Au pays de Sarrebourg, en Lorraine, un nouveau système de gestion des bacs à ordures a été mis en place. Beaucoup plus onéreux qu'avant, et avec moins de levées dans le forfait de base, le système a l'air "indépendant", c'est-à-dire qu'il n'est plus intégré à la taxe foncière, et qu'on doit, individuellement, gérer son bac à ordures, les factures, les demandes, etc. Les bacs sont nominatifs, avec une étiquette à ton nom. Et on peut demander un bac à cadenas (plus cher).
La taille du bac et le forfait minimum est en fonction du nombre de personnes (enfant/adulte indifférencié), pas en fonction de ton estimation d'utilisation, donc ce n'est pas du tout une incitation à moins jeter.

Par conséquent, le bac à ordures est, au besoin, apporté ou repris par les services. On peut aussi aller le chercher sur place à Sarrebourg, ou l'y déposer. Y compris quand on est en location.
Ça signifie qu'à chaque changement d'occupant hors du territoire couvert (il y a 40000 foyers gérés a priori), la poubelle fait un aller-retour au dépôt.
Ça signifie également qu'il y a de la paperasserie et de la logistique à chaque fois, pour le locataire sortant ET celui qui entrera ensuite.

Évidemment, le numéro de téléphone inscrit sur la poubelle ne répond jamais, même en tapant les différents chiffres proposés (on apprendra qu'il fallait "évidemment faire le 5" même si en fait non…).

On est donc allés sur place demander quoi faire. On est repartis avec un formulaire à remplir. On apprend aussi qu'il faut donner l'adresse où on déménage (ça les regarde ?) et que les attestations sur l'honneur sont refusées. Ah et aussi, que bien évidemment quand on déménage on a que ça à faire et qu'il faut s'y prendre au moins 3 semaines à l'avance pour organiser la récupération du bac. Donc là en 3 jours c'était plus possible. Et évidemment il faut pas que le bac traine sur la route 3 semaines…

On a donc rapporté le bac sur place, ayant une voiture suffisamment grande pour cela (ce n'est clairement pas le cas de tout le monde, donc pas une solution générale). Au bout d'une demi-heure (il y avait la queue), une personne vient à notre rencontre en disant qu'elle peut pas nous accueillir au guichet, car les deux guichets étant trop proches, on ne peut plus s'entendre parler si les deux sont occupés en même temps.
La personne se met spontanément à m'adresser la parole, comme si j'étais le référent. Je ne suis que spectateur dans l'affaire, aidant un déménagement. Je suppose que l'homme est de facto le responsable logistique poubelle (j'aidais une femme).
La personne prend le formulaire, et l'attestation de domicile (ouf, l'assurance avait envoyé une bafouille à la nouvelle adresse entretemps, coup de pot, puisque l'attestation sur l'honneur n'est pas acceptée (c'est légal ça ?)).

Au bout d'un moment, on a pu aller déposer le bac de l'autre côté du bâtiment. Au passage je remarque des panneaux sur le parking, signifiant aux utilisateurs de se garer en marche arrière, obligatoirement. Décidément, ils sont fort en contraintes de l'inutile dans ce pays ! Une recherche sur le web nous apprend que cela faciliterait l'évacuation en cas d'urgence. C'est pas faux, mais bon c'est vraiment une micro-optimisation, contraignante, et qui serait valable partout.

Une fois le bac déposé aux côtés des autres bacs rendus, nous pouvons enfin souffler et partir.
Que neni ! La personne sort du bâtiment à notre rencontre et demande si un transfert postal d'adresse a bien été mis en place. Sur une réponse négative, elle nous explique que la facture en cours a déjà quitté leur service, qu'elle est en transit via le service financier, et qu'elle mettra environ un mois à arriver. Sauf que forcément, il n'y aura plus personne. Donc il faudra que le courrier revienne non-distribué (en espérant que le facteur ne le dépose pas aléatoirement dans la boite malgré tout), et que seulement à ce moment-là, une nouvelle facture pourra être émise à la nouvelle adresse. Tout cela accompagné d'une demande d'envoyer un mail un mois plus tard pour leur rappeler (ils ont pas de rappel calendrier ?).

C'est épique le niveau de perte de temps, de complexité inutile, et de bureaucratie pour… une poubelle ! Je déteste les administrations qui se prennent au sérieux à ce point, sur du rien. Et il n'y a pas que les administrations qui savent faire, ça me rappelle fortement les moniteurs d'auto-école (par exemple).

À noter que le personnel a été globalement plutôt efficace à implémenter cette bureaucratie, ce n'est pas cela le problème (venir nous informer à l'extérieur est tout à son honneur).

À noter également la surprise générale en annonçant que le déménagement s'effectuait hors du territoire du pays de Sarrebourg, aussi bien de la part des deux personnes du "pôle déchet", que de l'agent immobilier venu faire l'état des lieux. J'aimerais bien avoir des statistiques, car pour moi déménager à 50 km c'est normal et même plutôt proche. Oui, parce que si on reste sur le territoire couvert par ce pôle déchet, on peut garder sa poubelle ! Et donc la déménager avec soi…

Je vois avec horreur au moment de lier ce texte à leur site, que le site du pôle déchet n'est pas une sous-partie du site du pays de Sarrebourg, mais un site à part entière, avec comme seul distingo le .com qui passe en .fr !!!
Et la page sur le site du pays, /Pole-Dechets renvoie sur /Pole-Dechets/Pole-dechets.html qui lui-même renvoie sur le .fr :D

"Exceeded MaxStartups" : erreur du monitoring sur des services ouverts sur le monde en SSH… jamais vu.
En fait il s'agit d'une limite pour éviter les DoS, ajoutée dans OpenSSH en… 2000, MaxStartups. En gros un mécanisme pour limiter puis interdire les nouvelles connexions lorsqu'il y en a trop d'ouvertes mais pas abouties simultanément.
J'ai passé le minimum de déclenchement de 10 à 15. À voir si ça suffit.
Et oui c'est sur un port différent de 22 (trolls proof). Et oui il y a déjà fail2ban, mais il faut croire qu'il a pas le temps de réagir.

« Il faut créer un «climat» propice au passage à l’acte, stigmatiser si profondément des catégories de population que leur déshumanisation devient une sorte d’évidence partagée. »

Je suis d'accord globalement avec l'article et la citation.
Par contre, ce que je trouve magnifique c'est que j'ai une grosse impression que ce qui est dénoncé ici est également pratiqué par ces mêmes personnes, sur d'autres catégories de populations. Et là ça devient moins rigolo. Faites ce que je dis, pas ce que je fais ?
Ah non mais je suis bête, quand c'est eux qui le font c'est pas pareil, là c'est factuel. Désolé pour le bruit.

Pour télécharger des vidéo derrière un paywall ou autre système avec identification, yt-dlp sait aller chercher les cookies dans les bases de données de la plupart des navigateurs. Ça a l'air trop bien et magique.
Sauf que moi, ça march(ait) pas.

Il se trouve que firefox ne stocke pas les cookies dans son fichier cookies.sqlite s'ils sont marqués avec validité "session". Ça se tient. Là on a deux solutions, soit on exporte les cookies et on utilise ce fichier avec yt-dlp, soit on enlève la marque "cookie validité session" au cookie qui va bien. J'ai pu faire cela avec Cookie Quick Manager (qui est une extension recommandée par mozilla, contraitement à export cookies).
Dès la case "isSession" du cookie décochée et le cookie enregistré via l'extension, il apparait dans la base sqlite et yt-dlp y a accès et fonctionne :)

Si jamais vous avez un "vieux" conteneur LUKS (chiffrement des données), il se peut que le discard/trim ne soit pas activé, ce qui est un peu dommage si vous l'avez sur un SSD.
Pour l'activer, il suffit de convertir le conteneur en LUKS2 et d'activer le discard dessus d'une manière ou d'une autre (j'ai choisi via les header, comme ça c'est toujours activé sur ce volume-ci).
Les distributions à jour ont toutes via systemd ou autre un cron/timer pour trim périodiquement (attention du coup ça ralentit les I/O un moment, genre si ça se déclenche quand vous démarrez l'ordi et la session, ça se ressent bien).

Commandes :
cryptsetup convert
cryptsetup --allow-discards --persistent refresh

Je viens de basculer mon fairphone 2 de Fairphone Open à /e/os plus ou moins suite au fait qu'il n'y aura plus de mises à jour (de sécurité) par Fairphone. Théoriquement /e/ prétend fournir encore au moins un an… à voir. Dépendra sûrement de ce qui est fait du côté de lineageOS. Et au passage on a android 11 (au lieu de 10).

Pour l'instant tout fonctionne bien. Les petits bugs que j'avais et qui étaient apparus au fur et à mesure des mises à jour ont l'air d'avoir disparu. Ils auraient sûrement disparu aussi en faisant une reset complet dans tous les cas mais tant qu'à faire et tout re-paramétrer, autant passer sur quelque chose qui aura des mises à jour.

Pour l'instant je suis plutôt content des choix faits par défaut. Le "launcher" (truc qu'on a en tant que "bureau") est un peu minimaliste mais bon. Et je trouve dommage que le navigateur par défaut soit un fork de bromite lui-même fork de chromium ; on reste donc sur du google quand-même (et du coup j'ai remis fennec).
Ils utilisent https://doc.e.foundation/app-lounge comme gestionnaire d'applications, qui permet de taper à la fois sur f-droid mais aussi sur le play store, soit avec son compte google soit en mode anonyme. Ça évite de se trainer un client f-droid et un aurora store pour les rares applis que j'utilise et qui sont que sur le play store.

Bref pour l'instant que du bon. Pas de révolution non-plus par rapport à l'OS d'avant qui était déjà dépourvu des gapps.

EDIT 26/06/23 : /e/os n'est pas vraiment dépourvu des gapps, un sous-ensemble y est via migroG. On a donc les messages push, la localisation dans les appli passant par les gapps etc. Signal par exemple n'a plus recours à sa tâche de fond et ne vide plus la batterie à cause de ça.

Je suis allé à la Fnac, et j'ai voulu en profiter pour acheter vite-fait une souris, car celle de tous les jours commence à avoir des problèmes de clic.

Déjà je suis un vieux con, je veux une souris basique et surtout filaire. Non parce que gérer des batteries pour ça… pas possible.
Je tourne en rond dans le coin "high tech", il y a des souris disséminées un peu partout (ouais parce que y'en a avec un tampon "compatible chromebook" donc sous les chromebook, les microsoft avec les tablettes surface etc.) donc casse-pieds. Il y a un rayon logitech, mais la première est à 25€ et toujours sans-fil. Je veux juste de quoi cliquer tranquille et grand max jouer de temps en temps à 0ad donc vraiment rien…
Après il y a toutes les souris "gamer". Filaires. Toutes. MAIS… la première est à 35€, et a des LED de partout…

Du coup ça me saoule, et je regarde sur le site de la Fnac directement, pour voir comment ça se passe et ne pas me laisser contredire si je demande à un vendeur. Je trouve une souris gamer qui n'a pas trop de LED partout à… 16.99 et marquée dispo en rayon.

Fort de cet exemple je m'enhardis à demander au mec, qui m'explique que olala filaire basique nope, et me propose celle que j'avais vu au rayon "gamer" en me disant bien qu'elle clignotte de partout (oui je sais ça se désactive sûrement mais j'ai pas envie de devoir passer par une VM Windows pour juste configurer ma souris, sérieusement).

Je lui mets donc sous le nez ma "trouvaille à l'arrache sur le site" en lui disant que ça m'irait déjà mieux. Il me dit que celle-là, il en sait rien, mais ce qui est sûr c'est qu'il ne l'a pas à son rayon. Voir au rayon jeux vidéo…

Je monte donc section jeux vidéo, je vois quelques casques mais aucune souris. Je demande donc au mec de ce rayon qui me dit direct que non mais là c'est jeux vidéo y'a pas de souris lol. Je lui mets donc mon exemple sous le nez en lui disant que l'autre vendeur m'avait envoyé chez lui. Et là surprise, il me dit que ah oui non mais celle-là elle est bien chez lui, derrière dans la réserve… ! Donc impossible à trouver sans passer par le site. Et là il part me la chercher.

Au final bien saoulé j'ai pris ça… à 19.61€ malgré l'affichage sur le site. Donc j'ai quelques boutons en plus et une souris un peu plus "ergonomique" dans la bataille, pas si mal mais pfiouh.

Moralité, faites comme tout le monde et commandez sur amazon…

J'ai dû déposer mon père, handicapé, à la clinique pour une infection à la main.

Déjà les parkings sont tout petits. Le grand parking est loin avec une navette… relou avec un handicapé en déambulateur. Le petit parking est loin des portes, avec un grand espace juste vide (même pas vraiment de plantes, ça doit être une fournaise en été). Donc le temps de sortir de la voiture et marcher leeeentement, il s'écoule bien un quart d'heure. Sauf que le parking est payant au-delà de 20 minutes. Et pas juste symboliquement à genre 1€ les 3h comme ailleurs, non, c'est 1,5€ toutes les 10 minutes. On n'est donc pas tranquille, et il faut passer le relais rapidement à un autre accompagnateur non-conducteur. Ou payer ce qui n'est pas forcément un problème en soi mais j'ai symboliquement du mal avec cette idée.

Ma mère a téléphoné au truc spécialisé mains avant d'y aller pour savoir quoi faire, vu que ça traine depuis 2 semaines, c'est pas une urgence. On lui a apparemment dit d'aller voir un doc tout de suite, mais pas aux urgences. Sauf qu'une fois sortis de la voiture, il y avait rien d'autre que urgences d'un côté et rdv de l'autre… et les deux ne sont pas dans le même bâtiment. Elle a donc dû aller demander côté rdv si c'était là pour qu'on lui dise d'aller aux urgences… donc nouvelle séance de déambulateur.

Sauf qu'en entrant par la porte du côté de l'autre bâtiment, on n'arrive pas exactement aux urgences, et quand on sait pas, on fait pas forcément la différence… sauf que l'accueil de l'autre côté n'ouvre qu'à 14h. Elle a donc attendu 14h pour qu'on lui montre le passage qui permet d'aller de l'autre côté aux urgences.

Moi pendant ce temps j'étais allé au parking des urgences, sauf que rebelotte, parking payant. Avec tout un mode d'emploi affiché uniquement au moment de prendre son ticket. J'ai donc lu le panneau en entier, pour découvrir tout en bas que le parking était au final gratuit pour les gens qui allaient aux urgences !
Seulement ça n'a pas été du goût de la personne derrière moi qui m'a klaxonné… oui j'avais oublié que je devais être le seul débile à vouloir savoir à quelle sauce il allait être mangé avant d'entrer dans un truc avec barrières…
Alors déjà, on ne klaxonne pas en ville. Et ensuite, on ne klaxonne pas devant un hôpital. Surtout pour rien (ou éventuellement "gagner" 3 secondes de sa vie).

La borne pour ouvrir la barrière de sortie est atroce : on arrive dans un tournant vers la droite donc compliqué de se coller à gauche pour mettre le ticket. L'affichage est correct sauf la dernière phrase qui demande de retirer le ticket qu'on a inséré et que la machine nous rend (pour rien, on ne peut plus rien en faire). Cette ligne est illisible, donc j'ai attendu sans comprendre pourquoi la barrière ne s'ouvrait pas, car elle ne s'ouvre qu'une fois le ticket repris. Et en plus la barrière est installée sur une pente en arrière qui rend difficile de s'ajuster (celui devant moi a galéré). Sur un terrain tout neuf, plat, issu d'une friche industrielle, aucune excuse. Et on débouche (en pente donc) sur une piste cyclable avec des buissons qui masquent l'arrivée potentielle de vélos.

Je sais que je suis un relou des choses optimisées mais pour une clinique très récente, c'est juste triste de voir combien les petites choses n'ont pas été pensées pour les usagers… les normes des fois c'est ingérable, mais là ça manque carrément.

Les machines virtuelles (KVM en tous cas) peuvent lentement perdre du temps sur leur horloge et être de plus en plus en retard. Il semblerait que ce soit dû au fait que les interrupts virtuels ne sont pas forcément pile synchronisés (ce qui parait logique : si l'hyperviseur est en train de faire autre chose lui-même il ne pourra pas synchroniser toutes ses VM à temps).

Une horloge matérielle est émulée, mais elle n'est lue qu'au démarrage de la VM en général. On pourrait périodiquement aller la lire mais pas très propre.

On peut bien sûr juste laisser les VM se synchroniser elles-mêmes, mais si on est derrière un firewall ou qu'on essaye de limiter au maximum les accès réseau par exemple avec un firewall agressif sur les VM, c'est dommage.

Une solution est de laisser les hyperviseurs se synchroniser depuis Internet en NTP (ou pas si derrière un firewall bien sûr, mais du coup de la manière normale en interne), et de relayer cela aux VM, toujours en NTP. Les hyperviseurs sont donc juste relais. Mais il faut pour cela soit qu'ils aient soit une adresse IP virtuelle, soit systématiquement les ajouter tous dans les configurations des VM. On évite ainsi que chaque VM aille interroger individuellement les serveurs de temps. Il faut toujours ouvrir le firewall des VM, mais "seulement" vers les hôtes. Par contre la configuration change si on change d'hôtes sans IP virtuelle.

Une autre solution proposée ici est d'utiliser un mécanisme de précision entre l'hôte et les VM proposé en kvm par le module ptp_kvm. Cela fonctionne comme une source de temps, via un dev. Comme fonctionnerais une source GPS.
Dans ce cas, rien ne sort de la VM au niveau réseau, pas de trafic dupliqué vers l'extérieur ni de charge inutile, et rien à configurer de plus sur les hyperviseurs.

Script rapide de passage de NTP avec systemd-timesyncd ou chrony (comme souvent par défaut sur Debian et RedHat-like) à PTP, à faire sur la VM elle-même (rien à faire sur l'hyperviseur, en tous cas avec proxmox7) :

-#- charger le module et l'ajouter au boot
echo ptp_kvm | sudo tee /etc/modules-load.d/ptp_kvm.conf
sudo modprobe ptp_kvm

-#- passer à chrony si pas déjà fait et le configurer sans NTP mais avec PTP (dépend de la config précédente pour la partie désactivation du pool NTP)
sudo apt install chrony
echo "refclock PHC /dev/ptp0 poll 2" | sudo tee /etc/chrony/conf.d/phc.conf
sudo sed -i 's/^pool/#pool/g' /etc/chrony/chrony.conf

-#- recharge de la configuration
sudo systemctl restart chrony

-#- commandes de test
timedatectl
chronyc sources

Haha dans windows pas-serveur, c'est le même code pour RDP (l'accès bureau à distance intégré à windows) mais il est bridé à une seule connexion à la fois par choix de licencing. Sauf que des gens ont du coup développé un proxy multiplexeur, ou même trouvé les octets à changer dans la lib pour débrider ça… c'est magnifique. :)

J'ai testé KDEConnect, ensemble logiciel libre qui permet d'appairer des ordinateurs entre eux et de remonter des infos, partager des liens ou des fichiers et éventuellement piloter certaines choses dans un sens ou dans l'autre.

Je précise tout de suite que même si conçu dans l'environnement de bureau KDE et utilisant ses bibliothèques, cela fonctionne sur d'autres environnements et soi-disant même sous Windows.

J'ai testé pour pouvoir lire/écrire les SMS via mon téléphone Android directement depuis l'ordinateur (comme à l'époque avec airdroid, avant que ça devienne usine/fermé). Ça fonctionne. D'un côté sur l'ordinateur avec la version empaquetée dans Debian Bullseye, de l'autre avec l'apk fourni via f-droid sous Android 10.

J'ai aussi essayé le ping dans un sens et dans l'autre, la fonction de sonnerie à distance pour pouvoir retrouver son téléphone, et le partage de presse-papier.

Attention, si on ne fait pas attention, le partage de presse-papier fonctionne vraiment, donc par exemple si on copie un mot de passe sur son ordinateur, il sera visible du téléphone, ce qui n'est pas forcément souhaitable.
De la même manière, quand je regarde une vidéo dans Firefox, elle devient disponible sur le téléphone (je ne sais pas exactement qui remonte l'info, de où et comment).
J'ai aussi une notification quand la batterie franchit le seuil de 15% en décharge.

Il y a beaucoup de fonctionnalités. Je n'ai pas tout testé. La remontée de notifications en tous genre, le contrôle multimedia, des appels téléphoniques etc. ne m'intéressent pas forcément.

À noter que l'interface pour lire et écrire les SMS est très basique (commande kdeconnect-sms) et met parfois un peu de temps à charger le contenu au démarrage. À noter aussi qu'en passant par là, on court-circuite le mécanisme d'accusés de réception de l'appli SMS de base.

Je n'ai pas vraiment su/pu quantifier s'il y avait une différence d'utilisation de la batterie notoire.

Si on n'a pas d'applet indicator ou KDE plasma, je n'ai pas vu comment lire la charge batterie du téléphone autrement qu'en ligne de commande en interrogeant DBus.
https://gist.github.com/tsjnachos117/8231f9f8ed08968cc5f1a7f4d3e06b0e
gdbus call --session --dest org.kde.kdeconnect --object-path /modules/kdeconnect/devices/{id unique}/battery --method org.freedesktop.DBus.Properties.Get org.kde.kdeconnect.device.battery charge

Voilà un peu mon tour de la chose des derniers jours, globalement ça fonctionne quand même plutôt bien. Il y a une implémentation pour le GNOME shell aussi, gsconnect que je n'ai pas testé, n'étant pas sous ce shell.

Vieil article (déjà presque 10 ans !) qui récapitule les infos sur le TRIM (libération explicite de blocs d'espace de stockage, principalement pour les SSD).

J'ai testé sur une ancienne VM à moi, qui a subit plusieurs déménagements et upgrade (Debian Jessie à la base, Bullseye maintenant).
Pour avoir accès au TRIM à tous les niveaux, il faut bien l'activer dans crypttab (une VM Bullseye fraiche l'a de base). Il faut bien faire l'update-initramfs. Le reste ne semble pas nécessaire, mais peut tout de même être utile, comme par exemple pour libérer la place non-allouée d'un LVM (fstrim n'agit que sur des systèmes de fichiers montés).

Par exemple, pour purger l'espace non-alloué d'un LVM, j'ai utilisé la méthode bourrin d'ici : https://unix.stackexchange.com/questions/97143/utility-to-trim-unallocated-space-on-drive après bien sûr avoir activé l'option de discard automatique dans lvm (qui était désactivée, et l'est toujours dans un Debian Bullseye frais).
sudo lvcreate -l100%FREE -n blkdiscard VirtualPenguin
sudo lvremove VirtualPenguin/blkdiscard

27G -rw-r--r-- 1 john john 50G Feb 20 17:53 vm-111-disk-0.raw
15G -rw-r--r-- 1 john john 50G Feb 20 17:58 vm-111-disk-0.raw
=> je gagne bien une allocation de 12 Go, quand mon LVM a 12 Go non-alloués.

À noter qu'un Debian Bullseye a un timer systemd prédéfini pour lancer fstrim toutes les semaines. Ce timer est cependant désactivé quand on vient d'une upgrade (de Buster).

Pour voir où on peut fstrim (et donc voir à partir d'où ça coince dans l'empilement de couches logiques), lsblk -o NAME,DISC-MAX,FSTYPE est pratique (à peine modifié de l'article).

Attention à ne pas se laisser avoir par un dry-run (-n) de fstrim : il dira ne rien avoir TRIM, mais on pourrait supposer comme moi qu'il dirait ce qu'il aurait pu TRIM…

À mon sens, fstrim remplace donc avantageusement un zerofree + fallocate -d (pas d'écriture) mais ne travaille que sur des systèmes de fichiers montés, donc il faut penser au reste.

Mon serveur perso depuis plus de 10 ans (même si rebrand) se base sur cette carte mère. Elle avait déjà été changée sous garantie car ne voulait pas démarrer.
J'ai eu le problème la semaine dernière de nouveau. L'astuce donnée ici (3 ou 4 retraits et insertions du jack d'alimentation) fonctionne ! Il semblerait qu'une capa tantale serait la cause…
Du coup, serveur plus très fiable… mais problème relativement "gérable" vu qu'avant la coupure de courant qui a révélé le problème, il avait plus de 500 jours d'uptime.

Attention : si on modifie la commande forcée liée à la clef SSH (command=) utilisée pour la connexion ControlMaster, il faut relancer la connexion, le fichier n'est pas relu.

Ne pas oublier que pour un service systemd, stdin est /dev/null… sinon on peut passer du temps de debug bizarre au moment où on veut passer un script en service systemd… ici socat, qui y est très sensible puisque c'est son seul taff (de gérer des flux).

Je voulais pouvoir fournir un flux d'informations d'un script shell (bash) à quiconque voudrait le recevoir et jouer avec.
Forcément, on pense à un fifo en premier, mais les write sont bloquants. A priori pas simple le O_NONBLOCK en bash.
Ensuite on pense à des socket UNIX, sauf que c'est celui qui écoute qui la crée, et on ne peut pas écouter à plusieurs.
Ce thread fait un peu le tour. Une proposition parle de détourner UDP pour ça, car en mode datagram les paquets sont envoyés sans connexion, donc peuvent être perdus.
Avec socat c'est très facile (udp-datagram / udp-recv). Et l'envoi n'est effectivement pas bloquant. Par contre si on écoute à plusieurs sur le port, en mode reuseport, on n'a pas de duplication mais un balancing. La duplication s'effectue en mode broadcast (possible sur 127.255.255.255 par exemple).

socat udp-recv:3333,reuseport -
socat - udp-datagram:127.255.255.255:3333,broadcast <<< coucou

Ho sympa ça, l'implémentation OpenSSH permet de créer une connexion persistante "ControlMaster" qu'on pourra utiliser par la suite pour aller taper régulièrement sur un serveur sans à chaque fois refaire la connexion à zéro (et donc spammer les logs, manger la latence etc.).

Lancée via autossh, on a donc une sorte de connexion permanente et qui doit être résiliente en cas de coupure (volontaire ou panne).

Donc WDS c'est le nom d'une "techno" pas standardisée, que beaucoup de fabriquants d'antennes (wifi) implémente à sa sauce mais donc pas compatible entre eux. J'ajouterai que si t'es un gros malin comme moi et l'active d'un côté de ton pont wifi mais pas de l'autre, bah ça pas marche non plus :)

En gros ils se débrouillent pour rendre les antennes transparentes sur le LAN, en ne modifiant pas l'adresse MAC des paquets alors que les antennes sont en réalité en intermédiaire. Comme un switch quoi.

J'ai testé avec et sans, et effectivement avec j'ai bien la MAC du client derrière le pont d'antennes qui remonte jusqu'au bout. Pourquoi pas, c'est toujours ça de charge en moins et ça aide au débug.

Effectivement cohérent avec les observations : les gens qui se réclament de gauche ont assez souvent un langage dogmatique et qui peut sembler irrationnel, de la même manière que ceux qui se réclament d'une religion établie. Chacun sa came, mais même s'il n'y a pas de tampon "religion" on reste quand même souvent enfermé dans sa sphère de croyances…

Debug résal des deux derniers jours, on a (re)vu plein de notions, et appris quelques commandes/sysctl sympas !

Pour faire suite à ce "rant" : j'ai eu un 2e courrier A/R via ce site. Sauf que à la fin du premier A/R, ils proposent de créer un compte et d'obtenir une sorte de "certificat" (rien à voir avec x509) permettant de s'identifier via OTP. On nous envoie un PDF avec un QRcode et un code OTP, qui sont supposés fonctionner avec google authenticator (crade) mais aussi avec freeOTP (dispo sur f-droid).
J'ai tenté cette méthode pour le 2e courrier, et en 30 secondes ça a fonctionné. Juste bien. Comme quoi tout n'est pas toujours pourri sur toute la ligne.
Alors oui l'identification d'un envoi sur une boite mail avec un PDF contenant les infos OTP dans la même boite mail… ça devient totalement bidon : si je me suis fait pirater ma boite mail entretemps (et que je n'ai pas supprimé le mail), les loustics peuvent s'identifier à ma place. Il n'y a pas besoin du mot de passe du compte AR24 pour valider le courrier. Mais au moins ça ne fait pas chier (et de toutes façons, je rappelle que c'est du bidon dans mon cas vu que cet expéditeur m'envoie le contenu en clair dans un autre mail séparé…).

Alors pendant qu'on se branle sur des ventilateurs (éoliennes), l'hydrogène (procédé qui, actuellement encore, consomme plus d'énergie qu'il n'en met à disposition), qu'on complexifie à mort les moteurs de voitures pour gratter quelques pourcent de rendement (qui reste toujours autour de 40%), y'a la surface des pays-bas de forêt qui part en fumée en un an.
Et on te dit gentiment que juste ça, c'est le CO2 de 570 millions de voitures, toujours sur un an. Sans compter tout le CO2 que cette végétation ne captera pas dans les siècles à venir.
Magique.

Je sais bien que c'est toujours facile de donner des leçons quand on n'y connait rien et qu'on n'est pas dans le coup, mais un gros plan où les milliards de subventions qui partent dans les branlettes sus-citées et les autres branlettes satellites seraient redirigés pour à la fois stopper les feux accidentels, et former les gens qui dépendent des feux volontaires à autre chose, ça parait pas vachement plus pertinent pour commencer ?

J'ai récemment reçu un courrier "recommandé électronique" via AR24, système qui semble certifié officiel et tout… sauf que ça a été une galère sans nom pour le valider.

Pour récupérer son recommandé, il faut s'identifier. Un peu comme quand on tend sa CNI au facteur. Sauf que…

Il faut des photos de son titre d'identité officiel ET une webcam pour le secouer devant sa tronche. J'ai pas de webcam sur mon desktop. Je tente donc sur mon téléphone.

Je prend tant bien que mal des photos de ma CNI avec le téléphone via leur page web process d'identification et Firefox, je fais la vidéo avec ma tronche (dire 3 chiffres, et montrer la CNI)… et… rien… longtemps… puis ça pète. Et mon fond d'écran avec (!). Je répète l'opération, dans le doute, on est sur du web + android donc bon hein… mais non, pareil, donc je me dis que ça explose la RAM (même si j'ai un tel pas ouf, il est correct, fairphone 2, donc j'imagine pas chez d'autres…).
4 essais. (bah oui le temps d'avoir une photo de la CNI qui passe leur check avec un tel…)

Je me décide donc à dégainer spydroid et ffmpeg pour faire webcam via mon tel sur mon desktop. Sauf que mon scan de CNI à l'époque je l'avais fait en niveaux de gris (je ne sais plus pourquoi mais bon) et ils interdisent les photos noir & blanc (ça ok ça peut être dégueu si c'est vraiment juste noir & blanc, pas niveaux de gris). Je me dis que sur un malentendu ça peut passer en niveaux de gris, je tente et oui ça passe le premier check. Je fais donc la vidéo avec la webcam-téléphone. Ça passe ! Sauf qu'il faut attendre jusqu'à 48h la vérification suivante…

Forcément, la vérification passe pas à cause de mon scan niveaux de gris. Soit. Mais ils retoquent aussi ma vidéo, comme quoi c'est pas assez beau pour eux…

Quelques jours plus tard, je me retrouve là où j'ai mon laptop en permanence, donc avec une webcam. Je retente l'opération, mais les photos webcam sont pas géniales, donc je me dis que ça ne passera encore pas. Je fais donc les photos avec mon vrai appareil photo, je fais gaffe à ne pas avoir trop de reflets (j'ai mis un film plastique sur ma CNI pour éviter que le cuir de mon étuis perso ne déteinte dessus). Puis je refais la vidéo, bien devant une fenêtre pour avoir ma tronche bien éclairée et tout. Trois quarts d'heure de "taff".

Je me fais recaler parce que ma CNI serait soi-disant trop abîmée. Elle est comme neuve, puisque j'ai le film plastique et la sors jamais de son étuis. 6e essai, 2h passées dessus, ça me saoule.

Forcément, je râle tout autour de moi, et on me dit que j'ai qu'à le faire avec mon passeport. Pas con. Sauf que je ne suis de nouveau plus là où j'ai mon laptop…

Finalement ça me saoulait autant d'expliquer à l'expéditeur pourquoi ça chie et qu'il m'envoie éventuellement une lettre papier à chercher à la poste et tout que j'ai tenté sur la tablette de ma mère, sur un vieux android pas mis à jour (youhou la sécurité !). Forcément, Firefox s'est crashé au moment de la vidéo (oui il a toujours été bancal sur android/x86). Je le fais donc sous chrome… 20 minutes plus tard j'en suis donc à mon 8e essai.

Et là ça passe ! Tout ça pour remplacer un coup d'œil de même pas 10 secondes du facteur sur ma CNI s'il m'avait apporté chez moi une LRAR standard !

Et, soit dit en passant, l'expéditeur avait doublé son envoi d'un mail "standard" avec tous les documents, donc tout ça juste pour accuser réception…

Pour la 2e fois, je dois déposer les comptes annuels de mon EIRL. L'année dernière, toutes les infos en ligne sur combien il fallait payer se contredisaient. Pour l'immatriculation j'avais naïvement suivi ce qui était affiché en ligne et ça m'avait pété à la gueule (blocage + refaire un autre chèque pour 20c de moins). Donc pour le premier dépôt j'avais envoyé un mail pour demander, et effectivement on m'a répondu un autre montant (à quelques cents) que celui affiché.

Cette année, pareil, infos contradictoire même si "au 1er janvier 2021" est indiqué partout. J'envoie donc un mail (d'autant qu'il y a eu le changement TI/TJ entretemps donc je sentais bien l'embrouille).

Ici sur infogreffe, il est écrit :
Dépôt des comptes annuels EIRL (ou du document comptable simplifié) au Registre spécial des EIRL ou au Registre spécial des agents commerciaux 9,40 €

La réponse que j'ai eue : 9.39 € ! Donc 1c d'écart !

Je pige pas comment c'est possible en 2021 ce genre d'ânerie, ni comment les autres font, car ils ne doivent pas tous envoyer un mail… et le dépôt en ligne, j'ai essayé l'année dernière et cette année, ça ne marche pas pour les EIRL apparemment.

Quelques statistiques publiques à propos des voitures en France (caractéristiques, comparaisons, par type/gamme, par énergie, etc.) sur la durée.
Je sais bien qu'on fait dire ce qu'on veut aux stats mais en l'occurrence on ne peut pas trop trouver d'autres chiffres que les données officielles. Je ne savais pas qu'elles étaient publiques.
En tous cas je trouve intéressant, parce que au moins tu peux étayer un peu quand tu contredis quelqu'un qui te balance un on-dit au doigt mouillé qui l'arrange, là au moins ça a l'air à peu près factuel… ou tout au moins cohérent.

Petit outil d'estimation de la bande passante CPU⇔RAM, avec cœur écrit en assembleur directement (pour s'assurer d'avoir toujours le même code).
Nous allions changer de RAM sur une machine et passer de 2133 à 2666 MHz, du coup j'ai cherché et testé cet outil pour voir s'il y avait réellement une différence.
Il y en a une légère, de l'ordre du Go/s en brut… mais les tests de memset/memcpy, eux, n'ont pas vraiment montré de changement significatif.
En tous cas, petit outil simple et facile à utiliser, qui sait même générer quelques graphs en fonction du test et de la taille des échantillons.

Si toi aussi t'as la flemme de retrouver comment réussir à envoyer un fichier sur un mutu web que tu connais pas avec des identifiants que tu as oublié, mais que tu veux quand même envoyer un fichier de plus de 2Mo sur le wordpress vite-fait, il y a effectivement quelqu'un qui s'est amusé à coder le plugin qui va bien pour contourner la limitation en coupant le fichier en rondelles et le reconstituant derrière. \o/
Si toi aussi tu galères en cherchant ce plugin-miracles, peut-être que tu seras content de trouver l'info sur un shaarli, malgré les phrases à rallonge de l'auteur…

Quand tu as une BMC, il peut être parfois compliqué de lui causer depuis le système hôte. Sauf que se connecter à l'interface web c'est pas toujours pratique non-plus. Et SSH peut être en carafe ou pas configuré.
Il y a une norme IPMI pour cela. Des fois ça marche, des fois ça marche pas. Ce qui est à noter c'est que sur des carte mères presque grand public (les Asrock Rack X470D4U) ça fonctionne directement, avec le module mainline Linux 5.4 sans avoir rien besoin de faire (d'autre qu'installer un outil pour lui parler comme ipmitool). La plupart des fonctions sont OK comme changer l'IP par exemple ou voir les sensors directement. C'est cool \o/

Depuis le temps que je bidouille du /e/n/i je n'avais jamais eu à mettre plusieurs IP au même bloc iface… en fait c'est simple (apparemment depuis iproute2), il suffit de mettre 2 blocs iface. Même que ça marche (sous Buster) !

Si l'ouverture d'un document PDF verrouillé par mot de passe ne fonctionnement pas sous votre Debian Buster, c'est potentiellement à cause du bug ci-lié. Semble (je n'ai pas trop cherché) affecter poppler 0.66 et le commit de fix semble être dans la 0.73.
En tous cas sur une mint 19.3 (que j'avais sous la main pour tester) en 0.62 ça fonctionne.

EDIT: comme alternative, le PDF.js de Firefox ESR actuel (78) fonctionne.

