la Tourmentine

To content | To menu | To search

Friday 4 April 2025

Pouf, pouf

By n on Friday 4 April 2025, 23:25

...où comment la Tourmentine a survécu à deux pannes de serveurs consécutives, alors que son infra repose sur...deux serveurs.

Le 4 mars 2025, le serveur secondaire ne répond plus, un reboot ou un passage en rescue ne change rien, le KVM est muet. Ticket au support Scaleway.

Réponse redoutée mais malheureusement inévitable (c'est déjà arrivé) : le serveur est mort, les données sont perdues, ils peuvent me le remplacer par un serveur de la même gamme. J'accepte.

Malgré la gestion par Infra-as-Code le rétablissement a pris plus de temps que prévu, un peu moins de trois semaines, la faute au manque d'expérience (la dernière reinstall from scratch datant de plusieurs années), et aux petites bizarreries liées à l'infra Scaleway (RPN bonjour).

Le 23 mars, je finissais de serrer les derniers boulons, j'étais content.

Le 24 mars en fin de journée, le serveur primaire tombe en pleine mise à jour. Reboot, rescue, ticket support, serveur mort (bis, repetita). Là, c'est un peu plus gênant, mais une bascule de l'IP failover sur le serveur secondaire tout neuf et un redémarrage du replica PostgreSQL en lecture/écriture sur celui-ci a permis de rétablir tous les services rapidement.

L'expérience et les corrections apportées dans l'IaC m'ont permis cette fois de reconstruire le serveur primaire en entier en à peine plus d'une semaine (peut toujours mieux faire, mais bon). Le retour de l'IP failover sur le serveur primaire c'est fait assez simplement et rapidement, grâce en particulier aux snapshots ZFS et à la réplication logique de PostgreSQL.

La Tourmentine sort presque sans encombres de cette double catastrophe, avec pour seuls dégâts la base InfluxDB que je n'ai pas pu restaurer (testez vos backups les gens). Ça fait mine de rien plusieurs années de métrologie de perdues, et ça fait mal au cul.

Conclusions de cette belle aventure (non), l'infra n'est pas encore totalement résiliente : Valkey n'est pour l'instant pas répliqué, j'ai failli perdre ma base de filtres bayésiens au passage ; et Zabbix n'étant pas en mode cluster et tournant sur le serveur primaire, je n'avais pas de supervision durant la reconstruction de celui-ci 😟

Bref encore deux-trois petits trucs encore à régler avant l'arrivée tant repoussée d"une solution *cloud-native" à base de MinIO, Nomad et Consul. Ça va être bien. D'ailleurs au passage un système de paquets un peu plus propre m'a enfin permis d'installer Podman

Tuesday 25 February 2025

Veni, vidi, vici

By n on Tuesday 25 February 2025, 22:44

Comme je le relatais précédemment, il y a un peu plus d'un an j'ai remplacé mon tunnel IPSec vieillissant par une solution toute brillante à base de Cygne fort. Enfin quand je dis toute brillante il restait un petit défaut : devant la masse d'exemples sous ce format (en fait, la quasi-totalité) et après quelques galères, je m'étais résolu à utiliser le plugin "stroke". Malheureusement ce plugin, qui avait l'avantage de rester compatible avec la limpide configuration IPSec, est devenu de plus en plus legacy, strongSwan utilisant par défault le plugin "vici". La dernière version 6.0.0 sortie il y a quelques jours dans les ports FreeBSD vient enfoncer le clou et retire les démons utilisés par le plugin stroke pour démarrer. Il est temps de migrer !

Heureusement les gens de chez strongSwan sont sympas et proposent un joli howto, où ils indiquent un fort pratique script Python pour générer un fichier avec la nouvelle syntaxe \o/

Après deux petites bizarreries (un cipher incorrect généré par le script indiqué plus haut, et un petit problème de pid qui empêchait le nouveau plugin de démarrer), tout fonctionne parfaitement.

Reste à voir si la sonde Zabbix va continuer de fonctionner, en effet pour l'instant je fais un peu le kéké mais je n'ai pas encore déployé sur ma prod, ce sera fait dans les prochains jours.

Edit 27/02 : Les mainteneurs FreeBSD se sont rendu compte que ça avait été un peu violent et ont remis les fichiers manquants dans la version du port, avec cependant comme message :

Note that strongSwan has deprecated the stroke management interface for years, and it is recommended to migrate the configuration to vici before it is removed.

Heureusement de mon côté la moitié du boulot a été fait, reste plus qu'à inspirer un grand coup et passer en prod 😉

Edit 28/02 : C'est en prod. Ça n'a pas été superfluide, si vous rencontrez comme moi l'erreur suivante :

connecting to 'unix:///var/run/charon.ctl' failed: Connection refused                                                        
Error: connecting to 'unix:///var/run/charon.ctl' URI failed: Connection refused

Il faut stopper strongSwan, tuer le process charon avec un petit pkill charon, supprimer tous les fichiers /var/run/charon.*, puis relancer le service. C'est un peu sale mais ça marche. "Vici" comme disait Jules !

