Logo journal du hacker middle
  1. -

    Superbe article, ça donne envie d’en tester des nouveaux.

    Personnellement j’ai choisi authelia depuis un moment, déjà j’ai pas beaucoup d’utilisateurs (moins de 10), et il est plutôt pas mal aussi pour l’utiliser en authentification proxy, pour sécuriser des pages qui ne gèrent pas l’authentification, et le fichier yaml me va très bien, en mode gitops, c’est top. Autrement, il est possible de modifier le css sans recompiler le binaire, y’a une option qui permet d’indiquer où se trouve les fichiers static. Ensuite dans la roadmap, on voit qu’ils sont en train de dev une UI d’administration, j’ai hâte de voir.

    Keycloak en pro, c’est top, je l’ai pas mal utilisé également, et j’ai l’impression qu’il n’y a pas mieux, par contre c’est plutôt lourd, surtout quand on commence à avoir plusieurs sources. Authentik j’avais pas accroché, trop lourd IDLE, et j’ai préférer donc keycloak.

    Le reste je ne connaissais pas, et j’avoue que casdoor me fait un peu de l’oeil

    1. 1

      restic + garage c’est le combo ultime, pas besoin de S3 chez Amazon comme fini l’article ..

      1. 1

        ou bien leur serveur de stockage exprès (rest-server). ^__^

        1. 1

          comme fini l’

          rclone tout simplement, je sauvegarde comme ceci sur un kdrive et un shadow drive avec le protocole webdav (pas le meilleur, mais ça fait le taf). C’est vrai cependant que s3 se porte bien au jeux des sauvegardes cependant.

          En service dédié, j’aime bien borgbase, qui est compatible borg et restic. Autrement les hetzner storagebox, pas trop cher, bonne volumétrie, et compatible rest-server par défaut.

        1. 1

          Merci pour l’article, Personnellement j’utilise restic avec resticprofile pour gérer la configuration via fichier yml, qui permets en plus de gérer les crontabs automatiquement, et des scripts pre et post exécution. Vraiment top comme outils.

          1. 2

            Très bon article sur un outil vraiment indispensable.

            Je l’utilise beaucoup pour de la sauvegarde avec restic, car avec serve, il est possible de créer une API spécialement pour restic justement.

            Petite fonctionnalités au top également, le fait de pouvoir créer un serveur s3 en une ligne de commande, pas fait pour de la production, mais top pour des petits test rapide

            1. 1

              Pour être honnête, ma boite rémunère les confs qu’on peux faire en tant que speaker, si c’est elle qui le demande (car ça fait de la pub). Ce n’est pas négligeable, c’est 400€ brut au dernière nouvelle, mais ça ne permets pas de triplé mon salaire, car j’en ai fait 2 en 3 ans. Par contre en soit, la prime n’est pas pour la conf en elle même, mais pour la préparation, et ce n’est pas toujours si cher payé. C’est d’ailleurs ce qui m’avait motivé à le faire, j’avais envie, mais toujours eu peur, et depuis, j’adore le faire, même si j’en fais pas autant que je voudrais.

              1. 2

                Encore un superbe article. Personnellement, pour la gestion des secrets, j’ai choisi external-secrets, qui est complètement pris en charge par argocd, ceci permets de générer des secrets kubernetes en fonction de diverse source (vault, scaleway secret, Azure KeyVault, passbolt etc …).

                1. 2

                  Merci, je ne connaissais pas. Le truc encore plus interessant, c’est que c’est simplement un script shell, et donc c’est assez simple de voir comment il fonctionne, et c’est vraiment tout con. Par exemple pour docker, il suffit de faire ceci :

                  if [ -f "${root}/.dockerenv" ] || [ -f "${root}/.dockerinit" ] || \
                     grep -qF /docker/ "${root}/proc/self/cgroup" 2>/dev/null; then
                      echo docker
                  fi
                  
                  1. 1

                    J’utilise de plus en plus cette possibilité. Notamment pour docker sur mon laptop, je n’en ai pas toujours besoin, et comme ça, dès que je tape une commande, il lance docker.

                    1. 1

                      Chapeau !!! De À à Y, franchement on est vraiment pas loin. Je ne m’y attendais, mais vraiment un superbe article

                      1. 1

                        C’est un peu ‘putaclic’ j’avoue :P Il me reste pleins de choses à creuser mais comme j’avais déjà Consul et Prometheus de “A à Y”, je voulais pas que l’article Vault se démarque.

                        Merci pour ton retour !! :)

                      1. 1

                        Problème de certificat depuis hier

                        Je n’ai pas lu l’article, mais cela fait déjà un moment que j’utilise infomaniak pour mes mails, et franchement c’est top, même niveau tarifs

                        1. 1

                          Bonjour, merci pour le signalement :)

                          Je renouvelle les certificats à la main (flemme d’automatiser) depuis plusieurs années, et c’est la première fois que j’oublie de les renouveler, désolé pour la gêne occasionnée :/

                        1. 1

                          ça dépends du contexte, en perso j’utilise sudo que pour certaine commande que j’ai autorisé. Si vraiment je dois passer root (ce qui est très rare), j’utilise su. Sinon en entreprise, étant dans une très grosse boite, nous n’avons rien trouvé de mieux que sudo pour l’élévation de privilèges.

