DISTRIBUIÇÕES -2

Pra ISP, vc tem que cuidar muito de seguranca. Eu instalo sempre o Debian,
pq o RedHat eh muito inseguro - (aos gurus, antes de me baterem, favor
lembrar dos Bugs da PAM, Bind, Apache e outros exploits do RH 5.0, 5.1 e
5.2). O Slack serve tbm - tem menos bugs de seguranca, mas tem o seguinte
problema: para qualquer upgrade maior no site ou de versao vc vai ter de
REINSTALAR o sistema inteiro, se nao quiser ficar fazendo remendos por mais
de uma semana... O Debian faz a atualizacao completa do sistema via
Internet, eh soh apontar o Dselect (instalador de pacotes do Debian) para
um site ftp com a versao mais nova, e ele se encarrega de mudar tudo sem
precisar reboot, e sem tirar os servicos criticos do teu provedor (http,
mail, dns, etc) do ar por mais de cinco minutos, e sem a necessidade de vc
ter de mexer muito na config dos pacotes atualizados (a menos que o pacote
tenha se modificado muito, o Debian utiliza os mesmos .conf que vc jah
tinha!). O maior problema do Debian eh o tempo de instalacao: Uma
instalacao SEGURA de um ISP SEGURO leva de 12 a 18 horas de trabalho
(intall e configuracao completa) e nao eh muito palatavel... 
Rico Ferrari
------------
Após anos usando o Slackware e atualmente usando um Guarani, eu gostaria
de saber o que é customizável no Slackware que não é num RH. E o que é
mais versátil também, se possível. 
Essa idéia que estais passando é ilusória. Tudo o que fazes num Slackware
é possível se fazer do mesmo modo num RH. "Mas eu edito arquivos no
Slackware". Eu também no RH. 
"Mas o sistema é mais lento". Só se for mal configurado. 
Toda e qualquer distribuição bem configurada dá um ótimo desempenho. O que
muda são os métodos mais comumente usados para fazer estas configurações
mas nada impede que você aja do mesmo modo no Slackware e no RH. 
Jorge Godoy 
-----------
Oi, Jorge
>Após anos usando o Slackware e atualmente usando um Guarani, eu gostaria
Após anos, tambem, usando todas as distribuicoes que pude (menos a Stampede
- falha que estarei corrigindo no proximo mes)  :) Posso concluir algumas
coisas...
>de saber o que é customizável no Slackware que não é num RH. E o que é
Seguranca dos programas INET?

>mais versátil também, se possível. 
>Essa idéia que estais passando é ilusória. Tudo o que fazes num Slackware
>é possível se fazer do mesmo modo num RH. "Mas eu edito arquivos no
>Slackware". Eu também no RH. 
>"Mas o sistema é mais lento". Só se for mal configurado. 
Se vc for pelos defaults de uma ou de outra, vc terah um sistema mais lento
na instalacao RedHat. Certo, nao se deve usar defaults, mas a maioria dos
novos usuarios instala ateh o sendmail, mesmo sem ter ideia do que ele eh
(em quantas distribuicoes ele eh default? faca as contas...)

>Toda e qualquer distribuição bem configurada dá um ótimo desempenho. O que
Todo Kernel Linux tem otimo desempenho, desde que otimamente configurado.
Isto comeca pela instalacao. Ou nao?

>muda são os métodos mais comumente usados para fazer estas configurações
>mas nada impede que você aja do mesmo modo no Slackware e no RH. 

Isto ateh pode ser verdade se o rapaz fizer o que o Thadeu Pena sugeriu em
outro email, de compilar e modificar a mao o que for de missao critica...
Por que o RH costuma vir bugado e com a seguranca baixa nas compilacoes
originais ( http://ext2.org/99/02/imoore2.html ), e justamente naquilo que
eh mais critico, ou seja, soft (piece of code) que entra em contato direto
com o duro e selvagem coracao do Mundo, as centenas de (BONS)
hackers/crackers que hah pela internet afora. Se vc acha que um sistema
RedHat, Suse ou Slack instalado como vem em binario sao sistemas seguros,
me passe o endereco Inet de seu provedor que tenho uns conhecidos que
querem ve-lo de perto  :^D
(Brincando!)
Eu soh pergunto porque arriscar num sistema de missao critica com o RH
quando o Debian eh conhecido por sua seguranca e estabilidade? Por que eh
mais dificil de instalar? Mas nao eramos nos da lista que diziamos que
administradores de sistemas tem de ler e aprender? 
Nao conheco o Guarani para tecer uma opiniao sobre ele, mas se ele usa as
mesmas opcoes de compilacao que o RedHHat (do qual deriva), nao posso
apostar tanto em sua seguranca, assim. 
Se minha argumentacao nao foi suficiente, na Ext2 deste mes tem artigo
falando sobre o mesmo assunto: http://www.ext2.org
Rico Ferrari
suporte@ivixnet.com
---------
Na verdade pra quem ja chegou la e sabe unix e manuseia
diariamente, todos os sistemas sao customizaveis.
        Concordo que se vc tem a senha do root vc coloca o que que
quiser e onde quiser, mas convenhamos, tu te logar como root
dar um "rm file' e o RH perguntar y/n e o cumulo! Vc esta
logado como root, entao vc TEM certeza do que esta fazendo,
se nao tem, nao se log como root.
        Outra coisa, o RH eh voltado mais para usuario final (eh
mais voltado para a parte comercial (Nao vamos entrar em
outra flame, eh claro que eh gratuito, GNU, e tal, mas gira
MUITA grana en torno do RH, e quanto mais WinLike ele ficar
mais dinheiro vai rolar)) entao possui muitos escriptzihos
para "facilitar" a vida do usuario, que no fundo so
atrapalham.
        O Slackware eh mais leve (nao falo em performance, mas
IMSHO tb) tem menos arquivos pra se configurar (vc vai
direto onde quer, nao precisa dar voltas e olhar (esse aqui
faz isso e chama aquele, que por sua vez faz aquilo e chama
outro..)
        Agora escrevendo esse email me dei conta de uma coisa, na
verdade o principal: SIMPLICIDADE.  isso resume tudo.
obs.: usei RH por 3 anos antes de ser apresentado ao
maravilhoso mundo do Slackware rodando com um AfterStep em
cima!
Bruno de Oliveira Ferrarese       TCPWrapper@zaz.com.br
-----------
> >de saber o que é customizável no Slackware que não é num RH. E o que é
> Seguranca dos programas INET?

Que segurança? Como administrador é sua obrigação fechar o acesso a tudo o
que não seja necessário. Isso é feito facilmente no RH e no Slackware
editando-se o /etc/hosts.deny e acrescentando-se a linha "ALL:ALL".
Libere, depois, em qualquer distribuição, no /etc/hosts.allow os serviços
carregados pelo inetd que você desejar.
Esse é o _mínimo_ de segurança. É óbvio que muitas outras coisas são
necessárias, mas em qualquer distribuição.
> >mais versátil também, se possível. 
> >Essa idéia que estais passando é ilusória. Tudo o que fazes num Slackware
> >é possível se fazer do mesmo modo num RH. "Mas eu edito arquivos no
> >Slackware". Eu também no RH. 
> >"Mas o sistema é mais lento". Só se for mal configurado. 
> Se vc for pelos defaults de uma ou de outra, vc terah um sistema mais lento
> na instalacao RedHat. Certo, nao se deve usar defaults, mas a maioria dos
> novos usuarios instala ateh o sendmail, mesmo sem ter ideia do que ele eh
> (em quantas distribuicoes ele eh default? faca as contas...)

No Slackware o sendmail também é instalado por default... 

> >Toda e qualquer distribuição bem configurada dá um ótimo desempenho. O que
> Todo Kernel Linux tem otimo desempenho, desde que otimamente configurado.
> Isto comeca pela instalacao. Ou nao?

