Entscheidung für FreeBSD?

D

Delta

Well-Known Member
Hallo,

ich habe 2 Server im Einsatz die hauptsächlich als Webserver dienen. Auf dem ersten läuft CentOS und auf dem zweiten FreeBSD.

Ich benötige jetzt weitere Server und stehe damit momentan vor der Entscheidung ob ich RHEL einsetze oder FreeBSD. Diese beiden kommen für mich in Frage.

Also lese ich seit einiger Zeit alles was ich finde und mir bei meiner Entscheidung nützlich sein könnte.

Das ganze ist nun wirklich nicht schwarz/weiss da beide Varianten für mich sehr stabil sind und im Endeffekt nahezu gleichgut dasselbe tun. Für meine Zwecke. Also ist die Entscheidung wirklich nicht einfach.

Der Support spricht schonmal für Redhat und hat widerum seinen Preis.

Nun meine Fragen:

1. Warum gibt es eigentlich, im Vergleich zu Redhat, Cent etc. Unpatched Vulnerabilities in FreeBSD?

2. Warum wechseln eigentlich nahezu alle grossen Firmen auf Linux? Einige wegen dem Support bei Redhat, das weiss ich. Aber so viele? Yahoo ist ja eigentlich der letzte wirklich grosse der FreeBSD einsetzt. Ergaben jedenfalls meine Analysen.

Ich stelle die Frage auch absichtlich hier im BSD Forum weil ich gern die Meinung der BSD Community dazu hören würde.

Ich hoffe ihr könnt mich ein wenig erleuchten.

Grüsse
 
Hi,


0.)

Du bist hier bei einem BSD Forum, ich denke wenn wir Dir raten Linux zu nehmen, dann sind wir hier falsch. :-)

1.)

Die Unpatched Vulnerabilities beziehen sich auf FBSD 7.1, aktuell ist 7.2 und bald 8.0. Also erstmal die Versionen Prüfen !

2.)

Kosten Faktor.
Ein Linux Admin findest du an jeder Ecke :-) (Nicht abwertend verstehen)
(GUTE) Unix Admins sind rar, und kosten mehr.
Außerdem gibt es da noch die Consultants (Unfähige Berater)
Und am meisten liegt es auch an der Treiber / Software Zertifizierung.
Denn ohne Zertifizierte BSD Treiber gibt es auch keinen Support für die Software. Punkt.

3.)

Jeder muss selber wissen was er mehr mag.
Linux hat seine Reize, und BSD erst recht :-)

Die Probleme mit Linux kommen meistens erst nach 2 Jahren, wenn die Kisten geupgraded werden müssen, oder ähnliches. Bei BSD ist lange Laufzeit und Stabilität (wie es früher gang und gebe war) immer noch normal :-)
 
Zuletzt bearbeitet:
Öh - sagst du uns auch, was die Kiste machen soll?
Normaler Weise wählt man die SW ja nach Anforderungen aus...
 
Delta schrieb:
Hallo,

ich habe 2 Server im Einsatz die hauptsächlich als Webserver dienen. Auf dem ersten läuft CentOS und auf dem zweiten FreeBSD.

Ich benötige jetzt weitere Server und stehe damit momentan vor der Entscheidung ob ich RHEL einsetze oder FreeBSD. Diese beiden kommen für mich in Frage.

Also lese ich seit einiger Zeit alles was ich finde und mir bei meiner Entscheidung nützlich sein könnte.
Zum Vergrößern anklicken....

Nimm das, was sich am besten mit Deinen Ansprüchen und Wissen deckt. Wenn Du keine Ahnung von BSD hast, aber dafür von einem RHEL, dann nimm RHEL.
Und ja, damit widerspreche ich deutlich bofh_hannibal.

Der Support spricht schonmal für Redhat und hat widerum seinen Preis.
Zum Vergrößern anklicken....

Ich kenne den Support von RHEL nicht, aber schau Dir genau an was supportet wird. Wenn da eine winizige Veränderung am Kernel zum Verlust des Supports führt, dann ist das für mich fragwürdig.
Andererseits wollen Entscheider Support haben, ob gut oder schlecht, im Rechtsstreit besteht die Möglichkeit eine Pönale weiter zu reichen.

