Le point "un pare-feu derrière un routeur" s'intitule dans ton cas "un pare-feu derrière un routeur à translation d'adresse" qui, en effet, ne fait rien rentrer si aucun port n'est configuré pour laisser entrer ...
Dans mon cas le plus courant (ma boite) où l'on a des routeurs qui routent :) des blocs d'ip, on a un pare-feu sur le routeur qui filtre port par port les machines de l'intérieur, en entrant comme en sortant. Très utile pour imposer une politique et contrôler les services autorisés.
Si un client me dit "j'ai un apache et ssh uniquement sur ce serveur" je ne vais ouvrir que 80 et 22 tcp, et d'autres trucs internes (dns & ntp en udp typiquement, et ce uniquement vers les machines dédiées à ces services)
Après, on ouvre aussi en sortie des ports classiques à la demande des clients (http, ssh etc.). Dans le cas contraire, comme tout est fermé, le vilain pirate ne pourra pas faire grand chose :
- pas possible de virer le pare-feu interne de la machine : c'est le routeur qui s'en charge
- pas possible de rentrer autrement que par un service officiellement ouvert (genre faille applicative, toutça)
- une fois entré, pas possible d'aller chercher son script à la mode avec fetch ou wget : cela limite l'usage de bots de piratage parallèles ...
- pas possible d'écouter sur un port exotique pour y laisser une backdoor : ce port sera fermé en entrée sur le routeur.
Bref, cela complique quand même rudement la tâche de piratage.
Lisant ici l'expression "tombés dans le domaine public" je vous invite à utiliser plutôt cette expression merveilleuse que je tiens de S. Canevet : "S'élever dans le domaine public" :)
Vous voyez tous où je veux en venir : en apposant une connotation favorable à l'expression "domaine public", on favorise la vision de ce paradigme comme quelque chose de positif, donc à défendre :)
En fait, dans l'histoire, le seul facteur rassurant côté "liberté (=choix) de situation des données personnelles", c'est le fait de pouvoir paramétrer le serveur.
Reste à voir si leur code serveur sera (peut-être l'est-il déjà) libre ?
Ces points me paraissent fondamentaux pour une adoption profonde dans les milieux libristes, souvent fervents défenseurs de la vie privée et de la capacité de choisir parmi plusieurs emplacements côté serveur.
C'est ainsi que jabber est propre de ce côté par exemple : il permet de monter son propre serveur tout aussi facilement, ou d'utiliserun google talk tout à fait centralisé et contrôlé :)
mouaip, sauf que la GROSSE différence entre un Enron et un EADS ... C'est que les dirigeants d'Enron étaient menottes aux poignets le jour même en partance pour les brigades de répression du grand banditisme financier ...
Là où les dirigeants d'EADS sont partis avec leur parachutes dorés (...)
Et pour revenir à Ebay, comme de nombreuses boites qui publient des comptes certifiés et sont suivis de très près (c'est AUSSI à cela que sert la bourse) leur valeur n'est pas tant virtuelle qu'une estimation de leur potentiel futur ... Quelque chose d'assez logique sommes toute. On est toujours près à plus mises sur un jeune cheval fougueux plein d'avenir que sur une vieille bique rhumatisante ...
J'aime bien ca : "même si la prise de valeur est 'virtuelle' " ...
Ca me rappelle cet élu (devinez de quel bord) qui disait : "oui, c'est lamentable que les entreprises ne soient pas ainsi estimées à leur 'vraie' valeur ..." ...
Mais bordel, la vraie valeur de quelque chose, c'est celle qu'on lui donne, point. C'est précisément comme cela que ça marche, et en effet si Ebay savait que sa valeur finale augmenterait de tant, et que cela valait donc le coup de faire un couple skype+ebay, ils l'ont fait, bien évidemment.
/me, qui ne voit absolument pas en quoi la prise de valeur d'ebay est "virtuelle" ...
ouaip, utilisateur fan : j'ai déjà un AS et tout (en France) et EC2 nous sert pour de la diffusion de flux live en flash : on a des machines qui font le forward d'un flux émis depuis le serveur vidéo.
Très pratique en effet pour avoir 20 machines prêtes à diffuser des flux vidéos.
Par contre pas fait pour avoir des machines 24/7 ou des flux importants 24/7 : trop cher ...
mouaip, la différence est importante, c'est à cause d'elle qu'il existe un DEB_BUILD_OPTIONS=risky pour demander à ffmpeg la compilation du support de h264 ou mp3 en Encodage.
