Je fais globalement la même chose avec un setup plus ou moins identique (6900 XT à la place de la Nvidia). Mais impossible de trouver le moyen de le faire dans des conditions décentes par internet…
Même si je n’ai jamais été un grand fan de l’analytics de manière générale, XiTi a bercé ma jeunesse avec son infâme logo. Je ne savais même pas que c’était Français et l’un des pionniers dans le domaine. Une page de l’Internet se tourne. Chapeau à toute l’équipe.
Bravo pour s’être lancer dans l’aventure de la SCOP et merci pour ce retour intéressant.
Je trouve aussi le modèle vraiment intéressant, permettant d’impliquer pleinement les employés dans la vie de l’entreprise. C’est un choix fort et qui visiblement porte ses fruits chez vous. Je vous souhaite de continuer dans cette lancée, c’est une belle histoire que vous êtes en train d’écrire, en lien avec vos convictions.
[Comment removed by author]
Si vraiment ça te pose un problème (et que c’est pas juste pour faire ton pénible comme l’autre gars avec ses articles bizarres), utilse RHEL, SLES ou SLED.
Il ne me semble pas que Windows ait une quelconque garantie… En tout cas, la majorité des personnes qui me contactent pour du dépannage sont sur Windows.
[Comment removed by author]
Derrière cette réflexion il y a tout simplement la question de la confiance : Accordes-tu plus de confiance envers Microsoft et son armée de dev et ses motivations purement financières (c’est une entreprise) ou bien la communauté Linux qui n’est pas une entité unique mais un aggrégats de devs aux motivations diverses (et parfois contradictoires) ?
À titre perso, j’ai plus confiance envers le noyau Linux qui attire l’attention d’énormément de monde avec son code ouvert plutôt qu’envers Microsoft qui fait ce qui fout ce qu’il veut dans sa soupe. Pour l’instant, l’Histoire a prouvé que d’un point de vue sécurité Linux s’en sort mieux…
C’est exactement ça, merci @Lord d’avoir répondu à ma place.
[Comment removed by author]
Stallman, il a fait des chouettes trucs comme le projet GNU et la GPL. Et c’est aussi une diva ingérable qui fait son pénible à tout bout de champ. Pas la peine de l’imiter là-dessus, franchement.
[Comment removed by author]
Mec, je comprends rien à ce que tu racontes. Mais je pense que toi non plus, tu comprends rien à ce que tu racontes. :o)
[Comment removed by author]
Est-il vraiment si invraisemblable qu’une entité malveillante s’introduise dans votre système d’exploitation grâce à (ou par) « la communauté » ?
La réponse oui, 1000 fois oui. En parallèle, il est aussi évident qu’il faut partir sur une alternative Linux éprouvée (Ubuntu ou Ubuntu base, Debian base) et rester dans les standards. Tant que tu es dans les standard et que tu maj souvent ton système, ton scénario est proche du 0.
Et le jour où une entité infectera du Debian ou du Ubuntu, c’est peut-être déjà le cas, elle ne va pas utiliser son virus sur Madame Michu et visera quelque chose de beaucoup plus critique/valeur.
On a déjà vu des logiciels libres compromis. Ca arrive. Notamment sur des librairies.
L’avantage d’un code ouvert, c’est qu’il y a potentiellement toute l’humanité qui est capable de voir ce qui y a été fait. (toute l’humanité n’est pas compétente pour évaluer du code pour autant, on est bien d’accord).
Par contre je préfère utiliser une distribution la plus minimaliste possible pour laisser le moins d’angles d’attaque possible. Une Alpine sur laquelle on installe le strict nécessaire est bien plus sécurisée qu’une Debian qu’on laisse en base install à mon sens.
Et sinon oui, le particulier a bien peu de chance d’être victime d’une attaque ciblée. A moins que quelqu’un vous en veuille terriblement… c’est généralement des grosses entités qui sont visées (entreprises / états / parcs énergétiques…).
Pour ceux qui n’ont pas peur de mettre un peu les mains dans le camboui, une ArchLinux sous OpenBox est à mon sens ce qui se fait de mieux pour les vieilles machines.
Bonjour à tous,
L’article est intéressant et utilise des moyens techniques pour mettre en place une forme particulière d’organisation du travail. Même si effectivement la partie technique est un peu relégué au second plan.
A mon sens, il a sa place ici. S’il n’y avait pas eu la partie technique, je n’aurai pas tenu le même discours.
J’aime bien l’étiquette proposée par kikinovak : “organisation du travail” et je suis d’accord que “gadget” n’est pas très adapté.
