View previous topic :: View next topic |
Author |
Message |
FoX.44 n00b
Joined: 30 Aug 2005 Posts: 26
|
Posted: Tue Apr 17, 2007 7:07 pm Post subject: [INFO] Gentoo pour des serveurs, envisageable ? |
|
|
Bonsoir tout le monde !
Voilà, je me suis fait un peu la main avec gentoo sur mon desktop et l'idée m'ai venu de migrer également mon serveur qui me sert un peu a tout (WEB, FTP, Mail, Fichier, MYSQL, etc...) actuellement sur Debian Sarge. Est-ce une bonne idée ? Au niveau des mise à jour de sécu, c'est aussi bien à jour ? Et pour la maintenance, est-ce que cela risque de poser beaucoup de difficulté ?
Merci d'avance pour vos conseils. |
|
Back to top |
|
|
dapsaille Advocate
Joined: 02 Aug 2004 Posts: 2366 Location: Paris
|
Posted: Tue Apr 17, 2007 7:39 pm Post subject: |
|
|
Pour un serveur perso +1 car cela permet de recycler des vieilles machines bien optimisées ..
En prod .... je dirais à fuire ne serais ce que pour la présence des compileurs ...
maintenant certains doivent le faire mais je pense que cela demande trop (faineant inside)
de boulot ... de qui plus est tu ne change pas de version sur un serveur . .sauf pour les security updates ...
et je trouve que gentoo bahh j'aime le débit des ebuilds mais ca fait trop pour un serveur
Maintenant attend un peu et tu trouveras un discours inverse et prouvé :p |
|
Back to top |
|
|
lejim Tux's lil' helper
Joined: 26 Feb 2007 Posts: 106 Location: France / Chilly Mazarin
|
Posted: Tue Apr 17, 2007 7:48 pm Post subject: |
|
|
J'utilise gentoo sur des serveurs au taff :
1 Nagios/Oreon
1 Squid/Dansguardian
12 ( en cours de deploiement ) mini gateway/filtrage/vpn sur du via epia
pour le débit des ebuilds c'est clair que je ne fait pas d'emerge -uvaD chaque jours
avec un cron qui sync le portage ( d'ailleurs j'ai un serveur rsyncd )
pour le moment je fais mon glsa-check à la main mais je compte faire un script basé sur glsa-check -l new avec envoi du mail si présence d'un faille
et je dois dire que j'ai très peu d'update sur 8 mois j'ai du en avoir 4 ou 5 ( à vue de nez hein )
après si je veux updater une version d'un soft genre squid 2.5 -> 2.6 ba rien de plus simple sous gentoo ...
Les compiles je les fais en période creuses. Puis si ton serveur est critique il y'a toujours hardened / SELinux.
Pour le coup du compilo FreeBSD et consors hein... |
|
Back to top |
|
|
BaNaNe Guru
Joined: 18 May 2003 Posts: 327 Location: Vous êtes ici...
|
Posted: Tue Apr 17, 2007 7:55 pm Post subject: |
|
|
Pour un server perso, je ne vois pas de problèmes. Le miens tourne d'ailleurs sous Gentoo. Il sert aussi un peu à tout : web, ftp, mysql, ssh, streaming mp3 en local, fichiers,...
J'ai aussi distcc, il aide à la compilation des autres pc à l'occasion. _________________ Comme c'est à la mode de mettre la config de tous ses pc...
Desktop : Intel Q9550 + 4Go DDR2 + 640Go & 1To Sata2 + HD4870
Portable : Centrino 2ghz 1Go DDR 160GO
Server Fichier : PII 400Mhz 640SDR 200GO |
|
Back to top |
|
|
lejim Tux's lil' helper
Joined: 26 Feb 2007 Posts: 106 Location: France / Chilly Mazarin
|
Posted: Tue Apr 17, 2007 7:59 pm Post subject: |
|
|
Je suis un fou alors?
Tiens je viens de voir qu'un profile "server" allais faire son apparition dans la 2007.0
Quote: | /usr/portage/profiles/default-linux/x86/2007.0/server/ |
|
|
Back to top |
|
|
BaNaNe Guru
Joined: 18 May 2003 Posts: 327 Location: Vous êtes ici...
|
Posted: Tue Apr 17, 2007 8:02 pm Post subject: |
|
|
lejim wrote: |
Tiens je viens de voir qu'un profile "server" allais faire son apparition dans la 2007.0
Quote: | /usr/portage/profiles/default-linux/x86/2007.0/server/ |
|
Il existe déjà : /usr/portage/profiles/default-linux/x86/2006.1/server _________________ Comme c'est à la mode de mettre la config de tous ses pc...
Desktop : Intel Q9550 + 4Go DDR2 + 640Go & 1To Sata2 + HD4870
Portable : Centrino 2ghz 1Go DDR 160GO
Server Fichier : PII 400Mhz 640SDR 200GO |
|
Back to top |
|
|
maicroft n00b
Joined: 08 Nov 2006 Posts: 37
|
Posted: Tue Apr 17, 2007 8:26 pm Post subject: |
|
|
Oui il existe mais comme il est dit :
"This profile has not been tested thoroughly and is not considered to be"
"a supported server profile at this time. For a supported server"
"profile, please check the Hardened project (http://hardened.gentoo.org)."
enfin j'ai encore un peu de peine avec les profiles. Perso je pense que gentoo en prod c'est pas un soucis , je dirais même sa peut alléger certaine maj , genre openssh , si on a 10 serveur en frontal par exemple c'est quand même du gains de temps. |
|
Back to top |
|
|
-KuRGaN- Veteran
Joined: 05 Dec 2004 Posts: 1142 Location: Besançon (25) [FRANCE]
|
Posted: Wed Apr 18, 2007 12:14 am Post subject: |
|
|
Je pense aussi que ça peut être jouable en prod avec plusieurs serveurs mais j'envisage la chose de façon suivante:
- un serveur dédié qui compile les paquets de base pour les autres
- un distcc sur une machine ( suivant le nombre total de serveur )
- un bon cfengine bien étudié pour gérer tout ce petit monde très facilement
De plus, avec la virtualisation, il y a moyen de moyenner quoi _________________ Knight Gent00 Industries RiDeR !!!! |
|
Back to top |
|
|
Scullder Guru
Joined: 16 Mar 2006 Posts: 466 Location: France
|
Posted: Wed Apr 18, 2007 8:32 am Post subject: |
|
|
dapsaille wrote: | Pour un serveur perso +1 car cela permet de recycler des vieilles machines bien optimisées ..
En prod .... je dirais à fuire ne serais ce que pour la présence des compileurs ...
maintenant certains doivent le faire mais je pense que cela demande trop (faineant inside)
de boulot ... de qui plus est tu ne change pas de version sur un serveur . .sauf pour les security updates ...
et je trouve que gentoo bahh j'aime le débit des ebuilds mais ca fait trop pour un serveur
Maintenant attend un peu et tu trouveras un discours inverse et prouvé :p |
Je pense pareil, une debian 4 et c'est parti pour au moins un an et demi sans quasiment s'en occuper. Mais bon, gentoo ça marche aussi _________________ Linux gentoo 2.6.18-ck1-r2 #1 PREEMPT Fri Nov 17 01:37:56 CET 2006 x86_64 AMD Athlon(tm) 64 Processor 3000+ AuthenticAMD GNU/Linux |
|
Back to top |
|
|
ultrabug Developer
Joined: 24 Jan 2005 Posts: 698 Location: Paris
|
Posted: Wed Apr 18, 2007 9:12 am Post subject: |
|
|
J'administre plus d'une vingtaine de serveurs de production sous Gentoo et je n'ai aucun problème avec cela. Mes systèmes sont optimisés, je profite de la grande flexibilité de portage pour gérer mes mises à jour (très rares à part les glsa).
Ils rsync entre eux et un script d'admin m'informe tous les jours par mail des failles via glsa-check ainsi que de tout autre problème etc... Je vais bientot rajouter un Nagios là dessus pour du temps réel.
J'ai découvert et adopté Gentoo justement pour des serveurs de production. Je voulais une distribution me permettant de totalement maîtriser mes serveurs tout en me laissant une simplicité d'administration forte. Une compilation n'a jamais fait planter ou causer une quelconque dégradation de service en 3 ans chez moi.
Ce n'est pas parceque vous pouvez en théorie mettre à jour votre Gentoo tous les jours qu'il faut le faire. Un hardened (avec du GRSecurity medium pour ma part) couplé à une bonne politique du réseau interne/externe est ce dont vous avez besoin à mon avis. |
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Wed Apr 18, 2007 9:25 am Post subject: |
|
|
ultrabug wrote: | (...)
