В результате нерегулярного проведения обновлений и отсутствии шифрования ftp трафика, 5 из 8 серверов обслуживающих проект Ubuntu Linux были по цепочке взломаны, далее с них была организована атака на другие системы.URL: http://it.slashdot.org/article.pl?sid=07/08/15/1341224&from=rss
Новость: http://www.opennet.me/opennews/art.shtml?num=11747
Прикол! :)))
Хотя это плохо, за то прикольно:)
Как то тут проскакивало что у БСД проблемы, а нет:)
Помню, помню...
Был тут топ про "Эбунду сёрвир идишон"... :)
Для красоты нужно было бы, конечно, тирануть ночные сборки.
В уверенности, что лент нету :)
Ну, просто перцам нужны были системы для работы за деньги...
А лично я не удержался бы - покачивая в фужере дешевый каберне, я бы полчасика подумал: "На что у них нету лент, а?" и смахнул бы :)
И ваще. Когда мы, наконец, разделим Free и Opensource???Кто из поклонников Линкуса видел в последние 10 лет КОД любимых приложений???
Молча тянут и ставят Free бинарники.
Для Венды Free бинарников в 10000 раз больше, кстати :)
Начиная от мингвы, цыгвина и гимпа :)
Я уже сколько лет работаю с LFS (linux from scratch) в исполнении Gentoo portage. По работе с исходныками - вс еочень похоже на BSD. По функционалу - делает BSD на голову уже только за счет Linux ядра.И круг поклонников Gentoo в России только растет, что не может не радовать. С одной стороны работа с исходниками и исходным устройством ОС, а с другой отличная гибкость (rpm-based дистры по пятибаллке получают 3 с минусом балла в этом вопросе) и управляемость.
Не надо мир малевать черными красками, ок?
Совершенно согласен. Сам использую последние года 3 только Gentoo, всё просто и понятно.
+1
Использую FreeBSD и Gentoo
Воистину так!
>Совершенно согласен. Сам использую последние года 3 только Gentoo, всё просто и
>понятно.Воистину Gentoo 2 года не слезаю, влюбился похоже )
Дебиан от Убунту - ерунда, всё началось с лайв СД - только я посмотрел сборку - как ужаснулся, Рабочая среда Гноме, доступа к шелу нету, ядро плохое, половина моих устройств не встало+включая сетевуху!!!! Ладно, бросил я этот лайв СД - подумал убунту, For Human Beings? ONLY!!!!! Но когда вышел серверный дистриб - я схватился за голову О БОЖЕ! КАК ЭТО ВОЗМОЖНО!? А что в результате - ВЗЛОМ - лишняя возбудиловка для взломщика... вздрочнули на Дебиан сервера /dev/hands к ядру не прилагается, поставляется с модулем и админом!
Вот как раз в этой теме упоминать "гибкость", которая обычно просто синоним "неподдерживаемости" на практике, и не стоило.rpm-based дистры по пригодности к избежанию и анализу проблем вроде тех, в которые вляпались тут убунари, получают по пятибальной шкале пять. dpkg -- четыре. А слаквари с гентами -- хорошо если три с минусом.
Причина первого различия -- наличие в RPM (причём _очень_ давно) как контрольных сумм пакета и всех содержащихся в нём файлов (плюс возможности gpg-подписи пакета), так и удобных для администратора средств проверки (rpm -V/-Va, --checksig).
Причина второго -- в том, что разнообразие суть злейший враг системного администратора, если оно не запланировано им в качестве одного из осознанных шагов (и тогда уже обычно начинают с левой архитектуры, а не с левого дистрибутива). Попробуйте-ка выяснить, какие бинарники были модифицированы и на что ещё нужно обратить внимание, если каждая система радостно собрана со своими юзами?
Про tripwire и подобные разговор отдельный -- на rpm-based они получаются дополнительным слоем, а не единственной надеждой.
Так что круг гентупоклонников радует самих гентупоклонников, а вот вменяемых ИТ-манагеров не радует совсем.
Говорю как недавно трудоустраивавший одного такого (впрочем, неглупого).
>Причина первого различия -- наличие в RPM (причём _очень_ давно) как контрольных
>сумм пакета и всех содержащихся в нём файлов (плюс возможности gpg-подписи
>пакета), так и удобных для администратора средств проверки (rpm -V/-Va, --checksig).В gentoo это тоже есть. Причем CRC вычисляется на каждый файл при установке. Такие же CRC суммы есть в бинарном пакете.
>левого дистрибутива). Попробуйте-ка выяснить, какие бинарники были модифицированы и на
>что ещё нужно обратить внимание, если каждая система радостно собрана со
>своими юзами?Централизованые хранилища пакетов и поддержка бинарных пакетов в gentoo есть.
>Так что круг гентупоклонников радует самих гентупоклонников, а вот вменяемых ИТ-манагеров >не радует совсем.
Зависит от задач.
>>Причина первого различия -- наличие в RPM (причём _очень_ давно) как контрольных
>>сумм пакета и всех содержащихся в нём файлов (плюс возможности gpg-подписи
>>пакета), так и удобных для администратора средств проверки (rpm -V/-Va, --checksig).
