"Exceeded MaxStartups" : erreur du monitoring sur des services ouverts sur le monde en SSH… jamais vu.
En fait il s'agit d'une limite pour éviter les DoS, ajoutée dans OpenSSH en… 2000, MaxStartups. En gros un mécanisme pour limiter puis interdire les nouvelles connexions lorsqu'il y en a trop d'ouvertes mais pas abouties simultanément.
J'ai passé le minimum de déclenchement de 10 à 15. À voir si ça suffit.
Et oui c'est sur un port différent de 22 (trolls proof). Et oui il y a déjà fail2ban, mais il faut croire qu'il a pas le temps de réagir.

« Il faut créer un «climat» propice au passage à l’acte, stigmatiser si profondément des catégories de population que leur déshumanisation devient une sorte d’évidence partagée. »

Je suis d'accord globalement avec l'article et la citation.
Par contre, ce que je trouve magnifique c'est que j'ai une grosse impression que ce qui est dénoncé ici est également pratiqué par ces mêmes personnes, sur d'autres catégories de populations. Et là ça devient moins rigolo. Faites ce que je dis, pas ce que je fais ?
Ah non mais je suis bête, quand c'est eux qui le font c'est pas pareil, là c'est factuel. Désolé pour le bruit.

Pour télécharger des vidéo derrière un paywall ou autre système avec identification, yt-dlp sait aller chercher les cookies dans les bases de données de la plupart des navigateurs. Ça a l'air trop bien et magique.
Sauf que moi, ça march(ait) pas.

Il se trouve que firefox ne stocke pas les cookies dans son fichier cookies.sqlite s'ils sont marqués avec validité "session". Ça se tient. Là on a deux solutions, soit on exporte les cookies et on utilise ce fichier avec yt-dlp, soit on enlève la marque "cookie validité session" au cookie qui va bien. J'ai pu faire cela avec Cookie Quick Manager (qui est une extension recommandée par mozilla, contraitement à export cookies).
Dès la case "isSession" du cookie décochée et le cookie enregistré via l'extension, il apparait dans la base sqlite et yt-dlp y a accès et fonctionne :)

Si jamais vous avez un "vieux" conteneur LUKS (chiffrement des données), il se peut que le discard/trim ne soit pas activé, ce qui est un peu dommage si vous l'avez sur un SSD.
Pour l'activer, il suffit de convertir le conteneur en LUKS2 et d'activer le discard dessus d'une manière ou d'une autre (j'ai choisi via les header, comme ça c'est toujours activé sur ce volume-ci).
Les distributions à jour ont toutes via systemd ou autre un cron/timer pour trim périodiquement (attention du coup ça ralentit les I/O un moment, genre si ça se déclenche quand vous démarrez l'ordi et la session, ça se ressent bien).

Commandes :
cryptsetup convert
cryptsetup --allow-discards --persistent refresh

Je viens de basculer mon fairphone 2 de Fairphone Open à /e/os plus ou moins suite au fait qu'il n'y aura plus de mises à jour (de sécurité) par Fairphone. Théoriquement /e/ prétend fournir encore au moins un an… à voir. Dépendra sûrement de ce qui est fait du côté de lineageOS. Et au passage on a android 11 (au lieu de 10).

Pour l'instant tout fonctionne bien. Les petits bugs que j'avais et qui étaient apparus au fur et à mesure des mises à jour ont l'air d'avoir disparu. Ils auraient sûrement disparu aussi en faisant une reset complet dans tous les cas mais tant qu'à faire et tout re-paramétrer, autant passer sur quelque chose qui aura des mises à jour.

Pour l'instant je suis plutôt content des choix faits par défaut. Le "launcher" (truc qu'on a en tant que "bureau") est un peu minimaliste mais bon. Et je trouve dommage que le navigateur par défaut soit un fork de bromite lui-même fork de chromium ; on reste donc sur du google quand-même (et du coup j'ai remis fennec).
Ils utilisent https://doc.e.foundation/app-lounge comme gestionnaire d'applications, qui permet de taper à la fois sur f-droid mais aussi sur le play store, soit avec son compte google soit en mode anonyme. Ça évite de se trainer un client f-droid et un aurora store pour les rares applis que j'utilise et qui sont que sur le play store.