Ce n'est pas parceque vous pouvez en théorie mettre à jour votre Gentoo tous les jours qu'il faut le faire. Un hardened (avec du GRSecurity medium pour ma part) couplé à une bonne politique du réseau interne/externe est ce dont vous avez besoin à mon avis. |
J'ajouterais qu'il est tout à fait possible d'externaliser la maj. c-a-d avoir un serveur seul dans son coin sur lequel on fait la maj et les tests. Une fois que c'est bon les autres serveurs se synchronisent dessus. (et on peut éviter que gcc, portage et consors soit exporter aux serveurs, suffit d'exclure les reps). Ça permet un meilleur contrôles des maj qui sont après tout plutôt rares.
De toute manière, pour avoir eu une certaine expérience du monde de l'hebergement professionel je me suis rendu compte que même si Debian était très utilisé: la plupart du temps les admins se font leur propres paquet mysql, apache, postgre, php, perl etc... afin de pouvoir affiner les options de configuration de ces programmes (et bien souvent ces paquets sont nettement meilleurs que ceux fournis par debian puisque spécialement optimisés pour leur serveur). Donc à partir de là... ça revient largement au même que d'utiliser Gentoo je pense. (si ce n'est qu'ils ne recompilent pas la base du système) _________________ membre officieux du SAV Ati GEntoo |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
|
Back to top |
|
|
lejim Tux's lil' helper
Joined: 26 Feb 2007 Posts: 106 Location: France / Chilly Mazarin
|
|
Back to top |
|
|
mornik Apprentice
Joined: 12 Mar 2005 Posts: 184 Location: Niort
|
Posted: Fri Apr 20, 2007 7:36 am Post subject: |
|
|
En expérience tres personnelle et limitée (faut être honnete), j'ai choisi pour ma dedibox une gentoo.
Je trouve que la maitrise que l'on peut avoir du serveur est incomparable. Apres les MAJ, il y en a pas tant que ça.
Aujourd'hui je gère un 2ème server (ok j'en suis pas arrivés aux centaines de certaines boites) et peut-être un 3ème si le projet aboutis.
Bref, en ce qui me concerne, je préfère une Gentoo en server qu'en desktop (ok mon desktop est en ~x64).
Voila ma maigre contribution à ce topic.
Pour info, j'ai tous les matin un mail qui me donne les tentatives de log, les ip bannies, les stats ftp, l'espace disque etc... Ce type de mail n'est interressant que lorsqu'on a un nombre réduit de server. _________________ Pousser pas j'y suis déjà ! |
|
Back to top |
|
|
lejim Tux's lil' helper
Joined: 26 Feb 2007 Posts: 106 Location: France / Chilly Mazarin
|
Posted: Fri Apr 20, 2007 11:31 am Post subject: |
|
|
comme promis le piti script bash pour l'envoi d'un rapport Glsa :
Code: | #!/bin/bash
echo "###" > /var/log/glsa.log
echo "" >> /var/log/glsa.log
echo `date +%A-%e-%B-%T` >> /var/log/glsa.log
echo "" >> /var/log/glsa.log
echo "### Début du rapport de compromission du système :" >> /var/log/glsa.log
echo "" >> /var/log/glsa.log
echo $HOSTNAME >> /var/log/glsa.log
echo "" >> /var/log/glsa.log
echo "###" >> /var/log/glsa.log
echo "" >> /var/log/glsa.log
for item in `glsa-check -t all 2>/dev/null | grep -v This` ; do
echo -e -n "$item : " >> /var/log/glsa.log
glsa-check -d $item 2>/dev/null | grep "Affected package:" >> /var/log/glsa.log
done
echo "" >> /var/log/glsa.log
echo "### fin du rapport ###" >> /var/log/glsa.log
if grep -q "Affected package" /var/log/glsa.log
then
/etc/scripts/txt2html --xhtml /var/log/glsa.log > /etc/scripts/reports/glsa.html
cat /etc/scripts/headers/glsa.txt > /etc/scripts/sendmail/glsa.sm
cat /etc/scripts/reports/glsa.html >> /etc/scripts/sendmail/glsa.sm
/usr/sbin/sendmail -t < /etc/scripts/sendmail/glsa.sm
fi
|
et le contenu du header du mail
Code: | From: security-box.updates
To: administrateur@xxxxxx.fr
Subject: Rapport de compromission
Mime-Version: 1.0
Content-Type: text/html |
ainsi que l'url du script perl de conversion txt -> html
http://txt2html.sourceforge.net/
voilou en esperant que ce soit utile
[edit] l'envoi ne se fait que si présence d'une faille |
|
Back to top |
|
|
Mickael Advocate
Joined: 05 Sep 2005 Posts: 2387 Location: ~Belfort! - France - EU
|
|
Back to top |
|
|
|