Полная версия: Виртуальная машина для Django
> ага, собрать полную систему, и сделать обычный chroot. а какая разница, куда убежит злоумышленник. конечно, в linux есть cgroups, но опять же, какой прикладной софт этим пользуется? механизм, который там используется, в том же debian, по-моему, только postfix использует (хотя могу что-то путать). Ну и openssh можно на подобное натравить. Который, какое совпадение, этим самым OpenBSD Team и пишется.
Ничего не понял. Чем chroot в OpenBSD отличается от chroot в CentOS? При чем здесь cgroups, который позволяет управлять потреблением ресурсов? OpenSSH используется в линуксах тоже. Не в курсе насчет selinux, который разрабатывался министерством обороны США?
> Для базовой системы - есть. Apache и Nginx входят в базовую систему.
То-то новые баги постоянно находят в apache, несмотря на то, что OpenBSD проводит их аудит.
Ладно, я в любом случае не собираюсь этим продуктом пользоваться. Я высказал вам мое мнение, которое основано на 5+ лет работы системным администратором в хостинг провайдерах. Прислушаться к нему или нет - ваше дело.
> Ничего не понял. Чем chroot в OpenBSD отличается от chroot в CentOS?
Его использованием. Там в faq всё написано. Если просто поставить centos в chroot, и накатить apache, получится снова apache в centos. Убегай - не хочу.
> Не в курсе насчет selinux, который разрабатывался министерством обороны США?
Не МО, а АНБ. Очень уважаемая контора, Эдвард Сноуден не даст соврать.
(а openbsd ещё несколько лет назад криво косилось на этот АНБ, и по одному подозрению проводило полный аудит на предмет “а не добавили ли там чего”)
Опять же, одни вопросы - где оно используется, каким прикладным ПО, какие усилия нужно приложить, чтобы оно работало. Кто это использует, поднимите руку?
И как оно вообще помогает в борьбе с самыми популярными уязвимостями? SElinux - это вообще из другой оперы. Из той же оперы - grsecurity. Но в CentOS его нет. Тогда уж лучше использовать тот дистрибутв, где он есть по умолчанию. Но лично я бы предпочёл openbsd.
> Я высказал вам мое мнение, которое основано на 5+ лет работы системным администратором в хостинг провайдерах. Прислушаться к нему или нет - ваше дело.
Я пока не услышал преимуществ, кроме “можно бегать и искать репозитории” и “можно самому что-то настроить” для людей, которые не собираются бегать и искать репозитории и не собираются сами всё настраивать (если собираются сами - им никакие быткомплекты не нужны)
Его использованием. Там в faq всё написано. Если просто поставить centos в chroot, и накатить apache, получится снова apache в centos. Убегай - не хочу.
> Не в курсе насчет selinux, который разрабатывался министерством обороны США?
Не МО, а АНБ. Очень уважаемая контора, Эдвард Сноуден не даст соврать.
(а openbsd ещё несколько лет назад криво косилось на этот АНБ, и по одному подозрению проводило полный аудит на предмет “а не добавили ли там чего”)
Опять же, одни вопросы - где оно используется, каким прикладным ПО, какие усилия нужно приложить, чтобы оно работало. Кто это использует, поднимите руку?
И как оно вообще помогает в борьбе с самыми популярными уязвимостями? SElinux - это вообще из другой оперы. Из той же оперы - grsecurity. Но в CentOS его нет. Тогда уж лучше использовать тот дистрибутв, где он есть по умолчанию. Но лично я бы предпочёл openbsd.
> Я высказал вам мое мнение, которое основано на 5+ лет работы системным администратором в хостинг провайдерах. Прислушаться к нему или нет - ваше дело.
Я пока не услышал преимуществ, кроме “можно бегать и искать репозитории” и “можно самому что-то настроить” для людей, которые не собираются бегать и искать репозитории и не собираются сами всё настраивать (если собираются сами - им никакие быткомплекты не нужны)
> Его использованием. Там в faq всё написано. Если просто поставить centos в chroot, и накатить apache, получится снова apache в centos. Убегай - не хочу.
Поставит Centos, настроить там chroot и запихать туда apache. Либо поставить Solaris, настроить там несколько зон и распихать различные сервисы по ним.
