server

SUSE Linux

Szevasztok!

Csinálnom kell egy szervert, suse melyik kiadása stabil, vagy pedig ubuntu, ez a két variáció van. Mindenképp a stabilitáson van a hangsúly.
Előre is köszönöm a segítséget.

Falab

  • 1587 megtekintés

( _ventura_ v | 2008. 07. 10., cs – 16:14 )

Debian ha már a stabilitás kell, vagy valami régebbi ubi talán már elég stabil :D

Core2Duo T7100, 2.5G, Ubuntu 8.04, 2.6.24

( tibyke | 2008. 07. 10., cs – 16:25 )

es mi a kerdes?
vagy csak blogolsz?

t

( kbela | 2008. 07. 10., cs – 16:30 )

Szerintem ne Suset vagy Ubuntut tegyel szervernek. Szerintem tegyel Fedorat vagy CentOS-t. Mondjuk az sem artana ha megmondanad hogy mit kel csinaljon ez a szerver.

Akkor meg CentOS az olyan mint a fedora, csak szerver distro nem frissul mindennap a kernel pl :D
emlékszem egyik ügyfél fedorát rakott a gépre amire kellett asterisk. nahh mármost elég sokszor volt kernel csere a frissítések során és a kernel modult mindig forgatni kellett :>

szóval inkább CentOS 5.2 est javasolnék

Core2Duo T7100, 2.5G, Ubuntu 8.04, 2.6.24

( falab | 2008. 07. 10., cs – 21:52 )

A mostani szerveren suse van, mondjuk, hogy azt ismerem és az azon lévő dolgokat kell átvinni az új szerverre. Web, post, ftp, samba, stb.

A Debian projectet biztonsági szempontból ajánlatos jó messze elkerülni, a karbantartók ametörizmusa és diletáns magatartása miatt. Legutolsó fényes példa a 2008. május. 13.-án kiderült openssl gányolásuk volt. Előtte 7 évvel a cron-al játszottak hasonlóan súlyos hibát el. Az SSL hibát Kurt a Debian project karbantartója követte el, aki úgy nyúlt bele egy hibátlanul működő kódba, és hagyta éveken keresztül javítás nélkül, hogy nincs tisztában a C nyelvvel, a ki- és bemeneti paraméterekkel, az előfeldolgozással, az ifdefekkel és a memóramenedzsment problémáival. Ezen kívűl a Kurt és a Debian project abszolult inkorrekt volt a gyanútlan felhasználókkal, mert amikor észrevették hogy mi történt, Kurt csendben frissítette a csomagot az unstable ágban május 7-én. Minden feltöltés az unstable-be changelog és forráskód szinten széles nyilvánosság számára elérhető. Az összes Debianos gép közvetlen veszélynek volt kitéve ettől a pillanattól kezdve a Debian 1751 -s biztonsági jelentésének május 13-i kiadásáig. Természetesen ha odáig volt hacker aki még nem látta a Kurt elbaszott kódját, most már tudhatta hogy 8196 bites RSA kulcshalmaz mind a 32767 tagjának generálása 3100 CPU órát igényelne (100 óra az én 31 processzoros klaszteremen). Én úgy képzelem, hogy a 16384 bites RSA kulcshalmaz közel lenne a 100.000 CPU órához. Egy dolgot viszont észben kell tartani, nevezetesen, hogy a legtöbb kulcs a processz ID mag miatt sokkal kisebb térből kerül ki, és nem kell az egész kulcsteret végignézni, hogy a legtöbb felhasználói kulcsot lefedjük (a legtöbb kulcs az első 3000 PID-nél van).

A Debian (néhány hosszú, fájdalmas óra elteltével) kiadott néhány eszközt és tanácsot a rossz kulcsok lecserélésére. De soha nem hoztak nyilvánosságra információt azzal kapcsolatban, hogy hogyan készítették a szoftvereket. Az eszköz tartalmaz egy hatalmas (~6MB) bináris hash szekvenciát, de senki nem tudja, hogy ezt hogyan generálták. Ezek ugyanazok a srácok, akik sírnak, amikor egy gyártó olyan driver ad ki, ami csak egy 1kbyte-os bináris firmware-t is tartalmaz. Szerintem kerüld el a Debiant és a rá épülő, Ubuntu, Kubuntu stb disztrokat és vagy használd az Süsüt az legalább élvez némi céges támogatást, és vannak profi karbantartóik/fejlesztőik.
Vagy keress egy olyan disztrót, ahol szorosan együtt dolgoznak az upstreammel, okos karbantartói vannak, és nem javítanak ki bajt okozva olyan problémákat, amelyek nem is léteznek. Ha találsz egyet, szólj nekem is! Addig meg fordítok magamnak saját csomagokat, saját beszerzésből; vagy rábízom magam egy nem open source SW-re ahol nem piszkál bele minden okoska a kódba.

Ja a cron bug meg valahogy így nézett ki amivel szintén nagyon leégtek (persze messze nem volt akkora baklövés mint a legutolsó): Annyit kellett tenned, hogy megnyitottad a crontabot szerkesztésre 'crontab -e'-vel, vétettél valamilyen hibát, mentettél, majd kiléptél (:wq), tudomásul vetted, hogy hibát követtél el, újraszerkesztést kértél, majd az új szerkesztőben kértél egy shellt (:!/bin/bash). Voila, kész is volt a root shell!

SZVSZ nagyon sok hasonló elrontott kód lehet még a Debianos csomagokban, csak a debian karbantartók jószokásukhoz híven inkább kussolnak, mint nyilvánosságra hozzák a "balfasz" hibáikat.

sarkitod nagyon a kepet.
azt elfelejtetted megemliteni, hogy az openssl-devel levlistan megkerdezte, hogy mit csinal az a 2 sor kod a programban, mert az xy debug progi szerint felszabaditott memoriacimre hivatkozik, blabla.
erre jott a valasz, hogy mivel masik helyen ez mar ugy is ki van kommentezve, akkor valszeg kikommentezheti nyugodtan.
ezt utolag egyik oldal ugy magyarazza, hogy a @openssl.org -os srac csak a debugolas erejeig ertette, de szamomra nem ez jott le.
szerintem kar ezert leirni az egesz debian projectet. :(

Tyrael

Itt a legnagyobb baj a munkamódszerekkel van. Az egy dolog hogy Kurt kikommentezte a 100 soros ssleax_add_rand(const void *buf, int num, double add) egyetlen sorát, azt ami seedeli a PRNG-t (amúgy a függvény neve is elég beszédes).

Itt van a Changelog egy része:

"openssl (0.9.8b-1) unstable; urgency=low
...
* Don't add uninitialised data to the random number generator. This stop
valgrind from giving error messages in unrelated code.
(Closes: #363516)
...
-- Kurt Roeckx Thu, 4 May 2006 20:40:03 +0200

openssl (0.9.8c-1) unstable; urgency=low
...
* Move the modified rand/md_rand.c file to the right place,
really fixing #363516.
...
-- Kurt Roeckx Sun, 17 Sep 2006 14:47:59 +0000

openssl (0.9.8g-9) unstable; urgency=high
...
[ Kurt Roeckx ]
* ssleay_rand_add() really needs to call MD_Update() for buf.
-- Kurt Roeckx Wed, 07 May 2008 20:32:12 +0200"

2006 május 4. próbálta a lyukat ütni, ami nem sikerült neki. Rossz helyre töltötte fel az md_rand.c-t, de ezt a botlást szeptemberben "kijavította".
Nem használ semmilyen dpatch-hez hasonló eszközt, így elég nehéz gyorsan rájönni, hogy mit is csinált, miután hagyott egy rejtélyes changelog sort. A Debian több mint 100 sornyi változtatást ad az OpenSSL-hez, de ezeket nem különíti el a csomagolási részletektől a .diff.gz-jeiben.

Ha mindazokat az általános csoport munka szabályokat ismernék, és használnák a Debianos karbantartók amiket SW technologia órákon már ezeréve tanítanak, akkor nem történt volna meg az hogy több éven keresztül bugos marad a csomag. Biztos megkérdezte volna tőle valaki, hogy mit miért csináltál!?

SZVSZ nyilvánvaló a Debian project szervezetlensége, a karbantartók hozzánemértése, és hanyagsága.

