Miért nem kellene Gentoo-t telepíteni a szerveredre

Gentoo

A blogger arról ír, hogy noha nagyszerű rendszernek tartja a Gentoo-t, és minden bizonnyal használná a jövőben is desktop-on, mégsem telepítené szerverre. Az okok itt.

( necrolite | 2007. 01. 25., cs – 09:33 )

Jo stilusu elvezetes cikk/blog, mi jokat nevettunk rajta (nem a Gentoo-n)!

( Dwokfur v | 2007. 01. 25., cs – 10:04 )

Remélem a barátnőm (igen) nem olvassa el ezt a blogot...

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Próbálsz objektívnek mutatkozni, a bejegyzés végén végül el is veted ezt a hozzáállást. Nem megy. Mellesleg szerintem meg a te írásod demagóg. De mindemellett az én véleményem a témáról, hogyha szereted buherálni a gépeidet, ha valami változik, valamint rengeteg időd van, valamint fanatikus típus vagy, előbb-utóbb Gentoo szervered lesz. Ezzel még nem lenne gond, mindenki azt csinál, amit akar. De amikor idejön nekem valaki, hogy ő nem komálja az Ubuntumat a szervereimen(megkértem ezt a valakit, hogy készítsen valamiből csomagot) és hogy ő majd tesz rá nekem fasza Gentoo-t, akkor leordítottam a fejét. Általánosítsuk ki a témát: Ugyanaz a baj a Gentoo-val is mint a legtöbb vallással. Hogy fanatikusan rád akarják egyesek kényszeríteni. DE NEM KELL!
--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.

Jó, rendben. Csak szeritem a blogger felelősséggel tartozik az általa írkáltakért és ez túnyúlik IMHO a személyes felelősségen. Manapság egy blog felér egy neves ujság súlyával hírforrás kapcsán. Hatása van az emberek gondolkodására. Éppen ezért szerintem fontos hogy olyan szemléletben írjuk a bejegyzéseinket, amelyek ha újság címlapjára kerülnének, akkor sem szégyellnénk. Ezért nem lehet felém ezzel a "(tech)blogom->szubjektív" dumával védekezni:)
--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.

Jó, nem kell ezt ennyire komolyan venni, csak arra akartam utalni, hogy mostmár egy-egy ilyen szubjektív kiírom magamból blogbejegyzés néha milliókat befolyásol. Sajnos sok a k*csög. Meg xar a biztonság... ((C) Gino)
--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.

Mit szolnal, ha valaki azt allitana egy cikkben, hogy az Ubuntu nem jo szerverre, mert evente ketszer jon egy uj verzio, es az felulirja az init scripteket, es nem tudod mi valtozik a rendszerben. Jobban jarsz ha ujratelepited az egeszet. Nem lehet egy szervert evente ketszer ujratelepiteni, uj Ubuntu release miatt. Tehat nem jo Ubuntu szerverre...

Nem kell megindokolni, hogy miert hulyeseg amit fentebb irtam. De a fenti cikkben kb. hasonlo kijelentesek vannak a Gentoo-rol, mint amit en most irtam Ubuntu-rol...

Mellesleg:
Ugyanaz a baj az Ubuntu-val is mint a legtöbb vallással. Hogy fanatikusan rád akarják egyesek kényszeríteni. DE NEM KELL!

Sajnos ez nem csak itt van meg.
Sok mas teruleten is elofordul, hogy masok akarjak megmondani mi neked a jo.
Amugy gentoot nem ismerem, de ott nem ugy van, hogy nincs kulon regi meg uj ag?
Mert ha igy van akkor nem jo az analogia az ubuntu/debian/stb. rendszerrel.

York.

------
"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..."

Ne ugy kepzeld el, hogy apt-get install stuff...
Gentoonal legtobb csomagnak tobb verzioja is elerheto.

* dev-php5/onphp
Available versions: 0.2.17 ~0.2.18 0.4.10 ~0.4.11 0.6.3 ~0.6.4 0.8.3 ~0.8.4
Homepage: http://onphp.org/
Description: onPHP is the GPL'ed multi-purpose object-oriented PHP framework.

Lenyegeben itt is vannak ilyen csoportok.
De egy csomagnak lehet 5-6 ebuildje is, ami kozul lehet hogy van 2 stable, koztuk pedig 4 unstable.
Telepitesnel kitudod valasztani, hogy te csak ezt a csomagot szeretned, azt is megtudod hatarozni csomagokra, hogy ne tegyen fel frissebbet, annak ellenere, hogy frissult, vagy ne rakjon fel regebbit.
En az ~amd64et hasznalom most, es 1 csomag volt, ami megnyikkant, de a stable ott is lefordult normalisan.

Demagógia a Wikipédiából, a szabad enciklopédiából. Olvasd el figyelmesen, háborgó tengerek atyja. Ha társalogni akarsz, került ezeket a propagandafogásokat, eleget hallgattam az ilyeneket és méltatlan is hozzád. Inkább észérvekkel mintsem észnélküli visszakézből vágj vissza.
Témához vágóan. Nekem NEM baj, hogy te a Gentoo-t favorizálod, csak meg ne halljam, hogy bármelyik gépemre azt akarsz rakni, mégcsak sandán se nézz rájuk. :) Az én nézőpontomból a Gentoonak nincs helye a Linux disztribucióim között, mert filozófiájában tőlem távol esik(ahogy a legtöbb vallás is). Ettől függetlenül ismerem és tisztelem, sőt rendszeresen lopok ki belőle jó ötleteket. De számomra nem alkalmas operációs rendszernek. És itt egy hozzászólásban úgy érzem büntetlenül lehetek szubjekív.
--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.

