Názory k článku Debian stable na serveru po letech a jak dál

Perfektní článek, který tu měl být už dávno. Už se nemůžu dočkat na pokračování, doufám, že bude dílů víc. Člověk si rád počte názory člověka z praxe.
Jen nevím jestli má smysl se ještě zabývat woodym když nám všichni slibují sarge za pár týdnů (vím, už to slibují pár měsíců :>). Po jeho uvolnění se snad změní hodně věcí. Moc se těším na podporu AMD64, doufám, že to není jen fáma.

S pozdravem,
Pavka.

obavam se, ze vydani Sarge bylo opet o neco opozdeno, po novem zacleneni GNOME 2.8 v nem bude nakonec i KDE 3.3 (zatim to tak vypada, ).

Co se podpory AMD64 tyce, tak uz neoficialne existuje a snad i funguje, ale pokud je mi znamo, tak Sarge r0 jeste nebude :|.

(viz posledni zpravy z http://lists.debian.org/debian-devel-announce/2004/12/index.html)

Z toho vaseho prispevku trochu vyzniva, ze sarge je opozdeny kvuli toho, ze se do nej cpou dalsi a dalsi veci.

Momentalni spozdeni sarge je zpusobeno neexistenci autobuilderu pro testing-security, vice info v:
http://lists.debian.org/debian-devel-announce/2004/11/msg00015.html

Co se tyce GNOME 2.8, tak to dalo dost prace presvedcit release managery, aby ho do testingu pustili a bylo to:

"The transition of GNOME 2.8 into sarge has been finished. It was the smoothest transition ever seen for a change of its magnitude."

:-)

O.

Fajn clanek, mam na serverech sice stable, ale vetsinou jadro 2.6 a micham baliky woody, backports, dalsi zdroje i testing. Vydavani releasu je sice pomaly, vyzkousel sem jen ten posledni :) ale problemy byly jen s ovladaci, proto mam skoro vsude 2.6, ostatni stable a ty nekriticky veci z testing (webmail, awstats, spamassassin apod.) Docela mi to vyhovuje

Vazeny autore,

pokud se nasazovani unstable a testing na servery rozmaha, tak to ma svuj duvod. A tim neni neznalost spravcu serveru, ale chovani autoru distribuce. Stable Debian je proste pekelne zastaraly a tudiz pro mnoho lidi nepouzitelny. Debian skodi sam sobe. A resenim jsou podle vas backports? Checht, to dava vazne smysl. :-D

P.S. Oznacovat uzivatele jadra 2.6 za zoufalce je docela silna kava. :-(

moje rec :)

suhlas. z uvedenych dovodov mam vysloveny odpor k debianu ako takemu. je smutne, ze tak skvely system je v takom stave v akom je. jednoducho ak nie som na spickovy hardver schopny nainstalovat spickovy system, tak musim sa obzerat inde. zial. v produkcnom systeme a vo firme nemam cas hrat sa s pripravou servera, potrebujem nainstalovat zabezpeceny stabilny system od ktoreho ocakavam vsetky vymozenosti a nie aby som doinstalovaval z unstable alebo testing vetvy nieco... vacsina distribucii to riesi trochu inak, chvalabohu.

Debian nemůže škodit sám sobě, to bychom museli být masochisti. Není to komerční distribuce.

No, tak nejspis asi masochisti jste, jinak si to neumim vysvetlit... Ze soucasna politika odrazuje uzivatele, je naprosto evidentni. Malokdo ma chut experimentovat s tim, jak dostat tri roky starou distribuci na novy hardware.

Že se dosud nezdařilo vypustit novou verzi Debianu není záležitost nějaké politiky, nýbrž prostě neschopnost novou verzi v daném čase dokončit. Na rozdíl od některých jiných distribucí Debian tento problém neřeší tím způsobem, že vypustí nehotovou verzi. Někdo tento přístup považuje za pozitivní, někdo za negativní; každý máme jiné nároky a podle toho si také vybíráme distribuci, kterou používáme.

Co se týče odrazování uživatelů, tak přitahování, udržování ani odrazování uživatelů nepatří mezi cíle Debianu.

Jo tak, takze vas uzivatele vicemene nezajimaji. Hmmm, zajimava filosofie, vskutku alternativni.

P.S. OMG, nestihlo se dokoncit?! Za tri roky?!

jste masochisti.
dukaz ?
pokud je podminka nesmyslna *, je vyraz vzdy pravdivy ;-))

(mirnejsi verze jak vam znacit, ze vami formulovana vety odpovida urovni lehce retardovaneho jedince)

*) kazdy totiz muze skodit sam sobe, nezalezi na tom, ze na tom neprodelavate,vetsina distro mimo jineho za uspech povazuje ze je pouzivana, funkcni atd.

Opravdu nerozumím tomu, proč se zde chlubíte svojí neschopností komunikovat v českém jazyce.

já mu rozuměl :oO

Ano, smysl to dava. Protoze v takovem "mixu" mate pak minimum aplikaci (tech skutecne potrebnych) novych. Ostatni Vas tolik neboli. Nehrozi Vam, ze po novem updatu se na stroj nezalogujete, napriklad. Nehrozi Vam, ze Vami uzivane libc ma problematicke chyby atd. A ano, 2.6 opravdu neni v serverovem stavu. Pro mnohe servery je posledni vyuzitelnou verzi 2.6.7, napriklad. Od te doby uplynulo mnoho bezpecnostnich problemu. Stabilita 2.6 na velkem mnozstvi stroju je stale miziva. Osobni zkusenosti (a to nejsem adminem nekterych tech stroju, proto me nemuzete obvinit, ze jsem proto neschopny).