Billets connexes

C'est qui le plus fort ? le raton laveur ou le cygne ?

Saturday 1 February 2025

Tu peux pas test

By n on Saturday 1 February 2025, 14:26

007 tu peux pas test ® Mozinor 2006

Déçu par le manque de paquets à jour sur ma distribution Manjaro (un comble pour une rolling-release), j'ai décidé de passer de stable en testing. J'ai changé de laptop il y a environ 6 mois et il est possible que l'ancien PC était déjà en testing (je ne me rappelle plus), ce qui explique ma surprise quant au peu de mise à jour.

J'ai donc commencé par nettoyer mon disque histoire de ne pas le saturer durant la mise à jour (au total, 8 Go de paquets, tout de même), puis j'ai procédé au changement de canal et à la mise à jour proprement dite.

Malheureusement j'ai dû louper un truc car peu de paquets ont été mis à jour (seulement 80), et je me suis retrouvé avec des paquets manquants (dont une dépendance pour pacman-mirrors, utilisé pour revenir en arrière...) et des miroirs pétés, que j'ai pu finalement réparer pour continuer la mise à jour en mettant la base Pacman à jour (commande trouvée sur cette page) avec :

sudo pacman -Syyu

Reste l'étape toujours un peu flippante du reboot avant d'enfin pouvoir se retrouver sous XFCE 4.20 sorti il y a déjà un mois et demi, je commençait à m'impatienter 😉

Tuesday 21 January 2025

Gandi, c'est fini

By n on Tuesday 21 January 2025, 22:26

J'avais vaguement suivi les protestations de 2023 à propos du rachat de Gandi.net, en me disant à l'époque que oui ça allait être plus cher, mais je n'avais pas de boites mail chez eux donc je n'étais pas trop concerné. Que les domaines, c'était un peu comme la farine, il pouvait y avoir des gros écarts de prix, mais au final, ça restait globalement un truc pas super cher. Puis vint l'heure du renouvellement.

Et donc, là où un .com plafonne à 10-15 €, Gandi me le facture... 38,38 €.

Pour un an.

Ça fait un peu mal au cul.

J'avais l'habitude de les renouveler pour cinq ans. Ça allait me coûter plus de 150 €. Par domaine.

Après avoir reçu l'avis de renouvellement j'ai pas mal procrastiné...étudié la possibilité de changer de registrar... le temps a tourné et par peur j'ai renouvelé. En effet la procédure pouvant s'étaler sur plusieurs jours voir plusieurs semaines, j'ai préféré jouer la sécurité (et aussi, j'avais pas que ça à foutre non plus)

Mais c'est la dernière fois. J'ai deux autres domaines à renouveler, cette fois à la fin de l'année, et je compte bien les bouger avant. Ce qui m'arrange au final car le domaine tourmentine.com servant à faire tourner toute l'infrastructure, je préférais utiliser l'un d'eux, nettement moins sensible, pour tester le changement de registrar. 2025 sera donc l'année du changement de registrar, une première dans l'histoire de la Tourmentine pour ces domaines depuis respectivement 2002, 2003 et 2006, dates de leurs première réservation.

Il est fort probable que je file chez BookMyName, l'un des moins chers en France, ce qui ne va pas améliorer ma dépendance aux Freeteries (pour rappel, ma ligne Internet est chez Free, mon téléphone chez Free Mobile et mes serveurs chez Scaleway)

Parce que bon, les histoires de voleurs, faut que ça reste rigolo hein. Là pour le coup c'est vraiment du vol.

Edit 09/03/2025: Et quand par miracle j'ai besoin de leur interface d'admin, elle marche pas ...

Friday 1 November 2024

Let's do the time warp...again (2)

By n on Friday 1 November 2024, 14:59

Je ne vais pas parler ni du changement d'heure, ni du thème Dotclear ni du Rocky Horror Picture Show, mais d'un authentique saut dans le temps qui bien que temporaire a laissé des traces visibles pendant plusieurs semaines.

Tout a commencé par un certificat OpenVPN expiré, pour éviter ce genre de déconvenue (je ne m'en étais pas rendu compte, et j'ai cherché longtemps avant de trouver qu'il s'agissait d'une expiration), j'ai décidé de mettre des sondes de supervision sur ces certificats de façon à être prévenu la prochaine fois.

