Les logs susceptibles d'apparaître pour un service systemd dans un conteneur LXC :

Mar 31 15:19:26 MYHOST systemd[7683]: MY_APP.service: Failed to set up mount namespacing: Permission denied
Mar 31 15:19:26 MYHOST systemd[7683]: MY_APP.service: Failed at step NAMESPACE spawning /usr/sbin/MY_APP: Permission denied

Les logs Apparmor susceptibles d'apparaître sur l'hôte :

Mar 31 13:19:26 ks10 audit[15289]: AVC apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="lxc-42_</var/lib/lxc>" name="/run/systemd/unit-root/" pid=15289 comm="(MY_APP)" srcname="/" flags="rw, rbind"
Mar 31 13:19:26 ks10 kernel: audit: type=1400 audit(1617196766.574:196): apparmor="DENIED" operation="mount" info="failed flags match" error=-13 profile="lxc-42008_</var/lib/lxc>" name="/run/systemd/unit-root/" pid=15289 comm="(MY_APP)" srcname="/" flags="rw, rbind"

Les solutions pour "résoudre" ce problème :

1. Activer l'option nesting pour ce conteneur LXC.
2. Modifier les options du service systemd :
   • Tester les différentes options :

     PrivateDevices=no
     PrivateMount=no
     PrivateTmp=no
     NoNewPrivileges=no
     ProtectHome=no
     ProtectSystem=no
     ProtectKernelTunables=no
     ProtectKernelModules=no
     ProtectControlGroups=no

   • Puis recharger la configuration de systemd :
     sudo systemctl daemon-reload
   • Et redémarrer le service :
     sudo systemctl restart MY_APP.service

En commençant par le moins consommateur en courant :
echo disk | sudo tee /sys/power/state
echo deep | sudo tee /sys/power/mem_sleep && echo mem | sudo tee /sys/power/state
echo freeze | sudo tee /sys/power/state

Si déjà configuré, une requête WakeOnLan permet de réveiller la machine depuis l'un de ces états.

Redimensionner la taille d'un système BTRFS présent dans un LV

Aaaahhhh ! Pourquoi j'ai pas vu plus tôt que ça existait !

Entre cette nouvelle (pour moi…) intégration à Git (utile quand pas d'accès SSH !) et rofi-pass qui me permet d'utiliser ma base password-store partout… Ça va être compliqué de passer à autre chose…

"partout" :

• Tous les navigateurs et sans extension. Toutes les applications susceptibles d'avoir des champs à remplir.
• Même pour authentifier des connexions git précédemment à coup de sleep/delay ^^
• Possibilité de modifier la façon dont vont être saisi les identifiants à coup de tabulation/retour chariot/délais/…. Le site des impots par exemple… (autotype: user :delay 1 :enter pass :enter) :
  1. Saisir l'identifiant.
  2. Valider
  3. Patienter une seconde
  4. Saisir le mot de passe
  5. Valider

Remplace sans problème ma vieille configuration à base de ifscheme…

• une excellente documentation :
• Dokuwiki dédié à iwd sur kernel.org : https://iwd.wiki.kernel.org/start
• Page dédiée à la génération aléatoire d'adresse MAC : https://iwd.wiki.kernel.org/addressrandomization
• Page dédiée aux fichiers de configuration par connexion : https://iwd.wiki.kernel.org/networkconfigurationsettings
• Page wiki ArchLinux dédiée à iwd : https://wiki.archlinux.org/index.php/Iwd
• wiki ArchLinux Génération aléatoire d'adresse Mac avec iwd : https://wiki.archlinux.org/index.php/MAC_address_spoofing#iwd
• Page wiki ArchLinux dédiée à systemd-networkd : https://wiki.archlinux.org/index.php/Systemd-networkd

kodi-send (disponible dans kodi-eventclients-common ou kodi-eventclients-kodi-send sous Debian) permet d'envoyer des commandes à un Kodi (au moins local).

• Liste des fonctions Kodi : https://kodi.wiki/view/List_of_built-in_functions#List_of_functions

• Liste des actions : https://kodi.wiki/view/Action_IDs

• Exemples :

  kodi-send --action="PlayerControl(play)"
  kodi-send --action="PlayerControl(partymode)"
  kodi-send --action="PlayerControl(next)"
  kodi-send --action="PlayerControl(previous)"

• Associé à un autre petit script (qui mixe youtube-dl et kodi-send), c'est aussi possible d'envoyer directement des adresses YouTeub : https://github.com/NapoleonWils0n/ubuntu-bin/blob/master/yank

Simple outil de notification.

Bon… pas certain d'avoir envie de me tapper des notifications sur mon système… Mais ça peut être pas mal pour la luminosité ou le son :)

From : https://www.reddit.com/r/unixporn/comments/fkxeqr/i3gaps_neomutt_taskwarrior_khal_nvim_zathura/

Un peu passé à côté de la simplification des rebonds avec SSH (précédemment avec ProxyCommand).

https://www.redhat.com/sysadmin/ssh-proxy-bastion-proxyjump

Vraiment plus simple ?