P.S.: To, ze jsem nereagoval drive, je dusledek svatku. Snad u pokracovani se budu moci smysluplnych casti diskuze ucastnit. Vsem, kteri cekali na nejakou odpoved, se omlouvam, ale SPT zere. Za tyden budou podminky lepsi.

a co tak sa vysrat na zastaraly Debian a prejst na inu distribuciu ? ;) napr. Slackware.. yo a myslim ze (priblble) citove vylevy autora nikoho nezaujimaju a teda tu ani nemaju co robit

No... aj to je nazor.
Minimalne by si vsak mohol volit slova trosku inac.
V porovnani so stylom, akym bol napisany ten clanok,
to vyznieva trosku trapne...

Samozrejme! Od toho je tu mnoho GNU/Linux distribuci ze? Kazdy si muze vybrat podle vlastni chute a to i v ramci debianu, unstable testing ...
Myslim ze Debian je distribuce dobra a to ze vychazi stable jednou za X let je presne to co nekteri lide ocekavaji. Kdyby to lide nechteli, tak prece Debian uz davno neni. Slackware je urcite take zajimava distribuce, ale odrazuje me od ni par veci (init, pro me nestandartni umisteni configu), ale opet. Kdyby se do dostatecne velke komunite nelibilo, tak uz neexistuje. Nechte kazdemu svuj nazor. Nechovejte se jak manager "Jedineho krasneho a dokonalehe OS (TM)" ;)

Nuz, aby som bol uprimny, nedavno som riesil problem co da na server kde poziadavka bezpecnosti bola asi na prvom mieste.
Co teda lepsie ako Debian - Stable sa da pouzit?

Podla mna bezny server nema "exoticky" HW, takze problemy s "nebezi mi USB" nie su zaujmave.

USB nie je zaujimave. ale ak nemam podporu SATA radicov od adaptecu, alebo podporu 64bitovych procesorov, je to smutne...hlavne ak su tu tieto technologie uz relativne dlho. nie vzdy sa robi server za 15000.

> nie vzdy sa robi server za 15000

Kdyz budu stavet/kupovat neco drazsiho, tak nevidim ani jeden rozumny duvod, proc tam davat SATA. Soupnu tam SCSI a pokud to nebude nejaky hodne exoticky radic tak jsem i s Woodym v pohode.

No vidite, a ja zase nebudu kupovat predrazene SCSI disky tam, kde neni vykon naprosto kriticky. Protoze SCSI disky odchazeji prinejlepsim ve stejne mire, jako ty levne IDE/SATA "smejdy" a cena je opravdu nekde uplne jinde.

To ano, ale SATA a SCSI radice su stale trosku o niecom inom.

sam pouzivam na debiane SATA radic od Adaptec-u. To ze ho nainstalovat niekto nevie alebo nie je sucastou default install kernelu a ze si musis skompilovat vlastne jadro este neznamena, ze DEBIAN je zly. Suhlasim s tym, ze sucastny instalacny system je grc (napr. len ked porovnam s FEDORA RC3)

Na to je jednoducha odpoved. Pokud odmyslime vsechny komercni (RedHat, SUSE, Mandrake...), polokomercni distribuce (Fedora) a amaterske klony GPL verzi tech komercnich :D ....zbyva Slackware :)

Ale ale, nebylo by to trochu zavadejici? Napr. Gentoo je podle Vas amatersky klon? Neni to "trosku" arogantni?

Nic proti Gentoo, tot kristalove cista kvalitni distribuce, idealni pro experimenty a nadsene "objevovace neznameho" nicmene vzhledem k jejimu rychlemu az prekotnemu vyvoji ve snaze zajistit univerzalnost ditribuce a pouziti jako "metadistribution" bych byl ponekud zdrzenlivy pri nasazeni na server. K tomu se pricita i moje (mozna subjektivni) neduvera ke zralosti "core" teamu, ktery ma vyvoj distribuce na starosti.

>Co teda lepsie ako Debian - Stable sa da pouzit?
Tot' otazka. Jestli ctete konferenci debian-security,
tak byste zjistil, ze se security team uz tyden hada,
jestli se posledni explit na PHP funguje i na verzi, ktera je ve woodym. Woody je uz tak starej, ze nikdo
nedokaze backportovat opravy u nekterejch baliku.

Typickym prikladem je mozilla, nejen ze verze ve woodym je nepouzitelna, ale obsahuje furu zneuzitelnejch chyb, ktery byly davno opraveny, ale ktery nikdo nedokazal bacportovat. Kdybyste jen secetli vsechny neopatchovany exploity na moziilu,
tak vam vyjde, ze Woody je nejderavejsi distribuce.

Podobnym "problematickym" balikem je openldap. Posledni verze pridala 4 novy vlastnosti a opravila cca 20 chyb. (memory leaky, segfalty, ...). Ty memory leaky se daly vyuzit pro DoS. A dostaly se tyhle opravy do woodyho ? NE - Pro projekty, ktery se rychle vyviji je vyvojovej model Debianu nepouzitelnej.

A k tomu exotickymu HW. Dneska nesenete server od Dellu, na kterej byste moh Woodyho bez problemu nainstalovat
Problem je, ze Debian neaktualizuje ani ovladace pro SCSI radice.

Ja bych nerekl, ze je derava distribuce, ale pouze nektere baliky. A to jak je deravy server zalezi u kazde distr. jen a jen na adminovi. A co se tyka mozilly - davat na server cokoliv od X je sazka do loterie.

Woody ma jednu zasadni vyhodu s aktualizaci - malokdy se stane ze by aktualizovany balik mel uplne odlisne konfiguraky - u sarge se mi to stavalo bezne a pak clovek stravi hromadu casu hledanim prejmenovanych parametru a doladovanim sluzeb, ktere po update nejedou. To se da tolerovat pouze u serveru, u ktereho nevadi nejaky ten nekolikahodinovy vypadek. A pokud ma clovek na starosti nekolik serveru, tak kazda prace navic pekne nastve.

Takze podle meho nazoru je woody idealni distro pro
firemni datove servery, u kterych clovek neceka nejnovejsi vymozenosti, ale hlavne stabilni provoz.

Samozrejme se na sarge tesim, ale dokud nebude stable, tak ani nahodou...

nez se cokoli snazim nahodit na server (mysleno vseobecne, ale jo, i me se podarilo "sejmout" si server updatem ;-)), odzkousim si to na referencnim serveru. odhalim mozne chyby, ktere by zpusobily nefunkcnost, novy konfiguraky (ktery si dokonce muzu i predpripravit) atd. soucasti testovani musi byt samozrejme i restart serveru ;-))

pak prijdu k serveru, klidne i s pripravenym skriptem (cili nemusim to tam psat rucne ...), kterej updatuje - u gentoo i predkompilovane baliky - a je hotovo. na to nepotrebuju debian.

jedinej problem by mohly bejt bezpecnostni updaty, ale pokud clovek sleduje announces dostatecne casto, a zaroven pravidelne upgraduje baliky - viz vyse ;-)) - (ano, je to vic prace, ale muze to usetrit pekne horky chvily kdy mam doted sice bezpecnej, ale o verzi starsi balik, na kterej patche nejsou a nebudou a ja si hazim minci jestli mi to hacknou, nebo to neprezije update) nestane se mu, ze by patchovaci balik delal velky problemy s rozdilnejma konfigurakama a jinejma vecma, cili otestovani je otazka chvile.

Vam se nelibi skvela Mozilla 1.0.1? Vzdyt to je super, ne, je jenom pres dva roky stara... :-D

LOL :o))) to mi připomělu jednu diskuzi na ABC Linuxu
http://www.abclinuxu.cz/news/show/62159

------------------
27.7.2004 15:02 David Nečas (Yeti)
Re: Proboha proč ?
V žádné distribuci nikdy nebude úplně všechno, co pro daný OS existuje (např. všechny moduly Perlu), ač se to některé distribuce snaží předstírat.

Takže jako cíl bych spíš viděl snadné vytváření a integraci third-party repositářů.

---------------------------
27.7.2004 22:29 Zdeněk Burda
Re: Proboha proč ?
co neni v debianu, neexistuje
tohle hlasa muj kolega v praci :-)

---------------------------------
27.7.2004 23:09 David Nečas (Yeti)
Re: Proboha proč ?
A co je v Debian stable, to už ani neexistuje nikde jinde ;-)
.
-------------------------------
28.7.2004 10:11 penguin666
Re: Proboha proč ?
co neni ve Slackware, je zbytecne :o)

Ctvrty zpusob instalace stareho Debianu na novy HW je nainstalovat disk v jinem pocitaci s odpovidajicimi ovladaci a pak ho soupnout do ciloveho.

Ježiši proberte se! Dyť to i ta Windows jdou nainstalovat rovnou na cílový počítač:-(((

Druhá otázka je, zda to pomůže. Jak nainstaluji na 32-ti bitovém stroji systém pro 64-ti bitový target???

No asi tak nejak, na podobnou alchymii kvuli instalaci (!!!) systemu se muzu tak leda vyprdnout, proc bych to proboha mel delat? Pokud distribuci nelze nainstalovat na bezny moderni hardware, tak pro me ztraci jeji existence smysl (o zastaralosti baliku nemluve).

abych pravdu rekl - radsi trochu alchymie a prace navic pri instalaci a pak mit stabilni server, nez
snadnou instalaci a pak abych se klepal pri kazdem updatu systemu ze neco nepojede, nebo ze si zavlecu chybu ... :)

no, ale kolikrat jdou windows nainstalovat jen z instalacniho cdcka bez potreby ovladacu od vyrobce ??? nejdrive myslete a pak teprve piste, srovnavate hrusky a jabka

Já teda nevim, ale pořád to nahrání ovladače přes klávesu `F6' mi fungovalo líp, než nahrát SCSI či Serail-ATA driver pro 2.6 kernel do kernelu 2.2. Zkusteto někdy;-)

Ja jsem typicky mel tar.gz disku nainstalovaneho pocitace. Disk jsem strcil do jineho compu, napartitionoval, rozbalil, provedl par ukonu (konfigurace sitovky, LILO, odpomentovani potrebnych modulu v /etc/modules) a disk prehodil do ciloveho pocitace. Pak boot a "apt-get update; apt-get upgrade;" Zadna alchymie nebyla potreba a bylo to radove rychlejsi, nez to delat pres instalator, vymenovat CDcka atp.

Samozrejme pokud je Vasi oblibenou cinnosti sledovani obrazovky instalatoru a obcasne kliknuti mysi, tak to asi neni cesta pro Vas ;-)

->64/32bit
co treba
Processor type and features --->
Processor family (Opteron/Athlon64/Hammer/K8)
a proste to prekompilovat ;-)
...a pak jeste jednou na novem stroji
(pro linux 2681)
Linux RULEZZZ!!!

No, ja vam tak nejak nevim, ale az se uspesne chrootnete z 32bit do 64bit prostredi, tak budete fakt borec. Aneb tudy cesta nevede. :-))

>Ježiši proberte se! Dyť to i ta Windows jdou >nainstalovat rovnou na cílový počítač:-(((

Opravte mě jestli se mýlím, ale Windows lze naistalovat _pouze_ na cílový počítač ( nebo naprosto identický počítač). Tohle bych jako výhodu neviděl...

mylite se ;-)
s diskem a nainstalovanymi Windows se da prechazet mezi ruznymi hw konfiguracem - se svymi 2000 sem zcela bez problemu upgradoval z PIII na P4... staci RTFM :-) stejne jako u linuxovych OS - spousta lidi nadavajici na Windows s nimi ve finale neumi (po systemove strance) ani pracovat...