Isso começa antes da instalação. Começa no planejamento de como será feita
a instalação. Não se pode simplesmente instalar e exigir uma performance
ultra alta. Planeje partições, o que instalar e você terá uma máquina de
ótima performance. Em qualquer distribuição. 

> Isto ateh pode ser verdade se o rapaz fizer o que o Thadeu Pena sugeriu em
> outro email, de compilar e modificar a mao o que for de missao critica...
> Por que o RH costuma vir bugado e com a seguranca baixa nas compilacoes
> originais ( http://ext2.org/99/02/imoore2.html ), e justamente naquilo que
> eh mais critico, ou seja, soft (piece of code) que entra em contato direto
> com o duro e selvagem coracao do Mundo, as centenas de (BONS)
> hackers/crackers que hah pela internet afora. Se vc acha que um sistema
> RedHat, Suse ou Slack instalado como vem em binario sao sistemas seguros,
> me passe o endereco Inet de seu provedor que tenho uns conhecidos que
> querem ve-lo de perto  :^D

Ainda é função do administrador de um sistema se manter atualizado... A
distribuição vem desatualizada até pelo fato de ser um CD. O tempo de
prensagem e venda do CD o torna obsoleto... A cada dia surgem novos bugs e
novas correções. O sistema que você roda hoje e que foi instalado ontem
está obsoleto. Pode não existir o patch, mas existe o bug.
Eu gero muitos RPMs quando não encontro o RPM da versão atualizada... 

> Eu soh pergunto porque arriscar num sistema de missao critica com o RH
> quando o Debian eh conhecido por sua seguranca e estabilidade? Por que eh
> mais dificil de instalar? Mas nao eramos nos da lista que diziamos que
> administradores de sistemas tem de ler e aprender? 

Exatamente. E ele pode fazer isto em qualquer distribuição. O RH é o mais
acessível pela pseudo-facilidade. É fácil chegar e escolher "Server"
e deixar ele instalar sozinho. Não é assim que um administrador deve agir.
A dificuldade em se planejar o sistema é a mesma... Mudam, como eu disse,
as ferramentas para administra-lo. Use apenas o pkgtool no seu Slackware
para você ter uma idéia do caos que é tentar manter uma base 100%
atualizada. Eu faço isso automaticamente, tornando meus programas
atualizados por um mirror/uma fonte de confiança.

> Nao conheco o Guarani para tecer uma opiniao sobre ele, mas se ele usa as
> mesmas opcoes de compilacao que o RedHHat (do qual deriva), nao posso
> apostar tanto em sua seguranca, assim. 
Eu preferiria parar no "tecer uma opinião sobre ele". Falar sobre o que
não se conhece é cair em erro. O Guarani é bem diferente do RH nos
pacotes. São mais atualizados e com várias correções feitas pelo pessoal
da Conectiva e pelos autores dos pacotes. 

> Se minha argumentacao nao foi suficiente, na Ext2 deste mes tem artigo
> falando sobre o mesmo assunto: http://www.ext2.org

Não vi nada de mais lá. Apenas uma comparação Debian/RH. 
No link que você indicou (http://www.ext2.org/99/02/imoore2.html) está um
comentário interessante:

"The best distribution will be the one that works best for you.
 For me it's Debian GNU/Linux."
 ^^^^^^
Essa também é minha filosofia. Para mim, o Guarani foi excelente. 

Vamos partir para o lado administrativo: 
- gerencie pacotes no Slackware: upgrade, instalação e desinstalação.
- garanta que, após instalado, um pacote tem todas as condições para
  funcionar, precisando apenas do ajuste fino (quando e feito sozinho ele 
  não é otimizado, pois deve funcionar em diversas máquinas diferentes)
- garanta que você possui um método seguro de validar _todos_ os arquivos
  instalados contra alterações
- outras...
- (Só para ser chato, já que posso estar me metendo numa Flamewar, porque
  o pessoal da Debian cogitou em trocar o dpkg por rpm?? :-))) Veja na
  DebianWeek. 
Vamos partir para o lado operacional:
- Plug'n'Play.
- Inovações tanto em Hardware quanto em Software
- Apoio a projetos externos
Apoio comercial:
- Em quem as grandes empresas estão investindo? (O seu
  gerente/diretor/chefe vai querer saber...)

