| |
| |||||||
Alles rund um Mac OSX & Linux: Gentoo 2004.0Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate. |
 |
02.03.2004, 20:18
| #1 |
| |  Gentoo 2004.0 Nabend, wie manche sicherlich mitbekommen haben, wurde gestern die neue Gentoo Version 2004.0 released. Auch das Hardened Projekt meldet das erste stable release.  Nun meine spezielle Frage: Da Gentoo mit dem Gentoo-Hardened Projekt eine recht sichere Version anbietet, stellen sich mir ein paar Fragen. Bisher läuft bei mir auf meinem Server Gentoo mit 2.4.25 + grsecurity Patch. Wie groß ist der Pflegemehraufwand bei Gentoo-Hardened? Durch APX und SSP wird die Sicherheit gegenüber Stackoverflows deutlich erhöht. Habe auch schon mit dem Gedanken gespielt auf Adamatix umzusteigen, allerdings sind mir manche Versionen (Woody halt) einfach zu alt. Selbstkompilieren/Backports ist immer so eine Sache mit der Updatepflege und dem Paketmanagement. Zweite Frage: Da das Hardened Team eine wirkliche BSD Alternative im Sinn hat, kann man Gentoo dann auch ohne Compiler in Zukunft betreiben? Bei BSD kann ich ja auch zwischen Ports und Packages wählen. Ein Compiler ist zwar nicht das größte Sicherheitsrisiko(Binär Exploits), aber ohne wär's schon schöner.  Gruss curbain |
|
02.03.2004, 23:45
| #2 |
| Gast |  Gentoo 2004.0 </font><blockquote>Zitat:</font><hr />Original erstellt von curbain:
__________________... wie manche sicherlich mitbekommen haben, wurde gestern die neue Gentoo Version 2004.0 released. Auch das Hardened Projekt meldet das erste stable release. ...</font>[/QUOTE]die mirrors werden befüllt - gentoo selbst spricht von 24 bis 48 stunden...  </font><blockquote>Zitat:</font><hr />.. Nun meine spezielle Frage: Da Gentoo mit dem Gentoo-Hardened Projekt eine recht sichere Version anbietet, stellen sich mir ein paar Fragen. ...</font>[/QUOTE]was den nu? eine oder mehrere fragen? *SCNR* </font><blockquote>Zitat:</font><hr />... Wie groß ist der Pflegemehraufwand bei Gentoo-Hardened? ...</font>[/QUOTE]hab mich damit (noch?) nicht beschäftigt, würd aber sagen, dass es ident ist mit einem herkömmlichen emerge -uD world -> es wird ja "nur" ein "gehärteter" gcc verwendet (ich weiss, andere sachen auch noch, aber es geht ja ums compilen )</font><blockquote>Zitat:</font><hr />... Habe auch schon mit dem Gedanken gespielt auf Adamatix umzusteigen, allerdings sind mir manche Versionen (Woody halt) einfach zu alt. ...</font>[/QUOTE]sobald du auf adamantix umsteigst, bist quasi weg von woody (adamantix ist keine ergänzung, sondern ein alternativer zweig). auch die debian-secure-updates haben IIRC keine gültigkeit mehr (da ja die sicheren sachen von adamantix gelten). </font><blockquote>Zitat:</font><hr />... Selbstkompilieren/Backports ist immer so eine Sache mit der Updatepflege und dem Paketmanagement. ...</font>[/QUOTE]zu backports: siehe oben (kann zu überschneidungen mit adamantix führen), selbstkompilieren und update beisst sich bei debian doch ein wenig... </font><blockquote>Zitat:</font><hr />... Zweite Frage: Da das Hardened Team eine wirkliche BSD Alternative im Sinn hat, kann man Gentoo dann auch ohne Compiler in Zukunft betreiben? Bei BSD kann ich ja auch zwischen Ports und Packages wählen. Ein Compiler ist zwar nicht das größte Sicherheitsrisiko(Binär Exploits), aber ohne wär's schon schöner. ...</font>[/QUOTE]wie du den compiler los wirst, weiss ich auf die schnelle nicht (möglicherweise mit fake-install, das gentoo von obenbsd übernommen hat - aber keine ahnung, wie das genau funktioniert *g*)... aber das mit den fertigen binaries gibt es bereits seit 1.4 (GRP - gentoo reference platform). man emerge (die option -k bzw. -K )jedoch muss die referenz von gentoo nicht unbedingt deiner vorstellung von referenz entsprechen. daher macht es sinn, ein referenzgerät mit gentoo zu installieren, auf dem du deine pakete (kompiliert mit deinen flags) erstellst. die binaries erstellt man (derzeit) mit dem "buildpkg"-wert in der variable FEATURES in der make.conf -> jedoch ist dafür die neuerung, die du nicht erwähnt hast, zukünftig dafür zuständig: der catalyst[1] [1] http://www.gentoo.org/proj/en/releng/catalyst/ wie gesagt: du brauchst ein referenzgerät, um die pakete zu bauen (wenn du am server selbst NICHT bauen willst). wenn man den gedanken zu ende denken will: das referenzgerät könnte z.b. für den server ein PORTAGE_BINHOST sein, sodass sich dein server die von die erstellten pakete direkt von deinem referenzgerät einspielt... möglich ist vieles, die frage ist nur, in wie weit du bereit bist, den aufwand zu betreiben. für detailiertere fragen empfehle ich forums.gentoo.org (zumal sich die entwickler dort ja auch tummeln) [img]graemlins/teufel3.gif[/img] |
|
03.03.2004, 15:19
| #3 |
| | Gentoo 2004.0 Danke!
