Python-сообщество

> ага, собрать полную систему, и сделать обычный chroot. а какая разница, куда убежит злоумышленник. конечно, в linux есть cgroups, но опять же, какой прикладной софт этим пользуется? механизм, который там используется, в том же debian, по-моему, только postfix использует (хотя могу что-то путать). Ну и openssh можно на подобное натравить. Который, какое совпадение, этим самым OpenBSD Team и пишется.

Ничего не понял. Чем chroot в OpenBSD отличается от chroot в CentOS? При чем здесь cgroups, который позволяет управлять потреблением ресурсов? OpenSSH используется в линуксах тоже. Не в курсе насчет selinux, который разрабатывался министерством обороны США?

> Для базовой системы - есть. Apache и Nginx входят в базовую систему.
То-то новые баги постоянно находят в apache, несмотря на то, что OpenBSD проводит их аудит.

Ладно, я в любом случае не собираюсь этим продуктом пользоваться. Я высказал вам мое мнение, которое основано на 5+ лет работы системным администратором в хостинг провайдерах. Прислушаться к нему или нет - ваше дело.

> Ничего не понял. Чем chroot в OpenBSD отличается от chroot в CentOS?

Его использованием. Там в faq всё написано. Если просто поставить centos в chroot, и накатить apache, получится снова apache в centos. Убегай - не хочу.

> Не в курсе насчет selinux, который разрабатывался министерством обороны США?

Не МО, а АНБ. Очень уважаемая контора, Эдвард Сноуден не даст соврать.

(а openbsd ещё несколько лет назад криво косилось на этот АНБ, и по одному подозрению проводило полный аудит на предмет “а не добавили ли там чего”)

Опять же, одни вопросы - где оно используется, каким прикладным ПО, какие усилия нужно приложить, чтобы оно работало. Кто это использует, поднимите руку?

И как оно вообще помогает в борьбе с самыми популярными уязвимостями? SElinux - это вообще из другой оперы. Из той же оперы - grsecurity. Но в CentOS его нет. Тогда уж лучше использовать тот дистрибутв, где он есть по умолчанию. Но лично я бы предпочёл openbsd.

> Я высказал вам мое мнение, которое основано на 5+ лет работы системным администратором в хостинг провайдерах. Прислушаться к нему или нет - ваше дело.

Я пока не услышал преимуществ, кроме “можно бегать и искать репозитории” и “можно самому что-то настроить” для людей, которые не собираются бегать и искать репозитории и не собираются сами всё настраивать (если собираются сами - им никакие быткомплекты не нужны)

> Его использованием. Там в faq всё написано. Если просто поставить centos в chroot, и накатить apache, получится снова apache в centos. Убегай - не хочу.

Поставит Centos, настроить там chroot и запихать туда apache. Либо поставить Solaris, настроить там несколько зон и распихать различные сервисы по ним.

> Я пока не услышал преимуществ, кроме “можно бегать и искать репозитории” и “можно самому что-то настроить” для людей, которые не собираются бегать и искать репозитории и не собираются сами всё настраивать (если собираются сами - им никакие быткомплекты не нужны)

Вы уверены, что будет установлено все ПО, которое может потребоваться? У питона очень много удобных библиотек, которые не входят в базовую поставку, но которые имеют в своих зависимостях нестандартные системные библиотеки. Где такую проблему проще решить новичку - в OpenBSD или в CentOS/Debian? Опять же, я не видел взлома сервера из-за какой-то системной уйзвимости, но кучу раз видел, как его ломали из-за кривых скриптов.
И главный вопрос - если машина будет использоваться только разрабочиком и, насколько я понимаю, не будет иметь реального IP адреса - нужны ли там эти заморочки с безопасностью или проще поставить более распространенный дистрибутив, ответить на вопрос по которому могут практически на любом форуме?

devstacks
а почему такая разница в размерах ? можно было-бы весь список огласить

> Поставит Centos, настроить там chroot и запихать туда apache. Либо поставить Solaris, настроить там несколько зон и распихать различные сервисы по ним.

Куча трудоёмких действий для тех, кому делать нечего. Или кого хлебом не корми, дай что-нибудь понастраивать. Это вообще не ЦА.

> Вы уверены, что будет установлено все ПО, которое может потребоваться? У питона очень много удобных библиотек, которые не входят в базовую поставку, но которые имеют в своих зависимостях нестандартные системные библиотеки.

Это уже будет решаться на месте. Главное - обеспечить быстрый старт и хороший набор. Из того, что я из pypi ставил - всё работало. В стандартном наборе - 321 библиотека. Для EL даже virtualenv найти опакеченный - это вопрос.


> И главный вопрос - если машина будет использоваться только разрабочиком и, насколько я понимаю, не будет иметь реального IP адреса - нужны ли там эти заморочки с безопасностью или проще поставить более распространенный дистрибутив, ответить на вопрос по которому могут практически на любом форуме?