> Я пока не услышал преимуществ, кроме “можно бегать и искать репозитории” и “можно самому что-то настроить” для людей, которые не собираются бегать и искать репозитории и не собираются сами всё настраивать (если собираются сами - им никакие быткомплекты не нужны)
Вы уверены, что будет установлено все ПО, которое может потребоваться? У питона очень много удобных библиотек, которые не входят в базовую поставку, но которые имеют в своих зависимостях нестандартные системные библиотеки. Где такую проблему проще решить новичку - в OpenBSD или в CentOS/Debian? Опять же, я не видел взлома сервера из-за какой-то системной уйзвимости, но кучу раз видел, как его ломали из-за кривых скриптов.
И главный вопрос - если машина будет использоваться только разрабочиком и, насколько я понимаю, не будет иметь реального IP адреса - нужны ли там эти заморочки с безопасностью или проще поставить более распространенный дистрибутив, ответить на вопрос по которому могут практически на любом форуме?
Поставит Centos, настроить там chroot и запихать туда apache. Либо поставить Solaris, настроить там несколько зон и распихать различные сервисы по ним.
> Я пока не услышал преимуществ, кроме “можно бегать и искать репозитории” и “можно самому что-то настроить” для людей, которые не собираются бегать и искать репозитории и не собираются сами всё настраивать (если собираются сами - им никакие быткомплекты не нужны)
Вы уверены, что будет установлено все ПО, которое может потребоваться? У питона очень много удобных библиотек, которые не входят в базовую поставку, но которые имеют в своих зависимостях нестандартные системные библиотеки. Где такую проблему проще решить новичку - в OpenBSD или в CentOS/Debian? Опять же, я не видел взлома сервера из-за какой-то системной уйзвимости, но кучу раз видел, как его ломали из-за кривых скриптов.
И главный вопрос - если машина будет использоваться только разрабочиком и, насколько я понимаю, не будет иметь реального IP адреса - нужны ли там эти заморочки с безопасностью или проще поставить более распространенный дистрибутив, ответить на вопрос по которому могут практически на любом форуме?
devstacks
а почему такая разница в размерах ? можно было-бы весь список огласить
а почему такая разница в размерах ? можно было-бы весь список огласить
> Поставит Centos, настроить там chroot и запихать туда apache. Либо поставить Solaris, настроить там несколько зон и распихать различные сервисы по ним.
Куча трудоёмких действий для тех, кому делать нечего. Или кого хлебом не корми, дай что-нибудь понастраивать. Это вообще не ЦА.
> Вы уверены, что будет установлено все ПО, которое может потребоваться? У питона очень много удобных библиотек, которые не входят в базовую поставку, но которые имеют в своих зависимостях нестандартные системные библиотеки.
Это уже будет решаться на месте. Главное - обеспечить быстрый старт и хороший набор. Из того, что я из pypi ставил - всё работало. В стандартном наборе - 321 библиотека. Для EL даже virtualenv найти опакеченный - это вопрос.
> И главный вопрос - если машина будет использоваться только разрабочиком и, насколько я понимаю, не будет иметь реального IP адреса - нужны ли там эти заморочки с безопасностью или проще поставить более распространенный дистрибутив, ответить на вопрос по которому могут практически на любом форуме?
Кому проще? Тому, кому разрабатывать и поддерживать? Понятия не имею. Лично мне было бы намного проще на openbsd, потому что openbsd сам простой, как три рубля, и, в отличие от систем, где постоянно всё меняется, в openbsd до сих пор рекомендуют книги по Unix
Пользоваться? Понятия не имею. Если этот контейнер легко выставить в сеть, и есть гарантии худобедно безопасности, даже если за ним не особо следить - это, по-моему, плюс. Как мелкий сервер
Что касается вопросов - где проще ответить на вопрос, по серверу, который непонятно кто непонятно как ставил, с непонятной конфигурацией, или сервер, где известна каждая библиотека, вплоть до версии, и у всех полностью одинаковая конфигурация? Для меня ответ на вопрос по Debian, который ставил я, будет невероятно простым. А про CentOS, который ставил ты - сложным, потому что я не знаю нюансов.