>В gentoo это тоже есть. Причем CRC вычисляется на каждый файл при
>установке.Спасибо. Я всё-таки надеялся, но вытряхнуть ответ из знакомых гентушников до сих пор не удавалось. (впрочем, знакомым дебианщикам тоже как-то пришлось рассказать про rcconf, уже когда этот ответ был найден)
>Такие же CRC суммы есть в бинарном пакете.
Хе. А много ли там бинарных пакетов и сильно ли вариант "можно собрать для развёртывания свой" отличается от RPM spec с развитыми условными конструкциями? Из наиболее суровых виденных примеров -- наверное, такой вот mplayer.spec: http://sisyphus.ru/srpm/mplayer/spec ;-)
>Централизованые хранилища пакетов и поддержка бинарных пакетов в gentoo есть.
Да теоретически и xdelta для исходных тарболов есть.
>>Так что круг гентупоклонников радует самих гентупоклонников,
>>а вот вменяемых ИТ-манагеров не радует совсем.(н-да, взял я и расписался за всех)
>Зависит от задач.
BTW можно Вас попросить набросать на wiki нечто вроде моих измышлений по своему опыту? Всё-таки лучше исходить из более разносторонних юзкейзов.
>Спасибо. Я всё-таки надеялся, но вытряхнуть ответ из знакомых гентушников до
>сих пор не удавалось.Мало кто из них лазит в /var/db там база установленных пакетов лежит.
>>Такие же CRC суммы есть в бинарном пакете.
>
>Хе. А много ли там бинарных пакетов и сильно ли вариант
>"можно собрать для развёртывания свой" отличается от RPM spec с развитыми
>условными конструкциями? Из наиболее суровых виденных примеров -- наверное, такой
>вот mplayer.spec: http://sisyphus.ru/srpm/mplayer/spec ;-)Свой пакет собирается при помощи emerge -b. Потом берется из packages каталога в /usr/portage ну если конечно вы путь не изменили. Затем это все можно при помощи того же emerge поставить причем по выдергивая пакеты из сети. В случае большого количества машин с типовой конфигурацией это позволяет протестировать все на одной машине, а затем уже протестированое распрастранить.
>Да теоретически и xdelta для исходных тарболов есть.
xdelta имеет одну проблему. Нет внятного сервера. Организация же центрального репозитария сводится к расшариванию Packages при помощи ftp или http сервера.
>
>>>Так что круг гентупоклонников радует самих гентупоклонников,
>>>а вот вменяемых ИТ-манагеров не радует совсем.
>BTW можно Вас попросить набросать на wiki нечто вроде моих измышлений по
>своему опыту? Всё-таки лучше исходить из более разносторонних юзкейзов.Попробую сегодня вечером.
>>>Такие же CRC суммы есть в бинарном пакете.
>>Хе. А много ли там бинарных пакетов и сильно ли вариант
>>"можно собрать для развёртывания свой" отличается от RPM spec с развитыми
>>условными конструкциями?
>Свой пакет собирается при помощи emerge -b.Я не о том. Просто переходя к бинарным пакетам, в существенной мере теряется довод "гибкость" (который сторгован за "развёртываемость/поддерживаемость"). Бишь нет существенного отличия от дистрибутивов, где на то всё и заточено.
(что самое смешное -- ALT с git.altlinux.org начинает напоминать "копку туннеля с противоположной стороны": когда закончится тестирование инфраструктуры сборки пакетов непосредственно из git, то будет вопросом времени, пока кого-нить клеманёт махать флагом "а давайте стандартизируем имеющиеся --with" :)
>Я не о том. Просто переходя к бинарным пакетам, в существенной
>мере теряется довод "гибкость" (который сторгован за "развёртываемость/поддерживаемость").Да не теряется. Ладно если то что вам было надо собрано разработчиками. А если нет? К примеру squid с поддержкой snmp (различная информацию по прокси серверу можно снимать). У себя я беру меняю флаги собираю и деплою. В случае же бинарного дистрибутива надо качать src пакет и далее править в нем. Яркий пример такого случая это отсутствие в Debian и Ubuntu модуля FreeRADIUS с поддержкой PostgreSQL. Его просто нет и все.
>Бишь нет существенного отличия от дистрибутивов, где на то всё и заточено.
Их собственно и не будет. Разница будет лишь в источнике пакетов. А вот источник пакетов в Gentoo настраивается намного проще и гибче чем в бинарном дистрибутиве.
>(что самое смешное -- ALT с git.altlinux.org начинает напоминать "копку туннеля с
>противоположной стороны": когда закончится тестирование инфраструктуры сборки пакетов >непосредственно из git,
>то будет вопросом времени, пока кого-нить клеманёт махать флагом "а давайте
>стандартизируем имеющиеся --with" :)У Gentoo кстати тоже есть стандартный набор флагов. Он содержится в срезе-профиле.
>А если нет? К примеру squid с поддержкой snmp (различная информацию
>по прокси серверу можно снимать). У себя я беру меняю флаги
>собираю и деплою. В случае же бинарного дистрибутива надо качать src
>пакет и далее править в нем.И чем это отличается? На входе -- исходники (которые всё равно надо слить), некая базовая информация по сборке и понимание, чего недостаёт; на выходе -- бинарный пакет, в котором это всё зафиксировано.
>Яркий пример такого случая это отсутствие в Debian и Ubuntu
>модуля FreeRADIUS с поддержкой PostgreSQL.freeradius-1.1.7-alt0.M40.1.i586.rpm
freeradius-devel-1.1.7-alt0.M40.1.i586.rpm
freeradius-ldap-1.1.7-alt0.M40.1.i586.rpm
freeradius-mysql-1.1.7-alt0.M40.1.i586.rpm
freeradius-perl-1.1.7-alt0.M40.1.i586.rpm
freeradius-pgsql-1.1.7-alt0.M40.1.i586.rpm
freeradius-python-1.1.7-alt0.M40.1.i586.rpm
freeradius-sqlcounter-1.1.7-alt0.M40.1.i586.rpm:)
>>Бишь нет существенного отличия от дистрибутивов, где на то всё и заточено.
>Их собственно и не будет. Разница будет лишь в источнике пакетов. А
>вот источник пакетов в Gentoo настраивается намного проще и гибче чем
>в бинарном дистрибутиве.Можно пример, опять же? (не настаиваю, чтобы прям сюда)
>И чем это отличается? На входе -- исходники (которые всё равно
>надо слить), некая базовая информация по сборке и понимание, чего недостаёт;
>на выходе -- бинарный пакет, в котором это всё зафиксировано.тем что в gentoo я делаю:
euse -E snmp
emerge -b squidКроме флагов ничего не менялось. В случае же src пакета его бывает надо распаковать и поправить на уровне спека.
>freeradius-1.1.7-alt0.M40.1.i586.rpm
>freeradius-devel-1.1.7-alt0.M40.1.i586.rpm
>freeradius-ldap-1.1.7-alt0.M40.1.i586.rpm
>freeradius-mysql-1.1.7-alt0.M40.1.i586.rpm
>freeradius-perl-1.1.7-alt0.M40.1.i586.rpm
>freeradius-pgsql-1.1.7-alt0.M40.1.i586.rpm
>freeradius-python-1.1.7-alt0.M40.1.i586.rpm
>freeradius-sqlcounter-1.1.7-alt0.M40.1.i586.rpm
>Это хорошо. А как быть если мне потребуется поддержка unixODBC?
>Можно пример, опять же? (не настаиваю, чтобы прям сюда)
Я не про настройки репозитария, а по его генерацию. Самый простой пример добавка kerberos в дистрибутив и сервисы умеющие его. В случае бинарного дистрибутива надо искать пакеты с его поддержкой и заменять те которые ее не имеют. В случае Gentoo достаточно изменить один флаг и пересобрать мир с указанием использования нового флага.
>>freeradius-pgsql-1.1.7-alt0.M40.1.i586.rpm
>Это хорошо. А как быть если мне потребуется поддержка unixODBC?Судя по Fedora -- собирается из того же тарбола? Тогда я бы дописал секцию и BuildRequires в spec, собрал/проверил у себя и повесил фичреквест майнтейнеру включить в сборку, чтоб не держать получившийся spec.diff отдельно.
>>Можно пример, опять же? (не настаиваю, чтобы прям сюда)
>Я не про настройки репозитария, а по его генерацию. Самый простой пример
>добавка kerberos в дистрибутив и сервисы умеющие его. В случае
>бинарного дистрибутива надо искать пакеты с его поддержкой и заменять те
>которые ее не имеют. В случае Gentoo достаточно изменить один флаг
>и пересобрать мир с указанием использования нового флага.Насколько понимаю, это несколько изменяется с учётом того, что в основных пакетных дистрибутивах дозрели до мысли публиковать свои сборочные системы (в Debian и ALT они доступны очень давно).
Единственная проблема, которую сходу вижу в нашем случае -- то, что при пересборке пакетов придётся добавить что-нить вроде --with-kerberos в ключи, которые hsh передаст rpm при сборке, и libkrb5-devel в порождаемый "чистый" сборочный чрут. Трудоёмкость добавления условных секций примерно сравнима (я рассматривал сложные ebuild по этой части).
А так -- наверное, не везде, где надо, но много где оно уже есть и вопрос в основном регулируется либо решимостью майнтейнера выставить все "ручки" для сборки, либо его или других требованиями к функционалу пакета; например: http://sisyphus.ru/srpm/openldap/spec
ldpr.ruВот они, линукса-то с впз вмз :)
Не суди по себе о других. Очень часто приходится что-нибудь где-нибудь в коде поправить.
>Кто из поклонников Линкуса видел в последние 10 лет КОД любимых приложений???
>Молча тянут и ставят Free бинарники.Факт. Каждый занят своим делом. Но само наличие исходников делает систему разработки и использования более устойчивыми. Кроме того, при весьма минимальных заниях, позволяет компилировать на своей машине, если прижмёт.
>Для Венды Free бинарников в 10000 раз больше, кстати :)
Есть примеры когда самое нужное портировано под Венду хуже чем оно есть под Линух или же Вендовые бинарники платные при открытом Ведовом коде. Например, пакеты научно-исследовательской направленности типа QtiPlot, иные - органайзер Evolution.