Conséquence directe : sur debian et ubuntu, ffmpeg n'est pas capable d'encoder du mp3 ...
C'est la question que l'on peut légitimement se poser lorsque l'on voit
- que skype doit faire des trous immondes dans les pare-feux pour passer
- que skype utilise des rebond via des machines ayant une ip publique (non natées) et bouffe leur bande passante (plus ou moins à leur insu)
- que skype comme tous les autres système VOIP gagneraient énormément à ce que tout le monde dispose d'une IP publique ...
Rappelons que kimsufi comme dedibox peut fournir des bandes passantes non facturée (100Mbps "illimité") à la seule condition que
- le client ne l'utilise pas :)
- le client ne fasse quasiment pas de débit vers les transits de l'opérateur.
Je n'ai pas de mesure sur kimsufi, mais j'en ai sur dedibox : depuis les US, le débit ne dépasse pas 30Ko/s ...
Dans le cadre d'un projet LOCAL c'est donc une bonne idée, mais pour un truc comme gna!, qui vise un public mondial, c'est une très mauvaise idée que de reposer sur du cheap à bande passante non provionnée ...
En effet, ayant assisté aussi à cette conférence, le message était clair : de même que microsoft et quelques autres gros monopolisaient les software, et menaçaient les normes et protocoles ouverts, de même, les gros opérateurs menacent les petites structures indépendantes et les normes et protocoles ouverts du net (smtp, http, p2p etc.) qui peuvent être contrôlés par eux s'ils se mettent d'accord.
Il est donc tout aussi important de défendre l'indépendance de petites structures ...
- regarder last, lastb, ~/.bash_history etc.
- chercher des process modifiés (ps modifié, netstat modifié, strings modifié et c.)
- chercher des process invisibles (comparaison de ps avec /proc/)
- chercher des dossier ".." ou ". " ou " ." ou "..." etc ( genre find / -type d -name ".*" )
- vérifier que lsmod ne liste pas de module suspect
- passer chkrootkit sur la machine vérolée ... parfois ca marche
- passer chkrootkit & autres détecteurs sur un live cd...
oui, en France c'est probablement le cas (pas de responsabilité même en cas de filtrage / blocage / redirection). Aux USA, non ...
Cela dit, la responsabilité des hébergeurs et fai en France reste floue : trop peu de références juridiques sont disponibles pour avoir une idée claire des droits et devoirs des fai/hosteurs ...
Euh, bein si justement : pour moi l'intérêt est justement qu'en important le certif racine de CaCert, on accepte les autres, alors qu'en faisant sa pki maison, on ne marche qu'avec soi.
L'importance de ce point est visible quand on utilise smtpd/tls pour son serveur mx : on peut alors RECEVOIR du mail sur des canaux systématiquement chiffrés et trustés vu que les packages ca-certificates des distributions courantes (redhat et debian testées) ont les certificats racine de CaCert.
Et dire que "l'on ne veux pas forcément accepter tout ce qui a été signé par CaCert" cela veut dire enlever __aussi__ tous les autres certificats racine et ne pas les accepter "par défaut" alors que les navigateurs les packagent ... dur.
Pour finir, une ch'tite pub : pour ceux qui veulent configurer leurs softs sous Debian pour faire du ssl/tls en utilisant un certificat CaCert, une doc en fr/en est là : http://doc.serverside.fr/
oui et non : j'aime beaucoup l'exemple américain en la matière (jusqu'à ce jour hein, ca risque de changer dans les années à venir ...)
- Si un FAI ne fait RIEN côté filtrage (pas de redirection, pas de transparent proxy etc.) il n'a AUCUNE responsabilité sur les contenus qu'il transporte
- Si un FAI fait le moindre filtrage (proxy, redirection, port bloqué), il est RESPONSABLE des contenus qu'il fait transiter, et peut donc être attaqué comme co-responsable avec l'internaute.
Donc oui, les FAI peuvent faire beaucoup de chose, mais ne le font (en général) pas ...
Cette règle a fait suffisamment peur aux FAI pour qu'ils ne filtrent pas depuis un bail ...
Par ailleurs, je conseille tout de même SSL/TLS avec force. je vous conseille de plus CaCert.org pour générer vos certificats serveurs et les faire reconnaître sur votre station. Très pratique (et gratuit) même s'ils ne sont pas encore dans les navigateurs principaux ...
Ayant fait un passage de 4 à 6 mois sous Windows entre une ancienne debian et une nouvelle ubuntu, j'ai utilisé massivement Filezilla pour faire du FTP et du SFTP. De retour sur ubuntu, Fireftp ne me satisfaisait vraiment pas ...