Ça fait trois ans que j’utilise OpenSUSE Leap sur tous mes postes clients. Vingt ans en arrière, SUSE était la distribution la plus populaire en Allemagne, en Autriche et dans les pays de l’est. Je pense qu’en France, c’est Mandrake/Mandriva qui lui a fait de l’ombre.
Il est de bon ton de dénigrer l’outil de configuration graphique YaST. Pour ma part, j’aime bien pouvoir connecter mes postes clients à un annuaire Red Hat Directory Server en trois clics et sans me prendre la tête.
J’ai essayé OpenSUSE a de multiples reprises et ce qui m’a le plus gonflé c’est sa lenteur. Pourtant j’ai trouvé YaST franchement pas mal, c’est puissant. Mais tout est mou.
J’en reviens toujours à ma distro de coeur (Arch).
Depuis le temps que je lis que Vim permet d’augmenter la productivité… Mais comme l’auteur de l’article, à chaque fois que je l’ai démarré j’ai pris un mur dans la gueule.
Quels sont les raccourcis ? Pourquoi ceux-là ? J’ai pris peur… et je suis retourné sur mon IDE préféré.
Je ne suis pourtant pas réfractaire au changement, seulement quand il m’est impossible d’y trouver de la valeur ajoutée, j’ai du mal.
C’est une certitude : j’ai besoin de réapprendre à marcher. J’ai besoin de courage pour affronter cette courbe d’apprentissage, rien d’autre.
Que viennent faire les services Google dans une distribution Linux ?
Je n’utilise ni Mobian, ni PostmarketOS. J’ai mes petites habitudes sous Arch depuis plus de 10 ans et la distribution Arch ARM maintenue par un membre de la commauntué Pine64 a en général un temps d’avance sur les autres distributions. C’est aussi celle que j’ai trouvé la plus réactive après mes tests (Mobian, UBPorts, Manjaro et PostmarketOS).
Moi aussi je l’ai presque adopté. Je n’ai simplement pas réussi à faire fonctionner le GPS et c’est actuellement rédhibitoire pour une utilisation quotidienne.
Dommage, dans l’article le sujet n’est pas évoqué (bien que l’auteure semble avoir ce besoin aussi).
10 ans que je joue sous Linux. J'ai eu le temps de voir évoluer extrêmement vite ce monde.
Avant c'était la croix et la bannière pour gérer deux canaux audios (alsa, oss, alsa-oss, il fallait en permanence jongler pour trouver un serveur de son fonctionnel). Puis PulseAudio est arrivé, les premiers temps étaient difficiles, il fonctionnait assez mal mais il a fini par bien s'améliorer et se démocratiser.
Le pilote ATI (propriétaire) était bien merdique à cette époque. Le driver nVidia était plus acceptable bien qu'il n'était pas capable de gérer correctement les laptops avec chipset intégré + GPU.
Et évidemment, on installait tout à la mano sous Wine. Puis sont arrivés des outils comme PlayOnLinux et Lutris qui ont grandement simplifié l'installation et la configuration des jeux. Puis enfin Proton, une véritable bouffée d'air pour les joueurs Linux sous Steam, Steam qui à cette époque lointaine, n'avait pas de version native sous Linux, rappelons-le.
Aujourd'hui, on arrive à avoir des performances supérieures dans des jeux sous Wine que nativement (c'est le cas de Trackmania et World of Warcraft de ce que j'ai pu constater de moi-même). Les derniers jeux mettent de moins en moins de temps être fonctionnel sous Wine (merci DXVK et consort…) Quel long chemin nous avons fait…
Une faille exploitable seulement avec une mauvaise configuration de sudo, mais malheureusement beaucoup de configuration par défaut comme ça.
Sudo devrait seulement être configurer avec une liste blanche et non avec une liste noire.
Je n'ai au contraire jamais croisé la règle (ALL, !root), pas même en configuration par défaut. Ou peut-être que c'est la règle par défaut dans Mac OS, ce qui expliquerait pourquoi c'est eux qui ont trouvé la faille :).
Quand je dis par défaut, pas out of box, mais je l'ai souvent rencontré en entreprise, car plus simple niveau configuration.
La configuration par défaut est par contre une faille en elle même, donner tout les droits à un utilisateur, ce n'est pas secure.