                          1. 1

                            Dommage que vous n’enregistrez pas les mots de passe, j’y avais laissé un très beau message

                            1. 1

                              Pareil ;)

                              1. 1

                                On a hésité à les stocker pour voir vos perles mais on a trouvé que ça gâcherait la blague. Du coup on a opté pour que le formulaire n’envoie même pas l’info (le champ input n’a pas d’attribut name).

                            1. 2

                              Pour info, une instance Gitea peut servir de registry pour les images OCI sans problème.

                              1. 1

                                C’est ce que j’utilise personnellement

                              1. 1

                                Flatpak c’est pas mal dans deux cas de figure. 1) Quand il faut installer des bousins propriétaires comme Teams, Skype, Zoom ou Spotify, et 2) Quand on a une appli avec des dépendances complexes et qu’on n’arrive plus à compiler une version récente sur sa distrib (comme Darktable > 4.0 sur une base RHEL 8.x par exemple). Ce qui est bien avec Flatpak, c’est que ça t’installe toute l’appli dans une sorte de bac à sable à part, ce qui peut être une base pratique pour isoler certaines applis potentiellement intrusives comme Skype.

                                Ceci étant dit, la tendance des distributions à aller de plus en plus vers ce format (ou vers Snap) pour leurs “App Stores” me paraît assez funeste. Faudrait rappeler aux mainteneurs des distributions la signification de “partagées” dans “bibliothèques partagées”.

                                1. 1

                                  Je suis d’accord pour les Flatpak, très pratique pour les logiciels propriétaires.

                                  Le fait d’aller vers ce format est je pense la course à la nouvelle technologie. Si une nouvelle version d’un logiciel a besoin d’un Qt plus récent par exemple, il est pris directement via le framework disponible en flatpak et on peut s’affranchir d’une bibliothèque obsolète sur le système source. Je peux comprendre que certains restent sur une Debian stable par exemple tout en voulant des logiciels un poil plus récent qui corrigent parfois des bugs ou ajoutent des fonctionalités intéressantes. Dans le cas d’un LibreOffice sous Debian, il y a en effet les DEB du site tu me diras, mais s’il y a une bibliothèque pas assez récente sur le système, tu es coincé. Je privilégierais un Flatpak sur une base Debian au lieu d’un PPA ou dépôt tiers, qui causera, pour un logiciel, moins de soucis sur le long terme (car rappelons le, on n’installe pas son système toutes les semaines)

                                  1. 1

                                    Il y a aujourd’hui tellement de petits logiciels qu’il n’est plus possible pour les distributions de tout packager elle-même. Certains logiciels évoluent rapidement et c’est compliqué de les avoir à jour dans les distro (si déjà ils sont présents dans les dépôts car c’est pas forcément le cas).

                                    En tant que développeur d’application, je vois un autre intérêt à Flatpak : je peux packager moi-même mon logiciel d’une manière compatible avec toutes les distributions. À une époque j’avais un PPA pour Ubuntu, des paquets AUR pour ArchLinux, quelques RPM (pas trop dans les règles de l’art) pour Fedora / Mageia, etc. Mais je n’ai plus le temps de m’occuper de tout ça.

                                    1. 2

                                      Pour moi flatpak a 3 avantages :

                                      • Installer un logiciel si non dispo dans les repos officiel
                                      • installer un logiciel qui a des dépendances qui peuvent pourrir un système (du qt sur un DE/WM gtk ou inversement par exemple)
                                      • Permettre au Dev de packager pour tous, en attendant qu’un intégrateur* le package pour sa distribution, et c’est son taf, pas celui du Dev

                                      *Intégrateur/analyste/admin/what else hors Dev, c’est un Devops maintenant ^^, mais ceci est un autre débat

                                  1. 2

                                    Article super intéressant, merci !! Je pense que beaucoup, en changeant de boite ou même simplement de mission et donc de contexte se retrouve dans ce cas. J’ai moi-même aussi créer un brouillon y’a environ 2 ans pour parler de cela (beaucoup moins complet), ou j’ai commencé une nouvelle mission chez un très gros client (la DSI fait environ 1500 personnes), et se fut vraiment compliqué, surtout avec le télétravail. Mais j’y retombe encore aujourd’hui sur une nouvelle mission. Quand tu écris sur le fait de se faire démasquer, je me suis tellement reconnu, j’ai cette impression qu’on va voir que j’ai des lacunes, des incompréhensions, et tu te dis que les collègues doivent se plaindre dans ton dos de ton incompétences. Le seul truc qui remonte le morale, c’est quand c’est toi-même qui débug un collègue, ça fait du bien.

