GuiGui's Show

Réponse : oui si le système de fichiers peut être élargi / agrandi, non sinon.

Notre supervision nous alerte : bien qu'il y ait assez d'espace libre sur un système de fichiers ext4, le nombre d'inodes libres vient de passer en dessous de 20 %. Après vérification, l'apparition soudaine de plein de petits fichiers est légitime. Peut-on avoir plus d'inodes sans détruire les données ?

Je l'ai déjà écrit : un fichier se résume à un identifiant que l'on nomme inode (le numéro d'inode d'un fichier s'obtient avec la commande stat). Dans un système de fichiers, on a donc une table des inodes. Plus d'inodes permet de stocker plus de fichiers, mais cela nécessite une table des inodes plus grande, ce qui réduit l'espace disque réellement utilisable pour le stockage des fichiers. Moins d'inodes = moins de fichiers = une table plus petite = plus d'espace libre.

Le nombre d'inodes est fixé à la création d'un système de fichiers. Il ne peut pas être modifié par la suite. Il est automatiquement calculé en fonction de la taille totale du système de fichiers (un inode par tranche de xxxx octets disponibles sur le support de stockage ‒ mais attention, cela ne signifie pas qu'un inode gère / est responsable d'un fichier d'une taille inférieur à xxxx octets, non, il est l'identifiant de tout un fichier, peu importe sa taille ‒), voir le manuel de mkfs.ext4. Il est possible de le forcer avec le paramètre « -T » de mkfs.

Donc, le nombre d'inodes varie en fonction de la taille du système de fichiers. Sur un disque de 2 To, un ratio largefile (un inode par tranche de 1 Mo) procure environ 1 907 324 inodes. Sur un disque de 142 Go, ce paramètre procure environ 145 000 inodes.

Pour avoir plus d'inodes, et si c'est possible, il suffit d'agrandir la partition et le système de fichiers.
Si ce n'est pas possible, il y a rien à faire, un formatage sera nécessaire.

Pour retrouver le ratio octets/inode d'un système de fichiers déjà créé : df => prendre le nombre de blocs de 1 ko. Multiplier ce nombre par 1024 (on a donc le nombre de blocs de 1 octet). Récupérer le nombre total d'inodes avec df -i. Diviser le premier nombre par le deuxième. Attention : il ne faut pas mélanger ce ratio avec la taille d'un inode que l'on récupère avec tune2fs -l. Un espace de stockage plus grand pour chaque inode permet de stocker des métadonnées supplémentaires concernant un fichier, comme des attributs étendus.

Je tente de prendre la main à distance sur plusieurs serveurs winwin en utilisant le protocole RDP.

Que ce soit avec vinagre ou remmina sur un Debian GNU/Linux Buster, ça ne fonctionne pas : le logiciel me présente le certificat x509 du serveur, je l'accepte puis, pouf, le logiciel se ferme sans afficher un quelconque message d'erreur.

Il suffit de lancer vinagre en ligne de commande pour obtenir la cause du problème :

[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - The host key for <nom_serveur>:3389 has changed
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - @    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - Someone could be eavesdropping on you right now (man-in-the-middle attack)!
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - It is also possible that a host key has just been changed.
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - The fingerprint for the host key sent by the remote host is c0:09:d0:6c:0e:89:00:d9:05:c3:99:a3:02:f1:c9:3d:31:a5:76:ff
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - Please contact your system administrator.
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - Add correct host key in /home/guigui/.config/freerdp/known_hosts2 to get rid of this message.
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - Host key for <nom_serveur> has changed and you have requested strict checking.
[19:50:00:388] [23196:23196] [ERROR][com.freerdp.crypto] - Host key verification failed.
[19:50:00:388] [23196:23196] [WARN][com.freerdp.crypto] - The VerifyChangedCertificate callback is deprecated, migrate your application to VerifyChangedCertificateEx
[19:50:01:574] [23196:23196] [ERROR][com.freerdp.crypto] - certificate not trusted, aborting.
[19:50:01:574] [23196:23196] [ERROR][com.freerdp.core] - freerdp_set_last_error ERRCONNECT_CONNECT_CANCELLED [0x0002000B]

OK, l'empreinte de la clé publique du serveur a changé. Pourtant, j'ai validé le certificat x509…

Au final, étant certain qu'aucune attaque était en cours et n'ayant pas envie de me faire ennuyer par des serveurs winin dont je ne suis pas l'admin, j'ai rm /home/guigui/.config/freerdp/known_hosts2.

Reste à comprendre pourquoi la clé de plusieurs serveurs winwin a changé. Je me connecte très rarement sur ces serveurs, donc il est très probable que la clé + le certificat x509 ont été renouvelés automatiquement… mais dans ce cas, freerdp, la bibliothèque de fonctions utilisée en sous-main par vinagre et remmina devrait prendre en compte mon acceptation du certificat x509 présenté. Ça sent le bug dans la remontée de l'info jusqu'à la bibliothèque.

Ma gonzesse, celle que j'paye avec, j'l'confesse, tes impôts de prolos, wohohoho
Ma gonzesse, celle que j'paye avec, j'l'confesse, tes impôts de cocos, wohohoho

À propos de l'affaire Fillon. :D
Toute façon, tu me mets une chanson de Renaud et je suis en transe. :D

Désactiver l'enregistrement de la consommation horaire d'éléctricité sur un compteur Linky + effacer l'historique.

Attention : le reste du flicage reste actif et intact, seul l'enregistrement de la conso horaire cesse.

Le PRM (nouveau nom du PDL avec le passage à Linky) est indiqué sur les factures et sur l'afficheur du Linky (il faut simplement faire défiler le menu avec les touches + et -). Aucune autre info est demandée. Ça veut dire que l'on peut désactiver le flicage horaire sur tous les compteurs situés dans les parties communes (ce que j'ai fait, ne sachant pas sur quel compteur je suis). Je me demande s'il y a une notification SMS / email / autre (je ne suis pas le détenteur du contrat, je ne peux pas vérifier). À la fin, un PDF confirmant l'enregistrement du refus est proposé au téléchargement.

Concernant les enjeux derrière Linky, j'ai écrit ça : Linky : et si nous utilisions les bons arguments contre lui ? Réduction des coûts, chômage, risques pour la vie privée et guerre de l'énergie entre riches et pauvres.

Via https://ecirtam.net/links/?AMlOCg .

Au Sénat, Apple et Google ont rappelé leurs engagements écologiques
‒ Bon sang ! Même au Sénat on se tape des publicités intrusives

Gros +1. Jolie manière de rappeler le côté marketing-pipeau des déclarations publiques de toute société commerciale. :)

Via https://www.nextinpact.com/article/44337/flock-vous-entend-crier .

Conversation entre amis. Tel projet de piste cyclable dans le coin fait débat.

Ma réponse : « Qu'est-ce qui ne fait pas débat ?! Débattre moins, s'ébattre plus ». Dans tous les sens du terme : s'amuser, sexe, joie de vivre, exprimer sa fantaisie.

Après coup, je me rends compte que ça sonne très Noël Godin. :)

On m'a dit de partager, donc je partage.

• Archive tout ce qui a un rapport avec l'anarchisme : livres, brochures, archives personnelles de militants, affiches, tracts, cassettes vidéos, photos, cartes postales, etc. ;
  
  
• Les adhérents (30 €/an minimum) peuvent emprunter les documents archivés. Un catalogue en ligne est disponible. Comme tous les moteurs de recherche de bibliothèque, il est pénible à utiliser. Je te conseille vivement d'utiliser la recherche multi-critères même si tu cherches sur un seul critère + de ne pas utiliser les expressions booléennes : la pertinence sera au rendez-vous alors que la recherche simple me retourne plusieurs centaines de résultats pour un titre d'ouvrage… ;
  
  
• Publie. Un bulletin thématique sur un événement anar, une bibliographie et une filmographie annuelle, une feuille d'informations mensuelle.
  
  
• Situé à Marseille.

Si j'en crois Gronews, Emmanuel Macron écoutera désormais le peuple et lui répondra honnêtement. \o/

(Voix off) On entend parfois qu'Emmanuel Micron manque d'humanité. Il a, en tout cas, répondu, cette semaine, en face à face et avec honnêteté aux Grolandais qui le prenaient à partie.
‒ Il faut nous aider, monsieur le président.
(Micron) ‒ Que puis-je faire pour vous ?
‒ J'viens de le dire, nous aider, on est à bout, on s'en sort plus, l'hôpital meurt
(Micron) ‒ Je n'ai pas pu saisir votre demande, veuille réessayer ultérieurement.
(Voix off) Il a également rencontré les jeunes des cités avec qui il a échangé en toute simplicité.
(Micron) ‒ Bonjour, en quoi puis-je vous aider ?
‒ Y'a pas d'boulot, j'trouve-nous du taff
(Micron) ‒ Je n'ai pas compris, veuillez répéter.
‒ On veut du boulot !
(Micron) ‒ Je n'ai malheureusement pas pu saisir votre requête.
(Voix off) Avec les paysans du salon de l'agriculture…
‒ Monsieur le président ? Faut nous aider, là ! On s'en sort plus ! On crève !
(Voix off) … à qui il a même proposé des solutions
(Micron) ‒ Votre demande a bien été enregistrée. Un conseiller va venir vous répondre. Votre temps d'attente est estimé à… 2 ans.
‒ Il nous prend pour un con, il se fout de notre gueule, hein ?!

Gros +1.

Il y a tout dans ce sketch : le chef qui comprend rien aux questions des grouillots, le renvoi habituel à la prochaine mandature, et la référence à "un problème = un numéro vert ouvert par le gouvernement".