Avoir Filezilla 3 sous linux et pouvoir lui réimporter le fichier xml avec mes comptes de filezilla windows est un véritable plaisir :)
Par ailleurs, je verrais beaucoup moins de problème à ce que wikipedia mette un bandeau de pub (...) Les tenants et aboutissants étant bien différents ...
oui et non ... cela ne change absolument rien au problème évoqué :
- les utilisateurs geeks qui ont déjà firefox et adblocks ne verront pas les pubs et auront donc une vision biaisée de ce qu'est Framasoft
- les utilisateurs non geeks et n'utilisant pas déjà des logiciels libre auront donc les publicités pour des produits concurrents et non libres, qui plus est bien souvent non approuvés par l'équipe de Framasoft ...
Je pense que l'argument de ce journal est bon, et j'aimerais vraiment savoir combien cela rapport à Framasoft pour qu'ils en soient arrivés là ...
En gros, savoir combien on peut acheter un libriste :) C'est marrant comme raccourcis, mais cela porte véritablement sens à mon avis ...
Esperant que le message passera sans trop de heurt ...
Les distributions linux de type Debian, avec security.debian.org, sont là pour proposer des mises à jour de sécurité rapides. Après, si tu utilises un truc genre dotclear ou spip pour publier tes contenus, il suffit de s'inscrire à une liste de diff du soft qui signale les nouvelles versions, et mettre à jour s'ils le signalent comme "nécessaire pour raison de sécurité" ...
Après, le mieux reste, (à mon avis) le modèle du RHIEN, qui sont hébergeurs (pleins et de petites tailles) de contenu chez eux pour eux et leurs proches, les projets qu'ils aiment bien et tout.
Les avantages de ce système sont multiples :
meilleur utilisation de la puissance machine disponible (puisque mutualisée)
meilleur utilisation du tuyau (même avec le faible upload actuel, une adsl est rarement remplie avec un seul site)
collaboration technique (côté geek-social & co) on peut alors gérer son serveur pas tout seul, et c'est plus sympa
suivi sécurité distribué : ceux qui utilisent des panels par exemple (genre AlternC) au sein du rhien se passent entre eux des mises à jour de sécu ou des patchs divers ...
Bref, c'est pas si compliqué, et c'est tellement plus sympa ...
A la rigueur, commencer à apprendre à marcher peut donc passer par la participation active à un hébergeur associatif indépendant (type fdn, globenet, tuxfamily, lautre.net) ou self-hébergé (rhien) avant de finir par monter son propre fai (demandez à fdn le howto) et de s'héberger chez soi (in fine la meilleur solution ...)
# un pare-feu derrière un routeur
Posté par Benjamin (site web personnel) . En réponse au journal Les pare-feu. Évalué à 5.
Le point "un pare-feu derrière un routeur" s'intitule dans ton cas "un pare-feu derrière un routeur à translation d'adresse" qui, en effet, ne fait rien rentrer si aucun port n'est configuré pour laisser entrer ...
Dans mon cas le plus courant (ma boite) où l'on a des routeurs qui routent :) des blocs d'ip, on a un pare-feu sur le routeur qui filtre port par port les machines de l'intérieur, en entrant comme en sortant. Très utile pour imposer une politique et contrôler les services autorisés.
Si un client me dit "j'ai un apache et ssh uniquement sur ce serveur" je ne vais ouvrir que 80 et 22 tcp, et d'autres trucs internes (dns & ntp en udp typiquement, et ce uniquement vers les machines dédiées à ces services)
Après, on ouvre aussi en sortie des ports classiques à la demande des clients (http, ssh etc.). Dans le cas contraire, comme tout est fermé, le vilain pirate ne pourra pas faire grand chose :
- pas possible de virer le pare-feu interne de la machine : c'est le routeur qui s'en charge
- pas possible de rentrer autrement que par un service officiellement ouvert (genre faille applicative, toutça)
- une fois entré, pas possible d'aller chercher son script à la mode avec fetch ou wget : cela limite l'usage de bots de piratage parallèles ...
- pas possible d'écouter sur un port exotique pour y laisser une backdoor : ce port sera fermé en entrée sur le routeur.
Bref, cela complique quand même rudement la tâche de piratage.
[^] # Re: Important: des mots :)
Posté par Benjamin (site web personnel) . En réponse à la dépêche Campagne Sound Copyright contre l'allongement des droits des artistes-interprètes. Évalué à 10.
Lisant ici l'expression "tombés dans le domaine public" je vous invite à utiliser plutôt cette expression merveilleuse que je tiens de S. Canevet : "S'élever dans le domaine public" :)
Vous voyez tous où je veux en venir : en apposant une connotation favorable à l'expression "domaine public", on favorise la vision de ce paradigme comme quelque chose de positif, donc à défendre :)
mes 0.02€
[^] # Re: donnée personnelles critiques
Posté par Benjamin (site web personnel) . En réponse à la dépêche Mozilla fait dans le social. Évalué à 2.
Reste à voir si leur code serveur sera (peut-être l'est-il déjà) libre ?
Ces points me paraissent fondamentaux pour une adoption profonde dans les milieux libristes, souvent fervents défenseurs de la vie privée et de la capacité de choisir parmi plusieurs emplacements côté serveur.
C'est ainsi que jabber est propre de ce côté par exemple : il permet de monter son propre serveur tout aussi facilement, ou d'utiliserun google talk tout à fait centralisé et contrôlé :)
# Question : qui est le lifeboat, et quel est cet autre navire ?
Posté par Benjamin (site web personnel) . En réponse au journal Moment de détente à peu de frais .... Évalué à 5.
je ne vois vraiment pas ...
[^] # Re: Une prise de valeur "virtuelle" ...
Posté par Benjamin (site web personnel) . En réponse au journal OpenWengo dans les choux !. Évalué à 3.
Là où les dirigeants d'EADS sont partis avec leur parachutes dorés (...)
Et pour revenir à Ebay, comme de nombreuses boites qui publient des comptes certifiés et sont suivis de très près (c'est AUSSI à cela que sert la bourse) leur valeur n'est pas tant virtuelle qu'une estimation de leur potentiel futur ... Quelque chose d'assez logique sommes toute. On est toujours près à plus mises sur un jeune cheval fougueux plein d'avenir que sur une vieille bique rhumatisante ...
[^] # Une prise de valeur "virtuelle" ...
Posté par Benjamin (site web personnel) . En réponse au journal OpenWengo dans les choux !. Évalué à 3.
Ca me rappelle cet élu (devinez de quel bord) qui disait : "oui, c'est lamentable que les entreprises ne soient pas ainsi estimées à leur 'vraie' valeur ..." ...
Mais bordel, la vraie valeur de quelque chose, c'est celle qu'on lui donne, point. C'est précisément comme cela que ça marche, et en effet si Ebay savait que sa valeur finale augmenterait de tant, et que cela valait donc le coup de faire un couple skype+ebay, ils l'ont fait, bien évidemment.
/me, qui ne voit absolument pas en quoi la prise de valeur d'ebay est "virtuelle" ...
# présent !
Posté par Benjamin (site web personnel) . En réponse au journal Amazon EC2. Évalué à 1.
ouaip, utilisateur fan : j'ai déjà un AS et tout (en France) et EC2 nous sert pour de la diffusion de flux live en flash : on a des machines qui font le forward d'un flux émis depuis le serveur vidéo.
Très pratique en effet pour avoir 20 machines prêtes à diffuser des flux vidéos.
Par contre pas fait pour avoir des machines 24/7 ou des flux importants 24/7 : trop cher ...
[^] # Re: tiens
Posté par Benjamin (site web personnel) . En réponse au journal PC à donner. Évalué à 2.
J'espère juste que c'est une blague ...
Dès fois j'ai vraiment du mal à discerner le second degré sur ce site ...
[^] # Re: Pas extraordinaire
Posté par Benjamin (site web personnel) . En réponse au journal Theora, the push for the 1.0 update. Évalué à 1.
Conséquence directe : sur debian et ubuntu, ffmpeg n'est pas capable d'encoder du mp3 ...
[^] # Re: CD + logiciel
Posté par Benjamin (site web personnel) . En réponse au journal CD de secours. Évalué à 3.
Et bien oui : en droit français, que l'usage soit personnel ou professionnel, la responsabilité est engagée ...
# La VOIP pourrait-elle lancer IPv6 ?
Posté par Benjamin (site web personnel) . En réponse au journal Skype propose enfin la video sous linux. Évalué à 7.
- que skype doit faire des trous immondes dans les pare-feux pour passer
- que skype utilise des rebond via des machines ayant une ip publique (non natées) et bouffe leur bande passante (plus ou moins à leur insu)
- que skype comme tous les autres système VOIP gagneraient énormément à ce que tout le monde dispose d'une IP publique ...
donc question
La VOIP pourrait-elle lancer IPv6 ?