Autre que pour le nom de la machine, et dans le cas d'une infra mono-serveur, mono-utilisateur, le terme ALL ne devrait jamais être utilisé
Jamais rencontré en entreprise non plus, je n'en ai pas écumé des centaines cela dit mais s'amuser à donner tous les droit sauf root à un utilisateur est de toute façon une mauvais pratique. Un responsable DSI sérieux ne laisserait jamais faire ça.
Mais autrement, totalement d'accord avec ton commentaire.
ça reste mieux que de donner les mots de passe des utilisateurs spécifique à plusieurs personnes, ou pire l'utilisateur root. En serveur perso ou tu es tout seul dessus, pas de soucis, mais en entreprise, quand tu dois avoir 50 personnes qui sont susceptible de devoir faire des actions, y'a rien de mieux que sudo (ou doas pour openBSD), par exemple quand tu as un services de supervision en 24/7, c'est bien qu'ils puissent être autonome dans la relance de service, sans pour autant leur donner les droits full root pour le faire.
Non, ce ne sont quand même pas de bonne pratique, j'insiste. Les groupes et les ACLs c'est fait pour ça, et ça fonctionne très bien. Dans mon labo de recherche on fonctionne comme ça et tout le monde peut bosser sans aucun problème, y compris des développeurs ou des gens qui conçoivent des outils de mesure et les trucs qui vont avec (et qui finiront dans des satellites). Vu le fric que ça coute je t'assure qu'ont ne fait pas d'économie sur les tests.
Après c'est sur c'est moins pratique et il faut bosser, mais notre niveau et exigence forcément très élevé de sécurité n'est pas compromis par ce genre d'outil, ce qui dans notre cas n'est pas négociable.
Je ne vois pas comment tu peux faire de l'administration système grâce au ACLs, à part en jouant avec le SUID et GUID, ce qui reste pire que sudo, tu augmentes grandement la surface d'attaque. Car dans ce cas ça veut dire que les administrateurs et techniciens ont des comptes avec des permissions élevés, sous Unix, un utilisateur doit être un simple utilisateur, et demander des permissions élevés temporairement (via compte root ou sudo). D'ailleurs ça m'agace de voir des connexions root sur les serveurs.
De plus avec les ACLs, tu peux seulement limiter l'accès (rwx) sur un fichier, par exemple tu ne peux pas dire qu'un utilisateur ne peux utiliser que l'argument status
de systemctl
, mais seulement l'autoriser à utiliser systemctl
ou non.
Tu viens de démontrer la supériorité des scripts init. Chez nous Systemd n'est pas du tout le bienvenu. En plus ce truc est une faille de sécurité à lui tout seul. Les évaluations en termes de sécurité et qualité de code des travaux de Lennart Poetering sont assez catastrophique…
Nos outils disposent des permissions nécessaire pour être utilisés. S'il le faut nos scripts init peuvent appartenir au groupe qui pourra les manipuler (c'est ultra rare par ailleurs, ils peuvent faire une quantité astronomique de choses en espace utilisateur). Les rares qui veulent être admin de leur machine sont dans un réseau à part (bac à sable). On peut aussi jouer avec des outils comme Policykit mais dans notre cas ça n'a jamais été nécessaire. Et bien évidemment personne à part les deux ASR habilité n'a de mot de passe root, jamais.
Alors, oui, il arrive que parfois un utilisateur viennent nous voir pour nous demander de faire un truc qu'il ne peut pas faire sans être root, mais c'est notre boulot et au passage ça nous permet d'évaluer la pertinence de la demande et de la valider ou la rejeter (et proposer une alternative). Quoi qu'il en soit, nous n'avons jamais trouvé de bonne raison ou de cas ou l'usage de sudo serait nécessaire.
Pour les applications métiers je comprends, c'est d'ailleurs ce qu'on fait, chaque applications à son propre utilisateur, et son lancer par un script init perso, donc chaque opérateur à le droit de lancer sudo -u UserAppli
pour lancer les taches de maintenance de cette appli. Après de mon cotés, aucun outils n'est exécuter en local sur les machines, les utilisateurs n'ont que des IHM. Les devs n'ont par contre en aucun cas accès au machine, les environnements sont généré à la volée via jenkins.
Par exemple dans ma boite on compte plus de 500 informaticiens (tout métier confondu), dont environs 100 pour la gestion de l'infrastructure (15 techniciens d'exploitation/supervision présent H24, 7/7j, une 20ène d'admin et ingé, les intégrateurs, les analystes etc …), chacun doit être capable à n'importe qu'elle moment de pouvoir redémarrer un serveur, ou simplement un service système ou une application, pas le choix d'avoir un accès “root” pour redémarrer sshd par exemple.