Bref pour l'instant que du bon. Pas de révolution non-plus par rapport à l'OS d'avant qui était déjà dépourvu des gapps.

EDIT 26/06/23 : /e/os n'est pas vraiment dépourvu des gapps, un sous-ensemble y est via migroG. On a donc les messages push, la localisation dans les appli passant par les gapps etc. Signal par exemple n'a plus recours à sa tâche de fond et ne vide plus la batterie à cause de ça.

Je suis allé à la Fnac, et j'ai voulu en profiter pour acheter vite-fait une souris, car celle de tous les jours commence à avoir des problèmes de clic.

Déjà je suis un vieux con, je veux une souris basique et surtout filaire. Non parce que gérer des batteries pour ça… pas possible.
Je tourne en rond dans le coin "high tech", il y a des souris disséminées un peu partout (ouais parce que y'en a avec un tampon "compatible chromebook" donc sous les chromebook, les microsoft avec les tablettes surface etc.) donc casse-pieds. Il y a un rayon logitech, mais la première est à 25€ et toujours sans-fil. Je veux juste de quoi cliquer tranquille et grand max jouer de temps en temps à 0ad donc vraiment rien…
Après il y a toutes les souris "gamer". Filaires. Toutes. MAIS… la première est à 35€, et a des LED de partout…

Du coup ça me saoule, et je regarde sur le site de la Fnac directement, pour voir comment ça se passe et ne pas me laisser contredire si je demande à un vendeur. Je trouve une souris gamer qui n'a pas trop de LED partout à… 16.99 et marquée dispo en rayon.

Fort de cet exemple je m'enhardis à demander au mec, qui m'explique que olala filaire basique nope, et me propose celle que j'avais vu au rayon "gamer" en me disant bien qu'elle clignotte de partout (oui je sais ça se désactive sûrement mais j'ai pas envie de devoir passer par une VM Windows pour juste configurer ma souris, sérieusement).

Je lui mets donc sous le nez ma "trouvaille à l'arrache sur le site" en lui disant que ça m'irait déjà mieux. Il me dit que celle-là, il en sait rien, mais ce qui est sûr c'est qu'il ne l'a pas à son rayon. Voir au rayon jeux vidéo…

Je monte donc section jeux vidéo, je vois quelques casques mais aucune souris. Je demande donc au mec de ce rayon qui me dit direct que non mais là c'est jeux vidéo y'a pas de souris lol. Je lui mets donc mon exemple sous le nez en lui disant que l'autre vendeur m'avait envoyé chez lui. Et là surprise, il me dit que ah oui non mais celle-là elle est bien chez lui, derrière dans la réserve… ! Donc impossible à trouver sans passer par le site. Et là il part me la chercher.

Au final bien saoulé j'ai pris ça… à 19.61€ malgré l'affichage sur le site. Donc j'ai quelques boutons en plus et une souris un peu plus "ergonomique" dans la bataille, pas si mal mais pfiouh.

Moralité, faites comme tout le monde et commandez sur amazon…

J'ai dû déposer mon père, handicapé, à la clinique pour une infection à la main.

Déjà les parkings sont tout petits. Le grand parking est loin avec une navette… relou avec un handicapé en déambulateur. Le petit parking est loin des portes, avec un grand espace juste vide (même pas vraiment de plantes, ça doit être une fournaise en été). Donc le temps de sortir de la voiture et marcher leeeentement, il s'écoule bien un quart d'heure. Sauf que le parking est payant au-delà de 20 minutes. Et pas juste symboliquement à genre 1€ les 3h comme ailleurs, non, c'est 1,5€ toutes les 10 minutes. On n'est donc pas tranquille, et il faut passer le relais rapidement à un autre accompagnateur non-conducteur. Ou payer ce qui n'est pas forcément un problème en soi mais j'ai symboliquement du mal avec cette idée.