Je commence par scripter ça, sur le serveur contenant lesdits certificats, pour pouvoir travailler avec des exemples. Calcul de dates, classique, j'utilise la commande date. Sauf que 1) cette commande n'a pas la même syntaxe ni le même comportement sous FreeBSD où je fais mes essais que sous Linux 2) j'ai lu le man en diagonal.

Résultat, au lieu de faire un calcul de date, j'ai utilisé la fonction première de cette commande... qui est de mettre une machine à l'heure.

Comme j'ai fait une boucle sur l'expiration des certificats, le serveur a voyagé de date en date, aussi loin que 2030, voir 2120 (oui j'utilise parfois des dates d'expiration particulièrement lointaines, c'est mon côté punk)

Le pire, c'est que je ne m'en suis pas rendu compte tout de suite (j'ai tiqué quand le 2FA de mes sites ne fonctionnait plus...).

La machine n'a pas tant souffert que ça (MariaDB a planté, c'est tout), mais c'est au niveau de la supervision, ironiquement, que les dégâts ont été les plus importants, avec des métriques enregistrées aux dates citées plus haut.

À ce moment-là, j'ai raboté les tables de la base PostgreSQL utilisées par Zabbix avec une requête bien sentie, ce fut galère, mais l'affaire était close.

... Jusqu'à ce matin où je me suis rendu compte que toute la métrologie sous Grafana était également en vrac (j'y vais souvent hein), depuis cette fameuse date. Retour au SQL (cette fois sur InfluxDB...) pour refaire un peu de nettoyage.

La morale de cette histoire, c'est que quand on joue avec la commande date pour autre chose qu'une mise à l'heure, il est fortement conseillé de le faire avec un utilisateur non-privilégié (c'est-à-dire, pas en root), sous peine de souffrir beaucoup par la suite.

Friday 11 October 2024

proso-dis-moi-tout ! (3)

By n on Friday 11 October 2024, 01:30

J'ai fini par fermer le service XMPPS/Jabber après un peu plus de dix ans d'agonie (je ne l'aurai même pas utilisé, et vu l'état du protocole, il est peu probable que j'y revienne à l'avenir). De plus cela fait déjà plusieurs années que je n'ai pas utilisé Pidgin.

So long Prosody, tu aura été cool (quoique bien inutile dans mon cas)

Billets connexes

Friday 13 September 2024

C'est en forgeant qu'on fait des trucs (3)

By n on Friday 13 September 2024, 23:47

Après avoir lu quelques nouvelles un peu flippantes, puis vu ceci dans mes flux RSS, et approfondi rapidement avec cela, je n'ai pas hésité une seconde et j'ai migré ~~à l'arrache~~ en une soirée la forge de Gitea vers Forgejo. Bien que non garantie, la migration s'est au final très bien passé (pas comme la dernière fois).

Bon par contre le thème par défaut c'était pas trop possible, je suis retourné sur le bleu marin de Gitea, cela restera le thème par défaut (au choix en "dark" ou en "light")

Cela sonne, déjà, la fin de six ans de règne de Gitea. Pas beaucoup de changements, moins de thé, mais un peu plus de liberté !

Billets connexes

Wednesday 21 August 2024

All your base are belong to us

By n on Wednesday 21 August 2024, 20:12

Ça faisait longtemps que j'avais envie d'écrire un article en mode semi-troll sur « pourquoi MariaDB c'est mieux que PostgreSQL ». Semi-troll parce qu'il faut bien un peu de mauvaise foi, mais en même temps je trouve qu'on casse un peu trop de sucre sur MySQL/MariaDB, et qu'on se gargarise un peu trop du côté "sérieux" de PostgreSQL. Et pour les vrais trolls (voir mensonges purs et simples) sur MariaDB/MySQL, je laisse ça à d'autres.

C'est parti, sans ordre particulier.

Réplication

Quand MySQL et MariaDB font du multi-master en réplication asynchrone à l'aise depuis des années, voir du vrai cluster avec Galera, PostgreSQL n'en est capable — en théorie — que depuis sa toute dernière version. Avant, sans solution externe c'était uniquement du primaire/secondaire. Avec un secondaire en lecture seule.

Sous PostgreSQL, la réplication entre deux versions majeures différentes n'est pas possible. Pire, même une mise à jour vers une version mineure du secondaire suffit à péter la réplication (ça m'est encore arrivé pas plus tard que toute à l'heure). Pas de soucis dans le camp d'en face, il est même possible de se servir de la réplication pour faire une upgrade sans interruption de service.

La réplication PostgreSQL est tellement fragile que j'ai fini par faire un script pour la remettre en place. Sous MariaDB, hormis un sordide problème de binaires, mes derniers souvenirs de conflits de clés dupliquées remontent à de nombreuses années.