Un graph 3D représentant les idéologies et organisations s'y rattachant telles que vues par tzitzimitl.
Ce graph est vraiment sympa à mon sens de relatif béotien dans ce domaine car il permet de sortir d'un schéma "droite/gauche" pour fixer 3 axes arbitraires et définir les idéologies que l'on souhaite selon ces critères-ci. La version pré-remplie ici est déjà bien, mais on peut tout modifier directement puis publier sa version. On peut aussi se placer soi-même là-dedans.

Exemple d'usage : en 3D on voit bien que ce n'est pas forcément faire le grand écart que d'être à la fois intéressé par des idées anarchistes et libérales par exemple qui ne sont finalement pas si éloignées, toujours selon ces 3 critères. Alors que le communisme (tel qu'il a été implémenté) est, lui, franchement loin.

Ah oui il y a tout simplement un link application/rss+xml sur les pages youtube… alors que tellement galère de trouver le channel_id sinon… donc encore plus simple pour ajouter une chaine à son agréagateur habituel :)

Alors pour les gens qui utilisent encore POP et qui ont un Thunderbird qui se met à jour tout seul comme souvent sur les Windows, si subitement sans rien remarquer de différent et sans message d'erreur çamarcheplus™, la raison pourrait être que Thunderbird 78 désactive par défaut TLS < 1.2 et que certains fournisseurs comme ici Free n'ont pas mieux que TLS 1.1 sur POP !

Trois "solutions" toutes crades :

• le plus logique, passer en IMAP sauf que Thunderbird ne sait pas faire, il faut créer un nouveau compte et buter l'ancien et copier les mails entretemps car en POP tout est viré du serveur au fur et à mesure par défaut (c'est pas moi qui suis boulet a priori, c'est officiel : https://support.mozilla.org/en-US/kb/switch-pop-imap-account)
• réactiver les vieux TLS… sauf qu'il faut aller dans le about:config etc. et au téléphone j'ai pas eu le courage
• désactiver la sécurité… au final ça passe des serveurs free sur une ligne free et ça n'en sort pas donc ils ont déjà accès à tout de toutes façons…

J'ai choisis la dernière solution, bien crade mais moins relou à distance… et entre un TLS troué ou pas de TLS sur une ligne FAI vers un service FAI… dans tous les cas c'est pas ouf.

Si seulement TB pouvait au minimum afficher un message d'erreur, même incompréhensible… on aurait au moins un point de départ…

Depuis un certain temps (voire toujours), il m'a été compliqué d'utiliser OMEMO pour XMPP. C'est vrai que c'est compliqué, que les serveurs et les clients ne suivent pas forcément les specs etc. mais ça marchottait quand même.
Depuis quelques jours c'était plutôt pire, et avec un contact, systématiquement, s'il commençait la conversation, je ne recevais rien (ou si par hasard je regardais au même moment, j'avais la signalisation qu'il était en train d'écrire mais jamais le contenu).
On a tenté de creuser ensemble le problème, mais quoi que je fasse, il n'avait d'active par défaut au tout début qu'une clef précise ne correspondant à aucun des clients que j'utilisais !
Nous avons tous tenté de tout purger de chaque côté concernant OMEMO mais rien à faire. Même en purgeant la clef du client et en en obtenant donc une nouvelle, cette (mauvaise) clef-là était toujours la seule présentée au début.
J'ai fini par déplacer directement sur mon serveur ejabberd tout ce qui était donnée pubsub eeeeet… depuis ça marche.
Les clefs (publiques) sont stockées côté serveur et présentées lorsqu'on est déconnecté, de tel sorte qu'un contact va pouvoir écrire des messages chiffrés qui seront stockés et lisibles par n'importe lequel des client que j'utiliserai en premier pour me connecter (s'il était déjà connu du serveur bien sûr). Et apparemment ce stockage était corrompu…
Forcément tout contenu pubsub stocké par tous les utilisateurs de mon serveur a sauté… je ne sais pas trop quel impact cela a mais il devrait être léger.

Qu'est-ce qui fait réagir un système avec systemd aux événements ACPI (poweroff etc.) ? logind !
Du coup la doc qui dit qu'il faut acpid n'est plus utile : quand acpid fonctionne, il appelle un script qui vérifie juste que logind tourne et qu'un appel dbus précis est possible (voir /usr/share/acpi-support/policy-funcs).

J'ai creusé tout ça parce que une seule VM parmi une grosse dizaine ne répondait pas aux injonctions d'extinction "propre" de son hyperviseur…
Il se trouve que cette VM était à la base un conteneur LXC non-privilégié (oui j'ai testé ça un moment pour voir). Et dans ce conteneur, le service systemd-udevd était masqué…

J'ai appris plein de choses sur udev, acpi, logind.
J'ai découvert les modules noyal "button" et "evdev".
Par hasard je suis tombé sur lsinitramfs.
Pas si mal :)

Pour lancer acpid en mode debug + log : acpid -d -l -f

Pour faire un gros transfert (plusieurs centaines de To), j'ai tenté d'après cette réponse le coup de tar + mbuffer. Avec de gros buffers côté mbuffer, c'est vraiment pas mal. Et mbuffer gère lui-même la partie réseau (avec -I et -O). On pourrait peut-être imaginer compresser en plus ou éviter les header de tar mais c'est déjà pas si mal je trouve.
Sur réseau 10 Gbps, on arrive à monter à du 250 Mo/s avec le vent dans le dos : c'est probablement un des systèmes de fichiers distribué qui traine, le transfert tourne alors que tout est en prod, etc. En tous cas c'est beaucoup plus rapide qu'un simple rsync (encore heureux). Mais forcément on ne peut pas reprendre s'il y a un crash…

Un pine64 dans un coin et envie de monter vite-fait une sonde de température avec un DS18B20 sous la main ?
C'est devenu facile…

• il y a une image armbian basée sur Debian Buster toute prête
• le pine64 est "mainline" depuis un moment donc on peut utiliser un Linux standard
• il y a même ce qu'il faut pour activer le w1 (one-wire) facilement, aussi facilement que sous raspbian, à coup d'overlay dans le DT

Doc utile :

le branchement des connecteurs
http://files.pine64.org/doc/Pine%20A64%20Schematic/Pine%20A64%20Pin%20Assignment%20160119.pdf

Des thread de forum (pointus en tous cas pour moi à propos de DTD) :
https://forum.pine64.org/archive/index.php?thread-1004-1.html
https://forum.pine64.org/archive/index.php?thread-6987.html

et ci-lié comment activer les overlays et utiliser leurs paramètres.

Dans mon cas j'utilise le GPIO 18 du connecteur Pi-2-like. Donc pin PC8.

Il m'a suffit d'ajouter ces deux lignes dans /boot/armbianEnv.txt et pouf le thermomètre est reconnu et fonctionne :
overlays=w1-gpio
param_w1_pin=PC8

Le plus long a été de trouver les infos, essayer de la comprendre, découvrir que tout est déjà prêt et pré-mâché…

Pas si mal sur le fond, même si j'ai du mal avec le style. Bref en tous cas, il semble que ce soit reparti pour un tour d'interdiction de l'IEF (instruction en famille). Devons-nous nous bouger une énième fois ?

Source de l'edit : expérience. Après si t'es bien avec ta banque tu peux toujours demander l'extourne de ces frais… par exemple dans le cas d'une assurance-vie qui traine dans un coin (lire : pas dans ta banque principale pour raison historique) mais que leur SI lie forcément à un compte courant pour leur simplifier la gestion (ce que je comprends)… et que donc ce compte sera toujours inactif par définition et n'est en réalité pas du fait du client.

Ça serait une clause du contrat avec la banque, limite ça serait moins pire qu'une sorte d'arnaque légale… même si ce sont peut-être les lobbys banquiers qui l'ont institutionnalisée. Et oui j'ai lu l'argumentaire de la loi eckert, mais je suis pas pour autant convaincu, surtout en 2020.

Alors comme ça on nous prépare des files sur la route réservées à certaines personnes ayant le droit de dépasser les autres sur des critères complètement subjectifs… si ça c'est pas de la discrimination, je sais pas ce qu'il vous faut :) Déjà que les files réservées aux bus c'est à mon sens très limite… là c'est vraiment pire.
Et le pompon c'est qu'on développe en même temps de quoi surveiller cela, comme si une machine automatique pouvait vraiment détecter à la volée combien de personnes sont dans une voiture avec une fiabilité suffisante. Entre les bébés dans leur siège, les pare-soleil à l'arrière, les vitres teintées etc. je vois juste pas comment c'est possible. Et ça devrait même détecter les mannequins… hé beh. :)
Donc au lieu de débloquer les bouchons, on va continuer d'en créer artificiellement (bah oui la voiture c'estmal™) tout en dé-pénalisant lesgensbiens™. Et en se basant sur des choses totalement abstraites comme "crit'air 0" qui pour le coup va vraiment avantager les méchant riches car pour l'instant la voiture électrique c'est pas vraiment le plus facile niveau budget.
Je trouve toujours autant magnifique le niveau de bullshit qu'on peut faire passer sous couvert de… euh… ce qu'ils appellent "écologie" mais qui n'a rien à voir avec la nature ou la gestion des ressources ? Parce que désolé mais les voitures électriques, c'est rigolo, c'est classe, c'est pro-nucléaire donc potentiellement plus pérenne, mais la partie "écologique" je cherche toujours (indices : masse, batteries, source de l'énergie).

ffmpeg utilisé comme ici et couplé à un serveur rstp (comme spydroid, disponible sur f-droid) sur le téléphone permet d'avoir une webcam via android sur son linux. v4l2loopback est packagé dans Debian. C'est donc assez simple à tester.

Je n'ai cependant pas réussi à avoir mieux que 320×240 de définition depuis spydroid et il faut passer un paramètre au module v4l2loopback (https://github.com/umlaeute/v4l2loopback/issues/78) pour le rendre compatible avec les applis "relou" comme Chromium. Sinon ça va. Et non je ne vais pas montrer ma tronche en visio conf mais j'ai quand même tout testé comme si… histoire de savoir.

J'ai voulu tester un hébergement web + PHP + MariaDB rapidement et j'avais vu passer adminer sans vraiment prêter attention. J'ai donc testé… et oui ça juste marche. Un simple fichier PHP et c'est parti on peut a priori faire ce qu'on veut avec ses bases de données (il y a plein de SGBD reconnus) sans se prendre la tête avec les commandes SQL reloues. Ça permet de mettre son nez "graphiquement" et tester toute la chaine, tester des sauvegardes, etc.

En tous cas beaucoup plus simple que phpMyAdmin…

J'ai quelques sites web qui tournent chez moi depuis un moment (2010…), et au fur et à mesure j'ai appris des choses, mis d'autres choses en vrac, changé des configurations, etc.

Je suis en train de migrer une partie de mes services dans des VM sur d'autres machines. C'était donc le moment de revoir de fond en comble mon setup web.

J'ai beaucoup cherché s'il n'y aurait pas moyen de tout mettre dans un système magique qui s'occupe un peu de tout, calcule des infos en plus (graph), permet de filer un coin de web rapidemement à quelqu'un sans se prendre la tête etc. et forcément il y a plein d'outils qui existent et qui prétendent faire le café.

Grosso modo j'ai vu soit des gros trucs pour revendeurs à la cpanel/vesta/ispconfig/… soit des scripts maison mais qui du coup ne fonctionnent que sur par exemple Ubuntu (LEMPer) ou CentOS (VPSSIM). Or toute mon infra est en Debian, et je n'ai pas besoin d'intégration mail/DNS/TLS/… car tout cela est déjà géré par d'autres briques. Sortent un peu du lot, froxlor et tinycp…

J'ai hésité pour froxlor mais beaucoup de doc date de Debian wheezy, il y a tout de même cette notion de revendeur, DNS, mail, … qui ne m'intéresse pas (mais il suffit de ne pas les utiliser, on est d'accord… alors que ça rajoute quand même de la complexité et des risques de failles). Et au final ça ne semblait pas me rajouter beaucoup de facilité. Il aurait aussi fallu gérer les mise à jour et mises à niveau (comme pour tout outil quoi).

Tinycp avait l'air vraiment sympa mais actuellement les dev sont en train de se demander comment ils vont fournir leur bidule et dans tous les cas le code n'est pas libre. Donc compliqué dans le temps si on a pas envie de se prendre le chou et pas propre éthiquement.

J'ai donc perdu beaucoup de temps pour au final écrire le script qui fait juste ce que je veux et voilà. J'espère que je ne suis pas passé à côté de certaines notions élémentaires que les panel sus-cités ont déjà pris dans la tronche et corrigé : le web c'est compliqué et pas vraiment passionnant.

De nos jours sur un système avec systemd (comme une Debian "à jour" sans bidouille pour l'enlever), logrotate est lancé par un timer systemd, et enregistré en tant qu'unit systemd. Pour faire un run de test, il suffit de le start comme un service normal du coup… trop simple.

Pour tester une configuration logrotate, on peut aussi feinter la date de dernière exécution dans /var/lib/logrotate/status et donc après un start, bien vérifier que tout se passe bien… trop simple aussi, mais j'ai dû chercher pour tout ça, je me dis que ça peut servir souvent plutôt que "flemme".

Suite à une discussion sur le chan IRC de proxmox, il semblerait que désactiver ce pointeur absolu lorsqu'on a par exemple une machine virtuelle sans interface graphique (un serveur par exemple) diminue la charge à vide d'environ 2% à autour de 0.7, parfois 0.0 même.
Je reproduis ce comportement chez moi… pourquoi pas du coup. Ça se fait en live, et côté kernel de la VM ça se voit comme une déconnection de périphérique USB.
Celui qui en parlait avait dans les 8% en permanence, et retombe aux même valeurs sans.
À noter que la même option est gérée par libvirt, et que là j'ai déjà remarqué que c'est plutôt utile d'avoir un pointeur absolu lorqu'on utilise une interface graphique via Spice par exemple. Sinon on retombe dans le "vieux" mode où le pointeur se fait "coincer" sur l'affichage et il faut explicitement sortir via une combinaison de touches.

Notes de mon approche pour passer sur une fibre Orange du vieux PPPoE à DHCP. Le principal problème étant que dans ma zone il est nécessaire de taguer les paquets DHCP avec la bonne priorité VLAN… j'ai donc patché busybox et odhcpc6.

À noter qu'au passage, j'ai de l'IPv6 native, un débit qui passe de 100/100 à 400/400 et je ne remonte plus forcément à Paris (donc meilleur routage vers Francfort par exemple et géoloc au bon endroit). Et aussi, plus de changement d'IP systématique toutes les semaines, même si l'IP risque de changer quand même en cas de coupure prolongée.

Toi aussi passe 2h à comprendre pourquoi ton scanner (HP, bien géré par hplip normalement) marche plus depuis mise à jour en Debian Buster…
Verdict : il faut recompiler hplip avec le patch ci-lié…

Problème : tout marche avec hp-scan mais au moment de lire des données
error: No data read.

Éléments notables :
3.18.12 buster = pas marche
3.17.10 VM mint = marche

Très utile :
SANE_DEBUG_DLL=128
hp-scan -g

S'il y a du rouge ou des erreurs à la construction du paquet, je suppose que c'est normal en tous cas ça gène pas…

On ne doit plus voir la ou les lignes d'appel à l'option après patch :
[dll] sane_control_option(handle=0x134a1d0,option=9,action=1,value=0x7ffdf74d0b60,info=0x7ffdf74d0b54)

Le patch modifie une lib cpython, distribuée par le paquet hplip, donc il faut soit l'installer lui (et pas la partie libsane comme je faisais un moment) soit juste copier la lib comme un bourrin.

Rapport de bug d'où le patch semble venir (Debian a "juste" importé 34 (!) patches de Fedora… entre autres) : https://bugzilla.redhat.com/show_bug.cgi?id=1684434

Proxmox est passé (il y a longtemps) d'un simple tar disque virtuel + conf à un format perso (mais ouvert) pour contenir les backup. Pourquoi pas, et il y a des raisons apparemment compréhensibles.

Cependant, on peut être amené à vouloir vérifier un backup ailleurs, sur une machine non-Proxmox (son desktop par exemple). Il existe un outil pour gérer ces sauvegardes mais apparemment pas trop dissocié ni dissociable… il vaut mieux être prévenu du coup, ce que je fais là.

Au pire du pire on peut faire comme moi et juste copier l'exécutable et les libs à la main, si on est sur une distro pas trop différente ça se passera bien (moi du coup de Debian 10 à Debian 10 ça a été crème :)).

Si on s'est trompé de nom (ou a oublié une parie) à l'installation d'une machine Proxmox, renommer n'est pas trop compliqué, suivre la doc officielle. Par contre (comme dit ici : https://memo-linux.com/proxmox-renommer-un-noeud/) il peut être nécessaire de faire un bon vieux reboot au bout, en tous cas on n'a pas réussi sans, même à relancer la plupart des services.

Sous Proxmox, il y a en fait une base sqlite qui reprend les configurations et qu'on ne croise quasiment jamais. Les fichiers texte sont matérialisés au lancement du démon PVE, et sont synchronisés (de manière bidirectionnelle, on peut les éditer) en permanence. Si on a des vieux restes par contre, et que éditer les fichiers nous est refusé (on se fait jeter sur les permissions d'écriture), il peut être nécessaire de taper dans la base. Il faut le savoir…

Après la base est pas bien méchante, c'est une seule table "tree" où il y a les fichiers quasiment tels qu'ils sont créés, que ce soit le corosync.conf ou ceux propres à PVE. Voir l'article lié sur comment purger, mais c'est sur SQL de base.

… en tous cas sur un Tplink Archer C7 v4, le hardware offloading fonctione avec OpenWRT 19.07 ! Je suis passé de environ 350 mbps avec iperf3 à 750 mbps (donc proche de la limite à 800 de mon abonnement fibre). C'est pas mal de savoir qu'un firmware libre arrive à ces débits sur du NAT sur un routeur grand public.

À savoir que l'offload se fait à coup de règles iptables, se configure donc au niveau du firewall (et si on utilise l'interface luci, ce sont des cases à cocher : Système -> Firewall -> software offload et hardware offload).

Exemple :
FLOWOFFLOAD all -- anywhere anywhere / !fw3: Traffic offloading / ctstate RELATED,ESTABLISHED FLOWOFFLOAD hw

J'ai un système de fichiers corrompu (un rootfs de RPi), mais pas trop, et pour la science je me demande quels sont les fichiers impactés. Je me suis souvenu qu'il y a dans les metadata de tous les paquets deb (ou presque) un fichier avec les md5sum de tout ce qu'ils contiennent. Je me suis dit qu'il devait bien y avoir un moyen de les utiliser. C'est possible avec debsum.
Sur le post ci-lié ils suggèrent debsums -a, pour mon cas c'est plutôt debsums -s qui m'intéresse.
On obtient une liste des fichiers qui ne correspondent pas au md5sum d'origine (pour peu que lui-même ne soit pas corrompu…) avec pour chaque le nom du paquet auquel il appartient.
Pas la peine de troller sur les collisions dans md5sum etc. pour ça, ça suffit amplement.

J'ai toujours trouvé checkinstall pratique pour complier, tester avec installation réelle et modifier un soft sans risquer de mettre le bazar sur son système (oui on peut aussi faire des chroot, des VM, … mais bon).
Apparemment cmake a une fonction équivalente, cpack. On peut soit le configurer dans le projet, et il suffit de faire "make package" pour que le projet soit packagé/taré à la fin soit directement lancer l'outil cpack avec toutes les variables sur la ligne de commande. Ici le lien utilise la configuration.

Pour être honnête j'ai pas trop compris, je me mangeais un mur tout le temps comme quoi cpack ne pouvait pas initialier la sortie en "DEB" mais tout à coup ça s'est débloqué après avoir testé d'autres sorties… les magies de cmake et des configurations changées à la volée je suppose (oui j'avais reset le dossier build…).
Bref bien pratique !

Intéressant ces mini-différences de prononciation à travers la francophonie d'Europe… et comment ils voient même maintenant encore se balader des prononciations comme pour le klaxon. Et moi dans ma grotte qui ai toujours supposé que les gens qui disent -onne savent pas lire :P

Bug entre uswsusp et plymouth de 2013, dup d'un de 2010, qui apparait en 2019 dans Debian Buster car desktop-base dépend de plymouth… on adore les broutilles qui passent entre les mailles des filets et qui pètent à la gueule des années plus tard.

Je confirme que copier la DB SQLite mmssms.db et les data MMS à la main fonctionne encore, d'un android 4.4 vers un 7.1 en tous cas.
Par contre si l'appli était déjà lancée avant, les données n'étaient pas vues, j'ai dû reboot… je suppose qu'il y a un cache.

Tiens jouons un peu sur les chiffres, pour comparer à la louche (ordre de grandeur) la rente du gentil pauvre et la rente du méchant riche. Partons du RSA. Pas de troll "c'est pas assez/trop/branleur/etc." pour l'un ou pour l'autre, on s'en fiche là, on parle juste maths et on se concentre sur les revenus/rentes, pas le capital. On ne parle pas non plus de chômage ou autre allocation, juste le RSA.

Donc d'après ce site le RSA pour une personne seule c'est 559.74€ par mois. Donc 6716,88 par an.

Si on part sur de l'assurance vie, le placement préféré des français (!), on trouve à ce lien-là que du 2% de rendement c'est possible, pas rare : https://www.lerevenu.com/placements/assurance-vie/assurance-vie-les-rendements-2018-des-meilleurs-contrats. On soustrait la CSG de 17,2% et on ignore l'impôt sur le revenu (trop compliqué avec des délais de possession, un choix entre forfaitaire abattement ou barème progressif etc. et existe aussi pour le RSA) et on arrive à 1.656% par an. 6716,88÷1.656×100 = 405608 et donc une personne au RSA a une rente équivalente à 400k€ d'assurance vie.

Si on part sur un placement en actions, qu'on ignore la spéculation (bah oui on parle de rente là, pas de capital on a dit), entre les boites qui n'ont pas de dividende et celles qui baissent de cours tout en gardant leur dividende haut on doit atteindre en moyenne du 3% sans trop se fouler (voir des pages avec les descriptions de porte-feuille de tel ou tel ponte du domaine). En appliquant la flat tax de 30% (oui ici j'inclus donc l'impôt sur le revenu, le calcul sera d'autant plus juste) on a du 2,1%. 6716,88÷2.1×100 = 319851 et donc une personne au RSA a une rente équivalente à 320k€ de placement pépère en actions.

Si on part sur de l'obligataire, je n'ai pas trouvé de moyenne mais de toutes façons le taux actuariel, si la valeur est assez liquide, s'ajustera en fonction du moment… là j'ai sous les yeux une obligation du crédit agricole 1,50 % décembre 2018 / 2028 et actuellement en juin 2019 elle cote à 102% donc à peine au-dessus. Si on applique aussi la flat tax, on a 1,05% (oui c'est pire que l'assurance vie car eux ils ont d'anciens placements à des taux plus hauts, alors que ici on parle de là maintenant sans arriérés). 6716,88÷1.05×100 = 639702 donc il faudrait 640k€ à investir dans la CASA 1.5 2018 pour arriver à un RSA.

Je trouve intéressant de voir cette comparaison, parce que pour moi 400k€ d'assurance vie à son nom c'est déjà une rente conséquente alors qu'au final, actuellement, c'est ce qui correspond à un RSA… il faut croire que rentier sur le capital avec peu de risque c'est pas efficace actuellement. Même si cette comparaison rapide est pleine d'approximation.

Je squate de plus en plus /dev/shm sans soucis pour tout ce qui est temporaire/calcul, soit pour économiser des écritures sur carte SD (ou même SSD avant), soit pour la rapidité d'accès et je n'ai jamais eu de problème. Je vais là simplement parce que c'est un tmpfs (~ ramdisk) qui est souvent disponible, en tous cas sur du Debian(-like).
Mais il semblerait que par défaut systemd soit supposé vider les fichiers à la fin de la session d'un utilisateur (typiquement quand on quitte la dernière connexion SSH à une machine). J'ai rencontré ce "problème" seulement maintenant… en mode gros WTF.
Bon à savoir donc (et si vraiment on veut on peut facilement le désactiver avec RemoveIPC=no dans logind.conf apparemment).