Ma mère a téléphoné au truc spécialisé mains avant d'y aller pour savoir quoi faire, vu que ça traine depuis 2 semaines, c'est pas une urgence. On lui a apparemment dit d'aller voir un doc tout de suite, mais pas aux urgences. Sauf qu'une fois sortis de la voiture, il y avait rien d'autre que urgences d'un côté et rdv de l'autre… et les deux ne sont pas dans le même bâtiment. Elle a donc dû aller demander côté rdv si c'était là pour qu'on lui dise d'aller aux urgences… donc nouvelle séance de déambulateur.

Sauf qu'en entrant par la porte du côté de l'autre bâtiment, on n'arrive pas exactement aux urgences, et quand on sait pas, on fait pas forcément la différence… sauf que l'accueil de l'autre côté n'ouvre qu'à 14h. Elle a donc attendu 14h pour qu'on lui montre le passage qui permet d'aller de l'autre côté aux urgences.

Moi pendant ce temps j'étais allé au parking des urgences, sauf que rebelotte, parking payant. Avec tout un mode d'emploi affiché uniquement au moment de prendre son ticket. J'ai donc lu le panneau en entier, pour découvrir tout en bas que le parking était au final gratuit pour les gens qui allaient aux urgences !
Seulement ça n'a pas été du goût de la personne derrière moi qui m'a klaxonné… oui j'avais oublié que je devais être le seul débile à vouloir savoir à quelle sauce il allait être mangé avant d'entrer dans un truc avec barrières…
Alors déjà, on ne klaxonne pas en ville. Et ensuite, on ne klaxonne pas devant un hôpital. Surtout pour rien (ou éventuellement "gagner" 3 secondes de sa vie).

La borne pour ouvrir la barrière de sortie est atroce : on arrive dans un tournant vers la droite donc compliqué de se coller à gauche pour mettre le ticket. L'affichage est correct sauf la dernière phrase qui demande de retirer le ticket qu'on a inséré et que la machine nous rend (pour rien, on ne peut plus rien en faire). Cette ligne est illisible, donc j'ai attendu sans comprendre pourquoi la barrière ne s'ouvrait pas, car elle ne s'ouvre qu'une fois le ticket repris. Et en plus la barrière est installée sur une pente en arrière qui rend difficile de s'ajuster (celui devant moi a galéré). Sur un terrain tout neuf, plat, issu d'une friche industrielle, aucune excuse. Et on débouche (en pente donc) sur une piste cyclable avec des buissons qui masquent l'arrivée potentielle de vélos.

Je sais que je suis un relou des choses optimisées mais pour une clinique très récente, c'est juste triste de voir combien les petites choses n'ont pas été pensées pour les usagers… les normes des fois c'est ingérable, mais là ça manque carrément.

Les machines virtuelles (KVM en tous cas) peuvent lentement perdre du temps sur leur horloge et être de plus en plus en retard. Il semblerait que ce soit dû au fait que les interrupts virtuels ne sont pas forcément pile synchronisés (ce qui parait logique : si l'hyperviseur est en train de faire autre chose lui-même il ne pourra pas synchroniser toutes ses VM à temps).

Une horloge matérielle est émulée, mais elle n'est lue qu'au démarrage de la VM en général. On pourrait périodiquement aller la lire mais pas très propre.

On peut bien sûr juste laisser les VM se synchroniser elles-mêmes, mais si on est derrière un firewall ou qu'on essaye de limiter au maximum les accès réseau par exemple avec un firewall agressif sur les VM, c'est dommage.