Кому проще? Тому, кому разрабатывать и поддерживать? Понятия не имею. Лично мне было бы намного проще на openbsd, потому что openbsd сам простой, как три рубля, и, в отличие от систем, где постоянно всё меняется, в openbsd до сих пор рекомендуют книги по Unix

Пользоваться? Понятия не имею. Если этот контейнер легко выставить в сеть, и есть гарантии худобедно безопасности, даже если за ним не особо следить - это, по-моему, плюс. Как мелкий сервер

Что касается вопросов - где проще ответить на вопрос, по серверу, который непонятно кто непонятно как ставил, с непонятной конфигурацией, или сервер, где известна каждая библиотека, вплоть до версии, и у всех полностью одинаковая конфигурация? Для меня ответ на вопрос по Debian, который ставил я, будет невероятно простым. А про CentOS, который ставил ты - сложным, потому что я не знаю нюансов.

Сейчас, на волне АНБ-паники, можно сначала делать виртуалки, поддерживать это дело, а потом делать soho-коробочки с хранением персональных данных, домашние облака, домашние серверы, и тому подобное - маленькие, дешёвые и безопасные, на уже разобранном для него и пользователей openbsd. Разбогатеет, удачно женится на принцессе какой-нибудь Бельгии и ещё нас на свадьбу пригласит.

Если потребность в безопасности есть, а ниша поддержки openbsd ещё не развита, значит нужно делать что? Развивать. Унутре openbsd очень простая, гораздо проще centos-ов и прочей ереси, так что развивать и поддерживать - проще.

Подведу итог: какую систему использовать - вопрос личных предпочтений:)
Для удобства разворачивания/поддержки/обновления я бы выбрал CentOS или FreeBSD, для безопасности - OpenBSD или Solaris, для производительности - Solaris/CentOS/FreeBSD.

Я использовал в течение хотя бы месяца (но чаще - дольше), детально в них разбираясь, около 30 дистрибутивов linux плюс freebsd, netbsd, openbsd. И имею примерное представление ещё о стольких же. Компьютеров у меня всегда несколько, а раньше было вообще много, поэтому всё постигалось в процессе и сравнении.

Кроме того, я заставлял использовать это своих жён, детей, тех, кто были после жён, кошечек, собачек и канареек. И у меня уже сформировались свои критерии. Главный - когда не используешь что-то в течение долгого времени, помнишь уже смутно, и представляешь, сколько времени займёт это поднять с нуля до полного удовлетворения результатом. И, в случае, если это не себе, чтобы это было так, чтобы была минимальная поддержка - поставил и забыл.

Теперь я старый больной человек, и использую на десктопах только debian (в 80% случаев) и openbsd (в 20%). Для веб приложений - контейнеры с openvz - только Debian, ибо это дёшево. OpenBSD я использую не из-за безопасности, а из-за удобство - внятная, стабильная, без “порезов бумагой” и отлично самодокументированная, с подробнейшими man-страницами ОС. И с единой базовой системой, что тоже удобно.

Для разных задач я бы предложил разное. И openbsd - только для узкого круга задач. Но вот для подобной задачи “вбил, поставил и забыл” - именно openbsd. Создать решение, которое не будет вызывать проблем у новичков на базе EL - значительно сложнее. Там слишком много своего… чего, по сути, новичкам в руки лучше не давать, что будет больше мешать, чем помогать, что будет путать людей.

Тратить свое время на популяризацию опенсурс решений и выкладывание наработок в открытый доступ- только респект и уважуха.
Необходимость данного образа для джанги представляется сомнительной, если только вроде “демо для начинающих”
Это все таки не цмска какая, ну увидит пользователь стандартную админку джанго.

P.S. А что все про апаче копья ломают, nginx уже немодно чтоли?

nnmware
P.S. А что все про апаче копья ломают, nginx уже немодно чтоли?

Если openbsd добавил nginx в базовую систему, это уже не модно, это уже ужас как консервативно. Я не знаю, что к apache прицепились, сто лет его уже не видел.

а почему такая разница в размерах ? можно было-бы весь список огласить

Видимо попал снапшот VMWare в архив. Весь список? Сейчас есть 4 виртуалки и еще одна (по Clojure) еще пока не выложена на сайт (на Debian уже).

До 10 числа переведу все на Debian, затем будут готовы сборки на OpenBSD.

Кстати, если кто хочет - присылайте свои образы - опубликую.

Да, кстати, посоветуйте бесплатные материалы, которые можно включить. Книги, статьи.

P.S. Как-то работал в одной организации, там была виртуальная машина, а интернета не было. А нужен был Python. Правда давно это было, году в 2009-м. Пригодилось бы.

Кстати, сама идея пришла не просто так. Пол дня убивать на настройку Rails и искать в Google каждый раз особого желания нет, а различные языки (Python, Ruby) нужны редко. Обычно написать какой-нибудь скрипт, или по фриланс-проектам. Сам пользуюсь Windows, так что виртуальная машина с Linux как раз подходит.

Если разработчик хочет выкладывать в Production свои наработки, то это не ЦА. Он должен уметь разбираться в настройке окружения.

Не просто так появились всем известные TryPython в браузере.

Отредактировано devstacks (Окт. 4, 2013 16:03:07)