Forum Debian Users Gang

wklejam te linki by można było kliknąć + jako ciekawostkę. nie mówię, że któryś z nich jest lepszy, gdyż nie mam w tym doświadczenia.

co do Ubuntu to proste ;) podałem Ubuntu tylko jako przykład systemu na szybko postawionego. dużo bardziej wolałbym postawić np. Archa co zajmie z 2h i uniknąć problemów w przyszłości niż na szybko Ubuntu

Ostatnio edytowany przez dominbik (2012-05-24 19:04:39)

czytałem to trochę. przestałem jak dostrzegłem celową faworyzację *BSD.

@Jacekalex   Zobacz czym w tej firmie się zajmują. Skoro uważasz że jesteś lepszy i wiesz więcej od nich ...  to chyle czoła.
http://www.securitum.pl/o-firmie
http://www.securitum.pl/oferta/szkolenia

Yampress napisał(-a):

@Jacekalex   Zobacz czym w tej firmie się zajmują. Skoro uważasz że jesteś lepszy i wiesz więcej od nich ...  to chyle czoła.
http://www.securitum.pl/o-firmie
http://www.securitum.pl/oferta/szkolenia

Mylisz się.
Wcale nie wiem więcej, ani mniej, mam zupełnie inne doświadczenia.
Ale przez prawie 20 lat w rozmaitych akwizycjach i marketingach nasłuchałem się, naczytałem i naoglądałem tyle marketingowego bełkotu, o różnych stopniach zabarwienia, począwszy od zachwalania typu "a nasz produkt to a tamto, a konkurencja to a tamto" poprzez marketing strachu i lęku w stylu, "ma pan kredyt na dom, dwoje dzieci na utrzymaniu, i (nie życzę panu broń Boże) ale jak na drodze panu tir wjedzie w kuper, to kto ten kredyt hipoteczny będzie spłacał, i rodzinę utrzyma? Zakład Usług Satyrycznych?" (zgadnij, jak branża stosuje taki bełkot), i piećdziesiąt innych metod.
Dlatego taki bełkot poznaję na węch, niezależnie, czy chodzi o politykę, czy biznes, czy dowolny produkt.

A wychwalanie typu Linux lepszy od BSD bo to a tamto, a BSD lepsze bo to a tamto, zawsze kończy się tylko marketingowym bełkotem w stylu początkującego akwizytora.

Zarówno w Linuxie, jak i w BSD fachowiec osiągnie taki poziom funkcjonalności, stabilności i bezpieczeństwa, jaki chce osiągnąc,
i zarówno w Linuxie jak i w BSD lamer nic nie zdziała, jak nie nauczy się kombinować, myśleć i czytać dokumentacji.

Więc nie system się nadaje, tylko administrator się nadaje albo nie nadaje.
A co administrator ustawia w takim czy innym systemie, i jak to się sprawdza, to w systemach o otwartych źrodłach jest sprawa adminstatora, a nie systemu.

A tymczasem w argumentach fanboyów *BSD widze porownanie do Debiana Etch (a BSD to ma i ASLR i PIE i SPP) bez zadnej refleksji nad tym, ze Ubuntu ma te mechanizmy od 3 lat, a Debian je właśnie wprowadza.
OpenBSD wygrywa w cuglach (pod względem bezpieczeństwa) z Debianem Squeeze, ale to, czy wygrywa z Gentoo Hardened, to już zależy, kto to Gentoo stawiał i jak.

Takze porównanie systemów Linux i BSD, czy poszczególnych dystrybucji, na poziomie sekciarsko-fanboyskim nie ma żadnego sensu.

Tekst na securitum, ktory podlinkowaleś powtarza ten sam bełkot, który zawsze widzę w kontekscie porównania BSD/Linux.

Natomiast porównanie licencji *GPL i BSD?
W mojej opinii licecja GPL i pochodne przyczyniła się mocno do popularnosci i rozwoju Linuxa.
Natomiast licecja BSD nieźle nabija kieszenie takich firm, jak Apple, ale samo BSD ma z tego znacznie mniejsze korzyści, niż powinno.

Widać to wyraźnie w "udziale w rynku" systemów *BSD i systemów bazujących na Linuxie.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-05-26 02:06:27)

A Porównanie na securitum dotyczy *BSD/Gentoo czy *BSD/Linux -  bo poważnych firm używających Linuxa trochę jest.

W dodatku cały czas próbuję wbić niektórym do głowy, że nie system jest ważny, tylko administrator.
Bo jeśli myślisz, że nie potrafię przebudować paczek Debiana na kompilatorze hardened i zrobić system na miare mojego Gentoo, to się grubo mylisz.
Da się ten proces nawet zautomatyzować skryptami.

