GuiGui's Show

Résumé : chez UPS, l'état d'un colis « Demande de retenue pour retrait » / « Hold for Collection Requested » signifie qu'il y a des taxes douanières à payer… ou qu'UPS le croit par erreur.

J'attendais un colis livré par UPS.

Sur le site web de suivi d'UPS, il était dans l'état "livraison en cours" (« Out for Delivery », avec une heure de livraison estimée entre 11 h et 15 h le jour même) depuis presque 2 heures quand il est passé dans l'état « Demande de retenue pour retrait. Le colis est retenu et sera livré plus tard. Nosu tenterons de le livrer à la date prévue. / Nous avons confirmé les dispositions. » (la coquille « Nosu » est d'origine). La localisation passe de l'entrepôt à 10 km de chez moi à « Vitrolles » (laquelle ? Homonymes, tout ça).

Le message est imbitable. « Demande de retenue pour retrait ». Gné ? J'utilise la version anglaise du site d'UPS afin de lutter contre une traduction à l'arrache : « Hold for Collection Requested. The package is being held for a future delivery date. We'll attempt to deliver on the date requested. / We've confirmed arrangements. ».

Ça ne m'aide pas. « Retenue » = argent ? Deuxième sens du mot anglais « collection » = perception de taxes = argent. Impossible, c'est un colis envoyé depuis la France métro destiné à la France métro. La suite du message dit que le colis sera livré plus tard et qu'UPS a pris ses dispositions, comme si tout allait se résoudre sans intervention. Donc pas argent ? Bref, message confus.

Le jour suivant, le livreur se présente (sur le site web de suivi d'UPS, l'état du colis n'a pourtant pas changé, fiabilité+lisibilité du dispositif à revoir). Il m'explique qu'il a mon colis depuis la veille, qu'il a essayé de me téléphoner sans succès (appel rejeté) et que y'a des frais de douanes à payer. Payables en espèces ou par chèque. J'ai ni l'un, ni les autres. Sans marchander, il me file le colis sans me faire payer. :O

Au final, la facture UPS pour les frais de douanes située dans la pochette plastique collée sur le colis est celle du voyage entre le fournisseur (chinois) et mon vendeur (français). Expéditeur = chinois, destinataire = mon vendeur, numéro de colis = pas le mien (celui entre le fournisseur et mon vendeur). Mon vendeur m'a indiqué, facture à l'appui, qu'il a déjà payé les frais de douanes qui me sont demandés. Bref, UPS s'est mélangé les pinceaux.

J'ai joué à Far Cry New Dawn sur PC (alors que Far Cry 6 est sorti, oui).

Histoire : on est de retour à Hope County 17 ans après la fin de Far Cry 5, donc 17 ans après une bombe nucléaire, et, en tant que capitaine d'un groupe de rebâtisseurs, on aide une population de survivants à reconstruire leur ville (et plus si affinité), Prosperity, alors qu'elle se fait emmerder par une autre population de survivants, les Ravageurs.

Mon avis :

• Peu de missions (une trentaine) donc le jeu est répétitif : libérer 3 fois chaque avant-poste ou refaire 3 fois chaque expédition, etc. Cela est obligatoire pour trouver des composants pour fabriquer / améliorer son équipement afin de pouvoir progresser dans les missions principales. La difficulté change à chaque rejeu réussi, certes, mais bon… Au moins, on échappe aux très nombreuses missions annexes inintéressantes de FC 5 ("chasse/pêche/cueille ceci pour moi", "trouve tels objets pour moi", etc.), c'est déjà ça :D ;
  
  
• Les activités possibles puisent dans Far Cry 5, rien de neuf. Idem pour la trame narrative qui fait référence à FC 5 (personnages, suite, etc.), ce qui est cool, et qui repose sur les mêmes ressorts, le même découpage, les mêmes astuces, les mêmes choix scénaristiques longs et ennuyeux, ce qui fait qu'on n'est pas surpris, ce qui est moins cool ;
  
