est le principe :

En France, le fichier national automatisé des empreintes génétiques (FNAEG) du ministère de l'intérieur gère les empreintes génétiques utiles à la résolution d'enquêtes visant les criminels, les délinquants mais pas les contrevenants. Il est déclaré à la CNIL comme il se doit.

Mais c'est vrai que ça, c'était au début :

Loi du 18 mars 2003 sur la sécurité intérieure (dite « loi Sarkozy »), dans son article 29: elle élargit le fichier à de simples délits (vol, tag, arrachage d'OGM, etc.) et permet aussi d'inclure de simples suspects

Source : Wikipédia qui cite la CNIL et le journal « Le Monde ».

[mode troll]
Tu te proposes de m'entretenir et de ma livrer ma nourriture ?

Si tu ne vas pas faire tes courses il te faut quand même manger. C'est vrai que tu peux aussi voler ou mendier, t'as le choix. Mais en quoi est-ce moins dégradant ?
[/mode troll]

N'étant pas chez moi je note ici les différentes pistes à explorer.

• Trafic RELATED,ESTABLISHED accepté automatiquement

$IPTABLES -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT 
$IPTABLES -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT 
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

• Règle de priorité 0

0:  from all lookup local 

• Est-ce bien l'IP de l'interface tun0 qui doit être indiquée comme route par défaut pour la table de routage vpn ? Regarder les routes poussées par le serveur en enlevant l'option route-nopull.

• Chercher si log d'erreur de OpenVPN.

Merci, j'avais la flemme de regarder le source.

Ça va m'éviter de gaspiller des votes :)

Je crois même que tu peux continuer à plusser un commentaire à +10, il sera toujours affiché à +10 mais à +11 en réalité. Je le fais parfois. À confirmer.

liée à mon avis, à la volonté d'inscrire le moins de monde possible

Je m'étais dis ça aussi en lisant ton commentaire. C'est bien possible. Si ce n'est pas pour inscrire le moins de monde possible ça permet au moins d'étaler les inscriptions (donc oui, faire baisser les chiffres du chômage d'une certaine manière)

Non, j'ai failli pleurer et je suis parti.

Je compatis. C'est clair que le chômage c'est plaisant pendant deux ou trois mois, puis c'est neutre, puis c'est franchement pesant quand ça dure. :(

Moi sur un peu plus d'une dizaine d'année de vie professionnelle j'ai déjà fait 2 * 1,5 ans (grosso merdo) de chômage (à la fin de la deuxième période j'étais près à prendre n'importe quel boulot genre chauffeur livreur ou hôte de caisse bien qu'il me restait encore près de 6 mois d'indemnités (au minimum)). Enfin c'est pas grave, je compte bien être encore en état de travailler à 75 ans ! Faut être positif dans la vie :)

Et puis depuis quand une dictature à besoin de la moindre preuve pour faire ce qu'elle veut de toi ? :)

Quand on t'a demandé de refaire ta CI pour t'inscrire à Pôle Emploi (c'était pas toi mais un ami peut-être) tu t'y es opposé ? Genre : « Non je refuse je sors pas de ce bureau tant que vous m'avez pas inscrit ! » Au pire ils auraient appelé les flics et tu aurais été fixé :)

JACK peut fonctionner en temps réel mais ce n'est pas obligatoire.

Et depuis le temps que Jack existe on a eu le temps de réfléchir à la mise en place de Jack par défaut.

Bah oui, d'où ma question : Pourquoi ? Comme je dis, le coup du temps réel ce n'est pas une raison.

Même si le refus par Pôle-emploi (d'une CI > 10 ans) était illégal je me demande s'il ne font pas ça quand même dans l'intérêt du demandeur. Si par exemple il y a une offre pour un emploi qui nécessite de se déplacer à l'étranger, ou bien dans une boîte qui aurait son siège hors France, il faudra qu'il est une CI ayant moins de 10 ans si pas de passeport, alors autant lui faire refaire au moment où tu l'inscris, non ?

De même, si la loi dit que la photo doit être ressemblante on doit pouvoir jouer la dessus pour imposer à quelqu'un de refaire sa CI.

Pourquoi ne pas utiliser JACK (avec ALSA comme backend) par défaut sous GNU/Linux. La plupart des utilisateurs n'ont pas besoin des fonctionnalités de routage entre applications que propose JACK mais partant du principe que « qui peut le plus peut le moins » pourquoi pas ?

Est-ce que c'est parce que trop peu d'applications supportent JACK ? Est-ce parce qu'il « bouge » encore trop ?

Ah déjà ? Il postait à -8 il y a deux jours :)

Euh, c'est pas de l'abus ça ? Il me semblait qu'elle était valable « à vie » sur le territoire français ?