Franchement j'aimerai me passer de sudo
, mais franchement je ne vois pas comment faire pour que si user1 lance un script d'init d'un service, ce script se lance avec les permissions de userX.
A part utiliser que des comptes génériques ou technique où on partage les mdps, on a essayé, jusqu'a ce qu'un petit malin décide de changer des mdps sans prévenir personnes.
Les évaluations en termes de sécurité et qualité de code des travaux de Lennart Poetering sont assez catastrophique…
Tu aurais une source à ce sujet stp ? Ca m'intéresserait.
C'est le résultat d'une étude interne qui a simplement consisté en la lecture de quelque fichiers pris au hasard dans différents de ses projets. Ensuite il y a les fréquentes alertes de sécurité à propos de Systemd (mais aussi PulseAudio et d'autre trucs, internet t'en dira long), au hasard : * https://www.itprotoday.com/linux/linuxs-systemd-hit-three-security-holes * https://news.slashdot.org/story/18/10/27/196227/new-systemd-vulnerability-discovered
À noter qu'à l'inverse je n'ai jamais entendu parler de graves failles de sécurité dans SystemV init ou BSD init.
Il y a aussi les pétages de câbles légendaires de Linus Tovald sur le comportement de Poettering et de certains de ses développeurs. Par exemple, je ne ferait jamais confiance en des devs qui se comportent comme ça (et je comprend parfaitement la position de Torvalds) : * https://news.ycombinator.com/item?id=19023232 * https://www.phoronix.com/scan.php?page=news_item&px=mty1mza
Sans compter que par principe, le processus 1 (init) doit être ultra protégé et qu'un plantage de ce processus provoque l'effondrement de tout le système. Idéalement, c'est du KISS. Et enfin le non respect des principes fondamentaux d'Unix (un outils, une tâche) ne sont pas de bon augure non plus.
Je suis à l'origine dev PHP et merci de rétablir un peu de vérité.
Depuis bientôt 2 ans, je fais du jQuery et de l'Angular… La liberté qu'offre PHP me manque… et le JS me fait vomir :)
Cela ne se fera pas. Le principal opposant politique à l'État américain est réfugié en Russie, pays qui ignore volontairement les droits de l'homme et se moque bien de l'occident.
La France et les soit-disants porte-étendards des droits de l'homme se ridiculisent pour ne pas froisser le boss de l'occident, pour que Trump ne fasse pas un caca nerveux. C'est du harcèlement de base en fait, le boss du lycée qui impose sa loi… pathétique de la part de nos politiques. Mais vu que ça dure depuis Hollande, on sait que c'est stable dans notre politique étrangère. Donc faut pas rêver, ça n'arrivera pas.
Rectification, c'est Sarkozy qui a fait rentrer la France de nouveau dans l'OTAN.
C'est donc Sarkozy qui a accepté la vassalité de la France à l'égard des Etats-Unis. Les autres présidents ont suivi.
tout à fait, je me suis mal exprimé et je parlais du rejet de la demande d'asile de Snowden qui date de Hollande.
Si on m'avait expliqué les flux de cette manière il y a quelques années, j'aurai immédiatement compris…
Superbe introduction aux flux, merci beaucoup.
J'essaye de voter quand j'ai trouvé l'article pertinent et intéressant. Toujours après lecture donc.
Cependant je ne me fie pas spécialement aux votes pour mes lectures. Si le titre me donne envie, je vais voir plus loin, sinon je passe ma route. J'utilise donc plus le vote comme une forme de remerciement pour la personne ayant partagée l'information.
La Quadrature du Net ne fait que pointer des propos sans objection afin de renforcer sa posture militante. Facile de rapporter les choses pour les dénoncer avec une absence flagrante de réflexion, étant donné que l’article est essentiellement fondé sur des propos partisans. Si un concitoyen aurait été dangereux envers la société, vos principes moraux à cet égard fonderaient comme neige au soleil dans l’optique générale. Aussi, prétendre à ce propos que vous êtes un « terroriste » est une amorce peu crédible en la matière.
Si ma grand-mère avait des roues, ça serait un autobus, et je pourrais partir en excursion dans les Hautes Alpes avec elle.
Tu veux dire que je devrai revoir mes priorités sur les chaises depuis que mon voisin à tabassé sa femme à coup de chaise ?
Non. Lecture partielle et partiale. Il est fait mention d’information mais sans support apparent. Hors-sujet. Je ne souhaite pas m’exprimer davantage sur ce fil de discussion.