Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2011-03-28 08:42:45

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

1. Ściągasz stage hardened - najnowszy, i jest gotowy do pracy, na shellu Duga taki jest i chodzi. Kompilujesz do niego jajo, resztę programów możesz kompilować, lub skołować paczki.

2. Kilka programów z bibliotekami możesz ściągnąć z tinderboxa - link masz wyżej, zainteresuj się zmienną PORTAGE_BINHOST.

3. Na Celeronie niczego nie kompilujesz, kompilujesz na kompie P4 z flagami do Celerona, i opcją buildpkg w features, na Celerona wypakowujesz gotowe paczki.

Co do kompilacji na P4-2.8 - to o ile się nie mylę, Ilin na podobnym kompie skompilował Gentoo razem z Gnome, i nekrologu nie widziałem, więc chyba przeżył w dość dobrym stanie ;).
Na serwer poza tym, nie kompiluje się żadnej krowy w stylu Gnome czy KDE, Irssi czy podobne programy  konsolowe , są lekkie  i kompilują się dość szybko.

Radzę tylko trzymać się programów pisanych w C, a w miarę możliwości unikać pisanych w pythonie , perlu czy javie, (z wyjątkiem skryptów).
Takie programy są 2 razy szybsze, i wyraźnie stabilniejsze, poza tym przy aktualizacji np Pythona nie trzeba ich przebudowywać, co jest dużym ułatwieniem.

Gentoo działa z paczkami równie dobrze, jak  Debian.
Tylko że użyszkodnicy Gentoo robią sobie paczki samodzielnie, pod swój własny sprzęt.

Co do Selinuxa: Super Wsparcie w Debianie: http://pastebin.com/LbCJVrxi
i byle jakie , "prawie żadne" w Gentoo: http://pastebin.com/vS9Ejeqk

AFAIK najbardziej rozwiniętego Selinuxa ma Fedora, włącznie z [url=http://www.heise-online.pl/newsticker/news/item/Fedora-12-sandbox-dla-aplikacji-biurkowych-815780.html]sandboxem[/url].
Najlepsze wsparcie dla Apparmora,  (który jest w mojej opinni prostszy w obsłudze i trochę lepszy do Selinuxa), ma Ubuntu.

Także w niczym nie jestem specjalnie zakochany, ale ten system (Gentoo), mi po prostu odpowiada, nie dlatego, że jest łatwy, ale dlatego, że w nim nie ma rzeczy niemożliwych.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-03-29 11:50:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#27  2011-03-28 09:41:30

  torrentow - Członek Sejmowej Komisji Śledczej

torrentow
Członek Sejmowej Komisji Śledczej
Skąd: z GNU
Zarejestrowany: 2009-11-23

Re: FreeBSD vs. OpenBSD na serwer

[b]Jacekalex[/b] zawsze jest wieczny flejm grsec czy selinux, ja stawiam na grsec :)


Każdy sam sobie szkodzi :)
[img]http://img715.imageshack.us/img715/7104/apt.png[/img]

Offline

 

#28  2011-03-28 10:16:35

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

@Yampress oczywiscie, ze jest
security.bsd.see_other_gids=0
security.bsd.see_other_uids=0
security.bsd.unprivileged_read_msgbuf=0

@Jacekalex
A slackware+grsec ? I czy naprawde to grsec jest tak bezpieczne jak sie o tym mowi ? Mozna np na debianie+grsec spokojnie shellownie otworzyc bez wiekszych zmartwien itd ?


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#29  2011-03-28 11:07:21

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

Grsec bardzo mocno obcina (bez /etc/grsec/policy) działanie exploitów, jest dokładnie od tego zarówno sam grsec jak i pax.
Do tego ma ACL - do skonfigurowania w /etc/grsec/policy - dość trudne, automatyczna generacja raczej niezbyt skuteczna, ale można to sensownie zrobić.

W porównaniu z Selinux i Apparmor, jest to jedyny moduł zmniejszający ryzyko działania exploitów, wiele z funkcji grsec/paxa znalazło się w standardowych kernelach, ale grsec i pax są w tych technikach o trzy kroki do przodu, przed kernelami dystrybucyjnymi.
Jednak w ACL grsecurity jest trochę za malo opcji, jeśli chodzi o konfigurację pojedynczego programu, tutaj radziłbym puścić go wolno w ACL grsec,
a dopieścić Apparmorem lub Selinux bardziej szczegółowe uprawnienia, które w grsec trudno zdefiniować.
Sensowne np w odniesieniu do firefoxa u mnie, na serwerze takich kłopotów będzie znacznie mniej, bo i softu będzie znacznie mniej ;)

Jedna wada w Paxie i technologii [url=http://www.gentoo.org/proj/pl/hardened/pax-quickstart.xml]ASLR[/url] - potrzebne jest PIE - w Gentoo możesz tak skompilować cały system, w innych Linuxach , bazujących na gotowych paczkach zależy od developerów, co będzie korzystało z ASLR, a co nie.
W Debianie na oko nieźle zabezpieczonych jest około 40% paczek serwerowych, np Apache tak, sshd tak, ale nginx i lighttpd już nie, kiedy ostatnio patrzyłem,  i około 20 - 25% paczek na desktop,  w Ubuntu jest trochę lepiej, bo wyraźnie wcześniej się za to zabrali.

Ale jak chcesz takie szczegóły, to poczytaj trochę dokumentacji Gentoo Hardened, Security handbooki Debiana i Ubuntu przejrzyj trochę forum i [url=http://en.wikibooks.org/wiki/Grsecurity]wiki grsec[/url], np ten post: http://forums.grsecurity.net/viewtopic.php?f=3&t=2131

Z tego , co ma być na tym shellu, nie widzę niczego, co mogłoby nie działać, ale grsec i pax zmieniają system w coś podobnego bardziej lub mniej do czołgu, dlatego grsec/pax może narobić trochę kłopotu, zwłaszcza, jak się ktoś walnie w konfiguracji.
Co do Slackware, to kiedyś zamierzałem go postawić, ale jak poczytałem dokumentację, i zobaczyłem o nim conieco, to zdecydowałem się na Gentoo,
a Slackware mnie za bardzo nie obchodzi na razie.
Grsec i Pax możesz użyć na każdym Linuxie, i to równolegle z Selinux lub Apparmor, ale w odniesieniu do niektórych funkcji modułu Pax, zależy od sposobu kompilacji paczek w danej dystrybucji, i nie zawsze można z tego modułu wycisnąć max możliwości, a to pierwsza  linia obrony przed exploitami, które potrafią dostać się do systemu np przez serwer www, i zrobić małe boooom w pamięci RAM.
Standardowe jajo też jest na taką okoliczność nieźle zabezpieczone, ale grsec i pax to po prostu wyraźnie wyższa półka zabezpieczeń.

Ale żeby ją stosować, to trzeba trochę poczytać, trochę się  podszkolić z konfiguracji i użycia tego drobiazgu, i przygotować się na kłopoty, np ja na grsec Virtualboxa już 2 miechy próbuję odpalić, i w żaden sposób mi się nie udało (choć nie siedzę nad tym dzień i noc ;  ale nakombinowałem się już dość sporo.)

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-05-16 10:08:12)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#30  2011-03-28 11:21:21

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

Ciekawie to napisales, ale powiem, ze jest niezle jebania sie z tym kernelem pod linuxa. Dlatego chyba zostane przy BSD. Jest napisany w taki sposob, ze nie potrzebuje tego wszystkiego, siedzenia, konfigurowania, nakladania patchy i Bog wie co jeszcze. Poprostu jak dla mnie to jest jedna wielka masakra.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#31  2011-03-28 11:39:04

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

Z patchami i konfiguracją?
To się raz poznaje, a potem już leci.
Początek strasznie jest trudny, zawsze są jakieś kłopoty, ale jak zaczniesz czaić bazę, i widzieć, o co w tym biega, to się robi proste jak p**********.

A takie drobiazgi jak Grsec, czy LXC, czy Selinux lepiej poznać, jak chcesz się uważać za fachowca od Linuxa, tak samo jak lepiej poznać OpenBSD, FreeBSD i NetBSD, jak chcesz się uważać, za fachowca od *BSD.

Jednak z każdym systemem jest jakaś robota, żaden nie jest gotowy do użytku, po 10 minutach instalacji.

Ja, jak zobaczylem (po 3 latach z Ubuntu), że mimo wszystko o prawdziwym Linuxie mam o wiele mniejsze pojęcie, niż myślalem, to wziąłem najtrudniejszego i najbardziej hardcorowego Linuxa, i teraz gram sobie w Quake na hardened z grsec/paxem i apparmorem, a znam dwóch informatyków, którzy potrafią postawić serwer WWW na Debianie, i tygodniami opowiadać, jaki to pancerny szybki i stabilny system, a jak się skrypciarze do takiego serwera zabiorą  atakiem slowloris, to ło matko, co teraz robić, bo nawet rev-proxy do Apacha nie postawili, bo po co, przecież taki wspaniały system postawili.

A przecież Debian jest dobrym systemem, też można go porządnie skonfigurować i zabezpieczyć, ale to też nie jest 15 minut i sprint po piwo.
I z systemami BSD jest dokładnie tak samo, z tym, że Open* częściej trafia na routery, na serwerach www podobno ma kłopoty z szybkością, słyszałem, nie sprawdzałem.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-03-28 11:40:36)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#32  2011-03-28 12:53:37

  Yampress - Imperator

Yampress
Imperator
Zarejestrowany: 2007-10-18

Re: FreeBSD vs. OpenBSD na serwer

jest jeszcze rsbac ale nie znam kogoś aby znał to
W sumie do selinuxa można paxa dorzucić też

Offline

 

#33  2011-03-28 14:23:09

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

[quote=Jacekalex]1. Ściągasz stage hardened - najnowszy, i jest gotowy do pracy, na shellu Duga taki jest i chodzi. Kompilujesz do niego jajo, resztę programów możesz kompilować, lub skołować paczki.

2. Kilka programów z bibliotekami możesz ściągnąć z tinderboxa - link masz wyżej, zainteresuj się zmienną PORTAGE_BINHOST.

3. Na Celeronie niczego nie kompilujesz, kompilujesz na kompie P4 z flagami do Celerona, i opcją buildpkg w features, na Celerona wypakowujesz gotowe paczki.

Co do kompilacji na P4-2.8 - to o ile się nie mylę, Ilin na podobnym kompie skompilował Gentoo razem z Gnome, i nekrologu nie widziałem, więc chyba przeżył w dość dobrym stanie ;).
Na serwer poza tym, nie kompiluje się żadnej krowy w stylu Gnome czy KDE, Irssi czy podobne programy  konsolowe , są lekkie  i kompilują się dość szybko.

Radzę tylko trzymać się programów pisanych w C, a w miarę możliwości unikać pisanych w pythonie , perlu czy javie, (z wyjątkiem skryptów).
Takie programy są 2 razy szybsze, i wyraźnie stabilniejsze, poza tym przy aktualizacji np Pythona nie trzeba ich przebudowywać, co jest dużym ułatwieniem.

Gentoo działa z paczkami równie dobrze, jak  Debian.
Tylko że użyszkodnicy Gentoo robią sobie paczki samodzielnie, pod swój własny sprzęt.

Co do Selinuxa: Super Wsparcie w Debianie: http://pastebin.com/LbCJVrxi
i byle jakie , "prawie żadne" w Gentoo: http://pastebin.com/vS9Ejeqk

AFAIK najbardziej rozwiniętego Selinuxa ma Fedora, włącznie z [url=http://www.heise-online.pl/newsticker/news/item/Fedora-12-sandbox-dla-aplikacji-biurkowych-815780.html]sandboxem[/url].
Najlepsze wsparcie dla Apparmora,  (który jest w mojej opinni prostszy w obsłudze i trochę lepszy do Selinuxa), ma Ubuntu.

Także w niczym nie jestem specjalnie zakochany, ale ten system (Gentoo), mi po prostu dopowiada, nie dlatego, że jest łatwy, ale dlatego, że w nim nie ma rzeczy niemożliwych.

To by było na tyle
;-)[/quote]
Wiem że dla Ciebie gentoo jest łatwe dla mnie nie za bardzo. Po drugie nie chce się od nowa bawić z stawianiem systemu, tak jak to powiedział azhag:
"lepszy debian niż wszystkie inne jego klony".
Oczywiście nie mam nic przeciwko ubuntu ale dosyć często zrobią upgrade i potem mam niskie uptime.
Nie znalazłem u siebie w konifgu sshd opcji która odpowiadała by za chroot mam ją dodać?
No i co będzie z moim kontem "userowym" na które się loguje (oczywiście nie jako root ;-) ).
Będzie one logowało się do chroota czy jak? Grsec wystarczy chyba (plus ew. selinux).

Offline

 

#34  2011-03-28 16:28:28

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

[quote=Jacekalex]Z patchami i konfiguracją?
To się raz poznaje, a potem już leci.
Początek strasznie jest trudny, zawsze są jakieś kłopoty, ale jak zaczniesz czaić bazę, i widzieć, o co w tym biega, to się robi proste jak p**********.

A takie drobiazgi jak Grsec, czy LXC, czy Selinux lepiej poznać, jak chcesz się uważać za fachowca od Linuxa, tak samo jak lepiej poznać OpenBSD, FreeBSD i NetBSD, jak chcesz się uważać, za fachowca od *BSD.

Jednak z każdym systemem jest jakaś robota, żaden nie jest gotowy do użytku, po 10 minutach instalacji.

Ja, jak zobaczylem (po 3 latach z Ubuntu), że mimo wszystko o prawdziwym Linuxie mam o wiele mniejsze pojęcie, niż myślalem, to wziąłem najtrudniejszego i najbardziej hardcorowego Linuxa, i teraz gram sobie w Quake na hardened z grsec/paxem i apparmorem, a znam dwóch informatyków, którzy potrafią postawić serwer WWW na Debianie, i tygodniami opowiadać, jaki to pancerny szybki i stabilny system, a jak się skrypciarze do takiego serwera zabiorą  atakiem slowloris, to ło matko, co teraz robić, bo nawet rev-proxy do Apacha nie postawili, bo po co, przecież taki wspaniały system postawili.

A przecież Debian jest dobrym systemem, też można go porządnie skonfigurować i zabezpieczyć, ale to też nie jest 15 minut i sprint po piwo.
I z systemami BSD jest dokładnie tak samo, z tym, że Open* częściej trafia na routery, na serwerach www podobno ma kłopoty z szybkością, słyszałem, nie sprawdzałem.

To by było na tyle
;-)[/quote]
Systemy BSD same w sobie po instalacji sa mocno zabezpieczone. OpenBSD ma duzo mechanizmow zwiekszajacych bezpieczenstwo min. kryptografie i dlatego jest malo wydajne, ale za to cholernie bezpieczne. Cos za cos :P Czyli co mowisz, zeby brac Gentoo ? Bo sklonny jestem zaryzywkowac. Powiedzmi czy jedynym wyjsciem, zeby zainstalowac gentoo jest sciagniecie livecd ? Nie ma jakiegos odpowiednika netinstall z debiana ?

Ostatnio edytowany przez bryn1u (2011-03-28 16:29:33)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#35  2011-03-28 18:34:20

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

[quote=bryn1u]Systemy BSD same w sobie po instalacji sa mocno zabezpieczone. OpenBSD ma duzo mechanizmow zwiekszajacych bezpieczenstwo min. kryptografie i dlatego jest malo wydajne, ale za to cholernie bezpieczne. Cos za cos :P Czyli co mowisz, zeby brac Gentoo ? Bo sklonny jestem zaryzywkowac. Powiedzmi czy jedynym wyjsciem, zeby zainstalowac gentoo jest sciagniecie livecd ? Nie ma jakiegos odpowiednika netinstall z debiana ?[/quote]
Jest instalator graficzny ale chyba nie wspierany, musisz sciągnąć sarge 3 rozpakować potem jak się nie mylę instalacja portage. Kiedyś też chciałem gentoo, ale na moim sprzęcie kompilacja trwa wieki. Jądra nie trzeba kompilować, genkernel, czy coś takiego.

Offline

 

#36  2011-03-28 19:26:03

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

I pierwsza sprawa: do Gentoo nie ma żadnego sensownego LiveCD, jednak o ile kompilacja kde - to cały dzień, to system pod serwer postawisz w 2 godziny.

Systemy BSD same w sobie po instalacji są mocno zabezpieczone.[/quote]
To akurat bzdura, żadno zabezpieczenie nie działa, jeśli ktoś nie wie, jak go użyć, i nie wie, jak go skonfigurować.
Akurat w OpenBSD jest bardzo dobry  firewall PF, włącznie z uwarunkowaniem możliwości zmiany ustawień od security level, podobnie z atrybutami chattr, ale zarówno ten super firewall jak i te security levele trzeba skonfigurować.

Bo samo nic się nie zrobi.
;)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#37  2011-03-28 20:15:36

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

Dokładnie, tak samo sądzę, ale wiesz przywykłem już do debiana i nie chce go raczej zmieniać.
Jeszcze parę łat na jądro bym nałożył, ale jakoś zawsze kompilacja mi nie wychodziła, popróbuje jutro albo może dziś.

Offline

 

#38  2011-03-29 09:53:14

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

[quote=Jacekalex]I pierwsza sprawa: do Gentoo nie ma żadnego sensownego LiveCD, jednak o ile kompilacja kde - to cały dzień, to system pod serwer postawisz w 2 godziny.

Systemy BSD same w sobie po instalacji są mocno zabezpieczone.[/quote]
To akurat bzdura, żadno zabezpieczenie nie działa, jeśli ktoś nie wie, jak go użyć, i nie wie, jak go skonfigurować.
Akurat w OpenBSD jest bardzo dobry  firewall PF, włącznie z uwarunkowaniem możliwości zmiany ustawień od security level, podobnie z atrybutami chattr, ale zarówno ten super firewall jak i te security levele trzeba skonfigurować.

Bo samo nic się nie zrobi.
;)[/quote]
A uzywales kiedykolwiek BSD  ? Czy tylko domysly, ze jak linuksa trzeba konfigurowac pol dnia to "jasno" wynika, ze BSD tez. Wez sobie poczytaj na temat OpenBSD a najlepiej sam sobie zainstaluj. Linuks to jest kernel a BSD to jest kernel + userland (calosc, spojnosc) .

Tak na szybko:

Bezpieczeństwo

Pomijając fakt różnego rodzaju zabezpieczeń wbudowanych w jądro systemu co zapewnia nam bezpieczeństwo? Odpowiedź na to pytanie brzmi „szczegóły”. Takie szczegóły jak sam proces wydawania nowych wersji systemu. Podejście developerów. Sposób zarządzania projektem. Niestety w świecie Gnu/Linux w panuje ogólny chaos. Osobno rozwijane jądro i reszta systemu jest niezbyt dobrym procesem. Komunikacja pomiędzy ogromną ilością developerów jest z góry skazana na porażkę.

W takim porównaniu systemy z rodziny BSD to ostoja ładu i porządku. Ujednolicony proces rozwoju jądra i userlandu zapewnia stabilność i bezpieczeństwo. Niewielka ilość developerów zwiększa możliwości komunikacyjne. Proces wydawania nowych wersji jest ujednolicony i usystematyzowany. Nowa wersja nie powstanie dopóki wszystko nie będzie sprawne. Twórcy dużą wagę przykładają do jakości oraz czystości kodu. Standardem jest ciągły audyt kodu podnoszący jego jakość i bezpieczeństwo.[/quote]

Ostatnio edytowany przez bryn1u (2011-03-29 09:56:27)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#39  2011-03-29 11:02:32

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

OpenBSD bawiłem się dość dawno temu, system rzeczywiście bezpieczny, ale dość ciężki, natomiast firewall pf - to jest dla mnie na razie czarna magia.
Co do twierdzenia typu: Linux to tylko jądro i chaos, a *BSD to ład i ostoja, bo jeden spójny system, to zwykły PR-owski bełkot fanatyków *BSD.
Przecież czy bierzesz Debiana, czy Fedorę, czy Ubuntu, to 90% - 95% systemu jest przygotowane i przetestowane przez grupę developerów.

W Gentoo natomiast ebuildy piszą developerzy, a człowiek sam sobie wybiera,
z jakimi opcjami chce mieć dany program, i jakim kompilatorem (kompilator też ma różne flagi),  go kompilować.

Ryzyko błędu w kodzie  też jest zbliżone  we wszystkich systemach.
Łaty na błędy w programach też we wszystkich systemach otwartych powstają średnio w ciągu od 2 tygodni do 3 miesięcy od wykrycia błędu, choć zdarzają się wyjątki.

A jak ktoś chce tutaj twierdzić, że Linux, (czy konkretnie Gentoo), nie nadaje się na serwer z takiego czy innego powodu, to niech to udowodni na przykładzie serwera [url]http://dug.net.pl/[/url]

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-03-29 11:03:26)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#40  2011-03-29 11:32:26

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

[quote=Jacekalex]OpenBSD bawiłem się dość dawno temu, system rzeczywiście bezpieczny, ale dość ciężki, natomiast firewall pf - to jest dla mnie na razie czarna magia.
Co do twierdzenia typu: Linux to tylko jądro i chaos, a *BSD to ład i ostoja, bo jeden spójny system, to zwykły PR-owski bełkot fanatyków *BSD.
Przecież czy bierzesz Debiana, czy Fedorę, czy Ubuntu, to 90% - 95% systemu jest przygotowane i przetestowane przez grupę developerów.

W Gentoo natomiast ebuildy piszą developerzy, a człowiek sam sobie wybiera,
z jakimi opcjami chce mieć dany program, i jakim kompilatorem (kompilator też ma różne flagi),  go kompilować.

Ryzyko błędu w kodzie  też jest zbliżone  we wszystkich systemach.
Łaty na błędy w programach też we wszystkich systemach otwartych powstają średnio w ciągu od 2 tygodni do 3 miesięcy od wykrycia błędu, choć zdarzają się wyjątki.

A jak ktoś chce tutaj twierdzić, że Linux, (czy konkretnie Gentoo), nie nadaje się na serwer z takiego czy innego powodu, to niech to udowodni na przykładzie serwera [url]http://dug.net.pl/[/url]

To by było na tyle
;-)[/quote]
Ale nikt Ci nie mowi, ze Linux sie nie nadaje na servery. Bezpieczenstwo to proces nie produkt. Tylko sa systemy po instalacji przystosowane do korzystania i sa systemy na ktore trzeba poswiecic wiecej czasu. Co do tego belkotu to moze dla fanatykow linuxa ciezko przyjac do wiadomosci duzy pozytyw ze strony *BSD a nie na odwrot ? Myslales w ten sposob ? Raczej wiekszosc ludzi zaczynala od linuxa a pozniej przechodza na BSD i tak juz pozostaje. Dla mnie skrypty startowe w Debianie to jest jeden wielki chaos. Co do OpenBSD to wbrew pozorom jest bardzo intuicyjny i nie jest trudny.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#41  2011-03-29 11:49:27

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

To jest dyskusja o systemie pod serwer shell, czy nowy flame na temat Linux kontra *BSD?

Każdy system ma wady i zalety, każdy ma błędy, każdy ma jakieś wady i zalety.
I każdy trzeba porządnie skonfigurować, żeby dobrze działał.

To wszystko w tej kwestii.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#42  2011-03-29 11:53:02

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

[quote=Jacekalex]To jest dyskusja o systemie pod serwer shell, czy nowy flame na temat Linux kontra *BSD?[/quote]
Racja :)

Poprostu przeraza mnie konfiguracja az tylu rzeczy selinuxa, grsec, apparmora etc.  Ile Ci czasu zajmuje skonfigurowanie tego wszystkiego, aby moc swobodnie korzystac i korzystaly osoby 3-ecie z tego servera ?

Sprobuje dzisiaj zainstalowac genntoo. Grsec sciagac ze strony czy brac jajko z grsec ? Jak to pozniej konfigurowac po instalacji ?

Ostatnio edytowany przez bryn1u (2011-03-29 12:25:21)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#43  2011-03-29 12:44:42

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

Flagi kompilatora  do make.conf są na necie.
Stage hardened ma gotowe flagi do zastosowania na serwerach, można w make conf dodać ssl, tls, mysql i static*, jak ktoś chce.
W domu na kompie odalam chroota z takim stage, i buduję wszystkie paczki, które chcę skompilować, na opisany w wątku serwer będzie około 4  o 20 sztuk.
Do tego źródła hardened-sources, na serwerze zrobić listę modułów skryptem ver_linux, z kernela dystrybucyjnego, ustawiam te moduły w konfigu kernela,
Następnie kompiluję kernel do paczki

Kod:

 make tarbz2-pkg

Na serwerze rozpakowuję ten sam stage, wgrywam skompilowane w domu paczki,  wypakowuję jajo, konfiguracja gruba, firewalla i start.
Test czy działa, wrzucam przygotowane konfigi do demonów typu www, ftp, i inne, odpalam skrypty jailkit (trzeba do nich zrobić konfig)  - żeby porobić chrooty.
Na wirtualzację Celeron jest o wiele za słaby.
Włączam automatyczne generowanie polityki grsec.

