Que conseilles-tu pour migrer avec sécurité sur cette version ? La tester sur un autre serveur/instance ?
TOUJOURS sur une autre machine ! Qu’elle soit virtuelle ou physique.
En prod là où je travaille, mes serveurs critiques sont doublés par une machine de test qui sert à valider la nouvelle version d’une distribution (CentOS chez moi, mais j’ai une machine de sauvegarde sous Debian) en simulant son utilisation en prod en attendant de la déployer.
TexMex a écrit :
Si
tu ressens le besoin d’utiliser BtrFs c’est que tu as peur de perdre et
donc que tu ne sauvegardes pas assez souvent!!! J’en appelle donc par
conjuration aux divinités du Holy-Mother-of-all-Backup-Day pour qu’elles
t’attrapent par les oreilles (ou la carte bleu) et t’emmènent acheter
derechef un NAS ou des tonnes de supports vierges.
Na meh!
On peut utiliser Btrfs et faire des sauvegardes, l’un n’empêche pas l’autre et les deux à la fois sont recommandés.
Enfin, moi, c’est plutôt pools ZFS pour les données sur mes machines de production et le bon vieux etx4 pour les OS, les machines et les sauvegardes non critiques.
Bien que je sois plus intéressé par les futures offres AMD en la matière, j’irais voir la fiche de celle-là quand elle sera en vente, par simple curiosité personnelle.
Je connais la marque pour l’avoir en production sur deux de mes serveurs (un au travail, le mien chez moi) et j’en suis content. Je pense qu’ils ne manqueront pas de nous faire l’équivalent pour les nouveaux Opterons.
L’avantage absolu d’un NAS fait maison, c’est que tu peux customiser ta machine comme tu veux, et faire la config qui te plaît au poil près. Mais bon, cela ne concerne, à mon avis, que les personnes avec des besoins très précis non satisfaits par les machines tout en un du commerce, les pros (et encore, j’en connais qui prennent du Syno pour des utilisations pro) ou les gens comme moi qui veulent faire mumuse avec un pool ZFS pour le fun.
Je confirme. Pour certaines applications non en ligne 24⁄24, nous avons trois Synology DS 1515+ là où je travaille, à côté de la batterie de Proliant qui nous sert de serveurs.
La raison principale ? Fonctionne dès le déballage, pas de temps perdu à configurer l’engin, fait le travail que l’on en attend (sauvegardes toutes les trois heures en local avec duplication hors site quotidienne), et ne coûte pas excessivement cher pour du matériel fiable (on les a eu à 600 € HT l’unité, un Proliant pour faire la même chose, c’est tout de suite 1000 € HT).
Des fois, en milieu pro, la simplicité est requise.
Dans ce sens-là, oui, je ne fais pas une vérification formelle, je suis d’accord avec vous deux.
Outre que cela dépasse mes capacités, parce que ce n’est pas mon métier, il va de soi que je ne peux pas mobiliser les moyens nécessaires pour faire une vérifiaction aussi poussée.
Disons plutôt que je fais une vérification de fonctionnement en conditions réelles avant mise en production.
Le
24/02/2017 à
14h
39
Ksass`Peuk a écrit :
Je ne sais pas si on parle de la même chose quand j’écris “formellement vérifié”. Cela ne court définitivement pas les rues les systèmes de ce genre (malheureusement).
Je vérifie a minima le fonctionnement du logiciel sur un serveur de test configuré comme deux de production en lui faisant subir toutes les avanies possibles, et je vois comment il réagit.
C’est déjà suffisant pour voir les plus gros problèmes. Après, j’audite le code dans la limite de mes capacités pour écrémer ce que j’ai pu rater. C’est pas miraculeux mais c’est toujours une bonne précaution à prendre.
