[Lugge] Re: proposta di corso e "linea guida"

  • From: Roberto A.F. <robang@xxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Mon, 22 Sep 2003 13:19:31 +0200

On Mon, 22 Sep 2003 04:37:37 +0200
Stefano Sartini <root@xxxxxxxxxxxxx> wrote:


> >  Che sia conveniente farlo con Mandrake? Dipende.
> >  Anzitutto è più facile per me togliere un interfaccia grafica, che
> > funziona e mi aiuta, che aggiungerla!
> >  Inoltre un server è più sicuro se è facile da gestire, le cose
> >  semplici
> > funzionano le cose complesse si rompono!
> 
> E qui ti dai la ruspa sui piedi da solo: la Mandrake è una delle
> distro + grosse/complesse in circolazione, IMHO proprio per questo
> inadatta a farci un server... Ma t rispondo pian piano =)

 L'installazione base (senza X, senza deskto, denza devel) è riducibile
ancora mediante script fino a farla stare anche dentro a pochi mega
(embedded)
 Se non si ha bisogno di arrivare ai limiti dell'embedded ci si può
limitare ad eleminare i pacchetti RPM che rispetto alla base installata
dal CD non servono o che si vogliono installare in modo "condizionato".
Per questo basta uno script che faccia:

 #tutti gli rpm installati
 rpm -qa > lista.presenti
 
 #differenza fra installati e voluti
 cp -f lista.presenti pippo1
 for i in $(cat lista.soloquellichevoglio)
 do
        cat pippo1 | grep -ve "$i" > pippo2
        cat pippo2 > pippo1
 done

 rpm -e $(cat pippo1)   

 Con questo sistema hai una base ridotta pronta per le tue esigenze.
 Vista la semplicità con cui si installa MDK puoi dare il compito da
eseguire persino ad uno studente!
 ;-)
 

> 
> >  Infine è più facile compilare su un client un pacchetot RPM
> >  "sicuro" e
> > distribuirlo su diversi server che non scaricare il sorgente,
> > compilarlo ed installarlo sul server stesso.
> 
> Alt. Non so dove lavori te, ma dove lavoro io esistono i server "di 
> produzione" ed i server di sviluppo. I pacchetti si compilano sui
> server di sviluppo (gemelli d qlli d produzione o quasi,ovviamente) e
> poi si installano sui server di produzione.

 OK! È quello che ho detto! 
 Ma la mia domanda era: "è ragionevole che questo sistema venga
applicato a server SOHO?"

 Non credo che una scuola possa permettersi di avere server di
produzione e di sviluppo.
 Nel migliore dei casi può permettersi di avere il compilatore e
l'ambiente di sviluppo sullo stesso server... ma allora compiliamo i
sorgenti per avere la sicurezza e poi lasciamo l'ambiente di sviluppo?
 
 

> 
> I pacchetti RPM sono insicuri di default, in quanto nel 90% dei casi 
> sono compilati da altri che non sono gli sviluppatori. Al di la della 
> buona fede, basta anche solo che chi si offre di creare un RPM abbia
> un trojan o affini, ed il gioco è fatto. Se poi mi parli di SRPM,
> allora ti contraddici da solo poiche gli SRPM necessitano comunque di
> librerie e di compilatori.
> 
> Inoltre gli RPM escono sempre e regolarmente in ritardo rispetto ai 
> sorgenti, per ovvi motivi.
 
 ^^^^^^^^^^^^
 cerchiamo di essere un po' positivi e consideriamo il nostro
interlocutore una persona intelligente!
 ;-)
 
 Se i pacchetti RPM sono sicuri di default ALLORA quando mi riferivo a
fare degli RPM sicuri evidentemente parlavo di altro.
 Ossia parlavo del fatto che in ambiente corporate dove ha senso avere
dei server di produzione e di sviluppo si può:

 - prendere i sorgenti (sicuri perchè appena patchati per chiudere un
buco)
 - compilarli con compilatori sicuri [1]
 - impacchettarli RPM
 - distribuirli sui server di produzione

 Che tu lo faccia con TGZ o con RPM non cambia nulla (a parte l'uso di
urpmi in cron verso un server che contiene gli aggiornamenti di
sicurezza con RPM creati dal servizio admin della corporate!)


 [1] compilatore sicuro: compilatore di cui si è letto e compresa ogni
singola linea di codice e che gira su un S.O. sicuro cioè di cui si è
letta e compresa ogni singola linea di codice.

