RootForum Community

Bislang läuft auf unseren Server SuSE 8.1, da wir jetzt aber auf einen schnelleren Server umsteigen überlege ich auch eine andere Distribution zu nehmen.

SuSE wird sicherheitstechnisch zwar leicht zu konfigurieren sysconfig und die Tatsache, dass man config files nicht anfassen darf, da SuSEconfig sonst meckert gehen mir aber auf den Geist. Außerdem erhält man für eine Version immer nur noch Sicherheitsupdates und muss wenn man neue Pakete haben will immer die ganze Distri updaten..

Debian unstable setze ich bislang auf Arbeit als Desktop System ein, nur muss man bei jedem apt-get upgrade Angst haben, dass der KDE nicht mehr startet oder sonst was nicht mehr funktioniert.
Auf sicherheitskritischen Systemen soll man ja stable einsetzen, dies ist IMHO jedoch hoffnungslos veraltet Bliebe nur noch testing. Wie sicher ist testing/sarge? Habt ihr damit Erfahrungen gemacht?

Last but not least habe ich mir noch gentoo angesehen. Macht einen sehr guten Eindruck, jedoch werden dort scheinbar (korrigiert mich, wenn ich mich irre) auch Release Canidates mit aufnehmen. Wie sicher ist Gentoo?

Welche Distribution für einen Root Internet Server?
SuSE, Debian, Gentoo oder eine ganz andere?

Hi,
da muss ich dir leider widersprechen:

dies ist IMHO jedoch hoffnungslos veraltet Bliebe nur noch testing

Als bei mir für sehr gut befunden: Debian Woody (stable) mit Backports von http://www.backports.org bzw. http://www.dotdeb.org

Eigentlich wollte ich gar ned antworten, weil diese Diskussion lästig und dämlich ist. Und meiner ist sowieso der Längste *g*

Ich tu's aber trotzdem, um einen Irrglauben aufzuklären, in dem du dich wohl befindest:

Debian und gentoo OK, aber was tut SuSE 8.1 in dieser Liste?

Du willst einen Server betreiben, ja?

Also stell doch die Distris zur Auswahl, die für Server vorgesehen sind. Und das ist nicht SuSE 8.1, sondern der SLES 9, um mal beim gleichen Distributor zu bleiben.

Und dann schreibst du etwas von hoffnungslos veraltet? Wie bitte? Du willst Server mit bleeding-edge? Wow, dann nur zu...

Um es kurz zu machen:

Es ist absolut egal, ob du gentoo, Debian (woody|sarge), den SLES, die entsprechende Variante von Red Hat (nicht Fedora) drauf hast - du musst dich damit auskennen und zurechtfinden. Der Rest ist Nebensache ;)

Also ich setze zur Zeit wieder einen neuen Server auf und habe mich diesmal dafür entschieden gleich sarge einzubauen.
Auch wenn die Version noch nicht als stable läuft will ich mir doch das Upgrade in 1,2,3 oder 4 Monaten sparen weil ich aus leidvoller Erfahrung weiß dass das nicht unbedingt gleich funktionieren muss und dass man dann zusätzliche Pfriemeleien vor sich hat wenn der Reboot nicht klappt weil man irgendwo was übersehen hat.

Ich hab einfach das installer.sh skript von debianhowto genommen und sowenig wie möglich, also nur System installieren lassen. Dann als erstes ein dist-upgrade laufen.

Kannst aber auch ganz einfach die Scripte anpassen. Das ist aber was für nicht ganz so faule :-)

Ansonsten, läuft cool :-)

Auf den anderen Servern sind bei mir natürlich auch überall die Backport Adressen in sources.list eingetragen.

Aber, sind die Backports jetzt so stable dass sie einem sarge vorzuziehen sind?
Umso mehr als ich in den letzten Mails von Matt Zimmermann auf der Security Announce Liste von Debian zeitgleich mit dem stable fix auch den testing fix angekündigt fand.

Ich glaube inzwischen ist Debian sarge insgesamt "sicherer" als ein woody mit unzähligen Backports.

gruss
tic

ps: Ich glaube auch auf einer Desktop Maschine ist Testing einer Unstable vorzuziehen.

Edit:
pps: Olfi hat Recht :-)

ppps: Ausserdem kannst Du Dir mit den falschen Scripts für Deine Webseiten und der falschen Konfiguration ganz flott ein ziemlich unstables System zusammenzimmern das vorher eigentlich _rocksolid_ war :-)

Wo wir gerade beim munteren Distriwürfeln sind:
Hat sich hier schon jemand an Yoper (Desktop/Server) versucht?

Da fehlt AmigaOS...

ach, mist, das ist ja nur mein Router. ;)

Gruss,

Out

Also ich denke für Root Server sind vorallem Debian bzw. Adamantix und Gentoo bzw. Gentoo-hardened geeignet, da sie in der Grundkonfiguration sehr sicher sind und sich recht leicht aktuell halten lassen. Was man von beiden bevorzugt, ist dann eine Geschmackssache.

Also ich denke für Root Server sind vorallem Debian bzw. Adamantix

Adamantix auf einem Rootserver ist zur Zeit (immer noch) nur bedingt empfehlenswert. Zwei Gründe:
1. Durch das "secure by default" werden gerade diejenigen verleitet, Adamantix zu nutzen, die später dabei am meisten auf dem Schlauch stehen, da diese Distri immer noch diverse scharfe Ecken und Kanten hat.
2. Die Situation in punkto Security-Updates sieht zur Zeit noch alles andere als berauschend aus. Zu dem Zeitpunkt, bei dem es vor nicht allzu langer Zeit ein paar garvierende Lücken gab, zog es der Hauptentwickler vor, diese ungefixt zu lassen, und sich lieber der neuen Version zu widmen.
Leider ist dieser zur Zeit immer noch der einzige, der Pakete uploaden kann, was sich aber zum Glück in Kürze ändern wird. Darüber hinaus wird in absehbarer Zukunft (kurz nach Fertigstellung von Sarge) noch eine "stable" / "frozen" oder "Enterprise"-Linie des Ganzen geben, wo ausschließlich Security-Updates (also wie unter Debian) einfließen werden. Erst dann würde ich auch anderen dazu raten.

Hallo,

Myname wrote:SuSE wird sicherheitstechnisch zwar leicht zu konfigurieren

Naja, so einfach kann man sich das nicht machen, jede Distri
hat ihre Kniffs und Tricks mit denen man sie sicherer bekommt, einige
ermoeglichen "von Haus aus" z.B. eine Art Hardening (SuSE hatte sowas
auch mal, leider ist der Maintainer verschollen, die Scripte tun aber
teils noch und wer sich auskennt kommt damit klar).

Myname wrote:sysconfig und die Tatsache, dass man config files nicht anfassen darf, da SuSEconfig sonst meckert gehen mir aber auf den Geist.

Keine Ahnung was Deine Probleme mit sysconfig (ich denke mal, Du meinst
das Dir /etc/sysconfig?) sind, aber es ist der 'Standard' der sich grade solangsam
bildet. Die grossen Distris halten sich mittlerweile dran, einige weigern sich
aber bedauerlicherweise immernoch (read debilian).
Das mit SuSEconfig ist so auch nicht richtig (was ich jetzt mal darauf zurueckfuehre
das Du wahrscheinlich keine Lust hattest Dich weiter mit dem Tool zu
befassen sondern einfach lieber auf den Zug der Allgemeinheit aufspringst
SuSE(config) zu bashen ;). Ziemlich jeder 'Dienst' der mit SuSEconfig seine
Configs angepasst bekommt, hat sowas:
/etc/sysconfig/apache Damit kann man SuSE Config z.B. fuer den Apachen abschalten. Desweiteren
ist das ganze so konzipiert das man die httpd.conf z.B. eigentlich garnicht
anfassen MUSS wenn man 'the SuSE way' geht:
Servername etc. werden eh durch den Host gesetzt, will man was anderes
nimmt man VirtualHosts, diese kann man in eine extra Datei auslagern
die man dann via. in die Config einbinden kann.
Sollte man solche Features nicht nutzen ueberschreibt SuSEconfig auch
keine Configs mehr (das war mal teils so), sondern legt eine eigene Config
im Dir an (bla.conf.SuSEconfig) und ueberlaesst dem Admin die evtl. zu
machenden Anpassungen. Steht man ganz mit SuSEconfig auf Kriegsfuss
kann mans auch einfach ganz abschalten:
/etc/sysconfig/suseconfig: und schon is Ruhe.

Myname wrote:Außerdem erhält man für eine Version immer nur noch Sicherheitsupdates und muss wenn man neue Pakete haben will immer die ganze Distri updaten..

Auch das hat seinen Sinn: viele Pakete haben groessere Abhaengigkeiten.
Update ich ein Paket auf eine neue Version brauche ich u.U. auch die neue
Version eines anderen Paketes etc. und so komm ich aus dem Updaten nicht
mehr raus. Sicherheitsupdates sollten das sein, als was sie bezeichnet werden,
naemlich Updates fuer Securityholes und nicht neue Software. Damit erspart
man sich auch ne Menge testing und Aerger wenn man ploetzlich ne neue
Version von PHP hat und die haelfte nicht mehr tut weil der Code nicht
entsprechend aufgebaut war (das muss nicht mal heissen das der Code
scheisse war!). Abgesehn davon: nach 2 Jahren sollte man _spaetestens_
eine Maschine die im Dauerbetrieb laeuft mal zum Checkup bringen.
Viele Probleme gehen im Betrieb verloren oder werden uebersehen, einmal
die Haube auf und gucken ob noch alle Luefter drehen etc. ist daher sehr
angebracht.
Ausserdem sollte man davon ausgehen das ein Server nur eine begrenzte
Anzahl Dienste 'primaer' anbietet. Bei einem Webserver z.B. der gewiss auch
Performance usw. bringen _muss_ wuerde ich z.B. eher den ganzen Kram selbst
bauen anstatt mich auf Pakete zu verlassen. Bei Dedicated Servern und der
heutigen "Zielgruppe" ists jedoch meist so, das die Kiste gern die eierlegende
Wollmilchsau darstellen soll... vielleicht einfach 'error by design'.

Myname wrote:Auf sicherheitskritischen Systemen soll man ja stable einsetzen, dies ist IMHO jedoch hoffnungslos veraltet Bliebe nur noch testing. Wie sicher ist testing/sarge? Habt ihr damit Erfahrungen gemacht?

testing hat einen grossen und evtl. auch gefaehrlichen Nachteil:
keine Security Update policy. WANN und OB ein Securityfix in testing
ankommt ist unbekannt. Es KANN sein das eins kommt, MUSS aber nicht wenn
z.B. ein Paket schon in einer neuen Version darauf wartet das es in Testing
landet. Das kann schnell zu grossen Loechern fuehren, obwohl man 'up2date' ist.
Ausserdem sind auch hier Pakete gern mal etwas verbuggt...
(und fuer Unstable/SID gilt eh: Sid Is Dangerous)

Myname wrote:Last but not least habe ich mir noch gentoo angesehen. Macht einen sehr guten Eindruck, jedoch werden dort scheinbar (korrigiert mich, wenn ich mich irre) auch Release Canidates mit aufnehmen. Wie sicher ist Gentoo?

Falsche Frage... jede Distri ist nur so sicher wie man sie selbst 'absichert'.
Per default sind heute eigentlich alle Distris recht sicher. Die einen bringen
evtl. noch ein paar Securityfeatures mehr mit als andere, aber die Grundconfig
ist eigentlich immer ganz okay.
Ob sich Gentoo jetzt so unbedingt fuer einen Server eignet, weiss ich nicht.
Auf einem Server, sofern er als Web, Mail, DNS oder sonstwas-Server dient,
hat eine 'Entwicklungsumgebung' IMHO nichts verloren. Ausserdem weiss ich
nicht recht wie 'toll' es die User finden wenn beim Systemupdate der Server
mehr damit beschaeftigt ist, seine Updates zu compilen statt Webseiten auszuliefern
o.ae. ;) Es gibt zwar Moeglichkeiten das etwas einzugrenzen (z.B. mit quickpkg
GCC etc. in ein Paket packen und das ganze bei Bedarf installiern und danach
wieder runterhauen), jedoch hat alles einen negativen Beigeschmack.
Man kann auch einen "Binary-Mirror" fuer Gentoo bauen, jedoch gehen dabei
viele Featres (USEFLAGS z.B.) verloren und man muss sich selbst sehr genau
um die Depencies etc. kuemmern um kein kaputtes System zu erhalten.
Gentoo ist als Entwicklersystem oder Desktop fuer Leute mit Ahnung sicher
mit die beste Wahl, fuer einen Server wohl eher weniger.

Myname wrote:Welche Distribution für einen Root Internet Server?
SuSE, Debian, Gentoo oder eine ganz andere?

Die Frage muss sich jeder selbst beantworten. Vorschlaege sind immer ne
tolle Idee, aber man sollte sie als solche hinnehmen und nicht als Vorschrift.
Man nimmt am besten sich die Zeit die Distris sich alle mal anzuschauen und
schreibt sich vorher auf was der Server koennen soll etc. und versucht das,
mindestens im Kleinen, mal umzusetzen. Das ganz ist natuerlich keine Sache
fuer die naechste 5 Minutenpause. Man muss sich einfach jede Distri ein
wenig anschauen bevor man sich evtl. auf mehrere Jahre an sie bindet.
Immerhin musst DU Deine Kiste administrieren, nicht die Forumsuser.

HTH (vielleicht auch anderen Usern),
Darkman

Darkman wrote:HTH (vielleicht auch anderen Usern)

Der (Sub-)Thread ist bei mir bereits für das Archiv vorgemerkt.

Joe User wrote:Der (Sub-)Thread ist bei mir bereits für das Archiv vorgemerkt.

Bitte nicht vergessen ;)

Hi,

nur mal so rein interessehalber und auch als eventuelle Anregung für den OP:
*BSD <-- warum wird es nicht erwähnt? IMHO ganz gut zu administrieren (wenn man es erst einmal verstanden hat :-) ) und definitiv eine ernsthafte Alternative zu Linux. Vor allem sicherheitstechnisch habe ich mit FreeBSD sehr gute Erfahrungen gemacht.

nicht, dass ich es auf einem öffentlichen server produktiv einsetzen würde, aber... ;)

im bermuda-dreieck von debian, gentoo und freebsd ist ein kleiner fels in der brandung 8)

http://dl.rocklinux-consulting.de/rock- ... okse2.html

"back to the roots"

SunTzu wrote:Hi,

nur mal so rein interessehalber und auch als eventuelle Anregung für den OP:
*BSD <-- warum wird es nicht erwähnt? IMHO ganz gut zu administrieren (wenn man es erst einmal verstanden hat :-) ) und definitiv eine ernsthafte Alternative zu Linux. Vor allem sicherheitstechnisch habe ich mit FreeBSD sehr gute Erfahrungen gemacht.

Primärer Grund "dagegen":

Installation. Weil komma dafür muss man schon wissen, was da gerade vor sich geht (und nicht jeder findet muc's Kurz-HOWTO wieder ;) )

Ansonsten habe ich ein paar konzeptionelle Einwände gegen *BSD auf einem Bastion Host (nenn' ich jetzt mal so, weil ein rootie ja ungeschützt im Netz hängt):

- Installationsumfang "basis" zu groß. Compiler und Konsorten gehören einfach nicht auf so ein System

- Wartung schwer zuverlässig zu automatisieren. Auch wenn sich de facto wenig tut, insbesondere bei "System"-Ã?nderungen (Security fixes u. dgl.) hat man immer reichlich manuell zu tun - da bieten die meisten Linux-Distris deutlich mehr Komfort.

- Doku (ja, genau!) Die *BSD-Doku insbesondere für die Konfiguration des Basissystems (also nicht die Ports oder nicht zum Basisumfang gehörende Anwendungen) ist überwiegend schwer zugänglich und zudem häufig noch unvollständig oder sehr schwer verständlich. Ich hab' dafür schon viel Keile eingesteckt, aber meine Erfahrungen mit FreeBSD (5.2.1-RELEASE) haben mich gelehrt, dass man bereit sein muss, sehr lange zu suchen, um anständige Doku zu finden und auch damit leben können muss, mal nichts zu finden.

- Technik. Allein im bereich der Netzfilter (à la netfilter framework) gibt es drei (!) grundlegend verschiedene (aber gleichsam spärlich dokumentierte) Technologien. Ã?hnlich sieht es in anderen Bereichen des Systems aus.

Ein wirkliches Plus darf aber dennoch nicht vergessen werden:

- Jails. Die rocken und zwar so richtig. Dagegen ist UML, vServer und wie die Dinger alle heißen so sexy wie der Schlüppi meiner Urgroßmutter ;)

Alles in Allem hab' ich für mich die Entscheidung getroffen, dass ich *BSD sehr wohl im LAN betreibe, es aber nie meine DMZ oder gar meine(n) rootie(s) beglücken wird.

Debian und gentoo OK, aber was tut SuSE 8.1 in dieser Liste?

SuSE 8.1, weil es auf dem Root Server bei 1und1 vorinstalliert war, immer noch bei vielen Root Server standardmäßig installiert ist und SLES aus Kostenründen für mich nicht in Frage kommt. Was spricht eigentlich dagegen SuSE anzupassen und als Server zu benutzen?

Wie bitte? Du willst Server mit bleeding-edge?

Nein, aber ich will z.B. auch nicht die PHP-Version 4.1.x verwenden. Die Variante mit den Backports klingt aber nicht schlecht.

*BSD <-- warum wird es nicht erwähnt?

Könnte man sicherlich auch noch hinzufügen, hatte die Umfrage aber auf Linux Systeme beschränkt.

Keine Ahnung was Deine Probleme mit sysconfig (ich denke mal, Du meinst
das Dir /etc/sysconfig?)

Ja meine ich, ich habe mich nie richtig mit SuSEconfig beschäftigt, vor allem weil mir der Sinn immer noch fremd ist, dass Konfigurationsfiles generiert werden und nicht direkt bearbeitet werden können.

testing hat einen grossen und evtl. auch gefaehrlichen Nachteil

Ja es wird nicht empfohlen es auf sicherheitskritischen Diensten einzusetzen, jedoch ist das Problem, dass sarge kurz vor dem Release steht und wenn ich jetzt woody installiere muss ich in einem Jahr warscheinlich im laufenden Betrieb des Servers ein dist-upgrade machen, was wieder zu Problemen führen könnte.

Vorschlaege sind immer ne tolle Idee, aber man sollte sie als solche hinnehmen und nicht als Vorschrift.

Ich wollte hier im Forum auch nur Vorschläge sammeln, Vorschriften kriegt man hier diesbezüglich wegen der auseinander gehenden Meinungen IMHO sowieso kaum.



Gut, also wird wohl Debian rauf kommen, da ich mit dieser Distri auch schon einiges an Erfahrung gesammelt habe. Bleibt nur noch die Frage woody oder sarge...

Hi,

@dea: Ich sagte ja: Man braucht einiges an Erfahrung, um *BSD einzusetzen. Insgesamt hast du wohl Recht, auch wenn man die compilertools irgendwann rausschmeißen kann. Und ipfw als (dedizierte) Firewall rockt ;-)

@myname: Wenn es wirklich nicht so sehr eilt, würde ich noch warten, bis sarge stable wird. Dann werden nämlich auch die Backport-Archive wie backports.org und dotdeb.org auf sarge umgestellt und man kann dann die wieder nehmen.

- Doku (ja, genau!) Die *BSD-Doku insbesondere für die Konfiguration des Basissystems (also nicht die Ports oder nicht zum Basisumfang gehörende Anwendungen) ist überwiegend schwer zugänglich und zudem häufig noch unvollständig oder sehr schwer verständlich.

In dem Punkt muss ich (teilweise) widersprechen: ich habe selten so gute Manpages wie unter OpenBSE gesehen, die (IMHO) Howtos sogar schon fast überflüssig machen. Keine Ahnung, wie's bei denn FreeBSDlern in dem Punkt aussieht, ich wollt's nur angemerkt haben. ;)

Ebenso hier:

Allein im bereich der Netzfilter (à la netfilter framework) gibt es drei (!) grundlegend verschiedene (aber gleichsam spärlich dokumentierte) Technologien.

Wenn selbst ich pf so weit verstanden habe, dass ich's problemlos einsetzen kann, kann das gar nicht so schlimm dokumentiert sein. ;)

Letzter Kritikpunkt:

Jails. Die rocken und zwar so richtig. Dagegen ist UML, vServer und wie die Dinger alle heißen so sexy wie der Schlüppi meiner Urgroßmutter

Schau dir mal RSBAC-Jails an. Ich für meinen Teil habe mir die FreeBSD-Jails noch nicht näher angeschaut, aber nicht zuletzt durch die sonstigen RSBAC-"Zusätze" dürfte das ganze noch ein Stückchen mehr Sicherheit bieten.

Nur kurz: zum Thema "Gentoo auf produktiven Servern" habe ich eben auf linux.com einen Artikel gelesen:

http://distrocenter.linux.com/distrocen ... 27&tid=108