Freitag, 18. Juli 2008, 14:03
Neue DNS-Server
Wir haben heute unsere beiden neuen DNS-Server in Betrieb genommen. Die beiden DNS-Server
• dns01.manitu.net
• dns02.manitu.net
die sowohl als Recusor/Resolver/Caching-Nameserver als auch als Authoritative Nameserver laufen, sind seit einigen Stunden erfolgreich am Start.
Auch wenn beide "Arten" auf einem Server laufen, wir haben das natürlich sauber getrennt (mit BIND-Views).
Eigentlich gab es keine technische Notwendigkeit, die alten Server liefen wunderbar. Dennoch ist es ab und zu nötig, neue Systeme einzusetzen. Unter anderem laufen beide Systeme nun auf Gentoo (wir migrieren sukzessive alle Systeme, die kritisch sind, auf Gentoo).
• dns01.manitu.net
• dns02.manitu.net
die sowohl als Recusor/Resolver/Caching-Nameserver als auch als Authoritative Nameserver laufen, sind seit einigen Stunden erfolgreich am Start.
Auch wenn beide "Arten" auf einem Server laufen, wir haben das natürlich sauber getrennt (mit BIND-Views).
Eigentlich gab es keine technische Notwendigkeit, die alten Server liefen wunderbar. Dennoch ist es ab und zu nötig, neue Systeme einzusetzen. Unter anderem laufen beide Systeme nun auf Gentoo (wir migrieren sukzessive alle Systeme, die kritisch sind, auf Gentoo).
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Dominik
Manuel Schmitt (manitu)
Thomas
freggeln
Manuel Schmitt (manitu)
rae
Gentoo hat sicherlich seine Staerken - ich nutze es auch gern... auf dem Desktop. Fuer Server und andere "headless" Maschinen bevorzuge ich dennoch Debilian; das ist fuer solche Einsatzzwecke IMHO deutlich besser optimiert.
Vielleicht weiss ich auch einfach nicht, was ich tue, aber ich habe es trotz sorgfaeltigster Auswahl der USE-Flags noch nie geschafft, ein Gentoo sauber ohne X aufzusetzen, was alle gaengigen und benoetigten Funktionen eines Servers auf der Konsole bereitstellt
Thomas
rae
Manuel Schmitt (manitu)
Ich persönlich traue dem Herausgeber einer (rennomierten) Software (z.B. OpenSSH) mehr als dem Distributor oder Packager. Man siehe Debian & OpenSSL.
Das Rumcompilen dauert doch bei kaum einem Dienst etc. mehr als eine halbe Stunde. Das lasse ich als Argument nicht gelten. Fertig und binär ist bequemer, keine Frage.
Thomas
Manuel Schmitt (manitu)
ruebezahl
wenn ich jetzt "undefined symbol" sage, haut mich dann einer? SCNR.
Thomas
Manuel Schmitt (manitu)
Thomas
Manuel Schmitt (manitu)
Thomas
Bei Debian, Mandriva, Ubuntu etc. hast du explizit Channels/Sourcen mit rein nur Sicherheitsupdates für deine OS-Version.
Bei der Gelegenheit sei erwähnt, dass ich immer noch drauf warte, dass Gentoo in Portage die Gentoo-Versionen trennt. will heissen, ich will mit emerge -uD world nicht plötzlich von 2008.0 auf 2009.0 wechseln.
(Und ja, ich weiss dass es mal einen Weg gab, sich sicherheitrelevante Updates mittels GLSA anzeigen zu lassen...)
Manuel Schmitt (manitu)
Das geht doch! Genau auf dem Weg, den Du beschrieben hast. Man nehme:
$ glsa-check -l affected
und aktualisiere anhand der Liste! Siehe auch http://forums.vpslink.com/security/745-use-gentoo-glsa-check-keep-your-system-up-date.html
Manuel Schmitt (manitu)
http://www.gentoo.org/doc/en/security/security-handbook.xml?part=1&chap=14
Thomas
Manuel Schmitt (manitu)
Hast Du das mal als BUG/ENHANCEMENT reported?
Thomas
Auf meinen Workstations hab ich das auch nicht gebraucht, da hab ich immer uD world gemacht, weil ich auf dem Desktop gerne das allerneuste hatte. Und auf'm Server will/wollte ich halt nicht alles commpilen müssen.
(Und ehe wieder dieser Troll kommt. Ja ich weiss, Gentoo untertützt auch Binärpakete)
Tobias Scherbaum
Thomas
Stefan Behte
Thomas
Roger Wilco
Bei Debian und den anderen genannten Distributionen gibt es einen "Megafreeze", d. h. alle Pakete werden auf eine bestimmte Version "eingefroren" und in dieser Version über den gesamten Lifecycle der Distributionsversion gepflegt. Daher gibt es bei Debian auch prinzipbedingt eher Backports. Dieses Prinzip hat Vorteile (stabile APIs und ABIs), aber auch Nachteile ("veraltete" Software bei Release, Aufwand für Backports).
Bei Gentoo gibt es nur "rolling Releases", d. h. es gibt keine feste Distributionsversion (Gentoo 2008.0 ist nur die Version der LiveCDs und der darin enthaltenen Pakete), sondern die Distribution wird kontinuierlich erneuert. Jedes "emerge -uDN world" ist also mit einem "aptitude dist-upgrade" vergleichbar. Mit jedem "emerge --sync" gibt es eine "neue" Version von Gentoo Linux. Das hat Vorteile (aktuellere Software, kein/weniger Aufwand für Backports), aber eben auch Nachteile (im schlimmsten Fall instabile APIs und ABIs, wenn von Upstream so gewollt).
Welche Vorteile/Nachteile einem wichtiger sind, muss jeder selbst entscheiden, aber ich persönlich finde Gentoo Linux für Produktivserver durchaus geeignet. Es erfordert vom Admin manchmal einfach etwas mitzudenken, anstatt blind ein Update einzuspielen.
Thomas
Ja, die Philosophie ist unterschiedlich. Und ja, jeder muss selber Entscheiden was er will. Auf der privaten Workstation habe ich genau aus dem Grund lange Gentoo eingesetzt. Weil ich da immer auf dem möglichst aktuellen Stand sein wollte. Im Firmenumfeld bevorzuge ich die stabilen Distributionszyklen. Aber Schlussendlich ist das jedem selbst überlassen.
Was mich bei Gentoo immer gestört hat, waren die schlechte Paket- (sorry, Ebuild-) Qualität. Und die Inkonsistenz in der Philosophie. Zum einen sagte man immer, man wolle ein Linux "für Profis sein", hat danach aber die offizielle Unterstützung für Stage1 und Stage2 Installationen rausgeworfen, weil es "zu schwierig für unsere User" war.
Ich persönlich habe Gentoo immer von Stage1 aus installiert. Und dabei viel gelernt. Ich habe in einem halben Jahr Gentoo mehr gelernt, als in 2 Jahren Mandriva.
Allerdings erachte ich auch Debian nicht als eine gute Lösung für den Firmeneinsatz. Es ist so, dass die variablen Releaszyklen und die langen Entscheidungswege, sowie die etwas konservative Haltung sich nicht mit den Bedürfnissen von Firmen vereinbaren lassen. Das ist jedenfalls meine persönliche Ansicht. Wir haben begonnen, unsere Debian-Server auf Ubuntu zu migrieren. Ubuntu bietet die Vorteile von Debian (Stabilität, Package-Format etc.) verbunden mit den Möglichkeiten, anhand der stabilen Releaszyklen und langen Supportzeiten (LTS-Versionen) die längerfristige Planung zu ermöglichen.
Roger Wilco
Es kommt auf die Maintainer bzw. die entsprechende Herd an. Es gibt durchaus Pakete bzw. Paketfamilien mit guter QA, aber die ist eben nicht durchgängig für alle Ebuilds vorhanden.
> Und die Inkonsistenz in der Philosophie. Zum einen sagte man immer, man wolle ein Linux
> "für Profis sein", hat danach aber die offizielle Unterstützung für Stage1 und Stage2
> Installationen rausgeworfen, weil es "zu schwierig für unsere User" war.
Installationen von Stage 1 oder 2 aus sind immer noch möglich. Die entsprechenden Archive liegen auf den Servern und werden mit den Stage 3 Archiven aktualisiert. Es wird nur nicht mehr explizit in der Dokumentation (in der FAQ hingegen schon) darauf eingegangen, weil Stage 1 oder 2 spätestens nach dem ersten "emerge --sync && emerge -uDN world" keinen Vorteil mehr gegenüber einer Stage 3 Installation haben. Wer Gentoo aus Stage 1 oder 2 installieren will, kann das weiterhin tun.
> Wir haben begonnen, unsere Debian-Server auf Ubuntu zu migrieren. Ubuntu bietet die
> Vorteile von Debian (Stabilität, Package-Format etc.) verbunden mit den Möglichkeiten,
> anhand der stabilen Releaszyklen und langen Supportzeiten (LTS-Versionen) die
> längerfristige Planung zu ermöglichen.
Leider bietet Ubuntu (ebenfalls mit LTS) auch die Nachteile von Debian. So war Ubuntu bspw. auch von dem OpenSSL/OpenSSH-Debakel (wenn man es so nennen will) betroffen, weil die Pakete von Debian fast unverändert genutzt wurden. Außerdem würde mich die Politik bzgl. Sicherheitsunterstützung stören. Pakete in "Universe" erhalten keine offizielle Sicherheitsunterstützung, aber gerade in diesem Repository sind viele Pakete, die man auf Web-/Mail-/Whatever-Servern eigentlich gerne benutzen würde...
PS: Wow, die Kommentarkennung läuft langsam aus dem Ruder...
Thomas
Klar, Ubuntu war auch von dem Problem betroffen. Machen wir uns aber nicht vor. Es wird immer solche Probleme geben, schliesslich sind es auch nur Menschen. In BSD flicken sie derzeit Bugs die 20-30 Jahre alt sind... Auch Gentoo ist vor solchen Problemen nicht gefeit.
Thomas
Tom
Thomas
Martin
Bei djbdns hat man keine Views, braucht man aber auch nicht.
Thomas
Roger Wilco
Bei der Trennung Resolver Authoritative Server stimmt das. Da sind aber auch bei BIND keine Views nötig. Interessant ist es doch, wenn der Nameserver für intern und extern ein Resolver und/oder Authoritative Server sein soll, mit jeweils einigen wechselnden aber vielen gleichen Daten. Da sind Views schon sehr hilfreich, zumal der Datenbestand dabei nur ein einziges mal geführt werden muss.
Wie wird das bei djbdns (bzw. konkret tinydns und dnscache) gelöst? Richtig, mehrere Instanzen an verschiedenen Interfaces mit unterschiedlichen Datendateien laufen lassen. Also muss man die Informationen redundant führen.
Oder übersehe ich etwas? Ich bin kein djbdns Nutzer, habs nur "früher" mal evaluiert, daher bin ich für Aussagen wie "du redest Müll" (vielleicht etwas gesitteter ) dankbar.
Martin
dnscache ist nicht mehr als ein caching dns server, wie der Name schon sagt
Ist natürlich richtig, dass der dnscache für die eigenen Domains, den tinydns abfragen muss, aber ob das jetzt ins Gewicht fällt?!
Sehr einfaches Konzept, sehr einfache Konfiguration, kiss...
Ja, ich nutze auch qmail.
el*Loco
Ich bin großer Gentoo Freund, privat kommt mir kein anderes Linux auf die Rechner (Desktop, Laptop und Server), aber in der Firma würde ich das nicht einfach so tun, dort setze ich auf CentOS. Mit einem guten Konzept kann ich mir aber durchaus vorstellen, auch Gentoo auf Produktivsystemen einzusetzen. Voraussetzung: Compilehosts, auf denen fertige Binärpakete gebaut werden, die Liveserver sollten (wenn das überhaupt unter Gentoo möglich ist, noch nicht versucht) ohne Compiler aufgesetzt werden. Auf QA-Maschinen werden alle Updates getestet, bevor sie "live" gehen.
Problem bei Gentoo: Gentoo ist eine rolling-update Distribution, wenn man einzelne Updates nicht nachzieht, ist evtl. später ein Sicherheitsfix nicht oder nur mit viel Aufwand möglich. Beispiel: Update von perl oder python, Update des GCC und der glibc - das kann schonmal in "revdep-rebuild" oder "perl-updater" Orgien ausarten.
@Manuel: Auch Gentoo baut in den Source der Maintainer einiges an Patches ein, darunter sind m.W. auch durchaus Patches aus dem Debianumfeld - der Einwand gilt also nur bedingt.
