Yves a écrit 385 commentaires

Ça va venir :-) Il faut d’abord que je finalise certains points de ma configuration.

En fait, le(s) serveur(s) est entièrement configuré avec Ansible. Du coup, régulièrement je repasse le « playbook » et au passage ça fait les mises à jour.

En pratique, Archlinux sur un serveur, ça se passe plutôt bien. Avant cela, j’utilisais Debian.
Mon expérience (sur serveur) est celle-ci :

• Archlinux :
    − Il y a presque toujours un truc à gérer lors d’une mise à jour => hors de question de faire ça en automatique.
    + En contrepartie, les solutions aux problèmes qui se posent sont toujours simples et je sais que j’y arriverai toujours.
    + De plus, les logiciels sont toujours à jour et ça facilite beaucoup l’exploration de nouveaux usages.
    + Enfin, il est trivial d’empaqueter un nouveau logiciel, comme je l’ai fait d’ailleurs avec Pyruse ; donc pas d’étapes ./configure&&make install dans mon playbook Ansible.

• Debian :
    + Les mises-à-jour se passent généralement sans histoire.
    − Par contre, quand quand ça dérape, il faut réussir à s’imprégner des particularismes Debian, ce qui n’est pas toujours facile…
    + Les mises à jour de sécurité sont faites de manière sérieuse, ce qui compense l’ancienneté des paquets.
    − Mais plus le temps passe, plus il devient compliqué, voire impossible dans certains cas, de tester certains logiciels.

Tout est dans l’équilibre personnel recherché. Je suis parfaitement à l’aise avec la ligne de commande, et Archlinux convient mieux à mes objectifs. Mais il ne faut jamais être dogmatique : d’autres distributions peuvent mieux convenir à d’autres situations.

Mea culpa. Effectivement, j’ai oublié !
C’est empaqueté pour Archlinux, mais il faudrait quand même que je rédige une petite documentation. En attendant, avec quelques connaissances pour la ligne de commande, ceci peut aider :
https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=pyruse

Non, en réalité, je n’utilise pas 24h sur mon serveur, mais davantage (de l’ordre de la semaine). Je me suis déjà fait bannir, il y a longtemps… Tout comme Glandos, j’avais un accès shell-in-a-box pour rétablir l’accès. Désormais, je ne m’embête plus avec ça : j’utilise Termux sur mon Fairphone => IP différente ;-) Je peux aussi rebondir par un accès SSH tiers…

Au passage, oubliez l’idée de se protéger en changeant le port SSH : les scanners de ports trouvent le nouveau port sans difficulté, et je peux confirmer que ça n’empêche en rien les « attaques ». Bien sûr, sur un serveur bien configuré, ces attaques ont peu de chances de mener à quoi que ce soit…

Je ne peux pas généraliser à tout fichier JSON, mais dans le cas particulier de Pyruse, il faut savoir que les entrées de dictionnaire non utilisées sont ignorées, ce qui permet ceci par exemple :

"Détecter les accès SSH en échec": [
  { "INFO": "COMMENCER PAR VÉRIFIER QUE ÇA VIENT DE SSH",
    "filter": "filter_equals",
    "args": { "field": "_SYSTEMD_UNIT", "value": "sshd.service" }
  },
  { "INFO": "PUIS QU’ON A BIEN UN MESSAGE D’ÉCHEC DE CONNEXION",
    "filter": "filter_pcreAny",
    "args": { "field": "MESSAGE", "re": [
      "^Failed password for (?P<utilisateur>.*) from (?P<adresseIP>[^ ]*) port",
      "^Invalid user (?P<utilisateur>.*) from (?P<adresseIP>[^ ]*) port",
      "^User (?P<utilisateur>.*) from (?P<adresseIP>[^ ]*) not allowed because not listed in AllowUsers$"
    ] }
  },
  { "INFO": "SI C’EST BIEN LE CAS, ON AUGMENTE LE COMPTEUR",
    "action": "action_counterRaise",
    "args": { "counter": "sshd", "for": "adresseIP", "keepSeconds": 300, "save": "nbÉchecs" }
  },
  { "INFO": "ET S’IL EST SUPÉRIEUR OU ÉGAL À 4",
    "filter": "filter_greaterOrEquals",
    "args": { "field": "nbÉchecs", "value": 4 },
    "else": "… Ça ira pour cette fois, circulez !"
  },
  { "INFO": "ALORS ON BANNIT L’ADRESSE IP POUR 24H",
    "action": "action_nftBan",
    "args": {
      "IP": "adresseIP", "banSeconds": 86400,
      "nftSetIPv4": "Inet4 sshd_ban", "nftSetIPv6": "Inet6 sshd_ban"
    }
  }
],

C’est vrai que je n’avais pas pensé à ça !