Dans ma courte introduction à nftables, la plus récente interface utilisateur pour piloter Netfilter, le pare-feu de Linux, j'indique que, pour supprimer une règle de filtrage, il faut récupérer son numéro interne (handle) puis demander sa suppression avec ce numéro.

Depuis, je me demandais comment vont s'adapter les outils comme fail2ban, qui font aujourd'hui des iptables -A INPUT -s <IP> -j DROP + iptables -D INPUT -s <IP> -j DROP, c'est-à-dire un retrait en citant mot pour mot la règle ajoutée.

J'ai pensé aux ipsets, mais ils semblent être incompatibles avec nftables.

Guerby m'a apporté la réponse sans que je la cherche : il faut utiliser les ensembles nommés (named sets) de nftables. Ainsi, on n'ajoute pas une règle de filtrage dans le moteur de filtrage, mais une IP (ou un port, une interface réseau, etc.) à un ensemble.

Exemple d'utilisation :

# « flags interval » permet d'ajouter des réseaux / préfixes, voir https://serverfault.com/questions/978113/hello-nftables-named-sets-that-match-network-prefixes-though-filter-or-variables
$ sudo nft add set ip filter testSet { type ipv4_addr\; flags interval\;}

$ sudo nft add element ip filter testSet { 192.0.2.0/24, 198.18.0.14 }

$ sudo nft list set ip filter testSet

$ sudo nft delete element ip filter testSet { 198.18.0.14 }

# Il faut d'abord créer la table, puis la chaîne, puis associer la chaîne à un hook du noyau, etc., ça, ça ne change pas
$ sudo nft insert rule ip filter INPUT ip saddr @testSet counter drop

Après avoir utiisé jq pour manipuler du JSON en ligne de commande afin de construire une carte OpenStreetMap des câbles sous-marins d'Internet (voir mon turoriel de prise en main de jq), j'ai dû manipuler du XML en ligne de commande. Notamment, j'avais besoin d'utiliser le langage de requêtage XPath.

Le logiciel xmllint (paquet Debian libxml2-utils) convient à mon besoin. Après coup, un collègue m'a conseillé xmlstarlet (paquet Debian xmlstarlet). La sortie de xmlstarlet est clé en main pour un usage traitement automatique de données, voir la fin de ce shaarli.

Regardons un cas d'usage concret.

Je veux analyser la sortie du sous-module stat du module rtmp pour nginx (paquet Debian libnginx-mod-rtmp dans les backports). Pour activer ce sous-module, il faut ajouter les lignes suivantes dans l'hôte virtuel désiré :

location /stat {
    rtmp_stat all;
    allow 127.0.0.1;
    deny all;
}

Le XML renvoyé par le module RTMP a cette structure :

<?xml version="1.0" encoding="utf-8" ?>
<rtmp>
[…]
  <server>
    <application>
      <name>live</name>
      <live>
        <stream>
          <name>test</name>
          […]
        </stream>
        <stream>
          <name>test2</name>
          […]
        </stream>
        <nclients>4</nclients>
      </live>
    </application>
    <application>
      <name>show</name>
      <live>
        <stream>
          <name>test_mid</name>
          […]
        </stream>
        <stream>
          <name>test_high</name>
          […]
        </stream>
        <stream>
          <name>test2_mid</name>
          […]
        </stream>
        <stream>
          <name>test2_high</name>
          […]
        </stream>
        <nclients>4</nclients>
      </live>
    </application>
  </server>
</rtmp>

Je veux récupérer le nom de tous les flux reçus à l'instant T (en vrai, il s'agit de points de terminaison actifs). Comme les différents débits (medium, high, etc.) d'un même flux ne m'intéressent pas, je me concentre sur le premier bloc « application ».

La requête XPATH est donc celle-ci : « //server/application[1]/live/stream/name ».

Exécuter la requête XPath avec xmllint : wget -q -O - https://monserveurnginx/stat | xmllint --xpath "//server/application[1]/live/stream/name" - (le « - » final demande à xmllint de lire l'entrée standard).

Exécuter la requête XPath avec xmlstarlet : wget -q -O - https://monserveurnginx/stat | xmlstarlet sel -t -v '//server/application[1]/live/stream/name'.

Je vois une différence entre xmllint et xmlstarlet : le deuxième donne directement la valeur de plusieurs éléments ayant le même nom, une valeur par ligne, donc c'est simple d'itérer dessus.

Avec xmllint, on peut utiliser la fonction XPath « text() », mais alors le nom de plusieurs flux sont chaînés sans espacement, ce qui rend impossible un traitement humain ou automatisé. La fonction XPath « string() » affiche uniquement la valeur du premier élément trouvé. Bref, j'ai rien trouvé de satisfaisant avec xmllint.