Une solution est de laisser les hyperviseurs se synchroniser depuis Internet en NTP (ou pas si derrière un firewall bien sûr, mais du coup de la manière normale en interne), et de relayer cela aux VM, toujours en NTP. Les hyperviseurs sont donc juste relais. Mais il faut pour cela soit qu'ils aient soit une adresse IP virtuelle, soit systématiquement les ajouter tous dans les configurations des VM. On évite ainsi que chaque VM aille interroger individuellement les serveurs de temps. Il faut toujours ouvrir le firewall des VM, mais "seulement" vers les hôtes. Par contre la configuration change si on change d'hôtes sans IP virtuelle.

Une autre solution proposée ici est d'utiliser un mécanisme de précision entre l'hôte et les VM proposé en kvm par le module ptp_kvm. Cela fonctionne comme une source de temps, via un dev. Comme fonctionnerais une source GPS.
Dans ce cas, rien ne sort de la VM au niveau réseau, pas de trafic dupliqué vers l'extérieur ni de charge inutile, et rien à configurer de plus sur les hyperviseurs.

Script rapide de passage de NTP avec systemd-timesyncd ou chrony (comme souvent par défaut sur Debian et RedHat-like) à PTP, à faire sur la VM elle-même (rien à faire sur l'hyperviseur, en tous cas avec proxmox7) :

-#- charger le module et l'ajouter au boot
echo ptp_kvm | sudo tee /etc/modules-load.d/ptp_kvm.conf
sudo modprobe ptp_kvm

-#- passer à chrony si pas déjà fait et le configurer sans NTP mais avec PTP (dépend de la config précédente pour la partie désactivation du pool NTP)
sudo apt install chrony
echo "refclock PHC /dev/ptp0 poll 2" | sudo tee /etc/chrony/conf.d/phc.conf
sudo sed -i 's/^pool/#pool/g' /etc/chrony/chrony.conf

-#- recharge de la configuration
sudo systemctl restart chrony

-#- commandes de test
timedatectl
chronyc sources

Haha dans windows pas-serveur, c'est le même code pour RDP (l'accès bureau à distance intégré à windows) mais il est bridé à une seule connexion à la fois par choix de licencing. Sauf que des gens ont du coup développé un proxy multiplexeur, ou même trouvé les octets à changer dans la lib pour débrider ça… c'est magnifique. :)

J'ai testé KDEConnect, ensemble logiciel libre qui permet d'appairer des ordinateurs entre eux et de remonter des infos, partager des liens ou des fichiers et éventuellement piloter certaines choses dans un sens ou dans l'autre.

Je précise tout de suite que même si conçu dans l'environnement de bureau KDE et utilisant ses bibliothèques, cela fonctionne sur d'autres environnements et soi-disant même sous Windows.

J'ai testé pour pouvoir lire/écrire les SMS via mon téléphone Android directement depuis l'ordinateur (comme à l'époque avec airdroid, avant que ça devienne usine/fermé). Ça fonctionne. D'un côté sur l'ordinateur avec la version empaquetée dans Debian Bullseye, de l'autre avec l'apk fourni via f-droid sous Android 10.

J'ai aussi essayé le ping dans un sens et dans l'autre, la fonction de sonnerie à distance pour pouvoir retrouver son téléphone, et le partage de presse-papier.

Attention, si on ne fait pas attention, le partage de presse-papier fonctionne vraiment, donc par exemple si on copie un mot de passe sur son ordinateur, il sera visible du téléphone, ce qui n'est pas forcément souhaitable.
De la même manière, quand je regarde une vidéo dans Firefox, elle devient disponible sur le téléphone (je ne sais pas exactement qui remonte l'info, de où et comment).
J'ai aussi une notification quand la batterie franchit le seuil de 15% en décharge.

Il y a beaucoup de fonctionnalités. Je n'ai pas tout testé. La remontée de notifications en tous genre, le contrôle multimedia, des appels téléphoniques etc. ne m'intéressent pas forcément.

À noter que l'interface pour lire et écrire les SMS est très basique (commande kdeconnect-sms) et met parfois un peu de temps à charger le contenu au démarrage. À noter aussi qu'en passant par là, on court-circuite le mécanisme d'accusés de réception de l'appli SMS de base.

