Gentoo als Server-Betriebssystem

Lesenswerte Artikel, Anleitungen und Diskussionen
andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Gentoo als Server-Betriebssystem

Post by andreask2 » 2004-01-28 01:27

Hallo!

Vorab, ich habe jetzt schon einiges im Archiv gelesen und oft gelesen dass man im Archiv nach entsprechenden Diskussionen suchen soll, aber bisher habe ich keine wirklich erschöpfende Diskussion gefunden, die meine Fragen beantwortet, daher eröffne ich hier einen eigenen Thread.

Ich habe vor auf einem 1und1 root-server mein aktuelles RedHat 7.3 gegen ein anderes Linux oder BSD zu ersetzen.
Auf dem Server läuft ein Apache mit mod_php und mod_ssl und PostgreSQL , es soll nur eine Web-Applikation drauf laufen.

Hierbei will ich mich zwischen folgenden entscheiden:

* Fedora
* Debian
* Gentoo
* FreeBSD

Ich denke dass FreeBSD das beste[tm] Betriebssystem für diesen Zweck ist, und ich mag das Konzept von FreeBSD am meisten. Nur leider habe ich noch wenig Erfahrung mit FreeBSD, und die Installation auf einem root-server ist nicht gerade trivial, eben weil man aus einer Linux-Umgebung nicht direkt chrooten kann (ich verstehe gar nicht wieso Anbieter wie 1und1 das nicht direkt anbieten). Also will ich mich auf die genannten Linux-Distributionen beschränken.

Was mir an Fedora nicht gefällt ist dass es von RedHat irgenwie als Spielwiese zum testen neuer Technologien betrachtet wird, das sagen die sogar selber. Auch habe ich noch nicht so viel Vertrauen in die Fedora-Community. Darüber hinaus gefällt mir RPM nicht wirklich, wenn es auch mit apt-rpm erträglicher ist, aber nicht wirklich vergleichbar mit Portage. Vor allem habe ich hier zu wenig Einfluss auf die Pakete, so dass ich z.B. den Apachen grundsätzlich selber aus den original-Sourcen kompiliert habe, um den entsprechend anzupassen. Aber das ist natürlich nicht so schön wenn diese Software nicht vom package-System abgedeckt ist.
Vorteil wäre zumindest dass man direkt von den Security-Patches durch die RedHat Entwickler profitiert.

Die meisten empfehlen ja Debian, aber ich persönlich mag den Ansatz von Gentoo lieber. Ich empfinde Gentoo als eine sehr schlanke, aufgeräumte Distribution, mit der man sich zwangsweise recht gut auskennen muss weil man es sonst gar nicht erst installiert bekommt :)
Das ist gerade bei Fedora z.B. ganz anders. zudem hat Gentoo den IMHO besten Packet-Manager, auch wenn das nicht das Kriterium sein sollte, aber es ist für den Alltag schon recht angenehm.

Ich verstehe die so oft geäußerten Vorbehalte gegen Gentoo auch nicht wirklich.

"Ã?berzüchtete Kernel...", natürlich nehme ich auf dem Server nicht die gentoo-sources, und auch keinen anderen Schnickschnack. Ich plane bisher eigentlich die Vanilla-Sources zu nehmen, da die wohl sehr stabil laufen und ich grundsätzlich kein so großer Freund der ganzen "Patch-Orgien" bin.
Und ich weiß auch nicht ob man alle möglichen Security-Features von gs oder hardened... braucht, wenn "normale" Anwender sowieso nur Zugriff über den Webserver bekommen, halt im Rahmen der Web-Applikation.
Ich denke wenn man originale Sourcen nimmt, die Dienste, Rechte... alles wirklich sauber und "minimalistisch" konfiguriert (minimalistisch in dem Sinne wie so wenig Rechte wie möglich, so wenig Dienste/Software/Module/offene Ports... wie möglich), dann sollte doch auch oder gerade mit gentoo ein wirklich stabiles und sicheres System möglich sein, oder? Z.B. gibt es auch bei gentoo ein "Gentoo Linux Security Advisory", und auch wenn gentoo die Lücken nicht selber patcht, ich finde es gar nicht das dümmste sowas den Autoren der Software zu überlassen, denn das sind sicher nicht Inkompetentesten die sowas machen könnten. Schlechte Patches verusachen ggfs. andere Probleme.

Dann hört man andauernd "überoptimierte" Compilerflags..." - ja -_ich_ setze die Flags, und ich setze sicher nicht die wie jemand der die letzten 0,002% um alles in der Welt aus dem Rechner rausprügeln will und sich wundert warum es hinterher langsamer ist als vorher.
Dagegen ist es bekannt dass Distributionen wie Suse nicht gerade zimperlich mit dem Setzen von aggressiven Compilerflags sind.

Dann hört man immer wieder "um jeden Preis instabile, aktuellste Versionen...", das kann ich auch nicht wirklich nachvollziehen. Wenn ich mir meinen Portage-Tree so ansehe, dann kommt das durchaus oft vor dass dort ebuilds für topaktuelle Pakete drin sind, aber die beim emergen standardmäßig verwendeten sind etwas ältere und gut getestete Versionen.

Z.B. bei PostgreSQL. Da ist im Portage-Tree auch die neueste Version 7.4.1, aber wenn ich "emerge postgresql" mache wird 7.3.5 installiert, welche als sehr stabil gilt. IMHO muss man hier die Konzepte auseinander halten. Es ist was anderes wenn man die originalen Sourcen verwendet, als wenn man an den Versionen ohne Ende herumpatcht, alles mögliche backportet, usw.

Also bisher habe ich auch in diesem Forum wenig gefunden was _gegen_ Gentoo als Server-OS spricht, sondern zumeist nur Vorurteile. Am Ende ist es doch immer noch Linux, und IMHO kommt es vor allem drauf an dass man gut damit zurechtkommt, sich auskennt und es ordententlich konfiguriert. Natürlich gehört auch das zur Verfügung stellen von Patches dazu... aber ich sehe nicht wo es da bei Gentoo Probleme geben würde.

Manche mögen Gentoo als "kurzlebigen" Trend sehen, naja aber die Gentoo-Community wächst sehr schnell, AFAIK ist es schon die 4. größte Community. Gentoo ist wunderbar dokumentiert und hat ein wunderbares Forum wo so ziemlich alle Fragen in kürzester Zeit kompetent beantwortet werden, also was will man mehr?


Viele Grüße
Andreas
Last edited by andreask2 on 2004-01-28 04:55, edited 2 times in total.

fritz
Systemtester
Systemtester
Posts: 1430
Joined: 2002-04-23 20:12
Location: Lehrte / Hannover

Re: Gentoo als Server-Betriebssystem

Post by fritz » 2004-01-28 04:34

andreask2 wrote:Ich denke dass FreeBSD das beste[tm] Betriebssystem für diesen Zweck ist, und ich mag das Konzept von FreeBSD am meisten. Nur leider habe ich noch wenig Erfahrung mit FreeBSD, und die Installation auf einem root-server ist nicht gerade trivial, ......
Hi Andreas,
ich habe nicht alles aufmerksam gelesen, und es werden sich sicher noch Gentoo-Fans melden. Aber ich wollte nur sicherstellen, dass Du zum Thema BSD erfährst, dass einige hier erfolgreich FreeBSD installiert haben
http://bsdboys.net/howto.txt

Was Gentoo angeht, sind die Vorurteile, die Du gelesen hast (fast) alle veraltet. Die Gentoo-'Gegner' und Kritiker sind fast völlig ausgestorben, bzw haben sich inzwischen eines Besseren belehren lassen, es als Alternative nicht um jeden Preis zu verwerfen :lol:

Gruss Fritz

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Gentoo als Server-Betriebssystem

Post by andreask2 » 2004-01-28 04:51

Hallo Fritz!

Das howto kenn ich (hab ich hier über das Archiv gefunden), nur ist mir das ehrlich gesagt doch ne Spur zu abenteuerlich ;-)

OK, ich habe zwar unbegrenzte Versuche, aber Debian oder Gentoo kann man ja fast Handbuch-mäßig installieren. Das ist sicher auch unproblematischer _wenn_ ich mal Mist baue und...

Und zum Thema Gentoo-Fans - dessen Meinung kenn ich, aber das kommt jetzt ein bisschen so rüber als sein das Freaks die Gentoo für das 8. Weltwunder halten und keine Gottheit daneben akzeptieren ;-)

Hier sind die meisten Leute ja eher Gentoo-kritisch, und vielleicht können die mich ja davon überzeugen dass Gentoo vielleicht doch nicht der heiße Tipp für den Server ist, bevor ich das installiert habe.
Nur habe ich wie gesagt im Archiv keine wirklichen Argumente _gegen_ Gentoo auf dem Server finden können.

Viele Grüße,
Andreas

fritz
Systemtester
Systemtester
Posts: 1430
Joined: 2002-04-23 20:12
Location: Lehrte / Hannover

Re: Gentoo als Server-Betriebssystem

Post by fritz » 2004-01-28 05:13

andreask2 wrote:Und zum Thema Gentoo-Fans - dessen Meinung kenn ich, aber das kommt jetzt ein bisschen so rüber als sein das Freaks die Gentoo für das 8. Weltwunder halten und keine Gottheit daneben akzeptieren ;-)
Hi Andreas,

- ok , BSD abgehakt

- nochmal zum Gentoo ganz ohne :wink: Dein Eindruck, dass es hier sehr viele Gentoo-Kritiker gibt (gab), ist sicher richtig, aber es werden immer weniger, und immer mehr, die sich für Gentoo interessieren - Ich will jetzt keine Nicks aufzählen, die werden sich sicher melden, und ihre Erfahrungen mit Dir teilen. Ich weiss nicht, wen Du mit 'dessen Meinung kenn ich' meinst, aber ich meinte mit Gentoo-Fans weder Freaks noch Weltwunder oder Gottheiten, sondern positiv Ã?berzeugte / Interessierte .

