Переход на LAMP сервере с Debian lenny на Gentoo
Никак не могу решиться. Пересобираю сейчас на сервере Debian lenny apt-buildом, думаю, что оно там как то криво и неудобно устроено и что нафига мне debian если я его пересобираю и если на двухфи декстопах стоит gentoo, и portage мне больше apt'а нравится... Буду скоро на более мощный сервер переходить, помогите решится, похвалите конструктивно gentoo в плане безопасности и производительности. Очень хочу gentoo на LAMP сервер поставить но боюсь. 2 сервера сменил, на первом etch стоял, теперь - lenny, всю дорогу debian (всмысле apt и часто неадекватные зависимости - например иксовые либы от ImageMagick, хотя остальные бинарные еще хуже) бесил, на декстопах ничего кроме gentoo больше чем неделю не задерживалось...
Debian бинарный и весь такой ынтерпрайс... хотя меня один фиг порывает debian пересобрать если он стоит.
помогите короче, похвалите gentoo
- Для комментирования войдите или зарегистрируйтесь
+
хвалю! gentoo вобще путейский дистр, для LAMP подойдет само то. если не планируешь туда втыкать Иксы, то ставь себе hardened gentoo - это усиленное в плане безопасности ядро + gcc, крайне эффективная вещь (в проекте Debian тоже вроде есть такой аналог, помнится еще был Adamantix). Уведомления можно получать по GLSA (glsa-check).
there is only war...
почитал про hardened,
почитал про hardened, понравилось вполне. подскажите, какие пачсеты исплользовать, чтобы не потерять производительность совсем (сервер не мощный), и чтобы программы типовые компилировались без проблем
nginx скомпилируется hardened toolkit?
Если старый 4ый пеньтиум
Если старый 4ый пеньтиум главное выбрать правильный режим защиты от исполнения неисполняемых страниц памяти. У этих камней нет аппаратной поддержки, предлагается два варианта:
Один уменьшает кол-во доступной виртуальной памяти для процессов (его надо выбирать)
Второй не уменьшает, замечательно работает на AMD и очень сильно тормозит на intel.
В современных камнях x86_64 наконец разделили биты чтения и исполнения и там эта защита реализуется аппаратно.
P.S. И при конфигурации ядра читать описания опций, там написано, насколько они влияют на производительность. Hardened компилятор на нее влият незначительно, можно почитать в официальной доке по hardened gentoo. Насколько я помню, общие потери были около 10%. Не так много за хорошую защиту.
в жопу hardened - 50%
в жопу hardened - 50% ресурсов на ветер!!!
Почитайте про контейнеры OpenVZ и используйте их ;-)
Theli написал(а):в жопу
В "жопу" такиx советчиков . Тесты, бенчмарки будут или это голословные утвержденив ?
Извините, но разработчикам Гентоо я верю больше , чем неизвестным кидателям какшек
А теперь поведай всему форуму, КАК OpenVZ предотвращает пролом ПХП скриптов в apache ? И как он позволяет контролировать активность root`a ?
П.С Hardened , т.е pax/grsecurity использую с начала 2006 года
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
не, я конечно, не
не, я конечно, не супер-пупер-мега-хакер-линуксоид, но люди, которым я частенько кидаю вопросы, построили не один сервак и знают как его защищать и являются для меня очень авторитетными... так вот, все они плюются от всяких пропиареных уловок типа pax, selinux, grsecurity ибо некоторые их части (особенно selinux) идут в разрез традиционным канонам unix (например в модели разграничения доступа)... OpenVZ, может, и не спасет от "пролома" некачественно написанный код на php или С, но не даст уронить всю систему это точно, т.к. злоумышленник внутри контейнера будет ооооооооооооойййй как ограничен парой десятков бинарников без привилегий и в отличие от песочницы (chroot) не сможет из нее сбежать... а сам "пролом" хорошим сисадмином выявляется и устраняется - в этом и заключается его работа ;-)
лично по мне, из того, что написано про hardened, я понял то, что это просто какой-то топорный метод типа "не хотите, чтобы вашу машину угнали - снимите колеса и закатайте по уши в асфальт. Ездить конечно уже не будет, но зато не угонят" )))))
а вы считаете, что в gentoo совсем нет никакой политики и никто из разработчиков не получает никаких денег за продвижение каких-либо идей? О_о Даже Линуса Торвальдса взяли за яйца и заставили внедрить в ядро SELinux! да и просто люди склонны ошибаться ;-)
P.S. Может быть вы, slepnoga очень известный кидатель "дельных" советов???
P.P.S. Топикстартер, сходите лучше на курсы по администрированию и программированию под linux/unix. там вас научат и дыры находить и правильно их латать ;-) вопросов таких возникать не будет! и вообще ваш вопрос выглядит как-то странно, типа "хочу заняться сексом. уговорите меня" ))) хотите генту - ставьте генту. просто тупо распишите на бумажке плюсы и минусы относительно ваших задач...
Цитата: OpenVZ, может, и не
Для рассылки спама,утягивание базы, етц.. в общем случае вполне достаточно
Странно , кто это вам сказал, что работа админа - латать дырки после взлома ?
Меня учили , что его задача предотвратить несанкционированные действия.
И какая в Unix модель разграничения доступа традиционная ? :)
И в каком Unix она на данный момент применяется ? И что вы подразумеваетее под термином Unix ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
slepnoga написал(а): Странно
в идеале да, но не такими методами...
возможно я согласен с патчами, которые предотвращают взломы типа "переполнение стека", но всякие RBAC и MAC это пародия на Window$... При неправильной настройке открывается больше дыр, чем было до применения системы... не говоря уже о накладных расходах...
Традиционная для Unix система управления доступом DAC (Дискретное управление доступом) Скажите лучше в каком Unix'e её нету??? )))
Цитата: возможно я согласен с
Очень хорошо :), осталось убрать. лог. ошибки. (Ваша позиция хороша, если вы полностю контролируете программеров, но это не всегда так)
в "Window$" нет функционально полных " RBAC и MAC", именно в Windows это пародия на настоящий RBAC , в отличие от ... ;
Везде есть, Ваша правда, только вот где она в единственном числе ? :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
-
Уважаемый, очень большая просьба к вам, пишите немного повежливее и, желательно, менее радикально. Ибо hardened - это не только Grsecurity/SELinux/PAX и прочие ядровые фичи, это еще набор патчей на компилятор, глибц и прочая, предотвращающие многие и многие программные возможности взлома. Насчет RBAC - не хотите, не используйте. Более того, hardened профиль не требует с вас использования hardened-sources вообще, зато отключает целую кучу лишних флагов.
Так что hardened как раз очень важная и нужная вещь, для серверов, т.к. это практически единственный серверный профиль в дереве (еще есть /server профили, но они, имхо, до сих пор матерятся, что лучше hardened). Использование RBAC, повторяю, на ваше усмотрение. Можете только PAX оставить, к примеру, или TPE из грсекьюрити. Собственно я на сервере использую только ядровые куски грсека.
Насчет всего остального: SELinux делало много народу, щас вот еще Tomoyo, или как-то так, появилось - тоже большой проект, разрабатываемый кучей людей, они что все придурки, которым делать больше нечего? Сомнительно мне это. Возможно просто вы и ваши друзья еще не встретились с ситуацией, когда RBAC и аналогичные системы (RBAC, между прочим, одним ACL на фс не ограничивается) окажутся очень полезны.
кстати, чтобы тем не плодить,
кстати, чтобы тем не плодить, подскажите какой из портеджей mail-agent поставить, чтобы чисто почту из php скриптов отсылать. сейчас стоит exim, но он вроде слишком мощный для такой задачи
плодить темы нужно, на то он
плодить темы нужно, на то он и форум. возможно подойдёт ssmtp