  
• Dès le début, j'ai peiné à croire à l'histoire : on arrive en train à Hope County (17 ans après une bombe nucléaire, hein). Chercher des experts et développer la ville redonne foi. Puis on se rend compte que le monde autour de nous est évolué (alors qu'on a été appelé pour aider à reconstruire) : on a accès à toute la modernité (radio, voitures, bateaux, hélicos, armes perfectionnées)… dans un monde de bidonvilles… Oui, la (les ?) bombe nucléaire n'a pas tout ravagé et les rebâtisseurs ont mal défini leurs priorités, certes, mais bon… FC n'était pas une franchise pour apprendre à survivre, je ne parlerai pas de la réalité de la fabrication d'un quad ou d'un jet ski ou… avec de simples ressorts (seul composant demandé…). :D ;
  
  
• L'IA est un poil mieux que celle de FC 5. Lors de ma deuxième partie, j'ai joué en coop' tout du long. La réactivité à nos mouvements est accrue, mais l'IA continue de se placer bien en évidence en plein assaut discret et de se faire flinguer ou cramer (lance-flammes, etc.) sans réagir…

Astuces (ATTENTION SPOILER) :

• Pour récupérer des composants (pour fabriquer / améliorer l'équipement), mieux vaut partir en expédition (et donc les débloquer rapido) que de piller les différents points de la carte, car le ratio des items récupérés joue largement en faveur des expéditions ;
  
  

• Les médikits peuvent être récupérés… ou confectionnés depuis l'inventaire (dans le menu, avec la carte et tout) ;

• Les boss finaux ont masse de vie. Aucun changement de stratégie ou d'attaques au cours des combats. Juste de la vie à dézinguer (plusieurs dizaines de milliers de points de vie). Je préconise l'utilisation d'armes d'un niveau élite. La première fois, j'y suis allé avec un fusil à pompe de niveau violet et des explosifs télécommandés : ça leur enlève que dalle de vie, donc les ennemis attaquent plus souvent et régénère leur vie pendant que vous allez vous cacher pour régénérer la vôtre. Sans compter les chiens qui mordent les mollets en permanence. La deuxième fois, j'ai utilisé le lance-scies de niveau élite. J'ai constaté direct que le combat est devenu symétrique : il faut se soigner souvent, récupérer des munitions, mais c'est jouable (et l'on se débarrasse tranquillement des chiens).

  • Lors de ma deuxième partie, j'ai utilisé le lance-scies élite amélioré jusqu'à faire 2100 dégâts + talents pour transporter 90 munitions lourdes (dont le lance-scies). Les deux combats ont été une promenade de santé de très courte durée (< 2 minutes pour chaque). J'ai utilisé deux médikits par combat (et encore…). Pour avoir un lance-scies aussi perfectionné, il faut masse d'éthanol (pour débloquer le niveau élite des armes puis pour améliorer l'arme) et de composants (pour améliorer l'arme), ce qui veut dire effectuer beaucoup d'expéditions et de libération d'avant-postes. L'ennui des combats finaux avec une arme non améliorée est remplacé par l'ennui pour améliorer son arme, au final, donc à voir si l'amélioration de l'arme est la meilleure option.

Syntaxes

Je galère toujours un peu avec les trouzemilles syntaxes de rsyslog (démon de journalisation), donc je prends quelques notes.

Fil rouge :

• Présentation :
  • rsyslog version 8 sur Debian GNU/Linux 10 ;
    
    
  • Il reçoit des flux syslog depuis des équipements réseaux ;
• Consignes :
  • Consigner séparemment des messages syslog provenant de deux programmes qui tournent sur deux machines (machine1 et machine2). Grouper par nom de programme ;
    
    
  • Le chemin + le nom du fichier journal doivent être de la forme /var/log/distant/<ANNÉE>/<MOIS>/<JOUR>/bidule/programme1.log et /var/log/distant/<ANNÉE>/<MOIS>/<JOUR>/bidule/programme2.log. On veut un nom compréhensible, pas le vrai nom du programme.

Au début, je récupère un bout de conf' existant sur notre rsyslog :

$template chemin-prog1, "/var/log/distant/%$year:::%/%$month:::%/%$day:::%/bidule/programme1.log"

+machine1
*.*     -?chemin-prog1
+machine2
*.*     -?chemin-prog1

Ce bout de code ne valide pas la deuxième consigne de notre fil rouge, mais c'est pour commencer.
Sauf qu'un redémarrage de rsyslog crache « BSD-style blocks are no longer supported in rsyslog ». Game over.

