GuiGui's Show

«  B3. Why can't I mount more than 255 NFS file systems on my client? Why is it sometimes even less than 255?

    A. On Linux, each mounted file system is assigned a major number, which indicates what file system type it is (eg. ext3, nfs, isofs); and a minor number, which makes it unique among the file systems of the same type. In kernels prior to 2.6, Linux major and minor numbers have only 8 bits, so they may range numerically from zero to 255. Because a minor number has only 8 bits, a system can mount only 255 file systems of the same type. So a system can mount up to 255 NFS file systems, another 255 ext3 file system, 255 more iosfs file systems, and so on. Kernels after 2.6 have 20-bit wide minor numbers, which alleviate this restriction. »

http://www.makelinux.net/ldd3/chp-3-sect-2 :
« Within the kernel, the dev_t type (defined in <linux/types.h>) is used to hold device numbers—both the major and minor parts. As of Version 2.6.0 of the kernel, dev_t is a 32-bit quantity with 12 bits set aside for the major number and 20 for the minor number. Your code should, of course, never make any assumptions about the internal organization of device numbers; it should, instead, make use of a set of macros found in <linux/kdev_t.h>. »

« Le coût des services de transit IP a poursuivi sa chute en 2015. Les prix des connexions sur ports 10 Gbit/s Ethernet (10 GE) ont décliné de 22% en moyenne pour la seule année 2014 et de 14% annuellement entre 2012 et 2015 (premier semestre). « Malgré une baisse généralisée, des écarts de prix importants persistent entre les principaux centres de trafic Internet et les marchés les plus reculées », précise néanmoins TeleGeography qui s’appuie sur ses observations effectuées à partir des tarifs d’une soixante d’opérateurs répartis sur une centaine de villes en Europe, Amérique du Nord et du Sud et en Asie.

Ainsi, il vaut mieux faire transiter son trafic à Londres qu’à Sydney. Le coût mensuel moyen d’utilisation d’une liaison 10 GE y est tombé à 1 dollar par mois par Mbit/s au deuxième trimestre 2015. Soit une baisse annuelle de 16% pour le hub qui assure les liaisons internationales pour l’Europe, l’Afrique et une partie de l’Asie. L’un des plus bas coûts du marché mondial. A l’autre extrême, le même service est facturé 18 dollars en moyenne dans la capitale australienne. Plus cher qu’à Sao Polo au Brésil (16 dollars). Entre les deux, l’Asie limite les frais avec des prix moyens de 4 dollars mensuel le Mbit/s que l’on trouve à Singapour.

TeleGeography explique ces disparités par les coûts de transport du trafic selon les régions. Celles qui restent largement dépendantes des liens passant par l’Europe ou les Etats-Unis pour accéder aux liaisons internationales sont les plus pénalisées. Ainsi, l’essentiel du transit Internet international de Sao Polo s’effectue via… Miami. Tout comme celui de Sydney qui dépend de Los Angeles. Résultat, les prix des services de transit dans ces villes n’ont reculé respectivement que de 5 et 10% annuellement depuis 2012. »

Ça s'explique aussi par la migration sur des liens 100G donc des commit plus importants...

:D

« The next thing the Trojan does is copy the users’ hosts file and add a couple of lines at the top.

It then stores this altered copy in a different location, making sure that the length of the string showing the location inside the system32 folder is 18, exactly the same as the length of “\drivers\etc\hosts”. In my removal guide it was “\idhk\jec\ivot.dat” but “\spp\store\hst.dat” was another one we found often, which seemed convenient as that is placed in an existing folder.

Why is the length of the string important? Well, that is to facilitate the next part of this scheme. The Trojan then replaces your dnsapi.dll files (all of them) with a patched copy. The size of that copy will be the same as the original because of the identical length of the string.
This patched copy points to the altered hosts file, making the hijack complete. »

Excellent :o

« Dans la décision qu'il a rendu fin juillet sur la loi sur le renseignement, le Conseil constitutionnel a censuré très peu de choses. Mais dans ce peu de choses, il y a l'article qui organisait la surveillance des communications émises ou reçues depuis l'étranger. Le motif de la censure est exposé assez clairement : la loi ne dit pas quels contrôles existent avant une interception, ni combien de temps sont conservées les données interceptées, alors que pour le reste (la surveillance généralisée du bon peuple de France) la loi donne ces informations.