# Kimsufi, dedibox, bien pour les français ...
Posté par Benjamin (site web personnel) . En réponse à la dépêche gna.org à la recherche de machines hébergées. Évalué à 6.
- le client ne l'utilise pas :)
- le client ne fasse quasiment pas de débit vers les transits de l'opérateur.
Je n'ai pas de mesure sur kimsufi, mais j'en ai sur dedibox : depuis les US, le débit ne dépasse pas 30Ko/s ...
Dans le cadre d'un projet LOCAL c'est donc une bonne idée, mais pour un truc comme gna!, qui vise un public mondial, c'est une très mauvaise idée que de reposer sur du cheap à bande passante non provionnée ...
A bons entendeurs ...
[^] # Re: Utiliser AlternC
Posté par Benjamin (site web personnel) . En réponse à la dépêche Un renouveau pour L'Autre Net. Évalué à 4.
alors ...
comment dire ...
installer AlternC sur une gentoo ...
c'est bien ...
juste, personne n'a essayé avant ...
tu peux toujours prendre les sources en svn sur https://alternc.org/svn/alternc/trunk/
Cela dit, AlternC est vraiment codé pour Debian. Un portage vers d'autres distributions est possible, mais pas écrit à l'heure actuelle ...
Cela dit, on est à l'affut de toute aide pour un portage hein ;)
https://alternc.org/wiki/ParticiperAuProjet
[^] # Re: l' autre net ?
Posté par Benjamin (site web personnel) . En réponse à la dépêche Un renouveau pour L'Autre Net. Évalué à 3.
Il est donc tout aussi important de défendre l'indépendance de petites structures ...
# les trucs classiques
Posté par Benjamin (site web personnel) . En réponse au journal Détection de rootkit. Évalué à 10.
- chercher des process modifiés (ps modifié, netstat modifié, strings modifié et c.)
- chercher des process invisibles (comparaison de ps avec /proc/)
- chercher des dossier ".." ou ". " ou " ." ou "..." etc ( genre find / -type d -name ".*" )
- vérifier que lsmod ne liste pas de module suspect
- passer chkrootkit sur la machine vérolée ... parfois ca marche
- passer chkrootkit & autres détecteurs sur un live cd...
[^] # Re: forum
Posté par Benjamin (site web personnel) . En réponse au journal Aide mémoire : Truc à pas faire n°42. Évalué à 7.
le truc pour "tester" un pare feu :
# screen -R
# ./iptables_on.sh ; sleep 60 ; ./iptables_off.sh
et iptables_off.sh contient un truc du genre
iptables -F
iptables -P ACCEPT
(de tête)
comme cela vous avez 1 minute pour voir si le script ne vous tire pas une balle dans le pied :)
[^] # Re: Légalitée ?
Posté par Benjamin (site web personnel) . En réponse au journal myip.fr: le pire des FAI !. Évalué à 4.
Cela dit, la responsabilité des hébergeurs et fai en France reste floue : trop peu de références juridiques sont disponibles pour avoir une idée claire des droits et devoirs des fai/hosteurs ...
[^] # Re: CaCert
Posté par Benjamin (site web personnel) . En réponse au journal myip.fr: le pire des FAI !. Évalué à 6.
L'importance de ce point est visible quand on utilise smtpd/tls pour son serveur mx : on peut alors RECEVOIR du mail sur des canaux systématiquement chiffrés et trustés vu que les packages ca-certificates des distributions courantes (redhat et debian testées) ont les certificats racine de CaCert.
Et dire que "l'on ne veux pas forcément accepter tout ce qui a été signé par CaCert" cela veut dire enlever __aussi__ tous les autres certificats racine et ne pas les accepter "par défaut" alors que les navigateurs les packagent ... dur.
Pour finir, une ch'tite pub : pour ceux qui veulent configurer leurs softs sous Debian pour faire du ssl/tls en utilisant un certificat CaCert, une doc en fr/en est là : http://doc.serverside.fr/
# page perso hs
Posté par Benjamin (site web personnel) . En réponse au journal myip.fr: le pire des FAI !. Évalué à 2.
pour info, ton lien "page perso" ne mène à rien (...) tu peux le modifier dans tes préférences pour le supprimer ou mettre une nouvelle url ...
[^] # Re: Légalitée ?
Posté par Benjamin (site web personnel) . En réponse au journal myip.fr: le pire des FAI !. Évalué à 5.
- Si un FAI ne fait RIEN côté filtrage (pas de redirection, pas de transparent proxy etc.) il n'a AUCUNE responsabilité sur les contenus qu'il transporte
- Si un FAI fait le moindre filtrage (proxy, redirection, port bloqué), il est RESPONSABLE des contenus qu'il fait transiter, et peut donc être attaqué comme co-responsable avec l'internaute.
Donc oui, les FAI peuvent faire beaucoup de chose, mais ne le font (en général) pas ...
Cette règle a fait suffisamment peur aux FAI pour qu'ils ne filtrent pas depuis un bail ...
Par ailleurs, je conseille tout de même SSL/TLS avec force. je vous conseille de plus CaCert.org pour générer vos certificats serveurs et les faire reconnaître sur votre station. Très pratique (et gratuit) même s'ils ne sont pas encore dans les navigateurs principaux ...
[^] # Re: Pas forcement une bonne idée
Posté par Benjamin (site web personnel) . En réponse à la dépêche FileZilla devient multi-plateforme avec sa version 3.0. Évalué à 3.
Ayant fait un passage de 4 à 6 mois sous Windows entre une ancienne debian et une nouvelle ubuntu, j'ai utilisé massivement Filezilla pour faire du FTP et du SFTP. De retour sur ubuntu, Fireftp ne me satisfaisait vraiment pas ...
Avoir Filezilla 3 sous linux et pouvoir lui réimporter le fichier xml avec mes comptes de filezilla windows est un véritable plaisir :)
Chapeau les gars !
[^] # Re: Le propriétaire finance le libre. Tant mieux !
Posté par Benjamin (site web personnel) . En réponse au journal Pourquoi Framasoft doit disparaitre. Évalué à -4.
[^] # Re: NoScript for Everyone ?
Posté par Benjamin (site web personnel) . En réponse au journal Pourquoi Framasoft doit disparaitre. Évalué à 10.
- les utilisateurs geeks qui ont déjà firefox et adblocks ne verront pas les pubs et auront donc une vision biaisée de ce qu'est Framasoft
- les utilisateurs non geeks et n'utilisant pas déjà des logiciels libre auront donc les publicités pour des produits concurrents et non libres, qui plus est bien souvent non approuvés par l'équipe de Framasoft ...
Je pense que l'argument de ce journal est bon, et j'aimerais vraiment savoir combien cela rapport à Framasoft pour qu'ils en soient arrivés là ...
En gros, savoir combien on peut acheter un libriste :) C'est marrant comme raccourcis, mais cela porte véritablement sens à mon avis ...
Esperant que le message passera sans trop de heurt ...
[^] # Re: Un bout de la réponse...
Posté par Benjamin (site web personnel) . En réponse au journal Internet libre plutot que minitel 2.0, oui mais.... Évalué à 1.
@+
Benjamin...
[^] # Re: Et le problème de la sécurité
Posté par Benjamin (site web personnel) . En réponse à la dépêche Les vidéos des rencontres mondiales 2007 en ligne. Évalué à 2.
Les distributions linux de type Debian, avec security.debian.org, sont là pour proposer des mises à jour de sécurité rapides. Après, si tu utilises un truc genre dotclear ou spip pour publier tes contenus, il suffit de s'inscrire à une liste de diff du soft qui signale les nouvelles versions, et mettre à jour s'ils le signalent comme "nécessaire pour raison de sécurité" ...
Après, le mieux reste, (à mon avis) le modèle du RHIEN, qui sont hébergeurs (pleins et de petites tailles) de contenu chez eux pour eux et leurs proches, les projets qu'ils aiment bien et tout.
Les avantages de ce système sont multiples :
meilleur utilisation de la puissance machine disponible (puisque mutualisée)
meilleur utilisation du tuyau (même avec le faible upload actuel, une adsl est rarement remplie avec un seul site)
collaboration technique (côté geek-social & co) on peut alors gérer son serveur pas tout seul, et c'est plus sympa
suivi sécurité distribué : ceux qui utilisent des panels par exemple (genre AlternC) au sein du rhien se passent entre eux des mises à jour de sécu ou des patchs divers ...
Bref, c'est pas si compliqué, et c'est tellement plus sympa ...
A la rigueur, commencer à apprendre à marcher peut donc passer par la participation active à un hébergeur associatif indépendant (type fdn, globenet, tuxfamily, lautre.net) ou self-hébergé (rhien) avant de finir par monter son propre fai (demandez à fdn le howto) et de s'héberger chez soi (in fine la meilleur solution ...)