HOSTBLOGGER.de

Debian

Was genau ist denn der Grund das kritische Systeme auf Gentoo laufen sollen, wenn man fragen darf?

Najaaaaa...

Gentoo hat sicherlich seine Staerken - ich nutze es auch gern... auf dem Desktop. Fuer Server und andere "headless" Maschinen bevorzuge ich dennoch Debilian; das ist fuer solche Einsatzzwecke IMHO deutlich besser optimiert.

Vielleicht weiss ich auch einfach nicht, was ich tue, aber ich habe es trotz sorgfaeltigster Auswahl der USE-Flags noch nie geschafft, ein Gentoo sauber ohne X aufzusetzen, was alle gaengigen und benoetigten Funktionen eines Servers auf der Konsole bereitstellt

Ist richtig. Da wird aber gern das Argument von Buildservern ins Feld gefuehrt - genauso wie bei dem Punkt, der sich aus Deinem Argument ergibt, naemlich die Frage nach der Sinnhaftigkeit eines Compilers auf einem Server. (Was allerdings viele Admins nicht im geringsten daran hindert, auch auf einem SuSE-, RH(EL)- oder Debian(-Derivat)-Server komplette Compilersuites zu installieren und fuer alle User zugaenglich zu machen)

Hat Gentoo inzwischen wenigstens das Problem gelöst, dass es keinen einfachen Weg gibt "nur" Sicherheitsupdates einzuspielen? Weil ein emerge -uD world ist böse!

lol.

wenn ich jetzt "undefined symbol" sage, haut mich dann einer? SCNR.

Was aber bedeutet, dass Du einfach blind den Updates vertraust und über n Server drüberbügelst?

Ich bin aber doch in der Lage, beim emergen bewusst Version und Revision zu trennen?!

Jetzt weiß ich auch, was Du vorhast

Das geht doch! Genau auf dem Weg, den Du beschrieben hast. Man nehme:

$ glsa-check -l affected

und aktualisiere anhand der Liste! Siehe auch http://forums.vpslink.com/security/745-use-gentoo-glsa-check-keep-your-system-up-date.html

Als ich das damals genutzt habe, arbeitete es nicht so zuverlässig. Un warum kann man das aber nicht in emerge integrieren? etwa so: emere -auvD security ?

Nein. Nach dem ich mal im IRC damit aufgeschlagen bin und als Antwort erhielt "Sowas machen wir nicht, Gentoo ist was für Profis, die brauchen sowas nicht." Da hats mir abgelöscht...

Auf meinen Workstations hab ich das auch nicht gebraucht, da hab ich immer uD world gemacht, weil ich auf dem Desktop gerne das allerneuste hatte. Und auf'm Server will/wollte ich halt nicht alles commpilen müssen.

(Und ehe wieder dieser Troll kommt. Ja ich weiss, Gentoo untertützt auch Binärpakete)

Da hast du nicht unrecht. Es war immerhin der offizielle Channel mit offiziellen Entwickler

Ich vermisste einfach die update-Unterscheidung wie Debian u.a. sie mittels "apt-get upgrade" (bzw. neu "safe-upgrade") und "apt-get dist-upgrade" haben. Aber wenns für euch mit Gentoo stimmt, ist mir das auch recht

Ja, die Philosophie ist unterschiedlich. Und ja, jeder muss selber Entscheiden was er will. Auf der privaten Workstation habe ich genau aus dem Grund lange Gentoo eingesetzt. Weil ich da immer auf dem möglichst aktuellen Stand sein wollte. Im Firmenumfeld bevorzuge ich die stabilen Distributionszyklen. Aber Schlussendlich ist das jedem selbst überlassen.

Was mich bei Gentoo immer gestört hat, waren die schlechte Paket- (sorry, Ebuild-) Qualität. Und die Inkonsistenz in der Philosophie. Zum einen sagte man immer, man wolle ein Linux "für Profis sein", hat danach aber die offizielle Unterstützung für Stage1 und Stage2 Installationen rausgeworfen, weil es "zu schwierig für unsere User" war.

Ich persönlich habe Gentoo immer von Stage1 aus installiert. Und dabei viel gelernt. Ich habe in einem halben Jahr Gentoo mehr gelernt, als in 2 Jahren Mandriva.

Allerdings erachte ich auch Debian nicht als eine gute Lösung für den Firmeneinsatz. Es ist so, dass die variablen Releaszyklen und die langen Entscheidungswege, sowie die etwas konservative Haltung sich nicht mit den Bedürfnissen von Firmen vereinbaren lassen. Das ist jedenfalls meine persönliche Ansicht. Wir haben begonnen, unsere Debian-Server auf Ubuntu zu migrieren. Ubuntu bietet die Vorteile von Debian (Stabilität, Package-Format etc.) verbunden mit den Möglichkeiten, anhand der stabilen Releaszyklen und langen Supportzeiten (LTS-Versionen) die längerfristige Planung zu ermöglichen.

Naja, ich sagte ja auch nicht dass Stage1 und Stage2 nicht mehr gehen. Nur, dass sie nicht mehr offiziell Unterstützt werden. Und dadurch wollte ich auf die inkonsistene Philosophie aufmerksamm machen.

Klar, Ubuntu war auch von dem Problem betroffen. Machen wir uns aber nicht vor. Es wird immer solche Probleme geben, schliesslich sind es auch nur Menschen. In BSD flicken sie derzeit Bugs die 20-30 Jahre alt sind... Auch Gentoo ist vor solchen Problemen nicht gefeit.

Und wieso bist du nun der Meinung, dass es sowas für Gentoo nicht gibt? Ich vermute mal, weil du dich nicht damit beschäftigt hast. Für Gentoo gibt es das Gentoolkit (http://www.gentoo.org/proj/en/portage/tools/index.xml) was wiederum glsa-check enthält, was wiederum genau das von dir geforderte tut. Damit zählt Gentoo dann wohl doch zu den "vernünftigen Distributionen". Man hätte sich natürlich vorher informieren können.. aber naja.

Nehmt doch einfach den Windows Home Server und aktiviert automatische Windows Updates, am nächsten Morgen startet ihr die Karre neu und schon habt ihr alles schön sicher und aktuell.

Bei djbdns hat man keine Views, braucht man aber auch nicht.

> Bei djbdns hat man keine Views, braucht man aber auch nicht.

Bei der Trennung Resolver Authoritative Server stimmt das. Da sind aber auch bei BIND keine Views nötig. Interessant ist es doch, wenn der Nameserver für intern und extern ein Resolver und/oder Authoritative Server sein soll, mit jeweils einigen wechselnden aber vielen gleichen Daten. Da sind Views schon sehr hilfreich, zumal der Datenbestand dabei nur ein einziges mal geführt werden muss.

Wie wird das bei djbdns (bzw. konkret tinydns und dnscache) gelöst? Richtig, mehrere Instanzen an verschiedenen Interfaces mit unterschiedlichen Datendateien laufen lassen. Also muss man die Informationen redundant führen.

Oder übersehe ich etwas? Ich bin kein djbdns Nutzer, habs nur "früher" mal evaluiert, daher bin ich für Aussagen wie "du redest Müll" (vielleicht etwas gesitteter ) dankbar.

Nachdem zum ewigen "Kompilieren und Abhängigkeiten nachziehen" oben ja schon einiges gesagt wurde, gebe ich jetzt trotzdem noch meinen Senf dazu:

Ich bin großer Gentoo Freund, privat kommt mir kein anderes Linux auf die Rechner (Desktop, Laptop und Server), aber in der Firma würde ich das nicht einfach so tun, dort setze ich auf CentOS. Mit einem guten Konzept kann ich mir aber durchaus vorstellen, auch Gentoo auf Produktivsystemen einzusetzen. Voraussetzung: Compilehosts, auf denen fertige Binärpakete gebaut werden, die Liveserver sollten (wenn das überhaupt unter Gentoo möglich ist, noch nicht versucht) ohne Compiler aufgesetzt werden. Auf QA-Maschinen werden alle Updates getestet, bevor sie "live" gehen.

Problem bei Gentoo: Gentoo ist eine rolling-update Distribution, wenn man einzelne Updates nicht nachzieht, ist evtl. später ein Sicherheitsfix nicht oder nur mit viel Aufwand möglich. Beispiel: Update von perl oder python, Update des GCC und der glibc - das kann schonmal in "revdep-rebuild" oder "perl-updater" Orgien ausarten.

