le hollandais volant
Docu des années 1960 sur le futur, la robotique…



« un humain de l’an 2000 tels qu’imaginés dans les années soixante » (pour ceux que ça parle).
— (permalink)

GuiGui's Show - Liens
Monitorer son infra, ce n'est pas juste vérifier qu'une machine / un service est accessible. C'est aussi vérifier automatiquement que la conf' n'est pas trouée par des modifications ultérieures. Exemples : il faut vérifier que le smptd n'est pas un relais ouvert, que le récursif-cache DNS n'est pas ouvert, même chose pour snmpd, ntpd et d'autres...

Suite au passage à Jessie, Picomon (ordonnanceur de supervision ultra léger et KISS, voir http://shaarli.guiguishow.info/?QdWF1g) nous signale que notre smtpd ne répond plus comme avant au test de relais ouvert. En effet, postfix répond 454 (erreur temporaire, revient livrer ton mail plus tard) au lieu de l'habituel 554 (refus définitif, ce mail ne sera jamais accepté, arrête d'essayer).

Lisons les release notes :
« With Postfix versions before 2.10, the mail relay policy and spam
blocking policy were combined under smtpd_recipient_restrictions,
resulting in error-prone configuration.

As of Postfix 2.10, the mail relay policy is preferably implemented
with smtpd_relay_restrictions, so that a permissive spam blocking
policy under smtpd_recipient_restrictions will not unexpectedly
result in a permissive mail relay policy.

As of Postfix 2.10.0 the smtpd_relay_restrictions parameter built-in
default settings are:

   smtpd_relay_restrictions =
       permit_mynetworks
       permit_sasl_authenticated
       defer_unauth_destination

If your site has a complex mail relay policy configured under
smtpd_recipient_restrictions, this safety net may defer mail that
Postfix should accept. »

defer_unauth_destination = 454 ; reject_unauth_destination = 554.

Ce postfix n'est pas un relais légitime. De plus, ce comportement semble être temporaire afin de faciliter les migrations et je pense que les dev postfix passeront à reject_unauth_destination dans quelques temps. Donc autant le faire dès aujourd'hui.

Pour ce faire, on ajoute ce qui suit au main.cf :
« smtpd_relay_restrictions =
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unauth_destination »
Et on reload postfix.
(Permalink)

Les petits liens d'Alda
[ Trigger Warning : Description d'agressions sexuelles et commentaires misogynes qui en découlent ]

« That thing where you log in to the internet for a second and see people idolizing the guy who raped you as a feminist. That thing sucks. » - Stoya.

Depuis que l'actrice a dénoncé l'homme qui l'a violée, 2 autres actrices se sont exprimées sur les agressions qu'elles ont également subis par ce dernier. Il leur en faut du courage parce que contrairement à ce que racontent les mascus, les femmes ont une double peine : Après une agression elles doivent aussi subir le contrecoup misogyne qui leur rappelle leur place de « sous-être »
(Permalink) (Profil)

bookmarks
bootstrap transmission
(Permalink)

Passe-Temps
http://edenshard.bandcamp.com/album/revision-original-soundtrack
http://hexguibin.bandcamp.com/album/hex-guibin-ep
http://ypsilon5.bandcamp.com/album/binary-sky
http://protostarspace.com/album/stellarium
http://archive.scene.org/pub/music/groups/kahvicollective/va_kahvi_collective-kaen_interworlds.ogg
(Permalink)

Jcfrog's shaarli
(Permalink)

Jcfrog's shaarli
(Permalink)

GuiGui's Show - Liens
Le package puppet de Debian, c't'un peu le zouk... Y'a l'initscript et l'unit systemd sans compter le fait que puppet peut rester en démon après un lancement manuel... Autrement dit, c'est le bordel pour avoir un puppet agent qu'on lance uniquement à la demande (oui, on pourrait se poser la question de l'utilisation d'un autre logiciel de gestion de conf' plus approprié comme ansible mais pour l'instant, on veut juste achever notre migration Wheezy (+ dépôt apt puppetlabs) vers Jessie).

   1. Dans /etc/default/puppet, on vérifie que START=no est présent... sauf que, si ce fichier est bien lu dans /etc/init.d/puppet, la variable START ne sert à rien... Il faut donc virer l'initscript à la manière forte :
       * sudo /etc/init.d/puppet stop
       * sudo update-rc.d puppet remove
       * sudo rm /etc/init.d/puppet
       * sudo dpkg-divert --add --rename --divert /usr/share/puppet/puppet.initscript /etc/init.d/puppet

   2. On désactive ensuite l'unit systemd : « sudo systemctl stop puppet.service ; sudo systemctl disable puppet.service »

   3. On change aussi l'état interne de puppet : « sudo puppet agent --disable ». Lorsque vous voudrez lancer puppet, faîtes : « sudo puppet agent --enable && sudo puppet agent --server <server> -t ; sudo puppet agent --disable »

Normalement, « puppet agent --disable » devrait empêcher puppet de se lancer quel que soit l'origine de l'appel (systemd ou l'initscript) mais ce n'est visiblement pas le cas... La méthode présentée ci-dessus est clairement de l'acharnement thérapeutique mais à moment donné...
(Permalink)

le hollandais volant
Ça va, j’ai le droit d’utiliser un VPN sans que votre site refuse les connexions ?

Avec VPN : impossible à mettre dans le panier, impossible de voir son compte.
Sans VPN : passage nickel. Accès à tout.

Tain, fait chier quoi. Les sites de e-commerce en France c’est du foutage de gueule. Mais sortez de vos grottes à la fin !
— (permalink)

CAFAI Liens en Vrac
Les sénateurs Hervé Maurey (NC-UDI) et Patrick Chaize (LR) se montrent très critiques sur la façon dont le déploiement du très haut-débit et du mobile est menée en France, dans leur rapport présenté le 26 novembre. État et opérateurs en prennent pour leur grade.
(Permalink)

GuiGui's Show - Liens
lxc-list a disparu depuis lxc v1.

Pour remplacer :
   * lxc-ls -f : on voit tous les LXC, leur IPv4, IPv6, état, autostart ou pas
   * lxc-ls --running : montre que les LXC en cours d'exécution. Me raisonnement pour --stopped

Merci Johndescs‎ (http://jonathan.michalon.eu/blog_index.html)
(Permalink)

@jeekajoo links
via http://shaarli.fr/my/mayaj/?MaRKOw
(Permalink) (Profil)
Les Internets de MayaJ
(Permalink) (Profil)

Fou à lier
Je n'aime pas relayer un article du Point, mais celui-ci me fait rire : les écolos, qui ont votés presque comme un seul homme les lois les plus liberticides depuis 1950, découvrent que l'on peut les utiliser contre eux sous de faux prétextes. Alllo ?

via : https://twitter.com/LaurentBorredon/status/670452197134569473
(Permalink)

Fou à lier
Savoureuse réponse d'ATTAC à un tweet de Nicolas Sarkozy himself : "Nous allons devoir reconstruire l’école, les institutions, la société, la justice, le droit, la société, la politique et nos institutions !"
Réponse : "Devinez qui a supprimé 12000 postes dans la police, 80000 dans l'éducation, et veut reconstruire 2 fois la société ? "

Et bim.
(Permalink)

GuiGui's Show - Liens
« owner

This module attempts to match various characteristics of the packet creator, for locally-generated packets. It is only valid in the OUTPUT chain, and even this some packets (such as ICMP ping responses) may have no owner, and hence never match.
--uid-owner userid
   Matches if the packet was created by a process with the given effective user id.
--gid-owner groupid
   Matches if the packet was created by a process with the given effective group id.
--pid-owner processid
   Matches if the packet was created by a process with the given process id.
--sid-owner sessionid
   Matches if the packet was created by a process in the given session group.
--cmd-owner name
   Matches if the packet was created by a process with the given command name. (this option is present only if iptables was compiled under a kernel supporting this feature)
NOTE: pid, sid and command matching are broken on SMP »

On peut donc filtrer le trafic sortant sur l'uid et le gid du processus qui a créé une socket. Intéressant pour marquer les paquets pour ensuite faire de la QoS avec tc sur les protocoles qui ouvrent des trilliards de connexions sur des ports différents genre torrent, par exemple. L'ennui, c'est que sur un desktop, la plupart du temps, les programmes sont exécutés avec l'uid/gid de l'utilisateur courant, pas avec un utilisateur dédié... Oui, on peut lancer sudo -u <user> <programme> mais il faut que l'user ait un shell et tout donc boarf...
(Permalink)

GuiGui's Show - Liens
Si l'autocompletion d'une commande systemd (exemple : systemctl status dnssec-triggerd) ou l'exécution d'une commande systemd vous retourne cette erreur alors que vous venez à peine de mettre à jour votre système (de Debian GNU/Linux Wheezy à Jessie, par exemple), il est fort probable que le package « dbus » n'est pas installé... Il faut vérifier avec apt-cache policy dbus, installer au besoin et rebooter (pour que systemd devienne le nouvel init.
(Permalink)

Fou à lier
L'histoire retiendra que, le 20 novembre 2015, soit 7 jours précisément après les attentats de Paris, un premier ministre de la république a signé un décret d'annulation de 850 k€ de crédits aux services de police et de gendarmerie de son pays.
S'il pouvait y avoir une seule preuve que les mesures actuelles sont, sinon mauvaises, à tout le moins du vent, ce serait celle-là.

via : https://twitter.com/MaitreMo/status/670258527341060096
(Permalink)

Fou à lier
Quand le seul vieux politique à avoir encore sa raison s'appelle Dominique de Villepin, il y a un sérieux problème. Chaque phrase est juste, chaque mot est pesé. Il faut lire cet appel.

via : https://twitter.com/edwyplenel/status/669951114125705216
(Permalink)

Choses vues, sur le web et ailleurs
(Permalink) (Profil)

le hollandais volant
« Preparation time : 12-20 billion years »

Et pour les über-nerd, à couper selon cette méthode : http://lehollandaisvolant.net/?d=2011/09/24/21/49/52-couper-une-tarte-en-6-parts-egales (ou alors en 8 en utilisant l’angle de pi/4).
— (permalink)