Le
24/02/2017 à
14h
21
J’ai eu l’info par un collègue dont le site qu’il gère utilise Cloudflare, et je viens de changer mon mot de passe NXI. Compte tenu de l’entreprise où je travaille, j’espère que l’on ne pourra pas me tracer à cause de ce genre de bug, bien que je ne poste que de chez moi, ou que d’un ordinateur personnel non relié à la connexion Internet de mon entreprise…
Ksass`Peuk a écrit :
Ce serait bien qu’un jour les composants de sécurité écrits en C soit vérifiés formellement. Ou plus écris en C. UN jour, peut être, s’il y a de l’argent.
Figures-toi que c’est la première chose que je vérifie dans le code des logiciels que je met en production pour mon entreprise.
Mais après, je ne peux pas tout voir, bien que cela m’ait évité pas mal de mauvaises surprises… et permis de remonter quelques bugs aux développeurs !
Ah bah oui mais c’est bien sûr ! Pourquoi vouloir analyser le code source d’un programme libre quand on peut s’emamuser à faire de la rétro-ingénierie et … ce que doit faire tout bon hacker qui se respecte pour pondre un audit sur un programme propriétaire fermé ?! " />
Dans le cadre de mon travail, l’open-source est une exigence de base pour les logiciels métier. J’ai fait l’éducation de mes patrons en leur expliquant que je ne pouvais leur donner aucune garantie sur l’intégrité des données avec des logiciels dont je ne pouvais pas voir le code-source pour des raisons de licence.
Quand une partie de la flotte que le système informatique dont tu es l’administrateur gère du transport routier de matières dangereuses, rien n’est laissé au hasard point de vue sécurité.
Oui mais c’est pour cette même raison que tu es en place et qu’ils ne devraient même pas discuter el coup quand il s’agit de sécurité étant donné que ce ne fait pas partie de leur domaine de compétences. :/
Tout à fait.
J’ai eu du mal à leur arracher l’achat un pare-feu matériel de chez Zyxel, un modèle à 1000 € HT, et j’ai sorti cet argument en leur disant que le serveur HS pour cause de DDOS, ça risquait de mettre l’entreprise en faillite.
Quand un concurrent a été mis en liquidation judiciaire suite à ce genre de problème six mois plus tard, ils ont vite trouvé que 1000 € HT, c’était donné pour la sécurité de l’entreprise.
Depuis, ils me font quand même un peu plus confiance, et ils comprennent que les menaces contre lesquelles je leur demande de faire des investissements préventifs, ce ne sont pas des vues de l’esprit.
Le
10/01/2017 à
09h
43
shadowfox a écrit :
J’ai moi même du mal à comprendre comment on peut être insensible à ce point à la sécurité et aux dangers auxquels on s’expose…
À la décharge de mes patrons, ce sont des professionnels du transport routier, pas de l’informatique.
J’ai le responsable marchés est-européens qui vient de me demander à l’instant si nous avons ce problème, je lui ai répondu que non, en lui rappelant la séance pénible lorsque j’ai mis en place notre système informatique.
Nosu gérons quand même des 44 tonnes dans notre entreprise, si Daesh tombe sur notre base de données parce qu’elle n’est pas sécurisée, ils ont de quoi faire un génocide, par exemple.
Le
10/01/2017 à
09h
21
shadowfox a écrit :
“Pour rappel, les administrateurs concernés ont laissé ouvert la possibilité de se connecter à distance sans même exiger des identifiants. ”
Pardon ?!
C’est hallucinant…
J’avais eu du mal à expliquer à mes cadres de direction de l’entreprise où je travaille qu’il ne fallait pas laisser la base de données (Une PostgreSQL) avec les données clients et flotte dessus en accès libre sans indentifiants, j’ai réussi à leur imposer de justesse cette précaution de base.
Je met le lien vers cet article en copie dans un courriel à leur intention, afin qu’ils réfléchissent un peu plus la prochaine fois qu’ils me demandent de ne PAS sécuriser des données SENSIBLES, comme la position et le chargement des camions de la flotte que gère ladite base de données en temps réel…
Ca vise à mon avis les cinéphiles et audiophiles cette capacité avec la connectique multimédia.