Manuel Schmitt (manitu)
Cybso
Unter Gentoo lief das Ding auch nach einem '-Du world' und Kernel-Update out-of-the-box.
Ich las hier 'emerge -Du world' ist böse... sehe ich nicht so. Ich liebe gerade dieses stetige Updaten. Das finde ich viel besser als dieses "alle paar Jahre alles auf einen Schlag", denn die Fehlerquellen bleiben eher lokal und man muss nicht jedesmal das ganze System hinterher durchchecken. Wobei Fehler nach meiner mehrjährigen Desktoperfahrung eh relativ selten sind und falls es doch welche gibt bereits nach kurzer Zeit unter bugs.gentoo.org ein neues ebuild eingestellt wird.
Ich las hier 'gcc auf dem Server ist böse'... das ist doch eher ein Berechtigungsproblem. 'chown root:portage /usr/bin/gcc* /usr/bin/include usw && chmod 750 /usr/bin/gcc* /usr/bin/include usw' und fertig (am besten noch per cron-Job, falls man es nach nem Update mal vergessen hat). Wenn ein User Dateien hochladen und ausführen darf, dann ist man ohne den gcc auch nicht besser geschützt.
Was ich an Gentoo wirklich liebe sind die USE-Flags. Damit entscheide ICH, was meine Programme können und was nicht. Das ist auch sicherheitstechnisch bedeutsamer als die Frage, ob gcc installiert ist oder nicht. Wenn ein Programm ohne Feature XY kompiliert wurde, dann brauch ich mir auch keine Gedanken machen, falls in Feature XY eine Sicherheitslücke entdeckt wurde. Außerdem die einfache Möglichkeit, "Testing-Versionen" (also mit "Keyword" maskierte) selektiv freizugeben. Und natürlich das Zusammenspiel aus beiden, was dafür sorgt, dass ich mir nach Update keine Gedanken machen muss, alle modifizierten Pakete neu zu bauen.
Natürlich führt das zu einer zusätzlichen Auslastung durch die Kompilierzeiten. Aber zumindest für mich (und wohl auch Manitu) überwiegen die Vorteile ganz deutlich die Nachteile.
Hm, der Text ist nun länger geworden als geplant
Andreas
Interessiert mich deswegen, weil wir vor kurzem einen Bind mit LDAP hochgezogen haben und das skaliert bisher sehr gut. Aber ein so großes Umfeld wie bei euch steht uns noch nicht zur Verfügung
Grüße
Andreas
philipp
Das Dingen steht nämlich faktisch. TCP-Verbindungen werden angenommen, mehr nicht.
Kann sich auch um einen Zufall handeln
Stefan Behte
Ich mache sowas so: alle Maschinen mit gleichen USE-Flags laufen lassen, lokalen rsync Mirror aufsetzen, VM-Testmaschine in gleicher Config wie die echten Maschinen laufen lassen, diese zuerst updaten, danach alle Maschinen gegen den Mirror syncen, Updates genauso wie auf der Test-VM fahren, fertig. Nach Wunsch ggfs. mit Binarrepository. Updates werden nur gemacht, wenn sie nötig sind, nicht um des Updaten willens (so langweilig ist mir nicht).
Es ist übrigens sehr selten, dass Updates bewirken, dass eine Software nicht mehr läuft und mittlerweile warnt Gentoo i.d.R. auch ausdrücklich vor sowas.
Bei Sicherheitspatches werden übrigens auch die älteren Ebuilds gefixt oder sonst ggfs. (hart-)maskiert.
Meine Aussagen basieren auch nicht Hörensagen, wie scheinbar leider viele von den übrigen Beiträgen oben, ich habe Gentoo privat seit 2003 im Einsatz und seit ein paar Jahren auch professionell.
Wenn man weiß, was man tut, ist Gentoo auch im Standard-Unternehmenseinsatz gut geeignet, grade in Hinsicht auf Sicherheitsupdates.
Urs
Mike Adolphs
Und bzgl. der Config File-Update-Manie... dispatch-conf ist Dein Freund. Genauso wie "for i in abc; do xyz; done".
Aber es ist wie bei Allem. Man muss sich damit auskennen oder sich tiefergehend befassen. Gentoo ist keine Distribution, die einem "zugeflogen" kommt.