Gruss Fritz

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Gentoo als Server-Betriebssystem

Post by captaincrunch » 2004-01-28 08:16

Am Ende ist es doch immer noch Linux, und IMHO kommt es vor allem drauf an dass man gut damit zurechtkommt, sich auskennt und es ordententlich konfiguriert.
Gut erkannt. Sofern du dich besser mit Gentoo als mit Distri XY auskennst: warum nicht?

Ich persönlich würde es allerdings nicht auf dem Server einsetzen, wobei ich mit Gentoo auf dem Desktop überaus zufrieden bin.

Warum dann nicht auch auf dem Server?
Verdammt gute Frage, gewisse "Vorurteile" spielen dabei sicherlich eine nicht zu verleugnende Rolle. Erschwerend hinzu kommt, dass ich (für mich persönlich) bislang noch keine bessere "Server-Distri" als Debian kennengelernt habe, bei dem ich auf die gesamten "Kompilierorgien" verzichten kann, nicht zuletzt, weil ich mich serverseitig schon viel zu sehr an den "Komfort" Debians gewöhnt habe.
Ein weiterer Grund für eine der freien Distributionen ist für mich weiterhin, dass es (weder unter Debian, noch unter Gentoo) so schnell nicht passieren wird, dass der Support innerhalb kurzer Zeit ausläuft, wie es z.B. bei SuSE oder RedHat der Fall ist.

Besonders bedingt durch die Tatsache, dass ich immer mehr in Richtung Adamantix "abgleite" (das letztendlich auf Debian basiert), sehe ich für mich auch ehrlich gesagt keinen Grund, auf Gentoo zu wechseln, denn wenn's um Sicherheit geht, kann auch gentoo-hardened nicht mit Adamantix mithalten, da letzteres das "überlegene" RSBAC nutzt. Auch diese Aussage ist aber nauch bitte nicht falsch zu verstehen, beide Projekte schätzen sich, und arbeiten z.T. auch zusammen, nur sind die "Organistoren" von gentoo-hardened mittlerweile sehr auf SELinux "festgefahren".

So, genug geschwafelt:
Sofern du dich also mit Gentoo gut auskennst, und es sich für dich warm und flauschig anfühlt, wird dich hier niemand davon abhalten, es auch auf dem Server zu nutzen. Ausreichend Gedanken dazu scheinst du dir ja zweifelsohne zu machen. ;)
Ganz nebenbei bemerkt: die Fälle, in denen bisher von Gentoo "abgeraten" wurde basierten iirc eher darauf, dass das o.g. "warme, flauschige Gefühl" halt eben nicht vorhanden war, und gewisse Leute es einfach nur aus dem Grund installieren wollen, weil sie dadurch ja automatisch total 1337 werden.

Sofern du dich also wirklich dazu durchringen solltest, dieses "Experiment" zu wagen, würde ich mich allerdings sehr über einen Erfahrungsbericht freuen.

Viel Spaß mit dem Server!
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Gentoo als Server-Betriebssystem

Post by andreask2 » 2004-01-28 10:19

Hi Fritz!

Fritz wrote:Ich weiss nicht, wen Du mit 'dessen Meinung kenn ich' meinst, aber ich meinte mit Gentoo-Fans weder Freaks noch Weltwunder oder Gottheiten, sondern positiv Ã?berzeugte / Interessierte
Ok, dann war mein Eindruck falsch, sorry ;-)

Ich dachte Du meinst die Freaks dessen Meinung man halt kennt :)


Grüße,
Andreas
Last edited by andreask2 on 2004-01-28 11:38, edited 1 time in total.

netsoul
Posts: 10
Joined: 2004-01-28 10:26

Re: Gentoo als Server-Betriebssystem

Post by netsoul » 2004-01-28 10:39

Hallo,

ich bin seit 2 Wochen auch am überlegen, ob ich eine Gentoo Installation auf dem Rootserver vornehmen soll. Zurzeit stehe ich genauso wie Du da.
D.h. ich frage mich warum es nicht mehr Gentoo Server gibt. Bei Recherchen habe ich festgestellt, dass es doch eine ganze Menge Leute gibt, die das schon erfolgreich durchgeführt haben und sehr zufrieden sind.

Oftmals liest man, dass ein Compiler nichts auf einem Rootserver zu tun hat - für mich ist das relativ hinfällig, da, wenn man root Rechte hat, auch ein apt-get install gcc in 2 3 Minuten erledigt wäre... D.h. die Sicherheit muss ganz woanders sichergestellt werden. Und das kann man mit Gentoo genauso wie mit Debian oder jedem anderen System.