"amit te haszalsz Operatcios rendszert annak minden sorat ismered"

Természetesen nem ismerem, de vannak bizonyos trendek, minőség biztosítási rendszerek, amik garanciát jelentenek. Például arra hogy a fenti esetben először kijavítják a "szerencsétlen" hibát a stable ágon, aztán jó hangosan szétkürtölik hogy most azonnal "apt-get upgrade". Valahogy úgy ahogy a napokban a M$, Cisco és Novell csinálta. Nyilván a Suse logokban most már meg lehet nézni hogy mi is az a hiba amit javítottak, de a Novell addig nem javított semmit míg a többi gyártó nem készült fel rá.

Amúgy meg a Kurt féle bugot csak jóindulattal lehetne bugnak nevezni, inkább gondatlanságból/hozzánemértésből elkövetett veszélyeztetés. Nyilvánvaló hogy az openssl projectben ő nem nyúlhatott volna a kódba bele szakértelem hiányában, mint Debian karbantartó megtehette. Tudom ott van a Debian bannerben "ABSOLUTELY NO WARRANTY", de azért a felhasználókkal szemben kell hogy legyen némi erkölcsi felelősségérzet. Ez nem szaktudás kérdése (habár lehetne valami szűrőrendszert is bevinni a folyamatba), ez csak egy korrekt magatartás és belső szabályozás kérdése ami úgy néz ki hogy nincs a debinél. Amíg nem hozzák nyilvánosságra a 6MB-os hash szekvencia eredetét, addig a Debibe bekerült ssl csomagokat nem tartom megbízhatónak. Vagy zárják be a kódot, és vegyék le a "NO WARRANTY" cimkét, mert az úgy korrekt hogy ha van benne 1 bitnyi zárt kód is, akkor felelőséggel kell tartozzon a működésért valaki.

hogy értek hozzá az túlzás, a melóhelyen az van és azt tanulom. Ezt örököltem az előző rendszergazdától. Ezt kezdtem el tanulni, csak már öreg, kapunk új vasat és erre kell egy linux szerver. Vagy maradok a suse-nal csak ujabb verzió, vagy az ubuntu. Szerintem a legfájdalommentesebb a suse. csak melyik verzió?

( sany | 2008. 07. 10., cs – 23:45 )

" Szerintem a legfájdalommentesebb a suse. csak melyik verzió?"

Sztem akkor inkább Debian. :)
Rengeteg howto van hozzá, átlátható /etc
Nem utolsó sorban stabil.

( hnsz2002 v | 2008. 07. 11., p – 08:28 )

"...fórumokon, IRC csatornákon is rendszeresen felmerülő kérdés, hogy „Ki milyen disztrót ajánl webszervernek?”, vagy „Most vettem egy XY laptopot, mindenképpen linuxot szeretnék rá, szerintetek melyiket?” típusú problémák. Én erre mindig azt szoktam mondani, hogy azt válaszd, amit a legjobban ismersz, amit te szeretnél! ... Azt vallom, hogy mindenből lehet jót is, meg rosszat is csinálni, legyen szó szerverről vagy kliensről, Windows-ról vagy Linuxról. Láttam már Windows Server-t is úgy beállítva, hogy leesett az állam, meg Debian-t is úgy összegányolva, hogy Ian Murdock elsírta volna magát. "

Ennek tükrében válassz. :)
(Én egyébként a 10.3-at ajánlom)
--
Discover It - Have a lot of fun!

Ubuntu server 8.04.1 akkor mar, legalabb kevesebb update-t kell lekapnod install utan. Bar en nem tennem fel, stabil frissitesek. NEM. Foltozasok 20xx -ig. Ez megint mas.

OpenSUSE 10.3 +1.. (vagy 11, vagy SLES :)) Bar produktiv kornyezetbe openSUSE vagy Ubuntu..mindketto meresz. (Mas dist hogy-hogy nem jatszik? (pl. CentOS, Debian)

otthon ubuntu van, suliban mandrivat tanultam, melohelyen meg suse.segítdégem susehoz meg az ubuntuhoz van.én még kezdő linuxos vagyok rendszergazdai munkakőrben. a két segítségem agitál, az egyik ezt szeretne a másik meg azt szeretne. viszont csak egy lehet és egyiket sem szeretném elveszíteni.