Сейчас, на волне АНБ-паники, можно сначала делать виртуалки, поддерживать это дело, а потом делать soho-коробочки с хранением персональных данных, домашние облака, домашние серверы, и тому подобное - маленькие, дешёвые и безопасные, на уже разобранном для него и пользователей openbsd. Разбогатеет, удачно женится на принцессе какой-нибудь Бельгии и ещё нас на свадьбу пригласит.
Если потребность в безопасности есть, а ниша поддержки openbsd ещё не развита, значит нужно делать что? Развивать. Унутре openbsd очень простая, гораздо проще centos-ов и прочей ереси, так что развивать и поддерживать - проще.
Куча трудоёмких действий для тех, кому делать нечего. Или кого хлебом не корми, дай что-нибудь понастраивать. Это вообще не ЦА.
> Вы уверены, что будет установлено все ПО, которое может потребоваться? У питона очень много удобных библиотек, которые не входят в базовую поставку, но которые имеют в своих зависимостях нестандартные системные библиотеки.
Это уже будет решаться на месте. Главное - обеспечить быстрый старт и хороший набор. Из того, что я из pypi ставил - всё работало. В стандартном наборе - 321 библиотека. Для EL даже virtualenv найти опакеченный - это вопрос.
> И главный вопрос - если машина будет использоваться только разрабочиком и, насколько я понимаю, не будет иметь реального IP адреса - нужны ли там эти заморочки с безопасностью или проще поставить более распространенный дистрибутив, ответить на вопрос по которому могут практически на любом форуме?
Кому проще? Тому, кому разрабатывать и поддерживать? Понятия не имею. Лично мне было бы намного проще на openbsd, потому что openbsd сам простой, как три рубля, и, в отличие от систем, где постоянно всё меняется, в openbsd до сих пор рекомендуют книги по Unix
Пользоваться? Понятия не имею. Если этот контейнер легко выставить в сеть, и есть гарантии худобедно безопасности, даже если за ним не особо следить - это, по-моему, плюс. Как мелкий сервер
Что касается вопросов - где проще ответить на вопрос, по серверу, который непонятно кто непонятно как ставил, с непонятной конфигурацией, или сервер, где известна каждая библиотека, вплоть до версии, и у всех полностью одинаковая конфигурация?
Для меня ответ на вопрос по Debian, который ставил я, будет невероятно простым. А про CentOS, который ставил ты - сложным, потому что я не знаю нюансов.Сейчас, на волне АНБ-паники, можно сначала делать виртуалки, поддерживать это дело, а потом делать soho-коробочки с хранением персональных данных, домашние облака, домашние серверы, и тому подобное - маленькие, дешёвые и безопасные, на уже разобранном для него и пользователей openbsd. Разбогатеет, удачно женится на принцессе какой-нибудь Бельгии и ещё нас на свадьбу пригласит.
Если потребность в безопасности есть, а ниша поддержки openbsd ещё не развита, значит нужно делать что? Развивать. Унутре openbsd очень простая, гораздо проще centos-ов и прочей ереси, так что развивать и поддерживать - проще.
Подведу итог: какую систему использовать - вопрос личных предпочтений:)
Для удобства разворачивания/поддержки/обновления я бы выбрал CentOS или FreeBSD, для безопасности - OpenBSD или Solaris, для производительности - Solaris/CentOS/FreeBSD.
Для удобства разворачивания/поддержки/обновления я бы выбрал CentOS или FreeBSD, для безопасности - OpenBSD или Solaris, для производительности - Solaris/CentOS/FreeBSD.
Я использовал в течение хотя бы месяца (но чаще - дольше), детально в них разбираясь, около 30 дистрибутивов linux плюс freebsd, netbsd, openbsd. И имею примерное представление ещё о стольких же. Компьютеров у меня всегда несколько, а раньше было вообще много, поэтому всё постигалось в процессе и сравнении.
Кроме того, я заставлял использовать это своих жён, детей, тех, кто были после жён, кошечек, собачек и канареек. И у меня уже сформировались свои критерии. Главный - когда не используешь что-то в течение долгого времени, помнишь уже смутно, и представляешь, сколько времени займёт это поднять с нуля до полного удовлетворения результатом. И, в случае, если это не себе, чтобы это было так, чтобы была минимальная поддержка - поставил и забыл.
Теперь я старый больной человек, и использую на десктопах только debian (в 80% случаев) и openbsd (в 20%). Для веб приложений - контейнеры с openvz - только Debian, ибо это дёшево. OpenBSD я использую не из-за безопасности, а из-за удобство - внятная, стабильная, без “порезов бумагой” и отлично самодокументированная, с подробнейшими man-страницами ОС. И с единой базовой системой, что тоже удобно.
Для разных задач я бы предложил разное. И openbsd - только для узкого круга задач. Но вот для подобной задачи “вбил, поставил и забыл” - именно openbsd. Создать решение, которое не будет вызывать проблем у новичков на базе EL - значительно сложнее. Там слишком много своего… чего, по сути, новичкам в руки лучше не давать, что будет больше мешать, чем помогать, что будет путать людей.
Кроме того, я заставлял использовать это своих жён, детей, тех, кто были после жён, кошечек, собачек и канареек. И у меня уже сформировались свои критерии. Главный - когда не используешь что-то в течение долгого времени, помнишь уже смутно, и представляешь, сколько времени займёт это поднять с нуля до полного удовлетворения результатом. И, в случае, если это не себе, чтобы это было так, чтобы была минимальная поддержка - поставил и забыл.
Теперь я старый больной человек, и использую на десктопах только debian (в 80% случаев) и openbsd (в 20%). Для веб приложений - контейнеры с openvz - только Debian, ибо это дёшево. OpenBSD я использую не из-за безопасности, а из-за удобство - внятная, стабильная, без “порезов бумагой” и отлично самодокументированная, с подробнейшими man-страницами ОС. И с единой базовой системой, что тоже удобно.
Для разных задач я бы предложил разное. И openbsd - только для узкого круга задач. Но вот для подобной задачи “вбил, поставил и забыл” - именно openbsd. Создать решение, которое не будет вызывать проблем у новичков на базе EL - значительно сложнее. Там слишком много своего… чего, по сути, новичкам в руки лучше не давать, что будет больше мешать, чем помогать, что будет путать людей.
Тратить свое время на популяризацию опенсурс решений и выкладывание наработок в открытый доступ- только респект и уважуха.
Необходимость данного образа для джанги представляется сомнительной, если только вроде “демо для начинающих”
Это все таки не цмска какая, ну увидит пользователь стандартную админку джанго.
P.S. А что все про апаче копья ломают, nginx уже немодно чтоли?
Необходимость данного образа для джанги представляется сомнительной, если только вроде “демо для начинающих”
Это все таки не цмска какая, ну увидит пользователь стандартную админку джанго.
P.S. А что все про апаче копья ломают, nginx уже немодно чтоли?
nnmware
P.S. А что все про апаче копья ломают, nginx уже немодно чтоли?
Если openbsd добавил nginx в базовую систему, это уже не модно, это уже ужас как консервативно.
Я не знаю, что к apache прицепились, сто лет его уже не видел.
а почему такая разница в размерах ? можно было-бы весь список огласить
Видимо попал снапшот VMWare в архив. Весь список? Сейчас есть 4 виртуалки и еще одна (по Clojure) еще пока не выложена на сайт (на Debian уже).
До 10 числа переведу все на Debian, затем будут готовы сборки на OpenBSD.
Кстати, если кто хочет - присылайте свои образы - опубликую.
Да, кстати, посоветуйте бесплатные материалы, которые можно включить. Книги, статьи.
P.S. Как-то работал в одной организации, там была виртуальная машина, а интернета не было. А нужен был Python. Правда давно это было, году в 2009-м. Пригодилось бы.
Кстати, сама идея пришла не просто так. Пол дня убивать на настройку Rails и искать в Google каждый раз особого желания нет, а различные языки (Python, Ruby) нужны редко. Обычно написать какой-нибудь скрипт, или по фриланс-проектам. Сам пользуюсь Windows, так что виртуальная машина с Linux как раз подходит.
Если разработчик хочет выкладывать в Production свои наработки, то это не ЦА. Он должен уметь разбираться в настройке окружения.
Не просто так появились всем известные TryPython в браузере.