Nem érzem a demagógiát - hétköznapi szóhasználatban - propagandafogásnak, de a fentiek kontextusában tekintsük úgy, hogy legalább annyira demagógnak tartom magam mint a cikk szerzőjét :D Tehát ne hallgassatok rám! :D
Magam részéről kerülöm a ki milyen disztrót favorizál vitát. Azt hiszem ebben egyet értünk, hisz ha jól értem Te is pont erre utalsz. Én békénhagyom a Te szerveredet (még csak rá sem nézek) és vica-versa :D

"Ettől függetlenül ismerem és tisztelem, sőt rendszeresen lopok ki belőle jó ötleteket."

Ez a fejlődés alapja a nyílt rendszerek körében és követendő példa! Ismerd meg, hámozd ki belőle ami neked jó és hasznád fel! Mint ahogy a mondás is tartja: "Az igazi művész másol, a zseni lop."

Részemről bármikor/bárhol lehetsz szubjektív, tiszteletben tartom és képes vagyok elfogadni mások véleményét mindaddig amíg nem megy személyeskedésbe!

Izlések és pofonok...
Ha valaki jól be tudja lőni a gentoot, és neki sokkal inkább kézre áll, továbbá pozitiv erendményeket produkál, akkor nem kell megkérdőjelezni a minőséget.
Minden rendszer mellett szólnak + és - érvek, de ez már naggggyon de naggggyon lerágott csont!

vbali: az oldaladat értékesnek tartom, mert közzé teszed ezen területtel kapcsolatban tapasztalataidat, véleményedet, és javaslataidat. Én magam nem korteskedem a Gentoo mellett, ettől függetlenül minden vélemény, minden infó hasznos.

------------------------------------
[Debian Etch; ASUS P4T533-4; 2.4GHz CPU; 512MB ECC RAM; FluxBox]

( ProTech | 2007. 01. 25., cs – 10:51 )

A stage 1 installalast ez a ficko is felreerti mint sokan masok. Attol, hogy valaki stage 3-rol installal, meg mindent lefordithat a sajat gepere, csak nem kell neki szopni a stage 1-es bugok miatt.

A profile update a cikkel ellentetben nem csereli le az alap rendszert (replace your basic system). Csak a default USE ertekeket es systemben levo package listat valtoztatHATja meg. En eddig egy profile update utan sem vettem eszre valtozast. Es onmagaban nem csinal semmit, max a kovetkezo emerge -DuvaN world soran tunnek fel uj packagek.

A profileos resz egyertelmuen FUD. Ha a baselayout-ra gondol abban lehet valami, de az nincs profile-hoz kotve. Szoval innen is latszik, hogy koze nincs a csavonak arrol amit beszel. Egyebkent a baselayout sem olyan veszes, aki nem tudja abban vannak az alap init scriptek (mount/net/stb..). Gentoo alatt egy configuracios file sem irodik felul automatikusan.

Meg egy helyesbites. Evente ket profile update van. Mindig amikor kijon egy uj verzio. Nekem meg sosem kellett ujratelepiteni Gentoo-t, pedig a regi gepen mar futott vagy 3 eve, kb 8 profile update-et tulelt...

Annyi igazsag van a cikkben, hogy kellene egy server portage tree, ami evente ketszer szinkronizalna a rendes tree-vel, es kozben csak security update-ek kerulnenek bele. Errol tudnak a feljelsztok, csak sajos jelenleg all a dolog.

Múltkor valaki azt írta itt, hogy a stage1 dolog már nem is létezik. :D Pedig csak azért nem az a default install mert sok faszláma nem olvasta el a doksit és hibajelentett csomót..

Software is like sex, it's better with a penguin. :D (r)(tm)(c)

Nemrég telepítettem.
"Make sure you download a stage3 tarball - installations using a stage1 or stage2 tarball are not supported anymore."

Valójában stage1 és stage2 tarball nincs is abban a könyvtárban.
Tehát mondhatjuk, hogy tényleg nincs már stage1 (persze van, de az dev cuccnak számít).
De ez csak annyit jelent, hogy kicsit többet kell letöltened, mert kb 3 paranccsal el lehet érni, hogy mindent újrafordítson, mintha stage1-ről indultál volna. (És ez dokumentálva is van rendesen.)

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o

( fdavid | 2007. 01. 25., cs – 11:27 )

Jo ez a kis feligazsagokkal tuzdelt FUD. Kellet mar nagyon. Reg volt mar kiados gentoo-debian flame.

( gee v | 2007. 01. 25., cs – 11:50 )

Segítsetek!

Ajánljatok nekem disztribúciót! Elmondom, mi lenne az ideális kb.:
Debian stable + PAX + SSP + RSBAC

Korábban éveken keresztül Adamantix-et használtam, ami akkor, amikor rátaláltam (1.1?) még kb. ez volt. Azóta viszont egy külön disztró lett, és elvesztette a Debian stable előnyét. Nincsenek rendszeres és gyors security update-ek, nincs sok karbantartó, nincs stabil ág. 1 gépen úgy halt be egy upgrade után, hogy minden teli lett __guard hibával, nem ment a bash, és downgrade sem segített. Reinstall. 3 másik gépen különböző időpontban upgrade után vagy egyes programok nem működtek (pl. ping), vagy már bootkor semmi szolgáltatás nem indult el. Ez az utolsó 3 RSBAC konfiguráció és hozzájuk tartozó csomagok változása miatt.
A lényeg, hogy ez nem megfelelő a jelenlegi formájában szerverre.

Most épp gentoo-val ismerkedem, van ugye a hardened gentoo projekt, ami kínál PAX-ot, SSP-t, RSBAC-ot.
Vannak dolgok, amik tetszenek, mint pl. ez a profile okosság, meg a USE flag-ek, és vannak, amik nem tetszenek. Pl. a dokumentációja hiányos, és számos kérdésre a lukakat a google-lel lehet csak betömni. Ez egy dolog. Az, hogy kb. egy hét alatt sikerült odáig eljutni (a hiányos dokumentáció miatti zsákutcák és a fordítások időigénye miatt), hogy most már van 1 gép, amin már végre hardened toolchain van, és ma indítottam el az emerge world-öt, az nem tetszik, de végülis telepíteni csak egyszer kell, kivárom azt a pár napot még, amíg végez.
De félek, hogy a végén nem nyújt majd elég jó megoldást.

Örülnék, ha a félelmeimet meg tudnátok cáfolni:

  • Mivel a hardened lényegesen korábbi verziókkal működik, mint a rendes (telepíteni is a 2006.0-val kell), félek, hogy nem számíthatok security fixekre. Debian stable-be pl. a hibajavításokat a frissebb, újabb verziókból backportolják. De ott ugye van általában 1 db. security team által támogatott verzió, néha kettő (mint most éppen, stable is, testing is). Van vajon minden különféle profile változathoz egy security team? Vagy legalább a hardened-hez (ha már biztonságos, mit ér hibajavítások nélkül)?
  • Stabil lesz-e olyan értelemben, hogy nem fog egy upgrade olyan csomagverziókat, vagy változó csomagstruktúrát telepíteni, ami után a rendszer bizonytalan állapotba kerül? Nem járok-e vele úgy, mint Adamanitxszal, hogy upgrade után a következő bootolásnál nem indul el ez-az?

1. Fog frissülni. Ha jol tudom ugyan azokbol az ebuildekbol dolgozik a hardend is csak megkapja hardend flaget. Az hogy 2006.0 van ott az ne zavarjon. Vagy nevezd át :)
2. Nem szokása ilyesmit tenni, ha mégis változik valami az ebiuldek telepítés közben kiírják, és csipognak is. Érdemes lehet logolni ezeket, és olvasgatni. , valamint válaszd a stable ágat, elég sokan használnak tesztinget és igen hamar nyivákolnak, ha valami nem kóser, és stable-bol kiszűrik.
------
gentóhuszár

1: én úgy látom, hogy ugyanazokból az ebuildekből dolgozik, de az elérhető ebuild verziók közül egy olyat választ ki, ami nem feltétlen a legfrissebb.

Pl. emerge --search libc nekem azt mondja, hogy a sys-libs/glibc latest version available: 2.3.6-r5.
Ugyanakkor belenézve a /usr/portage/sys-libs/glibc könyvtárba, 2.2.5-r10-től felfelé egészen 2.5-ig vannak ebuild-ek, összesen 16 verzió. Ebből az enyém a legfrissebb 2.3-as, de van még két 2.4-es is a 2.5 előtt.

És attól félek, hogy ha egy security bug javítása egy még újabb verzió létrehozásával történik, pl. 2.4-ből (ha mondjuk az a stabil ág) lesz 2.4-r5, vagy 2.5-ből 2.5-rX akkor az én, hardened profile által szabályozott verziójú csomagomban nem lesz benne a bugfix, valameddig. Fogalmam sincs, meddig. Kivéve, ha készít valaki egy 2.3.6-r6-ot is, ahogy a Debian stable security team megteszi.

Tehát erre várnék választ, hogy 1, mit várhatok, ha régről velünk élő hiba van, azt hogyan javítják, egy verzióban, néhányban, vagy az összesben?
Ha nem az összesben, akkor vajon a hardened-ben épp javítják-e, vagy a hardened-től mit várhatok, mikor éri el a nem hardened verzióit (szóval időben mennyivel van lemaradva).

2: Igen, láttam már pár szöveget, hogy valami változik. Ez jó, hogy jelzik, meglátom, hogy lehet vele együtt élni.

Mit értesz az alatt, hogy stable ágat és ne testinget válasszak? Én szívesen választok stable-t, de nem olvastam a handbookban ilyen lehetőséget :-)

Szóval mit kell beállítani, hol?

G

1. http://packages.gentoo.org/search/?sstring=glibc

~ jelenti a testinget.
ACCEPT_KEYWORDS nél adhotod meg melyik ágat használod.

M jelenti hard maskedet, unmaskolni /etc/portage/package.unmask

Te stablet hasznalsz.

"Tehát erre várnék választ, hogy 1, mit várhatok, ha régről velünk élő hiba van, azt hogyan javítják, egy verzióban, néhányban, vagy az összesben?"
Összes.

Hardend nincs időben lemaradva gentoo stable ágtol.

"És attól félek, hogy ha egy security bug javítása egy még újabb verzió létrehozásával történik, pl. 2.4-ből (ha mondjuk az a stabil ág) lesz 2.4-r5, vagy 2.5-ből 2.5-rX akkor az én, hardened profile által szabályozott verziójú csomagomban nem lesz benne a bugfix, valameddig."

Ne aggodj -e miatt, ha security bug van hamar, felminősitik akkár a testing verziót is stablére, ha csak ahhoz jöt még ki bugfix.

Érdemes figyelni az ebuildek change logját.

(Eredetileg hosszabban irtam le csak véletlenül félra katt, ugyhogy csak címszavakban írom ujra)

szerk:
(További lehetőségek: layman , overlay)
------
gentóhuszár

Na várj. Ezt most nem értem.

Megnéztem a fenti URL-t. x86-om van, azt látom, hogy 12 verzióhoz tartozik + jel, 12 verzió stable.

Ez, feltételezem azt jelenti, hogy nincs ismert stabilitási hiba az adott verzióval az adott architektúrán. Eddig rendben.

> Hardend nincs időben lemaradva gentoo stable ágtol.

Ezt hogy érted? Mi a gentoo stabil ága? Mielőtt hardened profile-ra kapcsoltam volna, más verziójú gcc-t, és más verziójú glibc-t gondolt telepíteni valónak.

Ha jól értelmezem, akkor telepítés után, hardened profile-ra váltás előtt az emerge glibc a 2.4-et tette volna fel, profile váltás után meg a 2.3.6-ot.

Szóval verzióban biztos le van maradva. Vagy mit értesz "idő" alatt?

> "ha régről velünk élő hiba van, hogy javítják, egy verzióban, vagy az összesben?"
> Összes.

Ezt hogy érted? Van egy hibajavítás, amit mondjuk az upstream elkészít 2.5-höz (beszéljünk glibc-ről továbbra is). Ezután a gentoo-s fejlesztők ezt a patch-et backportolják az összes (jelen esetben 15) korábbi verzióhoz? És akkor hogy változnak a verziók?

Vagy összes alatt azt értetted, hogy 2.2.5, 2.3.2, 2.3.3, 2.3.4, 2.3.5, 2.3.6, 2.4? Mert ez még hihetőnek hangzik, és el is tudom képzelni, hogy mondjuk 2.3.6-r5 helyett lesz egy 2.3.6-r6.

De ez sem tűnik elégnek, mert más (nem x86) architektúrán nem ugyanazok számítanak stable-nek, mint nálam. Az alpha pl. 2.3.6-r4-et használ, az r5 neki nem elég jó. Akkor az -r4-be is backportolják? És annak mi lesz a verziószáma onnantól?

> Ne aggódj emiatt, ha security bug van, hamar felminősítik akár a testing verziót is stable-re, ha csak ahhoz jött még ki bugfix.

Ez a mondatod nem áll ellentmondásban azzal, hogy ha hiba van, akkor azt az összes verzióban javítják?

Nézegesd az /usr/portage/profiles -t abbol kiderül, hogy mi van kitiltva hardendböl.
(hardend/x86/2.6, nem csak azt nézi hanem a parent szabályait is, ill. meg van a szabalya hogy milyen sorrendbe szedi fel a paramétereket.)

A többi ebuildeket ugyan onnan veszi, mint a hagyományos gentoo.
Hardend default, use flagekben tér el, ill. kitiltott csomagokban, useflegkben.
ACCEPT_KEYWORDS="x86" akkor + ak kozul valaszt, ha ~86 akkor ~ és + ek között.

Összes stablének jelölt be mindenképpen bekerül a javítás. Vagy elveszti a stable jelzőt szvsz.

OpenOffice.Org -nál pl. nem változott -e miatt a csomag verzió száma mivel az OOo-ék sem változtattak rajta, ezért érdemes figyelni a changelogokat, ill. használni a glsa-check -et. (Ha csomag kiadója változtat a verzó számon akkor gentoo is változtat, ill. fontosabb (server) csomagoknál -rVAL növelődni szokott )

"Ez a mondatod nem áll ellentmondásban azzal, hogy ha hiba van, akkor azt az összes verzióban javítják?"
De ez ellntétben áll, rosszul mondtam. stablenek nem jelölik, ha sebezheto.
Sőt hard-maskot is kaphat -e miatt a csomag.

Érdekelhetnek még a use flegek:
http://gentoo-portage.com/USE
/usr/portage/profiles/use.desc
------
gentóhuszár

Én nem terjesztek FUD-ot, mivel nem állítok semmit. Kivéve Adamantixról és Debianról, amiket ismerek.

Gentoo-val kapcsolatban kérdéseim vannak.

Lehet, hogy én csinálok valamit rosszul akkor, de a 2006.1-es telepítés után, amikor a hardened profile-ra váltást próbáltam, azt mondta, hogy a libc-t nem hajlandó downgrade-elni.

# emerge gcc binutils virtual/libc

emerge: (1 of 3) sys-devel/gcc-3.4.6-r2

A default a 4.1.1-es gcc, ami ott is maradt, csak mellé került az újabb.

emerge (3 of 3) sys-libs/glibc-2.3.6-r5

Sanity check to keep you from breaking your system:
Downgrading glibc is not supported and a sure way to destruction
ERROR: sys-libs/glibc-2.3.6-r5 failed.

Erre a gentoo-hardened levelezőlistán azt mondták, hogy ja, bocs, azt nem írtuk bele a weblapra, hogy 2006.0-t kell használni, mert abban még elég régiek a csomagok.

Most 2006.0 után volt hardened profilra váltás, gcc fordítás, libc fordítás.

Most a gcc nem az újabb mellé került, hanem most egy van, a libc meg újrafordult.
De ettől még a jelenleg elérhetőnél lényegesen régebbi a gcc, és a libc, meg feltételezem a csomagok még jelentős hányada (bár a többi csomagot nem néztem meg).

Ennek alapján én úgy látom, hogy de igen, a profil kiválasztja, hogy egy csomagnak milyen verziója használható (best, vagy stable, nem tudom, mi a megfelelő terminológia).

Ezzel nekem nincs semmi bajom, bőven jó az, ha nem a legfrissebb verziószámú csomag van fent, feltéve, ha ismert security bugoktól mentes a rendszer a régebbi verziók ellenére.

G

Tudsz URL-t? Ilyen howto-t kerestem, és nem találtam. Két dolgot találtam:

http://www.gentoo.org/proj/en/hardened/hardenedfaq.xml#hardenedprofile
http://www.rockfloat.com/howto/gentoo-hardened.html

Ezek egyike sem ír 2006.0-t, és a levlistán azt írták, hogy a weblap nem tartalmazza ezt az információt. (Ugyanaznap egyébként egy másik csóka is megkérdezte ugyanazt, csak pepitában).

Ha tudsz valami hivatalos(abb), teljesebb hardened készítő howto-t, muti! Bár azt hiszem, most már mindent tudok, ami a telepítéshez kell. :-)

Most épp az emerge world megy, 51 of 93 az állás. Remélem reggelre befejezi.

G

Ezeket néztem, és nem tartalmazzák a 2006.0-ra való utalást.

A hardened profilra váltást igen, a faq. Ami 2006.1-en nem megy.

Vagy ha 2006.0-t tett fel az ember, de túl hamar upgrade-el, akkor sem, mert a libc túl friss lesz. Ezt írták.

G

stage1-ről telepítek mindig, meg egyből beállítom a profilt. Bár a jelenlegi rendszeremet asszem még úgy tettem fel, hogy nem volt hardened :)

Más az egyes profilokban a stabil csomaglista, use flag lista, ezért lehetnek szívások... Ezzel nem szoptam még, de az elhasalt fordításokkal már nagyon sokat. Ezért nem frissítek naponta :)

csak nehany kijelentesedre reagalnek mert szerintem nem a valosagot tukrozik.

"Azóta viszont egy külön disztró lett, és elvesztette a Debian stable előnyét"

az 1.1-es foleg a sarge-ra epult kezdetben, most mar eleg sok etch csomag is van benne

"Nincsenek rendszeres és gyors security update-ek"

vannak security updatek, ezek szinten a debian csomagokbol keszulnek

"nincs sok karbantartó"

igaz. a legnagyobb problemaja a projectnek az emberi eroforrasok szukossege

"nincs stabil ág"

1.0.4 a stabil verzio, ( ami meglehetosen elavult mivel a woodyra epul :( )

"1 gépen úgy halt be egy upgrade után, hogy minden teli lett __guard hibával, nem ment a bash, és downgrade sem segített. Reinstall. 3 másik gépen különböző időpontban upgrade után vagy egyes programok nem működtek (pl. ping), vagy már bootkor semmi szolgáltatás nem indult el. Ez az utolsó 3 RSBAC konfiguráció és hozzájuk tartozó csomagok változása miatt."

a stabil verzio az 1.0.4-es. ha 1.1-es testinget hasznalsz akkor koszi hogy tesztelted :)

"Azóta viszont egy külön disztró lett, és elvesztette a Debian stable előnyét"
az 1.1-es foleg a sarge-ra epult kezdetben, most mar eleg sok etch csomag is van benne

Igen. Viszont én nem erről beszéltem. Én arra gondoltam, hogy míg korábban a sarge csomagok egyszerűen újra lettek fordítva, kis CFLAGS átállítás után, azóta vannak új csomagok, olyanok, amik nincsenek benne egyáltalán a Debianban. És vannak olyan csomagok, amik neve ugyanaz, de a dependency már eltérő.
Ez a jelenség az elején egyáltalán nem volt, aztán elkezdődött, olyankor toltam egy-két hibajegyet, hogy ez és az a csomag nem telepíthető, mert mondjuk olyan másik csomagot akart, ami nem is volt a repóban, vagy írtam, hogy felesleges dependency van X csomagra, vagy olyan verzióra, ami nincs az adott stabil repóban, csak unstable-ben. Erre akkoriban bocsánatkérés volt a válasz, és pár nap, max 1-2 hét alatt Peter javította.
Mostanában viszont igen sok olyan csomag van, ami Debianban nincs, nincs már verziók közötti egyezés sem.

"Nincsenek rendszeres és gyors security update-ek"
vannak security updatek, ezek szinten a debian csomagokbol keszulnek
"nincs stabil ág"
1.0.4 a stabil verzio, ( ami meglehetosen elavult mivel a woodyra epul :( )
a stabil verzio az 1.0.4-es. ha 1.1-es testinget hasznalsz akkor koszi hogy tesztelted :)

Levelezésem az adamantix listán, 2006 november:

From: Peter Busser

> First question: which adamantix version is stable and maintained enough,
> so that when I do an apt-get upgrade, it will get the security problems
> fixed, and it won't break anything?

At the moment no Adamantix version.

v1.0.4 is way behind with security updates.
v1.1.0 is still changing

Personally I use v1.1.0 on my servers and it mostly works for me. I say
mostly, because there are some problems, especially with RSBAC. I know
how to get rid of them, but it takes time.

I always recommend v1.1.0. That is what I use too. Not only does it have
more and newer packages, it also maintained and it gets regular security
updates. And if you have problems, I can fix them. I am not going to
touch v1.0.4 anymore. So v1.0.4 is history as far as I am concerned, unless
someone is going to actively take care of it.

Erre még novemberben azt gondoltam, hogy rendben, ha gond van, Peter majd megoldja. Ő egyedül. Azóta volt gondom. 2 gép is belepusztult az RSBAC csomagok variálásába.

Felkerült valami csomag, aztán az a csomag megszűnt létezni, más csomagok programjai az adott könyvtárat használták volna, de az a könyvtár nem is létezett, és olyan csomag már nem is volt letölthető, ami létrehozta volna, meg ilyesmi.

Kérdeztem Petert. Mondott tippeket. Megtettem. A rendszer ugyanúgy talán 2 daemont tudott csak elindítani a kb. 15-ből. Erre már új tipp se jött.

Erre nem lehet production szervert alapozni.

Ahogy 1.0.4-re se.

Az a mondat, hogy at the moment no adamantix version, nos az a mondat a kulcs.

Én még próbálkoztam két hónapot. Most már túl sok problémát okozott. Nem akarok mindig azon izgulni, mikor telefonal valaki, hogy a reboot óta nem megy a tűzfal, vagy a webszerver.

Jelen állapotában nem vagyok hajlandó Adamantixot tovább prod. szervereken használni. Ennyi.

"Nincsenek rendszeres és gyors security update-ek"
vannak security updatek, ezek szinten a debian csomagokbol keszulnek

Aha. Vannak. Rendszeresek és gyorsak-e? Ez volt a kérdés. Én úgy látom, hogy a levlistán néha beesik egy-egy írás, hogy valamiben lett javítás. Közben a Debian security listán meg jön mondjuk hetente 10 levél javított csomagról.
Ha minden debian javítás megjelenne kis késéssel adamantix javításként, azt mondanám, rendben. De mivel egyébként is vannak csomag verzióbeli eltérések, így ez szerintem túl nagy munka lenne.
Ha jól emlékszem, valami német srác írta, hogy ő majd odafigyel egy kicsit a security hibákra, hogy azért előbb utóbb bekerüljenek.

Ugyanazt érzem itt is, mint a többivel: 1 ember nem elég.

Erre vezethető vissza az összes problémám. Szerintem két út járható: a debian közösségre és security team-re építek, és az általuk kitesztelt dependency-ket nem változtatom, az általuk használt verziókat fordítom újra, vagy ha nem ezt teszem, akkor én kiállítok egy csapatot, akiknek van elég idejük, hogy az új csomagfeltöltésekkor legalább azt ellenőrizzék, hogy telepíthető-e, és vajon nem borítja-e fel az egész rendszert.

G

( turul16 v | 2007. 01. 25., cs – 11:55 )

Eleinte nem akkartam hozzászolni ehhez a topikhoz, az n+1 edik flame vart megvívni gentoo ügyben. De mégis...

Facts:
1. Nem te dolgolzol sokat hanem CPU, is mint multitaszkos rendszereknél az megszokott, közben bármit csinálhatsz, a már lefordult elemeket konfolhatod.
2. Szervernek leforgatni mindent, LAMP kobóhoz fél nap sincs, egy mai gépen satge3-ból indulva.
3. a glsa-check -nél említett warning-ok inkább a paranoiát jelentik nem azt, hogy az eszköz rosz.
4. gentoo alapfilófija szerint semmit nem kényszerít rád.
5. Ha van 50 servered nem kell mindegyikre külön forgatni, dolgokat, kivéve, ha más flegeket szeretnéd használni. (Más rendszereknél ez a lehetőséged legtöbbször meg sincs.)

Vélemény:
1. Gentoo testing gyakran van olyan jó, mint más rendszerek stable ága.
2. Ez egy sima flamebait irás FreeBSD mellett.
3. a az blog huszár annyira figyel a biztonságra, jó ha tudja, hogy security updatek gentooba kerülnek bele leghamarabb, ha annyira biztonság mániás és más rendszereknél akarja ezt, akkor neki kell forgatnia kézzel. (hardend ágról még nem is beszéltem)
4. Az ha valaki jobban szereti, ha rendszer formáljá őt, az ő képére, mint fordítva az az ő dolga, ha valmiben eltérsz a rendszer felípésében a defaultól a következő frissítéskor nem fog összeomlani rendszered/ nem kell ujra széthekkelned az egészet ,hogy olyan legyen amilyennek te szeretnéd.

Azt hiszem többi dolgot már elmondták mások.

Tudom az én véleményem nem számit, mert hívő vagyok/ hívőnek látszok.
------
gentóhuszár

"Eleinte nem akkartam hozzászolni ehhez a topikhoz, az n+1 edik flame vart megvívni gentoo ügyben. De mégis..."
Miért flém az, ha elmondjuk a véleményünket? Akár te is. Szerintem beszélgetés. Flame akkor lesz, amikor észérvek nélkül, meggyőzhetőségnek tanujelét sem adva személyeskednek emberek. Na az flém.

"1. Nem te dolgolzol sokat hanem CPU, is mint multitaszkos rendszereknél az megszokott, közben bármit csinálhatsz, a már lefordult elemeket konfolhatod."
De sajnos te is többet dolgozol, mint amennyit kellene. Én értem, hogy neked/nektek van erre időtök, nekem napi 30 percem van rá, hogy utánanézzek az update-eknek/sechole-oknak->teszt szerver->gyors teszt->global upgrade. 30 perc. Jómagam nem fizetném ki senkinek hogy Gentoo-val p*cs*ljön, amikor van más gyorsabb alternatíva. Nem ad annyit ilyen téren Mr. Gentoo, hogy megérje nekem 30 percnél többet foglalkozni vele naponta.

"2. Szervernek leforgatni mindent, LAMP kobóhoz fél nap sincs, egy mai gépen satge3-ból indulva."
Fél nap??!! Nekem csak másfél óra. De ne hülyéskedjünk már! Ott darál a gép nem egész fél napot vagy akár 1.5 órát és zabálja az áramot. Nektek ingyen van az áram? :) mert akkor viszem oda a szervereimet :P

"4. gentoo alapfilófija szerint semmit nem kényszerít rád."
Nem is a filozófiával/hittel van bajom, hanem a papjaival! :) (Ld.: mohamedán, keresztény, stb. vallások kontra tömeges félreértelmezésük) Van egy ismerősöm, hívő mohamedán, de a Koránból nem azt olvassa ki, hogy mindenki égetnivaló, ha nem mohamedán. Valahogy analóg módon vannak ilyen Gentoo-sok is. Elismerik hogy nekik van erre szabadidejük, de elfogadják, hogy nekem nincs. Peace.

"5. Ha van 50 servered nem kell mindegyikre külön forgatni, dolgokat, kivéve, ha más flegeket szeretnéd használni. (Más rendszereknél ez a lehetőséged legtöbbször meg sincs.)"
Mert a legtöbbször nem is kell. Szintén időrabló feladat specializálni szervereket, hát még karbantartani specializált szervereket. Senki nem fizeti meg. Ezért inkább bővebb funkcionalitással, de egységes szervereket kell deploy-olni, hogy a karbantartás viszonylag takarékos legyen.

Véleményekhez:
"4. Az ha valaki jobban szereti, ha rendszer formáljá őt, az ő képére, mint fordítva az az ő dolga, ha valmiben eltérsz a rendszer felípésében a defaultól a következő frissítéskor nem fog összeomlani rendszered/ nem kell ujra széthekkelned az egészet ,hogy olyan legyen amilyennek te szeretnéd."
Az első fele szerintem hit kérdése. Engem sem a Debian, sem az Ubuntu sem a RedHat sem a SuSE nem formált semmilyenné. Max flexibilissé varázsolták és elmélyítették a tudásomat. A másik részét pedig kimondottan cáfolnám. Gentoo alatt ha megreszelek valami komolyabbat, bebootolhatatlanná válik az egész. Volt hogy még régen éjszakákat reszelgettem, csak hogy bebootoljon. Na most persze mondhatod, hogy minek vágok bele, ha nem értek hozzá. Jogos. De egyanez áll mondjuk az én kis pet distromra is, vagy bármelyik másikra. Én Ubuntu alatt is bármilyen komolyabb változást meg tudok csinálni, úgy hogy tökéletesen megy és supportálható marad. Egész konkrétan csinálom is már egy ideje :P Szóval szerintem csak csupán hozzáértés kérdése ez mind Gentoo-n mind bármi máson.
--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.

1.
Gentoon se tart tovább 30 percél szerintem, főleg ha naponta csinálod. Egy nap alatt hány program frissül átlagban? 0.5?

2.
1.5 óra - fél nap...
Tényleg nem értek hozzá, de az ember jó esetben nem telepítget újra szervereket hetente. Akkor meg majdnem mindegy, és tényleg csak vallás kérdése.

Két dolog gentooról:
pro:
Gyorsabb. Mondhatod, hogy nem, meg, hogy csak pár %-kal, csak akkor tévedsz. Pl Blender 70%-kal gyorsabb mint az előfordított. (amd64 sse3)
Persze ez tényleg az egyik legdurvább adat.
con:
Tovább tart telepíteni. Ez is tény. Főleg, ha kezdő vagy.

Mindenki döntse el maga, hogy _neki_ mi fontosabb.
Én szeretek heggeszteni, és fontos a sebesség, de nem is vagyok rendszergazda. Ha az lennék, nem választanám a gentoo-t a mai tudásommal.
Viszont ismerek sokgépes hálzatot, szervereket, ahol gentoo van. A feladat nem megoldhatatlan. Biztos nem mazohizmusból választották.

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o

Gyorsabb. Mondhatod, hogy nem, meg, hogy csak pár %-kal, csak akkor tévedsz. Pl Blender 70%-kal gyorsabb mint az előfordított. (amd64 sse3)

Ezen érved hatására még ma lecserélem az összes szerverOSemet Gentoora. :-P
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Teljesen igazad van. Én is ezen okoból mondtam le a gentoo-ról...
Tényleg nincs 3 percnél több időm 5 web és 4 file szerverre pár naponta.
Van elég bajom kis hazánk egyéb ügyeivel, lavírozom a céggel erre arra, próbálok talpon maradni, nem pont elsődleges a fél rendszer újrafordítása...

Jelzem "szerver" -ről van szó, ne felejtétek el. (ld. blender)
Az a cél, hogy ne nyomják fel a rendszert, apache, php, postfix, stb. _Sokkal_ egyszerrűbb és gyorsabb egy kész binárist feltenni, mint patch meg make.

Bőven elég az új kernel miatt aggódni (nem mindenhol van sajna IP konzol :) ), tényleg elég egy dselect update / per szerver. Így is tud meglepetést okozni, a múltkori 23-as samba pl. Munkaidőben...
Egyszerűen visszatettem 1 perc alatt a régi deb-eket, amíg rá nem jöttem, hogy megint a swat fagy le. 30 ember nem várja meg, amíg lefordul a régi verzió.

( Gabucino | 2007. 01. 25., cs – 13:50 )

a gentoo nevu vicclinuxrol harom szo: zap, .keep, webapps

írd bele szkriptekbe azt a hót egyszerű sort, és akkor minden ok-é. lesz.

akkor ugy veszem hogy ezzel megvalaszoltad hogy "miert ne tegyunk gentoot szerverre"

Az esetleges false pozitiv több, gondot okozhat igazán élles rendszerben, mint hogy zapolsz egyet.

ugyerted "igazan" eles rendszereken discouraged a '[ ! -d /proc/$PID ] && zap' eljaras? ki fogja az enterspajzgentudat hasznalni ha ez van a release notesban? /o\

Ahogy emlékszem a többi (Linux) disztróban sincs ez benne az init scriptjében, manuálisan kell kigyomlálnod a pid filet ilyesmiket, itt legalább van egy zap.

Én nem érzem szügségét az atomatizálásának.
1. nem doglenek meg a szolgáltatásaim, így nem kerülök szembe azzal, hogy egy sorral többet kellene gépelnem.
2. Ha ilyet akarnék a rendszerembe már bele tettem volna.
3. fel írom feature requestek közé :), hogy ne legyen harag :)

------
gentóhuszár

zap: keres rá a hupon már 3 szor válaszoltam rá. Ne használd ha zavar :)

.keep : Senkit nem zavar rajtad kívül, hogy nem egy adatbázisban van letárolva, azon könyvtárak amiket üresen sem kell letörölni, csomag uninstaláláskor.
Más felöl emergeléskor van egy filter funkció , hogy bizonyos nevű filokat, vagy bizonyos helyekre nem teszi fel a cuccot, ha annyira zavar az a pár .keep akkor probáld meg. Valószínüleg nem okoz problémát.
(Kis méretű rendszerekből a doksit szokás kiszűrni vele (pl .man pagek))

Ill. portage elég rugalmas, írj hozzá pár sort és tárold egy fileban, vagy sqlite db -ben, ahogy érzed.

webapps : a kutya nem kényszerít rá, hogy használd, egyébként mi a gondod vele?

------
gentóhuszár

1. ertem en hogy ne hasznaljam a zapot, de maskepp hogy fog eltunni a gentoobugware altal odahazudott pidfile? igazabol igy eleg nehezen indul el szerencsetlen service, hiszen a bugwareszemet szerint "already running"

2. elmegy a picsaba hogy rmdir helyett tokures+folosleges direket hagy fent hidden fileokkal

3. az hogy folosleges bloat, es jelzi micsoda braindamage van a keszitoknel

ja multkor gentoo alatt teljes keptelenseg volt a squirrelmail address bookjat a "not configured" uzeneten kivul barmire rabirni, szerencsere miutan letoltottem az upstream tgz-t, az out-of-box mukodott, kthx

( Panther v | 2007. 01. 25., cs – 13:54 )

Ha rossz a gentoo, amiben ezernyi program van benne, akkor milyen az összes többi? Vegyük a SLES/RHEL disztrókat, SLESnél kb. 5 év a támogatási idő, közben nem nagyon frissül, csak biztonsági frissítések vannak, ráadásul irtózatos ára van. Jön a hülye ügyfél, hogy márpedig neki firssebb kell az a, b, c, ... rakat másik csomagból.

Milyen lehetőségek vannak?

A) a rendszer stabilitása fontosabb, mint az ügyfél. Jó esetben csak keveset lehet rajta bukni. No de ha az egész szervert az ügyfél használja? Akkor fel kell rakni a csomagokat, jobbára forrásból, aminek a következménye egy kevésbé stabil rendszer. Egy forrásból feltett programot sokkal nehezebb karbantartani, mert ugyebár frissítéskor nem elég felrakni az újat, a régi, már nem használt fájlokat le is kell gyakni, így egyre több szemét lehet a gépen, lassan egy karbantarthatastlan trágyadomb lesz belőle (láttam már ilyen debian alapú szervert, hát erősen fogtam a fejem miatta).

B) fel kell rakni, lásd fent

c) disztróváltás pl. ugyebár gentoora. No az a legrosszabb megoldás, de a rendszergazdának hosszútávon a legkényelmesebb lehet. mert mindig friss, stb, és kevés időt kell rászáni. No persze ha épp az emerge world elhasal, akkor tudni kell, mit kell változtatni, hogy ne legyen gond vele. Az meg baromság, hogy naponta kell frissíteni. Ha nem biztonságkritikus, akkor nincs értelme. Ezért elég mondjuk hetente egyszer frissíteni, egy erős gépen az egész néhány órát vesz igénybe, és néha kell csak ránézni (vajon fut-e még a firssítés). Majd pedig a konfig fájlokat módosítan, az is viszonylag egyszerűen megoldható,

D) nem tudom mi, de biztos van, amire nem gondltam :)

Tudom, hogy sok mindent nem tettem hozzá, meg ebben a formában esetleg még csúsztatásnak is tűnhet, de ez van :)

A) Kérdés milyen környezetben használja. Ahova RHEL-t telepítettem (mondjuk Ora backend), ott marhán nem fontos, hogy mindenből a legújabb legyen, ellenben fontos, hogy hosszú támogatottsága legyen, és egységes legyen. Ezt nyújtja 5 éven keresztül a RHEL. Ezért lehet rá komoly alkalmazásokat certifikáltatni. Vagy lehet ilyen például egy cég fileszervere. Marhán nem piszkálják az esetek jelentős részében. A biztonsági frissítéseket megcsinálják, aztán kész. Ezeknél nem fontos, hogy a legújabb PHP legyen rajta, meg a legújabb postfix. Működjön, és azt stabilan tegye.

--
trey @ gépház

( zoozo | 2007. 01. 25., cs – 18:03 )

Inkább FUN kategóriába kellett volna ezt a hírt tenni. Kíváncsi vagyok, hogy a kiegyensúlyozottság jegyében vajon lesz-e főoldalas hír, egy gentoo párti blogból, ami esetleg pont erre a viccesen fud-os blogra reagál.

Egyébként többek között a Népszabadság szervere is stabilan és problémamentesen működik Gentoo-n:
http://uptime.netcraft.com/up/graph?site=www.nol.hu

( snq- | 2007. 01. 25., cs – 18:47 )

<vbali> 09:28:12 up 547 days, 47 min, 1 user, load average: 0.00, 0.01, 0.00

nem basz agyon ez a load a stablegentoon? kondikkal minden rembe'?
btw mi ez, daytime szerver?