 Dalla [1] viene che una comunità/società può avere un server sicuro un
individuo no!

> 
> >  Compilare sul server significa avere a bordo un compilatore e tutte
> >  le
> > librerie di develop... ora installare e disinstallare tutte le
> > librerie di develop e il gcc ogni volta che si deve aggiornare un
> > programma o il kernel mi pare una politica fuori discussione, in
> > quel caso davvero ti servono 150 ore per spiegare come farlo. 
> 
> Vedi sopra. Se metti RPM di terzi stai usando binari di terze parti (e
> 
> vorrei che mi spiegassi a cosa serve tanto parlare di sicurezza se poi
> 
> sul tuo server esegui codice compilato da altri ;) ed inoltre NON 
> ottimizzati per l' Hardware su cui dovra' girare il servizio. E 
> perdipiu', se l'RPM è ufficiale, nel momento in cui esce un
> bug/exploit per quella versione di RPM, stai pur certo che il tuo sarà
> bucabile alla grande, uno ricompilato custom no, tutalpiu' crasha, ma
> nn ti entra dentro nessuno.

 Bene. Assodato che avere un compilatore a bordo non è una COSA GIUSTA.
 Abbiamo due strade:

 - aggiornarci da MDK (e va bene per i SOHO)
 - aggiornarci dal server di admin della corporate 

 Ovviamente le corporate hanno i soldi per pagarsi gli admin e le soho
no!
 Però le soho si accontentano!
 ;-)


> 
> Se fai la mossa di mettere SRPM, allora hai cmq bisogno d compilatori,
> 
> librerie develop, gcc, e via discorrendo.

 ???? non ho capito!
 Gli srpm sono pacchetti che contengono sorgenti e quindi necessitano
dell'ambiente di develop al pari dei sorgenti stessi. 


> 
> >  Se si usa un client per farlo allora per portarlo sul server serve
> >  cmq
> > un formato di pachettizazzione sia pure un semplice tar-gz. Ti
> > assicuro che fare un rpm è facile e molti pacchetti già contengono
> > il file di testo da dare in pasto a rpm per ottenere il pacchetto
> > rpm.
> >  Survolo poi sul fatto che MDK ha sviluppato la Corporate Server con
> >  il
> > programma di abbonamento e help per incidenti.
> 
> Anche Windows ha gli aggiornamenti automatici, allora perchè non
> mettere windows? ;)

 Ad esempio: per via del costo delle licenza.



> 
> Personalmente uso i .tgz in puro stile Slackware, e nn vedo alcun
> motivo di mettere RPM se non quello di avere poi problemi di
> dipendenze quando vado a disinstallare qkosa...

<concedimi un minimo di flame: ON>
 Ok. Se però qualcuno uso il martello pneumatico invece del piccone non
andare a dirgli: "sei un povero sciocchino che usi uno strumento troppo
complesso e quindi insicuro... io uso il vecchio e caro piccone" perchè
la risposta potrebbe essere: "il martello pnumatico è più complesso di
una mazzetta ma molto più efficace. Se _TU_ lo trovi _TROPPO_ complesso
allora continua ad usare la mazzetta!"
 ;-)
<concedimi un minimo di flame: OFF>

 Se per ipotesi IO fossi una persona intelligente avrei provato
slackware e mandrake come server almeno per ambienti SOHO.
 Senza voler dire di essere intelligente posso però assicurarti che ho
usato entrambi per quel segmento e con MDK faccio prima, faccio meglio e
mi rimane il tempo per uscire con gli amici.
 In ambito corporate ho lavorato. So come si lavora. Non era mio compito
fare l'admin, quando capiterà valuterò le varie ed eventuali provando
anche quei prodotti che farebbero *SCHIFO* ad adim più seri e
blasonati... perchè nella vita hai due scelte:

 - essere un bravo bambino e quindi fare e dire sempre quello che fanno
e dicono gli altri
 - essere curioso e talvolta dover rinunciare ad essere un bravo
bambino!
 
 


> 
> >  Considerato il segmento a cui vorrei puntare (cioè non mi picco di
> > insegnare il lavoro di sistemista ad un professionista e neppure di
> > vendergli un pezzo di carta) cioè mettere, al più,
> > l'artigiano/hobbysta/professore in condizioni di evitare di comprare
> > 2/3 pc nuovi con WindowsXp e un server Windows2003 per potersi
> > leggere la posta mi pare più che adeguato utilizzare la stessa
> > distribuzione per il server che per il desktop.
> 
> Ecco, questo è il vero punto. Sono assolutamente d'accordo che MDK sia
> 
> una delle migliori distro (se nn la migliore) per il segmento desktop.