Pas forcément grand monde en France mais la France ne représente pas grand monde… quand tu vois la qualité sonore minimale des smartphones vendus en chine on peut penser que c’est bien plus ce marché là qui est visé.
Un autre marché potentiellement en devenir en France c’est celui de l’auto hébergement. C’est cher mais si ça sauvegarde et fait marcher toutes tes applis pour tes amis/famille etc. ce n’est plus si cher que ça par rapport à des solutions cloud à plusieurs dizaines d’euros annuels.
Un tout en un bien complet pour des amateurs exigeants, pourquoi pas, ça se tient.
J’allais le dire. Pour mon travail, ça remplacerait bien les Proliant que j’ai actuellement sous Debian Stable.
Est-ce qu’on peut en monter trois en parallèle pour la redondance et la sécurité ? C’est une exigence de base de mon employeur.
Un point intéressant :
QES est construit sur FreeBSD et exploite un système de fichier ZFS, le fabricant affirmant ainsi que l’« intégrité des données est garantie ».
Je suis resté à l’EXT4 pour des raisons bêtes (c’est un FS que je connais et qui a fait preuve de sa stabilité en RAID), quels sont les avantages du ZFS par rapport à l’EXT ? Surtout dans une solution de stockage pur.
Je n’ai pas étudié la question, si quelqu’un ici peut me faire part de son opinion.
Quelqu’un saurait m’expliquer pourquoi il faut un écran compatible ? Ce n’est pas le capteur source qui génère une image HDR ? C’est l’écran qui recompose ?
Je prend l’exemple d’une photo HDR je peux la voir sur n’importe quel écran. De même une caméra de surveillance supportant le HDR produit une image HDR visible sur n’importe quel écran (typiquement je peux voir l’intérieur et l’extérieur d’une pièce correctement exposée, alors que sans hdr l’un ou l’autre serait sous /sur exposé).
Quelle est la différence ?
Bonne question.
Est-ce possible qu’il y ait un ajustement dynamique de la qualité de l’image en fonction des caractéristiques physiques de l’écran, et qu’un signal “type” indiquant les corrections HDR qu’a subie l’image de base soit transmis à l’occasion, signal qui serait décodé pour que l’image soit adaptée à la volée sur le périphérique de lecture ?
Parce que le Wife Acceptance Factor, faut oublier.
Et puis le sapin de noel pendant qu’on regarde un film dans la pénombre…. bof.
Moi, j’aime bien les engins un peu extravagants, les boitiers sobres, j’en vois toute la journée au travail, ça me change.
Comme HTPC, sans les lumières, pourquoi pas… J’ai une caisse en tôle à 40 €, comme si bien dit par Commentaire Supprimé, qui renferme le mien actuellement, mon épouse aimant l’art moderne, je vais lui soumettre la proposition.
“On reste donc sur le chiffre de 669 000, très loin les centaines de millions d’applications des boutiques d’Android et iOS”
“Si le Store propose moins de choix, il sera aussi moins encombré de « détritus »”
C’est le moins qu’on puisse dire, sur IOS / Android ce sont des centaines de millions d’app qui ne sont que des merdes et des doublons. Déjà si on dégage les torches et les boussoles, ça fait très vite de la place.
Furanku a écrit :
Pas plus mal.
Pour ma part je préfère un Store restreint, où l’on s’y retrouve, avec des apps de qualité. Plutôt qu’un store qui compte de tout et n’importe quoi, avec des applications dont on cherche l’utilité si ce n’est récupérer un max d’info ou afficher un max de pubs.
Android aurait besoin d’un gros coup de nettoyage à ce niveau. Du côté d’Apple ça reste encore quand même plsu restrictif, mais il doit y avoir un paquet de vieilles app plus maintenues encore présentes.