Ça peut ne pas être clair pour les gens qui ne mangent pas du droit à tous les repas. Ça dit que ces informations doivent être précisées dans la loi. Pas dans le décret d'application, pas dans une note de service, pas dans une circulaire interne, mais dans la loi. C'est le pouvoir législatif qui doit dire dans quelles conditions les services secrets peuvent espionner qui, pour quelle raison, etc.

Juste pour mémoire, une loi, c'est voté par le parlement, qui détient le pouvoir législatif. Quand le parlement ne veut pas rentrer dans trop de détails, la loi dit un truc comme "un décret précise les conditions d'application du présent article". Un décret, c'est un peu comme le règlement intérieur d'une association, ça fixe les détails. C'est fait par le gouvernement, sans passer par le parlement. C'est modifiable par le gouvernement, n'importe quand. Et ça oblige : les citoyens et l'administration doivent faire ce qui est prévu par le décret.

Les décrets sont normalement publiés au Journal Officiel. Ils constituent par exemple la deuxième partie de tous les codes, la partie règlementaire. Les article Lxxx sont les articles de la loi, les articles Rxxx sont les articles des décrets pris devant le Conseil d'État (règlementaires), et les articles Dxxx sont les articles des décrets simples, que le gouvernement ne fait même pas relire par le Conseil d'État.

Un décret, ça dit ce que l'administration peu faire, comment elle s'organise, ça dit également ce que les citoyens doivent faire. Le décret qui dit ce que la DGSE a le droit d'espionner, pourquoi est-il secret ? Pour que les affreux étrangers qui veulent nous envahir ne sachent pas ce qu'on écoute ? Foutaise, ils le savent très bien, et s'ils ne le savent pas ils s'en doutent, ils font pareil comme espionnage. Mais, en quoi est-ce secret, de savoir que la DGSE est autorisée à écouter tous les câbles sous-marins qui arrivent en France ? Tout le monde le sait. C'est peut-être illégal, d'accord. Mais secret ?

Le concept même de décret secret est étrange. Comme une loi secrète, une loi que personne ne connait, mais qu'une police secrète fait appliquer... Comment voulez-vous vous en protéger ? Comment se défendre face au tribunal ? Il est admis par toutes les cours qu'une loi secrète, c'est contraire à la notion d'État de droit. Il nous semble que la notion de décret secret, c'est sensiblement la même chose.

[...]

La loi de 1991 ne parle que des écoutes téléphoniques en France. Comme les gens de la DGSE ne sont pas payés à faire des cocotes en papier, ils doivent bien s'occuper un peu, et dans leurs outils, il y a nécessairement de l'interception de communications internationales. Elle seraient donc, d'après les déclarations des défenseurs de la loi, organisées par un décret secret.

Il se trouve que, quelque semaines avant que le Conseil constitutionnel ne rende sa réponse, l'Obs publiait un article expliquant que cette surveillance des communications internationales est régie par un décret secret qui date d'avril 2008.

La conclusion est évidente : ce décret est contraire à la constitution, puisqu'il dit des choses que seule une loi peut dire (c'est un excès de pouvoir).

[...]

En toute logique, le gouvernement, soucieux de respecter les libertés individuelles, et très attaché à notre constitution, aurait du abroger ce décret pris en excès de pouvoir dans les jours suivant la décision du Conseil constitutionnel. Ce n'est manifestement pas le cas.

Il reste donc que la surveillance internationale existe, qu'elle existe de manière illégale[1]. Que la loi sur le sujet ne lui donne pas de base légale, puisque l'article qui en parlait a été censuré par le Conseil constitutionnel. Et que manifestement, tout va continuer tranquillement... Illégalement.