Ich bin im Moment soweit, dass ich die Installation auf jeden Fall versuchen werde und mir dann selber ein Bild über usability und handling mache. Ist es zu aufwändig jedes Paket zu kompilieren, dauert es zu lange, etc.

Wenn Du Interesse hast könnte wir ja auch ein gemeinsames Install. Projekt starten und dieses dokumentieren.

Btw. im gentoo.org Forum gibt es einen Link zu einem Gentoo Server Wiki. Dort gibt es auch viele Hinweise in Bezug auf Installation und Einrichtung auf Servern.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Gentoo als Server-Betriebssystem

Post by captaincrunch » 2004-01-28 10:52

für mich ist das relativ hinfällig, da, wenn man root Rechte hat, auch ein apt-get install gcc in 2 3 Minuten erledigt wäre... D.h. die Sicherheit muss ganz woanders sichergestellt werden.
In dem Punkt muss ich dir wiedersprechen: sofern ein gcc zum Einsatz kommt, hat ein Angreifer im Normalfall noch keine Rootrechte. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Gentoo als Server-Betriebssystem

Post by andreask2 » 2004-01-28 10:56

@CaptainCrunch: Ok, das man alles selbst kompilieren muss empfinde ich nicht unbedingt als größten Vorteil, wobei ich auf so einem Server sowieso nicht einen Cronjob mit

Code: Select all

emerge -u world
anlegen würde, sondern die Security Advisories lesen, höchtens mal einen Blick in

Code: Select all

emerge -pu world
werfen und das aktualisieren was Sinn macht. Es soll ja bald auch sowas geben wie

Code: Select all

emerge -u security
was ich z.B. sehr interessant fände.
Nun ja, ich habe die ganze Installation, Konfiguration und ein paar Tests schonmal hier im eigenen LAN durchgeführt, und es hat alles ohne Probleme geklappt. Der nächste Schritt wäre eben ein öffentlich zugänglicher Root-Server, und später dann mehrere produktive Server von dieser Sorte. Und wenn ich so weit bin kann ich auch Binär-Versionen der zu aktualisierenden Pakete(tbz2) sehr einfach auf dem Testserver erzeugen, und auf den produktiven Servern eben die so erzeugten binären Pakete einspielen, ohne "Kompilierorgien" auf dem eigenen System. ;-)

Und das mit dem auslaufenden Support, ja, das hat mich sehr geärgert, weil das wirklich kurz danach rausgekommen ist, nachdem ich den Server mit RedHat 7.3 komplett eingerichtet hatte. Aber ich muss sagen dass der "support" den man z.B. im Gentoo-Forum erhält dem von RedHat oder Suse - ob Community/Mailing-Liste oder am Telefon - um Längen überlegen ist, ist zumindest meine Erfahrung. Dazu kommt dass ich in den ersten Tagen mit gentoo sicherlich mehr über das System gelernt habe als in >1 Jahr mit RedHat 7.3-9.

"Adamantix" kannte ich bisher nicht, hab es mir mal angesehen und es sieht durchaus interessant aus. Aber prinzipiell habe ich mich mit diesen Speziellen Security-Versionen - auch mit denen von Gentoo - noch nicht genügend auseinander geseetzt, dass ich es schon unbedingt einsetzen wollte. Gut, was hätte man von sowas? Es gibt Policen mit denen man Rechte für Prozesse weiter einschränken kann, es gibt ACL mit denen man ebenfalls Rechte feiner verteilen kann, man schützt sich mehr gegen Buffer-Overflows... , also irgendwie alles ein bisschen Richtung OpenBSD, oder?
Aber gut, was biete ich für Angriffsfläche um von remote angreifen zu können? Ich habe 3 Ports offen, Port 22 für openSSH, Port 443 für Apache/mod_ssl/openSSL, und noch einen Apachen mit mod_ssl unter einem anderen Port für den Administrations-Zugang für die Web-Applikation(ich verwende getrennte Apachen um die Rechte besser kontrollieren zu können). Das heißt jemand müsste eine Sicherheitslücke in einem dieser Software-Pakete ausnützen. PostgreSQL wird nur lokal über Unix-Sockets erreichbar sein. Meine Web-Applikation ist nur mit Authentifizierung zu erreichen, also bietet die Applikation an sich auch erstmal keine Möglichkeit. Gut, es könnten auch Leute sein die einen Zugang haben - wie auch immer sie daran gekommen sind. Aber das die Applikation keine Sicherheitslücken enthält, dafür ist man ja eh selbst verantwortlich.
Was IMHO Sinn machen würde, wäre die Apachen in einer chroot-Umgebung laufen zu lassen, dann wäre man selbst wenn jemand ein remote-exploit für openSSL oder so findet, noch einigermaßen sicher.

btw. http://www.gentoo.org/news/en/gwn/20040 ... #doc_chap1

Und was das "warme, flauschige Gefühl" angeht, das habe ich in der Tat ;-)

Einen Erfahrungsbericht werde ich gerne schreiben, viellleicht später hier im Thread, oder woanders, alleine deshalb weil ich hier schon so viele interessante Berichte und Anleitungen gelesen habe, die mir bei der Installation sicher helfen werden.