D’ailleurs, Le journal systemd a cette même capacité de centralisation. Je surveille moi-même 2 hôtes avec Pyruse. Le champ _HOSTNAME me fournit l’hôte concerné.

Ah ah :-) C’est amusant : En lisant le titre de ton commentaire, je m’attendais exactement à l’inverse de ce que tu as finalement écrit.

En fait, si tu regardes, tout le code ainsi que la documentation sont en anglais ; rien en français. Tout le français que tu vois dans la dépêche est situé dans des clefs de dictionnaires Python. Ce ne sont que de quelconques chaînes de caractères.
D’ailleurs, tu noteras que le rapport quotidien est en anglais ; c’est une autre raison pour laquelle je souhaite mettre en place des « patrons » de génération à la place d’un rendu fixe.

Il y aurait donc bien un petit effort d’internationalisation à faire, pour rendre peut-être le logiciel plus accessible aux personnes non anglophones ;-)

Je comprends. C’est en effet intéressant quand tu gères une ferme de serveurs.

Avec Pyruse, il suffirait de créer un gestionnaire de compteurs alternatif adossé à une base de données (copier-coller de l’existant, avec juste un backend différent), puis d’implémenter les actions triviales +/−/reset.
La base de données pourrait être un PostgreSQL/MySQL… pour une grosse installation, ou peut-être un fichier SQLite sur partage réseau (quid des accès concurrents ?)…

Une autre solution, peut-être plus proche de ton idée, serait d’avoir un petit dæmon qui écoute en IP-Multicast : lorsqu’il reçoit une notification d’attaque, il la logue dans systemd. La conf. peut alors donner à cette « attaque » autant de poids qu’une véritable attaque locale. Et bien sûr, il y aurait une action à développer qui diffuse en IP-Multicast les attaques locales.

Bref… C’est possible :-)

Pas d’accord du tout.

J’ai également ce type de clef depuis bien longtemps. Mais là, on peut saluer le pragmatisme et l’astuce de l’auteur, pour avoir trouvé un processus de création du média adapté aux contraintes des logiciels installés. La démarche est efficace et semble bien ciblée, avec :

• un vrai besoin (je connais un formateur qui rêverais d’utiliser ça !) ;
• un résultat bien pensé, notamment sur l’ergonomie, qui a l’air bien équilibrée, entre modernisme et économie des ressources.

Bravo !

Merci :-) J’ai hâte de lire ça !

Je suis néophyte en ce domaine, et je cherche comment équiper mon nouveau serveur pour la diffusion de musique (voire films) sur mon ampli A/V.

A priori, ton logiciel a l’air super intéressant (même s’il ne fait pas la vidéo pour l’instant), mais je ne vois pas trop comment ça se passe pour aller vers l’ampli… Tu parles de diffusion HTTP, mais n’y a-t-il pas aussi la possibilité d’une sortie via le chipset son de la machine ?

MDR :-D C’est tellement vrai !

C’est impressionnant ! Bravo !
Reste à voir si la communauté va suivre… Ce serait sans doute bénéfique sur le long terme, face à l’hégémonie des plates-formes centralisatrices.

Tout d’abord, bravo à l’auteur pour cette aventure, le partage de son expérience, et l’optimisme qu’il communique !

Et tant que je suis là, j’ai une question : Quelqu’un saurait-il m’expliquer la situation actuelle avec LDAP ?

Plusieurs utilisateurs ont émis le souhait de pouvoir identifier les utilisateurs avec LDAP, souvent utilisé en auto-hébergement (notamment YunoHost).
Il semble que quelqu’un ait apporté une solution opérationnelle, mais que celle-ci n’ait pas été acceptée, je ne sais pas trop pourquoi. Je trouve que la communication sur les tickets concernés est un peu confuse…

(point d’entrée GitHub : https://github.com/wallabag/wallabag/issues/966)

Tu ne peux pas comparer un éditeur de texte et un système d’exploitation !