Souvent cité comme visualiseur de données de Graphite, Grafana est un outil web de visualisation de données arbitraires. Comme il n'est pas lié à un format de données ou une base de données précise, il est obligé d'être très souple, ce qui est plutôt pratique MAIS forcément on doit tout définir à la main… ce qui les a conduit à mettre en place un espace d'échange de "dashboards" communautaire plutôt pratique.
Pour l'installation, j'ai juste pris le deb fourni, dans une VM dédié… ça juste marche et puis c'est tout. Après on peut se balader dans l'interface, ça fait très web 2.0 lourd appli etc. mais en vrai c'est quand même pratique d'avoir ses graph interactifs, de pouvoir zoomer/voir précisément, etc.
Il y a un mécanisme de "commit" des modifications, ce qui fait qu'on ne risque pas trop de "casser" ses graph par erreur.
En plus de Proxmox, j'ai aussi installé un collectd (paquet dispo dans Debian) qui envoie dans Graphite. Le grafana a donc accès à ces deux sources via l'API de Graphite.
Le dashboard qui a marché immédiatement pour collectd (les autres avaient des problèmes d'accès aux données, genre sous-dossier vs '.' etc.) est : https://grafana.com/dashboards/9576
Dans les variables du dashboard, ils ont pensé à laisser une variable pour le nom du serveur ce qui fait qu'on a un menu déroulant pour passer de l'un à l'autre, pratique.
Pour l'instant le seul "problème" de Grafana outre le côté appli web, c'est que le format des dates est hard-codé de partout, on ne peut pas le changer, et est à l'américaine, ce qui est confusionnant pour nous… https://github.com/grafana/grafana/issues/1459

Je pense qu'avec proxmox + collectd + graphite + grafana on a moyen de faire quelque chose de vraiment propre pour surveiller une infrastructure (probablement plus propre qu'avec un outil tout fait comme zabbix, mais beaucoup moins clé en main car les données et le visualiseur sont décorrélés donc il faut passer du temps à tout définir, ou tomber sur un dashboard tout fait qui répond au problème).

Lié depuis la page de Proxmox comme outil de stockage/centralisation de données de monitoring implémenté en natif, graphite est un petit outil simple qui permet de stocker/gérer n'importe quelle série de données.
La partie serveur est dans Debian stretch. La partie lecture (API/Web) n'est que dans les backports…

À partir du README Debian (/usr/share/doc/graphite-web/README.Debian), j'ai dû faire cela pour qu'il tombe en marche :
sudo touch /var/lib/graphite/graphite.db
sudo chown _graphite:_graphite /var/lib/graphite/graphite.db
sudo chmod 0600 /var/lib/graphite/graphite.db
sudo chown _graphite:_graphite /var/lib/graphite/
sudo chmod 0700 /var/lib/graphite/
(éditer /etc/graphite/local_settings.py au besoin)

Pour la partie Django/web :
sudo -u _graphite /bin/bash -c 'graphite-manage migrate --run-syncdb'
sudo -u _graphite /bin/bash -c '/usr/bin/django-admin runserver --settings graphite.settings 0.0.0.0:8080'
sudo -u _graphite /bin/bash -c 'graphite-manage createsuperuser'

Le serveur HTTP intégré à Django pour les tests/développement n'a pas voulu me servir les fichiers statiques, même en mode debug. En suivant des tuto, j'ai pu utiliser uwsgi à la place…
sudo -u _graphite uwsgi --plugin python,http --http 0.0.0.0:8080 --chdir /usr/share/graphite-web/ --wsgi-file /usr/share/graphite-web/graphite.wsgi --master --processes 4 --threads 2 --stats 127.0.0.1:9191 --static-map /static=/usr/share/graphite-web/static/
Ce service HTTP est utile soit pour accéder directement à graphite-web (mais j'ai pas trouvé super pratique même si ça fait le boulot), soit accéder au données via l'API, via d'autres outils.

Pour la partie stockage/serveur, simplement installer le paquet graphite-carbon a suffit.

Sur une idée basée sur ce script qui affirme qu'il n'y a pas besoin de partition pour créer un disque de machine virtuelle et en utilisant extlinux, j'ai passé un peu de temps à transférer un conteneur LXC non-privilégié (fait alamano au début quand LXC 1.0 est sorti) vers une VM full qemu/kvm sous Proxmox.
Voici ce que j'ai fait :
sudo qm create 302
sudo qm set 302 -virtio0 local-zfs:10
=> création de la VM, avec un disque de 10 Go dans le zfs ; oui ça aurait pu se faire en une ligne mais entretemps j'ai réfléchi et au lieu de faire un fichier qcow2 et de le monter avec qemu-nbd et tout ce bazar je me suis dit que ça serait plus simple avec un bon vieux block device
sudo mkfs.ext4 /dev/rpool/data/vm-302-disk-0
=> pas de partition
sudo mount /dev/rpool/data/vm-302-disk-0 /mnt/
cd /mnt
=> tellement simple par rapport à un qcow2 + partition + éventuellement LVM… oui c'est pas chiffré mais pour un site d'affichage public, ça devrait aller
ssh IP-VM-avec-LXC 'sudo -S -u lxcguests lxc-usernsexec -- tar cf - /home/lxc/lxcguests/.local/share/lxc/web/rootfs/' | sudo tar xf -
=> copie avec tar pour la préservation des attributs de tout le rootfs ; lxc-usernsexec pour que tar soit exécuté dans le namespace uid du lxc (sinon root aurait été uid 100000 etc. selon ma configuration de l'époque). EDIT: Si l'on copie un LXC booté ou avec des montages, ajouter --one-file-system au tar cf pour être sûr de ne pas emporter trop de monde (/dev, /proc …) - FEDIT
sudo chroot .
apt install linux-image-amd64
=> on ajoute un noyau, ça va servir…
exit
sudo extlinux --install /mnt/
=> on le fait de l'extérieur, partition montée. d'après le man, c'est fait pour et ça nous évite de bind-mount /dev et compagnie dans le chroot ; là si on lance la VM on est déjà dans notre bootloader, qui demande quoi faire avec boot:

On peut alors booter en tapant tout à la main dans extlinux. Après un peu de tests et en regardant la config d'un autre extlinux qui fonctionne, j'ai pu arriver dans l'initramfs, puis dans un système qui boot mais avec le / en read-only.
Ma commande à la main dans extlinux (promt boot:) était :
/vmlinuz initrd=/initrd.img modules=ext4 root=/dev/vda
On utilise les liens dans / qui sont encore créés par le paquet du noyau sous Debian… :)
Ensuite j'ai posé ça dans un fichier de conf histoire de booter facilement quand même :
DEFAULT virt
LABEL virt
MENU LABEL Linux oasis
LINUX vmlinuz
INITRD initrd.img
APPEND root=UUID=db01b05e-2e90-4df7-a9b2-96a1ee04b1aa modules=ext4

J'ai aussi créé un fstab puisqu'il était vide (mais a priori pas vraiment utile du coup). L'histoire du / qui restait en read-only a perduré même avec un rw sur la cmdline linux, même avec le fstab… et est parti dès que j'ai mis systemd…
EDIT: sans fstab et avec systemd, read-only aussi ; réglé avec un fstab donc il faudrait les deux… ?

Bref ça fonctionne bien. J'ai perdu du temps à vouloir booter depuis extlinux à la main, à ne pas pouvoir monter / car pas de module ext4 (il disait juste "no such file or directory" ce con de mount…) et avec le read-only. Et j'ai aussi passé la mise à jour de jessie à stretch que j'avais jamais faite avant…

Classe, le site que j'utilise depuis des années pour savoir quand passera ISS par chez moi et à quelle luminosité publie une visualisation en 3D "en live" de la station au-dessus de la terre :) c'est mignon !

J'ai voulu tester du let's encrypt (oui…) sur une VM Alpine. Apparemment il y a enfin un setup simple, qui fait ce qu'on veut et qui juste marche. Mais je n'ai pas encore pu tester le renouvellement auto évidemment.
Avec les paquets, on peut installer acme-client-plus et acme-client. Le dernier est le client ACME d'OpenBSD, écrit en C et avec pas mal de fontionnalités (mais pas les wildcard si j'ai bien compris). Le premier est un script shell et les quelques fichiers de conf pour qu'il renouvelle au besoin.
Plus rien à copier, mettre en place, installer, il suffit de faire un "acme-client-plus issue" et hop on a son certificat (une fois qu'on a corrigé nos erreurs de DNS/routage/config serveur web/…). Un peu comme le script que j'avais mis en place il y a longtemps, à la main. Là c'est pareil mais en tout prêt.
À voir au renouvellement… !

Apparemment Alpine, bien qu'utilisant /etc/networg/interfaces à la Debian, n'a pas les petits sugar genre autoconf, dad-attempts, accept_ra etc.
Dans leur doc ils disent de désactiver la prise en compte des RA d'IPv6 avec un pre-up (soit avec un echo, soit avec sysctl). Seulement chez moi ça ne suffit pas, la route par defaut est déjà mise en place avant que ifup ne se bouge, donc on a une erreur "file exists" (mais qui ne gène pas). Par contre, la default est valide seulement le temps d'expiration du RA qui a été pris en compte. Donc au bout d'un moment la default disparait \o/ pour le voir, champ "expires" :
default via fe80::xxxx dev eth0 proto ra metric 1024 expires 1778sec hoplimit 64 pref medium
J'ai simplement créé un fichier sysctl :
$ cat /etc/sysctl.d/01-noslaac.conf
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.all.dad_transmits = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.accept_ra = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.eth0.autoconf = 0
net.ipv6.conf.eth0.accept_ra = 0
net.ipv6.conf.eth0.dad_transmits = 0

et là plus de problème. Oui je bourrine, mais on sait jamais si le nom de l'interface venait à changer par exemple #traumatisé. :)

On peut ajouter dans Qemu via virtio une source de random qui remonte de l'hôte. A priori c'est pour accéder aux sources "matérielles" mais on peut aussi coller ça sur par exemple /dev/urandom.
J'ai testé pour voir, et ça a effectivement débloqué le "problème" que je vois, à savoir que ssh boot tellement avant que urandom soit setup qu'il attend des fois plus d'une minute d'avoir de l'entropie. Pas très important, juste pour le level up/connaissance.
Je n'ai pas eu besoin de lier cette sources au random "kernel" d'une manière ou d'une autre genre avec hwrng comme proposé par-ci par-là.

Pour pouvoir déverrouiller le disque chiffré de ma VM, je me suis dit que plutôt que de passer par l'interface et le noVNC ou de bidouiller le VNC hors interface, je pourrais utiliser le port série. J'avais déjà joué avec ça dans des VM il y a un moment, bah ça s'est pas trop arrangé.
Avec systemd, maintenant on a bien un getty partout automatiquement, ça c'est pas si mal.
Par contre, les messages de boot et le prompt pour le mot de passe ça a l'air d'être le chantier (et pas à cause de systemd, hein, no troll).
https://github.com/systemd/systemd/issues/9899
Le workaround qu'on retrouve partout, c'est d'installer plymouth… sur une VM serveur etc. je me suis d'abord dit que nope nope nope. Mais en vrai ça juste marche, y'a un thème "text only" par défaut et l'installation a pris…882 ko donc bon si ça fait le job, en vrai, pourquoi pas… bootlogd par exemple ne fonctionne pas avec systemd, donc pas trop d'alternative pour le mot de passe en lui-même donc bidouiller un truc juste pour le blabla de boot c'est pas si utile.
Bref en gros, ajouter un serial au KVM, configurer le cmdline de Linux, configurer grub, installer plymouth et on peut tout faire par les deux moyens (qm terminal et noVNC).

Utilisant depuis peu un serveur sous proxmox pour la virtualisation, avec du ZFS pour la gestion du raid soft et des "partitions" des VM, j'ai eu la surprise de voir une utilisation complètement folle de la RAM d'après les outils classiques (top/free/htop).
Il s'agit apparemment d'un cache ARC utilisé par ZFS qui est supposé être meilleur dans le cadre d'un serveur de fichiers (ce qui du coup n'est pas le cas mais est un cas fréquent).
D'après https://superuser.com/questions/1137416/how-can-i-determine-the-current-size-of-the-arc-in-zfs-and-how-does-the-arc-rel :
Because of how ZFS on Linux is implemented, the ARC memory behaves like cache memory (for example, it is evicted if the system comes under memory pressure), but is aggregated by the kernel as ordinary memory allocations.

Pour regarder :
arcstat, /proc/spl/kstat/zfs/arcstats, arc_summary

Pour jouer un peu :
https://www.svennd.be/tuning-of-zfs-module/
pour le désactiver :
zfs set zfs set secondarycache=none rpool
zfs set secondarycache=none rpool
cela réagit bien à un drop des caches (mais pas complètement, moi il restait dans les 400 méga) :
echo 3 > /proc/sys/vm/drop_caches

Pour l'instant j'ai remis, c'est supposé être capable de réagir en cas de demande de mémoire (mais pas toujours : some applications will require a certain amount of memory to start, or request memory on a rate that is quicker then ARC size can lower, resulting in a crash/swapping). Je verrai bien mais il vaut mieux être prévenu…

Avec gnuplot on peut faire des choses "compliquées" comme noter les min/max locaux d'une courbe. Bon c'est un peu verbeux quand même, et fait à la main mais ça fonctionne.
Ici le post montre le code pour les maximum mais il suffit de rajouter la condition pour minimum aussi, par exemple : || (last2y > lasty && $2 > lasty)
On remarquera que j'ai supprimé le paramétrage des colonnes qui rend le code quand même beaucoup moins lisible (tous ces column() de partout).