P.S. Дыры есть везде. Но ломают более популярное. И если под Линухом безъопаснее, то в т.ч. из-за меньшего количества пользователей и пользователей бездельников ("архитектурные" особености сейчас не рассматриваем). Если, вот "все вдруг", число юзеров Линуха станет равным или большим числа юзеров Венды, то имхо много чего ещё взломают у Линоксоидов и разных всяких напишут вирусов.
>А лично я не удержался бы - покачивая в фужере дешевый каберне,
>я бы полчасика подумал: "На что у них нету лент, а?"
>и смахнул бы :)Я бы если что был обоими руками за, если б тебя потом захотели посадить за это дело.Ибо деструктивные действия преследуются законом а всякой сволоте и бандюкам, пусть и компьютеризированным, место в тюрьме.А если повыступать охота - дык это, сперва посмотрите например, сколько в рунете серверов под фрей ломают.Столько что по статистике www.securitylab.ru они самые ломаемые, как это ни смешно звучит :)))).Только вот не за счет того что фря такое дерьмо.А за счет того что лабухи которые их админят не апдейтят софт на этих серверах и соответственно серваки оказываются поломаны даже пионерами.А казалось бы такая нерушимая и некрушимая система - фрибээсдэ :))).Ан нет, ломаютъ...
Просто жесть какая то что же такое творится люди...???
Это проблема с головой.
ВО ВСЁМ ВИНОВАТЫ ПОЛЮБОМУ АДМИНЫ!!!
>В результате нерегулярного проведения обновлений и отсутствии шифрования ftp трафикаБанально
извините где в оригинальной новости стоит что эти сервера "обслуживали" ubuntu? как я понял были взломаны старые (в смысле железа) сервера с "соmmunity" т.е. форумы итд . Сетевые карты на этих серверах не поддерживались новым ядром поэтому небыло upgrade/update'ов. Ubuntu сам ни в коей мере не затронут.
Майкрософт конечно потирает ручки и будет теперь на этот инцендент постоянно указывать (на лохов это действует: FUD).
А давно перестали microsoft.com корёжить? Как я помню - просто надоело :)
>А давно перестали microsoft.com корёжить? Как я помню - просто надоело :)
>Что "надоело"? Кеши домовых сетей портить? :)
Про проксирование вы не слыхивали?
Блин! Отозвать у них право на Linux(Tm) что ли .....
че разфонились ?
забыли как debian'овский cvs ломали пару раз ?никто не застрахован, хотя конечно халатность в нашем нынешнем inete наказывается быстро
О Дебьяне я уже писал... :)
Но как-то слово мое в сердцах не отозвалось... :)
Но я еще раз! :)
То, что на бзде в полсек компилится (после аудита кода, если он нужен или доступен уму), к Линю часто В ПРИНЦИПЕ не приделывается.Ну, если только у вас нет на это пары месячишек :)
/То, что на бзде в полсек компилится (после аудита кода, если он нужен или доступен уму), к Линю часто В ПРИНЦИПЕ не приделывается./Не составит труда привести пару примеров?
> Не составит труда привести пару примеров?Не составит :)
Дану... в чем это такая разница между люнём и бздёй ?
>Дану... в чем это такая разница между люнём и бздёй ?Хотя бы тем, что в *BSD сборка ядра это обычная и простая операция, котору без боязни выполняеют все пользователями при установке ОС, а в Linux это уже давно не так просто. И не надо говорить, что ядро Linux собирают гуру и нечего его самим собирать. Раз ядро монолитное, то его надо чистить и настраивать под аппаратуру и иное мнение это демагогия.
Улыбнуло.Я вот наоборот сколько не сталкивался со сборкой ядра для openbsd так все время плевался от этого лазания по конфигам.
BSD-ядро собрaть просто это если надо лишь собрать и не больше:) Зачем тогда собирать? Ну наложить патчи уже предназначенные для данного дерева ядра тоже просто. Но вот если надо перелопатить под какую-нибудь специфичную железку? или пропатчить причем имея в своем распоряжении всего-лишь заготовки патчей - что и как пропатчить. Вот тут начинается геморой(адаптировать патчи к кнокретной версии бсд/ветке).
IMHO у линукс тут проще есть - ветка 2.6, 2.4 и точка. Причем приемственность кода между двумя ветками достаточно хорошая если дело не касается базовых подсистем.
Для тех кто не согласен предлагаю завести bsd на какомнить arm-девайсе а лучше на целой серии схожих - КПК/Смартфон/платформы для построения всевозможных сетевых девайсов.
Никогда проблем со сборкой ядра небыло (и 2.4 и 2.6). Всегда после установки собираю, причем для безопасности без модулей. все быстро и прозрачно.
Все правы :-)Линукс ядро собирается просто.
Но по-мне фрёвое ядро -- проще. Редактирование одного единственного конфига никак нельзя назвать "лазаньем по конфигам". Кроме того, это простой и понятный конфиг можно сохранить куда-нибудь и вот вся ваша конфигурация сохранена.
А вот что касается кода ядра, фря на порядок проще. Не раз правил драйвера сетевых устройств. Во фре всё понятно. Больше того, где надо, обычно, нужные комментарии написаны! А вот в линуксе... извините, помойка какая-то.
А что мешает сохранить конфиг ядра линукса?
> Кроме того, это простой и понятный конфиг можно сохранить куда-нибудь и вот вся ваша конфигурация сохранена.Товарищь, а чем отличается копирование линуксового конфига ядра (/usr/src/linux/.config) от копирования БСД-шного конфига?
