[Lugge] Re: proposta di corso e "linea guida"

  • From: Stefano Sartini <root@xxxxxxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Fri, 26 Sep 2003 02:26:12 +0200

Simone Ravarotto wrote:

Il lun, 2003-09-22 alle 04:37, Stefano Sartini ha scritto:

Ciao Stefano, desidero fare alcune considerazioni su alcune parti del
tuo messaggio;



E qui ti dai la ruspa sui piedi da solo: la Mandrake è una delle distro + grosse/complesse in circolazione, IMHO proprio per questo inadatta a farci un server... Ma t rispondo pian piano =)


La distribuzione Mandrake Linux non è affatto complessa ne tantomeno
"grossa" : Mandrake Linux propone una grande quantità di pacchetti, come
tutte le altre distribuzioni, e permette all'installatore senza la benda
sugli occhi di selezionare pacchetto-per-pacchetto quello che desidera o
meno. Il server non lo fa la distribuzione, lo fa l'amministratore.

Ah, se i messaggi venissero letti sino in fondo prima di rispondere... ;)


<QUOTE>
Tanto per non essere frainteso, ti ripeto che non ce l'ho kon MDK, semplicemente non la ritengo una scelta valida per farci dei server. Io ho anche dei server RH 7.3 (anzi, molti) ma nessuno di loro ha servizi esterni (Apache, MySQL, qmail, postfix, ftp & so on) originali della release. Alla fine se uno sa fare le cose le sa fare bene anche su MDK, ma bisogna che capisca cosa sta facendo...
</QUOTE>


Ora, premetto che non rispondero' piu' a email su questro thread, perchè quando si sconfina nel campo delle opinioni personali, allora non ha senso annoiare una intera mailing list. Si puo' proseguire in privato, mi fa solo piacere...

Il mio ragionamento era relativo ad un caso particolare, ovvero Mandrake usata come Server. E Mandrake, usata per farci un server, *E'* complicata. Innanzitutto se uno non vuole ritrovarsi con 2gb d roba inutile deve perdere parecchio tempo in fase di installazione, evitando di mettere cose inutili o che poi andrà a ricompilarsi personalmente. Piu' che levarsi la benda dagli occhi, bisogna prepararsi una bella tazzona d caffè, e sperare di sapere BENE ogni pacchetto che stiamo scegliendo cosa fa o cosa non fa.
Cito da qualche riga sopra:
"Il server non lo fa la distribuzione, lo fa l'amministratore."
E proprio per questo uno *dovrebbe* setuppare a dovere il proprio server, compilando i servizi critici e tutto cio' che è esposto verso internet.


Tornando al punto della questione, è ovvio che se uno è bravo riesce a sistemarsi una Mandrake tanto quanto una Slackware, magari ricomplando il Kernel, ripartizionando il disco, sistemando tutti i servizi e compilandoli dai sorgenti... Ma oltre che essere bravi bisogna anche essere un po masochisti, visto che la scelta tra le distro non manca.
Se proprio vi piacciono gli RPM, perchè non Trustix?
Il punto è semplice: vogliamo insegnare a scegliere dei pacchetti o vogliamo insegnare i PRINCIPI in base a cui si fanno certe scelte?
E soprattutto, a chi li vogliamo insegnare?


I pacchetti RPM sono insicuri di default, in quanto nel 90% dei casi sono compilati da altri che non sono gli sviluppatori. Al di la della buona fede, basta anche solo che chi si offre di creare un RPM abbia un trojan o affini, ed il gioco è fatto. Se poi mi parli di SRPM, allora ti contraddici da solo poiche gli SRPM necessitano comunque di librerie e di compilatori.



Se la comunità di utenti che usano le più diffuse distribuzioni GNU/Linux si dovessero basare sulla tua opinione riguardo alla pacchettizazione del software, Mandrake come Debian e come molti altri distributori finirebbero di dedicare il loro tempo al mondo open source, senza contare il fatto che qualunque programmatore che stende codice può farti un bel software open source e mettere un trojan o una faccia che fa le beffe tra le righe del suo pargolo e rifilartelo come sorgente.

Premetto che non parlavo degli RPM ufficiali, ma della miriade di pacchetti unofficial che spesso uno installa perchè sono disponibili prima rispetto alle releases ufficiali. Ed essendo codice compilato da altri, installarli è una scommessa, nella speranza che chi li ha preparati nn ci abbia messo dentro dei virus.


