Salut Lord, j’ai bien aimé ton article ;)
Juste un bémol, relatif à ton bandeau défilant “No IA”… https://developer.mozilla.org/fr/docs/Web/HTML/Element/marquee Ni standard, obsolète, voué à disparaître !
PS : j’avoue, je ne la connaissais pas cette balise :p mais, apparemment, va falloir trouver autre chose…
Haa mais non je n’ai absolument pas l’intention de faire ça en css. Le marquee m’amuse pour son côté historique :-D
IMHO, avoir mis “Glances” dans Bureautique est un non sens ; ce serait plutôt “Supervision”, voire “Monitoring”…
J’ai connu ça aussi, et dans mon cas, fallait amener les bandes à la banque, dans leur coffre fort !!! À l’époque je travaillais sur AS400… Bref, je fais le même constat : c’est lent, c’est très cher, c’est une grande perte de temps, etc…
Linux Mint (version Xfce) a aussi ma préférence pour les béotiens ; l’expérience me montrant combien justement elle (r)assure ceux-ci. Pas compliqué, agréable à utiliser, répondant à la plupart des nécessités, etc…
Salut.
Dans Divertissement, tu peux allégrement rajouter ‘mcop’, un très bon lecteur audio CLI… https://moc.daper.net/
Richard: merci pour ce bon moment de partage. Bien que moi aussi neuroatp, mais pour d’autres raisons, je comprends tes sentiments exprimés ; et j’apprécie beaucoup. Toujours aussi agréable à te lire…
Personnellement, j’ai eu du mal avec cet article, avec sa “vision” très limitée - descriptive - de l’auto-hébergement.
le premier point que j’ai trouvé intéressant est le fait de mentionner qu’on fait avec ce que l’on a sous la main, de fait qu’il existe différentes solutions matérielles ET logicielles. mais :
Dire qu’en général, on tourne sous Linux pour de l’auto-hébergement ; je trouve cela aussi très réducteur. Ne pas mentionner les *BSD est une faute en soit, dont FreeBSD qui est très utilisé pour l’auto-hébergement, voire en solutions commerciales, bien plus que Linux. (à mon sens). (d’aucuns utilisent même NetBSD en ce sens… voire OpenBSD. Maintenant, il est vrai que ce sont des communautés très restreintes, très ciblées, voire élitistes)
Devoir utiliser fail2ban n’est pas la panacée, et me fait toujours l’effet d’un pansement appliqué sur une plaie béante. Quant je vois comment le parefeu sous OpenBSD, à savoir PF, est capable de faire de la mitigation de ce genre d’exploits et autres tentatives, je reste surpris de la nécessité de ce genre d’outils sous Linux.
Après je rejoins l’avis de Lord aussi, faire de l’auto-hébergement, et se reposer sur certaines solutions nommées, me semblent hors du propos ; tu deviens dépendant de ces grands aspirateurs à données.
Pour finir, tu as raison de dire que l’objectif de l’auto-hébergement est d’apprendre, mais ce n’est qu’un des objectifs, le principal étant d’héberger ses propres données, quelque soit le service actif “derrière” ; mais je ne suis pas certain que ton expérience après plusieurs années soit l’itération qui restera réaliste pour d’aucuns. (personnellement, je trouve que tu te “compliques” la vie, avec ce genre de solution, utilisant des tiers majeurs).
L’important est de trouver ce qui vous convient le mieux.
Absolument. Le “problème” si c’est en un vraiment, et d’apprendre à trouver ce qui nous convient le mieux ;) L’auto-hébergement est une solution qui permet de l’apprendre. :D
Je ne connais pas les SE BSD mais j’ai quand même envie de donner le mot de la fin (punch line). C’est spacieux et imposant mais c’est archaïque et limité. Tout repose dans les fondations. Trop rigide (ou monolithique). Évidemment difficile de changer un SE. Néanmoins, je pense que ce n’est pas aux utilisateurs d’ordinateurs de s’adapter. D’autant plus que, malgré une certaine notoriété, ils ne décollent pas pour le plus grand nombre. C’est le signe de quelque chose de fondamental. Une des raisons évidente est que le support ne suit pas (sauf pour les spécialistes), bien que les usages peuvent changer. Pour rebondir sur votre propos, on peut affirmer qu’utiliser une couche de compatibilité binaire dans le(s) noyau(x) BSD afin de pouvoir lancer de nouvelles applications (élaborées pour le noyau Linux) semble encore moins la panacée.
Quand on ne connaît pas, on ne donne pas son avis ; et on ne se fait pas son avis, sur ce qu’on ne comprend pas. :(
Quand on ne connaît pas… le mieux est de chercher à connaître et comprendre. ;)
De fait, je ne répondrais pas plus à cette ineptie, cette mascarade de raisonnement.
EOD.
Un avis reposant sur des constatations cela ne compte pas d’après vous. L’écosystème Linux est plus dynamique et varié, ou représentatif (pour moi, ou, selon moi). Pourquoi l’ANSSI n’a t’elle pas repris OpenBSD mais CLIP OS ? Ne pas répondre, c’est une question rhétorique (argument d’autorité).
Merci d’utiliser le biais cognitif d’argument d’autorité ; vous vous rendez compte que vous vous décrédibiliser par vos propres soins ?!
Vous vous rendez compte que vous comparez des informations complètement hors de propos l’une de l’autre pour essayer d’asseoir votre argument ?!
Bref…
Je sens que les esprits s’échauffent, je vous invite tous les deux à un dialogue dans le calme et le respect. Vous pouvez également échanger via les Messages privés du Jdh.
Tcho !
Perso, je suis très calme et tiens à le rester ;)
Et, je n’irais pas plus loin dans la discussion.
Merci pour ton retour ! Alors je n’étais peut être pas assez clair dans mon introduction, mais mon ambition n’était sûrement pas de faire un état des lieux du champ des possibles sur le sujet, mais plus de partager mon approche personnelle, avec mes choix, par rapport à mes besoins.
J’ai le sentiment de par mon expérience que les debian-like sont plus populaires en termes de volume d’utilisateurs, et si j’en crois les estimations ce ressenti semble plutôt vraisemblable. Après, je ne compare en aucun cas la qualité ou les fonctionnalités de l’une ou l’autre des solutions, je ne connais pas suffisamment les *BSD pour juger. Mais je me met en todo de tester FreeBSD prochainement ;)
Pour résumer mon expérience, j’ai testé différentes choses (clairement pas toutes !) et je suis arrivé aujourd’hui à un fonctionnement qui me permet de facilement expérimenter de nouvelles choses, et de répondre à mes besoins long terme qui sont en effet d’héberger différents services. Je m’essaye à l’exercice de partager cette expérience, à la fois pour la faire connaître et également pour en débattre et collecter d’autres retours d’expérience qui peuvent me faire découvrir de nouvelles manières de faire. Donc en tout cas, merci d’avoir pris le temps de me lire et de me répondre ainsi !
J’ai plusieurs ptites machines pour l’autohébergement :
Le tout est interconnecté avec du wireguard avec uniquement du logiciel libre et sans dépendances à des services extérieurs sauf pour le VPS (mais c’est fait par du gentil).
Jme lance ! J’ai un vieux dell optiplex fx160 reconditionné (acheté 50€ en 2017 sur ebay, 3Go de ram, un intel atom a330, un vieux hdd de 500go), debian, apache2, mariadb, sqlite, php & python.
Un site perso avec blog & liste des projets (php/mariadb/vanilla html & css), une instance nextcloud, deux/trois sites django, quelques sites très simples (html/css, voire juste du txt si bcp d’audience vu que j’ai un débit montant ridicule et que si j’envoie trop de données j’ai pu internet à la maison, et un ou deux ptits trucs avec un peu de php derrière mais pas grand chose).
Un uptime ? Il a planté juste tout à l’heure, donc 3h (mais avant on était à plus de 100 jours donc ça va). C’est pas grave si le site n’est pas accessible de temps en temps. Pas d’utilisation de cloudflare ou d’un autre truc externe non plus, ça fait 6 ans que j’autohéberge (environ) et ya jamais eu le besoin d’autre chose que fail2ban (pis bon la plupart du code est custom et aucun bot va aller s’amuser à tenter autre chose que des failles hyperconnues de frameworks dépassés, donc ça va jsuis tranquille).
J’ai 2 noms de domaines chez Gandi, j’utilise leurs zones DNS aussi avec leur api et des appels de temps en temps depuis mon serveur pour màj l’ip quand elle change.
Personnellement, comme tu l’as certainement compris, je fais ça sous OpenBSD.
Donc, @home, je me suis fait un NAS, avec chiffrement des données en RAID 1 (le fameux RAID1C) + backup (borg). Ce NAS est éteint la nuit, par soucis d’économie d’énergie et peu de nécessités réelles à ce qu’il soit fonctionnel alors qu’on dodote. Il peut faire aussi office de serveur multimédia… et bien d’autres aspects.
Et, pendant plusieurs années, j’avais aussi mes services DNS+Web (nsd, DNSSEC, …, Nginx) sur un serveur @home, qui aujourd’hui sont hébergés chez openbsd.amsterdam - location de VM OpenBSD sur serveurs OpenBSD. Le principe est que cela me coûte moins cher en matériel+électricité de louer ma VM que d’avoir à la maison (achat, entretien, …). Il n’en reste pas moins que c’est géré par mes soins. Les serveurs de mails relatifs à mes deux NDD sont aussi sous OpenBSD, avec l’outil principal qu’est OpenSMTPD, par un copain, @vinishor, serveurs lui aussi chez openbsd.ams.
À-propos d’un de mes deux NDD, pendant des années géré par Gandi, actuellement chez bookmyname. (pour des histoires de coût là encore ; depuis trois ans environ). L’autre étant un sous-domaine eu.org m’est totalement gratuit.
En amont de tout cela, j’ai un routeur, flashé sous OpenWRT, qui m’assure la protection “maison” dont j’ai besoin. (d’ailleurs, pour la même raison d’économie d’énergie, les deux puces Wifi sont éteintes la nuit logiciellement… )
Et sinon, y’a de l’auto-hébergement… sous OpenBSD. Et, perso, quand je compare à ce que je devais faire sous Linux (Debian/*Buntu), mon choix en restera là : OpenBSD.
Et, pour ceux qui veulent s’y mettre, @prx a écrit une excellent doc, en FR et en EN : https://si3t.ch/ah
IO
Blocky me semble être une alternative à Unbound, qui est hautement “paramétrable” aussi, non ?!
Unbound est un “vrai” résolveur DNS. Son boulot est d’aller interroger les serveurs roots puis de faire la récursion. Il peut également faire du blocage bien que ce ne soit pas dans ses fonctionnalités initiales.
Blocky lui n’est pas un vrai résolveur, il va par contre consulter des résolveurs (de ce fait je le qualifie de proxy). Par contre lui est vraiment taillé pour le blocage, du coup il sait charger des blocklist mais surtout il sait les mettre à jour de lui-même et régulièrement. Et il a pour gros avantage de pouvoir parler à plusieurs serveurs récursifs simultannément et ce via les nouveaux protocoles que sont DoT et DoH qui permettent de chiffrer la communication entre le résolveur et lui.
Du coup d’un point de vue extérieur les deux logiciels font sensiblement la même chose, mais sous le capot ça ne marche pas pareil.
Les deux ont leurs avantages.
Unbound permet de directement parler aux roots ainsi qu’au serveurs faisant autorité c’est donc un fonctionnement plus décentralisé. L’inconvénient c’est que du coup le trafic est en clair.
À contrario, blocky fait appels à des résolveurs extérieurs et donc plus centralisés (tout en permettant d’en utiliser de multiples et donc éviter de trop cette centralisation) mais avec du chiffrement.
unbound fait du DoT assurément, et même du DoH. ;)
Concernant les métriques, il semble possible de les envoyer au couple Prometheus/Grafana, aussi.
À-propos des listes de blocages, il est vrai qu’il faut mettre en place un script/système de màj par ses petites mimines, et redémarrer le service.
Oui il fait du DoT et DoH mais pas au même endroit, en gros tu te retrouves avec ça :
Serveurs roots + la récursion < – DNS en clair – > (X)|Unbound < – DNS / DoH / DoT – > clients
et avec blocky tu as
Serveurs roots + la récursion < – DNS en clair – > Résolveurs upstreams < – DNS / DoH / DoT – > (X)|Blocky < – DNS – > clients
Du coup au niveau de ton routeur (X), le trafic vu avec unbound sera du DNS en clair, alors qu’avec blocky ça sera du DNS/DoT/DoH donc potentiellement chiffré.
Ha bha je viens de voir ton article et je ne savais pas que Unbound pouvais parler à des résolveurs DoT ^__^
Absolument, et celui depuis quelques années maintenant… Tu comprends mieux ma “surprise” et mes questions ;)
Dans les faits, c’était “expérimental” début 2018 et vers la fin de ladite année est devenu “supportée”. Voilà !
Même si je ne l’ai pas exprimé, j’avoue avoir eu du mal avec ton commentaire précédent, puisqu’unbound est capable de communiquer en DoT, depuis l’année précisée ci-dessus. Il suffit de “pointer” vers des serveurs DNS gérant ce protocole. Bien-sûr, il gère aussi très bien les requêtes selon le chiffrement DNSSEC, et le fait même avec les serveurs DNS roots, sans aucun soucis.
J’utilise unbound pour la simple raison que le service est intégré nativement sous Open… BSD, depuis des années - c’est même là que je l’ai découvert ; quand je me suis mis à Open… WRT, j’ai cherché à l’utiliser logiquement.
Pour tout avouer, j’ai même intégré le proxy DoH dans OpenWRT ; qui me semble très bien fait, et qui intègre la possibilité de divers listes de filtrage, dont la plupart des serveurs DNS supportant DoH, supportent aussi DoT, voire se mettent même à faire du Quic-over-DNS. (d’où le partage de la liste dans mon article)
Ainsi, sans grande modification, j’ai dans mon OpenWRT, dnsmasq le chef d’orchestre qui forward en premier à unbound les requêtes DNS sur DoT - depuis mes deux sous-réseaux, Lan et Wifi -, et si pour une raison ou un autre, il bascule sur le proxy DoH, qui envoie/enverra les requêtes DNS vers plusieurs serveurs différents, sur les deux couches IPv(4|6). (“ceinture et bretelles”)
Voilà ! :D (tu sais tout… ou presque)
C’est quoi cette “popup” qui empêche volontairement de lire le contenu ?! (ou plutôt qui attire l’attention sur son propre contenu plutôt que le contenu principal de l’article)
Je n’ai pas personnellement envie d’avoir à subir ce genre de pratique.
Je n’ai pas envie d’avoir à répondre par “oui” ou par “non” - ou un équivalent - pour avoir accès au contenu d’un article.
Grrr…
PS : résultat des courses, je n’irais plus sur ton site ; c’était la première, ce sera la dernière :(
PS 2 : tu as la “chance” qu’on ne peut pas moinsser un contenu…
PS 3 : je suis vraiment surpris que ça ne dérange personne d’autres ici !
C’est la fenêtre qui s’ouvre tout le temps sur substack, qui à la base est un système de newsletter. La version web essaye donc de pousser les gens à s’inscrire pour recevoir des mails :P
Je n’ai pas de popup hormis celle qui demande de s’inscrire pour recevoir la newsletter par mail. Pour le coup c’est substack qui pilote sa plateforme, je n’ai pas la main dessus malheureusement. Je suis désolé que cela dérange.
Hello.
Bien vu, intéressant !
PS : à moins que ce ne soit une erreur voulue, mais : “Si vous avez envie d’esssayer” <= petit dérapage “sss” ;)
Bonjour.
Il manque au moins un mot dans le titre : “Quelques mots de sur le fonctionnement du CSS”…
Bonjour.
Sinon, il y a aussi “BorgWeb” - officiellement toujours en phase de developpement :
La page du wiki du projet sur Git recense tous les projets additionnels dont celui que tu décris :
Exact il y a plein d’outils, la doc ne manque pas. Pika Backup étant dispo en flatpak, on le retrouve partout sans prise de tête. Son interface simple comme le reste des applis GNOME fait qu’il est facile à prendre en main. C’est pour cela que je le présente sur mon site :)
Bjr.
On retrouvera quelques astuces autour d’Hugo que j’ai mis en pratique sur mon site (fait avec Hugo) :
(tout n’est pas parfait… mais bon, c’est déjà un bon départ)
;)
Merci pour le partage @ploum ;)
De l’intérêt d’utiliser des services identiques, mais fournis par les chatons…
De l’intérêt d’utiliser des serveurs DNS, tel ceux de la FDN :p