Viele Grüße
Andreas

netsoul
Posts: 10
Joined: 2004-01-28 10:26

Re: Gentoo als Server-Betriebssystem

Post by netsoul » 2004-01-28 11:03

CaptainCrunch wrote:
für mich ist das relativ hinfällig, da, wenn man root Rechte hat, auch ein apt-get install gcc in 2 3 Minuten erledigt wäre... D.h. die Sicherheit muss ganz woanders sichergestellt werden.
In dem Punkt muss ich dir wiedersprechen: sofern ein gcc zum Einsatz kommt, hat ein Angreifer im Normalfall noch keine Rootrechte. ;)
#

Stimmt :oops:

Ã?hm, aber ich denke der Kerngedanke ist dennoch verständlich. D.h. die Sicherheit kann nicht am nichtvorhanden sein des Kompilers festgemacht werden.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Gentoo als Server-Betriebssystem

Post by captaincrunch » 2004-01-28 11:08

Aberr ich muss sagen dass der "suppuert" den man z.B. im Gentoo-Forum erhält dem von RedHat oder Suse - ob Community/Mailing-Liste oder am Telefon - um Längen überlegen ist, ist uzmindest meine Erfahrung. Dazu kommt dass ich in den Ersten Tagen gentoo sicherlich mehr über das System gelernt habe als in >1 Jahr mit RedHat 7.3-9.
Beides kann ich nur bestätigen.
Gut. was hätte man von sowas?
Die Antwort gibst du schon selbst: es wird immer jemanden geben, der wieder eine neue Lücke in Daemon XYZ findet, und genau das ist meistens schneller passiert, als einem lieb ist. Genau dort steckt seit jeher das Problem, dass in sämtlichen bekannteren Betriebssystemen ein Wettlauf herrscht, in dem die eine Seite nach Lücken sucht und diese ausnutzt, und die Macher halt hinterherflickschustern.
Alleine daher halte ich einen proaktiven Ansatz, wie ihn Adamantix verfolgt (und was diese Distribution auch von OpenBSD abhebt (das ich übrigens auch sehr schätze ;) ) für den "richtigen" Weg.

Btw.: Eine "normale" chroot-Umgebung ist schon längst kein Garant mehr für Sicherheit, da selbst die meisten Scriptkiddies mittlerweile "breaking out of a chroot-jail" gelesen haben. ;) In dem Punkt macht eine Kombination verschiedener Techniken (wie z.B. chroot mit zusätzlichem Schutz durch GRSecurity) eher Sinn. Ist halt auch wieder proaktiv. ;)

Wie du andererseits sehr richtig festgestellt hast, erfordern solche "Hochsicherheitssysteme" eine nicht zu vernachlässigende Einarbeitungszeit. Ich persönlich halte diese aber für durchaus gerechtfertigt, nicht zuletzt, weil man so wieder um einiges mehr über das Gesamtsystem lernt.
D.h. die Sicherheit kann nicht am nichtvorhanden sein des Kompilers festgemacht werden.
Richtig. Sicherheit ist ein Konzept, und Dinge wie ein fehlender Compiler können nur ein Teil dieses Konzepts sein.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Gentoo als Server-Betriebssystem

Post by andreask2 » 2004-01-28 11:18

Hi!
CaptainCrunch wrote:
für mich ist das relativ hinfällig, da, wenn man root Rechte hat, auch ein apt-get install gcc in 2 3 Minuten erledigt wäre... D.h. die Sicherheit muss ganz woanders sichergestellt werden.
In dem Punkt muss ich dir wiedersprechen: sofern ein gcc zum Einsatz kommt, hat ein Angreifer im Normalfall noch keine Rootrechte. ;)
Naja, aber er braucht einen Terminalzugriff und entsprechende Rechte, und die muss man erstmal bekommen. Das Wichtigste ist IMHO, dass man darauf achtet dass man zum einen so wenig Dienste wie eben möglich laufen hat, so wenige wie möglich sollen einen Port öffnen und die Dienste sollen so wenig Rechte wie möglich haben. Dann muss man drauf achten dass die Dienste die noch einen offenen Port brauchen, dass die auf dem neusten Stand sind und keine Sicherheitslückem aufweisen für die es patches gibt.

Die von Dir genannten Security-Versionen schützen hier vor allem gegen Buffer-Overflows, was ich als größten Vorteil ansehen würde, der Rest schützt ja AFAIK(ich kenne mich noch nicht gut genug damit aus) vor allem gegen lokale Angreifer, und hier weiß ich nicht in wieweit man sich überhaupt dagegen schützen kann, <flame> man erinnere sich an http://www.debian.org/News/2003/20031202 </flame> ;-) (OKOK, http://www.gentoo.org/security/en/glsa/ ... 312-01.xml war auch nicht viel besser ;-))

Naja, als ich den Bericht zum Einbruch in die Debian-Server gelesen habe wurde mir schon etwas anders, denn man sollte ja meinen dass die ein wenig Ahnung von der Materie haben und diese nicht gerade unwichtigen Server schon sicher wären...

Viele Grüße
Andreas

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Gentoo als Server-Betriebssystem

Post by captaincrunch » 2004-01-28 11:22

denn man sollte ja meinen dass die ein wenig Ahnung von der Materie haben und diese nicht gerade unwichtigen Server schon sicher wären...
Einer der Hauptgründe, warum ich mittlerweile auf proaktive Lösungen setze. ;)

Ganz nebenbei: endlich mal wieder eine Diskussion hier, die richtig Spaß macht. Thx. :)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Gentoo als Server-Betriebssystem

Post by andreask2 » 2004-01-28 11:35

CaptainCrunch wrote:
denn man sollte ja meinen dass die ein wenig Ahnung von der Materie haben und diese nicht gerade unwichtigen Server schon sicher wären...
Einer der Hauptgründe, warum ich mittlerweile auf proaktive Lösungen setze. ;)
Hm, so langsam machst Du mir das mir dem "proaktiv" schmackhaft ;-)

Aber trotzdem werde ich es erstmal normal mit den vanilla-sources + gentoo provieren, und danach beschäftige ich mich mit den Verschiedenen Konzepten für die proaktiven Lösungen und werde dann ja sehen ob ich bei gentoo oder debian lande, je nachdem was mir besser gefällt.
Ganz nebenbei: endlich mal wieder eine Diskussion hier, die richtig Spaß macht. Thx. :)
Ja, mir auch, Danke Euch für die sehr interessanten Antworten bisher!

Grüße
Andreas

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Gentoo als Server-Betriebssystem

Post by andreask2 » 2004-01-28 12:46

Hi netsoul!
netsoul wrote:ich bin seit 2 Wochen auch am überlegen, ob ich eine Gentoo Installation auf dem Rootserver vornehmen soll. Zurzeit stehe ich genauso wie Du da.
D.h. ich frage mich warum es nicht mehr Gentoo Server gibt. Bei Recherchen habe ich festgestellt, dass es doch eine ganze Menge Leute gibt, die das schon erfolgreich durchgeführt haben und sehr zufrieden sind.
Ja, aber nach meinem Gefühl überwiegt die "gentoo-ist-nix-für-server"-Meinung im Archiv ;-)
Oftmals liest man, dass ein Compiler nichts auf einem Rootserver zu tun hat - für mich ist das relativ hinfällig, da, wenn man root Rechte hat, auch ein apt-get install gcc in 2 3 Minuten erledigt wäre... D.h. die Sicherheit muss ganz woanders sichergestellt werden. Und das kann man mit Gentoo genauso wie mit Debian oder jedem anderen System.
Naja, ein es ist sicher ein Pluspunkt wenn kein Compiler installiert ist, aber das alleine macht einen Server ja nicht sicher. Da gibt es andere Punkte die mir erheblich wichtiger sind. Und (AFAIK zumindest) wenn man wollte könnte man gentoo auch ohne compiler betreiben, wenn man die binär-Pakete auf einem anderen Rechner erstellt.
Ich bin im Moment soweit, dass ich die Installation auf jeden Fall versuchen werde und mir dann selber ein Bild über usability und handling mache. Ist es zu aufwändig jedes Paket zu kompilieren, dauert es zu lange, etc.
Gut, am Anfang dauert es halt bis alles drauf ist, und danach muss man ja nicht mehr so oft große neue Pakete emergen. Ich würde z.B. nicht jedes kleine glibc oder gcc-Update mitnehmen, nur wenn es wirklich Sinn macht - wenn man denn den Compiler nicht wirklich runterschmeißt, aber ich denke das werde ich nicht machen(wie gesagt - falls das überhaupt geht). Und sonst, emerge ist ja so ausgelegt, dass der "Installations-Prozess" im Hintergrund läuft, das heißt wenn Du ein Paket aktualisierst, kannst Du das alte so lange benutzen, bis die Installation des neuen fix und fertig ist.
Die Installation frisst halt nur Bandbreite, CPU-Last..., daher sollte man sowas vielleicht nicht unbedingt zu peak-Zeiten machen.
Wenn Du Interesse hast könnte wir ja auch ein gemeinsames Install. Projekt starten und dieses dokumentieren.
Ja, das können wir machen, wobei es ja vermutlich http://www.rootforum.org/forum/viewtop ... stallieren hier nicht viel hinzuzufügen gibt, oder?