Se poi, come sostieni, qualcuno avesse messo un virus o trojan nel sorgente, che so, di Apache, te lo ritroveresti pari pari anche negli RPM (secondo te i sorgenti per fare gli RPM da dove vengono? =)), con la differenza che se voglio io un occhio al sorgente che compilo lo posso dare, a un binario al max posso fare un po di debug, ma alzi la mano chi lo sa fare, o lo fa... Ok, è raro anche dare un occhio al sorgente (diciamo rarissimo) ma se nn altro è possibile...

Inoltre gli RPM escono sempre e regolarmente in ritardo rispetto ai sorgenti, per ovvi motivi.



La comunità Debian ha, imho saggiamente, valutato e quindi portato al
concreto il fatto di sondare a fondo il codice di un certo sorgente
prima di rilasciarlo sotto forma di pacchetto deb per la distribuzione
ufficiale, ^debbo^ confidare che Mandrake persegua lo stesso obbiettivo,
cioè di donare un sistema operativo dotato di software da codice scritto
e privo di nefandezze..!

E vecchio. Non conosco la frequenza degli aggiornamenti Debian, ma di certo se devono "sondare" il sw prima d rilasciarlo, uscira' cmq dopo rispetto al sorgente. In molti casi non cambia un gran che, in alcuni casi (release con buchi di sicurezza) potrebbe fare la differenza.
Ricordo che si parlava d server, dove si aggiornano pacchetti come l' SSH e l' FTPd, non MPLAYER o KDE...


Compilare sul server significa avere a bordo un compilatore e tutte le
librerie di develop... ora installare e disinstallare tutte le librerie
di develop e il gcc ogni volta che si deve aggiornare un programma o il
kernel mi pare una politica fuori discussione, in quel caso davvero ti
servono 150 ore per spiegare come farlo.


Le librerie di development come i compilatori, imho non hanno spazio su
un sever con un indirizzo ip visibile da internet, per cui concordo con
te sul fatto che debbano sempre esistere due tipi di macchine per
permettere questa cosa.


E perdipiu', se l'RPM è ufficiale, nel momento in cui esce un bug/exploit per quella versione di RPM, stai pur certo che il tuo sarà bucabile alla grande, uno ricompilato custom no, tutalpiu' crasha, ma nn ti entra dentro nessuno.


Ti senti sicuro di questo :D? .. hummmmm ...@!#

Abbastanza, visto che ci sto scrivendo una relazione sopra. Esiste un limitato numero di casi in cui nonostante la ricompilazione è possibile COMUNQUE ottenere la famosa root shell remota, ma nella maggior parte dei casi l'unico effetto dell'exploit è mandare in crash il servizio, visto che l'attacker utilizza codice scritto per locazioni di memoria differenti (basta un loop unrolling e cambiare allineamento del codice per modificare il footprint d un eseguibile)


PREZIOSISSIMA la scheda audio sui server... non se ne puo' fare a meno... ;)


Azz e se non hai la radio nel CED :O ???? ;)

Io pensavo a SKY =) tanto per nn far annoiare gli altri server vicini :)


Per il resto rimando al mio altro messaggio. A mio avviso è necessario riavvicinare due note scuole di pensiero che tendono ad essere contrapposte ed a
influenzare negativamente, confondendo ed imbarazzando, chi vuole
provare GNU/Linux o Linux+altro.

Non ho capito la differenza, Linux è un kernel e GNU/Linux un sistema operativo...


Sulle differenti scuole d pensiero, secondo me dipende solo dal fatto che c'è chi parla di Desktop e chi parla di Server, e non è una questione di "litigare" su cosa è meglio, perchè son 2 "mestieri" differenti. Io non ho MAI consigliato a un neofita di mettersi Slackware sul PC di casa, come non ho MAI consigliato Mandrake a chi mi chiedeva cosa usare per fare un server.

ciao,

Ave


========---------- Prima di scrivere in m-list per favore leggi il regolamento http://www.lugge.net/soci/index.php?link=manifesto

Archivio delle e-mail postate in lista http://www.freelists.org/archives/lugge/

Modifica dell'account sulla lista LUGGe http://www.lugge.net/soci/index.php?link=manifesto.htm#list

Other related posts: