Gentoo на веб-сервере
Написать данную тему подтолкнул этот опрос (думал меньше на серверах используют) и необходимость сменить ДЦ в котором мы арендуем сервера.
Собственно сейчас есть парочка веб-серверов с Debian Squeeze, и есть возможность под шумок переезда перевести их на Gentoo. И тут возникают вопросы :) . Первый из которых - а стоит ли?
Почему хотелось бы генту - лично мне она родней и удобней, плюс немного быстрей (лишние 5-7% никогда не лишние).
Но есть некие опасения и глупые (?) предубеждения.
Например - компилятору на сервере не место. Как вы это решаете?
Кто с какой регулярность обновляет систему? В отличии от Debian, где патчат одну и туже версию программы годами, в генте исправления багов это обычно новая версия, что иногда может ломать клиентские сервисы.
Еще небольшая заминка в том, что на новые сервера (они далеко-далеко) могут из коробки поставить всякие редхаты, или тот же дебиан. А генту придется ставить уже из них. И скорее всего KVM не будет... впрочем я неплохо играю в сапера) Однако в любом случае это лишнее время и некий риск простоя.
И на десерт - оправдано ли использование Hardened? Опыта работы с этой версией нет :(
Надеюсь на ваш опыт.
- Для комментирования войдите или зарегистрируйтесь
Ставьте gentoo hardened с PaX
Ставьте gentoo hardened с PaX + GrSecurity
По поводу компилятора на сервере он лишним не будет и не помешает ;)
___________________________________________
Working on Gentoo for iPAQ hx4700 and Openmoko Neo Freerunner :-)
Если у вас компьютер с Windows, есть два выхода: выбросить компьютер в форточку или выбросить форточки с компьютера
1) если вы хотите панельки,
1) если вы хотите панельки, юзаете или планируете юзать блобы - то не стоит
2) В конце концов гцц все равно становится на каждую машину, если юзается что то сложнее вордпресса
3) Hardened это что то вроде vpn - все знают, что щто такое, но никто не хочет назвать конкретную технологию.
Лично я использую pax почти всегда плюс грсек или селинукс в зависимости от обьтоятельств
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
LinuxDrom написал(а): а стоит
Ставь, если есть время уделять ему повышеное внимание. Gentoo очень динамичен, поэтому надо быть постоянно "в теме".
Hardened оправдан, если сильно интересуешься проблемами безопасности.
Все будет работать, но
Все будет работать, но времени, нервов и внимания на запуск и поддержку потратишь существенно больше. Oсобенно с Hardened! :) Поэтому, если нет реальной потребности в Hardened, лучше/проще не ставить. Грамотной настройки обычных мер безопасности вполне хватает.
У меня десяток рабочих серверов (в том числе 3-4 вебовских) крутилось более 5 лет под Гентой.
Также обрати внимание (проверь не тест-драйве) на прикладные рабочие системы, - не все смогут ужиться с Генту, особенно если они от сторонних организаций. Тут во главе угла будет проблема поддержки.
Например, мне пришлось оставить 2 вебсервера под Сусей, поскольку система была разработана и сертифицирована именно под нее.
Удачи!
.
Подпишусь.
Gentoo в принципе, а Hardened-профиль сугубо требуют знания чего (а также: зачем и почему) конкретно ты хочешь.
Есть такое знание (в том числе: для каких конкретно мер, и чем обусловлена необходимость оных, тебе нужен hardened) --- поставишь достаточно быстро и просто, и сэкономишь на ресурсоёмкости сопровождения (как минимум в части сюрпризов).
Нет такого знания --- лучше начать с некоторого полуготового решения.
Другое дело, что под твою задачу его скорее всего тоже придётся пилить, и не факт что оно выйдет проще, чем в Gentoo...
:wq
--
Live free or die
Спасибо всем за ответы и
Спасибо всем за ответы и советы.
Панелек нет и не предвидится. О ихней привычке ставить софт в обход репозитория знаю. Блобов есть пару штук, но если будет время и вдохновение - напишу ебилды. В общем превращать систему в мусорку не планирую.
Собрать нужное можно и на другой машине...
Жаль никто не высказался насчет обновлений.
С одной стороны постоянные обновления это не так и плохо.
Как показывает практика, обычные дистрибутивы при смене релиза зачастую проще переустановить заново, чем обновить. И эту процедуру нужно раз 2-3 года выполнять. В тоже время, например, у меня на домашнем десктопе одна и та же гента стоит уже 5 с лишним лет (поставил за несколько недель до регистрации на gentoo.ru), при том что железо поменялось полностью пару раз.
Но с дебиан раз в 2-3 года посидел несколько дней, все настроил, оттестировал, и потом "забыл" о нем. С генту нужно:
В общем эти несколько дней с дебиан, размазываются тонким слоем...
Я - нет. А вот кулхацкеры с некой регулярностью интересуются :) Пока безуспешно, но...
С Hardened еще немного смущает тот момент, что скорее всего эта версия уже не будет быстрее Debian.
На запуск - согласен. А с поддержкой, хотелось бы верить, будет может даже проще - как я уже говорил гента лично мне родней и удобней.
Смущает прошедшее время :)
Как часто обновляли? Какие были подводные камни?
Спасибо :)
Прошедшее - потому что ушел
Прошедшее - потому что ушел уже оттуда давно, а они через 2 года (проверил по логам) перехали на Дебиана (т.е. на Генте сервера прожили 5-7 лет).
Политика обновления - ежедневная (еженощная :)) синхронизация мастер-хоста с зеркалами, после чего синхронизация всех (для которых портаж не зашарен через НФС) серверов с мастером и сухой прогон (с формированием логов) обновления с закачкой нужных файлов для всех групп-мастеров (сервера разбиты на группы с различными конфигурациями портажа). Завершающим этапом является рассылка полученных логов обновления мне на почту. Вся процедура организована с таким расчетом, чтобы к моему приходу на работу логи обновлений уже лежали у меня в почтовом ящике. Я их просматривал и решал кому и когда обновляться. Обновления делались (компилировались) на групп-мастерах и бинарные пакеты распространялись по группам (разумеется, если процесс прошел удачно :)).
С целью упрощения все ядра были унифицированы: только 2 основных (виртуал-хост и виртуал-гость) и парочку-тройку специфических (для разных нестандартных решений). В общей сложности в систему входило около 50-70 серверов, большая часть (процентов 80-90) из которых - виртуальные (что, кстати, сильно упрощает систему из-за отвязки от железа, решая ядерную проблему). На вебовских и виртуальных хостах (причем, только на них!) hardened-ядра не было, а hardened-систем (хотя ядро было hardened!) не было еще на некоторых серверах из-за различных проблем с приложениями и/или сервисами.
Да, кстати, система была достаточно сер'езная - минутные простои - ЧП, а часовые - катастрофа! Со всеми вытекающими...
Допустимые плановые остановки - только после обеда в воскресенье на 2 часа по согласованию с бизнес-подразделениями!