Tentons une autre syntaxe :

$template chemin-prog1, "/var/log/distant/%$year:::%/%$month:::%/%$day:::%/bidule/programme1.log"
:programname, isequal, "prog1" -?chemin-prog1

Ça fonctionne, mais pas vraiment : « - » n'a plus l'effet escompté, le message syslog est consigné dans programme1.log et dans /var/log/syslog, ce qui n'est pas ce que nous voulons (/var/log/distant n'est pas un montage NFS pour rien).

Utilisons une syntaxe qui enchaîne plusieurs actions :

$template chemin-prog1, "/var/log/distant/%$year:::%/%$month:::%/%$day:::%/bidule/programme1.log"
:programname, isequal, "prog1" -?chemin-prog1
& stop

Je rappelle que la syntaxe « & ~ » n'est plus prise en charge depuis plusieurs années. ;)

Cela fonctionne.

Mais j'aimerai vraiment trier aussi en fonction du nom d'hôte renseigné dans le message syslog.
Objectif : si un jour j'utilise le même programme sur d'autres machines et que leur journal est envoyé sur ce serveur de journalisation, je ne voudrai pas forcément mélanger cette nouvelle machine aux existantes (usage différent, journal différent, par exemple).

Utilisons un peu la """"nouvelle"""" syntaxe (RainerScript) :

$template chemin-prog1, "/var/log/distant/%$year:::%/%$month:::%/%$day:::%/bidule/programme1.log"
if $programname == 'prog1' and $hostname == 'machine1' then ?chemin-prog1
& stop

Ça fonctionne, mais ça va devenir illisible car il faut une ligne par couple { nom d'hôte ; nom de programme }. Deux hôtes + deux programmes = 4 lignes. (En vrai, il faut deux lignes par couple, l'instruction et « stop ».)

Factorisons :

$template chemin-prog1, "/var/log/distant/%$year:::%/%$month:::%/%$day:::%/bidule/programme1.log"
$template chemin-prog2, "/var/log/distant/%$year:::%/%$month:::%/%$day:::%/bidule/programme2.log"

if $hostname == 'machine1' or $hostname == 'machine2' then {
    if $programname == 'prog1' then ?chemin-prog1
    & stop

    if $programname == 'prog2' then ?chemin-prog2
    & stop
}

Ben voilàààà ! :)

Et si l'on utilisait un peu plus la """"nouvelle"""" syntaxe ?

template (name="chemin-prog1"  type="string" string="/var/log/distant/%$year:::%/%$month:::%/%$day:::%/bidule/programme1.log")
template (name="chemin-prog2"  type="string" string="/var/log/distant/%$year:::%/%$month:::%/%$day:::%/bidule/programme2.log")

if $hostname == 'machine1' or $hostname == 'machine2' then {
    if $programname == 'prog1' then {
        action(type="omfile" dynaFile="chemin-prog1")
        stop
    }

    if $programname == 'prog2' then {
        action(type="omfile" dynaFile="chemin-prog2")
        stop
    }
}

ÉDIT DU 02/05/2022 À 23 H 35 : j'ai rédigé un autre shaarli sur le changement de mode / propriétaire / groupe d'un fichier journal avec rsyslog (ça s'applique aussi à une arborescence de stockage des journaux).

Et encore un autre sur l'envoi de journaux à un serveur syslog avec un client rsyslog. FIN DE L'ÉDIT.

Méthodologie de diagnostic

Si l'on fait du syslog distant, vérifier que le flux arrive sur le serveur de journalisation avec tcpdump -n port 514 + vérifier que le flux syslog n'est pas bloqué par un pare-feu local (tcpdump sur le serveur de journalisation se place avant le Netfilter du même serveur ;) ).

Vérifier que l'on utilise les bonnes propriétés pour travailler sur le flux syslog. Coquille classique : « $fromhost » != « $hostname ». La première contient le nom d'hôte de l'émetteur syslog tel que le serveur syslog l'a résolu à partir de l'IP source des paquets syslog qu'il reçoit. La deuxième est le nom d'hôte tel que l'émetteur syslog l'a consigné dans le message syslog.