Trošku bych poopravil - nevím jak u W2K, ale u XP to občas trošku problém je. S některými chipsety mi moje univerzální image nabídnou po startu jen černou obrazovku a dosud jsem nepřišel na to, čím to je (většinou se jedná o image dělané na P4 přenášené na stroje s chipsety i815). V tomto směru je ukecanost Linuxu nezaplatitelná, stejně jako pohodlná výměna jader.
Ale jinak souhlasím, Windows lze přenášet, hlavní je vnutit jim před přenesením univerzální ovladače IDE řadiče; jakmile najdou disky (resp. řadič), obvykle naběhnou...

Ktery manual mas na mysli ? Ten co se dodava k Windows ? Nebud smesny.

Pro tento účel jsem si vyrobil "instantní" Windows 98 - snapshot widlí98 před posledním restartem. Nakopíruju na cílový počítač, ony si zdetekují hardware a prostě fungují. Během 3 minut hotovo. Navíc jsem do nich implantoval ovladače pro ATi a nVidia grafiky, pár běžných WiFi karet a pár běžných zvukovek, takže opravdu stačí jen nakopírovat a pustit...

Co takhle misto testing/unstable pouzit Ubuntu Linux?
http://www.ubuntulinux.org/

Zalozeno na debianu, release co 6 mesicu. Security na vsechny podporovane baliky (na druhou stranu je tech podporovanych baliku mensi mnozstvi nez v originalnim debianu) po dobu 18 mesicu od vydani. Rozhodne lepsi kombinace nez pouzivani testing/unstable, kde u prvniho vam bezpecnostni chyba muze server ohrozovat i nekolik tydnu a u druheho se vam system muze pod rukama rozsypat a s bezpecnosti to taky neni idealni, a woody+backports.org neni taky uplne idealni kombinace, za chvili mate system plny ruznych baliku o kterych musite zkoumat odkud pochazeji.

Proste pro ty, kterym nevyhovuje cisty woody doporucuju Ubuntu Linux. A kdo by mel zajem o vylisovane CDcko (install + live), tak at mi napise na mail :-).

O.

Ubuntu je prijemne ubalene distro, pouzivam jej na 64-bit AMD a zda se, ze je dobre pouzitelne. Pro mne jako uzivatele Mandrake@Gnome velice prijemne prekvapeni a zmena.

Ted jsem se na to dival a nejak jsem nenasel deb zdroje ? To nejde intsalovat ze site ? Ja CD uz vubec na instalaci nepouzivam. Mam 4Mbit od UPC a vzdy udelam netboot a je to. K cemu CD?. Jinak me se na debianu libi balickovaci system, konzervativni pristup (nenacpou tam kde jakou blbost co koho napadne) a holt ta mirna zastaralost je dan.

Ze site se instaluje bootstrapem.

Naprosto souhlasím. Debian a instalace ze sítě je naprosto perfektní věc. Pokud něco potřebuji, dám apt-get install a není co řešit. Používám verzi Sarge, ale nemám se stabilitou aplikací až na výjimky problémy.

deb http://archive.ubuntu.cz/ubuntu warty main restricted
deb http://security.ubuntu.com/ubuntu warty-security main restricted

Staci takhle? :-)

Dik moc, ale jsem asi slepy a na webu jsem to u nich nenasel. To je presne to co jsem hledal.

myslim ze pouziti testingu neni zase tak kriticke (jedu na nem cca rok a pul) a bez problemu

aplikace typu apache, php, mysql, psql, qmail jsou samozrejme kompilovane - prave v tom je problem - pouzivam php 5, ktera potrebuje trochu novejsi knihovny nez je ve woodym, dalsi prikladem je postgre sql ve woody verze 7.2 - soucasna verze 7.4.6 (ktera je urcite lepsi nez stara veze

silne zvazuji prechod od debianu k BSD

No, s testingem jsem jednu dobu míval dost problémy, po každém týdenním upgradu jsem musel řešit různé potíže. V poslední době je to už mnohem lepší, ale stejně mám v úmyslu po příští release zůstat na svých pracovních stanicích u stable.

Klidně bych přešel na něco jiného, ale na co? Mnohé distribuce nenabízí v dostatečné míře základní vlastnosti Debianu jako stabilita, integrace, konfigurace, podpora. Pokud by mi šlo v první řadě o aktuální verze softwaru, to už bych si je mohl rovnou kompilovat sám.

Ubuntu vypadá zajímavě, ale jako vývojář Debianu udělám pro obě distribuce lépe, když budu pokračovat v práci na Debianu, než uprchnout k na něm vystavěné distribuci.

Osobně mám unstable v pbuilderu (což je ostatně doporučovaný postup i v případě normální stanice na debianu) a balíky kompiluju pomocí něj.

Jenomže ono je z hlediska QA docela dobré své zkompilované balíky včetně distribuce, pro kterou jsou určeny, regulérně používat :-).

Je pravda, že testování aplikaci (alespoň instalace+spuštění) je o něco složitější, ale k unstable na svojem notebooku bych se už vrátit nechtěl.

Ono taky asi hodně záleží na aplikacích o které se staráte.

O.

P.S.: I když mi občas chybí to ranní apt-get update; apt-get upgrade :-).

pekny clanek, ale opravdu me to nejak unika. kdyz neni stabilita linuxoveho jadra na jeho hlavnich predstavitelech, proc by mela byt na nektere distribuci?

proc by mela byt stabilita programu mimi zaklad systemu na distribuci?

vsechno toto mi pripadne jen dalsi duvod, proc mi bsd reseni (system + 3rd party soft) lepsi.

j.

Vim, kdo je LT, AC i AM. Ale momentalne me nenapada, kdo je AB.

nejspis Adrian Bunk

Mno osobne si myslim, ze pokud clovek pouziva unstable balicky a sikovne si patchne kernel (zakaz stack/heap ....), tak se o svuj system (vzhledem k vzalenmeu utoku) zase nemusi az tak bat (return-into-lib(c) se na vzdaleny utok fakt nehodi :)). Horsi problem bych videl s tou stabilitou vzhledem k dos utokum. Jinak Debian uz je opravdu dost zastaraly a backporty nevidim jako reseni.

Tímto děkuji autorovi, že jsem byl označen za lenocha a hlupáka. Spousta lidí potřebuje novější verze softwaru, než který je ve Woody k dispozici, takže jsou buď odkázáni na backports nebo Sarge.
Mě použití Sarge přišlo jako čistší řešení, takže ho používám. Stojím teď před volbou, jestli na serveru nechat Sarge až vyjde jako stable, nebo přejít na Gentoo nebo nějaké BSDčko. Mám totiž obavy, že ty samé problémy co provázely Sarge se budou opakovat i s novou testovací verzí Debianu.

Výše popsané problémy v článku s Debianem, absence závislostí ve Slackware a vývojová politika Gentoo, vhodná tak pro dobrodruhy na desktop, mě donutily přejít na FreeBSD a po více než roce produkčního nasazení si dovoluji tvrdit, že to konečně JE uspokojivé řešení.

ja mam na desktope slack a zatial som spokojny, ale ked budem mat cas chcem skusit FreeBSD. Otazka je ci ist do 4.9, ci do 5.3?

Nevidim jediny duvod, proc si na desktop dat neco starsiho nez 5.3.

Pokud vim, software ve FreeBSD ports nema zadne QA, zadne oficialni security updaty, zadna zavazna pravidla (obdoba debian policy), a muze ho pridat kdokoli (a dal se o nej nestarat...). Balicky v backports.org jsou oficialni balicky z testing (ve vyjimecnych pripadech z unstable) zkompilovane pro stable. Pokud chce nekdo nejaky balicek do backports pridat, musi byt oficialni vyvojar Debianu.
Ja osobne nevidim zadne vyhody pouziti FreeBSD proti Debian stable s nekolika malo balicky z backports.org. I balicky z backports.org jsou pro me duveryhodnejsi nez software z FreeBSD ports. V aktualnosti software bych problem nevidel, malokdo chce preinstalovat produkcni server kazdy rok. Vydavat stable distribuci kazde 2 - 2.5 roku mi prijde docela rozumne (pro servery). Pokud nekdo potrebuje nejaky balicek aktualnejsi, backports.org mi pripada jako idealni reseni.

Zkuste pochopit, že FreeBSD není jako Linuxové distribuce, tj. (opatchované) jádro + nějaká kolekce (GNU) aplikací, ale kompletní systém, tj. jádro a všechny potřebné administrativní, síťové, diskové aj. nástoje, za které vývojový tým "ručí", ikdyž to není typ komerčního QA, které ani Debian nemá. Zkuste si nastudovat, jakým auditem a jak dlouho to trvá, než vydají Release verzi, vhodnou pro produkci. Security team FreeBSD pak dozoruje a vydává bezpečnostní updaty pro tyto udržované větve.
Vámi zmiňované porty obsahují software _třetích stran_, za jejichž kvalitu pochopitelně _nemůže_ jedna organizace nebo distributor ručit. Každopádně nad porty má dohled Ports Management Team(bezp. oznámení, aktualizace) a pokud vás zajímají _pouze_ bezpečnostní aktualizace portů, má na to FBSD nástroj portaudit.
Více viz. http://www.freebsd.org/doc/en_US.ISO8859-1/articles/contributors/staff-who.html
a
http://www.freebsd.org

No a když si porovnáme bezp. model *BSD s jedinou trochu srovnatelnou variantou Linuxu a to SELinuxem, tak se ani není čemu divit, proč mají tyto servery tak nízké procento kompromitací.

To o cem se tu bavime jsou aplikace jako treba mysql, postfix, spamassassin atd., tj. aplikace z portu. Neaktualnost base systemu nehraje na serveru zadnou roli. Nepochybuji, ze FreeBSD (bez ports, neco jako base system v Debianu) je kvalitni dobre otestovany system. Jenze ports nejsou "oficialni" soucasti FreeBSD. V Debianu je kazdy balicek oficialni soucasti distribuce, tj. kazdy balicek ma staleho maintanera, ktery musi byt vyvojar Debianu; musi dodrzovat debian policy; ma QA; nesmi mit RC chyby v dobe vydani stable; bezpecnostni diry kazdeho balicku opravuje Debian security team atd. Takze at nainstaluju jakykoli balicek z Debianu (v Sarge neco kolem 15000!), mam jistotu ze ma +- stejnou kvalitu jako zbytek distribuce. S ports zadnou takovou zaruku nemam.
SELinux implementuje mimo jine neco jako MAC ve FreeBSD (+ dalsi veci), takze to s bezpecnostnim modelem jsem moc nepochopil...

Ja mel taky podobne pochybnosti o cemkoliv, co neni Debian, kdyz jsem zhruba pred rokem prechazel z Woodyho na FreeBSD, ale vysoky vykon a aktualnost aplikaci rozhodly o operacnim systemu, ktery na serveru zustal natrvalo. S odstupem casu si uvedomuji, ze tyto me pochybnosti a "zastavani" se Debianu byly spise projevem me neschopnosti naucit se spravovat novy system nez dusledkem skutecnych kvalit Debianu... Rozhodne bych ale ani dnes nevahal nasadit Debian stable kdekoliv, kde staci nizky vykon a zastarale aplikace. Ale v bezpecnost Debianu moc neverim (proc jeste nejsou k dispozici opravy tisicu chyb, ktere byly odstraneny v novejsich verzich Mozilly; proc nebyla vcas backportovana do jadra oprava bezpecnostni chyby, ktera byla vyuzita minuly rok pri utocich na debiani servery ...).

Ano, a nez se tohle vsechno skvele testovani, QA, a ja nevim co jeste zrealizuje, tak mam na serveru nekolik tydnu deravou (ale stable!!!) verzi PHP, MySQL, ... (dopln si sam) a server mi hacknou. Bezva.

Takze pokud nejsem silenec, tak bud prejdu na unstable/testing a zazaplatuju tu diru hned, nebo holt zvolim jinou distribuci, ktera je schopna bezpecnostni upgrady vydat behem nekolika malo hodin nebo dni, nikoliv v radu tydnu nebo mesicu.

Jo souhlas FreeBSD je si idealni reseni pro server, velmi slusna podpora HW pro servery (radice a podobne) a kvalitni system aktualizaci.

Jinak Gentoo hodne zlepsil security update

okrem toho ze freebsd nema poriadny filesystem existuje nejaky iny argument pre dalsie tvrdenia o jeho kvalitach?

* chaoticky namespace diskovych partition
* chaoticky namespace ethernetovych rozhrani
* neexistencia bluetooth stacku (okrem fbsd)

:)))

Skús to konkretizovať ....

"...absence závislostí ve Slackware..." - slyšel jste někdy o swaret (http://swaret.sourceforge.net)???

Já teda nevím, ale opravdu si myslíte že debian sarge je volba z neznalosti ?

Co to je za řešení použít backports, nic proti ale to mě příjde jako daleko horší přístup, pokud prostě chci neklikací distribuci s rozumným apt-get like systémem tak mě nic jiného než sarge nenapadá. Osobně si myslím že je taky špatné srovnávat sarge a sid jako to samé ehm sid má často problémy se závyslostmi balíčku ale u sarge jsem se s tím ještě moc nepodkal. Pokud jde o nasazení na workstation mozilla-1 woody rulez :-)

no tak jsem asi dobrodruh, ale mě ta možnost gentoo
protočit obcas kompilerem celý nainstalovaný world
přijde DOST užitečná- BSDčkari vědí, ti taky world často rebuilduji, neni-liž pravda . No flame.

Taky jsem velmi spokojený uživatel Gentoo, ale vůbec nechápu, proč bych měl proboha kompilerem něco pročišťovat ? Jako poslední záchrana, když si člověk zboří kus filesystému nebo tak něco, prosím, ale dělat to jenom tak ? To je vážně úlet.

Proc? Protoze mas jistotu, ze VSECHNY veci JSOU zkompilovany oproti knihovnam, ktere v systemu SKUTECNE jsou a ne proti nejakym starsim verzim..

linuxove distribucie ktore sa snazia poskytnute hardwarove zdroje vyuzit efektivne pouzivaju balickovacie systemy ktore podporuju zavislosti :)

hm, až na to, že autoři balíčků občas na závislosti silně kašlou ... před měsícem jsem nainstaloval Mandrake 10.1 a nechodil mi mc ... instaloval jsem pár dalších věcí, dnes jsem náhodou mc ze zvyku napsal a ejhle, najednou chodí - stále stejná, od instalace neupgradovaná verze mc-4.6.0-13mdk

očekávám, jak se teď ozvou debianisti, jak by se v debianu něco takového nemohlo stát, že tam jsou všechny závislosti poctivě zaznamenané ... hm, a o čem je celý tento článek, kolikrát se mi stalo, že nějaký .deb byl zkompilovaný proti úplně jiným verzím software, a pro ty fosílie, co byly v systému, patřičný program v .deb dostupný nebyl ...

v gentoo, když překompiluju celý systém, tak mám jistotu, že vše sedí s tím, co je aktuálně nainstalované (anebo kompilace selže na nedostupnosti něčeho)

Nevím ale začínám nechápat obhájce neobhajitelného, uživatele toho skvělého distra DEBIAN. Nic proti němu, jen mě to principiálně nesedí, názor že je to správný a normální stav když standardní stabilní větev je starší 3 let a každý ví že IT-technologie stárnou rychleji než chleba.

Také by mě zajímalo který dobrodruh by si zkusil dat třeba pro kritickou aplikaci např: databázi pro SAP nebo jiný ERP systém na DEBIAN. V podniku kde je nutný 24*7. Už vidím jak vysvětluje vedení při prvním problému že DEBIAN je good že systém jede jak má, ale SQL server má nějaký problém. Firma která to garantuje prohlašuje že SQL server je v pořádku a že Oracle není pro debian oficiálně podporován. Osobně takovému Adminu moc fandím. To je DOBRODRUH jak já si ho představuji

PS:
Co si koupíte raději? Felicii nebo Fabii. No ja teda raději tu Fabii. Ovšem jak zde čtu pravý debianista si vezme Felicii a předěla si ji na Fabii protože hold felcka je již lety prověřena a odladěna.

Souhlasim a nestacim se divit nekterym prispevkum. Vzdyt servery jsou i pocitace, ktere tvori podnikovou infrastrukturu: databazove servery, aplikacni servery, souborove servery, tiskove servery, vypocetni servery, servery zajistujici net management, jmenne sluzby, ... Nekteri lide si pod pojmem server predstavuji snad jen DNS server, web server, router nebo firewall. Jinak si neumim vysvetlit nazory, ze na server nepatri X aplikace, ze bezpecnost je rozhodujicim prvkem pri volbe OS, atd.

Uplne se zde zapomina na to, ze v podnikovem prostredi se bezne pouzivaji kompletni reseni. At jiz je to Oracle certifikovany na enterprise serveru od Novellu nebo Red Hatu, vselijake NetManagement nastroje od Novellu, clusterova reseni od IBM, ... Pokud vim, tak tento SW neni certifikovan ani pod Debianem ani pod FreeBSD, a tak je uplne jedno, jestli davate prednost STABLE nebo UNSTABLE verzim. Tento SW je certifikovan pro ENTERPRISE verze Linuxu, ktere na rozdil od ENTHUSIAST verzi maji uplne jiny release cyklus a dobu podpory. Pro jistotu radsi dodam, ze i od enthusiast verzi (napr. SUSE Linux Professional) zakaznici ocekavaji stabilitu, takze srovnavat je s unstable verzemi Debianu neni na miste.