1. Warum gibt es eigentlich, im Vergleich zu Redhat, Cent etc. Unpatched Vulnerabilities in FreeBSD?
Zum Vergrößern anklicken....

Gibt es auch für SLES beispielsweise. Aktuelles Problem des lokalen root exploits. Ist für SLES9 kein Patch vorhanden. Und für SLES 10 SP1 bekommst Du keinen Patch mehr, da Support abgelaufen (6 Monate nach erscheinen eines Folge-SP).
Was bleibt? Kernel selbst patchen. Das führt zum Verlust des restlichen Supports. Update auf SP2 oder gleich SP3 (noch nicht alle Treiber dafür zertifiziert) ist pain in the ass. Dann lieber ein BSD updaten.

2. Warum wechseln eigentlich nahezu alle grossen Firmen auf Linux? Einige wegen dem Support bei Redhat, das weiss ich. Aber so viele? Yahoo ist ja eigentlich der letzte wirklich grosse der FreeBSD einsetzt. Ergaben jedenfalls meine Analysen.
Zum Vergrößern anklicken....

Das stimmt so nicht. Viele Firmen haben BSD am laufen, aber das wird nicht an die grosse Glocke gehängt, bzw. die Büchsen laufen im Hintergrund.
Eine aktuelle Liste habe ich nicht zu Hand, aber es ist mehr als Du, die meisten, denken. Gerade im aglizistischen und asiatischen Raum.

Nimm das was Deinen Bedürfnissen entspricht. Das könnte sogar ein Windows2008 sein. Alles andere wäre blinder Fanatismus.
 
Hallo,

erstmal vielen Dank für die prompten Antworten.

@ bofh_hannibal:

0.) Um einen Rat gehts mir in erster Linie auch garnicht. Eher darum Antworten auf Fragen zu finden die ich bisher nicht fand.

1.) Ich kenne mehrere Dedicated Server Hosts die 7.1 anbieten. 7.2 ist da noch nicht installiert. Mir ist sehr wohl klar das ich das allein regeln kann im Handumdrehen, aber vorinstalliert ist nunmal 7.1 und zumindest temporär stellt es damit für mich eine Schwachstelle dar.

Und was ist mit diesem? Der müsste sich doch auch auf 6.4 beziehen. Was widerum ärgerlich ist da oftmals nur 6.4 in Verbindung mit Plesk angeboten wird. Also temporär unsicher, zumindest partiell. Aber das ist es ja immer nur.


@ troll:

Ja, zum grossen Teil als Webserver fungieren. Aber das sagte ich auch schon. Ich hoffe der Name ist nicht Programm bei der Menge an Posts. Aber ist er sicher nicht. :-)


@ asg

Also eine Liste wär wirklich Klasse. Nicht das es unbedingt so wichtig wäre aber es vermittelt mir eben subjektiv einen bestimmten Eindruck.

Ich habe ja sehr viel positives über FreeBSD erfahren. Einfach als 1 Beispiel mal hab ich mir die Chaosradio Express Sendung angehört, ja sogar bis zum Schluss. :-) Dort wurde FreeBSD sehr gelobt und am Rande auch erwähnt das viele grosse es einsetzen.

Und ja der Club hat auch jetzt noch viele Server unter FreeBSD. Was ja schonmal eine Referenz ist. Allerdings hatte auch sourceforge viele FreeBSD Server und viele andere Seiten die unter massivem Traffic stehen eben auch. Und bei all denen fand ich immernoch einen FreeBSD Server, also sicher weil er eben so stabil läuft seit etlichen Jahren. Das glaube ich 100%. Allerdings haben die jetzt alle zu 90% Linux im Einsatz.

Ich bin da per Netcraft ca. 50 wirklich grosse Player durchgegangen. Ist alles Linux jetzt. Um von CERN und NASA und sonstwem mal gar nicht zu sprechen. BarrackObama.com allerdings nutzt FreeBSD. Naja.. Ich dachte erst das es daran liegt das er in Berkeley war. War er natürlich nicht..

Also warum wandern die alle ab? Und jetzt bitte eine Liste die mich vom Gegenteil überzeugt.
 