D’accord avec vous. Estimation personnelle subjective, je pense que sur l’Androïd Store, au moins la moitié des applications sont miteuses et d’une utilité discutable.
Une politique qualitative chez google ne serait pas un mal.
kpatch marche sur a peu près toutes les distros avec kernel >=3.9 et GCC >=4.8 selon le github sur lequel il est hébergé, mais pourquoi ces options sont toutes des services commerciaux distro dependenants si c’est une fonctionnalité intégrée au kernel linux???!
L’élaboration des patch diffère des maj de packets kernel via apt-get ou dnf?
késakokecetruc?
Exact, j’ai Kpatch sur les CentOS que je gère au travail, et ça remplit déjà cette fonctionnalité.
seb2411 a écrit :
De ce que je comprend le truc ce n’est pas de faire des patchs sans
redémarrer. Ça c’est en effet possible nativement dans le kernel.
L’intérêt du service, qui tire partie de cette fonctionnalité, c’est
qu’il diffuse en temps réel les mises a jours de sécurité vers ton
kernel des qu’elles sont disponibles.
Je vois. Je préfère traiter ça en manuel. J’ai déjà eu des surprises de ce côté-là.
Pour faire tourner Linux sans problème, il faut choisir un minimum son matos à l’achat.
Le matos qui est vendu avec Windows est certifié pour Windows par le fabricant et tous les problèmes de mise au point sont réglés au moment de l’installation.
De la même façon, si tu veux du matos qui fait tourner Linux au mieux, il faut du matos certifié Linux, ou tout le moins dont la compatibilité est vérifiée par la communauté.
Pour ma part, je ne rencontre jamais de gros problème avec Ubuntu. Et ce n’est pas un hasard, je choisit mon matériel avec soin autant qu’il soit possible.
Je sais qu’il peut être tentant d’acheter son matos et de se dire que l’Os doit se démerder avec. Mais il faut être réaliste, la diversité des matériels sur PC est énorme. Et même les grands constructeurs n’hésitent pas à intégrer des circuits exotiques pour réduire les couts.
Je n’ai jamais eu de problème d’installation non plus, mais c’est parce que je choisis mon matériel.
J’ai récemment assemblé un PC bureautique basique pour un proche, j’ai évité de prendre un AMD à cause du chipset graphique Radeon, problématique sous Linux. J’ai pris un Celeron à la place, les chipsets Intel passent toujours.
Le
18/10/2016 à
13h
12
Ils devraient faire preuve d’un peu d’originalité et repartir sur l’alphabet en sens inverse : Z, W, Y, X…
1- France Télévisions est un paquebot. Pour le maintenir à flot, il faut chaque année un certain budget. France 2, France 3, France 4, France 5, France Ô et Réseau Outre-Mer 1ere composent le groupe France Télévisions. La cours des comptes a épinglé à maintes reprises France Télévisions, preuve en est que l’argent n’est pas utilisé correctement.
Il ne faut pas oublier non plus que la redevance audiovisuelle finance aussi le groupe Radio France, composé de FIP, France Bleu, France Culture, France Info, France Inter, France Musique et le Mouv’.
2- Navré, mais la qualité d’un film, d’une série ou d’un divertissement, que cela soit sur le fond et sur la forme, est bien une affaire de goût et de couleurs.
3- Dernièrement, Delphine Ernotte, PDG de France Télévisions, a demandé l’extension de la redevance audiovisuelle aux smartphones, aux tablettes numériques et au PC. N’aurait-elle pas raison ? Ces appareils permettent de regarder les chaînes de télévisions, dont les chaînes publique, tout en s’affranchissant de la redevance audiovisuelle. Dans ce domaine, beaucoup de gens viennent montrer leur mécontentement concernant cette possible extension sur les forums. De parfaits faux-culs pour certains, puisqu’ils regardent les chaînes de télévision via ces appareils. Ils seraient donc logique qu’ils doivent payer la redevance audiovisuelle.