@Manuel: Auch Gentoo baut in den Source der Maintainer einiges an Patches ein, darunter sind m.W. auch durchaus Patches aus dem Debianumfeld - der Einwand gilt also nur bedingt.

Ich bevorzuge privat ebenfalls Gentoo, aber habe lange gezögert, es auch auf dem Server einzusetzen. Auf unserem neuen Server bei Manitu läuft es dennoch. Warum? Weil Ubuntu nach einem Update auf 8.04 nicht mehr mit der r8169-Netzwerkkarte im System klar kommt. Scheinbar denkt das System, dass das Netzwerkkabel nicht angeschlossen sei und weigert sich deshalb, das Ding zu aktivieren (im direkten Vergleich der dmesg-Ausgaben zum vorherigen System fehlt der "eth0: link up"-Eintrag). Eine Fehlerbehebung konnte ich nicht finden. Es gibt zwar einen Patch für den 8168er-Chipsatz, aber für den 8169 ist der einzige Workaround "Boote Windows und stelle 'Wake on Lan' ein - dann klappts". Und auf solchem Niveau sind die Hilfestellungen bei Ubuntu leider öfters...

Unter Gentoo lief das Ding auch nach einem '-Du world' und Kernel-Update out-of-the-box.

Ich las hier 'emerge -Du world' ist böse... sehe ich nicht so. Ich liebe gerade dieses stetige Updaten. Das finde ich viel besser als dieses "alle paar Jahre alles auf einen Schlag", denn die Fehlerquellen bleiben eher lokal und man muss nicht jedesmal das ganze System hinterher durchchecken. Wobei Fehler nach meiner mehrjährigen Desktoperfahrung eh relativ selten sind und falls es doch welche gibt bereits nach kurzer Zeit unter bugs.gentoo.org ein neues ebuild eingestellt wird.

Ich las hier 'gcc auf dem Server ist böse'... das ist doch eher ein Berechtigungsproblem. 'chown root:portage /usr/bin/gcc* /usr/bin/include usw && chmod 750 /usr/bin/gcc* /usr/bin/include usw' und fertig (am besten noch per cron-Job, falls man es nach nem Update mal vergessen hat). Wenn ein User Dateien hochladen und ausführen darf, dann ist man ohne den gcc auch nicht besser geschützt.

Was ich an Gentoo wirklich liebe sind die USE-Flags. Damit entscheide ICH, was meine Programme können und was nicht. Das ist auch sicherheitstechnisch bedeutsamer als die Frage, ob gcc installiert ist oder nicht. Wenn ein Programm ohne Feature XY kompiliert wurde, dann brauch ich mir auch keine Gedanken machen, falls in Feature XY eine Sicherheitslücke entdeckt wurde. Außerdem die einfache Möglichkeit, "Testing-Versionen" (also mit "Keyword" maskierte) selektiv freizugeben. Und natürlich das Zusammenspiel aus beiden, was dafür sorgt, dass ich mir nach Update keine Gedanken machen muss, alle modifizierten Pakete neu zu bauen.

Natürlich führt das zu einer zusätzlichen Auslastung durch die Kompilierzeiten. Aber zumindest für mich (und wohl auch Manitu) überwiegen die Vorteile ganz deutlich die Nachteile.

Hm, der Text ist nun länger geworden als geplant

Ich komme seit gestern nicht mehr auf meinen Server - habt ihr die alten DNS abgeschaltet?

Das Dingen steht nämlich faktisch. TCP-Verbindungen werden angenommen, mehr nicht.

Kann sich auch um einen Zufall handeln

Also ich habe wegen dem sinnlos grossen Wartungsaufwand alle Gentoo Systeme entsorgt, aber jedem das seine... Ich will nicht täglich irgendwelche Configfiles und tools die diese generieren umbauen weil wieder irgend eine Software in der absolut neusten Version ausgeliefert wird. Da habe ich es ehrlichgesagt lieber wenn ich wie bei Debian ein paar Jahre die selbe Version mit sicherheitsupdates benutzen kann. Wenn mir oder dem Kunden die mitgelieferte Version nicht passt, kann ich immer noch selber Pakete bauen.