який debian вибрати?

[pvl]

Мені треба встановити на кучу десктопів + сервер. Який вид debian-у вибрати для цього? Бо як я зрозумів є декілька: etch lenny sid.

Наприклад etch випущений доволі давно, то як оновлювати пакунки, чи якийсь репо з пакунками для оновлення etch?

А lenny ще готується - чи можна його використовувати , чи краще почекати?

[Praporshic]

Сервер - однозначно під Etch (на те він і стабільний). На десктопи можна й Lenny - отримаєте щось рівня останньої убунти (може трохи старіше або десь - новіше), хоча значно надійніше (якщо не додавати нічого з sid).

[Сашко Кравчук]

Сервер однозначно під Etch!!! Для десктопів, на мою думку, Lenny -- відмінний варіант, тільки доведеться робити регулярні (бодай раз на 7-10) днів dist-upgrade`и, інакше, можуть виникати конфлікти при встановленні нових пакунків...

[noddeat]

Сервер однозначно під Etch!!! Для десктопів, на мою думку, Lenny -- відмінний варіант, тільки доведеться робити регулярні (бодай раз на 7-10) днів dist-upgrade`и, інакше, можуть виникати конфлікти при встановленні нових пакунків...

геніально! це типу щоб з релігійних міркувань убунту не встановлювати?

У мене на десктопі 8.04, на сервері (LAMP) — Ubuntu 7.10 Server Edition, аптайм 256 днів (з моменту знесення старого дебіана та встановлення убунти не робив жодного апдейта і перезавантаження системи).

Сервер: залежить, які версії ПЗ вам треба, підійде і Дебіан старий, і Дебіан новий, і Убунту.
Десктоп: Убунту (не розумію, нашо ставити unstable Debian, щоб робити кожен день dist-upgrade).

[Praporshic]

Десктоп: Убунту (не розумію, нашо ставити unstable Debian, щоб робити кожен день dist-upgrade).

Debian unstable на десктоп? "Пан знається на збоченнях" (С). Lenny і не новіше. До того ж, Олександр помилився - досить стандартних update&upgrade. В мене на ноуті Lenny не оновлюється місяцями, і нічого. Просто перед встановленням нових пакунків роблю apt-get update щоб у разі необхідності потрібні пакунки оновились.

Ставити убунту на сервер - знущання. Он до мого приходу встановили два. Я на них дивлюсь та ніяк не можу зрозуміти: навіщо на сервері стільки усього? Якщо потрібен Debian-based серверний дистр, то єдиний вибір - Debain stable. Це не релігійні питання, а питання досвіду. Нещодавно перевстановлював на одному з серверів з убунтою ядро, бо там встановили стандартне i686, а воно (7.04->7.10) без підтримки SMP. Як наслідок - з двох ядер бачилось лише одне (у Debian SMP є у стандартному ядрі i686).

Ubuntu 7.10 Server Edition, аптайм 256 днів (з моменту знесення старого дебіана та встановлення убунти не робив жодного апдейта і перезавантаження системи).

Адресу не підкажете? Я собі заведу ще один хост з root-привілеями.

[Сашко Кравчук]

Сервер однозначно під Etch!!! Для десктопів, на мою думку, Lenny -- відмінний варіант, тільки доведеться робити регулярні (бодай раз на 7-10) днів dist-upgrade`и, інакше, можуть виникати конфлікти при встановленні нових пакунків...

геніально! це типу щоб з релігійних міркувань убунту не встановлювати?

Ні, ніяких холіварів. Мені дуже імпонує Убунту і я просто у захваті від того, що цей дистрибутив зробив для світу лінукс та вільного програмного забезпечення взагалі, але мій, най і не великий і не дуже серйозний, але все ж таки, досвід підказує, що тестова гілка Дебіена справді є чудовим варіантом для десктопів.

Я 8 місяців адміністрував комп'ютерний в Університеті, який працював виключно під лінуксом (єдиний на увесь університет, де навчається 10 000 "стаціонарників"), і повірте, я за цей час перепробував чимало дистрибутивів, і не вернуло мене лише від двох: Debian`а та Arch`а, і то останній стояв на слабенькій машині.

Щодо сервера, то я, мабуть, ніколи не наважусь встановити туди щось, окрім Debian stable. Ubuntu -- то хороша, але надто вже попсова річ. Я чудово розумію, і поважаю Ваш вибір, не вбачаючи у ньому нічого поганого і принизливого, прошу мені вибачити, але я ніколи і нікому не порекомендую цієї системи для серверу. Дякую!

[noddeat]

Сашко, я теж не збирався холівар провокувати

Адресу не підкажете? Я собі заведу ще один хост з root-привілеями.

Підкажу, чого не підказати: http://bo.net.ua

Я буду дійсно не проти, якщо ви знайдете у мене дірку (про те, що двигун на сайті дірявий, як решето, знаю — будемо міняти), яка б дозволила отримати shell-доступ до системи, і поділитесь, як її усунути (я наразі вважаю, що поточний захист надійний).