• En ligne de commande :

  ssh -J first.jump.host,second.jump.host,….jump.host fqdn.remote.host

• Et dans un fichier ~/.ssh/config :

  Host remote.final.host
  hostname fqdn.remote.host
  ProxyJump first.jump.host,second.jump.host,….jump.host
  #LocalForward  8080  127.0.0.1:8080

  • Simplement suivi de ssh remote.final.host.

On va donc dire oui comparé à ProxyCommand :

ProxyCommand ssh first.jump.host nc %h %p 2> /dev/null 

Percli

• Depuis la gamme 8 des cartes PERC (h310, h710, h810,…), Dell conseille l'utilisation de l'outil perccli à la place de "l'ancien" megacli de LSI|Broadcom :
  https://www.dell.com/support/article/en-us/sln292232/extracting-the-raid-controller-logs-via-megacli?lang=en
• Une page permet de connaître la gamme d'une carte PERC à partir du numéro de modèle :
  https://www.dell.com/support/article/en-us/sln292279/list-of-poweredge-raid-controller-perc-types-for-dell-emc-systems?lang=en
• L'utilitaire perccli n'est disponible qu'en version rpm (convertible via alien comme indiqué dans la doc). Pour le télécharger (recherche de "perccli linux" en filtrant sur 1. les téléchargements, 2. en anglais et 3. au format {rpm, tar, zip}…) :
  url tip top avec pleins de caractères spéciaux
  • Vérifier que le serveur sur lequel ça sera installé est bien présent dans la liste des systèmes compatibles.

Megacli

• Pour megacli, hwraid-le-vert le propose toujours, de Debian Squeeze à Buster (au moment d'écrire ces lignes) :
  https://hwraid.le-vert.net/wiki/DebianPackages
• Il suffit de vérifier le contenu du dépôt pour connaître la liste des versions de Debian supportées (pool-branche) plutôt que la description incomplète.
• Oui, la version 8.07.14-2 est bien la plus "récente" version comme en témoigne la liste des téléchargements disponibles chez Broadcom donnée en lien de la documentation Dell…

Utilisation de Smime avec Mutt

Match un motif sauf si la ligne contient d'autres motifs à ignorer, avec une regex Perl-Compatible :

(?=.*?\bMOTIF_A_MATCH\b)((?!ignoreme1|ignoreme2|ignoremeX).)*$
…

https://www.monkeyuser.com/2020/regex-explained/

"Petits" liens qui m'ont aidés à construire une requête json dans Ansible…

J'espère ne pas avoir à refaire ça trop souvent :Þ

https://www.middlewareinventory.com/blog/ansible_json_query/
https://docs.ansible.com/ansible/latest/user_guide/playbooks_filters.html
https://www.tailored.cloud/devops/how-to-filter-and-map-lists-in-ansible/

Comment générer des nombres "aléatoires" dans Ansible tout en étant idempotent.

Via https://www.reddit.com/r/ansible/comments/9ig3pz/random_numbers_for_cron_template/

Enfin trouvé d'où venait ce satané répertoire qui continuait de revenir et de modifier les droits que je lui attribuais !

• https://bbs.archlinux.org/viewtopic.php?id=241818
• man tmpfiles.d
• view /usr/lib/tmpfiles.d/systemd.conf

Pour modifier ce comportement (par exemple pour autoriser son accès à un outil de monitoring), il suffit de créer un nouveau fichier de configuration tmpfiles.d − /etc/tmpfiles.d/log-private.conf :

# /var/log/private directory is managed by systemd but without enought
# permissions to be able to monitor it.
#
# See `man tmpfiles.d` or /usr/lib/tmpfiles.d/systemd.conf content

# Allow adm group to see directory content
d /var/log/private 0750 root NEW_GROUP -

Et ça sera effectif au prochain redémarrage de systemd/de la machine/…

• Une partition unique.
• Avoir /tmp, /var ou /home sur la même partition que le système.
• Laisser la partition racine (/) ou grub (/boot) se remplir à 100%.
• Conserver trop de noyaux (2, voir 3 max sont largement suffisants).
• Automatiser toutes les mises à jour de logiciel (certaines peuvent être problématique problématique ou se dérouler au mauvais moment).
• Laisser certaines mises à jour automatiques pendant une "longue" période d'absence (serveur SQL, NFS,…).
• Laisser un logiciel en mode debug.
• Ne pas nettoyer les fichiers temporaires après une installation.

Ça fonctionne…

Bon… Il est nécessaire de télécharger une antique version de JRE… qui en plus nécessite une authentification, donc un compte Oracle -_-

Mais ça fonctionne, à travers un tunnel SSH, avec un forward de port et un port autre que celui par défaut…

Comment apporter des corrections dans Timewarrior !

• sudo paperconfig -p a4 va par exemple définir le A4 comme format par défaut sur le système (notamment le contenu du fichier /etc/papersize).
• Sur un système installé en anglais, le fichier contiendra letter à la place.
• Notamment utilisé par des commandes comme a2ps.