Tu vas rire, mais il m’est arrivé de recourir à ed dans des scripts car il permet de faire des choses qui ne sont parfois pas évidentes à faire avec sed.
Je ne me souviens plus ce que j’avais fait avec, mais il me semble que c’était notamment pour les mouvements relatifs : trouver d’abord la chaîne A, puis trouver la chaîne B qui suit, et remplacer la ligne suivante par C…

As-tu pensé à utiliser Fluxbox en gestionnaire de fenêtres ? Celui-ci permet d’avoir des onglets de fenêtres. C’est facile à utiliser et plutôt pratique.

http://fluxbox.sourceforge.net/features/tabs.php

Eh bien c’est réussi ! En voyant la copie d’écran, j’ai tout de suite pensé à « Super Cars II », et à « Super Sprint » aussi :-) J’aimais bien jouer à ces jeux sur Atari…

En tout cas, merci pour le partage ! Mon fils, qui se lance dans la programmation (je précise que c’est de lui-même, sans pression parentale), sera enchanté de regarder comment c’est fait.

Yves / tYYGH ;-)

Si d’autres personnes tombent sur mon commentaire, sachez que l’extension « Sea containers » m’a permis d’accéder à nouveau à tous mes anciens onglets onglets !

Je les ai tous rangés dans des conteneurs Firefox, après avoir installé « Multi-account containers », « Switch container » et « Containers theme ».
Sachant aussi qu’on peut créer un nouvel onglet du même conteneur que le conteneur courant en faisant Ctrl+clic ou clic-du-milieu sur le bouton +, je me retrouve maintenant plus ou moins avec les fonctionnalités de l’ancien « Tab Groups »…

Yves.

J’avais une dizaine de groupe d’onglets, ayant chacun une vingtaine d’onglets en moyenne. Il ne me reste plus que le premier (le moins intéressant)…

Quelqu’un sait-il comment récupérer au moins les URL de ces onglets perdus ?

— Adblock plus : je te conseille Privacy Badger, bien que sa philosophie diffère complètement ; ça marche bien. Sinon, ma foi, ce n’est pas le choix qui manque…
— Element Hiding : je ne connais pas d’équivalent, mais pour un masquage temporaire (pour impression par exemple), il y a Nuke Anything
— Self-destructing cookies : utilise Cookie AutoDelete

Salut ted,

J’ai choisi la Touch Lux 3 pour mon épouse ; elle en est ravie !
Soucieux du respect de la vie privée et des libertés, j’ai sélectionné cette liseuse car :
* elle est ouverte à à peu près tous les formats (y compris quelques formats audio, je crois) ;
* elle permet d’utiliser une carte micro-SD (USB mass storage) et d’échanger ainsi avec Linux des ePub, PDF ou autres ;
* pour les urgence « plus rien à lire », elle a même le WiFi et un petit navigateur Web ;
* elle est basée sur Linux ;
* elle a une bonne autonomie.

Voilà. Je ne peux pas garantir qu’elle est sans mouchard. Ceci dit, mon épouse l’utilise depuis plus d’un an sans avoir paramétré le moindre compte, et à vrai dire sans avoir acheté le moindre « livre » : elle lit des histoires libres (beaucoup de fanfic, etc.) récupérées en ePub depuis son PC Linux.

Yves.

J’ai mis à disposition dans AUR, pour les utilisateurs de ArchLinux, un package Collabora-Online sans Docker ;-)

https://aur.archlinux.org/packages/collabora-online-server-nodocker/

Ah non, une VM et un conteneur, c’est très différent !

• une VM => tout le PC est émulé (matériel et OS compris), avec un peu de natif/pass-through par-ci par-là pour optimiser.
• conteneur => c’est de l’isolation par espaces de nommage ; le matériel et le kernel sont ceux de l’hôte => beaucoup plus léger et performant.

Je partage vos avis concernant la sur-utilisation de Docker hors entreprise :-(

Une remarque toutefois : Docker améliore la reproductibilité, et non l’inverse ! Et le Dockerfile agit même comme une sorte de documentation. Tu peux remonter de layer en layer et refaire tout pareil (sauf si le layer de base est puisé dans une rolling-distro, je suppose…)

Bon alors, regarde le 1 ! Impératif ! Mais pas le 2… surtout pas…