Aber das kann man nach einer erfolgreichen Installation besser abschätzen was man noch gerne für Informationen gehabt hätte ;-)

Vielleicht wäre es auch interessant grunsätzlich was über die Erfahrungen mit Gentoo auf so einem Server zu schreiben, halt auch über den Betrieb... mal sehen.
Btw. im gentoo.org Forum gibt es einen Link zu einem Gentoo Server Wiki. Dort gibt es auch viele Hinweise in Bezug auf Installation und Einrichtung auf Servern.
Ah danke! Wobei das glaube ich echt nicht schwer ist, weil es ja im Prinzip genauso abläuft wie die "normale" Installation, ich habe das ganze hier mal durchgespielt, von einer Knoppix-CD aus, und das hat auch wunderbar geklappt.


Viele Grüße
Andreas

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Gentoo als Server-Betriebssystem

Post by andreask2 » 2004-01-28 13:30

Ach ja, noch 2 Gentoo-spezifische Fragen:

1. Bisher verwende ich eigentlich immer genkenel um den Kernel zu bauen, ist das OK, oder gibt es irgendwelche besonderen Gründe warum man den manuell konfigurieren soll?

2. Bisher habe ich nur stage3 Archive verwendet, da ich den Sinn von Stage1 und 2 nicht wirklich begreife. Wenn ich ein Stage3-Archiv optimiert für den Pentium3 verwende (und der 1und1 Server ist ein Celeron mit Pentium3-Befehlssatz), was soll ich denn dann noch besser machen können als derjenige der das stage3 Archiv erstellt hat? Zumal das oft verwendet ist und damit gut getestet. Ich kann es weder besser an meinen Rechner anpassen, noch großartige Geschwindigkeit rausholen, und sicherlich keine bessere Stabilität erreichen. Also warum zum Henker sollte ich das machen? Bzw. warum machen das so viele Leute trotzdem? Weil man es mal gemacht haben muss? Ich verstehe den Sinn nicht so ganz.

Grüße
Andreas

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Gentoo als Server-Betriebssystem

Post by captaincrunch » 2004-01-28 16:04

1. Bisher verwende ich eigentlich immer genkenel um den Kernel zu bauen, ist das OK, oder gibt es irgendwelche besonderen Gründe warum man den manuell konfigurieren soll?
Speeeed! ;)
Ne, mal ernsthaft: ich baue meine Kernel grundsätzlich selbst, dann weiß ich wenigstens, was drin ist. Sofern es sich um einen 1&1-Rootie handelt, kannst du z.B. meine Konfiguration nehmen, bei der fast alles nutzlose abgespeckt ist. Der Link müsste hier irgendwo im Forum rumgeistern. ;)
2. Bisher habe ich nur stage3 Archive verwendet, da ich den Sinn von Stage1 und 2 nicht wirklich begreife.
Speeeeed! ;)
Auch hier: sofern du unbedingt spezielle Compilerflgas gesetzt haben willst, solltest du alles von Grund auf bauen. Wie du aber schon sehr richtig sagst, sind die Stage1 und 2-Tarballs aber...nicht zwangläufig nötig. Ich habe eine meiner Kisten (Workstations) aus lauter Neugierde aus dem Stage1 gebaut, könnte aber nicht behaupten, dass das jetzt großartig schneller wäre. ;)
Ein weiterer Grund wären sicherlich sehr spezielle Konfigurationen (z.B. LVM), aber ich denke nicht, dass der "Standarduser" sowas braucht.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

netsoul
Posts: 10
Joined: 2004-01-28 10:26

Re: Gentoo als Server-Betriebssystem

Post by netsoul » 2004-01-28 20:57

Also ein Stage3 ist auch bei mir geplant. Habe bisher 5 Gentoo Installationen hinter mir. Eine davon war Stage1. Einen Unterschied konnte ich auch nicht festellen. Der Umstieg auf Kernel 2.6 war deutlich stärker zu spüren meiner Meinung nach.

Ich werde in ein paar Wochen dann nochmal berichten wie die Installation und Einrichtung auf dem Server abgelaufen ist und ob man ein solches System gut und gern benutzen kann. Allerdings glaube ich das die Planung mir mehr Arbeit machen wird als das einrichten selbst ;)

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Gentoo als Server-Betriebssystem

Post by majortermi » 2004-01-28 23:59

Ich persönlich würde inzwischen Gentoo benutzen, wenn ich einen Server neu einrichten würde. Momentan läuft auf meinem LFS und ich bin damit eingentlich auch ganz zufrieden (selbst kompiliert und eingerichtet ist mir aus diversen Gründen einfach lieber), aber Gentoo ist doch wesentlich komfortabler und bietet gleichzeitig die Vorteile von LFS. Diese sind für mich weniger die bis ins letzte Detail optimierten Kompiler-Optionen, sondern die Möglichkeit auf die schnelle auch eine Software installieren zu können, für die es kein fertiges Paket gibt und trotzdem die volle Kontrolle über das gesamte System zu haben.

Gegen FreeBSD bestehen meiner Meinung nach keinerlei Einwände (das "ports"-System ist sicher genauso gut wie "portage" von Gentoo), ich kenne mich allerdings einfach noch zu wenig damit aus, um es auf einem produktiven System riskieren zu wollen.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Gentoo als Server-Betriebssystem

Post by andreask2 » 2004-01-29 00:40

Hi
MajorTermi wrote:Diese sind für mich weniger die bis ins letzte Detail optimierten Kompiler-Optionen, sondern die Möglichkeit auf die schnelle auch eine Software installieren zu können, für die es kein fertiges Paket gibt und trotzdem die volle Kontrolle über das gesamte System zu haben.
Das verstehe ich jetzt nicht. Meinst Du Software selber nach /usr/local installieren mit ./configure; make; make install? Das geht wohl überall.
Odr meinst Du ein ebuild zu erstellen und das über Portage installieren? Oder noch was anderes?
MajorTermi wrote:Gegen FreeBSD bestehen meiner Meinung nach keinerlei Einwände (das "ports"-System ist sicher genauso gut wie "portage" von Gentoo), ich kenne mich allerdings einfach noch zu wenig damit aus, um es auf einem produktiven System riskieren zu wollen.
NAtürlich. FreeBSD ist halt mehr ein echtes Unix, eher für Server gedacht und zentral entwickelt.
Nur ist die Installation AFAIK nicht annähernd so einfach, da man weder aus dem normalen Linux, noch aus dem Rescue-System(ist ja auch Linux) nach FreeBSD chrooten kann, und damit wird die ganze Installation erheblich umständlicher und "riskanter". Dazu kommt wenn man mal Mist gebaut hat, dann kommt man halt aus der Rescue-Konsole nicht in das FreeBSD System, man kann höchstens Partitionen mounten, ich glaube das soll inzwischen gehen.
Die Root-Server sind nur sehr auf Linux ausgerichtet, daher sehe ich hier mehr Sinn darin ebenfalls Linux zu verwenden.

Viele Grüße
Andreas

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: Gentoo als Server-Betriebssystem

Post by andreask2 » 2004-01-29 00:48

Ach ja...
MajorTermi wrote:das "ports"-System ist sicher genauso gut wie "portage" von Gentoo
http://www.gentoo.org/doc/de/faq.xml#doc_chap4_sect2 ;-)

Grüße
Andreas

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Gentoo als Server-Betriebssystem

Post by majortermi » 2004-01-30 20:17

andreask2 wrote:Das verstehe ich jetzt nicht. Meinst Du Software selber nach /usr/local installieren mit ./configure; make; make install? Das geht wohl überall.
Odr meinst Du ein ebuild zu erstellen und das über Portage installieren? Oder noch was anderes?
Ich meinte das zweite: Wenn ich einfach ein "./configure && make && make install" mache, wird es schwieriger die Software wieder zu entfernen bzw. ein Update durchzuführen und ein binäres Paket (z.B. RPM) zusammenzubasteln ist IMHO aufwendiger.

Außerdem kann man bei Gennto bestehende .ebuilds ganz einfach für die eigenen Zwecke anpassen.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Gentoo als Server-Betriebssystem

Post by Joe User » 2004-01-30 21:17

MajorTermi wrote:Wenn ich einfach ein "./configure && make && make install" mache, wird es schwieriger die Software wieder zu entfernen bzw. ein Update durchzuführen

Code: Select all

#!/bin/sh

#...
CFLAGS="" CXXFLAGS="" ./configure --prefix=/usr/local >> ${LOGFILE} 2>&1 &&
make >> ${LOGFILE} 2>&1 &&
make install >> ${LOGFILE} 2>&1 &&
#...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

t0x1c
Posts: 127
Joined: 2003-10-09 19:59
Location: Nähe Kiel

Re: Gentoo als Server-Betriebssystem

Post by t0x1c » 2004-01-31 20:38

Ich finde das Gentoo - speziell für Server - SEHR gut geeignet ist.

* Systemnähe/'Systemwissen' - Es läuft nix von dem ich nicht weiß das es laufen soll und das mit einer Config die ich selbst erstellt und auf mein System zugeschnitten habe (kein 0815 YAST-Fertigzeugs)

* Aktualität - Die Pakete sind sehr aktuell. Und wer jetzt kommt, sie seien unausgereift und enthalten Schwachstellen - Die Pakete sind so neu, das noch lange keine Schwachstellen gefunden wurden, und kein 'Hacker' sucht die Schwachstellen der Zukunft.. Btw. Wurden auch die Gentoo-Packages ausgiebig getestet (naja, vielleicht nicht soo ausgiebig wie bei Debian ;)) Und ein emerge -u world --deep Updatet ALLE Pakete des Systems, Selbst bei einem Sprung auf neueren GCC / libc sollte es keine Probleme geben...

* Das Logo - Der Beste Grund :D

netsoul
Posts: 10
Joined: 2004-01-28 10:26

Re: Gentoo als Server-Betriebssystem

Post by netsoul » 2004-01-31 21:25

Ich finde das Gentoo - speziell für Server - SEHR gut geeignet ist.
Nutzt Du Gentoo auf einem Server?