> Во фре всё понятно.
Я не сторонник всяких там войнушек, но это дело привычки. Математикам понятны сложные формулы, и они совершенно не могут понять работу хирургов. Этот пост смахивает на юношеский максималистический очерк:) Давайте еще скажем что виндовс суперская система, потому что там ядро компилить не нужно (хотя заменить можно) и с ним все понятно.
> А вот что касается кода ядра, фря на порядок проще. Не раз правил драйвера сетевых устройств. Во фре всё понятно. Больше того, где надо, обычно, нужные комментарии написаны! А вот в линуксе... извините, помойка какая-то.
А вы не пробовали нажимать на кнопочку help, когда редактируете конфигурацию ядра в menuconfig?
Вы гоните.В Linux это уже давно просто никому не нужно.
> И не надо говорить, что ядро Linux собирают гуру и нечего его самим собирать.
Почему это не надо? Если грамотные люди уже сделали и _оно работает_?
> Раз ядро монолитное
Модульное оно.
> то его надо чистить и настраивать под аппаратуру
> и иное мнение это демагогия.Не искушайте вычистить нафиг _Вашу_ демагогию :-/
Не раз же уже на пальцах пояснял, и человек вроде неглупый, а продолжает ерундить без всякого обоснования.
На что -- на покомпилять? Увольте, на не-сборочных серверах компиляторов не держу.Поделочники наколенные, и доводы -- тоже наколенные.
Что-то модно стало в последнее время вину людей сваливать на систему...
Может все таки лучше давать ссылку на первоисточник?
https://wiki.ubuntu.com/UbuntuWeeklyNewsletter/Issue52#head-...И заголовок статьи слишком бульварный. Явно вводит в заблуждение. Вона сколько красноглазых набежало.
Цитата из первоисточника: "Slashdot readers note: these machines were not hosted by Canonical and were running an old unsupported version of Ubuntu".
Перевод: "Пояснение для ЛОРовцев: эти машины не хостились у Canonical и работали под старой и неподдерживаемой версией Ubuntu".
Для ВАС уже написано 2 поста
это очень хорошо потому что проект ведет милиардер, отсюда и политика - это не пафос, а информационные технологии - деньгами тут не седалешь ничего :-))))) А ребята молодцы - так держать!!!!
Ничего взломано не было, просто была атака, но сервера выстояли..
>Ничего взломано не было, просто была атака, но сервера выстояли..Читайте https://lists.ubuntu.com/archives/loco-contacts/2007-August/... -- пункт (c).
И не рассказывайте сказки с таким уверенным видом. Брутфорс-атаку на пароли сервера _не_ выстояли. То, что слабые пароли -- проблема людей и организации, есть отдельный вопрос.
То, что ответственные администраторы _не_ уверены в том, что дальше атакующий не получил рута -- находится в некотором контрасте с Вашими голословными утверждениями.
Лучше не быть уверенным в том, что проблемы не было, чем вешать на нос розовые очки и рассказывать себе что-нибудь для успокоения. Возможно, Вы это поймёте, когда (если) придётся строить систему с нуля самому после мучительных раздумий "а может, прокатит".
А ещё лучше использовать для серверов серверные ОС. (я в этом вопросе скорее экстремист: ни Ubuntu, ни Gentoo, ни Fedora, ни FreeBSD по разным причинам к ним на сегодня не могу отнести; а то, что отношу -- не подводило)
PS: анонимный комментарий (12:19) с подобными утверждениями -- удалён как дезинформация.
А ещё лучше использовать для серверов серверные ОС. (я в этом вопросе скорее экстремист: ни Ubuntu, ни Gentoo, ни Fedora, ни FreeBSD по разным причинам к ним на сегодня не могу отнести; а то, что отношу -- не подводило)Огласите, пжалста, всеь список!
Ик-к!
>Огласите, пжалста, всеь список!
>Ик-к!Когда протрезвеете и переформулируете вопрос в стиле "не составит труда", чтоб можно было сразу сослаться на предыдущий ответ в качестве ререквизита спешли фо ю :)
Ну а все же?
Лично я из линуксов на продакшене пользую RHEL4 (там где орацкле) и Debian 4 Etch ...
Но! У меня так же развалы FreeBSD 4.11, 5.4 и немного 6.2 ... особых проблем с ними нет (исключая 4.11 и новое железо/софт)
Есть так же OpenBSD - тоже ничего, а их bgpd - просто сказка!
Ну и ессссно зоопарк коммерческих UNIX - кудаж без этого .... впрочем песня не о них :)
Не говоря уж о ... :)Внимание вопрос - 1) какие системы вы пользуете, 2) почему и 3) почему FreeBSD не в фаворе как продакшен сервер общего применения?
Про себя я рассказал.
>[оверквотинг удален]
>Есть так же OpenBSD - тоже ничего, а их bgpd - просто
>сказка!
>Ну и ессссно зоопарк коммерческих UNIX - кудаж без этого .... впрочем
>песня не о них :)
>Не говоря уж о ... :)
>
>Внимание вопрос - 1) какие системы вы пользуете, 2) почему и 3)
>почему FreeBSD не в фаворе как продакшен сервер общего применения?
>
>Про себя я рассказал.RHEL не использую(покупать нада :-) ). Проблема с обновлением. Да знаю что можно настроить обновление на CentOS поэтому использую CentOS, Trustix, FC (разные). Ну кое где остался RHEL. На некоторых серверах сложилось исторически стоит Debian и SUSE (OpenSuse). Linux в основном используется для Virtuozzo+Plesk, есть где стоит OpenVZ, Vmware Server, до Xen пока не добрался :-). Linux - хостинг + базы данных, кластера. + где проблемы с драйверами на FreeBSD.
Большой парк FreeBSD 6.0-6.2 (Обновили уже все с 4-к и 5-к) - используются как сетевые экраны, почтовики, роутеры. файл серверы(Самба), баз данных mysql в основном. На них же стоят мониторилки. Так же часть FreeBSD используется для комерческого хостинга.(Cpanel, Directadmin). В основном FreeBSD ставим как firewall+router на дохлые машины. OpenBSD почти нет. Есть пару NetBSD - чисто эксперементировал c XEN
Ну :-) Есть и WIndows 2003. Где захочет клиент и гже нужен Домен + Exchange. И очень мало на хостингах. Есть сумашедшие кто его просит на хостинге (Virtuozzo+Plesk).
Воттакие пирожки.
Забыл добавить
Linux - Asterisk (trixbox) Пару серверов есть.
Windows - MSSQLВот теперь точно все. :-)
Спасибо, Линус. Наконец-то вместо очередного длиннющего офтопика сподвигли пойти на wiki и написать статью со ссылками и названием, которое многое объясняет: http://wiki.opennet.ru/DistroImhoMikeЕсть дружеское предложение активным участникам подобных сравнений на форуме, кому есть что и почему сказать -- высказаться опять же на вики в формате, который бы позволил понять, как и зачем человек что применяет.
> Когда протрезвеете и переформулируете вопрос в стиле "не составит труда",
> чтоб можно было сразу сослаться на предыдущий ответ в качестве ререквизита
> спешли фо ю :)Усе ясно, Михаил. Так много нареканий на Альт???
Отчего вы рекомендуете его лишь между строк?Я УЖЕ писал. Что ХОТЬ КАК-ТО РАБОЧИМ линём является ТОЛЬКО федька.
Фанатам линя настоятельно рекомендую раскошеливаться на RH. Если уж так нужен линь.
За федькой с большим отрывом, по способности просто в корку не падать, следует именинник - эбунда.
Все остальное - покамест неработоспособно.
ОСОБЕННО под нагрузкой.
Спешли фо ми, Михаил, сошлетесь, когда суточный локальный траф SQL-запросов в вашем боксе превысит терабайт. Для начала :)У скотины неопределны юридические перспективы.
У солярки - ценовая воронка покруче MS.
MS - не знаю, говорят держит. Просто пиар у нее не тот пока, на мой вкус. Зато легко считаются РОИ/МОИ и прочие стоимости.
А вот Фря - рулит :) На круг через пару лет выходит дороже MS, но моментальный деплоймент за счет бесплатности и простор для раздумий над развернутой и более чем надежной сетью. В смысле куды подлить баблоса. Планирование и развитие на RH и MS шибко дороже - каждая фантазь должна быть подкреплена лицензией.
>> Когда протрезвеете и переформулируете вопрос в стиле "не составит труда",
>> чтоб можно было сразу сослаться на предыдущий ответ в качестве ререквизита
>> спешли фо ю :)
>Усе ясно, Михаил. Так много нареканий на Альт???"Их есть у нас". Только вот для моих задач ничего лучше пока найти не вышло ;-)
>Я УЖЕ писал. Что ХОТЬ КАК-ТО РАБОЧИМ линём является ТОЛЬКО федька.
Федора, что ли? Эта, что ли? -- http://www.linux-watch.com/news/NS4377707583.html
Расскажите кому-нибудь другому эту сказочку на ночь. Ну или приезжайте в Киев на осеннюю конференцию, там и коллеги будут, которым тут один экспериментатор попытался такую же мысль внушить, и чуть не ставший жертвой клиент, который после федоры от альта как ребёнок радовался. Недавно у него прибавление вышло -- ALT 4.0 с ещё двумя ALT в VPS -- рядом упомянутый LTSP5 и библиотечный сервер Koha. Я бы и рад, чтоб у него тогда федора заработала, ан людям пришлось тройное время тратить -- двойное на первый заход и потом обычное -- на финальный.
Короче, незачем так орать. Правдой это утверждение оттого не станет. А вот "IMHO" в заголовок странички на wiki было добавлено именно с целью подчеркнуть _субъективность_ опыта и отсутствие гарантий его переносимости as is на любых людей/задачи/железки.
Настоятельно рекомендую (TM).
>Фанатам линя настоятельно рекомендую раскошеливаться на RH. Если уж так нужен линь.
Фанаты не раскошеливаются, так, к сведению. Рассольчику?
>За федькой с большим отрывом, по способности просто в корку не падать,
>следует именинник - эбунда.Ох. Когда и там, и там научатся хотя бы ядра собирать по-человечески (а в федоре -- ещё и не экспериментировать на живых пользователях с перетрясками навроде "а ловите свежий файрварьный стек! ну и фиг, что кроме стораджа он ни на что вообще не годится") -- тогда, может, послушаю. Пока же продолжу при надобности сливать да монтировать домашнее кино.
А то DJ с извинениями по поводу включенной отладки и ряда других плюх в штатном ядре FC6 я понимаю, а вот Вас -- простите, никак не получается.
(хотя к текущим ubuntu мои лично основные претензии в другой плоскости лежат)
>Все остальное - покамест неработоспособно.
Вы прям-таки пробовали _всё_ остальное, что так смешно вещаете? Это ж из первых признаков вещуна-сказочника :)
Я пробовал или применял то, о чём говорю.
>ОСОБЕННО под нагрузкой.
Сделайте милость -- HEAD http://www.kyivstar.net/ (да, apache им пришлось пересобрать с изменением жёсткого лимита -- заодно мне багу ввесили и включил в пакет)
ПОТОМ вернёмся к вопросу о нагрузке. Если будет что сказать.
(BTW кому свет клином сошёлся на SQL -- есть и более разумные для многих применений варианты, где необязательно лопатить терабайты в час, эмулируя ту же иерархичку лишними выборками; наиболее крупный проект в области тонкого оргсинтеза и фармацевтики, связанный с БД, в котором когда-то участвовал на старте -- использует именно подобную DBMS)
>У скотины неопределны юридические перспективы.
Вы, простите, с какой планеты?
Ещё в 2003 году после выступления главы местного SCO на одной местной выставке с толканием темы "так, строиться платить нам деньги за линукс" порекомендовал ему искать другую работу; что характерно, дядька вовсе не дурак и года через два про него слышал, что поднял линуксовую контору в Польше.
Видите ли -- некоторым эти самые юрперспективы были достаточно ясны уже тогда.
>А вот Фря - рулит :)
Знаете, что было на kyivstar.net до ALT? Фря. Отдебажить её до живого состояния при том железе (+наличии "дублёра") и той нагрузке попросту не вышло. Даже людям, которые очень близко от истоков UNIX в этой стране.
Вообще же доводы типа "рулит" тоже вызывают улыбку и порой -- сочувствие...
[*yaaawn*]
>Все остальное - покамест неработоспособно.
>ОСОБЕННО под нагрузкой.Может поясните что такое не работает и особенно под нагрузкой? Какие волшебные патчи накладывает сообщество Федоры а ?
>Спешли фо ми, Михаил, сошлетесь, когда суточный локальный траф SQL-запросов в вашем
>боксе превысит терабайт. Для начала :)Для начала огласите что у вас за СУБД а так же объемы перелопачиваемых данных.
>У солярки - ценовая воронка покруче MS.
На техническое обслуживание и железо?
>> Когда протрезвеете и переформулируете вопрос в стиле "не составит труда",
>> чтоб можно было сразу сослаться на предыдущий ответ в качестве ререквизита
>> спешли фо ю :)
>
>Я УЖЕ писал. Что ХОТЬ КАК-ТО РАБОЧИМ линём является ТОЛЬКО федька.
>Фанатам линя настоятельно рекомендую раскошеливаться на RH. Если уж так нужен линь.
>Это Федорино-то горе? Девелоперская версия RHEL? Мда. Вас я на работу брать не буду. И другим не советую.
>У скотины неопределны юридические перспективы.
>У солярки - ценовая воронка покруче MS.Солярис бесплатен. За подробностями -- на sun.com
Не знать этого, изображая из себя НИКС-эксперта -- позор.>MS - не знаю, говорят держит. Просто пиар у нее не тот
>пока, на мой вкус. Зато легко считаются РОИ/МОИ и прочие стоимости.
>Херово держит, мы проверяли. Хорошо оно работает только на родных технологиях (C# + ASP + MSSQL)
> Солярис бесплатен. За подробностями -- на sun.com ???А во что обойдется вам "стек приложений" под него, Михенька? :)
Чё та я альт всерьез до сей минуты рассматривал :)
>> Солярис бесплатен. За подробностями -- на sun.com ???
>А во что обойдется вам "стек приложений" под него, Михенька? :)Ой, а Саурона тоже Михаилом звали? :)
PS: утром обдумал последний ответ Вам -- всё-таки нельзя так ядом плеваться, как бы там ни выглядел оппонент неправым. Но начинать грохать свои -- уж лучше всё-таки чтоб стыдно было, когда глупость сморозил на публике или наехал не по делу. Так что сарказм прошу пропустить мимо ушей всех, кого он мог зацепить.
>Спасибо, Линус. Наконец-то вместо очередного длиннющего офтопика сподвигли пойти на wiki
>и написать статью со ссылками и названием, которое многое объясняет: http://wiki.opennet.ru/DistroImhoMike"И не только он, судя по словам местных опёнководов. Кстати, один из них несколько лет тому офигел от only_from = 127.0.0.1 в дефолтном /etc/xinetd.conf от Master 2.0 -- со словами "Майк, ну я, конечно, параноик, НО НЕ НАСТОЛЬКО ЖЕ!""
Гм. Вообще-то в OpenBSD нет никакого дефолтного xinetd и, соответственно, /etc/xinetd.conf
>>в дефолтном /etc/xinetd.conf от Master 2.0
>Гм. Вообще-то в OpenBSD нет никакого дефолтного xinetd и, соответственно, /etc/xinetd.confЭто и не было OpenBSD, как написано.
>>>в дефолтном /etc/xinetd.conf от Master 2.0
>>Гм. Вообще-то в OpenBSD нет никакого дефолтного xinetd и, соответственно, /etc/xinetd.conf
>
>Это и не было OpenBSD, как написано.Да, действительно.
навскидку - RHEL.
То что с них производились атаки, еще не говорит, что кто-то получил к ним root access. (c) some slashdot postersНу и фраза про "5 of 8 production servers" меня повеселила. Автор бы еще написал "62,5% of Ubuntu servers are 0wn3d"
не путайте теплое с мяхким
ансаппортед вершн оф убунту сервер не есть убунту десктоп,который предустанавливают бренды типа ДЕЛЛ
это для начала
а для конца задумайтесь о том что почти все бренды предустанавливают винду,которую ломают в тыщи раз чаще нежели убунту..внимание вопрос: какой из брендов был обосран?
ну и последнее: читай выше. быть атакованым это ни есть быть порутанным
>не путайте теплое с мяхким
>ансаппортед вершн оф убунту сервер не есть убунту десктоп,который предустанавливают бренды типа ДЕЛЛэто уже неважно. конкуренты юзерам в уши напоют всё что надо.
Ну если руководствоваться твоей логикой и вспомнить десяток вирусов которые юзали безграничные уязвимости в MS-RPC то "линус и компания" уже должны были стать квадромилиардерами.
Команда хакероф смогла получить анонимный доступ к серверам с убунтой,
как заявили сами хакеры - пароль был не очень сложный. Несколько дисков
ПО было выкачано и теперь распространяеться по всему миру...
очень интересно тут трут коментарии:)
отвечал на один коментарий, а в итоге выходит что ответил совершенно другому человеку
>очень интересно тут трут коментарии:)
>отвечал на один коментарий, а в итоге выходит что ответил совершенно другому
>человекуПростите, пожалуйста.
>>В результате нерегулярного проведения обновлений и отсутствии шифрования ftp
>>трафика, 5 из 8 серверов обслуживающих проект Ubuntu Linux были по цепочке >>взломаны, далее с них была организована атака на другие системы.Я хоть и Фряху уважаю, но тут похоже не в дистре дело а в людях обслуживающих эти сервера и им влом было "обновлять" и "шифровать", а в самом дистре "обновления" и все для "шифрования" там есть.
...поматериться с утречка. Даже если Вы рассказывали правду, будьте добры, идите _так_ с родными разговаривать.Равно как и касательно монолитности/модульности -- научитесь разговаривать, а там, может, приходите перечитать вопрос и потом рассказывать даже мне, глупенькому, _что_ там к чему.
2 forum: бывают же экземпляры... :-(
Кривой мир M$ по тихоньку вытесняет не менее кривой мир Linux, разница глобальна, если с M$ хоть что то можно было спросить, то с Linux...
>Кривой мир M$ по тихоньку вытесняет не менее кривой мир Linux, разница
>глобальна, если с M$ хоть что то можно было спросить, то
>с Linux......можно спросить всё?
Да, Вы совершенно правы. :]
Спор о том какой дистрибутив linux лучше, является продолжением спора о том, что надо есть и, что надо носить.
Все! то есть просто все Некоммерческие дистрибутивы различаются тем, как быстро и удобно (наличие интернет анлима по необходимости) из них, с нуля, можно сделать, что-нибудь удобоваримое и безопасное.
При таком подходе, конечно например дебиан и слака уходят в хвост (нудно) и вместе с ними федора (уже по причине своей глюкавости, ...в базисном варианте :))
Для клиентских машин, в номинации "сел и поехал" первое место занимает опен сусе, АСП, альт десктоп и т.д.
А вот на сервер ту же опен сусе ставить не рекомендую, все время будет мешать присутствие нелогичности происходящего (отсюда нудно).
А взломать и настроить можно что угодно!
Кто там говорил что Гента рулит? а?
>Кто там говорил что Гента рулит? а?
>
>http://www.securitylab.ru/news/301539.phpчеловеческий фактор никто не отменял. если закодили веб-морду с возможностью обработки передаваемых параметров - значит инъекций не избежать. и не в генте дело, а в веб-морде проекта.
да, гента рулит, если руки хотя бы дотягиваются до мануалей.
а уж сколько возможностей она предоставляет, в частности для решений под "высокую нагрузку".
>Кто там говорил что Гента рулит? а?Я говорил.
Вместе со своим циннизмом убейся апстену, холиварщик./*
The gentoo packages web app contains a command injection vulnerability within
the "similar" links.Reproducible: Always
Steps to Reproduce:
1.Visit the http://packages.gentoo.org page
2.Click on any package's Similar link
3.Add a semi-colan to the URL followed by the command you'd like to execute. If
spaces are required use ${IFS} as a replacement for spaces.Actual Results:
At the bottom of the page the output of the command will be shown.Expected Results:
Commands should not be executed*/
ну и даже если что случилось? Вы, спрашивается, от этого сильно пострадали?
Или у вас есть предположение, что пострадали портеджи?
на какую дату смотреть?