Le fil des beaux gosses linuxiens, v2 où comment installer LFS sur BTRFS en RAID10

[Mayalabielle]

Si tu utilises ip a, tu utilises ip route show pour les routes

Ouaip, vielle habitude que j'ai encore quand j'explique mais plus devant le terminal

[rOut]

J'ai fait des trucs random. Ajouter des lignes deb et deb-src en remplacant jessie par sid dans mon source.list. Fait aptitude update puis aptitude dist-upgrade. Ca a bien mouliné j'étais dans la partie install quand je suis parti faire autre chose. Je reviens, mon écran en veille et mon écran de login fou comme si un chat invisible super rapide s'amusait à essayer de rentrer des mots de passes. J'avais pas le temps de taper le mien, j'ai fait "log in as other user" et j'ai éteint la machine au bouton power comme un sauvage.

Ils sont où les logs d'install ? Je suis toujours sous firefox esr, ce qui laisserait penser qu'il ne s'est rien passé. Pourtant le fond d'écran a changé et j'ai l'appli "software" qui est apparue.

Je pense /var/log/aptitude. Maintenant si tu refais aptitude dist-upgrade tu verras s'il reste des trucs pas finis.

Firefox-esr remplace iceweasel je crois, mais c'est pas aussi à jour que firefox tout court.

[Laya]

Au faite Møgluglu, j'ai installé gnome-shell sur ma partition manjaro (arch linux) est le scroll sur le alt-tab est bien présent.

[weedkiller]

Je pense /var/log/aptitude. Maintenant si tu refais aptitude dist-upgrade tu verras s'il reste des trucs pas finis.

Firefox-esr remplace iceweasel je crois, mais c'est pas aussi à jour que firefox tout court.

Merci beaucoup, le log est bien arrivé à z et dist-upgrade a fini. Pour l'instant j'ai l'impression d'être sous fedora 25 (J'ai pas lancé software ). Et dmesg/lspci ont l'air un peu différent d'avant niveau matériel, mais j'ai toujours les mêmes erreurs sur le wifi. Pas de régression fonctionnelle en tout cas.

[rOut]

Du coup j'ai vraiment pas d'idée.

Les erreurs là dans dmesg, ça veut dire en gros que la carte ne se comporte pas comme attendu alors qu'il essaie d'activer le wifi (state 4 == STATE_RADIO_ON):

Code:

[ 9.418242] rt2x00mmio_regbusy_read() Indirect register access failed: offset=0x00002100, value=0xffffffff
[ 10.300741] ieee80211 phy0: rt61pci_wait_bbp_ready: Error - BBP register access failed, aborting
[ 10.300751] ieee80211 phy0: rt61pci_set_device_state: Error - Device failed to enter state 4 (-5)

[Nono]

Bonsoir,

J'ai une amie qui est passé à Linux. Elle a un disque externe de 500Go, et elle ne sait pas quel format utiliser pour que ce soit facilement utilisable sous Linux pour sauvegarder ses fichiers. Elle le trimballe aussi chez des amis qui ont d'autres systèmes (Windows, Mac OS).

Quel format lui conseillez vous ? NTFS ? exFAT ? Autre ?

[Tramb]

Le safe bet pour l'interop partout, c'est exFAT, à mon avis.

[Cwningen]

Il y a pas des problèmes de brevets avec le exFAT ? C'est disponible de base sur toutes les distributions ?

[Mayalabielle]

Le safe bet pour l'interop partout, c'est exFAT, à mon avis.

De mémoire, sans aucune prise de tête, genre pas un driver à installer etc... sur GNU/Linux, macOS et Windows, je dirais : FAT32.

[MacadamMassacre]

Protip : On est dans la moitié de la deuxième décennie du 21ème siècle, les fichier dépassants les 4Go sont monnaie courante.

[rOut]

Histoire de faire avancer le débat, je vais dire NTFS. J'ai jamais essayé exFAT, et comme dirait l'autre au sujet de FAT32, les gros fichiers ça arrive de plus en plus. Surtout sur des disques externes que l'on utilise pour partager ses distribs linux avec les copains/ines sous Windows ou OSX.

[MacadamMassacre]

Que ce soit exFAT et NTFS, ça tourne au poil, j'ai rarement eu besoin de mettre les mains dans le cambouis, mais je ne réponds que pour Windows et Linux, je ne croise jamais de Macs d'où le fait que je n'ai rien dit tout à l'heure.

[Cwningen]

J'ai testé exFAT avec Fedora, il faut installer le paquet fuse-exfat, et de ce que je vois sur le web c'est pareil avec les autres distros. Mais comme Linux ne fait pas parti de la liste des systèmes de tes amis, ça devrait être acceptable : pas besoin d'installer des pilotes chez eux.

[Olorin]

Histoire de faire avancer le débat, je vais dire NTFS. J'ai jamais essayé exFAT, et comme dirait l'autre au sujet de FAT32, les gros fichiers ça arrive de plus en plus. Surtout sur des disques externes que l'on utilise pour partager ses distribs linux avec les copains/ines sous Windows ou OSX.

Il me semble que de base MacOS ne sait toujours pas écrire sur du NTFS.
Donc ouais, exFAT est probablement la meilleure solution, manip à faire uniquement sur linux.

[Mayalabielle]

Protip : On est dans la moitié de la deuxième décennie du 21ème siècle, les fichier dépassants les 4Go sont monnaie courante.

Ce qui ne change pas le fait que nativement, sans installation de paquets supplémentaires, c'est FAT32 qui marche partout.

[Møgluglu]

Au faite Møgluglu, j'ai installé gnome-shell sur ma partition manjaro (arch linux) est le scroll sur le alt-tab est bien présent.

Merci, mais moi c'est les onglets (de porc) à la (mi)molette que je veux.

Edit: cela dit ma machine a crashé hier ce qui m'a donné l'occasion de rebooter et rouvrir une session, maintenant le bug des scrollbars GTK3 à 2,5 pixels du bord est corrigé. Bon, ça vient avec une régression qui ignore mon réglage "comme avant", mais c'est toujours ça de pas-perdu.

- - - Updated - - -

Ce qui ne change pas le fait que nativement, sans installation de paquets supplémentaires, c'est FAT32 qui marche partout.

FAT12 aussi, à condition que tu formattes en simple face simple densité.

[Tramb]

Mais exFat est pas limité à 4GiB, MacadamMassacre, tu dis ça parce que tu le savais pas ou parce que, en pratique, les implémentations le sont (c'est une vraie possibilité, j'en sais foutre rien) ?
(Et tu ferais mieux d'écouter Camera Silens que les BxN :D)

[Tramb]

Merci, mais moi c'est les onglets (de porc) à la (mi)molette que je veux.

Ca va que t'es meilleur en informatique qu'en boucherie
Je vais me faire un filet mignon de dorade.

[raaaahman]

J'ai avancé sur mon problème. Il se trouve que j'avais le parefeu (iptables) qui bloquait la majorité des sorties, comprenant le ping. Maintenant j'arrive à ping les adresses IP, mais les noms de domaines me renvoient "unknown host"...

Quelqu'un aurait une liste des connexions de bases pour un serveur web et les protocoles+ports qui correspondent?

Sinon après un dig de www.google.com j'ai:

Code:

;; global options: +cmd
;; connection timed out; no servers could be reached

et dans mon resolv.conf

Code:

; generated by /sbin/dhclient-script
search local ovh.net
nameserver 213.186.33.99

Et un ping depuis mon serveur perso vers le nameserver fonctionne.

[Mayalabielle]

Quelqu'un aurait une liste des connexions de bases pour un serveur web et les protocoles+ports qui correspondent?

HTTP, port 80
HTTPS, port 443

Pour le reste, peux tu paster l'output d'un iptables -nvL

[raaaahman]

Ce sont les règles que j'ai créées après un flush, les règles de l'installation (OVH) bloquaient la majorité des communications sortantes, ce qui me bloquait les tentatives de ping et de wget...

Spoiler Alert!

Code:

Chain INPUT (policy DROP 2532 packets, 96171 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5634 5656K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    3   180 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:xxx state NEW,ESTABLISHED 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 1783 packets, 373K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5094 5642K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp spt:xxx state ESTABLISHED 
    3   252 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 

Chain f2b-ProFTPD (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain f2b-SSH (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain f2b-dovecot (0 references)
 pkts bytes target     prot opt in     out     source               destination

[rOut]

Merci, mais moi c'est les onglets (de porc) à la (mi)molette que je veux.

Edit: cela dit ma machine a crashé hier ce qui m'a donné l'occasion de rebooter et rouvrir une session, maintenant le bug des scrollbars GTK3 à 2,5 pixels du bord est corrigé. Bon, ça vient avec une régression qui ignore mon réglage "comme avant", mais c'est toujours ça de pas-perdu.

- - - Updated - - -



FAT12 aussi, à condition que tu formattes en simple face simple densité.

Moi j'ai ça https://addons.mozilla.org/en-US/firefox/addon/6501 pour Firefox. Après j'avoue que j'ai bizarrement jamais ressenti le même besoin pour les autres applis.

[Mayalabielle]

Ce sont les règles que j'ai créées après un flush, les règles de l'installation (OVH) bloquaient la majorité des communications sortantes, ce qui me bloquait les tentatives de ping et de wget...

Généralement, pour plus de clarté, je met une policy accept en OUTPUT :

Code:

iptables -A OUTPUT -J ACCEPT

Résultat du peux sortir et faire ce que tu veux ?

[raaaahman]

Oui en effet avec ACCEPT en policy OUTPUT le ping fonctionne correctement, mais y'a pas de soucis de sécurité en ouvrant toutes les sorties?

Je m'étais rendu compte du problème quand j'arrivais pas à récupérer des paquets avec wget, comme il passe par http, j'imagine que je dois autoriser ce protocole en input du coup, comment je peux tourner cette permission sans ouvrir le port à n'importe qui?

Merci en tout cas, rien que détailler la procédure de debug ça m'a été d'une grande aide.

Sinon je suis toujours preneur de lien de tuto concernant la mise en place de serveur linux accessibles aux débutants. Je me passe les vidéos de Grafikart parce que les autres ressources que j'ai trouvé c'est du guatémaltèque pour moi...

EDIT: Une dernière question con après je vous laisse glisser sur la banquise: si je veux travailler les sites sur mon PC de bureau, comment faire pour que mon serveur apache ne permette pas aux pirates de s'introduire? Même mesures de sécurités que pour le serveur distant? Vaut-il mieux que m'installe un serveur virtuel?

[Mayalabielle]

Oui en effet avec ACCEPT en policy OUTPUT le ping fonctionne correctement, mais y'a pas de soucis de sécurité en ouvrant toutes les sorties?

En théorie et a ma connaissance non.

Pour expliquer simplement mon point de vue, il y a deux type de connexions sortantes :

1. Réponse à une requête reçu en INPUT
2. Connexion du serveur à une ressource distante

À la règle 1 s'applique une règle de base : ne répondre qu'aux requêtes légitimes. En conséquence, tu vas t'assurer qu'en INPUT tu autorises seulement des ports ou un daemon écoute derrière. Idéalement, ce daemon est cloisonné (je ne parle pas de cloisonnement fort type VM ou conteneur mais d'un cloisonnement léger, exemple : l'utilisateur qui exécute le daemon doit être non privilégié et dédié à la seule tâche d'exécution du dit daemon de mémoire nginx, apache, postgresql etc.. ont cette possibilité).

Ensuite, tu as deux écoles :

1. Je ne répond qu'a des requêtes légitimes et je suis certain que mon serveur se connecte à des ressources fiables (ex: dépots de paquets) : ACCEPT sur le traffic sortant
2. Je ne répond qu'a des requêtes légitimes et je me connecte a des ressources que je sais fiables mais je veux tout contrôler : DROP sur le traffic sortant

À titre personnel, je suis plutôt pour la première solution, elle simplifie grandement l'écriture des règles et facilite donc le débug. De plus tu peux ajouter des solutions filtrante en INPUT pour affiner la sécurité de manière dynamique (port-knocking, fail2bon, SSHGuard etc...)

Je m'étais rendu compte du problème quand j'arrivais pas à récupérer des paquets avec wget, comme il passe par http, j'imagine que je dois autoriser ce protocole en input du coup, comment je peux tourner cette permission sans ouvrir le port à n'importe qui?

Tout à fait, et pour cela, tu peux utiliser la notion d'état, et de suivi des états, proposé par iptables. Par exemple, pour autoriser les flux entrants sur des connexions déjà établies :

Code:

iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

Ce qu'il va se passer quand tu feras ton wget :

1. Ton serveur va initier la connexion, ça va passer car la policy ACCEPT en OUTPUT n'est pas bloquante
2. La connexion va être "ÉTABLIE" et le retour sera accepté en INPUT par la règle spécifiée plus haut
3. Tu wget bien ton machin

Sinon je suis toujours preneur de lien de tuto concernant la mise en place de serveur linux accessibles aux débutants. Je me passe les vidéos de Grafikart parce que les autres ressources que j'ai trouvé c'est du guatémaltèque pour moi...

Tu peux regarder du côté des Cahiers de l'administrateur Debian : https://debian-handbook.info/browse/fr-FR/stable/

EDIT: Une dernière question con après je vous laisse glisser sur la banquise: si je veux travailler les sites sur mon PC de bureau, comment faire pour que mon serveur apache ne permette pas aux pirates de s'introduire? Même mesures de sécurités que pour le serveur distant? Vaut-il mieux que m'installe un serveur virtuel?

Tu es sur ton réseau local qui normalement n'est pas joignable depuis l'extérieur. Tu es "protégé" par un système simple qu'on appel le NAT (Network address translation https://fr.wikipedia.org/wiki/Networ...ss_translation) si tu as laissé ta box en configuration par défaut tu as l'équivalent d'une POLICY DROP en INPUT. Par contre, tu peux installer à une machine virtuelle, pour tes dev, pour te rapprocher d'une situation de serveur de "prod".

[raaaahman]

C'est super bien expliqué, merci!

[Mayalabielle]

C'est super bien expliqué, merci!

Cool

[TarteAuxFleurs]

Salut les canards !
Je voudrait savoir comment vous installez debian sur votre machine ? Vous la récupérez où l'ISO ?
Parce que j'ai récupérer un fichier d'installation "minimale" et même en ayant sélectionné l'environnement graphique Debian, je me retrouve avec un vieux terminal dégueulasse. En plus l'OS plante quand je fais un ls
J'ai jamais eu de problèmes pour installer des distributions issues de ubuntu et ses dérivés (Xubuntu, etc.).
Et vous utilisez quoi comme émulateur de terminal ? Je voudrait un truc simple, et qui marche bien. C'est pour aller avec i3 en window manager.
Merci

[Cwningen]

Pour l'iso : http://cdimage.debian.org/debian-cd/.../amd64/iso-cd/ (le site est compliqué, trouvé l'image est l'étape la plus compliquée de l'installation debian). CD1 sans précision c'est pour Gnome. La netinstall permet de choisir le bureau au moment de l'installation. Pas besoin des CDs 2 et plus pour l'installation.

Pour les terminaux, tu peux essayer les classiques xterm ou urxvt. Perso, j'utilise Gnome donc j'ai gnome-terminal, je ne sais pas ce que les hipsters utilisent de nos jours.

[Athelas]

Ahahaha le vieux terminal dégueulasse...
J'utilise Yakuake qui a l'avantage de se camoufler dès qu'il n'est plus en cours d'utilisation, et que l'on fait réapparaître avec appui sur F12. C'est sympa, mais avec I3 j'avoue que je reste dubitatif pour le long terme, on aime ou pas...