Serwer trochę pochodzi, np 2 dni, kończę zapisywanie generowanej polityki grsec, i biorę ją do obróbki.
Instalacja - jakieś 1 godzina roboty, i spacer z psem, az się skompiluje, co ma się skompilować, postawienie sytemu na serwerze, jak każdy inny system, wgrać gotowe paczki, uruchomić, wrzucić konfigi.

Najtrudniejsza jest teoretycznie konfiguracja ACL grsecurity, ale na taki serwer wcale nie jest zbyt trudna. Trzeba tylko na wzór wziąść wygenerowaną automatycznie, żeby przejrzeć, co faktycznie działo się przez czas generowania.
Przy instalacji systemu jest może z godzina lub 2 konfigurowania i kombinowania, komputer ma trochę więcej czasu na kompilację.

Przy poprawianiu konfiguracji dla ACL jest trochę zachodu, ale da się to zrobić w 2 godziny, na necie przykładów nie brakuje.
Można też olać ACL z grsec lub dać tam kilka niezbędnych funkcji,  i włączyć równolegle Selinux, który ma gotowe profile, lub Apparmor,do którego też są gotowce, jednak czasami trzeba w nich trochę przerobić ścieżki do folderów.

90% roboty idzie tak samo, jak w każdym innym systemie, 10 procent, to robota specyficzna dla Gentoo, ACL się we wszystkich systemach konfiguruje jednakowo.

i gdzie tu jest coś niezwykłego?

Ostatnio edytowany przez Jacekalex (2011-03-29 12:45:04)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#44  2011-03-29 13:15:13

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

Jezeli chodzi o moja stycznosc z linuxem i to co napisales to jestem jeszcze na innej galaktyce i nie zapowiada sie, zebym znalazl jakies gwiezdne wrota do powrotu na ziemie. Z Debianem by chyba poszlo znacznie szybciej ? Bez kompilowania tego wszystkiego ? Ale czy konfiguralnosc systemu jest podobna jak w przypadku gentoo ?


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#45  2011-03-29 13:28:19

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

Wszystkie demony sieciowe, iptables, kernel, grsecurity i 95% badziewia konfiguruje się jednakowo we wszystkich Linuxach.
Inaczej działają instalatory, w Gentoo są flagi, w Debianie paczki.
Do tego może z 5 plików konfiguracyjnych wygląda inaczej, ale nie jest to jakaś magia, to głownie  sieć i lokalizacja, skrypty startowe? w Debianie kiedyś

Kod:

update-rc.d.....

w Gentoo obecnie

Kod:

rc-update add <program> default

praktycznie to samo.

A np konfig do Postfixa, Nginxa czy ssh może fruwać między FreeBSD, Slackiem, Gentoo, Debianem i Ubuntu, we wszystkich systemach Postfix  czy ssh działa tak samo, nieco inne są konfigi Apacha w Gentoo niż w Debianie, ale różnicę można ogarnąć w 10 minut, dotyczy ścieżek do folderów, Debian ma /var/www, w Gentoo jest /var/www/<domena>/htdocs,
dla cgi w Debianie /usr/lib/cgi-bin, w Gentoo  /var/www/<domena>/cgi-bin.

Także nie wiem, o czym jeszcze można tu dalej dyskutować.

to by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-03-29 13:29:01)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#46  2011-03-29 14:01:47

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

Co muszę zrobić aby chrootnąć nginx?
Wykonywałem wszystko według tego poradnika http://www.cyberciti.biz/faq/howto-run-nginx-in-a-chroot-jail/
Pominąłem krok szósty "Copy /etc To Jail". Jednak gdy chce odpalić nginx wydaje:

Kod:

# chroot /var/www/ /var/www/usr/sbin/nginx -t
chroot: failed to run command `/var/www/usr/sbin/nginx': No such file or directory

Wszystko mam w /var/www. Aha bym zapomniał

Kod:

# chroot /var/www
chroot: failed to run command `/bin/bash': No such file or directory

Kod:

# chroot /var/www/ /bin/bash
chroot: failed to run command `/bin/bash': No such file or directory

Ciągle to samo, dlaczego?

Offline

 

#47  2011-03-29 14:28:44

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: FreeBSD vs. OpenBSD na serwer

Zainteresuj się programem [url=http://olivier.sessink.nl/jailkit/]jailkit[/url], on daje możliwość automatycznego tworzenia i aktualizowania chroota, w dość przystępny sposób.

Robienie jaila na piechotę do droga przez mękę, a poza tym i tak musisz czasem zaktualizować soft, będziesz rzeźbił chroota za każdym razem od nowa?

I na jakim systemie ostatecznie stawiasz tego chroota?

Ponadto możesz zrobić chroota makejailem (trzeba w nim stworzyć konfigi dla usług, które mają być chrootowane).

Możesz też zrobić to  najprostszym z możliwych sposobów, zajmuje więcej miejsca, ale działa ok.
np tworzę partycje, instaluję na niej minimalny system bazowy (np Ubuntu mini.iso),
potem potrzebne programy w tym systemie ([b]apt-get[/b]), następnie przechodzę do systemu głównego, i mam tam gotowego chroota, z całym potrzebnym softem, potem tylko montuję lub tworzę w chroocie [b]/dev/urandom[/b] [b]/dev/random[/b] i [b]/dev/null[/b].
W konfigu rsyslog trzeba ustawić obsługę gniazda [url=http://www.rsyslog.com/doc/imuxsock.html]/dev/log[/url] - żeby tworzył je w chroocie, i gotowe.
Odpalanie normalnie:
z roota:

Kod:

chroot /<folder> /usr/bin/nginx  <opcje>

Sposób wymaga fizycznego dostępu do maszyny, ale za to jest najprostszy do zrobienia, i w dodatku, jakby jakiś skrypciarz włamał się do takiego chroota, to chwila minie, zanim się zorientuje, że to chroot ;)

A jak potem chcesz zaktualizować takiego chroota, to odpalasz albo ten system przez kvm, albo bezpośrednio, i aktualizujesz.

W identyczny sposób działa LXC, bardzo podobnie OpenVZ.
Jednak instalując gotowy system jako bazę dla chroota, nie trzeba studiować żadnych specjalnych konfiguracji, ja tak mam postawiony Squeeze.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-03-29 15:12:04)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#48  2011-03-29 21:40:57

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: FreeBSD vs. OpenBSD na serwer

Możesz opisać przykładową konfiguracje?
Zmęczony już jestem, dzień pełen roboty i już moja głowa i ciało odmawia mi posłuszeństwa.
LCX jest za ciężki na serwer.

Offline

 

#49  2011-03-29 22:18:07

  debianus_userus - Członek DUG

debianus_userus
Członek DUG
Skąd: Warszawa
Zarejestrowany: 2005-08-29
Serwis

Re: FreeBSD vs. OpenBSD na serwer

LXC nie polecam jest dosc specyficzny.
O wiele bardziej dojrzalym projektem jest OpenVZ, ktory spisuje sie naprawde znakomicie i posiada o wiele wieksze mozliwosci konfiguracji niz lxc.
Jest to bardzo szybka wirtualizacja z racji tego ze jest ona na poziomie OSu minusem tego jest to, ze kernel takiej wirtualnej maszyny jest wspolny z kernelem hosta.
Bardzo przyjemnie sie backupuje takie srodowiska w trybie live w polaczeniu z LVM.

Offline

 

#50  2011-03-29 22:36:13

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: FreeBSD vs. OpenBSD na serwer

[quote=debianus_userus]LXC nie polecam jest dosc specyficzny.
O wiele bardziej dojrzalym projektem jest OpenVZ, ktory spisuje sie naprawde znakomicie i posiada o wiele wieksze mozliwosci konfiguracji niz lxc.
Jest to bardzo szybka wirtualizacja z racji tego ze jest ona na poziomie OSu minusem tego jest to, ze kernel takiej wirtualnej maszyny jest wspolny z kernelem hosta.
Bardzo przyjemnie sie backupuje takie srodowiska w trybie live w polaczeniu z LVM.[/quote]
A mozna postawic kernel OpenVZ+Grsec ? A nastepnie skoro openvz dzieli jajko od mamy to czy ustawienia grsec tez beda takie same jak u mamy ? (o ile jest mozliwe polaczenie openvz+grsec) I jeszcze jak dzialaja ipv6 w przypadku openvz. Np w jailu pod freebsd czasami z v6 sa problemy.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.012 seconds, 9 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00108 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.70.58' WHERE u.id=1
0.00085 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.117.70.58', 1733246898)
0.00057 SELECT * FROM punbb_online WHERE logged<1733246598
0.00051 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18643 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00438 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18643 ORDER BY p.id LIMIT 25,25
0.00083 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18643
Total query time: 0.00844 s