Je n'ai pas vraiment su/pu quantifier s'il y avait une différence d'utilisation de la batterie notoire.

Si on n'a pas d'applet indicator ou KDE plasma, je n'ai pas vu comment lire la charge batterie du téléphone autrement qu'en ligne de commande en interrogeant DBus.
https://gist.github.com/tsjnachos117/8231f9f8ed08968cc5f1a7f4d3e06b0e
gdbus call --session --dest org.kde.kdeconnect --object-path /modules/kdeconnect/devices/{id unique}/battery --method org.freedesktop.DBus.Properties.Get org.kde.kdeconnect.device.battery charge

Voilà un peu mon tour de la chose des derniers jours, globalement ça fonctionne quand même plutôt bien. Il y a une implémentation pour le GNOME shell aussi, gsconnect que je n'ai pas testé, n'étant pas sous ce shell.

Vieil article (déjà presque 10 ans !) qui récapitule les infos sur le TRIM (libération explicite de blocs d'espace de stockage, principalement pour les SSD).

J'ai testé sur une ancienne VM à moi, qui a subit plusieurs déménagements et upgrade (Debian Jessie à la base, Bullseye maintenant).
Pour avoir accès au TRIM à tous les niveaux, il faut bien l'activer dans crypttab (une VM Bullseye fraiche l'a de base). Il faut bien faire l'update-initramfs. Le reste ne semble pas nécessaire, mais peut tout de même être utile, comme par exemple pour libérer la place non-allouée d'un LVM (fstrim n'agit que sur des systèmes de fichiers montés).

Par exemple, pour purger l'espace non-alloué d'un LVM, j'ai utilisé la méthode bourrin d'ici : https://unix.stackexchange.com/questions/97143/utility-to-trim-unallocated-space-on-drive après bien sûr avoir activé l'option de discard automatique dans lvm (qui était désactivée, et l'est toujours dans un Debian Bullseye frais).
sudo lvcreate -l100%FREE -n blkdiscard VirtualPenguin
sudo lvremove VirtualPenguin/blkdiscard

27G -rw-r--r-- 1 john john 50G Feb 20 17:53 vm-111-disk-0.raw
15G -rw-r--r-- 1 john john 50G Feb 20 17:58 vm-111-disk-0.raw
=> je gagne bien une allocation de 12 Go, quand mon LVM a 12 Go non-alloués.

À noter qu'un Debian Bullseye a un timer systemd prédéfini pour lancer fstrim toutes les semaines. Ce timer est cependant désactivé quand on vient d'une upgrade (de Buster).

Pour voir où on peut fstrim (et donc voir à partir d'où ça coince dans l'empilement de couches logiques), lsblk -o NAME,DISC-MAX,FSTYPE est pratique (à peine modifié de l'article).

Attention à ne pas se laisser avoir par un dry-run (-n) de fstrim : il dira ne rien avoir TRIM, mais on pourrait supposer comme moi qu'il dirait ce qu'il aurait pu TRIM…

À mon sens, fstrim remplace donc avantageusement un zerofree + fallocate -d (pas d'écriture) mais ne travaille que sur des systèmes de fichiers montés, donc il faut penser au reste.

Mon serveur perso depuis plus de 10 ans (même si rebrand) se base sur cette carte mère. Elle avait déjà été changée sous garantie car ne voulait pas démarrer.
J'ai eu le problème la semaine dernière de nouveau. L'astuce donnée ici (3 ou 4 retraits et insertions du jack d'alimentation) fonctionne ! Il semblerait qu'une capa tantale serait la cause…
Du coup, serveur plus très fiable… mais problème relativement "gérable" vu qu'avant la coupure de courant qui a révélé le problème, il avait plus de 500 jours d'uptime.

Attention : si on modifie la commande forcée liée à la clef SSH (command=) utilisée pour la connexion ControlMaster, il faut relancer la connexion, le fichier n'est pas relu.

Ne pas oublier que pour un service systemd, stdin est /dev/null… sinon on peut passer du temps de debug bizarre au moment où on veut passer un script en service systemd… ici socat, qui y est très sensible puisque c'est son seul taff (de gérer des flux).

Je voulais pouvoir fournir un flux d'informations d'un script shell (bash) à quiconque voudrait le recevoir et jouer avec.
Forcément, on pense à un fifo en premier, mais les write sont bloquants. A priori pas simple le O_NONBLOCK en bash.
Ensuite on pense à des socket UNIX, sauf que c'est celui qui écoute qui la crée, et on ne peut pas écouter à plusieurs.
Ce thread fait un peu le tour. Une proposition parle de détourner UDP pour ça, car en mode datagram les paquets sont envoyés sans connexion, donc peuvent être perdus.
Avec socat c'est très facile (udp-datagram / udp-recv). Et l'envoi n'est effectivement pas bloquant. Par contre si on écoute à plusieurs sur le port, en mode reuseport, on n'a pas de duplication mais un balancing. La duplication s'effectue en mode broadcast (possible sur 127.255.255.255 par exemple).

socat udp-recv:3333,reuseport -
socat - udp-datagram:127.255.255.255:3333,broadcast <<< coucou

Ho sympa ça, l'implémentation OpenSSH permet de créer une connexion persistante "ControlMaster" qu'on pourra utiliser par la suite pour aller taper régulièrement sur un serveur sans à chaque fois refaire la connexion à zéro (et donc spammer les logs, manger la latence etc.).

Lancée via autossh, on a donc une sorte de connexion permanente et qui doit être résiliente en cas de coupure (volontaire ou panne).

Donc WDS c'est le nom d'une "techno" pas standardisée, que beaucoup de fabriquants d'antennes (wifi) implémente à sa sauce mais donc pas compatible entre eux. J'ajouterai que si t'es un gros malin comme moi et l'active d'un côté de ton pont wifi mais pas de l'autre, bah ça pas marche non plus :)

En gros ils se débrouillent pour rendre les antennes transparentes sur le LAN, en ne modifiant pas l'adresse MAC des paquets alors que les antennes sont en réalité en intermédiaire. Comme un switch quoi.

J'ai testé avec et sans, et effectivement avec j'ai bien la MAC du client derrière le pont d'antennes qui remonte jusqu'au bout. Pourquoi pas, c'est toujours ça de charge en moins et ça aide au débug.

Effectivement cohérent avec les observations : les gens qui se réclament de gauche ont assez souvent un langage dogmatique et qui peut sembler irrationnel, de la même manière que ceux qui se réclament d'une religion établie. Chacun sa came, mais même s'il n'y a pas de tampon "religion" on reste quand même souvent enfermé dans sa sphère de croyances…

Debug résal des deux derniers jours, on a (re)vu plein de notions, et appris quelques commandes/sysctl sympas !

Pour faire suite à ce "rant" : j'ai eu un 2e courrier A/R via ce site. Sauf que à la fin du premier A/R, ils proposent de créer un compte et d'obtenir une sorte de "certificat" (rien à voir avec x509) permettant de s'identifier via OTP. On nous envoie un PDF avec un QRcode et un code OTP, qui sont supposés fonctionner avec google authenticator (crade) mais aussi avec freeOTP (dispo sur f-droid).
J'ai tenté cette méthode pour le 2e courrier, et en 30 secondes ça a fonctionné. Juste bien. Comme quoi tout n'est pas toujours pourri sur toute la ligne.
Alors oui l'identification d'un envoi sur une boite mail avec un PDF contenant les infos OTP dans la même boite mail… ça devient totalement bidon : si je me suis fait pirater ma boite mail entretemps (et que je n'ai pas supprimé le mail), les loustics peuvent s'identifier à ma place. Il n'y a pas besoin du mot de passe du compte AR24 pour valider le courrier. Mais au moins ça ne fait pas chier (et de toutes façons, je rappelle que c'est du bidon dans mon cas vu que cet expéditeur m'envoie le contenu en clair dans un autre mail séparé…).