Railsfrance mailing list
[email protected]
http://lists.rubyonrails.fr/mailman/listinfo/railsfrance
J’avoue que je n’ai pas testé nginx.
J’ai préféré utiliser apache vu la foultitude de modules disponibles.
Si je me rappelles bien ce qu’avait dit François SIMON lors de Paris on
Rails, il y avait une différence de 20 % en terme de perf en faveur de
nginx.
Mon avis est que si on atteint 400/500 utilisateurs simultanés,
on est déjà sur un très très gros site, et que là on a déjà scalabilisé
le serveur, car il est pas loin de la saturation.
Donc le daemon http utilisé est alors plus une question de ressenti, je
veux dire par là que tout le monde connaît apache, donc si le client
voit que cela ne suit plus au niveau web, il aura tendance à incriminer
le maillon qu’il ne connait pas.
L’une et l’autre approche sont toutes les deux, pour moi, équivalentes
en utilisation quotidienne.
pour la consommation mémoire des applis, un ps -aux (colonne RSS) doit
donné une bonne approximation.
J’avais cherché sur le net, et j’avais cru comprendre que connaitre
l’empreinte mémoire d’un programme n’était peut-etre pas si évident
que cela.
Cdlt.
Le vendredi 16 février 2007 à 12:43 +0100, Jérémy Dierx a écrit :
Quelques nouvelles de mon Serveur de prod 
:
Je suis bien parti sur une solution Debian sarge 3.1 kernel 2.4 + Nginx
- Mongrel.
Ce que j’apprécie avec nginx, outre ça rapidité et sa simplicité, c’est
qu’on peut modifier sa config, ajouter des modules et même le mettre Ã
jour sans aucune interruption de service : “on the fly” !!! J’ai
tester !!!
Concernant la foultitude de modules que l’on trouve pour apache, je n’ai
besoin que du strict minimum car ce serveur ne me servira que pour
hébérger du RoR. Et puis plus l’install est simple plus elle est fiable
et facile à maintenir (pour le moment, je n’ai ajouté à nginx que les
supports ssl et rewrite).
Petite remarque : bien que le rewrite soit “natif” chez RoR, il est
obligatoire de l’installer dans nginx (pcre), qui l’utilise pour le
load balancing vers mongrel…
PS : ce week end, mon serveur @home a subi une attaque SSH par force
brute :-O. Pas d’ intrusion heureusement mais j’en ai profité pour
blinder ma connexion ssh… on devrait tous penser à le faire…
Merci pour toutes vos remarques.
Jérémy.
Le vendredi 16 février 2007 à 15:40 +0100, eric a écrit :
Pas d’ intrusion heureusement mais j’en ai profité pour blinder ma
connexion ssh… on devrait tous penser à le faire…
tu peux citer ce que tu as fait pour “blinder” ?
merci (-:
gUI
Le 19/02/07, Guillaume
Betous[email protected] a écrit :Pas d’ intrusion heureusement mais j’en ai profité pour blinder ma
connexion ssh… on devrait tous penser à le faire…
Personnelement, je n’ai pas autorisé root à ce connecter en ssh. J’y
vais avec un utilisateur qui fait partie des sudoers 
Ca évite quelque surprise déjà.
Le fail2ban à l’air d’une solution interessante également.
Bon je suis avec OpenBSD aussi donc ça aide un peu pour la sécu 
–
Je vous serais reconnaissant de ne pas m’envoyer de pièces jointes
aux formats Mp3, Wmv, Word, Excel, PowerPoint, RTF, fichiers aux
formats propriétaires.
Utilisez des formats universels et libres tels que texte, html,
OpenOffice.Org, TeX, à la limite PDF, Ogg, mpg à la limite. Merci.
Voir Finissons-en avec les pièces jointes Word - Projet GNU - Free Software Foundation
PermitRootLogin à no
Obliger les gens à se connecter avec une clé et non avec un mot de passe
c’est vrai que c’est pas grand chose à faire, et ce doit être rudement
efficace.
faut pas se chier et pour pas paumer la clé, mais avec le prix riducule
des
clésusb par exemple, c’est pas dur d’avoir sur soit une clé autorisée.
Et du s/key challenge authentication pour faire mon poids
c’est quoi ça ?
gUI
On 2/19/07, Guillaume B.
[email protected] wrote:
Et du s/key challenge authentication pour faire mon poids
c’est quoi ça ?
Un système qui ne sert que si on ne veut pas avoir une clé RSA/DSA
avec mot de passe non rejouable et utilisé une seule fois.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
PermitRootLogin à no
Obliger les gens à se connecter avec une clé et non avec un mot de passe
Et du s/key challenge authentication pour faire mon poids
Et pour plus de fun :
Reconnaissance biométrique (emprunte palmaire ou (rétinienne), carte
à puces…
Que demande le peuple ?
Le 19 févr. 07 à 10:04, Alexis B. a écrit :
Railsfrance mailing list
[email protected]
http://lists.rubyonrails.fr/mailman/listinfo/railsfrance
Frédéric de Villamil
[email protected] tel: +33 (0)6 62 19 1337
http://fredericdevillamil.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Darwin)
iD8DBQFF2W52CvkKk5nKviARAgHbAKCZp4dnhxaO8dOzLc/xK/k9Y3dDowCgvYSV
lG+7F7cNyczRa1eDISFj90U=
=Z7yl
-----END PGP SIGNATURE-----
Pourquoi tu utilises pas etch ?
Tu as une obligation pour utiliser un kernel 2.4 ?
Meme sis etch est testgin, elle est dans un statut froen, cela signifie
que les nouveaux développements sont arrétés, l’equipe debian se
focalise sur la correction des bugs. (500, il me semble).
Et puis cel t’evitera d’avoir a faire un dist-upgrade en prod.
Cdlt.
Le lundi 19 février 2007 à 09:46 +0100, Jérémy Dierx a écrit :
On 2/15/07, Jérémy Dierx [email protected] wrote:
hébérgeur comme dreamhost en comparaison à une mutualisation perso sur dédié
Je peux suggérer Galacsys (http://www.galacsys.net/) pour un dédié
avec 2 Mbps, ça commence à 152 €/mois dans mon souvenir.
Sans compter un p’tit iptables, pour limiter l’acces au port ssh qu’a
quelques adresses IP.
Pour ceux qui sont pas initiés à iptables-save/resotre, il y a
fwbuilder, qui propose une interface genre checkpoint.
c’est là => http://www.fwbuilder.org/
Cdlt.
Le lundi 19 février 2007 à 10:40 +0100, Ollivier R. a écrit :
eric a écrit :
Une solution aussi et d’avoir une double identification, une
identification sur un site web, suivit d’une identification ssh, qui
n’autorise qu’une ip en modifiant l’iptables, lui permetant de ce logué
pendant quelques minutes …
Frederic de Villamil a écrit :
PermitRootLogin à no
Obliger les gens à se connecter avec une clé et non avec un mot de passe
Et du s/key challenge authentication pour faire mon poidsEt pour plus de fun :
Reconnaissance biométrique (emprunte palmaire ou (rétinienne), carte à
puces…Que demande le peuple ?
Génial comme iddée, comme ca une fois que ca seras bien implenté de
partout, genre ordinateur portable, etc … en plus de te ne voler, on
te couperas un doigt !
tu peux citer ce que tu as fait pour “blinder” ?
http://lists.rubyonrails.fr/mailman/listinfo/railsfrance
Railsfrance mailing list
[email protected]
http://lists.rubyonrails.fr/mailman/listinfo/railsfrance
Railsfrance mailing list
[email protected]
http://lists.rubyonrails.fr/mailman/listinfo/railsfrance
en plus de te ne voler, on te couperas un doigt !
oh moi le dernier couple de vieux que j’ai agressé j’ai pas eu besoin de
leur
couper le doigt. le plus dur était de bien faire tenir le doigt sur le
digimachin, parce qu’ils tremblaient trop… mais 2 claques et ça bouge
plus…
non, crois-moi, couper le doigt, tu te prends 20 ans pour mutilation, y
a pas
besoin…
gUI
Guillaume :
en plus de te ne voler, on te couperas un doigt !
oh moi le dernier couple de vieux que j’ai agressé j’ai pas eu besoin
de leur couper le doigt. le plus dur était de bien faire tenir le doigt
sur le digimachin, parce qu’ils tremblaient trop… mais 2 claques
et ça bouge plus…
Moi j’ai toujours dit qu’à Thalès, c’est que des voyoux.
non, crois-moi, couper le doigt, tu te prends 20 ans pour mutilation,
y a pas besoin…
Lu récemment un fait divers où des cambrioleurs avaient pris
le doigt sur un cadavre.
J’ai retrouvé la news :
http://neufportail.lci.fr/infos/insolite/0,,3385523-VU5WX0lEIDQwMw==,00-ils-utilisent-doigt-cadavre-pour-cambrioler-banque-.html
-- Jean-François.
Yannick :
Bon je suis avec OpenBSD aussi donc ça aide un peu pour la sécu
Tu peux m’expliquer en quoi ça change ? Que ce soit OpenBSD,
Debian… c’est toujours openssh derrière, non ?
-- Jean-François.Lu récemment un fait divers où des cambrioleurs avaient pris
le doigt sur un cadavre.
… alors qu’il est si simple de se trimballer le cadavre !
non, plus sérieusement, je me demande si un jour on n’inventera pas un
truc pour
reproduire un doigt (en cire par exemple) avec une empreinte digitale
simplement
copiée.
du coup, tu vas au domicile de qqu’un, meme pas la peine de rentrer,
t’as tout
ce qu’il faut sur la porte d’entrée, tu chopes les empreintes, tu refais
çatranquille dans ton labo…
c’est surement encore de la pure SF, mais je vois pas trop, en théorie, ce
qui
l’empecherait !
gUI
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Le 19 févr. 07 à 15:20, Guillaume B. a écrit :
copiée.
du coup, tu vas au domicile de qqu’un, meme pas la peine de
rentrer, t’as tout
ce qu’il faut sur la porte d’entrée, tu chopes les empreintes, tu
refais ça
tranquille dans ton labo…c’est surement encore de la pure SF, mais je vois pas trop, en
théorie, ce qui
l’empecherait !
Le fait que la cire fonde à 37 degrés et demi et que je vois mal un
truc à reconnaissance palmaire un tant soit peu fiable ne pas aussi
matcher la température corporelle d’un gugusse en pleine
santé.
Frédéric de Villamil
[email protected] tel: +33 (0)6 62 19 1337
http://fredericdevillamil.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Darwin)
iD8DBQFF2bXkCvkKk5nKviARAsvrAJ9sV+uV4cjB3Oxducr6vaBgtIjdsgCgo6P9
VpogKM1XDVMFbr1urAf3gPw=
=NAnv
-----END PGP SIGNATURE-----
Le 19/02/07, Jean-François Trân[email protected] a écrit :
Tu peux m’expliquer en quoi ça change ? Que ce soit OpenBSD,
Debian… c’est toujours openssh derrière, non ?-- Jean-François.
OpenBSD est configuré sécurité par défaut. Donc oui c’est toujours
openssh derrière, mais pour le reste, en général sur autre chose
qu’OpenBSD il faut faire les choses pour sécuriser. C’est un gentil
troll
–
Je vous serais reconnaissant de ne pas m’envoyer de pièces jointes
aux formats Mp3, Wmv, Word, Excel, PowerPoint, RTF, fichiers aux
formats propriétaires.
Utilisez des formats universels et libres tels que texte, html,
OpenOffice.Org, TeX, à la limite PDF, Ogg, mpg à la limite. Merci.
Voir Finissons-en avec les pièces jointes Word - Projet GNU - Free Software Foundation