Mise à jour

Il n'est pas possible de conserver sa base de données entre deux versions majeures de PostgreSQL : il faut soit faire un dump puis restaurer la base de données entière, soit passer par les commandes d'upgrade qui nécessitent d'avoir les binaires des deux versions installées (#pratique). Sous FreeBSD, c'est un bordel sans nom.

Pour MySQL ou MariaDB, il suffit de mettre à jour les paquets, relancer le service, et éventuellement lancer mysql_upgrade ou mariadb-upgrade (dans le cas de MySQL, depuis la version 8.0.16 ça ne sert même plus à rien)

Clients en ligne de commande

Je connais par cœur les commandes SQL de base, je peux sélectionner une base, vérifier les requêtes ou l'état de la réplication les yeux fermés avec MariaDB. Sous PostgreSQL, je n'arrive toujours pas retenir les \c, \dn et autres \dt servant respectivement à se connecter à une base, à lister les schémas et les tables...

Gestion des droits

Sous PostgreSQL, il faut jongler entre les utilisateurs, les rôles, l'héritage, les droits définis par le fichier pg_hba.conf, et ça se complique encore plus si on utilise un connection pooler.

Sous MariaDB, c'est une entrée avec login:mdp@ip_source et des droits sur une ou des bases et une ou des tables. Simple, basique.

Backups

Rien qu'avec l'outil de backup fourni par PostgreSQL, la restauration dépend de la façon dont les dumps ont été faits (SQL, custom...) qu'il faut donc connaître. Avec MariaDB, de base, une seule manière de faire des dumps, et une restauration en rejouant les requêtes. Simple, basique.

Merci pour le poisson

Voila, sans rancune aucune. Je continue d'utiliser les deux produits, aussi bien en pro qu'en perso. Tout est loin d'être rose du côté de MariaDB et ~~Oracle~~ MySQL non plus, il y aurait aussi beaucoup à en dire. Juste...ça marche pas si mal que ça. Et c'est souvent beaucoup, beaucoup plus simple qu'avec Postgres.

Billets connexes

Lino Débé est corrompu

Sunday 7 July 2024

Il est libre, FM (2)

By n on Sunday 7 July 2024, 21:04

Il y a près de dix ans, ça sentait un peu le sapin du côté de Last.fm, et j'avais par précaution installé son équivalent libre, à savoir GNU FM.

Si depuis lors Last.fm est toujours plus ou moins vivant (peu d"évolutions, mais une maintenance en conditions opérationnelle impeccable), on ne peut pas en dire autant de GNU FM : le projet est en officiellement mort depuis 2022 (et officieusement depuis bien plus longtemps).

Et surtout, c'est la dernière des applis m'obligeant à maintenir une instance de PHP 7.4, la tentative de portage vers PHP 8 s'étant avéré un échec cuisant.

Pendant ce temps la fameuse Hacienda censée remplacer tout ça n'en finit pas de commencer à ce construire, j'étais donc coincé.

Et puis au détour d'un des tickets de cette dernière je découvre l'existence de Maloja, bien vivant, en Python moderne et avec une base SQLite. Go !

Au passage j'ai avantageusement remplacé le bricolage qui me servait de script d'import/export entre last.fm et gnu.fm par Multi Scrobbler, une poubelle en NodeJS mais qui reste heureusement confinée dans un conteneur Docker blindé.

Le résultat est à la même adresse qu'avant, à savoir fm.tourmentine.com (en espérant que mon petit NAS tienne la charge, sinon il faudra trouver une autre solution)

Une bonne chose de faite, reste à nettoyer les restes de GNU FM (et, surtout, enfin débrancher PHP 7 \o/)

Billets connexes

Il est libre, FM

Thursday 22 February 2024

Google, je t'aime moi non plus (3)

By n on Thursday 22 February 2024, 17:58

Plus de 10 ans après le début de ma Dégooglisation où je parlais déjà de téléphone, je viens enfin d'installer /e/OS et j'avoue que se passer d'entrer un identifiant Google au premier démarrage fait quand même bien plaisir. Et en parlant de premier démarrage, ça fait longtemps que j'en ai pas eu un aussi rapide.

Tout fonctionne nickel sur mon dinophone, ça aussi c'est agréable. Je rétrograde de deux versions d'Android (j’utilisais jusqu’à maintenant un LineageOS tombé du camion en Android 13), ça pique un peu mais ça passe.

Par contre j'ai un peu l'impression que Murena souffre du même syndrome que Canonical, à savoir le choix d'un lanceur à l'interface...discutable, imposé par défaut. Ici on a droit à Bliss Launcher qui rappelle les heures les plus sombres d'iOS. Les fanboys apprécieront, moi c'est pas trop mon truc... Trebuchet, le lanceur de LineageOS est présent mais pas sélectionnable et pire, pas installable séparément...puisqu'il est déjà installé. Les forks de Launcher3 (le vénérable lanceur Android) ne sont pas légion, je me suis donc rabattu, faute de mieux, sur Nova Launcher (après Lanceur Simple qui comme son nom l'indique faisait simplement le taf... mais perdait ses widgets, dommage)

L'Advanced Privacy (seul titre non traduit en français, bizarre), la killer-feature d'/e/OS (découvert il y a quelques mois lors d'une conférence de Gaël himself) fait bien plaisir aussi, même si ça fait un peu outil de paranoïaque (en même temps, on l'est jamais assez)

Pour l'instant je joue le jeu, je n'ai installé aucune appli Google (même pas GBoard), on va voir si je peux survivre sans (Google Maps me manque déjà...)

Note: ceci est le 300ème billet \o/ 🎂

Billets connexes

Tuesday 20 February 2024

Accroche-toi au sudo, j'enlève l'accès root

By n on Tuesday 20 February 2024, 21:55

En matière de bonnes pratiques de sécurité, il est fortement conseillé de ne pas abuser des droits root (car "avec un grand pouvoir vient une grande responsabilité"). Si c'est une pratique que j'ai adopté depuis tellement longtemps que s'en est devenu naturel, la puissance du legacy a fait que ce n'est arrivé que progressivement sur l'ensemble de mes machines.

Il y a quelques années QNAP a eu le bon goût d'interdire l'accès admin non-nominatif de porcos par défaut, il a donc fallu créer un nouvel utilisateur et tout adapter, j'en ai également profité pour faire de même pour le conteneur LXD qui me sert à contourner les limitations de mon NAS. Tout mon réseau local était rootless, c'était le bonheur, mais les serveurs de la Tourmentine sont restés tels quels parce que la flemme, avec toutes les opérations lancées en root (y compris via Ansible) et quelques comptes systèmes dédiés aux applis.

Je me suis donc fait violence et après trois jours de taf (la faute à une preprod toujours lente et bancale, bref) j'ai enfin pu activer le fatidique:

PermitRootLogin no

Pas mal de scripts à adapter, en particulier les transferts par rsync, toujours un peu acrobatiques sans accès root, mais c'est à peu près tout. Dans certains cas ça simplifie même les choses.

Et non, la récente sortie de Sudo pour Windows n'a rien à voir avec cette décision 😅

Saturday 20 January 2024

FTP not dead

By n on Saturday 20 January 2024, 17:46

J'ai enfin réparé le mode passif du serveur FTP, le protocole dont même Mozilla ne veut plus tellement il date. Ce n'était pas vraiment un problème vu que tout le contenu était de toute façon, comme la plupart des miroirs, accessible en HTTPS.

J'en ai profité également pour ajouter le support du TLS pour un accès en toute confidentialité (merci, une fois encore, à Let's Encrypt)

Toujours pas d"accès SFTP par contre, un peu trop compliqué à mettre en place sur ma petite infra, à moins de changer de port, mais c'est pas trop l'idée.

Ça reste encore de l'artisanal mais je n'exclus pas de regarder du côté de SFTPGo pour remplacer cette "pile" un peu vieillissante.

Sunday 17 December 2023

C'est qui le plus fort ? le raton laveur ou le cygne ?

By n on Sunday 17 December 2023, 21:50

Adieu, petite tortue .

Le cygne évidement, car c'est un Cygne fort.

Un tunnel IPsec relie les deux serveurs de la Tourmentine afin que ceux-ci échangent en toute confidentialité. Pour ce faire j'utilisais jusqu'à maintenant le démon racoon, issu du très vénérable projet KAME. En me mettant à la recherche d'une sonde de supervision un peu plus complète je me suis rendu compte que racoon n'était non seulement plus développé depuis près de dix ans, mais qu'en plus son utilisation était déconseillée par les auteurs eux-mêmes (en même temps, avec un site chez SourceForge, bon...)

Je suis donc passé sans trop de difficulté à strongSwan, qui outre le support d'IKEv2 (modernité), a le bon goût de disposer d'une sonde Zabbix correspondant parfaitement à mon besoin. Impossible de le faire fonctionner avec la nouvelle interface vici mais bon, de ce que j'en ai vu, tout le monde utilise encore l'ancienne.

J'aurai pu passer à racoon2 à la place (découvert le jour même de la migration) mais j'avoue que la sonde Zabbix a bien penché dans la balance, j'avais un peu la flemme d'en écrire une from scratch. Et puis strongSwan a l'air beaucoup plus complet, et plus abouti (un seul service à lancer au lieu de deux, par exemple). Il est aussi plus aisé de trouver de la doc et des exemples de configuration.

La migration a été sans embûches, merci l'infra-as-code:

Arrêter l'ancien service
Lancer le playbook Ansible créé préalablement et testé sur ma super preprod
Profiter ;)

Prochaine étape: monter un autre tunnel...mais vers ma box internet, pour me débarrasser des multiples tunnels OpenVPN qui encombrent mon réseau local \o/

Ah oui, et, mettre le wiki à jour aussi.

Billets connexes

Veni, vidi, vici

Sunday 19 November 2023

Ravalement de façade (3)

By n on Sunday 19 November 2023, 16:19

Suite à la mise à jour de Dotclear en 2.28.1 (et les quelques sueurs froides qui vont avec), le thème Fallseason fonctionne de nouveau. Comme c'est le "moins pire", je l'ai repassé en mode par défaut.

Pourvu que ça dure.

Billets connexes

Friday 22 September 2023

Doing bank's work...

By n on Friday 22 September 2023, 13:51

"Doing bank's work", c'est la description que j'ai donné à un projet qui, comme son nom l'indique, fait ce que devrait faire ma banque: permettre de récupérer les soldes de mes comptes pour faire des jolis graphes, indiquer une tendance, et me prévenir si le montant d'un ou plusieurs comptes passe sous un seuil critique.

J'ai lancé ce projet il y a 5 ans. À l'époque et encore aujourd'hui, il n'y avait pas beaucoup de produits qui permettaient de faire ça, il n'y en avait même qu'un: weboob (qui est devenu woob depuis)

J'ai donc mis en place un petit wrapper autour de woob pour récupérer les soldes, et les envoyer ensuite dans une base InfluxDB pour pouvoir les grapher avec Grafana. Une boucle infinie, une interrogation toutes les heures avec des paramètres d'authentification stockés dans un password-store. Simple. Basique.

Tout a fonctionné à peu près toutes ces années, au gré des changements de site et d’authentification de ma banque (passage à la double authentification via SMS, puis via l'appli mobile). C'est cette dernière qui a posé de plus en plus de problème, avec un recours au 2FA beaucoup trop régulier pour être automatisable.

Malgré un énième problème j'ai réussi je ne sais pas trop comment à passer entre les gouttes, en réduisant à un appel toutes les 5 minutes j'arrivais à garder une "session" active et à ne revalider le 2FA qu'environ une fois par semaine (jusque là, il était valide 3 mois).

Malheureusement après plusieurs demandes de renouvellement journalières j'ai été faible ("dans le doute, reboot") et j'ai lancé une mise à jour de woob. Grossière erreur: le 2FA ne tient désormais pas plus de 5 minutes.

Pour palier à ça et éviter, pour l'instant, de fermer également ce service (qui ne sera pas le premier...) j'ai changé de fonctionnement: le script n'est plus lancé par une boucle infinie mais par ma nouvelle marotte, à savoir les minuteurs systemd. Après avoir sabré dans le code source de woob pour permettre la demande de validation 2FA même en mode non-interactif (un truc qu'il va falloir pérenniser), le script est lancé maintenant 4 fois par jour, en journée uniquement (la nuit, j'ai autre chose à faire que d'allumer mon tel pour valider une transaction).

On verra à la longue si c'est trop intrusif, une fois par jour devrait suffire pour mon usage, qui est d'avoir un graphe sur le long terme, soit plusieurs années.

En tout cas si vous connaissez une banque proposant une API permettant de faire ce genre de choses (j'ai regardé du côté de l'Open Banking mais ça n'a pas l'air trop ouvert aux particuliers), n'hésitez pas à me le dire, je signe chez eux tout de suite !

Sunday 13 August 2023

Ravalement de façade (2)

By n on Sunday 13 August 2023, 22:44

Le thème par défaut du site, Fallseason, est tout pété depuis la mise à jour de Dotclear en 2.27. L'occasion de passer sur un thème différent, pour l'instant Wellington. Si cela ne vous convient pas il reste encore tout un tas de thèmes au choix dans la barre ci-contre.

Billets connexes

Tuesday 20 June 2023

Twitter, j'en ai plein les bots

By n on Tuesday 20 June 2023, 20:47

Lassé des décisions arbitraires d'un multi-milliardaire mégalo, j'ai fini par faire une croix sur Twitter, ma source principale de veille. L'ambiance toxique qui règne là-bas commençait de toute façon à me peser, il était temps.

Mais contrairement à Facebook il y a quelques années, je n'ai pas fermé mon compte. Enfin...pas encore. En effet Twitter est difficilement remplaçable en terme d'info, grâce à tous les media et autres journalistes qui ont un compte dessus. Et puis il y a tous ces petits comptes qui fournissent du contenu original, voir exclusif à la plateforme... Tous ceux-là vont me manquer si je coupe totalement Twitter.

Ça tombe bien, car quelques comptes ont des bots répliquant le contenu d'un compte Twitter sur le fédiverse. @cquest par exemple en fournit quelques-uns, par le biais de son service @tootbot. Mais il m'en manquait toujours.

C'est pourquoi il y a quelques mois j'ai mis en place un petit service de ce genre, en me reposant sur Stork (a.k.a. pleroma-bot). Et, jusqu'à la semaine dernière, ça a fonctionné presque sans problème.

Et d'un seul coup d'un seul, la clé d'API, liée à mon compte Twitter et utilisée par pleroma-bot, a arrêté de fonctionner. Il semblerait que la menace de fermer l'accès aux comptes gratuits, annoncée il y a quelques mois, a fini par être mise à exécution. Et tout ça dans le silence le plus total, aucun tweet ni aucun message dans l'interface web n'ayant prévenu ce jour là (pour dire, je ne me suis aperçu de l'arrêt que quelques jours plus tard)

Après avoir hésité à supprimer le service, j'ai fini par trouver une solution de rechange en utilisant les flux RSS fournis par RSS-Bridge et en les donnant à manger à l'excellent Feed2toot. Le résultat est un peu moins bon (l’aperçu des media ne fonctionne pas, peut-être un paramètre que j'ai loupé), mais à l'énorme avantage de ne plus dépendre de ma clé d'API, et donc, de mon compte Twitter. Compte que je vais donc pouvoir fermer sans beaucoup de regrets \o/

Je vous remet la liste des bots disponibles, c'est cadeau: https://kiwi.tourmentine.com/public/twi2fedi. Offre valable dans la limite des stocks disponibles, et surtout dans la limite de la patience de ce cher Elon 😉

Update 27/07: J'ai fini par supprimer le service, c'était plus possible (en attendant de fermer également mon compte là-bas)

Update 23/09: J'ai fini par supprimer mon compte, c'était vraiment plus possible.

Sunday 30 April 2023

La Caste des Méta-Blogs, tome 1: PIP le Trisaïeul

By n on Sunday 30 April 2023, 21:55

Les sources de la toute première version de ce blog, basé sur un micro-framework perso codé durant mon passage chez feu l'hébergeur i(France) et utilisées entre 2002 et 2009, ont été archivées sur la forge, pour la postérité.

C'était la dernière tâche qui traînait dans ma todo-list, je suis enfin liiiibre \o/

Wednesday 22 March 2023

Si même les claviers sans fil...

By n on Wednesday 22 March 2023, 20:43

Kenitec keyboard from 1992

Après à peine plus de trente ans, je me suis enfin résigné à changer de clavier. Exit donc mon fidèle clavier <del>102</del> 101 touches (il y en a une qui ne fonctionne plus depuis très longtemps), branché pour la première fois sur un PC dit "AT", c'est dire si ça date (ne cherchez pas les jeunes, c'est un terme qui avait seulement cours au siècle dernier). Mais depuis longtemps l'ancêtre donnait des signes de fatigue (appui démultiplié, touches qui se blo, voir dans certains cas tout le clavier si il y avait un peu de tension sur le hub USB). Ça ne devenait plus trop possible, surtout pour un périphérique utilisé toute la journée. Et la nuit aussi.

Bref la question s'est posé de par quoi le remplacer. On m'a conseillé un TypeMatrix malheureusement peu de modèles, et pas celui que je voulais, n'était dispo sur le grand méchant Amazon (on y reviendra), ce qui ne m'arrangeait pas trop car je comptais payer l'engin avec mon solde de cartes cadeaux. On m'a également conseillé un Logitech MX Keys, marque dont je suis très content pour posséder leurs modèles de souris depuis de nombreuses années. J'ai été tout d'abord dubitatif sur l'utilité d'un clavier sans fil, qui au contraire d'une souris, ne bouge pas, et ne souffre donc pas vraiment d'avoir un fil à la patte (du caméléon). Et puis je me suis renseigné et c'est vrai que le fait de pouvoir l'appairer avec jusqu'à trois périphériques - dont le téléphone - s'annonçait au final plutôt pratique. Par contre les touches "façon laptop" du MX Keys ne me branchaient carrément pas, je souhaitais conserver le toucher confortable d'un vrai clavier mécanique.

Sur le plan des claviers mécaniques donc, deux modèles se détachaient du lot: le Keychron K4, impossible à trouver en AZERTY (ça aussi, on y reviendra) sur Amazon, et... la version mécanique du Logitech MX Keys, le MX Mechanical (notez que les liens ne sont pas affiliés, je suis pas un influenceur lol)

Le choix s'est donc fait naturellement, j'ai opté pour le MX Mechanical. Reçu aujourd'hui, j'en suis super content, il est TRÈS confortable, même si il est cher (principal reproche fait par les testeurs), et que je paye un rétro-éclairage de Jacky que je n'utiliserai sans doute jamais (je suis pas un fan de tuning non plus, re-lol). J'ai aussi gagné pas mal de place sur mon bureau (il doit bien être 25% plus petit que l'ancien)

Acheté sur Amazon avec des cartes cadeau donc, le monstre ne m'a de toute façon rien coûté. Un #petittip au passage, la plupart du temps Amazon vous proposera un abonnement à Prime (voir ne vous laissera pas le choix...) pour avoir des frais de port gratuits, sachez que vous pouvez résilier dans la foulée de votre commande sans attendre: la résiliation n'est pas immédiate mais se produit à la fin de la période d'essai, soit un mois plus tard. Donc il vaut mieux résilier de suite plutôt que d'oublier et de se retrouver avec un abonnement à la con.

J'ai longtemps hésité à en profiter pour changer complètement de disposition de clavier (c'est pour ça que j'ai considéré sérieusement le TypeMatrix), voir de troquer l'AZERTY pour un QWERTY tout de même plus répandu et qui est parait-il plus adapté à la programmation, le BEPO étant de toute façon hors de question (trop disruptif). Au final l'habitude - et la flemme, soyons honnêtes - a parlé, et je suis resté sur du bon vieux AZERTY. De toute façon ça fait belle lurette que je ne regarde plus mon clavier, donc passer en QWERTY ne sera qu'une question de changement logiciel... quand j'aurai vraiment l'envie de m'y mettre.

Saturday 4 March 2023

Bon à Tiret

By n on Saturday 4 March 2023, 21:27

Je vous ai déjà parlé de mon amour immodéré pour Grafana. Ce matin une alerte de sécu tombe, je met à jour aussitôt, d'abord sur mon serveur secondaire avant de le faire sur le primaire.

Suite à la mise à jour, je relance le service, et là c'est le drame:

root@web  ~  service grafana start
Starting grafana.
root@web  ~  service grafana status
grafana is not running.

L'appli fonctionne pourtant bien, l'interface web répond et il n'y a rien de suspect dans les logs.

Autre chose étrange, la sonde Zabbix m'indique que le process Grafana ne tourne plus.

Bref, c'est l'appli de Schrödinger ce truc.

Et c'est là que je commence à tiquer: là où avant on avait

root@web  ~  ps aufxw | grep grafana
grafana 83067  1,0  1,7 785228  52484  -  SJ   03:17   0:00,25 /usr/local/bin/grafana-server -config=/usr/local/etc/grafana/grafana.ini -homepath=/usr/local/share/grafana
grafana 82291  0,0  0,1  12848   1900  -  SsJ  03:17   0:00,00 daemon: grafana[83067] (daemon)

on a maintenant:

root@web  ~  ps aufxw | grep grafana
grafana 63104  0,0  0,0   12848   1880  -  IsJ  21:40        0:00,00 daemon: grafana[63323] (daemon)
grafana 63323  0,0  0,8  838124 130296  -  IJ   21:40        0:05,98 grafana server -config=/usr/local/etc/grafana/grafana.ini -homepath=/usr/local/share/grafana

Les plus observateurs auront remarqué (à part le chemin qui a sauté, ce qui n'est pas très grave) une différence subtile: le tiret de grafana-server a disparu.

Bien sûr la sonde vérifiait l'existence de l'exécutable nommé grafana-server, alors que maintenant il s'agit de grafana avec server en "paramètre"...

Le changement a semble-t-il été introduit par le commit réparant la faille de sécurité, je n'ai rien vu dans le changelog de Grafana une quelconque allusion à un changement d'exécutable.

J'ai donc légèrement modifié la sonde pour surveiller le nouveau nom du process, et le script d'init pour qu'il retrouve son petit pid:

--- /var/ports/basejail/usr/ports/www/grafana9/work/stage/usr/local/etc/rc.d/grafana      2023-03-04 11:25:12.604480000 +0100
+++ /usr/local/etc/rc.d/grafana 2023-03-04 12:26:53.625385000 +0100
@@ -57,10 +57,10 @@
 pidfile="/var/run/${name}/${name}.pid"
 required_files="${grafana_config}"

-procname="/usr/local/bin/grafana-server"
+procname="/usr/local/bin/grafana"
 command="/usr/sbin/daemon"
 command_args="-f ${grafana_syslog_output_flags} -p ${pidfile} -t ${name} \
-       /usr/bin/env ${grafana_env} ${procname} \
+       /usr/bin/env ${grafana_env} ${procname}-server \
        -config=${grafana_config} \
        -homepath=${grafana_homepath} \
        ${grafana_args}"

Je suppose que la mise à jour est incomplète et que le script sera corrigé prochainement. Si j'ai pas trop la flemme j’essaierai d'ouvrir un ticket.

« previous entries - page 1 of 30