 Ottimo allora siamo d'accordo al 100%

 Forse l'unica cosa che ti può far venire la pelle d'oca è che penso che
potrei usare anche la MDK dekstop per fare un server di produzione ma
questo è una sfida che in campo embedded penso di aver già vinto (o lì
vicino) in campo admin... vedremo.
 Però è una mia sfida: "con qualsiasi linux, fatto salvo che tu lo
conosca, puoi fare comunque quello che vuoi!"
 :D

 Ovviamente senza mai dire che chi non ha fatto le mie scelte sia
fesso... anzi... 
 Ho lavorato su Solaris e Slackware mi ricorda solo la fatica che facevo
su Solaris!
 :D


> Mi lascia ancora perplesso il fatto ke KDE 3.x e MDK siano + pesanti
> di un Win2000, che poi alla fine è la stessa perplessità che mi fa
> pensare che GNU/Linux non sia ancora maturo per la fascia desktop...

 Mi hanno detto che la MDK 9.2RC2 già al secondo avvio è una scheggia.
 La prima volta che scrissi delle librerie di blackbox per CF erano
lente, oggi sono 300 volte più veloci e il collo di bottiglia è l'HW! 

 - funziona

   ci vuolte tempo

 - funziona svelto
 
  ci vuolte molto più tempo e la seria necessita 
  (ad esempio non puoi cambiare HW, per questo mi piace l'embedded!)

 - più svelto di così cambi PC!


> Pero' scusa, perchè non usare la distro giusta per il compito giusto ?
> 

 Perchè noi non facciamo il compito a casa!
 Facciamo hacking cioè curiosiamo sulle infinite possibilità offerteci.
 ;-)


> Il bello di GNU/Linux è proprio la possibilità di scegliere, allora 
> perchè non trattare MDK quando si tratta di Desktop e parlare di (che 
> so) Slackware per quanto riguarda i server?

 Perchè dare una Slackware ad un SOHO significa legarlo alla tua
assistenza.
 Può andare bene per un negozio ma non può andare bene per un LUG che si
trova in lista N+10*N domande.
 

> 
> Si, la Slackware non è user-friendly, nn usa SysV e mettere su X è 
> sempre un dramma, ma una volta in piedi è una roccia. 

 Una volta in piedi è da rimettere in piedi di nuovo!
 Perchè aggiornare è una mania oppure una buona abitudine dimenticata!
 ;-)

 Paperino Docet

 Paperino è il server del LUGGe. Un server sicuro è un server semplice
da amministrare!
 (con questo non voglio sobillare la necessità di meterci sopra X)


> E non penso 
> nemmeno che si possa insegnare a qualcuno come settare IPTABLES solo 
> facendolo da consolle grafica, perchè quasi sempre nelle emergenze c
> si trova a lavorare a basso livello, da consolle. E se uno insegna
> solo a schiacciare i bottoni e non a CAPIRE cosa sta facendo, è tempo
> perso sia per lui che per chi insegna.

 Non sapevo che ci fossero tool grafici ma non credo che iptables sia
così difficile da usare.
 Ho letto un manuale di circa 100 pagine (saltondone parecchie, +50%) su
iptables e me ne sono impadronito in larga misura.
 Quindi suppongo che per fare piccole modifiche basti ed avanzi qualche
consiglio e parte (10%) delle pagine che ho letto.


> 
> >  Casualmente sceglierei, per il server, la stessa distribuzione,
> >  usata
> > per il  desktop, che riduce, grazie alla sua procedura di
> > installazione semplificata e basata sul riconoscimento automatico
> > dell'hardware, domande del tipo: "come faccio a far funzionare la sk
> > audio"
> 
> PREZIOSISSIMA la scheda audio sui server... non se ne puo' fare a
> meno... ;)

 Ovviamente mi riferivo al fatto che la sk audio è sul desktop e che MDK
me la funzionare.
 Visto che il SOHO usa MDk per il desktop e visto le sue ridotte
esigenze di servizio perchè non usarla anche per il server?
 Guarda che anche se non glielo consiglio io lo fa da solo di mettere il
cdrom nel lettore per cercarsi di fare un server!
 Prova ad indovinare fra queste due opzioni qual'è la più frequente:

 - si scarica slackware e masterizza perchè ha sentito dire che è una
roccia
 - usa lo stesso cd con cui ha felicemente istallato il suo desktop

 


> 
> >  Casualmente sceglierei la stessa distribuzione che riduce, grazie
> >  alla
> > cura (non eccessiva, forse SUSe in questo senso è più avanti ma mi
> > hanno detto che la MDK 9.2RC2 è grandiosa) dell'ambiente desktop,
> > domande del tipo: "come faccio ad ascoltare il cdrom" o "come faccio
> > a fare un foglio di calcolo"
> 
> Altre cose fondamentali per chi installa un server... LOL :)

 :D




> 
> >  Insomma si tratta solo di insegnare a chi sa installare ed usare un
> > desktop linux quali cose NON mettere, quei quattro accorgimenti che
> > rendono la macchina un po' più sicura, come editare in minima parte
> > quei 4/5 file di configurazione utili per avere un
> > apache+php+msql/postgres, un server di posta, un proxy-vario, etc.
> > etc.
> 
> Si ma allora torniamo alla mia domanda iniziale: COSA si vuole 
> insegnare? A mettere su un PC Desktop decente? Allora ottima scelta
> MDK, ma mi devi spiegare in base a quale criterio vai a spiegare a uno
> che scarica la posta e browsa il web, come installare Apache, PHP,
> MySQL, PostGRESQL o un server di posta. Tanto per avere un bel po' di
> servizi esposti a potenziali hackers e usare un po' di risorse libere?

 Il firewall protegge la rete interna e il server offre quei servizi
utili in locale.
 Il firewall è una bestia a parte che in questo corso viene offerto su
floppy, sicuro come la fede e con solo 2 parametri da modificare (gli
IP) ed un accesso ssh che permette eventuali variazioni (apri porta,
chiudi porta)
 Amen. 

 Ovviamente un po' di teoria per quelli che sono anche curiosi.
 Teoria che è già stata felicemente compressa in un workshop serale.


> Di contro, vuoi insegnare a mettere su un gateway/firewall decente? 
> Bene, allora spiegami perchè scegliere una distro come la MDK,
> perdipiu' motivando la scelta con giustificazioni (perdonami il
> termine) risibili quali il riconoscimento della sk audio o l'ascoldo
> dei CD Audio.

 Perchè mi sono espresso male o non sono stato capito.
 La risposta è:

  - usa lo stesso cd con cui ha felicemente installato il suo desktop


> 
> >  Ovviamente anche come duplicare un floppy con un firewall già
> > configurato, eventualmente con i 2 ip da settare, e poi come aprire
> > una porta o chiuderla.
> >   
> >  Non credo che sia uno sforzo sovraumano e neppure penso che i
> >  corsisti
> > finito il corso penseranno di andare a lavorare come sistemisti. In
> > fondo ad utilizzare Mandrake nessuno li prenderebbe sul serio! ;-)
> 
> Tanto per non essere frainteso, ti ripeto che non ce l'ho kon MDK, 
> semplicemente non la ritengo una scelta valida per farci dei server.
> Io ho anche dei server RH 7.3 (anzi, molti) ma nessuno di loro ha
> servizi esterni (Apache, MySQL, qmail, postfix, ftp & so on) originali
> della release. Alla fine se uno sa fare le cose le sa fare bene anche
> su MDK, ma bisogna che capisca cosa sta facendo...

 Io non ho mai capito cosa sto facendo quando mangio, cammino e forse
qualcuno dirà quando scrivo e parlo... eppure lo faccio benissimo! 
 CAPIRE è una sfida per chi ne ha bisogno oppure per chi ne ha voglia.
Una sfida personale, no limits!
 Non è qualcosa che puoi pretendere (come ben sanno gli insegnanti delle
scuole!)
 ;-)

 
 Un corso serve per mettere determinate persone in grado di fare un
determinato compito.
 Ad esempio l'insegnate di linguaggio C in condizione di fare un server
apache su cui i suoi studenti possono studiare PHP.
 Se costui anche mi viola i due pilastri fondamentali della sicurezza
(gcc e X a bordo) pensi che sarà grave il danno?
 Oppure preferiamo che i nostri studenti imparino
MS_Visual_Basic_Script_Quanto_Sono_Sharp_Dot_Solo_Mia_Net?
 