Vérifier que nos filtres utilisent bien le nom absolu (FQDN) ou non en fonction de ce que contiennent les propriétés sur lesquelles on travaille.

Voir le contenu / la valeur des propriétés / variables :

:programname, isequal, "prog1" /tmp/debug_rsyslog;RSYSLOG_DebugFormat
& stop

Si l'on connait la valeur d'aucune propriété (mais, forcément, ça va débiter pas mal) :

*.*    /tmp/debug_rsyslog;RSYSLOG_DebugFormat

Un collègue m'a fait découvrir cette chanson de Gainsbourg sur les nazis qui ont fuit en Amérique latine sous protection des dignitaires locaux et des services de renseignement européens.

Je connaissais (et kiffe) Nazi Rock (qui traite de la nuit des longs couteaux), mais j'ignorais l'existence de l'album Rock around the bunker (dont fait partie SS in Uruguay). :O

Je n'ai pas accroché à la chanson Eva du même album et recommandée par le même collègue.

Merci Jean-Louis. :)

Pour éviter un laborieux ps aux | grep firefox | grep -v grep, il y a ps aux | grep [f]irefox. Merci, Duke. :)
Explication : on demande de chercher une ligne qui contient « f » puis la chaîne « irefox ». La ligne du processus « grep --color=auto [f]irefox » ne correspond pas, car c'est une chaîne qui contient « [ » + « f » + « ] » + « i » +. Il n'y a pas de chaîne qui commence par f et qui finit par « irefox » sur cette ligne, en gros.

On peut aller plus loin. 99 % du temps, quand je filtre la sortie de ps, c'est pour confirmer la présence d'un processus.
Si je veux acquérir une vision globale des processus, je préfère une vue dynamique à la htop / top.

Dans ce cas, ps -fC firefox-esr fait le boulot, si l'on connaît le nom du processus et si c'est exploitable. Genre chercher un programme Java est souvent vain puisque le nom de l'exécutable sera « java », le nom visuel du programme arrive dans les arguments, qui ne sont pas considérés par ps -fC.

On peut aller légèrement plus loin (autant de caractères mais plus simple, je trouve) : pgrep firefox, le copain de pkill. Merci Johndescs. :)

pgrep -x et ps -C sont très utiles dans des scripts : concis (plus que "ps | grep | grep -v grep") et la recherche se fait uniquement sur le nom des programmes, pas sur leurs arguments.
Ça évite qu'un script lancé par CRON ne fasse plus rien car ps aux | grep apt | grep -v grep trouve toujours un processus (alors qu'apt n'est pas en cours d'exécution) car il capture thermald --adaptative (« apt » dans « adaptative »). Oui, c'est du vécu.

Causer dans une socket UNIX avec netcat (déclinaison netcat-openbsd) :

nc -U /tmp/socket  #Connect to UNIX-domain stream socket
nc -uU /tmp/socket #Connect to UNIX-domain datagram socket

Exemple : l'interface de management d'OpenVPN (qui permet d'afficher des stats d'utilisation, de tuer une session fantôme, de diagnostiquer un problème, etc.) est une socket UNIX.

Nous voulions tester notre code Puppet sur Debian 11 qui était alors dans l'état release candidate (RC).

Dans notre code (et dans Hiera), nous utilisons le fact os/release/major pour agir en fonction de la version d'un système Debian GNU/Linux.
Pour agir sur plusieurs versions en même temps, nous convertissons le fact, qui est une chaîne de caractères, en nombre (if (0 + $facts['os']['release']['major']) >= 9 { […] }).

Or, quand une version de Debian est en RC, os/release/major ne contient pas un nombre mais un texte (« testing » ou « bullseye », je ne sais plus). Forcément, notre code échoue…

Facter permet d'utiliser des variables d'environnement pour créer un fact : FACTER_bonjour='Hello, World!' facter -p.

On peut également surcharger un fact avec une variable d'environnement : FACTER_kernel='GuiGuiOS' facter -p.

