Cyril Chaboisseau a écrit 52 commentaires

Merci pour ce journal intéressant

Il existe quelques autres ressources pour tester sa connectivité :

http://conn.internet.nl/ (le lien en haut à droite permet de tester la connexion IPv6 et de valider le DNSQEC)
et
https://test-ipv6.com/
qui permet de gagner encore plus de pastilles vertes

…sans oublier la tortue qui danse du projet KAME
https://www.kame.net/

Personne n'a dit que cat était sale, mais c'est juste que sa fonction initiale n'est pas de rediriger le contenu d'un fichier sur la sortie standard

…comme son nom l'indique, cat c'est le raccourci de concatenate qui sert donc à concaténer plusieurs fichiers (accessoirement sur stdout)

et donc, quitte à éviter un sous-shell via le pipe, autant faire simple

Voici un article qui montre à quel point le côté obscur des DRM peut rendre infernal voire impossible le changement de cartouches d'une imprimante HP si on a le malheur de déménager de continent

How to change the region on an HP OfficeJet printer in 57 easy steps (printer companies hate this!)
https://www.theverge.com/23648726/hp-officejet-printer-region-how-to-change-why

Cette expérience devrait convaincre toute personne saine d'esprit d'éviter d'acheter une imprimante HP

C'est idiot. Il y a des cas où l'on a besoin d'un accès par mot de passe. Il faut simplement utiliser des mots de passe forts.

Jamais rencontré de cas de besoin de mot de passe. L'usage de clef n'est pas simplement immensément plus sécurisé que n'importe quel mot de passe dit fort, il est aussi infiniment plus pratique à l'usage.

Pour ma part, je peux avoir besoin exceptionnellement de me connecter sur ma machine depuis un ordinateur occasionnel (chez un ami par exemple), et dans ce cas j'ai mis en place un 2FA (Google Authenticator) ce qui m'apporte une tranquillité quant au risque de laisser un port ssh ouvert.
En plus, c'est pas pour faire la promotion aveugle d'un accès ssh par MdP + 2FA, mais j'ai plus confiance dans cette approche pour des postes qui ne sont pas forcément sous mon contrôle total (par exemple ordi professionnel à partir duquel quelqu'un de mal intentionné pourrait récupérer ma clé ssh privée depuis les sauvegardes)

Bien sûr, ça se rajoute à tout un tas d'autres durcissement et blocages tels que
- fail2ban (auparavant j'utilisais denyhosts)
- limitation des cnx ssh uniquement à certains utilisateurs (directive AllowUsers de la config sshd)
- verrouillage des comptes ssh utilisés pour des sauvegardes via les restrictions du fichier authorized_keys (limitation à l'aide de from=, de la commande à lancer ou encore en empêchant le pouvoir lancer un shell à l'aide de restrict)
- sécurisation de la configuration d'OpenSSH (chercher "ssh hardening" pour trouver tout un tas de tutos sur le sujet)
- surveillance des connexions suspectes (surtout celles qui ont réussies)

Ça ressemble à la bibliothèque Python FTFY dont on peut aussi trouver une version en ligne ici :

https://ftfy.vercel.app/

…il fallait lire "IMDb" et non Wikipedia

Si l'on s'en tient à la page Wikipedia de "Queen Elisabeth II"
https://www.imdb.com/name/nm0703070/
(les plus attentifs auront relevé que son ID IMDb est palindromique)

elle est apparue ou a joué le plus souvent son rôle dans tout un tas de documentaires, séries TV, mini séries et autres "TV special" entre 1937 et 2022, soit 50 ans ce qui fait la personne avec la plus longue carrière du petit/grand écran.

Il existe plusieurs librairies qui s'affichent volontairement anti-DRM (ou menottes numériques)

• Le Bélial éditions
• EBSCO ou qui proposent comme Numilog un filtre de recherche pour les œuvres qui n'en n'ont pas https://www.numilog.com/Pages/Recherche/ResultatRecherche.aspx?FORMAT_ID=16

Voici d'ailleurs le message assez explicite sur la page "sans DRM" de Bélial:

Sans DRM

Tous les livres numériques qui vous sont proposés sur ce site sont volontairement dépourvus de dispositifs de gestion des droits numériques (DRM) et autres moyens techniques visant la limitation de l'utilisation et de la copie de ces fichiers.

Si vous avez acheté un de nos livres numériques, nous vous en remercions. Vous pouvez, comme vous le feriez avec un véritable livre, le transmettre à vos proches si vous souhaitez le leur faire découvrir. Afin que nous puissions continuer à distribuer nos livres numériques sans DRM, nous vous prions de ne pas le diffuser plus largement, via le web ou les réseaux peer-to-peer.

Si vous avez acquis un de nos livres numériques d'une autre manière, nous vous demandons de ne pas le diffuser. Notez que, si vous souhaitez soutenir l'auteur et les éditions du Bélial', vous pouvez acheter légalement ce fichier sur notre plateforme e.belial.fr ou chez votre libraire numérique préféré.`

Un moyen d'améliorer sensiblement l'utilisation d'une liseuse passe AMHA par un gestionnaire de livre numérique tel que Calibre.

Ce logiciel permet de gérer une bibliothèque (collection) de livres/revues et de les synchroniser sur une ou plusieurs liseuses, sans avoir à se préoccuper du format de ce qu'on a récupérer (ePub, mobi…) ni du format attendu par l'appareil en question : c'est le logiciel qui va s'occuper de transformer les œuvres au bon format.

Je suis bien sûr pour tout ce qui peut être fait permettant d'éviter tous ces gâchis de la bande passante: j'ai commencé l'informatique à l'époque des disquettes et quelques années après, lorsque j'ai pu acheter mon premier disque dur, il faisait 45Mo ce qui correspond à quelques secondes de vidéo au format 4K !

Mais avant de se pencher sur ces économies de bouts de chandelles, ne serait-il pas plus efficace d'empêcher que le premier kéké venu de pouvoir téléverser une vidéo qualité 4K d'un feu de cheminée pendant 8 heures qui va générer des millions de vues.
Je ne sais pas combien de place ça prends (je n'ai pas envie de rajouter ne serait-ce qu'une seule vue à ces aberrations), mais j'imagine que ça se compte en gigaoctets à multiplier par le nombre de vue qui si ça se trouve se font sur des écrans en définition full-HD voire moindre.

Ensuite, tous ces sites (Youtube en premier) qui ont tellement de bande passante à revendre qu'ils se sentent obligés d'enchaîner les vidéos automatiquement ou de lancer une vidéo bidon lorsqu'on veut juste consulter une recette de cuisine : là aussi il faudrait faire le ratio signal sur bruit (les quelques dizaines d'octets amplement suffisants pour afficher la recette avec ses ingrédients versus des Mégaoctets de vidéos inutiles qui se lancent automatiquement).
Est-ce que ces sites sont payés à remplir les tuyaux pour pousser à migrer à la 5G ou la fibre ?

Les podcasts de certaines radios qui pourraient juste fournir un flux audio, se sentent obligés d'avoir un support vidéo qui consiste uniquement à un égaliseur et va prendre bien plus de bande passante que s'ils diffusaient juste la bande son.

Bref, les exemples sont nombreux et je pense qu'ils ne faut pas trop chercher à faire une usine à gaz technique qui nécessitera de stocker séparément la vidéo du son afin de permettre au serveur d'envoyer qu'un seul canal alors que dans la plupart des cas de figure le client devra fusionner les 2 flux.

…ou dino++ (c'est selon)

Ayant écumé quelques distributions dans les années '90 (de la vénérable 0.99pl12 sortie en 1993 jusqu'aux Mandrake et Debian à la fin de la décennie), il me semblait tout à fait logique d'adhérer à cette communauté naissante.

Après plus de vingt ans passés principalement à suivre/lire les milliers d'articles très souvent d'excellentes qualités qui ont pu être postés, j'en suis arrivé au constat que LinuxFR est de loin la principale et meilleure source d'information sur le système d'exploitation Linux …et bien au-delà ;-)

J'espère qu'il le restera encore pendant au moins aussi longtemps.

Bravo à tous ceux qui y participent de près ou de loin, nouveaux comme anciens avec ce souci de la qualité qui en fait (pour moi au moins) un site incontournable et indispensable au vu de la bouillie qui est vomie sur la plupart des sites de news.

Mille fois merci

La calculatrice que j'utilise exclusivement sous Linux est Qalculate (une version Windows et un port Mac OS X existent aussi)
https://qalculate.github.io/features.html
Je n'ai pas trouvé de limites aux besoins et l'utilisation que j'attends d'une calculatrice : Qalculate permet de résoudre des fonctions, propose tout un tas de préfixes, variables, constantes et unités ainsi que les conversions qui vont avec, et pour la partie graphique, se base sur la bibliothèque GnuPlot)

Bref, incontournable y compris pour des usages de base
…et elle propose différents modes d'affichage dont RPN, que demander de plus ?
;-)

C'est un peu comme dans l'épisode de Star Trek (Wolf in the Fold) dans lequel Spock "flingue" l'ordinateur central devenu fou en lui demandant de calculer Pi jusqu'à la dernière décimale.

https://www.inverse.com/article/29052-pi-day-3-14-2018-spock-star-trek

En théorie je suis d'accord, et j'ai moi-même mis longtemps à trouver une utilité à Docker.

Mais en pratique et dans le cas présent (serveur web), dans l'hypothèse où le serveur se ferait hacké (par exemple via une commande PHP shell_exec, system ou passthru), c'est la porte ouverte à tout un tas de tentatives d'élévation de privilèges qui peuvent amener l'attaquant à trouver des failles pouvant amener à passer root ou un autre compte administrateur.

L'intérêt de lancer le serveur web dans un bac à sable (Docker ou n'importe quel autre outil de compartimentation des processus), c'est que dans l'éventualité où il y aurait une faille dans le système ou bien des mots de passe lisibles dans l'un des fichiers accessibles sur la machine sur laquelle il tourne, et bien ces fichiers ou cette failles ne seraient pas exploitable.

…En parlant de l'ARCEP, ils ont mis à jour début décembre 2020 leur rapport sur l'état d'internet en France ainsi que le baromètre annuel de la transition vers IPv6 en France.

C'est vraiment très complet.

Tout est là:
https://www.arcep.fr/la-regulation/grands-dossiers-internet-et-numerique/lipv6.html

…et non HiPPI

D'ailleurs il y a une page très documentée sur la gestion du HiDPI chez ArchLinux

https://wiki.archlinux.org/index.php/HiDPI#Gimp_2.10

Il faut utiliser l'option --exclude-if-present avec prudence au risque d'exclure tous les répertoires qui contiennent un tel fichier ou répertoire (tag).

Dans le script mentionné et si on a un répertoire /home/<username>/.thumbnails, cette option a comme conséquence d'exclure tout le répertoire $HOME que l'on cherche justement à sauvegarder
…ce qui n'est probablement pas le but recherché

désolé pour cette erreur grossière

Il me semble que BackupPC n'utilise plus la dedup via des hardlink

BackupPC provides many additional features, such as compressed storage, deduplicating any matching files (rather than just files with the same name), and storing special files without root privileges. But these other programs provide simple, effective and fast solutions and are definitely worthy of consideration.

https://backuppc.github.io/backuppc/BackupPC.html

c'est seulement à partir de la version 4 que le système n'utilise plus les liens (harlinks), sachant que la conversion ne pouvant pas se faire facilement, les liens resteront pour les backups initiés en v3 (hardlinks will still remain for any legacy V3 backups)
L'autre truc c'est que la v4 n'est pas encore largement présente dans les distro
https://repology.org/project/backuppc/versions
-> quelques rares 4.3.2 et encore une solide présence de la 3.3.2

Mais le fait d'avoir 1 commande mount en userland que l'on peut probablement intégré avec un script d'une ligne ou en autofs

Cela veut dire que ton parc est uniquement en Linux mais bien souvent en entreprise le poste utilisateur est en Windows.

Oui, c'est vrai que le portage Windows est un point faible de Borg
L'article ne le mentionne pas, mais BorgBackup permet de stocker presque tous les attributs du système sauvegardé (à quelques rares exceptions), et que par conséquent pour Windows c'est compliqué d'avoir un stockage des attributs NTFS sans un port natif
Il y a quand même des efforts pour un portage Cygwin si c'est seulement pour faire une sauvegarde sans les attributs

Le truc qui manque à BackupPC est une API ou un moyen de communiquer avec des outils externe de type supervision ou métrique. Il y a moyen de bricoler mais rien de bien extra pour le moment.

Oui, le fait que la sauvegarde est initiée par le client, ça serait bienvenu d'avoir un système permettant au serveur d'orchestrer (sérier) les sauvegardes ainsi que de permettre une métrologie

Ça reste un bon système pour des sauvegardes perso hors-site faciles à mettre en place et tout aussi simple à récupérer (montage en userland d'une sauvegarde incrémentale spécifique comme si c'était une complète)

Je ne sais pas quand ni pour quelle raison les sauvegardes chiffrées nécessitaient d'avoir le double de l'espace disque.

Mais dans mon cas, et avec une version récente de Borg je n'ai pas ce problème :

Je sauvegarde /home (environ 116,5Go) + /etc (71Mo) et /var (16G)

La sauvegarde initiale faisait 106Go (probablement parce que /var ne prenait que 31Mo du fait que j'avais l'option --one-file-system et que /home était plus petit).

La dernière sauvegarde fait 17,4Go :

------------------------------------------------------------------------------
                       Original size      Compressed size    Deduplicated size
This archive:               17.42 GB              8.54 GB            416.10 MB
All archives:                1.22 TB            909.71 GB            134.37 GB

                       Unique chunks         Total chunks
Chunk index:                  945648              7518275

et l'espace pris sur mon NAS des 17 sauvegardes fait 127Go (commande du -sh)

tandis que mon cache local (~/.cache/borg) qui permet de garder des informations sur ce qui a été sauvegardé et ne faire transiter que les différences fait 176Mo (soit 1/720 de l'espace pris par les sauvegardes)

J'imagine qu'ils ont optimisé l'espace ou corrigé le problème.

Oui, je suis d'accord et c'est ce qui m'a freiné pendant longtemps pour passer à Borg.

J'aime bien BackupPc que j'utilise aussi au boulot (en passe d'être changé), mais son interface web n'est pas folichonne et ça ne fait que de la déduplication via des liens (hardlinks) du système de fichier, donc limité à 65000 sur de l'ext4.

Mais le fait d'avoir 1 commande mount en userland que l'on peut probablement intégré avec un script d'une ligne ou en autofs, ça veut dire qu'en terme de GUI il n'y a pas mieux que l'outil qu'on utilise tous les jours (gestionnaire de fichiers de son choix) pour naviguer et récupérer n'importe quels documents à partir de toutes les sauvegardes présentes (voir le commentaire de Cyril Brulebois indiquant le montage de l'ensemble des sauvegardes).

Enfin, il y a des efforts pour proposer une interface web pour des postes Mac ou Linux (pas testé)
https://github.com/borgbase/vorta

On ne peut pas comparer borg et rsync pour des sauvegardes hors site sur une machine qu'on ne gère pas, surtout si les données sauvegardées sont sensibles, sans compter l'avantage de la compression et déduplication.

Sinon, pour se prémunir de telles mésaventures a priori très rares (je n'ai jamais entendu parlé de pertes irrécupérables), la seule chose à faire c'est de lancer un "borg check" après chaque sauvegarde, ça garantie qu'il n'y a pas eu de corruption et que la sauvegarde pourra être utilisée.

voici une page qui détaille bien la façon de s'en sortir dans ce genre de situation

https://blog.garamotte.net/posts/2020/04/18/fr-repair-a-damaged-borg-repository.html

Ma préférée, c'est quand même le truc à l'attention des geeks introvertis :
"Pour la Saint-Valentin, dites-le avec des RJ-45"
montrant un beau bouquet de câbles réseau.

(je n'arrive pas à retrouver cette fasse-pub sur le site)

Un autre benchmark qui fait suite à un article de 2012 souvent donné comme référence (Numbers Every Programmer Should Know) permet de voir comment la latence et la bande passante des processeurs a progressé en 8 ans.

https://www.forrestthewoods.com/blog/memory-bandwidth-napkin-math/

l'auteur note que l'article original donnait des chiffres qui était (au moins pour le premier d'entre eux) un peu sujets à caution :

L1 cache reference                           0.5 ns
Branch mispredict                            5   ns
L2 cache reference                           7   ns                      14x L1 cache
Mutex lock/unlock                           25   ns
Main memory reference                      100   ns                      20x L2 cache, 200x L1 cache
Compress 1K bytes with Zippy             3,000   ns        3 us
Send 1K bytes over 1 Gbps network       10,000   ns       10 us
Read 4K randomly from SSD*             150,000   ns      150 us          ~1GB/sec SSD
Read 1 MB sequentially from memory     250,000   ns      250 us
Round trip within same datacenter      500,000   ns      500 us
Read 1 MB sequentially from SSD*     1,000,000   ns    1,000 us    1 ms  ~1GB/sec SSD, 4X memory
Disk seek                           10,000,000   ns   10,000 us   10 ms  20x datacenter roundtrip
Read 1 MB sequentially from disk    20,000,000   ns   20,000 us   20 ms  80x memory, 20X SSD
Send packet CA->Netherlands->CA    150,000,000   ns  150,000 us  150 ms

Et que maintenant, sur un i7 il a pu en gros calculer la latence suivante

L1 CACHE hit, ~4 cycles(2.1 - 1.2 ns)
L2 CACHE hit, ~10 cycles(5.3 - 3.0 ns)
L3 CACHE hit, line unshared               ~40 cycles(21.4 - 12.0 ns)
L3 CACHE hit, shared line in another core ~65 cycles(34.8 - 19.5 ns)
L3 CACHE hit, modified in another core    ~75 cycles(40.2 - 22.5 ns)
local  RAM                                                   ~60 ns

et pour la bande passante :

Memory Bandwidth: 39.74 gigabytes per second
L1 cache: 192 kilobytes (32 KB per core)
L2 cache: 1.5 megabytes (256 KB per core)
L3 cache: 12 megabytes  (shared; 2 MB per core)

il faut utiliser bc (présent dans toutes les bonnes crémeries)

$ echo '8866128975287528^3 + (-8778405442862239)^3 + (-2736111468807040)^3' | bc -l
33

le seul risque que l'on peut avoir lorsque l'on dédoublonne des fichiers en les "liant" entre eux (hardlink), c'est qu'en changeant l'un d'eux, ça change tous ceux qui sont pointés par le même inode

la solution c'est d'effectuer une copie du fichier avant de l'éditer

il existe une option dans à mettre dans le vimrc pour déclencher la copie automatiquement lors de l'édition :
set bkc=no