Si jamais systemctl --user marche pas avec cette erreur, il suffit de définir la variable d'environnement qui va bien pour débloquer la situation :
XDG_RUNTIME_DIR=/run/user/$(id -u)
Pas besoin de bricoler avec du dbus ou quoi. On peut l'exporter dans son bashrc par exemple. Probablement dû à un sshd configuré sans PAM dans mon cas mais il y a sûrement d'autres raisons possibles.

Ma syncho mail était cassée depuis quelques temps par perte de connectivité entre mes deux réplicats dovecot (en IPv6, pas d'accès tunnel HE chez Cogent).
Pour contourner cela, je me suis demandé s'il n'y avait pas moyen de faire du routage dans un tunnel SSH. Et la réponse est oui, c'est même facile : ssh -w 0:0 (en root des deux côtés) va créer une paire de tun0 qu'il suffira de configurer !
ip link set tun0 up
ip route add … dev tun0
… le forwarding, etc.

En lisant la page liée, j'ai donc juste eu à créer une paire de clefs SSH, faire la config (sshd_config without-password et PermitTunnel) et c'est tombé en marche rapidement :)

Fichiers sysfs faciles à accéder pour voir les compteurs des interfaces réseau sans passer par une commande ou parser des sorties plus ou moins obsolètes comme ifconfig. Exemple pour le rx :
/sys/class/net//statistics/rx_bytes
/sys/class/net//statistics/rx_packets

… et donc pour convertir en ordre lexicographique tout un dossier de JPEG, sans faire de boucle, sans gérer l'index soi-même et sans limite de taille de ligne de commande (sans * quoi), le tout en parallèle sur tous les cœurs dispo :

ls -1 | grep JPG | MAGICK_TMPDIR=/dev/shm parallel convert {} '/dev/shm/tests/$(printf %04d {#}).png'

(oui je fais tout dans shm, c'est plus rapide de mettre les fichiers temporaires et les résultats dans la RAM quand on en a assez, et ça bourrine moins HD/SSD)

Cacher un exchange où les administrateurs n'ont pas activé IMAP derrière davmail, ça devient presque supportable niveau réactivité quand on passe en accès EWS au lieu du webdav, comme suggéré sur le lien ci-lié.
Attention, ne pas mettre d'espace après l'URL :-' https://sourceforge.net/p/davmail/mailman/message/33184515/

Article que j'ai trouvé très complet, avec de bonnes explications sur comment fonctionne qemu-user, à quoi ça sert etc.
Pour utiliser qemu-arm-static, j'ai dû installer le paquet qemu-user-static (ce n'est pas décrit). Le -static désinstalle le -binfmt. Bizarre. Pourtant même après ça, le bon interpréteur est tout de même utilisé automagiquement et les fichiers de "registration" des formats sont toujours là (voir /proc/sys/fs/binfmt_misc/).
En fait en rédigeant j'ai regardé et le -static rajoute de lui-même les binfmt… voir /var/lib/dpkg/info/qemu-user-static.postinst pas très homogène tout ça on dirait.

3.3V apparemment ça marche ? Bah moi d'abord j'ai fait tourner un RPi zero WH avec du 3V, na.
En fait j'ai oublié de vérifier la tension sur le transfo avant de brancher le RPi, je l'avais mis au minimum pour un petit ventilateur… ça aurait pu faire de la casse.
Au contraire, tout fonctionnait même le WiFi et l'HDMI. Juste pas l'USB…
J'ai aussi de la corruption sur certains fichiers, mais j'ai passé les mises à jour pendant la période 3V donc je pense que le contrôleur de la carte SD a fait ce qu'il a pu (ou que la carte est foireuse de toutes façons).
À noter qu'une libpam corrompue, ça te laisse à la porte de ta machine comme une merde, que ce soit SSH ou login. Normal mais bon… après réinstallation du paquet ça va quand même mieux.

J'ai voulu ajouter rapidement un petit daemon à un système Alpine pour qu'il démarre au boot. J'ai donc cherché des infos sur les script openrc. On tombe principalement sur les wiki de Gentoo et Arch, puis enfin celui d'Alpine.
Les deux premiers sont super remplis mais ne disent pas comment définir un user particulier… sauf à redéfinir la fonction start et stop et la ligne start-stop-daemon. Le wiki Alpine dit que la page est en chantier et de pas l'utiliser (et n'en parle pas non plus).
J'ai donc lu la page de man directement, lu les exemples, pris ce qui me semblait minimal, trouvé le paramètre user… pas si compliqué au final. Un peu frustrant. Et pas différent de systemd au final, pour les trolleurs ;)

!/sbin/openrc-run

command=/srv/davmail-4.9.0/davmail.sh
command_args="/srv/davmail-4.9.0/davmail.properties"
pidfile=/var/run/davmail.pid
command_background=true
command_user=davmail
name="Davmail Daemon"

Ennuyé d'avoir à utiliser du Outlook/OWA/Exchange pour gérer sa boite mail d'une entité full-Microsoft ?
J'avais testé il y a plus de 5 ans davmail sur mon poste de stagiaire mais plutôt pas très concluant… il me semble que ça fonctionnait un peu mais que j'avais des problèmes, en tous cas j'avais laissé tombé et me suis farcis OWA depuis (et c'est bien bien relou).
L'autre jour en discutant avec un autre utilisateur de ce système, il m'a expliqué qu'il utilisait davmail sur son poste directement, et j'ai re-regardé un peu.
Il y a même un mode serveur. Aujourd'hui, je me suis dit que c'était le moment de tenter, et j'ai fait rapidement une petite VM sur mon desktop à la maison avec une Alpine basique et ça…
Tout a fonctionné comme sur des roulettes. La seule chose que j'ai changé de la configuration d'exemple à part les spécificités de connexion, c'est l'activation d'IMAP IDLE, qui derrière faire un polling… j'ai mis une minute pour mimer le comportement de l'interface web qui est instantanée. S'ils sont pas content de la charge ils avaient qu'à cocher la case IMAP dans leur Exchange, chose que je réclame régulièrement depuis le début sans succès.

Donc voilà, Exchange/OWA/Outlook on peut rendre ça compatible avec le rste du monde via davmail. Ça reste tout aussi crade derrière mais un peu plus utilisable, puisqu'on peut utiliser un vrai client mail (je découvre Thunderbird dans la foulée…).
Pour ouvrir à plus de gens, il resterait à chiffrer les communications entre le client et davmail, il y a les options mais je me suis pas encore foulé avec les certificats puisque pour l'instant ça ne sort pas de mon PC…

Depuis juillet, lorsqu'on a/utilise un drone de loisirs, il est théoriquement obligatoire de suivre une mini-formation en ligne et d'enregistrer son appareil. Je viens de m'y coller (mais je n'ai utilisé le mien qu'une fois depuis juillet il me semble).
En fait le bouzin est effectif depuis 3 jours de ce que je comprends, donc ça tombe bien.

En gros, ça se fait. Le site est pas trop mal fichu, la "formation" c'est juste regarder quelques vidéo infantilisantes, et le QCM de l'attestation c'est 20 questions quasiment toutes directement issues des vidéo, et on peut recommencer autant de fois qu'on veut si on se rate (c'est l'histoire du gag classique de celui qui veut gagner 3 secondes et perd 3 minutes…).

La formation est ici : https://fox-alphatango.aviation-civile.gouv.fr/ Il y a besoin d'un compte uniquement lorsqu'on veut passer le QCM.
Le site hors formation est directement sur https://alphatango.aviation-civile.gouv.fr/ et est pas trop mal fichu, il faut être honnête !

P.S. l'attestation de formation est re-générée à chaque fois qu'on clique sur télécharger… comme j'ai téléchargé la mienne à 13h34, j'ai attendu 3 minutes et l'ai re-créée pour avoir 13h37…

Les applications CUDA indexent les GPU de la machine par défaut dans l'ordre de performance supposée, alors que dans nvidia-smi le listing est donné par ordre PCI.
On peut changer le comportement dans les applications avec CUDA_DEVICE_ORDER=PCI_BUS_ID dans l'environnement.

Quand on essaye d'envoyer un mail avec openssl s_client, au moment de faire un RCPT TO, on a perdu : s_client voit la commande 'R' et essaye de renégocier la session TLS…
Donc bon à savoir : openssl essaye d'interpréter ce qu'on envoit…
(là on contourne avec rcpt au lieu de RCPT et lala)

Utilitaire un peu comme gparted mais pour KDE, qui, lui, permet de redimensionner les partitions LUKS sans s'embêter à calculer des nombres de secteurs à la main.
Par contre, il faut opérer la modification sur le système de fichiers lui-même, à l'intérieur du conteneur… pas forcément intuitif, j'ai dû passer par la vidéo pour comprendre. Probablement parce que apparemment le conteneur LUKS n'a pas la taille totale lui-même, je suppose.

J'ai acheté un nouveau disque dur, et mis de l'ext4 dessus (dans un conteneur LUKS mais ça on s'en fiche). J'ai remarqué qu'il y avait en continu un tout petit peu d'activité disque, et comme j'ai aussi des lags bizarres et des compteurs SMART qui s'envolent j'ai suspecté le disque d'être mauvais.
Pour les SMART, une partie a arrêté de s'envoler en changeant de contrôleur et câble SATA dans la tour… une vieille tour que j'ai utilisée car je compte déplacer le disque après.
Pour les IO, il semble que ce soit ext4lazyinit, on peut le voir avec la commande donnée sur la page liée :
iotop -bktoqqq -d .5
J'utilise maintenant un dock USB3 pour tester, mais du coup je ne peux plus vérifier les SMART…

EDIT: monter avec init_itable=0 pour éviter que le thread fasse du throttling et torcher ça au plus vite… ça se passe à environ 70 Mo/s comme cela, contre 4 ko/s avant.

Depuis un moment j'avais des mails de cron sur mon conteneur web, disant que logrotate n'arrivait pas à reload apache. J'ai un peu creusé le problème au début, puis étant bloqué sur systemd parlant de namespace, j'étais resté coincé puis étais passé à autre chose.
Pour compliquer le debug, une fois un restart d'apache effectué, pas de problème pendant "un certain temps"…
Là j'ai retenté ma chance et pouf, je suis tombé sur ce rapport de bug Debian.
En fait, c'est tmpreaper qui nettoie les dossiers de "PrivateTmp" de systemd. Du coup au moment de mettre en place l'environnement pour lancer le reload, systemd n'arrive pas à accéder au namespace du /tmp puisqu'il a été viré !
Un message d'erreur plus explicite de la part de systemd aurait été appréciable. Et le problème n'est pas lié à LXC, ni à apache.
Quick fix (pour être complet) :
TMPREAPER_PROTECT_EXTRA='/tmp/systemd-private/'

Pour ARN, pour travailler sur un incident on aurait eu besoin d'une sorte de smokeping (ping en continu avec graph pour voir quand il y a des problèmes (latence, pertes, …)). J'ai cherché rapidement et à part "smokeping" qui a un mode daemon et visualisation web, le reste avait l'air proprio/winwin/…
Je suis tombé par hasard sur la page liée ici, où, simplement, ils font ça avec… ping et gnuplot.

J'ai donc bidouillé à partir de là, et au final ça donne :

ping4 -i 10 addresse-à-tester -D -n | grep --line-buffered icmp_seq | awk -F [=\ ] -W interactive {'print $1, " ", $(NF-1); fflush()'} | stdbuf -o0 tr -d '[]' > /dev/shm/pings4

Le plus difficile est à chaque commande pour être sûr de ne pas bufferiser, ce qui permet de lire le fichier de sortie immédiatement, sans arrêter la commande ou autre. Pas de soucis de faire des petites écritures puisqu'on envoie dans un ramdisk.
On a donc des paires "timestamp RTT"

Pour grapher cela, on peut utiliser :

gnuplot -e 'set term png size 1280,1024; set output "ping.png"; set xlabel "Time (UTC)"; set ylabel "RTT in milliseconds"; set xtics rotate; set xdata time; set timefmt "%s"; set format x "%b %d %H:%M"; clamp(a) = (a < 42) ? a : 42; plot "pings4" using 1:(clamp($2)) notitle'

Ici le plus sioux c'est d'une part la gestion du temps (timestamp vers "pretty"), d'autre part la limite (min ou clamp) pour éviter d'avoir un graph tassé/pollué par les ping vraiment trop hauts. Ici tout ce qui est plus grand que 42 ms est affiché à 42.