Eu quero deixar claro que o objetivo NÃO é iniciar uma flamewar. É
esclarecer que não existe uma distribuição melhor ou pior. Existe a
distribuição que mais agrada a você ou a que mais agrada a mim... 
Eu NÃO defendo a RH. Eu NÃO defendo a Slackware. Eu defendo apenas uma
distribuição: a que eu uso. (E NÃO é nem mais a Guarani, pois muitas
coisas foram alteradas para satisfazerem o meu estilo de trabalho... O
Guarani foi apenas a base) 
Como sempre respondo quando me perguntam qual é a melhor distribuição: "A
melhor é aquela que você sabe mexer e que está bem configurada". 
Jorge Godoy 
----------
>Não quero discutir se o Debian, ou RH é o melhor, mas das questões que você
>levantou...
A intencao nao foi de apontar essa ou aquela distribuicao como melhor ou
pior, apenas apontar algo que eh de dominio publico na comunidade Linux:
Para missao critica, ISPs ou maquinas na Internet, o Debian eh mais
indicado. Elencar todos os motivos que me fazem afirmar isto consumiria
muito espaco, e poderia suscitar uma flamme war que eu nao estou realmente
disposto a travar.

>Esses bus/exploits não são dos programas em si e não do RH?
Sao Bugs/exploits presentes na maioria das vezes no software compilado pela
RH. Por exemplo: o feio Bug da PAM (Pluggable Authentication Modules)
presente no RH 5.0 e 5.1 nao ocorreu em outras distribuicoes. Porque? Para
entender, lembre-se de que os programas distribuidos como binarios com
todas as distribuicoes sao compilados ou pre-compilados, apesar de
acompanharem os fontes. Ao compilar um fonte, o sujeito tem uma serie de
decisoes a tomar, e uma serie de escolhas a fazer. No RH essas
escolhas/decisoes sao feitas por cerca de 60 programadores contratados e
que tem de cumprir prazos de lancamento para as novas versoes entrarem no
mercado. No Debian, essas escolhas e decisoes sao feitas por mais de 500
voluntarios em todo o mundo, gente desde engenheiros da NASA ateh meninos
de dezesseis anos escolhidos/engajados por apenas dois criterios:
competencia+vontade de fazer o melhor SO do mundo (isto nao quer dizer, nem
eu quero dizer, necessariamente, que tenham atingido seu objetivo, ou
estejam perto disso). Apenas significa que os objetivos sao diferentes. O
RH eh insuperavel em seu intento de popularizar o Linux/Unix. Coisas como
Xconfigurator sao, simplesmente maravilhosas para quem jah teve de editar o
xf86config a mao. O Gnome, a instalacao, o Linuxconf, etc, diferenciam
muito bem o RH de quase todos os outros (atente tbm para o Suse e o
TurboLinux, se facilidade eh seu objetivo), mas daih a dizer que vc pode
confiar seu ISP a uma distribuicao que tem falhas graves de compilacao em
quase todas as versoes, eh algo bem complicado. Eu usei RH 2.0, 3.1, 3.2,
4.0, 4.2 e jah instalei o 5.2 num PII Soho que tenho em casa, e apesar de
ter melhorado muito em diversos aspectos, ele continua inseguro. Procure
informacao a respeito na rootshell ou exploit.org . 

>O RH é uma distribuição.
>Mas acima de tudo, a filosofia deles não é só fazer o upgrade quando o
>programa estiver seguramente testado?
Nao. O que mais se ve sao patches para isso e aquilo no RedHat. Nao estou
dizendo que as outras nao tenham bugs e falhas de seguranca, apenas afirmo
(respaldado em diversas fontes) que o RH eh, das distribuicoes conhecidas,
a que sai do forno com maior quantidade de bugs, ok?

>O Debian não usa esses programas?  Se sim, de que forma ele difere?
Usa estes e mais 1500. Sao 2000 pacotes de software num soh CD, com
programas jah configurados que jah devem ter feito vc passar noites em
claro baixando por ftp o similar em RPM  :)

>O RPM já não faz tudo isso?
Upgrade online para daemons criticos num ISP? PUF, PUF.. Sorry. Sinto lhe
dizer que em algumas vezes vc vai ter de se virar com configs extras e
mensagens bem cripticas e - horror dos UNIX! - reinstalar seu sistema "from
Scratch"/do zero...
Rico Ferrari
----------
On Mon, 8 Feb 1999, Bruno de Oliveira Ferrarese wrote:

>       Concordo que se vc tem a senha do root vc coloca o que que
> quiser e onde quiser, mas convenhamos, tu te logar como root
> dar um "rm file' e o RH perguntar y/n e o cumulo! Vc esta
> logado como root, entao vc TEM certeza do que esta fazendo,
> se nao tem, nao se log como root.

Ou, retire a linha:

alias rm="rm -i"

dos seus arquivos de configuração do root. Ele nunca mais vai te
perguntar.

>       Outra coisa, o RH eh voltado mais para usuario final (eh
> mais voltado para a parte comercial (Nao vamos entrar em
> outra flame, eh claro que eh gratuito, GNU, e tal, mas gira
> MUITA grana en torno do RH, e quanto mais WinLike ele ficar
> mais dinheiro vai rolar)) entao possui muitos escriptzihos
> para "facilitar" a vida do usuario, que no fundo so
> atrapalham.

??? Será?
>       O Slackware eh mais leve (nao falo em performance, mas
> IMSHO tb) tem menos arquivos pra se configurar (vc vai
> direto onde quer, nao precisa dar voltas e olhar (esse aqui
> faz isso e chama aquele, que por sua vez faz aquilo e chama
> outro..)

Acho isso interessante. Ao invés de cirar diversas entradas no cron, uma
para cada programas rodado a cada hora, por exemplo, eu os copio todos
dentro de /etc/cron.hourly que o RH automaticamente os executa a cada
hora. Isso não é frescura, é conforto e facilidade para gerenciar. Não
quer mais rodar? chmod -x arquivo_dentro_do_etc_cron_hourly

>       Agora escrevendo esse email me dei conta de uma coisa, na
> verdade o principal: SIMPLICIDADE.  isso resume tudo.

Exactly. simplicidade, conforto e facilidade de realizar tarefas simples e
tarefas complicadas. Podes ir direto nos arquivos no RH, sem medo nenhum.
As ferramentas existem para facilitar (e até aumentar a segurança, algumas
vezes...) e não são de uso obrigatório. 

> obs.: usei RH por 3 anos antes de ser apresentado ao
> maravilhoso mundo do Slackware rodando com um AfterStep em
> cima!

After ruliz :-)) hehehehe...
Usei-o no Slack, uso-o no RH, vou usá-lo até....... :-)))
MAS, isso é outra flamewar... :-)))
Jorge Godoy 
-----------
Oi, Raul,


>Sem querer aumentar a flame war, mas já aumentando :-)
Nao estamos numa flame war, fique bem claro. Estamos sudavelmente
confrontando opinioes.

>Existem programas como:
>AutoRPM,
>rpmwatch,
>rhlupdate
>entre outros que fazem exatamente isso, atualizam via FTP.

Falta entao falar do Dselect: Ele nao faz atualizacoes automaticas sem a
intervencao de um Sysadmin. A diferenca eh que as atualizacoes (que
iniciaram apos o comando de um Sysadmin humano, consciente do que estah
fazendo e que tem centenas de tarefas a fazer num site, alem de bancar a
babah de um server)  :)
do Debian resultam em 99,5% dos casos em atualizacoes redondas, sem que se
necessite qualquer coisa alem de vc fazer um telnet pra sua porta 80 e ver
o dump, pingar sua maquina, passar um SCAN com Satan, chkexploit , NMAP ou
o que quer que seja, etc, ou seja, conferir se realmente nao houve nenhum
problema e seu site estah de peh e seguro. Vc pode fazer isso tanto por
FTP, quanto por NFS, Samba, particao em outro disco rigido local ou CD no
prato do Server.

