Réplication avec dovecot : j'ai enfin mis en place chez moi entre une VM et mon serveur @home. J'avais déjà dit ici que ça fonctionnait, voici quelques précisions.

J'ai mis le plus gros de la config (donnée sur la page liée) dans le local.conf, comme ça c'est propre (il n'y a pas de section prédéfinie dans conf.d pour tout).
Ne pas oublie d'activer les plugins dans 10-mail.conf sinon "holol ça sync pas".
Pour la synchro, si on n'a pas envie de jouer avec des clefs SSH, surtout pas en root, le dsync over TCP + TLS semble acceptable (protégé par un mot de passe partagé). Par contre il faut que les certificats soient reconnus (qu'on fasse confiance au CA qui l'a émis). Et bien sûr, le nom de domaine utilisé doit match celui du certificat.
La réplication réplique aussi les règles sieve (au premier resync suivant une modif). Il suffit donc juste d'installer les paquets et d'activer les modules sur la 2e machine pour que ça fonctionne.
Déclenchement d'une synchro : doveadm sync -u john tcps:serveur_en_face:12345

Ne pas oublier qu'il y a aussi un cache des adresses dans postfix… quand c'est lui qui garde la réponse (négative par exemple, quand on a oublié un bout de conf), ça sert à rien de s'acharner sur le backend…

En cherchant "relay" dans la conf de postfix pour trouver comment faire un smarthost (obligé car port 25 bloqué), je suis tombé sur "smtp_fallback_relay". En gros, comme un smarthost, mais en cas d'erreur auparavant.
Du coup, en v6 (pas bloqué) je parle directement aux serveurs mails, en v4 je passe par un relais.
Un petit coup d'iptables en passant pour REJECT le port 25 au lieu de DROP par le FAI pour éviter les timeout, c'est tout bon (enfin autant que cela puisse être avec un port 25 bloqué…).

Upgrade wheezy vers jessie dans un conteneur LXC sur un host lui-même déjà en jessie ? Et sans cracher sur systemd ? Facile, il suffit de rajouter à la config LXC les deux lignes proposées ici (le reste sur getty/udev est déjà de base ou inutile).
lxc.autodev = 1
lxc.kmsg = 0

Un N-ième article sur les "avancées" anti-vie privée sous Windows® 10. Est-il plus fiable ? La vidéo a l'air de donner un air de légitimité. Perso j'ai failli faire le test mais la VM win10 qu'on m'a filé boot pas dans KVM.

Les polices horribles sur certaines pages dans firefox après upgrade à Debian Jessie ?
dpkg-reconfigure fontconfig-config
puis directement en faisant F5 sur un page problématique c'est reparti…

Nouvelle adresse du debian kit (a changé à cause de dyndns, comme moi en fait) ? Drôle d'adresse. L'appli sur f-droid ne fonctionne plus vraiment non plus du coup.
Pour réinstaller après un wipe des data, il suffit de relancer la shar, qui se ré-extraiera et détectera qu'une image existe déjà donc ne la supprimera pas et ne lancera pas le debootstrap. Pour ensuite ré-intégrer les scripts au système, il suffit de faire :
/data/local/deb/mk-debian -u
Et voila, tout repart comme avant.

DriveDroid, c'est une petite appli android qui permet de faire apparaître l'ordinateur comme une clef USB contenant une ISO/image quelconque. Sauf que pas sur f-droid (mais apk dispo) et nécessitant forcément les droits root on hésite à l'utiliser sans plus de confiance que cela…
Sur ce lien, l'auteur a dit grosso-modo ce que l'appli fait (deux coups de echo dans des dev en gros) et ça marche ! Donc j'ai vite-fait écrit un petit script qu'on peut poser dans /system/bin par exemple :
vim /system/bin/usbloadfile
<CONTENU>
FILE=$1

if [ "$FILE" = "-u" ]; then
echo > /sys/devices/virtual/android_usb/android0/f_mass_storage/lun0/file
else
if [ -r "$FILE" ]; then
echo "mass_storage" > /sys/devices/virtual/android_usb/android0/functions
echo "$FILE" > /sys/devices/virtual/android_usb/android0/f_mass_storage/lun0
/file
else
echo "Non-readable '$FILE'"
fi
fi
</CONTENU>
chmod 750 /system/bin/usbloadfile

… et zou on a moyen de faire apparaître une ISO d'une distro par exemple, ou encore l'image d'un chroot Debian.

En pratique chez moi, je peux même "monter" deux fichiers, car j'ai lun0 et lun1 disponibles. Je sais pas trop comment ça marche par contre, d'avoir adb et deux fichiers sur le même port USB, mais c'est sûr que ça marche.

Un peu de doc sur l'API gadget : http://www.linux-usb.org/gadget/
Un how-to un peu plus prolixe que le lien shaarlié : http://www.linuxembedded.fr/2013/02/how-to-android-mass-storage-usb-gadget/
La page du projet DriveDroid : http://softwarebakery.com/projects/drivedroid

OK donc le référendum "zones 30" à strasbourg c'était il y a un peu plus de 4 ans… (pour rappel, ça a été "non"). Eh bien, c'est fait, comme prévu, ils ont passé le quartier en zone 30 quand même :)
Donc on a droit à de la peinture de partout, tellement partout qu'ils ont même peint "zone 30" au début de voies… en sens interdit ! :D Ou alors sur toute la largeur d'une route… avec un îlot au milieu, donc en arrivant on voit que la moitié du texte.
Ah et on a le droit à des ralentisseurs aussi, parce que forcément on va aller trop vite donc il faut te punir, même si en fait t'es toi-même à 30 (ou encore à 50 parce que ça te broute leurs histoires :D).
Bref, liberté-- comme d'hab.

