Il y a des fuites sur ce forum.
Quelle surprise de voir ce lien en fouinant par hasard sur waah.info . Ça fait tres plaisir!
Il y a des fuites sur ce forum.
Quelle surprise de voir ce lien en fouinant par hasard sur waah.info . Ça fait tres plaisir!
c’est pas moi
il faudrait lui dire que c’est en développement
Pas moi non plus. Déjà que je me suis retenu d’intervenir (j’aurais été beaucoup plus virulent que Michel : je suis foncièrement contre les scripts de configuration automatique, je les place dans le même sac que les interfaces d’administration genre ISPConfig et consorts, [size=80]autrement dit le meilleur moyen pour un newbie d’avoir l’impression d’une machine qui marche alors qu’en réalité il ne la maîtrise pas et donc qu’elle va exploser à la première occasion…[/size]), mais comme dans l’absolu c’est un effort louable j’ai préféré pas foutre ma merde.
Bon courage !
[quote=“syam”]Pas moi non plus. Déjà que je me suis retenu d’intervenir (j’aurais été beaucoup plus virulent que Michel : je suis foncièrement contre les scripts de configuration automatique, je les place dans le même sac que les interfaces d’administration genre ISPConfig et consorts, [size=80]autrement dit le meilleur moyen pour un newbie d’avoir l’impression d’une machine qui marche alors qu’en réalité il ne la maîtrise pas et donc qu’elle va exploser à la première occasion…[/size]), mais comme dans l’absolu c’est un effort louable j’ai préféré pas foutre ma merde.
Bon courage ![/quote]
Merci!
Oui, tu a en partie raison. Mais ici je souhaite juste donner une base solide et minimale pour une utilisation domestique (je vais déjà trop loin avec mediagoblin). Je pense que plus on “répandra” l’auto-hébergement, mieux ce sera d’un point de vue liberté (et pas seulement logicielle).
Cependant, tu marques un point : un avertissement serait de mise dans le script.
@agensteel : oui, c’est ce que je me suis dit juste après m’être réjoui : ça va trop vite là, ce n’est pas encore 100% fiable.
C’est bien pour ça que je dis que c’est un effort louable, et que je me suis abstenu de venir polluer ton fil avec mes grognements.
Mais je ne peux pas m’empêcher de penser que ce genre d’outils est un piège à newbies, et que ça fait autant de mal que ça ne fait de bien (dans des catégories totalement différentes hein, mais c’est jamais drôle de lire un débutant tout paniqué qui te dit qu’il s’est fait hacker son serveur et que du coup il envoie 500 mails à la minute, ou pire qu’il a perdu ses données – sans sauvegarde bien sûr).
Non, c’est même carrément nul!
Je voudrais à tout prix éviter ce genre de choses.
Qui plus est, je suis bien conscient ne pas être omniscient sur la sécurisation d’un serveur.
Je compte sur les types comme toi pour améliorer les fichiers de configuration proposés par le script afin qu’il corresponde à un des objectifs principaux : Configuration minimale mais suffisamment sécurisée
Du coup pour waah.info, je leur ai envoyé un message pour qu’ils puissent ajouter quelques précautions.
[quote=“thuban”]Je voudrais à tout prix éviter ce genre de choses.
Qui plus est, je suis bien conscient ne pas être omniscient sur la sécurisation d’un serveur. [/quote]
AMHA c’est très difficile à automatiser correctement : chaque service peut être correctement sécurisé, indépendamment, mais l’ensemble peut quand même avoir des problèmes (exemple bidon sans réfléchir spécialement : ton SSH est correct mais fail2ban ne suit pas ; c’est un peu à côté de la plaque mais tu vois l’idée générale : interactions entre différents composants).
Autant quand on configure tout à la main et qu’on y passe suffisamment de temps on peut arriver à un résultat correct, mais un script c’est vachement limité par rapport à un cerveau humain, c’est beaucoup plus dur d’avoir une vue d’ensemble…
Et forcément plus le script simplifie les choses pour l’utilisateur, plus il doit devenir complexe et donc plus il y a de “corner cases” qu’on oublie, donc de failles. (ouais c’est une vision pessimiste mais vu le nombre de bugs que je produis à l’heure ces derniers temps, j’ai des raisons de l’être )
Vu comment l’autre fil évolue ça a l’air bien parti (même si je ne suis que de très loin).
En ce qui me concerne faut pas encore trop compter sur moi en ce moment. Je sors tout juste la tête de l’eau (du taf), va encore me falloir un moment pour reprendre ma respiration.
[quote=“syam”]
Et forcément plus le script simplifie les choses pour l’utilisateur, plus il doit devenir complexe et donc plus il y a de “corner cases” qu’on oublie, donc de failles.[/quote] Ça, j’ai jamais prétendu que ça pourrait être facile.
Pour ton exemple avec fail2ban et ssh, là s’il y a un problème, c’est plus relatif aux programmes eux mêmes. Pour le coup je fais confiance aux empaqueteurs debian.
[quote=“syam”]
En ce qui me concerne faut pas encore trop compter sur moi en ce moment. Je sors tout juste la tête de l’eau (du taf), va encore me falloir un moment pour reprendre ma respiration. [/quote]
T’en fais pas, je te titille, mais moi même il va falloir que je me calme, les conseils de classe arrivent à grand pas
À chacun son rythme.
Oui c’est pour ça que je disais que c’était un peu à côté de la plaque comme exemple, mais j’avais pas mieux sous la main (on fait ce qu’on peut hein ). C’était surtout pour illustrer le principe de l’interaction entre différents services, où la config de l’un influe sur celle de l’autre (genre tu changes le port SSH mais tu mets pas à jour le port protégé par fail2ban, il pourra bannir autant d’IPs qu’il veut sur le port 22 ça servira à rien si ton SSH est sur le port 8022). Tu vois l’idée quoi.
Oui c’est pour ça que je disais que c’était un peu à côté de la plaque comme exemple, mais j’avais pas mieux sous la main (on fait ce qu’on peut hein ). C’était surtout pour illustrer le principe de l’interaction entre différents services, où la config de l’un influe sur celle de l’autre (genre tu changes le port SSH mais tu mets pas à jour le port protégé par fail2ban, il pourra bannir autant d’IPs qu’il veut sur le port 22 ça servira à rien si ton SSH est sur le port 8022). Tu vois l’idée quoi.[/quote]
Je vois surtout que c’est une des choses que j’ai oublié de préciser dans le script. Merci! Ça tient en 1 ligne mais fallait y penser.
J’aurais du écrire ce script lorsque j’ai mis en place le serveur. Parce que là j’oublie des détails comme ça.
Par ma foi ! Je trouve des bugs sans que j’en susse rien…
[quote=“syam”][quote=“thuban”]Je voudrais à tout prix éviter ce genre de choses.
Qui plus est, je suis bien conscient ne pas être omniscient sur la sécurisation d’un serveur. [/quote]
AMHA c’est très difficile à automatiser correctement[/quote]
Non, l’automatisation c’est ce que fait tout admin sys qui gère un parc un peu grand et on a des tonnes d’applis pour ça. Le problème n’est pas vraiment l’automatisation, mais la souplesse que l’on veut donner ou pas.
Grosso modo en automatisant tout, c’est un peu comme si tu fourni une appliance ça marche sans se prendre la tête, mais tu as pas ou peu de contrôle sur ce qui est fait. La possibilité pour l’utilisateur de manipuler directement les configurations ça ça peut poser un problème, mais c’est lui qui touche sans connaître. D’autre part on ne peut pas vouloir que ces pratiques se démocratisent sans être simplifier.
Je suis persuadé qu’il n’est pas nécessaire de connaître le fonctionnement des bascules logiques pour avoir une machine chez soit qui permet de recevoir ses mails (les « box » pourraient très bien le faire). Ma critique portait plus sur l’implémentation que l’objectif.
Si je ne participe ce n’est que sur le dév et pas sur la partie admin qui m’intéresse assez peu.