> 
> >  Inoltre proseguendo su questa linea si può lavorare su un progetto
> >  del
> > tipo:
> > 
> >  - installa MDK base 
> >  - riavvia con il cdrom hobby-server-lugge 
> >  - rispondi a domande del tipo: classe ip local network, gateway,
> >  etc.
> > etc.
> >  - ottieni il tuo server MDK funzionante e con quelle 3/4 sicurezza
> >  in
> > più rispetto al desktop
> > 
> >  Aggiornamenti? urpmi basta e avanza... sempre riferito al segmento
> > supra citato di utenti!
> 
> Benissimo, e utilissimo, ma come vedi non gli hai insegnato niente, se
> 
> non a mettere un (ulteriore) CDrom e rispondere a qke domanda. E' una 
> cosa ben differente che insegnare a mettere su apache o a filtrare una
> 
> porta...


 Gli ho insegnato che possono fare da soli senza andare dietro come
pecore a Bill Gates.
 Già mi basta... basterà a loro? 

 Insegna a pescare ad una persona e forse lui comprerà una libro di
cucina su "Lo spada in padella: 101 ricette".
 LOL

<flame virulente versus tutto lo mundi: ON>
 Insegna ad una persona che ha una testa e che può usarla da solo e si
crederà più furbo di te!
 Molto meno LOL!
</flame virulente versus tutto lo mundi: OFF>



> 
> >  Parliamo di soldi? 
> > 
> >  - MDK è gratis (per ora) o comunque costa 60-100 euro e poi la
> >  installi
> > in quanti PC vuoi.
> >  - Il corso LUGGe costa 100 euro? Cavoli a ben pensarci 2 giochi per
> > PS2/XBOX/PC costano uguale
> >  - Vuoi mettere quanto costi meno usare MDK che farsi prendere a
> > piratere Windows 2003 server?
> 
> MDK non è l'unica distro gratis... Per fortuna =) Sulle considerazioni
> 
> che fai sono sostanzialmente d'accordo, ma t faccio un appunto: non 
> consideri il fattore TEMPO, e (sarà che sono un libero professionista)
> 
> sono abiutato a calcolare i TCO anche in base al TEMPO che mi ci vuole
> a fare disfare qualcosa. Esempio scemo: ci metto molto meno a
> installare una Slackware e ricompilare i servizi che so che mi
> serviranno su un determinato server rispetto a (come dicevi te)
> mettere una MDK e poi spulciarla per eliminare tutta la spazzatura che
> non mi serve. Questo nel mio caso ovviamente.

 Per eliminare quello che non mi serve da una MDK uso uno script...
 Io non sarò un libero professionista ma sono un libidinoso e ti
assicuro che se posso il mio tempo lo impiego meglio che stare dietro ad
un server!
 ROTFL!

 Inoltre la compilazione su un 166MHz (macchina che un povero SOHO
potrebbe voler utilizzare perchè se ne prende un'altra allora che
risparmio ha fatto?) è un processo stagionale (cioè vai a sciare,
ritorni, pianti i fiori, guardi che spuntano e sai che più o meno hai
finito di compilare... poi ti accorgi che hai dimenticato un opzione
--attiva-quel-dannato-php nel configure e ricominci).
 :D


> 
> >  Oltrettutto mi pare pure un buon affare! Mi sbaglio?
> >  ;-)
> 
> GNU/Linux è sempre un buon affare, se si ha tempo e voglia d starci 
> dietro. In alcuni settori è un ottimo affare, in altri è un discreto 
> affare, ma cmq sempre preferibile ai prodotti M$ :)

 AMEN!
 :D


-- 
   ,__    ,_     ,___   .-------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-.
   ||_)   ||\    ||_   /      Proud Member & Master of the LUGGE   |
   || \   ||¯\   ||¯     linuxgrp: http://www.lugge.net            |
   ¯¯  ¯° ¯¯  ¯° ¯¯  °   homepage: http://digilander.iol.it/robang |
\  Roberto A. Foglietta  reg num : #219348 by the Linux Counter    |
 `---------------------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-'
========---------- 
  
 Prima di scrivere in m-list per favore leggi il regolamento 
 http://www.lugge.net/soci/index.php?link=manifesto
 
 Archivio delle e-mail postate in lista 
 http://www.freelists.org/archives/lugge/ 
 
 Modifica dell'account sulla lista LUGGe 
 http://www.lugge.net/soci/index.php?link=manifesto.htm#list
 
  

Other related posts: