Почему Gentoo не стоит использовать на сервере (ваше мнение?)

[t.t]

Так все же у генту есть разные ветки? Может, есть и stable ветка?

Да, есть stable. Но она тоже безрелизная. Пакет достаточно оттестирован - в stable его.

В этом случае не вижу проблемы в отсуствии релизов

А я вижу. Нарушается важнейший для сервера принцип «если всё работает, ничего не трогай». Мне видится, что для сервера наличие постоянных обновлений безопасности (и только безопасности!) в сочетании с редким (раз в 2-5 лет) обновлением всей системы подходит куда лучше, нежели ползущее обновление всего, что установлено.

[t.t]

Кстати, уважаемые гентушники, хотелось бы услышать конкретно, чем Gentoo хорош для сервера. Тогда тема могла бы быть кому-то полезна.

[/dev/random]

Кстати, уважаемые гентушники, хотелось бы услышать конкретно, чем Gentoo хорош для сервера. Тогда тема могла бы быть кому-то полезна.

Хотя бы тем, что дистрибутивов, сравнимых по безопасности с _Hardened Gentoo_, просто нет. Где ещё можно найти, к примеру, ядро с PaX или компиляцию пакетов с -fstack-protector-all (не путать с -fstack-protector)?

...подходит куда лучше, нежели ползущее обновление всего, что установлено.

А никто не заставляет обновлять _всё_.

[t.t]

Кстати, уважаемые гентушники, хотелось бы услышать конкретно, чем Gentoo хорош для сервера. Тогда тема могла бы быть кому-то полезна.

Хотя бы тем, что дистрибутивов, сравнимых по безопасности с _Hardened Gentoo_, просто нет. Где ещё можно найти, к примеру, ядро с PaX или компиляцию пакетов с -fstack-protector-all (не путать с -fstack-protector)?

Да, это аргумент.

...подходит куда лучше, нежели ползущее обновление всего, что установлено.

А никто не заставляет обновлять _всё_.

А как? Выбирать вручную, что обновлять? На сервере? Нет уж. Обновления безопасности тем и хороши, что их можно ставить не задумываясь. В Gentoo, как я понимаю, аналогов нет?

[serzh-z]

а что произойдёт с таким пакетом при выпуске новой версии/подверсии в апстриме и (как я понимаю) обновлении/создании нового ebuild-а?

Кто-то запостит в Gentoo Bugzilla запрос на "version bump", мейтейнер ебилда (если не поленится, как это было с Gajim - там он по 6 месяцев не реагировал ни на что) отреагирует и выпустит новый unstable ебилд, который, в большинстве случаев, будет торчать там несколько недель, если не будет ни одного бага, или до полного закрытия всех некритичных багов (или будет торчать в masked, до закрытия всех критичных багов). Цикл замкнётся. С stable-версией ничего не случится.

[/dev/random]

В Gentoo, как я понимаю, аналогов нет?

Есть, GLSA. Правда, пока в бета-стадии.

[serzh-z]

А как? Выбирать вручную, что обновлять? На сервере? Нет уж. Обновления безопасности тем и хороши, что их можно ставить не задумываясь. В Gentoo, как я понимаю, аналогов нет?

Посмотреть вывод glsa-check и размаскировать 1-2 пакета - это небольшая проблема, думаю. Вся фишка в удобнейшей системе фильтрации пакетов.

Разумеется, если пакет XXX в апстриме требует самую новую версию glibc, а вся система на сервере заморожена так, что всё работает на старой glibc, то никто не будет специально бекпортировать патч для старой версии XXX. Как понимаю - в других дистрах одновременно могут поддерживатся *несколько* версий одного и того же пакета, в независимости от того, есть ли поддержка старой версии в апстриме.

Есть, GLSA. Правда, пока в бета-стадии.

Уже 6 лет в бета-стадии, правда. =)) Примерно, с 2004-го (судя по GLEP14). =)

[sash-kan]

Вся фишка в удобнейшей системе фильтрации пакетов.

да, разумеется, плюсы в gentoo имеются. как обычно в жизни — в чём-то проигрываешь, в чём-то выигрываешь…

btw. как-то эти две цитаты у меня в голове не состыковыаются:

Для меня отсутствие релизов - огромный плюс. Это означает мгновенное появление новых версий программ

дистрибутивов, сравнимых по безопасности с _Hardened Gentoo_, просто нет.

не укладываются, видимо, потому, что стабильность и безопасность (по крайней мере у меня в голове) — сущности взаимосвязанные.
да-да, я помню, можно «заморозиться на ветке stable». вот только не ускользает ли тогда сам смысл выбора именно gentoo?

[Bluetooth]

Так все же у генту есть разные ветки? Может, есть и stable ветка?

Да, есть stable. Но она тоже безрелизная. Пакет достаточно оттестирован - в stable его.

В этом случае не вижу проблемы в отсуствии релизов

А я вижу. Нарушается важнейший для сервера принцип «если всё работает, ничего не трогай». Мне видится, что для сервера наличие постоянных обновлений безопасности (и только безопасности!) в сочетании с редким (раз в 2-5 лет) обновлением всей системы подходит куда лучше, нежели ползущее обновление всего, что установлено.

А. Ну на сервере - именно так

Есть, GLSA. Правда, пока в бета-стадии.

А стейблом когда будет?

[serzh-z]

Хотя бы тем, что дистрибутивов, сравнимых по безопасности с _Hardened Gentoo_, просто нет. Где ещё можно найти, к примеру, ядро с PaX или компиляцию пакетов с -fstack-protector-all (не путать с -fstack-protector)?

У меня есть сомнения, что то ли живой, то ли мёртвый (документация по HG, почти вся датированная 2005-2007 годами, наводит на нехорошие мысли) Hardened Gentoo более безопасен, нежели параноидальный и коммерческий RHEL (или SLES).

вот только не ускользает ли тогда сам смысл выбора именно gentoo?

Нет. Смысл Gentoo - это "я его слепила из того что было" + возможность исправить нестыковки руками *штатно* (средствами PMS-менеджера и стандартных конфигов) и малыми силами, если намерения мейтейнеров офф. дерева пакетов иду вразрез с собственными планами.

[/dev/random]

У меня есть сомнения, что то ли живой, то ли мёртвый (документация по HG, почти вся датированная 2005-2007 годами, наводит на нехорошие мысли) Hardened Gentoo более безопасен, нежели параноидальный и коммерческий RHEL (или SLES).

Живой, живой. Пару лет Hardened действительно был "в коме" - не обновлялись доки, разработка шла только в оверлее, использовался только gcc3, и т.д. Однако несколько месяцев назад он вновь заработал на полную: вернулся в основное дерево, использует gcc 4.4 и ядро 2.6.34, идёт работа над обновлением документации.

[sash-kan]

Смысл Gentoo - это "я его слепила из того что было" + возможность исправить нестыковки руками *штатно*

инидвидуализация и кастомизация. понятно.


но вернёмся всё-таки к серверам.
во-первых, ввиду отстутствия централизованных обновлений безопасности как класса, придётся регулярно тратить время на их выявление и «накатывание» (вариант использования не ветки stable я, по понятным причинам, не рассматриваю).
во-вторых, проделанная и постоянно поддерживаемая «индивидуализация и кастомизация» не могут не затруднить процесс (затянуть время) передачи серверного хозяйства преемнику (в сравнении с более стандартизированными дистрибутивами).
вот такие предварительные выводы у меня сложились на основании нашей дискуссии.

[Goodvin]

...подходит куда лучше, нежели ползущее обновление всего, что установлено.

А никто не заставляет обновлять _всё_.

Только вот, например, при выходе очередной версии какого-нибудь пакета выяснится, что патченый пакет требует новую версию патченой библиотеки, которая тянет за собой по зависимостям еще ворох таких же, которые обновляли по каким-нибудь другим причинам.
А остаться на старой версии можно, но через пару- тройку месяцев кто-то решит замаскировать ебилд этой версии и в как депрекейтед.
И тогда либо поднимать собственный оверлей с этим ебилдом нужной версии и самому править ебилды для разруливания зависимостей.
Нарывался пару раз на такое.

И это на сервере.
На десктопе, где есть еще Иксы, DE и прочее, такое (или подобное) случается чаще.
Как, например, веселая чехарда зависимостей между vnc, tiger-vnc, xrdp и xorg-server.
Которая привела к тому, что пришлось держать маленькую кучечку локальных поправленных ебилдов.

Гента хороший дистрибутив и в некоторых местах бывает незаменим, но имеет и ряд своих особенностей, которые иногда превращаются в недостатки.

[Goodvin]

Смысл Gentoo - это "я его слепила из того что было" + возможность исправить нестыковки руками *штатно*

инидвидуализация и кастомизация. понятно.


но вернёмся всё-таки к серверам.
во-первых, ввиду отстутствия централизованных обновлений безопасности как класса, придётся регулярно тратить время на их выявление и «накатывание» (вариант использования не ветки stable я, по понятным причинам, не рассматриваю).

Там еще бывает так, что к версии пакета, перешедшей в стейбл, тупо не пишут секьюрити-патчей, потому что стейбл уже меньше интересует тестеров и разработчиков, которые больше увлекаются боданием с нестабильной и более свежей версией.

Неоднократно встречал на разных форумах, и на буржуйских тоже, рекомендации делать упор на нестабильную ветку, которая, по словам советчиков, на самом деле более стабильна из-за того, что разработчики уделяют ей больше времени и внимания.
А то, что уже "сброшено" в стейбл, по мнению тех же советчиков, не такой уж стейбл, так как после перевода в стейбл пакетам уделяют намного меньше внимания.

[t.t]

В Gentoo, как я понимаю, аналогов нет?

Есть, GLSA. Правда, пока в бета-стадии.

Как я понимаю, это не совсем то же самое. Собственно, и Серж об этом говорит:

Разумеется, если пакет XXX в апстриме требует самую новую версию glibc, а вся система на сервере заморожена так, что всё работает на старой glibc, то никто не будет специально бекпортировать патч для старой версии XXX. Как понимаю - в других дистрах одновременно могут поддерживатся *несколько* версий одного и того же пакета, в независимости от того, есть ли поддержка старой версии в апстриме.

Главный вопрос ведь вот в чём. На сервере я бы хотел быть уверен, что мне будут доступны все критичные (для безопасности или работоспособности системы) обновления без необходимости обновлять сами программы (создавая возможность для проблем с совсемтимостью). С ползущим stable я вообще не могу представить, как такое возможно.

[serzh-z]

Там еще бывает так, что к версии пакета, перешедшей в стейбл, тупо не пишут секьюрити-патчей, потому что стейбл уже меньше интересует тестеров и разработчиков, которые больше увлекаются боданием с нестабильной и более свежей версией.

"-r1", "-r2" и т.д. - это и есть такие патчи, в большинстве случаев. Но они, разумеется, требует обновления основного дерева пакетов.

[serzh-z]

Ещё раз, Gentoo - это метадистрибутив. Это навроде ванильного ядра, которое любой может взять, сделать свой бранч и выложить там патчи.

Реализовать релизы и патчи безопасности к релизам - на базе Gentoo очень просто. Но для этого в этом кто-то должен быть заинтересован и сделать дистрибутив более высокого уровня, такой как Calculate, Sabayon или Funtoo.

[polovinamozga]

Смысл Gentoo - это "я его слепила из того что было" + возможность исправить нестыковки руками *штатно*

инидвидуализация и кастомизация. понятно.


но вернёмся всё-таки к серверам.
во-первых, ввиду отстутствия централизованных обновлений безопасности как класса, придётся регулярно тратить время на их выявление и «накатывание» (вариант использования не ветки stable я, по понятным причинам, не рассматриваю).
во-вторых, проделанная и постоянно поддерживаемая «индивидуализация и кастомизация» не могут не затруднить процесс (затянуть время) передачи серверного хозяйства преемнику (в сравнении с более стандартизированными дистрибутивами).
вот такие предварительные выводы у меня сложились на основании нашей дискуссии.

проделанная и постоянно поддерживаемая «индивидуализация и кастомизация» не могут не затруднить процесс (затянуть время) передачи серверного хозяйства преемнику

По сути вся кастомизация это собственные маскировки пакетов, которые живут в /etc/portage/
Если мне сейчас выдать сервер с гентой и сказать РАЗБЕРИСЬ, то не думаю что это займет больше получаса времени, думаю столько же ушло бы на разбор какого-нибудь центоса.


Так же тем кто хочет больше безопасности, то пусть юзают Харденед с Паксом и обмазываются SElinux, на сколько мне известно PaX больше нет нигде, кроме генты.

[polovinamozga]

...подходит куда лучше, нежели ползущее обновление всего, что установлено.

А никто не заставляет обновлять _всё_.

Только вот, например, при выходе очередной версии какого-нибудь пакета вычснится, что патченый пакет требует новую версию патченой библиотеки, которая тянет за собой по зависимостям еще ворох таких же, которые обновляли по каким-нибудь другим причинам.
А остаться на старой версии можно, но через пару- тройку месяцев кто-то решит замаскировать ебилд этой версии и в как депрекейтед.
И тогда либо поднимать собственный оверлей с этим ебилдом нужной версии и самому править ебилды для разруливания зависимостей.
Нарывался пару раз на такое.

И это на сервере.
На десктопе, где есть еще Иксы, DE и прочее, такое (или подобное) случается чаще.
Как, например, веселая чехарда зависимостей между vnc, tiger-vnc, xrdp и xorg-server.
Которая привела к тому, что пришлось держать маленькую кучечку локальных поправленных ебилдов.

Гента хороший дистрибутив и в некоторых местах бывает незаменим, но имеет и ряд своих особенностей, которые иногда превращаются в недостатки.

На десктопе, где есть еще Иксы, DE и прочее, такое (или подобное) случается чаще.

Да откуда вы все это берете-то?
У меня на 2 серверах, которые занимаются виртуализацией стоит гента, на двух домашних компах гента, на рабочем гента
и вы не поверите ВСЕ обновляется регулярно, ветка анстейбл, и уже больше двух лет нет никаких проблем после обновления.
Обновляюсь регулярно.

Которая привела к тому, что пришлось держать маленькую кучечку локальных поправленных ебилдов.

Вот опять какие-то костыли, ну почему же все работает-то у меня
У вас там может какие-то пакеты УНИКАЛЬНЫЕ.

И это на сервере.

гентушник-теоретик в треде.
У меня на сервере аптайм 60 дней и это гента.

[Bluetooth]

Так же тем кто хочет больше безопасности, то пусть юзают Харденед с Паксом и обмазываются SElinux, на сколько мне известно PaX больше нет нигде, кроме генты.

А что делать с патчами безопасности? Выше написано, что подчас их для стейбла нет. А если учесть, что еще и обновления безопасности нужно вылавливать самостоятельно, с помощью вещи, которая еще не стейбл, этот процесс мне не выглядит приятным.

[polovinamozga]

Ещё раз, Gentoo - это метадистрибутив. Это навроде ванильного ядра, которое любой может взять, сделать свой бранч и выложить там патчи.

Реализовать релизы и патчи безопасности к релизам - на базе Gentoo очень просто. Но для этого в этом кто-то должен быть заинтересован и сделать дистрибутив более высокого уровня, такой как Calculate, Sabayon или Funtoo.

Calculate, Sabayon или Funtoo.

или Funtoo.

calculate - для ынтыпрайза
sabayon - для юных неосиляторов-убунтойдов.
funtoo - для некромансеров.

Так же тем кто хочет больше безопасности, то пусть юзают Харденед с Паксом и обмазываются SElinux, на сколько мне известно PaX больше нет нигде, кроме генты.

А что делать с патчами безопасности? Выше написано, что подчас их для стейбла нет. А если учесть, что еще и обновления безопасности нужно вылавливать самостоятельно, с помощью вещи, которая еще не стейбл, этот процесс мне не выглядит приятным.

Давайте передем от слов к делу.
Откажемся от каких-то сферических в вакууме "патчей безопасности", "обновлений безопасности" и будем говорить о конкретных версиях софта.

с помощью вещи, которая еще не стейбл,

Что это за вещь?

[Bluetooth]

Давайте передем от слов к делу.
Откажемся от каких-то сферических в вакууме "патчей безопасности", "обновлений безопасности" и будем говорить о конкретных версиях софта.

Почему сферические-то? И почему надо говорить о конкретном софте, если обновления безопасности выходят для всех компонентов?

с помощью вещи, которая еще не стейбл,

Что это за вещь?

GLSA

calculate - для ынтыпрайза

В чем его плюсы для ынтырпрайза в сравнении с обычным gentoo?

[polovinamozga]

Почему сферические-то? И почему надо говорить о конкретном софте, если обновления безопасности выходят для всех компонентов?

Возможно у меня какое-то неправильное представление об этих "обновлениях безопасности"
Пользуюсь центосями, дебианами и не видел там каких-то специальных процедур чтоб ОЛОЛО БИЗОПАСНОСТЬ ОБНОВИТЬ БЕСПЛАТНО.

Вас видимо смущает что не существует такого вещи как релиз, то есть например centos 5.5 - gentoo 15.1 =)

не существует потому что НЕ НУЖНО

В чем его плюсы для ынтырпрайза в сравнении с обычным gentoo?

Для неофита-гентушника просто и быстро развертывается, графический интерфейс, все дела, дистр с доменным контроллером
ынтырпрайз, короче говоря.

[strah]

Пользуюсь центосями, дебианами и не видел там каких-то специальных процедур чтоб ОЛОЛО БИЗОПАСНОСТЬ ОБНОВИТЬ БЕСПЛАТНО.

Debian security updates во все поля.

[polovinamozga]

Пользуюсь центосями, дебианами и не видел там каких-то специальных процедур чтоб ОЛОЛО БИЗОПАСНОСТЬ ОБНОВИТЬ БЕСПЛАТНО.

Debian security updates во все поля.

Номера ревизий стабильных пакетов во все поля

[Bluetooth]

Почему сферические-то? И почему надо говорить о конкретном софте, если обновления безопасности выходят для всех компонентов?

Возможно у меня какое-то неправильное представление об этих "обновлениях безопасности"
Пользуюсь центосями, дебианами и не видел там каких-то специальных процедур чтоб ОЛОЛО БИЗОПАСНОСТЬ ОБНОВИТЬ БЕСПЛАТНО.

Еще бы Вы не видели. Потому, что дебиан - не упячка. Но по факту имеем вот что:

bluetooth@blues:~> cat /etc/apt/sources.list
deb http://ftp.debian.org/debian/ lenny main contrib non-free

deb http://security.debian.org/ lenny/updates main contrib non-free

deb http://volatile.debian.org/debian-volatile lenny/volatile main contrib non-free

Вас видимо смущает что не существует такого вещи как релиз, то есть например centos 5.5 - gentoo 15.1 =)

не существует потому что НЕ НУЖНО

Почему не нужно? Аргуметируйте.

[strah]

Еще бы Вы не видели. Потому, что дебиан - не упячка. Но по факту имеем вот что:

Еще добавлю ка сюда соответствующий скрин, для полной картины, так сказать.

[t.t]

на сколько мне известно PaX больше нет нигде, кроме генты.

Я вот решил для общего развития поискать информацию про PaX. Во-первых, нашёл такой сайт:
http://www.debian-hardened.org/

Во-вторых, конкретно про PaX последняя статья на упомянутом сайте озаглавлена так:

No PaX & grSecurity for Linux 2.6.8 releases and up. (Section: Hardened Kernels)

Далее смысл заголовка немного раскрывается:

The developers of PaX wouldn’t port the patch to the latest release of the kernel sources (2.6.8.x and up) due to major changes in the code that are painful to solve.

Если я правильно понял эти слова, то PaX для ветки 2.6, мягко говоря, несколько устарел.

[polovinamozga]

Еще бы Вы не видели. Потому, что дебиан - не упячка. Но по факту имеем вот что:

Что такое упячка, уважаемый?

Почему не нужно? Аргуметируйте.

Просто потому что не нужно.Аргуметировать-то нечего.
Есть сервер, есть дистрибутив, есть профилирование его, зачем мне нужны еще и релизы?
Кто хочет релизы, тот пусть ставит дебиан.

на сколько мне известно PaX больше нет нигде, кроме генты.

Я вот решил для общего развития поискать информацию про PaX. Во-первых, нашёл такой сайт:
http://www.debian-hardened.org/

Во-вторых, конкретно про PaX последняя статья на упомянутом сайте озаглавлена так:

No PaX & grSecurity for Linux 2.6.8 releases and up. (Section: Hardened Kernels)

Далее смысл заголовка немного раскрывается:

The developers of PaX wouldn’t port the patch to the latest release of the kernel sources (2.6.8.x and up) due to major changes in the code that are painful to solve.

Если я правильно понял эти слова, то PaX для ветки 2.6, мягко говоря, несколько устарел.

http://udoingitwrong.blogspot.com/2010/07/blog-post.html

Все сказано тут.

Я не говорил что ПаКс это хорошо или плохо.
И по словам alexxy(владелец домена gentoo.ru), его активно пилят.
Такие дела.

[Goodvin]

Да откуда вы все это берете-то?
У меня на 2 серверах, которые занимаются виртуализацией стоит гента, на двух домашних компах гента, на рабочем гента.

Это Вы тут предлагаете меряться, что-ли?
У меня машин больше двух десятков только с гентой.
Если я выну все остальные линуксовые и скажу где они и сколько их - меряться количеством Вам сразу расхочется.
Так что лучше не надо даже начинать.

и вы не поверите ВСЕ обновляется регулярно,.

Это пионерия.
Для серьезного продакшна такое неприменимо.
Боевые машины обновляются не "регулярно", а строго тогда, когда это нужно, только в случае серьезной необходимости и после тщательных тестов "на кошках".

ветка анстейбл, .

Это пионерия.
Для серьезного продакшна такое неприменимо.

и уже больше двух лет нет никаких проблем после обновления.
Обновляюсь регулярно.

Вы не совсем понимаете о чём тут речь.
Серьезному заказчику/клиенту/потребителю нет интереса использовать боевые сервера , к каждому из которых требуется пристегнутый цепью спец-админ, вручную тестирующий нестабильные пакеты, собирающий заплатки и выбирающий багфиксы для установки.

Которая привела к тому, что пришлось держать маленькую кучечку локальных поправленных ебилдов.

Вот опять какие-то костыли, ну почему же все работает-то у меня
У вас там может какие-то пакеты УНИКАЛЬНЫЕ.

И это на сервере.

гентушник-теоретик в треде.
У меня на сервере аптайм 60 дней и это гента.

Дорогой друг, это не аптайм. Это детский сад.
600 дней - это аптайм.