… et on peut même copier ce fichier depuis un backup, et zou ça repart avec l'historique. Pareil pour les contacts/appels avec /data/data/com.android.providers.contacts/databases/contacts2.db

J'avais denyhosts depuis le début sur mon serveur @home mais ça a été supprimé de jessie. Je me suis dit que je m'en fichais pas mal au final, c'est pas de la sécurité ou quoi c'est surtout pour pas se faire pourrir les logs.
Là j'ai dû plonger dans /var/log/auth.log au boulot et… ouah du spam en continu, c'est bien casse-pieds pour suivre. Le moment de se plonger dans fail2ban donc !
Bah c'est tout bête comme dit dans l'article cité, et ça a l'air plus évolué.
Exemple, on peut afficher le statut actuel du ban sur SSH :
$ sudo fail2ban-client status ssh
Status for the jail: ssh
|- filter
| |- File list: /var/log/auth.log
| |- Currently failed: 1
| - Total failed: 219 - action
|- Currently banned: 1
| - IP list: 45.114.11.50 - Total banned: 1

Pour ajouter des plages IP à ne pas bannir, on peut copier le jail.conf dans jail.local comme suggéré et juste laisser "ignoreip", pour override. Ensuite :
fail2ban-client reload ssh
et vérif :
fail2ban-client get ssh ignoreip

Pas mal le reload sélectif et la verif en CLI ! :)

Pour set le MTU d'un bridge, il suffit que toutes les interfaces qu'il comprend le supporte. Il prend le plus haut.
De la page citée, Il faut utiliser la version post-up, car le man (bridge-utils-interfaces) dit : "These ports are the interfaces that are part of the bridge, and they shouldn't have any stanzas defining them on the interfaces file."
Donc en gros :
post-up ip link set mtu 9000 dev eth-10G-1

Exemple de base d'utilisation de marqueurs avec OpenLayers et OSM. Je pensais que c'était plus compliqué, ça juste marche en fait. Penser à copier la lib en local pour les bonnes pratiques (ne pas dépendre du serveur et ne pas le charger pour rien).

Petite appli android qui transmet à un serveur donné les coordonnées GPS courantes de l'appareil, tout simple à coup de HTTP GET. Packagé dans f-droid, php server-side d'exemple juste marche (mais génère une carte google maps). Facile à transformer en OSM.

NTP qui segfault sur un Kimsufi avec grsec sous ubuntu 12.04 ? D'après un strace c'est juste après un "Deleting interface" en IPv6. Naïvement, on désactive IPv6 (avec une directive "interface ignore"), et hop ça segfault plus, youpi…
Sauf que quelques temps plus tard, on a toujours du drift ! Un ntpq -p montre qu'il se sync avec rien du tout… et en fait dans le log, on voit qu'il listen sur juste rien… il faut réactiver IPv4 explicitement, avec une directive "interface listen". joie.

C'est pas que je sois pressé de nature mais les petits lags dans une UI ça donne une impression de "truc qui déconne". C'est ce qu'il se passe dans mutt quand on change de mailbox, il y a un délai pour qu'on ait le temps de voir le message. Ci-lié comment désactiver ça :
set sleep_time=0

Ce système de partage de fichier a l'air sympa côté vie privée (chiffré côté client, mots de passe, …). En plus il est packagé dans Debian et il juste marche :)

Petit soft packagé dans Debian qui permet de partager des fichiers entre des ordinateurs derrière des firewall/NAT/autre en faisant juste passerelle. Plutôt bien fait : on voit les transferts en cours avec leur vitesse, on peut limiter la bande passante, drag&drop ok avec firefox, …

J'ai passé mon installation de gitlab d'une installation from source à une install comme recommandé, par leur package omnibus machin. C'est un peu plus crade, oui, mais au final l'install depuis les sources me garantit pas qu'il n'y ait rien de crade non plus. Et c'est tellement plus simple surtout pour les mises à jour.
Ci-lié donc la doc pour passer d'une install source au paquet omnibus in-place. Ça juste marche.

À noter :

• Il y a une magouille cheloue pour accéder aux packages, et ça coince quand on utilise un cache apt… mais on peut désactiver le proxy via le cache pour un domaine précis ! Classe. Voir : https://gitlab.com/gitlab-org/omnibus-gitlab/issues/533 (config à faire : Acquire::HTTP::Proxy::packages.gitlab.com "DIRECT";)
• La config est déployée avec chef. Donc si on veut mettre une option, il faut la donner à manger à chef qui la déploie où il faut comme il faut. Par exemple pour changer le port ssh, il faut mettre gitlab_rails['gitlab_shell_ssh_port'] = '917'
• Il n'y a plus vraiment besoin de patcher comme un goret pour mettre comme page par défaut celle de la liste des projets publics (et non pas le sign-in dont on se fiche bien comme il faut pour de l'open source). Il y a un champ dans les paramètres où on peut donner la page par défaut. Par contre forcément c'est une URL donc il faut redonner le nom de domaine complet…

Bref voila, ça semble remarcher comme avant, en espérant que du coup ça sera moins casse-pieds à maintenir, et donc plus souvent à jour (failles etc.).

Un git stash pop qui conflicte ? J'ai déjà eu ça, à chaque fois c'était pas simple à régler. Voila une réponse, il y a peut-être mieux, en tous cas c'est pas super joli de faire un commit pour l'oublier tout de suite après. Et il faut pas oublier le drop final…