Et pour finir, pourquoi les résidences secondaires ne pourraient-elles pas êtres retenus pour l’assujettissement de la redevance audiovisuelle ? Je ne vois pas ce qui pourrait empêcher cela. Cela aurait pour conséquences d’inciter plus de gens à contourner la redevance audiovisuelle. Mais à ce moment-là, la redevance audiovisuelle aura été étendu aux smartphones, tablettes numériques et PC… C’est con… Contourner la redevance audiovisuelle sera quasiment impossible.
Ne serait-il pas surdimensionné par rapport aux capacités du public français, et de son financement ? Je ne connais pas la BBC, mais il me semble qu’ils n’ont pas autant de chaînes publiques que nous, en plus d’avoir une redevance plus élevée.
Quand un acteur est mauvais, un scénario mal écrit, une mise en scène mal fichue, un montage raté et une réalisation boiteuse, ça se voit. Et je trouve qu’en la matière, c’est autant visible sur le service public que dans le privé en France.
Y a t-il tant de gens que ça qui ne payent pas la redevance du tout, de façon légale ou pas ? Et, sinon, si le gouvernement veut vraiment faire payer tout le monde, pourquoi ne pas faire directement passer le financement du service public par l’impôt ? J’en parle de façon dépassionnée parce que pour moi, ça ne changerait rien (je paye la redevance et je ne regarde qu’épisodiquement la télévision, tant publique que privée).
Le
17/10/2016 à
09h
44
indyiv a écrit :
Le terme redevance TV est impropre …il y a également Radio France qui produit de nombreux programmes remarquables accessibles secondairement en podcast
Exact. C’est surtout pour Radio France que je paye la redevance.
Sinon, j’aurais remplacé ma TV par un moniteur de même taille depuis longtemps.
Le
17/10/2016 à
09h
22
Question simple : qu’a t’on de plus pour toutes ces recettes ?
Et sinon, vu que la TV publique est financée de plus en plus par des taxes, pourquoi ne pas directement sauter le pas et mettre tout cela avec les impôts plutôt que de continuer à faire payer une redevance ?
Oui, coller un autre routeur… enfin, ça engendre pas mal de frais si c’est juste pour passer outre le manque d’option du routeur FAI " />
Pour chez moi, les DNS sont configurés individuellement sur chacun de mes trois ordinateurs, la box ne fait que DHCP pour le portable (configuré en Wifi), et passerelle pour les autres.
Tout en automatique au bon vouloir du FAI, ça n’a pas que des avantages…
Le
17/10/2016 à
09h
48
Ah, voilà pourquoi ça coinçait ce matin au bureau ! (ligne pro Orange)
Haken Trigger a écrit :
Bien content d’être passé depuis un bail sur des DNS OpenNIC tiens…
Mais je le savais que Google préparait un gros coup, ce sont des terroristes ! " />
Si tu as les IP, je vais les mettre à la place de celles d’Orange. Demande expresse de mon patron, qui vient de lire l’article…
26 commentaires
Debian 9.0 Stretch modernise ses paquets et améliore sa sécurité
19/06/2017
Le 19/06/2017 à 12h 06
GA-C422-WS : Gigabyte dévoile une carte mère LGA 2066 pour les prochains Xeon d’Intel
01/06/2017
Le 01/06/2017 à 08h 31
Intéressant en milieu pro, en effet.
Bien que je sois plus intéressé par les futures offres AMD en la matière, j’irais voir la fiche de celle-là quand elle sera en vente, par simple curiosité personnelle.
Je connais la marque pour l’avoir en production sur deux de mes serveurs (un au travail, le mien chez moi) et j’en suis content. Je pense qu’ils ne manqueront pas de nous faire l’équivalent pour les nouveaux Opterons.
