Доброго времени суток!
У меня задача выбрать дистрибутив Linux, но под определенный цели:
1) Internet - сервер
2) Обладающий наибольшими средствами по управлению ЗАЩИТОЙ локальной сети от вторжения
ну и по возможности локализованный и в природе по ниму существует документация на русском языке или книги!
Например читал статьи о дистрибутиве ALTLinux Castle но сейчас его не вижу в продаже или скачивании!Посоветуйте начинающему ...
Спасибо!
P.S.
Ещё можно выбрать среди 2-х систем:
Критерии выбора между Linux и FreeBSD ?У меня критерий 1 - ЗАЩИТА !!!
Помогите ВЫБРАТЬ!
Просьба аргументированно !
>Критерии выбора между Linux и FreeBSD ?
>У меня критерий 1 - ЗАЩИТА !!!Без разницы. Если нет опыта - лучше ставь AltLinux Master - там "из коробки" много с точки зрения безопасности сделано, но без регулярных апдейтов и слежением за системой это тоже не сильно поможет.
>>Критерии выбора между Linux и FreeBSD ?
>>У меня критерий 1 - ЗАЩИТА !!!
>
>Без разницы. Если нет опыта - лучше ставь AltLinux Master - там
>"из коробки" много с точки зрения безопасности сделано, но без регулярных
>апдейтов и слежением за системой это тоже не сильно поможет.лучше debian stable. автоматизация усатновки и постоянные апдейты, которые можно устанавливать автоматически и не забивать ими себе голову. документации на сайте достаточно много. если понадобятся какие излишества - шифрованные туннели, pptp,pptoe - все это есть в дистрибутиве
>лучше debian stable. автоматизация усатновки и постоянные апдейты,Постоянные апдейты - это само собой. Я не любитель Linux, но дефолтовые установки AltLinux меня потрясли (минимум suid и все что можно в chroot, openwall патчи, система TCB - просто мечта, никаких proftpd и sendmail+qpop по дефолту, вместо них vsftpd и postfix+popa3d).
> которые можно устанавливать автоматически
И получить неизвестно почему и когда нагнувшуюся систему.....
>>лучше debian stable. автоматизация усатновки и постоянные апдейты,
>
>Постоянные апдейты - это само собой. Я не любитель Linux, но дефолтовые
>установки AltLinux меня потрясли (минимум suid и все что можно в
>chroot, openwall патчи, система TCB - просто мечта, никаких proftpd и
>sendmail+qpop по дефолту, вместо них vsftpd и postfix+popa3d).
>
>> которые можно устанавливать автоматически
>
>И получить неизвестно почему и когда нагнувшуюся систему.....есть такое понятие security-update, а есть просто update
источники у них разные, соответственно, и действия разные
любой пакет из списка можно классифицировать как необновляемый(hold)
это ж вам не rpm с идиотской системой обновления, не зря в тот же Alt
портируют apt из дебиана :-)
но вот по скорости выхода security-обновлений дебиану нет равных
вот когда мейнтейнеров у альта будет хоть с десятую часть дебиановских, тогда можно будет говорить о нем серьезно
хотя эти два дистрибутива наиболее родственные друг другу из семейства линуксов (по идеологии)
>есть такое понятие security-update, а есть просто update
>источники у них разные, соответственно, и действия разные
>любой пакет из списка можно классифицировать как необновляемый(hold)
>это ж вам не rpm с идиотской системой обновления,Тогда извиняюсь, плевок был больше в сторону RPM, с apt к сожалению не сталкивался.
>вот когда мейнтейнеров у альта будет хоть с десятую часть дебиановских, тогда
Может, я Debian пробовал ставить в 1996 году, он мне сильно не понравился, с тех пор не пробовал, хотя чувствую, что стоит поиграться ради эксперимента.
>>есть такое понятие security-update, а есть просто update
>>источники у них разные, соответственно, и действия разные
>>любой пакет из списка можно классифицировать как необновляемый(hold)
>>это ж вам не rpm с идиотской системой обновления,
>
>Тогда извиняюсь, плевок был больше в сторону RPM, с apt к сожалению
>не сталкивался.
>
>>вот когда мейнтейнеров у альта будет хоть с десятую часть дебиановских, тогда
>
>Может, я Debian пробовал ставить в 1996 году, он мне сильно не
>понравился, с тех пор не пробовал, хотя чувствую, что стоит поиграться
>ради эксперимента.
А знаешь, я с тобой по поводу АЛТ согласен. Хотя сам на работе на КШ сижу, дома поставил АЛТ (с подачи LinaS). Продержался он у меня не долго (привычка - вторая натура - опять к КШ потянуло), но то что я увидал из "умольчальной" установки АЛТ-а меня очень порадовало.
>>есть такое понятие security-update, а есть просто update
>>источники у них разные, соответственно, и действия разные
>>любой пакет из списка можно классифицировать как необновляемый(hold)
>>это ж вам не rpm с идиотской системой обновления,
>
>Тогда извиняюсь, плевок был больше в сторону RPM, с apt к сожалению
>не сталкивался.
>
>>вот когда мейнтейнеров у альта будет хоть с десятую часть дебиановских, тогда
>
>Может, я Debian пробовал ставить в 1996 году, он мне сильно не
>понравился, с тех пор не пробовал, хотя чувствую, что стоит поиграться
>ради эксперимента.Сейчас самое время пробовать - недавно вышел очередной релиз.
Знаете, пока я не смогу дистрибутив поставить с 3 дискет, выкачав модули и базовую систему по ftp или http с ближайшего сервера, это не есть нормальный дистрибутив.
Если машина нужна как сервер и шлюз - я бы поставил FreeBSD. На мой взгляд ОС изначально создавалась как для телекоммуникаций, а не для пользовательской среды. Откройте список багов - в BSD системах их намного меньше, чем в других.
Нет, конечно можно поставить всё что угодно и потом не отходить от машины и постоянно в ней ковыряться. Очень многие так любят - творческий процесс, понимаешь.А если нужна более-менее спокойная жизнь - ставим FreeBSD без всякой графики, squid, apache. Настраиваем sendmail и firewall. Больше к машине можно не подходить (разве что на своём компе анализировать логи), пока в интернете не выйдет описание какого-нибудь бага.
>Если машина нужна как сервер и шлюз - я бы поставил FreeBSD.
>На мой взгляд ОС изначально создавалась как для телекоммуникаций, а не
>для пользовательской среды. Откройте список багов - в BSD системах их
>намного меньше, чем в других.
>Нет, конечно можно поставить всё что угодно и потом не отходить от
>машины и постоянно в ней ковыряться. Очень многие так любят -
>творческий процесс, понимаешь.А если нужна более-менее спокойная жизнь - ставим FreeBSD
>без всякой графики, squid, apache. Настраиваем sendmail и firewall. Больше к
>машине можно не подходить (разве что на своём компе анализировать логи),
>пока в интернете не выйдет описание какого-нибудь бага.хм... а оно ставится даже с 2 дискет :-)))
хотя OpenBSD позиционируется как наиболее защищенная из семейства BSD
>>Если машина нужна как сервер и шлюз - я бы поставил FreeBSD.
>>На мой взгляд ОС изначально создавалась как для телекоммуникаций, а не
>>для пользовательской среды. Откройте список багов - в BSD системах их
>>намного меньше, чем в других.
>>Нет, конечно можно поставить всё что угодно и потом не отходить от
>>машины и постоянно в ней ковыряться. Очень многие так любят -
>>творческий процесс, понимаешь.А если нужна более-менее спокойная жизнь - ставим FreeBSD
>>без всякой графики, squid, apache. Настраиваем sendmail и firewall. Больше к
>>машине можно не подходить (разве что на своём компе анализировать логи),
>>пока в интернете не выйдет описание какого-нибудь бага.
>
>хм... а оно ставится даже с 2 дискет :-)))
>хотя OpenBSD позиционируется как наиболее защищенная из семейства BSDOpenBSD не только позиционируется, но ИМХО и есть самая защищеная из вышеперечисленных систем.
Вот если выбирать из сочетания удобство/безопасность то тогда лучше FreeBSD, как оптимальный вариант.
>
>OpenBSD не только позиционируется, но ИМХО и есть самая защищеная из вышеперечисленных
>систем.А не сделан ли там упор на безопасность в ущерб работоспособности?
Есть у нас сервачок под OpenBSD. Я там один его из админов, дык вот постоянно паримся с вещами типа, что программа bla-bla-bla, запустившись из директории /home/www/user1/dir1, не смогла найти по относительному пути файл ../dir2/file3 - пишет, file not found и хоть ты тресни! Вот это меня всегда убивало в опен, и нигде я описание этой проблемы найти не смог.
Пишешь вышеозначенной программе полный путь - всё чики-пики.
На самом деле, OpenBSD я не проникся. Сам юзаю Linux Debian и осваиваю фрю, хотя год под КШ просидел ;) И фря по сравнению с OpenBSD меня радует по всем статьям.>Вот если выбирать из сочетания удобство/безопасность то тогда лучше FreeBSD, как оптимальный
>вариант.
>>
>>OpenBSD не только позиционируется, но ИМХО и есть самая защищеная из вышеперечисленных
>>систем.
>
>А не сделан ли там упор на безопасность в ущерб работоспособности?
>Есть у нас сервачок под OpenBSD. Я там один его из админов,
>дык вот постоянно паримся с вещами типа, что программа bla-bla-bla, запустившись
>из директории /home/www/user1/dir1, не смогла найти по относительному пути файл ../dir2/file3
>- пишет, file not found и хоть ты тресни! Вот этоа как насчет того с чьими правами это bla-bla-bla запускается и из под чего? первое что напрашивается - какую твое bla-bla-bla получает переменную PATH?
PS а так же брать в учет chroot - остальное дело мозгов и творчества
>меня всегда убивало в опен, и нигде я описание этой проблемы
>найти не смог.
>Пишешь вышеозначенной программе полный путь - всё чики-пики.
>На самом деле, OpenBSD я не проникся. Сам юзаю Linux Debian и
>осваиваю фрю, хотя год под КШ просидел ;) И фря по
>сравнению с OpenBSD меня радует по всем статьям.
>
>>Вот если выбирать из сочетания удобство/безопасность то тогда лучше FreeBSD, как оптимальный
>>вариант.
и прости меня - хреновый ты админ, если можешь только что-то хаить и не пытаешься разобраться в том, как можно добиться желаемого
>
>OpenBSD не только позиционируется, но ИМХО и есть самая защищеная из вышеперечисленных
>систем.А не сделан ли там упор на безопасность в ущерб работоспособности?
Есть у нас сервачок под OpenBSD. Я там один его из админов, дык вот постоянно паримся с вещами типа, что программа bla-bla-bla, запустившись из директории /home/www/user1/dir1, не смогла найти по относительному пути файл ../dir2/file3 - пишет, file not found и хоть ты тресни! Вот это меня всегда убивало в опен, и нигде я описание этой проблемы найти не смог.
Пишешь вышеозначенной программе полный путь - всё чики-пики.
На самом деле, OpenBSD я не проникся. Сам юзаю Linux Debian и осваиваю фрю, хотя год под КШ просидел ;) И фря по сравнению с OpenBSD меня радует по всем статьям.>Вот если выбирать из сочетания удобство/безопасность то тогда лучше FreeBSD, как оптимальный
>вариант.
:-) naschet disket - mojno i na odnoi :-))) www.closedbsd.org
>:-) naschet disket - mojno i na odnoi :-))) www.closedbsd.org
eto iz serii "kuda bi ruki prikrutit'"PS ya ne pro tebya govoryu, a dopolnyayu tvoy otvet :)
>>:-) naschet disket - mojno i na odnoi :-))) www.closedbsd.org
>
>
>eto iz serii "kuda bi ruki prikrutit'"
>
>PS ya ne pro tebya govoryu, a dopolnyayu tvoy otvet :)znaesh - u menja strast pojavilas sobirat takih operacionok ;-))))
v obshem hochetsja ludjam shtoto poproshte i shtoby tam java byla ;-))))
ne nujen im shell - oni hotjat kartinok - vot ja i smotru do chego dokopalis
drug odin nedavno pohvastalsja shto u nego graficheskii linux firewall - instalirovala, posmotrela - a tam snizu mandraka sidit ;-ppp vot tak to
za to vygljadit krasivo ;-))))))))))))))))))
Насчет программы bla-bla-bla, меняешь shell и все работает.
У меня таких проблем нет.OBSD3.1(bash)
>Насчет программы bla-bla-bla, меняешь shell и все работает.
>У меня таких проблем нет.OBSD3.1(bash)Такие проблемы возникали при запуске CGI-скриптов и программ из-под CRON.
Хотя в других системах (Linux, FreeBSD, Solaris) те же сценарии выполнялись нормально и без изменений.
А если так - то я тоже юзаю bash ;) Правда знаю много фанатов zsh.
Еще один вопрос про OBSD, заинтересовавший меня.
Обсуждали мы как-то с товарищем достоинства и недостатки операционных систем. Linux, Free, Solaris...
Дошли вот до чего.
В OBSD основной упор сделан на безопасность, и как я понимаю все что идет в поставке системы, полируется и проверяется на наличие дыр.
Но мне привел товарищ такой пример.
С OBSD 3.1 в поставке идет ЧЕТВЕРТЫЙ bind.
Его уже насколько я знаю никто не юзает. И каково решение?
Вытянуть из инета бинд 8 или 9 и поставить. Вот и будет новый бинд.
А где ж тогда security? Получается, что я вытянул с инета неполированные сорцы и собрал их, тем самым понизив секьюрность системы.
Не знаю... не люблю почему-то Open. Посидел под ней на WS, мучаясь с кириллизацией через зажатый правый Alt в консоли, и еще на сервере вообще возникают какие-то странности.
Не знаю у кого руки кривые, но бывают там истые чудеса. Софт, правда, не я там ставил. К примеру, падает ни с того ни с чего апач в корку, потом полдня на его поднятие уходит, потому что он память там где-то загадил... сам еще не разобрался в чем там трабла... CGI-скрипты работают только через полные пути, приходится все вытянутое с инета патчить руками на предмет этих самых путей.
Просто секьюрность в ущерб работоспособности/удобству - это Microsoft с обратной стороны. Вот, к примеру, Windows (95). Система для конечного юзера, любая кухарка может управлять компьютером, но никакой секьюрности -завалить за две секунды. OBSD - секьюрность на высшем уровне и дырок нет, но без бубна и админа ничего нормально не работает.
Я конечно могу быть неправ... все это мое имхо после сидения в 2 часа ночи в шелле на сервере, где упал апач или коммунигейт, который там по крону поднимается в случае падения.
Вот так вот... что-то прорвало меня под конец рабочей недели...
Наверное всетаки дело в руках. Если заниматься системой, то и windows можно сделать защищенной. Конечно Linux и FreeBSD удобней. Я, по практике,вижу linux как станок для создания всяких мультимедиа, Free - как шлюз,web, Open - mail, DNS.
Кстати был у меня сервак на linux(ftp,http,smpt,pop3)воообще открытый (для экспериментов :), год проработал без проблем, хотя Adore под его версии демонов появился очень давно. Вот настал час и ...
Сидел и смотрел как его ломают, сделали из него еще и IRC сервак, да
tcpdump запустили, с выборкой паролей. Потушил все по очереди, посмотрел
все логи "подаренные",сохранил все файлы, отправил пару мыл этим ребятам. Трафик левый через
день пропал. Вот так.
>Доброго времени суток!
>У меня задача выбрать дистрибутив Linux, но под определенный цели:
>1) Internet - сервер
>2) Обладающий наибольшими средствами по управлению ЗАЩИТОЙ локальной сети от вторжения
>ну и по возможности локализованный и в природе по ниму существует документация
>на русском языке или книги!
>Например читал статьи о дистрибутиве ALTLinux Castle но сейчас его не вижу
>в продаже или скачивании!
>
>Посоветуйте начинающему ...
>
>Спасибо!
>
>P.S.
>Ещё можно выбрать среди 2-х систем:
>Критерии выбора между Linux и FreeBSD ?
>
>У меня критерий 1 - ЗАЩИТА !!!
>
>Помогите ВЫБРАТЬ!
>Просьба аргументированно !Совет начинающему.
Не имея определенного опыта, достаточно сложно сразу обеспечить должный
уровень безопастности, это одинаково справедливо для Linux и *BSD
Я рекомендовал бы такую последовательность действий
1. Выделить отдельный компьютер, он может быть не очень мощным, главное
не экомомить на сетевых картах.
2. Пригласить знающего человека, который может установить и настоить на нем
bridge c
функцией пакетного фильтра.
Например: http://www.openbsd.org/faq/faq6.html#Bridge
или NetBSD + IP Filter
4. Настоить правила фильтрации пакетов, в итоге получится некоторый
"черный ящик", невидимый со стороны inet.
5. Все сервисы поднять на ОТДЕЛЬНОМ компьютере, который стоит за bridge.
6. Прочитать man pf или man ipf, чтобы понять как писать правила.
ЗЫ. Bridge можно сделать и на Linux.