                                    Après ton dernier schéma est vraiment la vérité, du moins dans une bonne équipe, personne ne doit avoir la même compétence, mais tout le monde doit être complémentaire.

                                    Sur ceux, merci pour cette article, ça permets de moins se sentir seul dans ce cas.

                                    1. 3

                                      Je pense surtout que la demande de base est complétement infondée (j’ai le mot idiot en tête). Après, si on te paye pour faire le taff, tant mieux pour toi Pourquoi je trouve ça infondé ? On te demande de remplacer dans une recette de cuisine, une carotte par un chou. Spoiler : t’auras pas le même gout

                                      • Puppet fait de la conformation : tu lui décris CE QUE TU VEUX sur le serveur.
                                      • Ansible fait de l’orchestration : tu lui donnes des opérations à effectuer.

                                      Typiquement, puppet va te conformer le fichier A. Quelqu’un te modifie (erreur ou intention, légtitiment ou pas) le fichier A… ll va perdre sa modification au prochain run de l’agent. Question : tu vas vraiment lancé toutes les 30 minutes les playbooks ansible sur l’ensemble de ton parc ? Perso, je l’ai jamais vu. Résultat : Fichier A sera modifié et jamais remis à son état initial.

                                      Vala pour ma remarque ( et je redis : aucune critique sur toi, si le client paye… tant pis pour son choix, tant mieux pour ton compte bancaire)

                                      1. 1

                                        Globalement je suis d’accord avec toi, même si c’est faisable. D’ailleurs je l’ai vu chez un client, ils faisaient du ansible en mode pull, leurs vms étaient poussées directement avec ansible d’installés, et toute les heures elles allaient chercher leurs propres configuration.

                                        1. 1

                                          En terme de perf, ça tenait ?

                                        2. 1

                                          Oui tant mieux sinon de quoi vivrions nous. Sinon ta remarque est pertinente mais voilà Puppet disparaît petit à petit…

                                          1. 1

                                            Chez mon employeur actuel, on vient de faire l’inverse : Adieu Ansible et Go puppet. Pour la partie orchestration, puppet + choria fonctionne très bien

                                            1. 1

                                              Il en fait pour tous les goûts. Bonne chance

                                              1. 1

                                                une raison particulière à l’abandon de Ansible ?

                                            2. 1

                                              Ça arrive dans un contexte de rachat, les différentes équipes peuvent avoir à uniformiser les outils utilisés.

                                              Par contre, c’est pas de chance quand ça tombe sur un cas comme ça, avec deux outils dont le but est différent, et c’est celui qui n’est pas adapté au besoin qui est choisi pour rester ^^

                                              Chez nous, Puppet et Ansible sont utilisés tous les deux, mais pour des tâches différentes : Puppet gère la conf persistante (OS, packages, etc.), tandis qu’Ansible est dédié aux tâches “oneshot” (déploiement applicatif, déclaration dans l’AD, etc.).

                                            1. 1

                                              Comme je l’ai écrit dans l’article, je n’ai pas vu de référence au code source. Je serais intéressé par un lien qui confirme que c’est basé sur Nextcloud. Sur la page Wikipédia il est fait référence à une application mobile basée sur Nextcloud mais il est noté que la licence est propriétaire : https://fr.wikipedia.org/wiki/KDrive

                                              1. 1

                                                Je n’arrive pas à retrouvé l’article qui en parlait, mais je suis tombé sur ce tweet : https://twitter.com/infomaniak/status/1367755521491689472

                                                Apparemment il s’en éloigne, mais aujourd’hui, le client nextcloud (que j’utilise), fonctionne parfaitement sur kdrive.

                                                1. 1

                                                  c’est parce que la technologie utilisée derrière c’est webdav comme Nextcloud et Owncloud.

                                              1. 1

                                                Petite information, tout infomaniak ou presque est basé sur du logiciel libre, les mails, contacts, agenda ou même kdrive sont basé sur Nextcloud, le client de sync kdrive est basé sur Nextcloud client, le client de sync Xdav est basé sur davx5 etc… Le service mail est vraiment top, 5 adresses mail pour une 30ene d’euros par ans, avec chacun alias illimité, et on peux lié le compte smtp à un compte infomaniak ou non. De plus les domaines sont illimités chez eux.

                                                Franchement je n’ai rien trouvé de mieux pour le moment, à voir par la suite. Rien n’est écris

                                                1. 1

                                                  Ça passe aujourd’hui

                                                  1. 1

                                                    J’ai fais des modifications niveau ipv6, me soucis venais probablement de là

                                                  1. 1

                                                    Ça passe pas sur la 4g d’orange. Sur le wifi OK. Changement dans récent ?

                                                    1. 1

                                                      Faut que je regarde, j’ai une ip dynamique donc j’ai peux être eu un changement d’ip récemment. Pourtant chez gandi la réplication est rapide généralement. Effectivement sur la 4g d’orange ça passe pas, je viens de tester.