Кваліфікованих сисадмінів бракує проекту, це факт.

[pvl]

В результаті отримуємо etch на сервер і lenny|ubuntu на десктопи.
Всім дякую за поради.

<трошки нахабно>
    Чи не запише мені в Києві хтось -> etch|lenny|ubuntu|kubuntu|xubuntu?
</трошки нахабно>

[Praporshic]

Я буду дійсно не проти, якщо ви знайдете у мене дірку (про те, що двигун на сайті дірявий, як решето, знаю — будемо міняти), яка б дозволила отримати shell-доступ до системи, і поділитесь, як її усунути (я наразі вважаю, що поточний захист надійний).

1. Використовується стандартний та доволі популярний рушій Invision Power Board. Як наслідок - дірки у ньому знаходити полюбляють.
2.

Apache/2.2.3 (Ubuntu) PHP/5.2.1 Server at bo.net.ua Port 80

Я майже впевнений що увімкнено mod_mime_magic - стикався з доволі цікавим методом проникнення у систему завдяки йому. Додайте ще вихід з safe_mode у php 5.2.1 - матимете веселий комплект.
3. Якщо система не оновлювалась вже більше 200 днів, то 100% працюватиме kernel root exploit (в мене десь залишився - перевіряв свої сервери ним). Ще додайте дірку у openssl, яку в убунті скопіювали з Debian.

[raven]

Там ще навіщось сендмило і мускуль назовні стирчать. Добре, що хоч самба фільтрується, а то можна було б зробити гадість практично не відходячи від каси - недавно була виявлена дуже файна дірка. Хоча і стирчить, тобто це вже питання прямоти налаштувань iptables.

[noddeat]

1. Використовується стандартний та доволі популярний рушій Invision Power Board. Як наслідок - дірки у ньому знаходити полюбляють.

ну це стосується всіх несамописних двигунів. Найкращий захист — прибрати з сайту всі згадки про те, який двигун використовується.

Я майже впевнений що увімкнено mod_mime_magic - стикався з доволі цікавим методом проникнення у систему завдяки йому.

ні, не увімкнений. phpinfo, до речі, можна глянути тут

то 100% працюватиме kernel root exploit (

це я знаю, але ssh зачинений для всіх, крім обраних ІР (через hosts.allow/deny)

Там ще навіщось сендмило і мускуль назовні стирчать. Добре, що хоч самба фільтрується, а то можна було б зробити гадість практично не відходячи від каси - недавно була виявлена дуже файна дірка. Хоча і стирчить, тобто це вже питання прямоти налаштувань iptables.

а як зачинити все, крім ssh і http?

Ну в кожному разі, ці всі дірки — це кривизна моїх рук, а не вада системи.

[Praporshic]

ну це стосується всіх несамописних двигунів. Найкращий захист — прибрати з сайту всі згадки про те, який двигун використовується.

Так, але не завжди це можливо. Окрім того, якщо лізе людина а не робот - вона 100% визначить рушій.

ні, не увімкнений.

Один з методів не підійде, але підійде інший.

це я знаю, але ssh зачинений для всіх, крім обраних ІР (через hosts.allow/deny)

Для цього експлоіта ssh не потрібен. Є різні php-shell та інші подібні речі.

а як зачинити все, крім ssh і http?

Якщо можна вимкнути взагалі. Якщо ні - налаштувати заборонивши прослуховування зовнішнього інтерфейсу. Або заблокувавши у iptables.

Ну в кожному разі, ці всі дірки — це кривизна моїх рук, а не вада системи.

Не зовсім. Це кривизна рук плюс вади системи. Оновлюватись треба. Звісно, не кожен день, але після оновлень штибу openssl security fix - обов'язково.

[raven]

ну це стосується всіх несамописних двигунів. Найкращий захист — прибрати з сайту всі згадки про те, який двигун використовується.

Так, але не завжди це можливо. Окрім того, якщо лізе людина а не робот - вона 100% визначить рушій.

Крім того, IPB написаний на глобальному і надійному. А воно саме по собі злегка діряве буває.

а як зачинити все, крім ssh і http?

Як сказав prapor - або покласти сервіс, або налаштувати щоб не ліз куди не просять, або заблокувати. Взагалі - nmap і iptables в руки і вперед.

//капча uk4mmm. noddeat, ви впевнені, що у вас нема недоброзичливців?

[noddeat]

//капча uk4mmm. noddeat, ви впевнені, що у вас нема недоброзичливців?

звісно, є. Що вже було:
— турки кілька разів ламали двигун на головній. двигун тимчасово закрито для неукраїнських ІР. Будемо міняти.
— форум не ламали ніколи з того часу, як IPB (а це роки два-три). Ламали попередній двигун на phpBB.
— саму систему, однак, не ламали ніколи. Пробували (невдало) підібрати пароль на ssh — закрили для всіх ІР, крім тих, з яких заходять адміни.

ДДОСять регулярно. Поки що борюсь антиспам-скриптами.