Ce qui reste difficile, c'est la détection de pertes. On ne les voit pas vraiment, surtout quand le graph commence à être large. En général en cas de problème on le remarquera autrement (nous ici, session BGP qui tombent). Après on peut aller fouiller en mode interactif (sans utiliser la sortie PNG de gnuplot). Et là on voit rapidement quand il y a un "trou" dans une certaine zone. En général ça correspond aussi à des moments où il y a eu un lot de ping à plus de 42 ms de RTT.

Si des gens veulent utiliser ça, en tous cas c'est relativement sans prise de tête et sans installation ou autre !

GIMP est sorti en version 2.10, version qui a mis 6 ans à être prête. La nouvelle fait un peu le tour du monde libriste, mais en tant qu'utilisateur depuis une version 1.x je dois quand même avouer que j'étais bien triste de lire ça et là que le logiciel était "en perte de vitesse". Et cette version a tout de même beaucoup de points d'amélioration importants, même s'il en reste. Je vous laisse lire la dépêche ! En tous cas les quelques fonctionnalités que j'ai testées sont bien chouettes (exemple, accéder aux entrées menu/outils via une recherche unifiée (par défaut le raccourcis '/')) :)
Ce qui me rend triste et me donne envie d'aider c'est que leur infra de dev a l'air bien mal en point… c'est toujours la même histoire, pas de mystère, rien d'anormal mais tout de même. Peut-être quand j'aurai le temps ? Lol.

Doc bien complète sur la remontée d'erreurs RAM/PCI dans le noyau Linux. Je suis tombé sur cette page en cherchant comment savoir la répartition de la RAM dans un serveur et ses caractéristiques, et en particulier son ranking (combien d'accès séparés / en parallèle sur les barettes).
À noter que l'outil edac-util ne fonctionne plus trop pour avoir les informations de ranking sur des intel modernes, puisqu'on n'a plus l'interface csrow mais dimm dans le sysfs.
dmidecode reste tout de même le plus simple pour trouver le ranking, lorsqu'il est affiché. Sous la main, j'ai des exemples de ranking 1, 2 et 4.

Ces interrupteurs magnétiques sont aussi utilisés pour détecter le débit d'eau dans un tuyau et déclencher un chauffe-eau dit « instantané », sans ballon pré-chauffé.
A priori il semblerait qu'il y ait une sorte d'hélice dans le tuyau, qui, en tournant de plus en plus vite, actionne un tel interrupteur placé directement au bon endroit contre le tuyau et ferme donc un circuit, lequel actionne des relais déclenchant les résistances.
Il suffit d'approcher un aimant pour que l'interrupteur se ferme, on peut donc tester que c'est bien cet élément qui est défectueux facilement.

En faisant du debug sur un conteneur LXC, je me suis rendu compte qu'au milieu de syslog par exemple, il y avait des messages du noyau concernant l'hôte ou un autre LXC. J'ai trouvé ça pas top (même si pas très important).
Il y a apparemment deux facettes :

• /proc/kmsg, utilisé par rsyslogd
• le syscall "syslog" utilisé par dmesg
  Peut-être aussi via /dev/kmsg, mais ce n'est pas le cas chez moi (https://github.com/lxc/lxcfs/issues/131).

Le lien lié ici propose comment bloquer le syscall via les seccomp. Ça fonctionne.

Pour kmsg le lien précédent prétend que cela va casser des choses, j'ai tout de même voulu essayer. Par contre par défaut sur Debian Stretch, apparmor n'a pas l'air activé complètement, le module est là mais pas l'accès via proc (https://wiki.debian.org/AppArmor/HowToUse et aa-status). Je n'ai donc pas pu essayer de modifier cela (les autres restrictions, qui ont tout de même l'air de fonctionner malgré l'absence des paramètres cmdline sont dans /etc/apparmor.d/abstractions/lxc/container-base).

En attendant il suffit de cat /proc/kmsg depuis n'importe où pour tout savoir sur ce qu'il se passe sur le système côté noyau :P

Ah et aussi, ce n'est pas si simple que cela : https://lxadm.com/Lxc:_restricting_container_view_of_dmesg
D'autant que l'option est maintenant activée par défaut depuis Debian Stretch. En LXC root (pas non-privilégié donc) ça fonctionne tout de même (comme dit dans le lien github ci-dessus).

Si certains mails ne passent pas, supposément parce qu'ils sont en "userunix@localhost" et ce même si le header From: est juste, c'est probablement une histoire de Sender/Return-Path, eux aussi validés par les MTA.
504 5.5.2 wp@localhost: Sender address rejected: need fully-qualified address
Il ne faut pas s'acharner sur mail/sendmail/php mail(). Ce champ est ajouté par le MTA local.
Plusieurs options sont listées dans la page liée. Pour moi, il a suffit de corriger /etc/mailname en mettant quelque chose de valide (oui j'aurais pu y penser au début, avant de passer 2h sur le problème…).

Article plutôt clair sur les histoires de courant alternatif, de cosinus phi, même un peu de triphasé à la fin.
Je pense que j'ai appris des choses, de là à retenir… j'ai clairement pas tout compris.
Sinon on peut aussi voir le wikipédia anglais : https://en.wikipedia.org/wiki/AC_power (la version fr j'ai trouvé moins claire).

Si toi aussi tu as l'habitude d'utiliser imagemagick pour plein de choses, parce que c'est plutôt complet et en ligne de commande, juste pour prévenir qu'il y a des limites assez strictes maintenant… genre, 256Mo de RAM, 1Go de disque…
Ces limites sont dans /etc/ImageMagick-6/policy.xml et il suffit de dégager le fichier ailleurs pour qu'elles disparaissent (ou de le modifier gentiment).
Pour voir les limites effectives :
convert -list resource
C'est sûrement bien sur un serveur quand un site web utilise ça pour faire des vignettes par exemple, mais sinon ça a l'air bien casse-pieds ces limites. Et le message d'erreur est super-génial :
montage-im6.q16: DistributedPixelCache '127.0.0.1' @ error/distribute-cache.c/ConnectPixelCacheServer/244

Juste pour éviter à des gens d'être surpris, maintenant sous Debian Stretch, les outils systemd pour la conteneurisation (nspawn/machinectl) sont dans un paquet séparé -- et c'est tant mieux ! :)
Après un upgrade, une fois le paquet installé, tout repart normalement.

Passer un gitlab du postgresql du système à celui qui est intégré au paquet omnibus, c'est faisable, c'est pas trop tricky quand on a la doc de quelqu'un qui l'a déjà fait et qui s'y connait (j'aurais jamais pu deviner tout ça perso). Par contre il faut bien suivre les instructions à la lettre, sinon ça marche pas (j'en ai fait les frais).
Est-ce une bonne idée de le faire ? Probablement pas en absolu, mais c'était un reste de mon setup "from source" alors que je suis passé au paquet omnibus depuis un moment, pour des raisons de facilité : c'est vraiment pratique les paquets et j'ai jamais eu de problème avec le leur.
Il y avait des problèmes de version entre les outils (postgresql plus vieux dans la distro). Là au moins c'est homogène… et les dump se passent bien, par exemple.

Je n'avais jamais entendu parler de busctl… encore un outil de systemd.
La commande sert à interagir avec dbus/sd-bus de manière plus simple et plus intégrée que dbus-send et compagnie.
C'est relativement pratique, par exemple si on veut lister les différentes sessions/seat ouvertes, etc. et il y a un mode tree, monitor, introspect, …

Pour renvoyer des flux TCP ailleurs (bounce), on peut utiliser socat facilement (pas besoin de root pour les ports > 1024 ni d'iptables).
Exemple :
socat TCP-LISTEN:4242,fork TCP:machine-destination:3032
C'est une sorte de NAT sur un seul port, et qui évite de devoir monter une session de tunnel SSH.

On en apprend toujours : j'ai bloqué un moment sur du code C, pour comprendre pourquoi mes printf n'apparaissaient pas quand je faisais une redirection dans un fichier, et un tailf dessus…
Forcément c'était une histoire de buffer, forcément un write allait être la solution. Mais je voulais quand même savoir, et effectivement le buffering n'est apparemment pas le même par défaut si on envoie sur de l'interactif (line-buffered) ou un fichier (full buffering) !

Depuis que j'ai mon nouvel écran, branché en HDMI, j'utilisais la sortie casque de celui-ci. Et j'avais de temps en temps des problèmes bizarres, par exemple le début d'un morceau de musique qui passe sous silence puis se déclenche subitement, et toujours au début de chaque pause, un petit bruit légèrement désagréable. Je pensais que c'était peut-être le driver Linux du HDMI, ou l'écran lui-même ou pulseaudio ou tout autre élément dans la chaine qui était un peu mal codé.

Là j'ai voulu tester la qualité d'un film, et suis tombé sur une séquence avec seulement quelques rares bruits, et entre chaque j'avais le droit à un silence complet et cette histoire de petit bruit à chaque coupure. J'ai regardé vite fait sur le net, et suis tombé sur cette page, où il est dit que "Your output device which you've connected via HDMI needs a couple of seconds to synchronize to the datastream it starts receiving from your system.", ce que je trouve relativement étrange, mais cela m'a motivé à brancher le casque sur la sortie son directement sur ma carte mère. Et effectivement plus de problème.

Je ne sais toujours pas si c'est le driver, l'écran, pulseaudio ou autre qui est mauvais, mais c'est réellement beaucoup mieux depuis la sortie interne de la carte mère.

EDIT: j'ai aussi l'impression que le son est un peu plus cristallin/clair/distinct, ce qui correspondrait assez bien à une "carte son" pourrie (oui je sais, un écran n'est pas fait pour faire du son, alors que les sorties onboard de carte mère sont en général correctes, mais rien n'empêchait de mettre la même chose dans un écran que dans une carte mère…)

À propos de la toujours grande question de quel format/codec/conteneur choisir pour une vidéo, et pouvoir éventuellement facilement la partager sur un coin de web par exemple.
Je veux un maximum de "libre" et de normalisé, ouvert, connu. Disponible un peu partout si possible, et avec des outils dans Debian stable (et donc normalement disponible dans les autres distributions courantes).
Il semblerait que le vp9 / vorbis / webm réponde à cela. Attention avec le vp9, il y a apparemment différents formats d'encodage des données notamment 10 ou 12 bits qui peut coincer (pas ou mal supporté dans Firefox 54/totem/mplayer/vlc mais OK dans mpv, voir https://trac.ffmpeg.org/ticket/5276).

Exemple de ligne de commande ffmpeg pour construire un film à partir d'images (dans mon cas un timelapse d'étoiles) :
ffmpeg -f image2 -r 12 -startnumber 5480 -i PK1%4d.png -c:v libvpx-vp9 -crf 30 -b:v 2000k -pix_fmt yuv420p -threads 8 test.webm

C'est une vidéo fixe, avec du ciel noir, mais en 1920x1281, 28 secondes. On arrive à… 1,5 Mo ! Probablement pas représentatif d'un film ou autre mais ça me semble correct, ça fonctionne partout où j'ai pu essayer, et on n'utilise que des formats ouverts.

J'ai découvert géoportail, le système de carte interactive en ligne de l'IGN. J'en avait déjà vaguement entendu parler, mais là je suis tombé dessus et j'ai joué avec.
C'est vraiment bien fait, site "moderne", clair, rapide/réactif.
Il y a beaucoup de données, et on peut les empiler, par exemple une fond de carte de photos aériennes (comme google maps), mais superposé par le cadastre, les lignes électriques, les réserves, l'hydrologie… il y a même des photos aériennes de 1950 !
Il y a aussi des outils de mesure de distance, de trajet, de surface…
Franchement, je suis assez surpris qu'un site aussi utile et bien fait soit si peu connu.
J'ai regardé vite-fait, il semblerait que ce soit hébergé chez Atos, pourquoi pas…

Quand thunar ne génère pas de miniatures sur les photos sur un sshfs, et qu'en fait il le fait jamais même sur des fichiers locaux, il suffit d'installer tumbler… ça parait logique.

J'utilise thunar pour trier mes photos, car justement l'affichage des vignettes des images est beaucoup, beaucoup plus rapide qu'avec nautilus (quasi immédiate). A priori, il ne la recrée pas mais charge simplement la vignette contenue dans le JPEG, car aucune activité processeur n'est visible.