__________________Der Download läuft schon... Die Binarys würde ich auch auf meinem Home-Server kompilieren... will ja schließlich meine USE-Flags haben. Ich habe auch schon überlegt Open-/FeeBSD auf meinem Server zu installieren. Da ich allerdings nicht aus einer Linuxumgebung rein chrooten kann, war mir der Aufwand bisher etwas zu groß. Obwohl es ja sogar Leute gibt, die _erfolgreich_ nen LFS auf nem Server laufen haben(zum Thema Aufwand). Hast Du eigentlich Erfahrungen mit BSD auf Webservern? Ich habe bisher nur gehört, dass es nicht sehr performant ist und deshalb vorwiegend nur auf Routern eingesetzt wird. Aber ich speziell halte mittlerweile Gentoo für nahezu perfekt und nen Wechsel auf BSD bringe wahrscheinlich mehr Nachteile(in meinem Fall). Gruss |
|
03.03.2004, 16:14
| #4 |
| Gast | Gentoo 2004.0 </font><blockquote>Zitat:</font><hr />Original erstellt von curbain: ... Obwohl es ja sogar Leute gibt, die _erfolgreich_ nen LFS auf nem Server laufen haben(zum Thema Aufwand). ...</font>[/QUOTE]gentoo schlägt ja in die selbe kerbe, nur das ein gscheites package-system (emerge) dahintersteckt. </font><blockquote>Zitat:</font><hr />Original erstellt von curbain: ... Hast Du eigentlich Erfahrungen mit BSD auf Webservern? Ich habe bisher nur gehört, dass es nicht sehr performant ist und deshalb vorwiegend nur auf Routern eingesetzt wird. ...</font>[/QUOTE]och... performanceprobleme dürfte es bei einer gscheiten konfiguration (und hardware) nicht geben, sonst hätte ja yahoo schon längst umgesattelt. auch micros~1 hat ja IIRC einige *bsd-server am laufen (ich glaub bei hotmail, und bei diesem bannerdienst, dessen name mir grad net einfällt) - und die wären sicher nimmer drinnen, wenn etwas anderes "performanter" wäre. *bsd ist halt was anderes, entweder du hasst es, oder liebst es. *bsd ist bei uns eher weniger verbreitet, findet eher im asiatischen raum seinen zuspruch. ich habe mich mit freebsd und netbsd ein bisserl rumgespielt, aber mir ist gentoo um hausecken lieber... </font><blockquote>Zitat:</font><hr />Original erstellt von curbain: .. Aber ich speziell halte mittlerweile Gentoo für nahezu perfekt und nen Wechsel auf BSD bringe wahrscheinlich mehr Nachteile(in meinem Fall). ...</font>[/QUOTE]nicht nur in deinem fall. siehe oben (man hausecken) *g* [img]graemlins/teufel3.gif[/img] |
|
| Themen zu Gentoo 2004.0 |
| alter, alternative, biete, bietet, compiler, einfach, frage, gen, gentoo, größte, meinem, melde, meldet, neue, nicht, projekt, recht, sache, server, sichere, sicherheit, spezielle, stable, stelle, version, versionen, zukunft |
Linear-Darstellung