> ... každý ví že IT-technologie stárnou rychleji než chleba.

A taky kazdy vi, ze na spoustu veci neni potreba nejnovejsi verze. Naopak SW, jehoz stabilni vetev je mladsi nez rok-dva, je na spolehlivy server silne nevhodny.

> Firma která to garantuje prohlašuje že SQL server je v pořádku
> a že Oracle není pro debian oficiálně podporován.

A nejspis to nebude v tom Debianu, to si jen firma si hleda vymluvu, aby nemusela nic delat ;-)

Samozrejme pokud chcete reseni "out of the box" nejake problematiky, zvlast se specializovanym SW, tak budete vybirat podle toho, co podporuje dodatavel. Nic neni vhodne na vsechno, ale existuje i spousta jinych aplikaci pocitacu nez ta, kterou se prave zabyvate ;-)

Ad auta: No, ja bych si nekoupil zadnou :-) Ale zas tak spatne prirovnani to neni. Koupe modelu jako horke novinky neni moc dobrou volbou, protoze i u aut se v prvnich letech vychytavaji ruzne "mouchy", ktere preci jenom unikly pozornosti pri konstrukci (a to jsou auta designovana podstatne pecliveji, nez vetsina SW).

>A taky kazdy vi, ze na spoustu veci neni potreba nejnovejsi verze. Naopak SW, jehoz stabilni vetev je mladsi nez rok-dva, je na spolehlivy server silne nevhodny.

Ano u spousty věcí ano ale také někdy potřebujete soft který je novější 3let ne?

>A nejspis to nebude v tom Debianu, to si jen firma si hleda vymluvu, aby nemusela nic delat ;-)

Zajímavé, ale už opravdu vidim jak vysvětlujete řediteli firmy že nefunguje výrobni system, a tím pádem 500 lidi šoupa nohama, chodi sem tam a přemýšlí co dělat jak zabít nudu.

Příklad situace jak by asi vypadala:
Ředitel si Vás zavolá jako hlavního spravce a zeptá se kdy to sakra pojede.
Odpovite: dělame na tom je to chyba databaze.
Pan ředitel už volá právniky aby našli smlouvu o poskytnutí Software, aby se alespoň vybil zlost. Co se nestane při tom jak si vylévá zlost slovy: "jak cele to IT nás vleče do pekel a že když to nefunguje tak že chce slevu, jaktože zde ještě nejste a nedělate na tom? Že mu utíkají miliony, kdo tu odstávku zaplatí?"
Dodavatel mu odpoví: je to proto že nepouživáte certifikovaný OS, a že tyto chyby se jinde nestaly, my se snažíme maximalně pomoci, ale na oracle nam řekli že by to mělo fungovat i na tom DEBIANU ovšem to nemají otestované a ještě se jim to nestalo.
Pan ředitel na to proboha a proč jste to na ten debian dali?
Dodavatel: My ne, to bylo rozhodnutí vašeho správce.

Zde nejde prostě o to zda to někdo na debianu rozběhne nebo ne, ale o to zda si ten administrator troufne stat sam s holym zadkem proti všem.

My nejsme principielne ve sporu - viz muj predchozi prispevek.

Ja jen kritizuji pristup "kdyz to neni dobre pro mne, tak je to blbost a vsichni kdo to pouzivaji jsou idioti (nebo dobrodruzi)".

Ale stejne jsem za svoji praxi nezazil situaci, kdy by neco _prestalo_ fungovat kvuli tomu, ze to jede na distribuci, pro kterou to neni urcene. Pokud uz se to povede rozjet a funguje to, tak to je OK.

> Ale stejne jsem za svoji praxi nezazil situaci,
> kdy by neco _prestalo_ fungovat kvuli tomu, ze to
> jede na distribuci, pro kterou to neni urcene.
> Pokud uz se to povede rozjet a funguje to, tak to
> je OK.

Tak to ja sem bohuzel zazil. Onen build je kompilovan na jednom systemu. "Mel by" samozrejme chodit na vsech distrech, ale nekdy tomu proste tak neni, at uz chybou certifikovaneho SW (vetsinou) ci OS. Proto je certifikace na dane distro a ne na vsechny, ktere maji (priklad), gblic 2.2 a vyssi.

Že poslední stabilní verze byla vypuštěna před několika lety podle mě žádoucí stav není a byl bych velice rád, kdyby se to zlepšilo. Ona má ovšem každá distribuce své mouchy, například nestabilita, závislost na proprietárním softwaru, menší pohodlí, nutnost kompilace, apod. Takže v souhrnu pro někoho může být lepší distribuce stará, ale stabilnější a propracovanější, pro jiného zase distribuce pravidelně updatovaná, byť s jinými mouchami (které třeba z jeho hlediska ani žádnými mouchami nejsou).

Pokud potřebujete provozovat neportabilní proprietární software s alibi pro šéfa, tak to vůbec není problém a starost Debianu. Prostě si na server nainstalujte, co vám dodavatel nařídí (třeba Windows), a nemusíte si na nic stěžovat.

Jinak já jezdím s Felicií. Jsem s tím autem spokojený, funguje, už ho znám, stejně jako můj servisman, náhradní díly jsou pro něj levnější než pro Fabii. Známý odvedle má celkem novou Oktávku a má ji každou chvíli v opravně. Uznávám, že Felicie nejede po dálnici 180 a naložená do kopce občas trochu funí, ale to mi vůbec nevadí, hlavně když jezdí.

Když si čtu poslední odstavec, mám pocit, že si děláte legraci, srovnání s autem (mám také felicii, je to dobré auto)je totální nonsens. Vývoj v oblasti software a hardware se nedá s auty srovnávat. Rozhodně se na Vaše auto nekoná denně desítky, stovky, tisíce útoků pomocí hostitelských PC a obdobných technik, nepřipojují se k vašemu autu desítky a více uživatelů denně. Nevadí mi původní engine auta z roku 1999 bez update (výměna oleje není update), ale u počítačů bych takové PC k síti nepřipojil.
3 roky starý linux stable systém - to je zoufalost.

