|
Hey, mich würde mal interessieren, wie ihr den Einsatz von Gentoo auf einem Webserver, oder allgemein auf einem public Server seht? Ich persönlich halte Gentoo für absolut genial(im privaten Einsatz), würde aber auf einem Produktionssystem Debian den Vortritt lassen. Ich glaube eine stabilere Linux Distro als Debian findet man wohl kaum(könnte sich MS ruhig mal anschauen ;) ) Ich würde nur gerne im privaten Gebrauch die selbe Distro verwenden, wie im Produktionseinsatz. Da ist leider auch wieder der Haken eines Debians. "stable" ist einfach zu "alt" und ein gemischtes System(stable,unstable,testing) soll Probleme mit sich bringen(Abhängigkeiten der einzelnen Pakete). Weiß jemand Rat? Besten Dank im Voraus! grüssle |
YAW und a² Server sind Gentoo Server und durchweg stabil - sogar mit ~x86 ;) . Letztlich bringt ein Gentoo System gegenüber Debian auch auf Servern einen enormen Performance Gewinn - insbesondere MySQL (was insbesondere bei a² wichtig ist) profitiert enorm von SSE etc. . Man sollte allerdings nachschauen vor glibc, baselayout und gcc updates obs da irgendwo probleme gibt ;) . Dagegen sind Fehler bei den Servern an sich extrem selten. Das einzige was mir einmal passiert ist war nach nem qmail update das ich - dumm wie ich bin - die Konfiguration überschrieben hab ;) . |
</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak·: Man sollte allerdings nachschauen vor glibc, baselayout und gcc updates obs da irgendwo probleme gibt ;) . Dagegen sind Fehler bei den Servern an sich extrem selten. Das einzige was mir einmal passiert ist war nach nem qmail update das ich - dumm wie ich bin - die Konfiguration überschrieben hab ;) . </font>[/QUOTE]Genau in diese Richtung gehen auch meine Befürchtungen. Kann mich noch zu gut an meine letzten Optimierungen erinnern... [img]graemlins/heulen.gif[/img] Testest Du vorher Deine gesamte Config lokal(selbe Versionen, selbe Flags, selbe Einstellungen)? Speziell bei nem emerge -u system, könnte das ja mal böse enden(downzeiten)... :confused: Danke nochmals! PS: Benutzt Du die Vanilla Sources? Ich persönlich find die Gentoo-Sources ein bissel overloaded. |
Vanilla Source - natürlich kein modularer Kernel um Kernel Rootkits auszuschließen. Testen tu ich im Vorfeld nicht. Aber die Optimierung ist relativ bescheiden. Sieht so aus bei mir: CFLAGS="-march=pentium4 -O3 -pipe -fmerge-all-constants -mfpmath=sse -fomit-frame-pointer" CXXFLAGS="${CFLAGS}" Die Flags gelten imho als Safe. Meine USE Flags sehen so aus - allerdings wird das von Server zu Server unterschiedlich sein: USE="apache2 gd imap maildir mysql php sse -oss -3dnow -apm -arts -avi -crypt -cups -encode -foomaticdb -gpm -gtk -java -kde -gnome -libg++ -mad -mikmod -motif -mpeg -ncurses -nls -oggvorbis -opengl -pdflib -qt -quicktime -sdl -slang -spell -svga -tcpd -X -xmms -xv -gdbm -readline -ssl -perl -python" Evtl. wäre für Dich SSL interessant und Crypt - für mich nicht, weil ichs nicht verwende [img]smile.gif[/img] . |
</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak·: Vanilla Source - natürlich kein modularer Kernel um Kernel Rootkits auszuschließen. </font>[/QUOTE]Sorry das ich mich gerade mal in euren Thread einklinke, wie kann man erkennen ob ein rootkit installiert wurde? Und ich selber würde Debian für Server empfehlen. Ich finde die irgendwie besser. Björn |
Wenn das Rootkit gut ist ... gar nicht *fg*. |
@Lucky: Gibt es spezielle Gründe warum Du Debian für Server empfiehlst? Speziell contra Gentoo? @Andreas: Mit dem nicht modularen-Kernel hab ich mal ne Frage: Es gibt das Tool Kinsmod.c, welches die LKM Unterstützung wieder aktiviert. Gibt es mittlerweile Maßnahmen die man dagegen ergreifen kann? Besten Dank grüssle |
Also Debian soll auf Stabilität und Sicherheit ausgelegt sein. Manchmal ärger ich mich warum nicht endlich ein Programm die Stable Version bekommt, die man auf der HP runterladen kann. z.B. Squid. Klar ich könnte die Version aus dem Testing oder Unstable Tree nehmen, aber das finde ich nicht gut, da der Server als Gateway eingesetzt wird. Oder vor ein paar Wochen gab es eine Reihe von Sicherheitslücken in OpenSSH. Bei Debian hat man am selben Tag noch eine eMail bekomme, sofern man in dem Sicherheitsnewsletter eintragen ist, das ein Update vorliegt. Dann macht man einmal "apt-get update" und "apt-get upgrade" und fertig ist das Update. Und das mag ich so an Debian. Bei Gentoo gibt es auch so was änliches nennt sich "emerge", aber da wird immer von den Quellen her compiliert, was dementsprechen lange dauert, und das finde ich für einen Server der im Betrieb upgedatet werden muss/soll nicht gut. Meine Meinung. [img]smile.gif[/img] Björn |
>Oder vor ein paar Wochen gab es eine Reihe von >Sicherheitslücken in OpenSSH. Bei Debian hat man >am selben Tag noch eine eMail bekomme, sofern man >in dem Sicherheitsnewsletter eintragen ist, das >ein Update vorliegt. Dann macht man einmal >"apt-get update" und "apt-get upgrade" und fertig >ist das Update. Das Gentoo Update war innerhalb von 30 Minuten nach Veröffentlichung der Patches online. emerge rsync emerge -uD world fertig. >Und das mag ich so an Debian. Bei Gentoo gibt es >auch so was änliches nennt sich "emerge", aber da >wird immer von den Quellen her compiliert, was >dementsprechen lange dauert, und das finde ich >für einen Server der im Betrieb upgedatet werden >muss/soll nicht gut. Wieso? |
Ich weiß nicht, ich mags einfach nicht. [img]smile.gif[/img] Björn :D |
Ist ja nicht so das der Server offline wäre. Der rennt ja weiter während des compilierens. Wenn er fertig ist einmal den Server restarten und das wars - und das ist bei apt-get auch notwendig ;) . Sicherleich ist das compilieren zeitaufwendiger, aber für 20 - 50% mehr Leitung nehm ich die paar Mehrstunden gerne in Kauf [img]smile.gif[/img] . |
</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak·: Wenn er fertig ist einmal den Server restarten und das wars - und das ist bei apt-get auch notwendig ;) . </font>[/QUOTE]Also das einzigste was apt-get nach dem Update vom OpenSSH neugestartet hatte, war der SSHD... Nix mit Server neustarten... Björn :D |
Server = Server Dämon [img]smile.gif[/img] . Sorry das ich Mitdenken vorrausgesetzt habe ... . [ 15. Dezember 2003, 20:40: Beitrag editiert von: Andreas Haak· ] |
... Ich seh nen Dämon nicht als Server sondern als Dienst. naja egal jeder wie er mag, den letzten Teil deiner aussage hätteste dir sparen können.... Björn [ 15. Dezember 2003, 20:48: Beitrag editiert von: Lucky ] |
omg... dir ist schon klar, dass andreas mit server einen dienst gemeint hat (engl.: to serve = dienen). und ein dienst im hintergrund läuft als daemon (nicht dämon) - bei den bsd'lern wärst für die bemerkung schon unten durch... *dg* ausserdem hat gentoo genauso ein security team (wie schnell, das hat andreas bereits treffend bemerkt). und - sei mal ehrlich - was ist schneller verfügbar: ein patch der community, der nur eingebunden werden muss, oder ein (debian)paket, dass erst gebaut werden muss. solange du bei debian beim "standard" bleibst, und auf aktuelle pakete verzichten kannst, ist hat debian seine daseinberechtigung. sobald du aber spezialfeatures[1][2] brauchst und kompilieren musst, um diese zu bekommen, da ziehe ich gentoo vor, denn dort kann ich mir sicher sein, dass trotz kompilierung eine security-pflege durchgeführt wird. eine config kann man auch in debian zusammenschiessen (auch dort wirst du gefragt was du tun willst). besser gelöst bei gentoo: die alte config-datei bleibt bestehen und hat gültigkeit, und erst mit etc-update kannst du diese anpassen. bei debian _musst_ du handeln, ansonst kommst du nicht weiter... und da passieren IMO wesentlich mehr fehler, als wenn man sich zeit lassen kann und in ruhe vergleichen kann. der zeitfaktor spielt bei den heutigen prozessorleistungen eine untergeordnete rolle (aber zur beruhigung, auch meinem 266er notebook hat gentoo gefallen). bei meinem arbeitgeber setzen wir verstärkt auf gentoo (ok, bin dran nicht ganz unschuldig :cool: ) - sowohl server- wie auch desktop-seitig. [img]graemlins/teufel3.gif[/img] [1] mailserver mit mysql-authentifizierung, ausgelegt für virtual hosting, als beispiel *g* [2] ok, nicht so hochgegriffen: serverseitige gif-unterstützung (hat/hatte eine lizenzpflichtige kompression) [ 15. Dezember 2003, 20:55: Beitrag editiert von: n_dot_force ] |
ok ich gib mich geschlagen... :| Björn :| |
Hallo und danke für die vielen Antworten, also so wie es ausschaut werde ich wohl auf Gentoo setzen (Gott sei Dank [img]smile.gif[/img] ). @n_dot_force: Hast Du ein paar Tipps für den Betrieb auf einem Webserver(also nichts allgemeines, sondern gentoo-spezifisch)? Danke... PS: Ich war nur durch das Vorurteil "Gentoo sei nichts für Server" verunsichert gewesen. Bisher liefen meine Desktop PC's mit Gentoo auch immer stabil(mal abgesehen von meinen Fehlern ;) ). Weiß jemand woher das stammt? Ich bin ja bei Gentoo auch nicht gezwungen immer die neueste Version zu mergen. |
viel spezifisches gibt es nicht - das, was du reinkompilieren willst (ldap-authentifizierung z.b.) teilst du gentoo eh durch setzen der useflags mit (am einfachsten gehts mit ufed, dass du eh kennen wirst). wenn du module einschalten willst (die installiert sind *g*), dafür gibts zusätzlich zu den apache-eigenen httpd.conf (hier: apache.conf) in /etc/conf.d/ die config-dateien apache und apache2 wenn du viel mit php machen willst, empfehle ich den einsatz von apache - die apache2-unterstützung ist zwar da, aber noch nicht so ausgereift wie die vom apache. was performance anbelangt, empfehle ich dir die ausgabe 01/2004 des linux-magazines, dort ist ein interessanter artikel zum thema apache/apache2 in verbindung mit performance. ansonst ist der doku-bereich von www.gentoo.org sowie von forums.gentoo.org auch eine gute anlaufstelle. interessantes allgemein ist: http://www.gentoo.org/doc/en/gentoo-security.xml (allgemeine tips zur erhöhung der sicherheit) http://forums.gentoo.org/viewtopic.php?t=86629 (hier ist der erste link sehr interessant - apache in einem chroot) es gibt wenig gentoo-spezifisches, es ist meist allgemein gültig und einsetzbar. [img]graemlins/teufel3.gif[/img] |
Danke! Aber woher das Vorurteil von wegen "Gentoo sei nichts für Server" kommt weißt Du nicht reinzufällig? Würd mich echt interessieren, ob es da in früheren Versionen Probleme gab, oder ob das mehr an den Usern liegt die immer die neuesten Pakete mergen? Grüssle |
woher es kommt, kann ich nicht direkt sagen... ich schätze mal das viele wie lucky denken und meinen, dass kompilieren am server nicht gut sei (bei den heutigen maschinen ist das kein problem, selbst ein 500er kompiliert recht flott). es stimmt, gentoo ist eine vergleichsweise junge distribution, und in früheren versionen (wo es nur stable und masked gab) kamen fehler vor. aber seit der einführung der stable/unstable/masked-pfade (schon seit den rc's von 1.4) ist es IMO recht zuverlässig und sehr stabil geworden, und es wird seitens gentoo auch besonders wert darauf gelegt - genauso wie auf den aspekt sicherheit. aber man bedenke, dass auch debian nicht unbedingt immer stabil sein muss (stichwort: sasl/sasl2 in kombi mit sendmail *g*) vielen ist gentoo unbekannt, haben vielleicht schon seit jahren stabile server und wollen (oder können) diese nicht changen (hat auch ein wenig mit lobbyismus zu tun). aber die zunehmende anzahl an gentoo-servern (z.b. www.munich.net, die dedicated server auf gentoo-basis anbieten) wird hoffentlich dazu beitragen, dem von dir genannten vorurteil entgegenzuwirken. [img]graemlins/teufel3.gif[/img] |
Danke [img]smile.gif[/img] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board