Et pourtant, tout ça parle des communications "émises ou reçues" de l'étranger. Quand vous discutez en message privé sur twitter, ou dans le chat de Facebook, même si votre interlocuteur est dans la pièce à côté, tout ça transite par les États-Unis à un moment ou à un autre. On organise donc, sans contrôle, et en toute illégalité, la surveillance de pans entiers des communications électroniques de tout le monde. Peinard.

[...]

Mais voilà, comment attaquer un décret secret... C'est que déjà, on ne peut même pas désigner le décret lui-même, nous ne connaissons pas son titre exact, ni son numéro. Il n'a peut-être même pas de numéro[2]. Pour attaquer une décision de l'administration, il faut envoyer le texte de la décision qu'on attaque, pour que le juge se fasse une opinion. Sauf que là, le texte est secret, comment peut-on le transmettre au juge ?

Seul point vraiment positif, le délai de procédure. On peut attaquer une décision dans les deux mois qui suivent sa publication. Dans la mesure où le décret n'a pas encore été publié, les deux mois ne sont pas révolus ! Magique.

Il y a des précédents, mais pas nombreux, de décrets non-publiés et qui ont été contestés. L'équipe de Me Spinosi, qui bosse sur ce dossier avec nous, a trouvé quelques morceaux de jurisprudence qui peuvent nous servir de base. En gros, l'idée est que c'est le travail du Conseil d'État de s'assurer que le décret existe, de trouver sa référence exacte, et de contrôler la légalité du texte, sans pour autant nous communiquer le texte en question.

[...]

Attaquer le décret qui organise ça peut sembler stérile, quand on y réfléchit un petit peu. Il est peu probable que le Conseil d'État renvoie au chômage technique tous les fonctionnaires de la DGSE et fasse fermer tout l'espionnage français. Donc l'affaire va trainer, le temps que le gouvernement fasse voter la loi dont il a besoin, et à la fin, la loi étant votée, le décret illégal sera abrogé, faisant tomber notre recours.

Même si on veut accélérer le mouvement en attaquant en référé, ce qui est notre cas, il est possible que le Conseil d'État nous dise qu'il n'y a pas d'urgence à statuer puisque le décret existe depuis 2008. Et laisse ainsi une porte de sortie honorable au gouvernement.

Il n'empêche. Nous voulions que le gouvernement bouge sur le sujet. L'article de l'Obs, qui nous révélait l’existence du décret date du 1er juillet. Symboliquement, nous voulions donc déposer notre recours dans les deux mois après la publication de cet article. Le recours a donc été transmis lundi dernier, 31 août.

Et curieusement, aujourd'hui, le 2 septembre, le gouvernement nous informe qu'une proposition de loi sur le sujet va être déposée par un gentil député, et que le gouvernement lui fera une place dans l'agenda parlementaire. Efficace, non ?

Bon, on peut trouver curieux que l'exécutif nous annonce, dans le compte rendu du conseil des ministres, ce que les députés, au garde à vous, vont avoir envie d'écrire et de déposer comme texte d'ici la fin du mois de septembre. Mais tout le monde sait que le texte en question sera rédigé au ministère, puis transmis au député qui y apposera sa signature avant de déposer le texte à l'Assemblée. Un certain Jean-Jacques Urvoas, par exemple ? Si le gouvernement avait voulu déposer lui-même le texte, ce qu'il a tout à fait le droit de faire, il aurait fallu qu'il produise divers documents, dont une étude d'impact, expliquant les conséquences du texte. C'est bien pratique de pouvoir s'en passer.

[...]

Et donc l'équipe des exégètes amateurs[3] a travaillé, avec le cabinet Spinosi et Sureau sur un recours au fond[4] et sur un recours en référé-suspension[5]. Pour lancer un référé, il faut qu'il existe un recours au fond. [...] Conformément à nos habitudes, le texte du recours au fond et le texte du recours en référé sont en ligne. »

Oui, vous et vos putains de one-liner parfois sans ponctuation. Que ça soit par mail, par XMPP, par... vous ne savez pas écrire... Je ne parle même pas d'argumenter, de participer à un débat construit ni même de l'objectif 0 faute de frappe/orthographe/grammaire. Non, je parle juste de communiquer, de transmettre vos pensées, vos souhaits, vos contraintes, vos exigences, votre ressenti, votre grille tarifaire,...