Jeden názor na závěr: pokud má někdo tolik času se v tom hrabat a řešit zmiňované problémy, ať si to klidně dělá a používá Debian, nemusí být dobrodruh, když je to nějaká škola a ona činnost je součástí výzkumu, nebo zmiňovaný správce má za úkol hlídat počítačovou učebnu a nudí se; nebo když je to koníček. Ale tam, kde se hlídá efektivita, si Debian dokážu představit jen obtížně (snad až na vyjímky).

Oracle je oficialne podporovana jedine pod enterprise redhat a se mi zda i suse, a to jsou distribuce ktere nejenomze jsou placene, ale stoji peknych par kacek.

Protože u mě je server (Firewall, pošťák(exim, amavis, clam, spamassassin), DNS | Samba , apache, php, databáze) & spousta vomáčky jako ssh, shely, atd prostě to co používám jenom já.

Kdybych měl na serveru woodyho 90% toho co se používá bych musel kompilovat/bacportovat (clamd z woodyho k nepoužití s novzmi vir kevencemi, spamassassin už taky nic nechytí, brát sambu 2.2 jako stabilní proti 3.0 je opravdu úchylné atd) a omáčku na které mi nezáleží bych měl bezpečnou.

Proto tam radši dám testing, nic neřeším (omáčka je před useri skrytá, a to co potřebuju funguje)

Je naivní myslet si že bezpečnost sw dělá pouze ležení v debianím poolu. Tu zejména dělá autor, který s debianem nemá nic společného. Na softwary co jsem popsal, vycházejí záplaty neustále a neustále jsou vidět v testingu. Že lokální DOS u XBILLa bude opraven za pul roku mne nezajímá. Proto tvrdím že i verze v testigu jsou pro použití na serveru viceméně bezpečné a ušetří spoustu práce.

Ano používam občas ještě woodyho s novým jádrem. Na vracích, ze kterých je třeba udělat pure Firewall

Bylo by fajn, kdybyste si prostudoval zpusob jakym baliky do testingu *propadavaji* z unstable. Abyste se pak nedivil tomu, ze vam nekdo vas server zbori, protoze se verze do testingu nedostala kvuli toho, ze balik na kterem je zavisla ma nejakou RC chybu, takze do testingu neprojde a neprojde.

No nic, kdo chce kam...

O.

Jo, takze je mnohem lepsi tam mit nepouzitelny SpamAssassin, nefunkcni antivirus, zastaralou Sambu s polovinou funkci oproti verzi 3.0.x a se spoustou chyb, a jako tresinku na dortu derave jadro. To vazne dava smysl - ale jenom sekte zatvrzelych Debianistu. :-))) O Mozille a spol. jiz tady byla rec. Ne, me to opravdu prijde, ze tohle je distribuce pro masochisty.

Řekl bych, že bylo míněno spíš to, že i v TESTING mohou být neopravené bezpečnostní chyby, protože opravy tam z UNSTABLE neprojdou.
Já jsem to raději vyřešil změnou distribuce...;-)

Ano, taky jsem to tak pochopil, nicmene poukazuju na zcestnost argumentu "abyste se pak nedivil tomu, ze vam nekdo vas server zbori" - ono kdyz mi ten server zbori hacker (nebot vyvojarum trvalo x mesicu, nez uznali zazaplatovanou verzi za dostatecne stabilni a mezitim se objevilo pet dalsich chyb, pricemz backport do stable trval x*2 mesicu), tak asi mam byt happy, ze jsem si system nezamoril tim hnusnym unstable balastem, nebo nevim, co tim basnik chtel rici. Uff.

A k cemu je na serveru dobra mozilla ???

záleží, jaký server máte na mysli ...
- inspirující by mohl být třeba tento odkaz: http://www.ltsp.org/

Ten způsob mám prostudovaný, dokonce jsem s tím měl 2x i problém, ale porad je to pro mne daleko méně práce nez lepit woodyho

http://uptime.netcraft.com/up/today/top.avg.html

http://uptime.netcraft.com/up/accuracy.html#whichos
http://uptime.netcraft.com/up/accuracy.html#cycle
http://uptime.netcraft.com/up/accuracy.html#linux26

from http://uptime.netcraft.com/up/accuracy.html#whichos
Operating systems we can usually work out uptimes for are:
...
* Linux on Intel x86 processor, kernel versions 2.1 to 2.5.24
...

Kernels 2.2.x and 2.4.x are not affected.
Release date of 2.2.x branch - January 1999
Bottom position in Top 50 with max of 1372 days ie. around 3 years and 9 months.

So why there is not at least one Linux box in top 50 ?

f.E.
Kernels 2.2.x used for both "stable" Debian releaes Potato and Woody
http://www.debian.org/releases/potato/
http://www.debian.org/releases/potato/i386/release-notes/ch-whats-new.en.html
http://www.nl.debian.org/releases/woody/i386/release-notes/ch-whats-new.en.html

Ach jo...
http://uptime.netcraft.com/up/accuracy.html#whichos
"Additionally HP-UX, Linux, NetApp NetCache, Solaris and recent releases of FreeBSD cycle back to zero after 497 days, exactly as if the machine had been rebooted at that precise point. Thus it is not possible to see a HP-UX, Linux or Solaris system with an uptime measurement above 497 days."

a tady bych to uz nevidel tak zle... i kdyz jsou v linuxovych distribucich jiste jadra stable:
http://uptime.netcraft.com/perf/reports/Hosters

Predevsim diky za prima clanek a doufam ze se v pokracovani nastini princip fungovani backports.org, jeho prakticka aktualita, bezpecnost a jestli se na nej da spolehnout... Diky...;)