Le contenu surchargé est transmis à Puppet. Soit le code suivant :

Notify { $facts['kernel']:
}

puppet agent -t affichera : « Notice: Linux ». FACTER_kernel='GuiGuiOS' puppet agent -t affichera « GuiGuiOS ».

Mais cela ne fonctionne pas avec les facts structurés (tableaux, JSON, YAML). Reprenons notre fil rouge : surcharger os/release/major :

FACTER_os='{
  architecture => "amd64",
  distro => {
    codename => "buster",
    description => "Debian GNU/Linux 11 (bullseye)",
    id => "Debian",
    release => {
      full => "11",
      major => "11"
    }
  },
  family => "Debian",
  hardware => "x86_64",
  name => "Debian",
  release => {
    full => "11.0",
    major => "11",
    minor => "11"
  },
  selinux => {
    enabled => false
  }
}' facter -p | grep major

Cela fonctionne. J'expliquerai à la fin pourquoi j'ai surchargé tout « os » alors qu'il est possible de surcharger uniquement os/release/major.

En revanche, Puppet n'en veut pas :

FACTER_os='{
  architecture => "amd64",
  distro => {
    codename => "buster",
    description => "Debian GNU/Linux 11 (bullseye)",
    id => "Debian",
    release => {
      full => "11",
      major => "11"
    }
  },
  family => "Debian",
  hardware => "x86_64",
  name => "Debian",
  release => {
    full => "11.0",
    major => "11",
    minor => "11"
  },
  selinux => {
    enabled => false
  }
}' puppet agent -t

Résultat : « Error: Could not retrieve catalog from remote server: Error 500 on SERVER: Server Error: Evaluation Error: A substring operation does not accept a String as a character index. ».

On peut essayer de formater pour tout mettre sur une ligne ou de fournir un format JSON, ça ne fonctionne pas mieux. C'est connu.

On peut diffuser un fact personnalisé / externe via un module Puppet. Je n'ai pas envie car je veux juste faire un test sur une seule machine.

Un fact peut également être stocké en local sur une machine. L'emplacement des facts externes est mentionné dans la doc'.
Le dossier « /etc/facter/facts.d/ » n'existe pas, mais on peut le créer.

/etc/facter/facts.d/os.yaml :

os:
  architecture: "amd64"
  distro:
    codename: "bullseye"
    description: "Debian GNU/Linux 11 bullseye"
    id: "Debian"
    release:
      full: "11"
      major: "11"
  family: "Debian"
  hardware: "x86_64"
  name: "Debian"
  release:
    full: "11.0"
    major: "11"
    minor: "11"
  selinux:
    enabled: false

Cela fonctionne. \o/

Pour les masos, on peut aussi l'faire en JSON. /etc/facter/facts.d/os.json :

{
  "os": {
    "architecture": "amd64",
    "distro": {
      "codename": "bullseye",
      "description": "Debian GNU/Linux 11 bullseye",
      "id": "Debian",
      "release": {
        "full": "11",
        "major": "11"
      }
    },
    "family": "Debian",
    "hardware": "x86_64",
    "name": "Debian",
    "release": {
      "full": "11.0",
      "major": "11",
      "minor": "11"
    },
    "selinux": {
      "enabled": false
    }
  }
}

Il est possible de surcharger uniquement la variable désirée (os/release/major dans mon cas), mais je le déconseille : facter ne fusionnera pas ta variable avec le reste du fact structuré (dans mon cas, si je surcharge os/release/major, os/architecture ou os/distro ou os/release/full ou… n'existeront plus). Or, ton code ou un module peut vouloir récupérer un fact ignoré. Dans ce cas, l'exécution de puppet se terminera avec une erreur genre « Error 500 on SERVER: Server Error: Evaluation Error: Operator '[]' is not applicable to an Undef Value. ».

J'avais pas tilté, mais la commande pour afficher les facts personnalisés (custom facts / external facts, déposés par un module Puppet) sur un client Puppet change en fonction de la version de facter et des envies des mainteneurs Debian du paquet facter :

• >= Debian 10 : facter -p ou puppet facts ;
  
  
• Debian 9 : facter -p --external-dir=/var/cache/puppet/facts.d/ ;
  
  
• Debian 8 : facter -p --external-dir=/var/lib/puppet/facts.d/.

