Bezpieczeństo *BSD a Linux.

[Nastach 0]

*BSD. Mowiecie takie stabilne wspaniale unixy. Chyba nie duzo macie doswidczenia z systemami tego typu. Cala rodzina *BSD jest popularna z kilku ale jakże banalnych względów dość łatwa instalacjia i konfguracja (FreeBSD). Moze i stabilne ale na mało pozwala. Druga przez wszystkich zaleta to że można kompilować aplikacje linuxowe. No tak ale co by był warty *BSD bez aplikacji linuxowy wydać goły system bez softu. 3/4 aplikacji jest sciagnieta z linux'ow. Z BSD spotaklem sie jako server'y powiem tak system dla adminow ktorzy chca tylko zaisntalowac zeby stalo ale brak dobrej optymalizacji itp. Po drugie BSD spotykama w tanich kiepskich routerach, tez wielka pomylka zerowa konfiguracja topornosc, mala wydajnosc. Jesli brac sie za UNIXY to tylko jakies dobre jak AIX, a nie tam userfriendly BSD ktore instaluje kiepscy admini i mysla ze sa kims. A jesli chcemy cos darmowego to proponuje Linux takie jak Debian, Gentoo i rodzime PLD ktore rozwija sie dynamicznie, pozatym maja najlepsze dystrybucyjne jajko. Tak dobrego kernela chyba nigdzie nie spotkacie. Jeszcze wroce do BSD i o tym co pisal Fobi. Ze sa bardzo bezpiczne hmm moim zdaniem nie sa bezpieczne zreszta wystarczy bugtraq odwiedzic i wpisac BSD. O windowsach niebede pisal bo to szkoda slow na ten system do serverow to on sie wogle nei nadaje mielame przygody z serverami na win2k i win2k3 w pracy wiec o tym mozna wogle zapomniec. Tak co do MySQL to najpiwer poswstal dla linuxow wiec to raczej nie jest zaleta, windowsow, asp i asp.net tez mozna odpalic na linuxach a co do frontpage to sie wypowiadac niebede tak samo jak IIS. Jak wiem IIS chyba naj mniej bezpieczna rzecz w windowsach I task sobie zakoncze .... Pozdr

[Nastach 0]

Moim zdaniem to nie sa mocne slowa tylko taka prawda. Kazdy kto niechce sie w glebiac w system a chce miec unixa instaluje BSD i wnie nie wnika. Bo mu sie niechce konfowac a defaultowo wszystko jakos sprawanie dziala. Ogranicza ja tylko prawa usera do minimum i koniec. Niemowiac o optymalizacji itp. Pozdr

[Gość Fobi]

Moim zdaniem to nie sa mocne slowa tylko taka prawda. Kazdy kto niechce sie w glebiac w system a chce miec unixa instaluje BSD i wnie nie wnika. Bo mu sie niechce konfowac a defaultowo wszystko jakos sprawanie dziala. Ogranicza ja tylko prawa usera do minimum i koniec. Niemowiac o optymalizacji itp. Pozdr

A w linuksie 'defaultowo' tez wszystko sprawnie dziala, ale porownaj sobie 'defaultowy' poziom bezpieczenstwa freeBSD i linuksa, najlepszym przykladem bedzie tutaj popularny na serwerach za wielka woda Red Hat.

Jesli chcesz podyskutowac na ten temat to wydziele watek do tego lub wyslij mi PM.

Pozdrawiam

[Nastach 0]

Wieczny spór co lepsze Linux czy *BSD

[Gość Fobi]

Ograniczmy sie tutaj do systemow stosowanych w webhostingu czyli glownie FreeBSD i linux Red Hat.

Chyba, ze ktos uwaza, ze powinny tu byc inne dystrybucje.

Pozdrawiam

[Nastach 0]

Ja uwazam gdyz Red Hat przestal istniec jak dobrze nam wiadomo teraz jest fedora. Zreszta inna pakietowa dystrybucja PLD przerasta RH. Zreszta co admin to inna dystrybucja Moze czas zmienic dominacje RH. I zaczac propagowac polski projek.

 

Pozdr

[Gość Fobi]

Red Hat nie upadl i ma sie swietnie, firma Red Hat nastawia sie na rynek biznesowy, a 'uwolnila' Feodore dla desktopow. PLD nie przerasta RH i dlugo nie bedzie. PLD ma przed soba dluga droge.

btw. jestem uzytkownikiem linuksa (debian, na komputerze domowym), a mimo wszystko uwazam, ze FreeBSD jest bezpieczniejsze i bardziej wydajne na serwerach.

 

Do poczytania (troche nie aktualne ale duzo sie nie zmienilo):

http://people.freebsd.org/~murray/bsd_flier.html

[Nastach 0]

Red Hat program Enterprise bedzie dzialal jeszcze przez 3 lata. To jest wersja komercyjna. Nie mowie ze upadl tylko jest zamykany powoli. Ja w domu jestem posiadaczem dwoch masszyn na linuxach sa to Gentoo i PLD. Jakze dwa inne podejscia do linuxa. Gentoo jest blizesz BSD ze wzgledu na portage co jest jednak zaleta BSD ale do czasu gdyz wprowadza zament. Co do bezpieczenstwa niemoge sie zgodzic. W Linuxie wystraczy skompilowac jajko z patchami i jest tak samo bezpieczne a nwet bardziej niz BSD.

 

Ciekawy banchmark: http://bulk.fefe.de/scalability/

 

Pozdr

[Gość Fobi]

Test bardzo ciekawy, ale ile znasz serwerow produkcyjnych korzystajacych z jader serii 2.6 ?

[Nastach 0]

Kwestia czasu. Pamietam jak 4-6 miesiecy temu wiekoszosc pracowalal na 2.2.22 bo bylo bardzo stabilne tylko nie posiadalo iptables. Wiec wszystko przed 2.6.x ktore naprawde jest super

 

Pozdr

[dziadekx 0]

Dlaczego nikt nie mowi o debianie imho bardziej stabliniejszy niz RH

[Nastach 0]

Co tu mowic o debianie spoko distro stabilne ale moim zdaniem Gentoo jest lepsze :-) Zreszta jesli mielibysmy poruszac temat kazdej dytrybucji to by nam miejsca nie starczylo, jeszcze kazdy by mial wlasne przekonania i zdania o kazdej distro. Oczywiscie Debiana niewolono pomijac w takich dyskusjach. Pozdr

[jedrek 0]

Korzystamy w FreeBSD na serwerze i jestesmy bardzo z niego zadowoleni. Wlasciwie tyle moge powiedziec, po prostu nie ma tematu - wszystko dziala.

[Gość adamszendzielorz]

Wieczny spór co lepsze Linux czy *BSD

 

To, na czym admin zna sie najlepiej

 

A juz calkiem bezsensowne jest porownywanie bezpieczenstwa roznych dystrybucji Linuxa - chyba ze mowimy o "bezpieczenstwie" swiezo zainstalowanego systemu, co z bezpieczenstwem nie ma wiele wspolnego

 

pozdr.

[kufel 0]

Adamie: bardzo ladne podsumowanie

 

Wiele osob wyrzuca nam urzywanie Red Hat jako podstawowej dystrybucji serwerowej. Ma to jednak pewien sens ekonomiczny dla naszego modelu biznesowego - a ze sprawnym adminem nawet RedHat jest calkiem "bezpieczny" na tyle na ile system gdzie wpuszcza sie "obcych" moze byc bezpieczny.

[huan 18]

Uzywamy RedHat Enterprise oraz CentOS (darmowa wersja RedHat ES). Zastanawialismy sie nad przejscie na OpenBSD z uwagi na jego duza stabilnosc i dopracowanie, ale niestety CPanel nie wspolpracuje z tym systemem. Zrezygnowalismy rowniez z FreeBSD, poniewaz tworcy CPanela traktuja ten system po macoszemu i kombinacja CPanel+FreeBSD nie jest tak stabilna jak Cpanel+RedHat.

[T 6]

Jeszcze może kilka słów o systemach i panelach.

 

O/S /systemy operacyjne/:

Najwięcej kont stoi na UNIXie /głównie Linux/.

 

Linux nie jest Uniksem.

[weirdo 0]

Cala rodzina *BSD jest popularna z kilku ale jakże banalnych względów dość łatwa instalacjia i konfguracja (FreeBSD).

bsd łatwe w obsłudze? nigdy nie spotkałem się z tego typu argumentem. l...ksy przescigają się w wymyślaniu graficznych instalatorów, kreatorów do wszystkiego, od zadań administracyjnych do diagnostyki, nie mówiac już o wpłatach na wsparcie klienta, a ty o freebsd z zacofanym (czy to pod względem przyjazności, czy możliwości opcji) instalatorem, oferującym domyślnie `surowe' csh mówisz, że jest przyjaźniejsze? to nigdy nie było decydującym kryterium, czy dla mnie, czy dla moich znajomych używających freebsd.

 

Moze i stabilne ale na mało pozwala.

linuksiarzu, porównujesz pf'a z netfiltrem? na pewno czujesz się na siłach do merytorycznej dyskusji, czy tylko chciałeś rozpocząć kolejnego flame'a?

 

powiedz mi, jak w swoim conntracku ograniczasz ilość wpisów w tabeli stanów? per-src? per-rule? owszem, istnieje *eksperymentalny* moduł, ale z jego lakonicznej dokumentacji wynika, że działa jedynie na połączenia tcp.

 

to może inaczej, jak zaimplementujesz synproxy i ochronę anty-synflood przy swoim netfiltrze, który może uchodzić co najwyżej za zabawkę? -m limit? to może sprawdzać się na routerach w sieci blokowej, ale nijak nie umywa się do pf'a, w którym można wręcz usuwać wszystkie wpisy z tablicy stanów od synfloodujących hostów, nie mówiac już o limitowaniu per-host z większym globalnym limitem.

 

swoją drogą, ktoś, nawet w dość poważnie brzmiącym artykule o module TARPIT do netfiltra pisał, żeby wyłączać conntracka całkowicie na hoście używającym TARPIT. czyżby w linuksie nie dało się w ogóle wybrać, które połączenia mają mieć śledzone stany, a które nie?

 

to może zostawmy już te firewalle... powiedz mi, co robisz, kiedy w twoim linuksie wyjdzie kolejna root-hole na krytyczną część kernela? szukasz nieoficjalnych hotfixów, które po prostu dany syscall wyłączają dla nie-superusera?

 

nie mówiąc już o tym, że *bsd jest trochę bardziej "produkcyjne" niż linux i lepiej się skaluje. nigdy nie zastanawiało cię, dlaczego duże portale decydujące się na systemy opensource wybierają właśnie bsd?

 

Druga przez wszystkich zaleta to że można kompilować aplikacje linuxowe. No tak ale co by był warty *BSD bez aplikacji linuxowy wydać goły system bez softu. 3/4 aplikacji jest sciagnieta z linux'ow.

po raz kolejny udowadniasz, że nie wiesz nic o tym systemie. drzewo portów to ponad 12 tysięcy pozycji, z czego bardzo niewiele to linuksowe binarki.

 

 

Po drugie BSD spotykama w tanich kiepskich routerach, tez wielka pomylka zerowa konfiguracja topornosc, mala wydajnosc.

rozumiem, że dysponujesz benchmarkami, wiesz, jak oba systemy się skalują itp.?

Ze sa bardzo bezpiczne hmm moim zdaniem nie sa bezpieczne zreszta wystarczy bugtraq odwiedzic i wpisac BSD.

bsd to cały basesystem, często branches projektów pisanych początkowo przez osoby trzecie, z backportowanymi security fixes. może porównuj ilość krytycznych (obecnych w praktycznie w każdym kernelu, nie w modułach takich jak IPSEC) dziur pomiędzy samymi kernelami...?

[sanczos 0]

pf pf

sproboj zrobic zaawansowane kolejowanie z priorytetami na pakiety ack o roznej wielkosci itp...

mozesz sie schowac ze swoim altq

 

pozdrowienia

[hyhyhy 0]

To, na czym admin zna sie najlepiej

 

dokładnie, nic dodać nic ująć.

 

Pozdrawiam.

[hyhyhy 0]

Linux nie jest Uniksem.

 

 

w pewnym sensie jest, bo część jego kodu, mam tu na mysli kernel, zostala zimplementowana z unixa. Więc Linux jest częścią UNIX`a.