QNAP lance ses NAS TS-x53B avec emplacement PCIe et écran OLED, dès 599,95 €
25/04/2017
Le 01/05/2017 à 14h 20
Cloudbleed : importante fuite de données chez Cloudflare, changez vos mots de passe
24/02/2017
Le 24/02/2017 à 14h 56
Le 24/02/2017 à 14h 39
Le 24/02/2017 à 14h 21
J’ai eu l’info par un collègue dont le site qu’il gère utilise Cloudflare, et je viens de changer mon mot de passe NXI. Compte tenu de l’entreprise où je travaille, j’espère que l’on ne pourra pas me tracer à cause de ce genre de bug, bien que je ne poste que de chez moi, ou que d’un ordinateur personnel non relié à la connexion Internet de mon entreprise…
VeraCrypt : comment chiffrer et cacher des fichiers, un disque dur externe ou une clef USB
14/02/2017
Le 20/02/2017 à 12h 24
Plus de 28 000 bases MongoDB ont été effacées contre rançon
10/01/2017
Le 10/01/2017 à 10h 10
Le 10/01/2017 à 09h 43
Le 10/01/2017 à 09h 21
N6850Plus : Thecus renouvelle son NAS à six baies avec un Xeon E3-1225 (Sandy Bridge)
24/11/2016
Le 24/11/2016 à 14h 19
C’est un peu mal placé cet engin. En SOHO, c’est trop cher, en pro, c’est pas assez puissant et modulable…
Comme dit plus haut, à ce prix-là, autant se faire soi-même son serveur.
QNAP lance ses NAS TVS-x73 avec un SoC AMD « Merlin Falcon »
14/11/2016
Le 14/11/2016 à 18h 23
QNAP : le NAS TES-3085U avec QES ou QTS arrive en France, dès 7 079 euros
10/11/2016
Le 10/11/2016 à 14h 02
YouTube prend désormais en charge les vidéos HDR
08/11/2016
Le 08/11/2016 à 10h 41
ExoMars : nouvelle photo du site du crash de Schiaparelli, en couleurs
07/11/2016
Le 07/11/2016 à 07h 48
C’est quand même un bel exploit que de retrouver le site du crash de l’engin, et avoir de telles images à analyser.
Si c’est un bug informatique qui est à l’origine du crash, j’espère qu’ils le trouveront rapidement.
Lian Li dévoile un boitier mini-ITX avec panneau en verre trempé le PC-Q37
05/11/2016
Le 06/11/2016 à 17h 38
Windows 10 : un ménage contraint et forcé dans le Store
21/10/2016
Le 21/10/2016 à 11h 36
Canonical Livepatch Service : des corrections dans le kernel Linux sans redémarrage
19/10/2016
Le 19/10/2016 à 08h 00
Ubuntu 17.04 finira l’alphabet avec Zesty Zapus
18/10/2016
Le 19/10/2016 à 06h 21
Le 18/10/2016 à 13h 12
Ils devraient faire preuve d’un peu d’originalité et repartir sur l’alphabet en sens inverse : Z, W, Y, X…
Cela les distinguerait.
PLF 2017 : hausse modérée de la redevance TV, hausse accentuée de la taxe sur les FAI
17/10/2016
Le 18/10/2016 à 14h 16
Le 17/10/2016 à 09h 44
Le 17/10/2016 à 09h 22
Question simple : qu’a t’on de plus pour toutes ces recettes ?
Et sinon, vu que la TV publique est financée de plus en plus par des taxes, pourquoi ne pas directement sauter le pas et mettre tout cela avec les impôts plutôt que de continuer à faire payer une redevance ?
Kernel Linux 4.9 : première RC et nombreuses améliorations
18/10/2016
Le 18/10/2016 à 11h 21
Google.fr bloqué pour apologie du terrorisme suite à une « erreur humaine » d’Orange
17/10/2016
Le 17/10/2016 à 10h 31
Le 17/10/2016 à 09h 48
Ah, voilà pourquoi ça coinçait ce matin au bureau ! (ligne pro Orange)