Pour les facts natifs, la commande est invariable : facter -p.

Besoin de surligner ou d'annoter un PDF ? xournal. 0 prise de tête. Présent dans les dépôts officiels Debian.

ÉDIT DU 29/06/2023 : le surlignage se fait à main levée, donc imprécis. okular permet de surligner droit, mais uniquement du texte (xournal permet de travailler également sur un scan). Bref, toujours aucun outil libre parfait. FIN DE L'ÉDIT.

ÉDIT DU 15/04/2024 : okular permet de surligner sur des images (scan) en dessinant des rectangles (outil caché dans le menu « flèches » de la barre d'outils), en choisissant la même couleur de bordure et de remplissage des annotations (boutons de la barre d'outils), puis en choisissant l'opacité des annotations (icône « goutte » à côté des icônes pour choisir les couleur, toujours dans la barre d'outils). Plusieurs couleurs disponibles. C'est super pratique. Dans les deux cas (surligneur ou traçage de rectangles ou…), il s'agit d'une annotation, à laquelle on peut ajouter du texte. On peut supprimer une annotation en cliquant dessus dans le mode « Parcourir » (bouton dans la barre d'outils) ou via la visionneuse d'annotations (à gauche, à la place de la visionneuse de vignettes).

okular permet également d'insérer une signature manuscrite au format image. Tutoriel ici. FIN DE LÉDIT DU 15/04/2024.

La direction interministérielle du numérique (DINUM) a adressé une note aux sinistères les informant qu'Office 365 n'est pas conforme à la nouvelle doctrine de l'État en matière de clown (cloud). Pour moi, il ne s'agit pas d'audace, mais de la suite logique aux décisions Schrems et Schrems 2 de la Cour de Justice de l'Union Européenne.

Évidemment, l'utilisation d'Office 365 et l'externalisation restent autorisées : version d'Office 365 déconnectée du clown de Microsoft, installation On-Premises (Office hébergé sur une infrastructure (co-)détenue par l'administration), les offres commerciales labelisées SecNumcloud par l'ANSSI (à ce jour : Oodrive, Outscale et OVH) et immunisées contre les législations impérialistes hors UE type Cloud Act ou Patriot Act (par quelle magie ?! quels moyens met-on en œuvre pour s'en assurer techniquement ?), le "clown" de l'État (SNAP), le clown Bleu (Orange, Capgemini, Microsoft, etc., ça va encore donner naissance à un mammouth ingérable et inutilisable en pratique), etc. ÉDIT DU 27/06/2022 : cloud Thales-Google. FIN DE L'ÉDIT.

Évidemment, il y aura des dérogations, et le pouvoir de prescription de la DINUM reste très limité : la note, comme celle où elle invitait les sinistrères à définir Qwant comme moteur de recherche par défaut, s'adresse exclusivement aux sinistères, et, d'une manière générale, les DSI des administrations sous tutelle ministérielle peinent à savoir s'ils sont concernés. Quelles sanctions ? Etc.

Évidemment, la note manque d'ambition. Pas de financement d'un écosystème concurrent complet (conception, maintenance, maîtrise, formation, etc.). On attend que le privé se bouge en balaçant des tonnes de yakafokon (oui, y'a l'offre interministérielle SNAP, lol) ce qui est l'un des symptômes d'une absence de politique en matière de numérique. Manque de volonté (combien de dirigeants d'administration locales et centrales, jusqu'au plus haut niveau de l'État, utilisent Zoom, WhatsApp, etc. ?!). Pour moi, la nouvelle doctrine du clown est uniquement là pour rafistoler à l'arrache le radeau suite aux décisions de la CJUE.

La note de la DINUM peut également être consultée ici.

Voir aussi : https://www.nextinpact.com/lebrief/48166/la-dinum-autorise-suite-office-mais-proscrit-sa-version-365-hebergee-dans-cloud-microsoft.

Via https://twitter.com/emile_marzolf/status/1440673920332402705 via https://twitter.com/bayartb/status/144079246619445658.