Natomiast   w tekście na securitum (niezależnie od ich referencji, bo nie o refenercjach mowa) jest porównanie BSD/Linux, ale jak wcześniej napisalem, ten Linux z porównania jest sprowadzony do jednego wydania typu Debian Etch lub coś starszego.
A to już skrót myślowy, ktory kiepsko się ma do tego, co normalny administrator może osiągnąć w praktycznie dowolnej dystrybucji Linuxa, jak czai bazę.

I jak chcesz mnie tu wpychać securitum jako wyższy autorytet,
to Ci odpowiem, że Red-Hat i SUSE Enterpise działają bez żadnego problemu (i pod każdym względem mieszczą się w kategorii Linux,
co podobno jest o tyle gorszy od *BSD). :D

Także nie próbuj odwracać kota ogonem, i sprowadzać porównania do *BSD/Gentoo, skoro w oryginale jest porównanie *BSD/Linux.

A jeśli nie znasz dużych firm używających Linuxa, to chętnie pomogę w poszukiwaniach :D

Ostatnio edytowany przez Jacekalex (2012-05-26 18:24:17)

Teoretycznie tak, praktycznie sam firewall z OpenBSD to jest doskonałe narzędzie, ale konfiguracja tego cudu wcale nie jest dla laika.

Ja mogę wskazać całkiem sporą liczbę informatyków, dla których konfiguracja stabilnego Debiana jest problematyczna.

OpenBSD jest dużo łatwiejsze w konfiguracji od Debiana Stable? ;)

Także, jak ktoś chce i umie czytać dokumentację i kombinować,
to owszem, OpeBSD skonfiguruje bez kłopotu.
Ale laik ( w domyślnym tego słowa znaczeniu), to nawet Windowsa XP porządnie nie skonfiguruje (na tyle, na ile to w ogóle możliwe).
Jak nie wierzysz, to zajrzyj na forum ubuntu, albo tutaj, np do pewnego wątku o Postfixie i problemie opisanym czarno na białym w dokumentacji.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-12-12 18:52:35)

Securelevel znam - fajna sprawa.
W gracl też do zrobienia, i to nawet prościej, niż by się zdawać mogło, choć oczywiście trochę rzeźbienia zawsze jest.

Inna sprawa, ze absolutnie wszystkie systemy operacyjne, jakie kiedykolwiek widziałem na oczy, potrafiły się kiedyś rypnąć.
Czasami przy aktualizacji, czasami, jak ktoś przedobrzył z konfiguracją.
Dlatego do pancernego systemu wolę dochodzić od fundamentu, że potem, jakby wyszedł dowolny problem, to wiem gdzie szukać.
W systemie defaultowo skonfigurowanym, jak coś się sypnie, to byłbym jak ślepa lesba w rybnym.

Czyli dokładnie tak, jak 95% informatyków, kiedy w Windows Serwer zdechnie AD i trzeba się pieprzyć w konsoli. :D

Jeśli chodzi o firewalla pf - to ma kosmiczne możliwości, ale ja jestem za cienki, żeby znaleźć, jak w nim wpakować np taką regułkę:

iptables -A  SMTP ! -i lo -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name smtp -j ACCEPT

Albo użyć ipset, w takich regulkach:

iptables -A SMTP ! -i lo  -m state --state NEW  -m set --match-set spamhaus src -j STEAL
iptables -A SMTP ! -i lo  -m state --state NEW -m set --match-set sblamdrop src -j STEAL

Do tego inne zabawki z xtables, czyli ww STEAL, CHAOS, DELUDE,  TARPIT, SYSRQ i najzwyklejszy RECENT.

Zakładam, że częsć z tych opcji jest w nim do zrobienia, ale podręcznik, który czytałem (na necie, po polsku) w takie szczególy się nie zagłębial wystarczająco zrozumiałym ( dla mnie) językiem.

Wszędzie słyszę, ze pf ma wbudowany mechanizm zarządzania pasmem, to oczywiście zaleta, ale iptables i tc dają radę w tym zakresie, czasem tylko trzeba je wspomóc IMQ, bo ifb łapie pakiety przed firewallem, i marki fw nie działają.

Bo to, że wrzucam do konfigu albo skryptu, to jasne, ale np w Gentoo jeszcze prościej, aw Debianie i innych Linuxach w najgorszym razie  dokładnie tak samo.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-05-28 01:53:18)

Co do torentów to jest jakiś problem, ale nie wnikałem o co chodzi. Co do ftp-http to żadnego problemu nie miałem ściągając obraz z losowo wybranego ftp którym był : ftp://ftp.cn.freebsd.org/pub/FreeBSD/releases/ISO-IMAGES/9.0/

Z tego ftpa próbowałem ale wszystko przez ftp i http zawsze kończy się na 137MB - po czym stop, i żadna suma kontrolna się nie zgadza.

Bootonly chciałem obaczyć, żeby nauczyć się instalacji od zeeerrrraaa.
Co prawda, mój ISP tak ładnie ustawił swojego nowego Junipera (pppoe), że maszynki KVM mają neta tylko przez privoxy, ale jak proxy w powłoce FBSD zrobić już wiem, w Linuxie robi się tak samo.

Debian na KVM śmiga jak dziki (mam na myśli serwer bez X).

Ściąganie torrenta wgetem?

 wget -4 http://torrents.freebsd.org:8080/torrents/ac1303da08131c9c2fd24ad5b85a64e5fac7dfbf.torrent
--2012-11-24 17:45:38--  http://torrents.freebsd.org:8080/torrents/ac1303da08131c9c2fd24ad5b85a64e5fac7dfbf.torrent
Translacja torrents.freebsd.org (torrents.freebsd.org)... 69.147.83.59
Łączenie się z torrents.freebsd.org (torrents.freebsd.org)|69.147.83.59|:8080... nieudane: Przekroczony czas oczekiwania na połączenie.
Ponawianie próby.

Sznurek do cd1 amd64  http://www.gotbsd.net/
Po IPv6 (miredo) to samo, najwyraźniej serwer ma wolne (może po ostatnim włamie).
Na pingi nie odpowiada w ogóle.

Ostatnio edytowany przez Jacekalex (2012-11-24 18:12:16)

Torrenty mają na torrents.freebsd.org.

host torrents.freebsd.org
torrents.freebsd.org has address 69.147.83.59
torrents.freebsd.org has IPv6 address 2001:4f8:fff6::3b

Do ftp dostęp mam, ale ściaga mi maks 137 MB z bootonly, choć powinien 2 mega więcej.
Sumy kontrolne nawet nie próbują się zgadzać :D

Dzięki.
Z tego adresu wget zassał bardzo grzecznie, średni transfer można wytrzymać, choć na kolana nie  powala:

2012-11-25 00:41:38 (361 KB/s) - zapisano `/media/box/FreeBSD-9.0-RELEASE-amd64-bootonly.iso' [145623040/145623040]

W każdym razie nareszcie zgadza się sha256sum.

Jutro pobawię się instalacją, i spróbuje postawić cały serwer www|mail|jabber|itp.
Najbardziej chcę się zaprzyjaźnić z PF - taki ukłon w stronę OpenBSD. ;)

Ciekawe, czy w PF znajdę moje ulubione narzędzia netfiltera, connlimit pewnie w jakiejś postaci jest, ale hashlimit? recent? STEAL? TARPIT? DELUDE?
Ciekawe też, jak tam się realizuje tablice adresów w RAMie na wzór Linuxowego Ipseta.

Edyta:
Już się instaluje, z resztą powalczymy później. ;)

Edyta2:
FreeBSD działa, nawet PFa już skonfigurowałem (na razie wersja - typowy desktop, na serwer przyjdzie czas za kilka chwil?|dni?)
Funkcje ipseta są w samym PF, choć na razie chyba nie wszystkie znalazłem, filtru mac:ip jeszcze nie.
I pierwsza wtopa FreeBSD ;P

pfctl -e
Jak mu w
No ALTQ support in kernel
ALTQ related functions disabled
pf enabled

ALTQ można tylko "włączyć" ładując jakiś moduł, czy coś, czy potrzeba kompilacji jajka? W manie piszą,  że kompilacja, ale ten man już ma swoje lata.

Debian komplet rozmaitych ifb, htb, cbq, prio i sfq ma w jajeczku natychmiast po instalacji, bez żadnego halo.
Kompilacji wymagają dopiero fanaberie w stylu IMQ czy ESFQ.

Edyta3:

Jak  i gdzie ustawić, żeby system automatycznie wstawał bez żadnych menu ani pytań na wstępie, gdzie trzeba cośtam wybierać, nie wiadomo po co.
W Gentusiowym Grubie mam jedno jajo do startu, drugie jako fallback, i gotowe.
Naciskam guzik na obudowie, i system sam wstaje od a do z, sam wie, co ma robić.
We FreeBSD to z całą pewnością też jest wykonalne.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-11-25 08:03:52)

Aby włączyć ALTQ to konieczna kompilacja jaja:

cat << __EOF__ >> /usr/src/sys/i386/conf/ROUTER

include GENERIC

ident ROUTER

## Pf firewall
device pf
device pflog
device pfsync
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_PRIQ
options ALTQ_NOPCC

__EOF__

następnie

cd /usr/src/
make buildkernel KERNCONF=ROUTER
make installkernel KERNCONF=ROUTER
reboot

Natomiast ustawienie tego menu: /boot/loader.conf, np zmiana grafiki i skrócenie czasu:

autoboot_delay="5"'
beastie_disable="NO"
loader_logo="beastie"

Jeśli chcesz całkowicie wyłączyć: beastie_disable="YES"
ale narazie może skróć czas, aby bez większych problemów mieć dostęp do Single User