>Eu como Sysadmin (ou pelo menos tentando ser :-> ), acho essas ferramentas
>viáveis apenas no intuito de ter os pacotes comigo.
>
>mas para isso, prefiro fazer um mirror dos Updates (Red Hat, Conectiva) com
>o programa de mirror do sunsite.

Que bom, isto funciona pra vc, maravilha, por que mudar? 

>Mas não gosto de te-los atualizando sozinho.  Eu prefiro atualizar na mão e
>saber o que foi atualizado, o que mudou.  Principalmente no que se refere a
>configurações.
NENHUMA atualizacao eh feita sem a sua intervencao. Vc estah confundindo as
coisas. O modo de funcionamento do Dselect estah respondido mais abaixo.


>Esses dias fiz um upgrade do apache 1.2.x para 1.3.x
Vc cometeu um pequeno engano: O apache 1.2.X eh bastante diferente nos
arquivos de configuracao e nos modulos do apache 1.3.X e portanto vc nao
pode fazer uma atualizacao direta e indolor com RPM. Sabe o que o script
Debian disse para a mesma atualizacao? Algo assim: "As configuracoes do
Apache estao substancialmente modificadas na versao 1.3.x . Me acompanhe
nos passos e modulos que deseja inserir (vamos tentar suas configs
anteriores) e nos novos itens do pacote. Nao deixe de conferir suas
configuracoes apos a atualizacao. Quer prosseguir?" (Se quiser te mando o
dump em ingles em PVT).

Cinco minutos depois estava tudo normal, o apache estava exatamente com os
mesmos valores de config, rodando, e com os novos itens ok. O sistema nao
saiu do ar por mais de dez minutos, etc, e estou com o apache mais novo.
Bobagem, se vc prefere fazer essas coisas a mao em sua maquina. Eu tenho
dezenas delas para fazer e preciso otimizar meu tempo, e cuidar de que meu
servico e o nome da empresa em que trabalho nao estejam vinculados a
problemas de qualquer ordem. :)


>Só que ele vinha com o mod_SSL junto.  O que aconteceu?  Ele parou de
>funcionar porque não tinha as bibliotecas instaladas (e por má construção
>dele), ele não reclamou da falta das mesmas.

O Dpkg pode chegar ateh mesmo a te apontar um provavel site onde estah a
biblioteca que estah faltando em seu sistema. Otimizar o tempo de novo.

>Antes que digam "viu só o problema do RPM/RedHat", esse pacote não era da
>RedHat e o problema foi de construção do mesmo.
>
>Mas de qualquer forma o ponto era que os arquivos de configurações não eram
>mais compatíveis e por isso ele voltou para um default até que eu
>atualizasse-o.

>Imagine o que teria acontecido se ocorresse isso no meio da noite e só dia
>seguinte (imagine um fim de semana) você descobrisse que o seu Servidor de
>WEB esta parado por causa de uma atualização.

De novo: nada do que o Debian faca ou venha a fazer eh contra o seu
consentimento - nao existe atualizacao no Debian sem que um ser vivo logado
como root tenha expressamente mandado fazer (algo como root agreement)  :^P

>Por favor, senhores, essas são apenas as minhas impressões.
>Quanto a flame war, ela não precisa ser uma flame war.  Mas por favor, não
>se acanhem de dizer algo por medo de transforma-la em uma.
>Acho que essas discussões são as mais proveitosas da lista.

Soh uma ultima pergunta: Vc jah usou o Debian?
Se nao, pegue um tempinho livre em uma maquina com pelo menos 600MB livres
e brinque um pouco com ele. (ah, e muna-se de paciencia, vc vai precisar
dela )  :)
Rico Ferrari
suporte@ivixnet.com

    Source: geocities.com/ribafs