Y'a de tout : des commerciaux et des techniciens de grandes sociétés informatiques, des assos, des élus locaux ou nationaux, des particuliers,... aucune personne, groupe de personnes ou profession n'est épargné. C'est un mal généralisé.

Par contre, fait "bizarre" dans le cas des commerciaux et des techniciens de grandes sociétés informatiques : je remarque que quand je vous écris depuis le boulot qui est un de vos gros clients (je parle de centaines de k€/mois), là vous savez répondre vite, bien et bien écrit. Quand je vous écris en tant que membre d'une asso (on parle donc de 500€/mois), je me prends un one-liner bullshit. Comme c'est biiiiizaaaaaaaarre. :))))))))

AFK, vous ne vous permettriez JAMAIS de vous comporter comme ça ! JAMAIS ! Vous ne laisseriez pas votre interlocuteur faire des efforts de compréhension de malade pour tenter de piger ce que vous avez bien voulu dire.

Les gens ne savent pas communiquer à l'écrit, c'est un fait. Il n'ont pas envie de se faire chier même pour transmettre le minimum d'informations. Ils préférent envoyer un gloubi-boulga minimaliste en espérant que ça passe, que l'autre fasse l'effort de les comprendre plutôt que d'envoyer la version complète tout de suite. C'est potentiellement perdre plusieurs minutes alors qu'il vous aurait fallut moins de temps pour écrire directement la version complète... C'est totalement insensé...

C'est la source de quiproquos stupides et d'incompréhensions mutuelles desquels découlent souvent des gueguerres de personnes et de structures. Notamment dans l'associatif. C'est totalement insensé...

Le temps des débats d'idées structurés et argumentés par écrit en public, c'est comme IPv6, c'est pour demain, clairement.

J'envisage très sérieusement d'ignorer de manière automatique (/ignore sur IRC, filtre sieve pour mes mails) les gens que ne font aucun effort de communication. À moment donné, ce n'est plus possible, j'ai autre chose à faire et une communication doit être partagée/réciproque !

«  Mais le plus intéressant est peut-être ce qu'on apprend dans le jugement. Fort de l'avis d'un expert qui concluait qu'Orange avait raison de voir des similitudes entre son brevet et le fonctionnement de Freebox Compagnon et de la Freebox Révolutions, Orange avait fait procéder à des saisies-contrefaçons chez des abonnés Free, du 11 au 21 mars 2014 ! La saisie-contrefaçon est une procédure prévue par le code de la propriété intellectuelle qui, lorsqu'elle est autorisée par une ordonnance judiciaire, permet de faire procéder par huissier à "la saisie réelle des produits ou procédés prétendus contrefaisants ainsi que de tout document s'y rapportant".

Juridiquement, les Freebox appartiennent à Free, qui en reste le seul propriétaire et se contente de les louer à ses abonnés. Orange aurait pu se contenter de faire saisir des Freebox dans les bureaux de la maison-mère Iliad, mais l'opérateur a préféré obtenir le droit de violer le domicile d'abonnés qui n'étaient absolument pour rien dans le litige entre les deux concurrents, et de faire saisir "leur" Freebox. Le tout en les privant au passage pour une durée indéterminée de l'accès à internet, lequel est, rappelons-le, considéré comme une liberté fondamentale par le Conseil constitutionnel — un détail, sans doute, pour le juge qui a signé l'ordonnance. »

WTF ? O_O

« commit e8d3d2991f72613edb76dea244a8c8e4684873dd
Author: Christian Franke <chris@opensourcerouting.org>
Date:   Fri Jul 5 15:35:39 2013 +0000

    zebra: implement NEXTHOP_FLAG_ONLINK
   
    On Linux, the kernel will only allow for a route to be installed when
    its gateway is directly attached according the kernel fib.
   
    There are cases when this restriction by the kernel is too strong, in
    those cases, we deploy the RTNH_F_ONLINK netlink flag.
   
    Signed-off-by: Christian Franke <chris@opensourcerouting.org>
    Signed-off-by: David Lamparter <equinox@opensourcerouting.org> »

Soit 2 machines :
    * A - ip a a 192.0.2.1/32 dev eth1 + ip r a 192.0.2.2/32 dev eth1
    * B - ip a a 192.0.2.2/32 dev eth1 + ip r a 192.0.2.1/32 dev eth1

On monte une session iBGP entre 192.0.2.1 et 192.0.2.2. La session monte, les préfixes sont échangés.
Mais, dans Zebra, on a ceci (sh ip bgp) : B>* 172.16.23.49/32 [200/0] via 192.0.2.1 (recursive is directly connected, eth1), 00:00:13
Et dans la FIB (ip r s dev proto zebra) :  172.16.23.49 dev eth1

Il manque le next-hop. Zebra croit que 172.16.23.49 est directement connecté sur eth1. Ce qui n'est pas le cas. C'est bien un problème Zebra, puisque BGPd voit le bon next-hop : *>i172.16.23.49/32  192.0.2.1               0    100      0 i

Que se passe-t-il ? Nous utilisons une route de type kernel, par une route de type interface pour joindre l'autre routeur. Or, Linux veut directement une route d'interface : le routeur doit être directement connecté. Il faut donc positionner le flag « onlink ». Le man ip route nous dit : « onlink pretend that the nexthop is directly attached to this link, even if it does not match any interface prefix. ». Cette fonctionnalité a été ajouté dans Quagga 0.99.23. C'est indépendant du noyau, qui supporte déjà ce flag en 2.6.32, par exemple.

Avec une version récente :
B>  172.16.23.49/32 [200/0] via 198.18.0.1 (recursive), 00:55:26
  *                           via 198.18.0.1, eth1 onlink, 00:55:26

172.16.23.49 via 198.18.0.1 dev eth1 onlink




Et BIRD dans tout ça ? Avant BIRD 1.4, le protocole kernel n'arrive pas à récupérer la route vers 198.18.0.X (le pair BGP) donc la session BGP n'est pas montée. Avec BIRD >= 1.4, la session BGP monte et le comportement est semblable à d'habitude :
sh routes : 192.0.2.42/32      via 198.18.0.2 on eth1 [bgp_test 15:47:56] ! (100/0) [i]
ip r s proto bird : 192.0.2.42 via 198.18.0.2 dev eth1

Évidemment, si vous montez une session iBGP, il ne faut pas utiliser la directive « direct » puisque la connexion au pair BGP se fait en utilisant une route. ;)

« (Rappelons que, depuis le décret n°2010-1390 du 12 novembre 2010 qui modifie l’article R415-11 du Code de la Route, « Tout conducteur est tenu de céder le passage, au besoin en s’arrêtant, au piéton s’engageant régulièrement dans la traversée d’une chaussée ou manifestant clairement l’intention de le faire ou circulant dans une aire piétonne ou une zone de rencontre. »)

En gros, le passage piéton doit être abordé par un automobiliste comme un « Cédez-le-passage »: il doit se tenir prêt à s’arrêter si un piéton arrive. »

Via http://lehollandaisvolant.net/?id=20150827131858

« This document describes the privacy issues associated with the use of the DNS by Internet users.  It is intended to be an analysis of the present situation and does not prescribe solutions. »

S. Bortzmeyer - AFNIC. \o/

À lire absolumment, il n'y a que 11 pages et c'est limpide. J'évoquais ce RFC sur mon blog (http://www.guiguishow.info/2014/08/23/comment-mettre-en-place-un-serveur-dns-recursif-cache-ouvert-dans-de-bonnes-conditions/).