FreeBSD en upgrades - Linux en overige clients

maandag 28 juli 2003 08:29

Acties:

Verwijderd

Topicstarter

Momenteel bekijken we of FreeBSD voor een aantal services bij ons een alternatief zou kunnen zijn. De eerste tests zijn in ieder geval zeer succesvol verlopen om over de (enorme) stabiliteit nog maar te zwijgen.

Waar we alleen een beetje tegen aanhikken is het verwerken van (security)-patches, updates.

Vaak zij je op de diverse mailinglists dat indien een onderdeel van het core FreeBSD-systeem moet worden gepatched het gehele OS moet worden gerebuild.
Als ik het goed voor heb houd dat in dat de gehele source-tree inclusief compilers etc op je systeem moet staan.

Is dit nu wel zo wenselijk voor bv routers/firewalls en servers die aan het internet gekoppeld zijn??.

Of kan de portscollectie hier nog iets betekenen

Groeten

Ad

maandag 28 juli 2003 09:31

Acties:

Infern0

Hou die ontzettende rust!!

Het upgrade systeem bij FreeBSD vind ik persoonlijk erg goed werken.
Je moet wel even 2 dingen van elkaar scheiden. Als eerst heb je het base systeem (incl kernel) en als tweede de ports collectie.

Omdat het hier waarschijnlijk gaat om een machine die stabiel moet draaien zou ik je zeker aanraden om FreeBSD 4.X te gebruiken en 5.X nog even links te laten liggen.

Is er een beveilingsgat in het base systeem ondekt dat kun je dit het makkelijkste oplossen door een "make world" te doen. Hierbij wordt je base system opnieuw gecompileerd met de security patches erin. Op een pentium 1.4 Ghz is dat in 3 uur gebeurt (schatting). Om een make world te doen moet idd heel je source tree op je server staan. Als je klaar bent met je make world kun je hem gewoon weer verwijderen.

Ik zou zo niet inzien waarom dit een bezwaar zou moeten zijn, want compilers heb je neem ik aan zoiezo op je machine staan en de source tree kun je verwijderen.

Als er een beveiligings gat in een programma (Apache bv) zit wat je via de ports hebt geinstalleerd, dan kun je het programma eenvoudig update'n via de ports. Bijvoordeeld met het handige programma portupgrade.

Voordeel van een make world is dat je ook zeker weet dat bepaalde binaries niet gelinked zijn aan oude onveilge libs.

http://www.bsdfreaks.nl Home site: http://rob.lensen.nu /me was RobL

maandag 28 juli 2003 11:28

Acties:

Verwijderd

En het is ook nog zo dat al je huidige services op je systeem gewoon blijven draaien tijdens een "make world" Wel moet je op het laatst 1 keer rebooten....en kijk uit met mergemaster...altijd je /etc backuppen voor je dat doet

maandag 28 juli 2003 13:22

Acties:

Verwijderd

rlensen schreef op 28 July 2003 @ 09:31:

Voordeel van een make world is dat je ook zeker weet dat bepaalde binaries niet gelinked zijn aan oude onveilge libs.

klinkt verdomde goed....
Ook hier las ik al aardig wat positieve dingen over xBSD.... en hier en hier....
/me zet FreeBSD op z'n verlanglijstje

Welke van de 5 de bsd's (FreeBSD, NetBSD, OpenBSD, BSD/OS, MacOS X) deze mogelijkheid?

Volgensmij is BSD:
Betrouwbaar (FreeBSD)
Veilig (OpenBSD)
Universeel (NetBSD)
Gebruikersvriendelijk (MacOS X)
....euh....euh....duur (BSD/OS)

[ Voor 10% gewijzigd door Verwijderd op 28-07-2003 13:24 ]

maandag 28 juli 2003 13:36

Acties:

Dennis

@compukid
Van FreeBSD kan gezegd worden dat de meeste software er voor beschikbaar is en dat het ook linux-programma's kan draaien.

maandag 28 juli 2003 14:18

Acties:

Verwijderd

ik heb FreeBSD wel is uitgeprobeerd, maar ik had altijd wat problemen....
nvidia drivers....(tegenwoordig geen probleem meer)
proxy problemen met ports....(zo'n ***** MS ISA server)
arch niet ondersteund....(sparc64, tegenwoordig geen probleem meer)

blijven weinig redenen over om geen FreeBSD te gaan draaien..

Maar zo is 't wel weer genoeg.... (ander kan ik beter verder gaan in Welk OS (bv. Linux distro) moet ik nemen? Part 3 )

maandag 28 juli 2003 14:36

Acties:

miniBSD

rlensen schreef op 28 July 2003 @ 09:31:
Ik zou zo niet inzien waarom dit een bezwaar zou moeten zijn, want compilers heb je neem ik aan zoiezo op je machine staan en de source tree kun je verwijderen.

Dit hoeft niet. Als er compileres op staan kan iedereen die binnenkomt kan zijn binaries creeeren, dat wil je niet. Als iemand toegang krijgt zal die dus binaries moeten meeleveren, dat is een extra drempel. Ondanks dat middels mount de rechten op de homedir beperkt zijn.

Ik gebruik een tweede machine om de laatste packages te bouwen en te distributeren over de machines in het netwerk voor de veiligheid én de belasting over de servers weg te nemen. En dan eerst testen natuurlijk alvorens deze overal te plaatsen.

Quidquid latine dictum sit, altum sonatur (Whatever is said in Latin sounds profound).

woensdag 30 juli 2003 13:21

Acties:

FreeBSDLover

Enjoy the power

Ik heb reeds jaren enorme goede ervaring met FreeBSD op verschillende servers. FreeBSD is 'lean' (zeker zonder X11) en daardoor erg betrouwbaar.
Het updaten van de kernel en applicaties is over het algemeen betrekkelijk eenvoudig. Zelf ben ik nogal voorzichtig met een update, zeker als alles 'lekker' draait. Zo heb ik na een update van PHP recent problemen gehad met verschillende scripts, omdat een aantal van deze scripts uitging van default sessie instellingen die na de update anders stonden. Wel mijn eigen fout overigens, had het kunnen lezen in de release notes.

Van de diverse 'Security Advisors' probeer ik eerst een inschatting te maken van het mogelijke risico dat ik loop op de verschillende systemen. Vaak is de conclusie dat ik het risico verantwoord acht en daarom een kernel update achterwege laat.

Voordat je definitief kiest voor FreeBSD zou ik nog wel even je hardware checken op de FreeBSD site. Heb recent ook problemen gehad om een RAID controller aan de praat te krijgen onder FreeBSD. Mijn ervaring is inmiddels dat als de hardware een beetje 'standaard' is, het wel goed zit met de drivers onder FreeBSD.

Resume, twijfel niet langer en kies voor FreeBSD!