Warum orientiertst Du dich an dem was die anderen einsetzen? Meinst Du damit einen "zuverlässigen" Indikator gefunden zu haben was "gut" oder "schlecht" ist? Wichtig ist doch daß es für dich funktioniert. Was kümmern dich da die anderen?

So, um auch noch was einigermaßen sinnvolles beizutragen:
zu 1.: Wenn irgendwo eine Sicherheitslücke auftaucht/bekannt wird, dann gibt's in der Regel auch recht bald einen Patch dafür.
Bekannt gegeben wird dies unter anderem auf announce@. Die letzten beiden sind übrigens vom 2. Oktober.

zu 2.: Ehrlich gesagt verstehe ich da dein Problem nicht so ganz... Mach Du doch dein Ding und lass die anderen machen was sie wollen :D (siehe oben).
Hier ist dir keiner böse wenn Du $Linuxdistribution auf deinem Server betreibst.
 
Hallo,

zu 1. - Vulnerability Report: FreeBSD 7.1 - juckt keinen, da 7.2 aktuell ist und demnächst 8 angesagt ist.

zu 2. - weil große Firmen oft an der falschen Stelle Geld sparen möchten und günstige Studenten usw. einsetzen die meist nunmal halt Linux im Einsatz haben und daher wird Linux gewählt auch.

Gegen den Einsatz als Webserver spricht erstmal grundsätzlich nichts gegen BSD, Unix, Linux etc. Wichtig ist, dass das System auf der Hardware saubär läuft, gute Performance bringt, sicher ist, vernünftig administrierbar ist, gewartet wird, usw..... Es gibt bei so etwas schlichtweg weder richtig noch falsch sondern einfach nur gut und sinnvoll oder weniger gut und nicht wirklich sinnvoll. Wenn Du z.B. Linux nimst und N Sicherheitslücken 2 Wochen lang keiner schliesst kann das genau so blöd laufen wie wenn Du BSD nimst und die Lücken trotz Patch 2 Wochen lang keiner schliesst weil keiner da ist wo weiss wie es geht. Setzte als bei solchen Entscheidungen auf sinnvolle Überlegung was für Hardware da ist, was darauf saubär sinnvoll läuft und wo genug Know How und Bärpower da ist für die Wartung und Administration.

Beste Grüße,
Bummibär
 
@ -Daemon-:

Daran orientiere ich mich nicht ausschliesslich. Für mich ist es irgendwie wichtig die Dinge erstmal auseinander zu schrauben. Und dann so wie ich es verstanden habe wieder zusammen zu setzen.

Warum FreeBSD für mich gut ist, das muss ich doch in einem BSD Forum nicht erläutern. Wenn ich eine Entscheidung dafür oder dagegen treffen will. Ich Frage warum dies und das passiert was gegen FreeBSD spricht. Und wenn ich das Gefühl habe, die Herde zieht geschlossen weiter will ich wissen warum. Und nicht einfach stehenbleiben weil ich Herden nicht mag oder mitlaufen weil ich auf Gruppendynamik Zwänge stehe.

Also -Daemon- Warum zieht die Herde weiter? Wenn es nicht so ist, bitte Fakten.

@Bummibaer

1.) Mich juckts gerade, weil ich es nicht verstehe. Es heisst von vielen Seiten das BSD im Allgemeinen so sicher und stabil ist weil man es einfach auf einen Server packt und es eben noch 5 Jahre später einfach läuft. Ich weiss schon das das kein Argument für Admins sein kann aber das wird häufiger angeführt. Nicht das es mich sonderlich betreffen würde. Aber so ists nunmal. Und mir ist schon klar, das glaub mir jetzt einfach mal bitte, das ein Server einen fähigen Administrator braucht. Wie wir beide den Honig-Wein @ Bär :-)

2.) Wenn das dein Ernst sein soll ==> Tonne

Wartung und Admin sind sehr wichtige Fragen für mich, auf jeden Fall. Und daher führte ich das als +. für redhat an. Da kann ich eben zur Not 24 Stunden am Tag jemanden anrufen der mir/meinem Admin instant helfen kann. Und der auf dieses Sytsem konditioniert ist. Würdest du das für den selben Preis machen Bär? Ich glaube nicht. Also 24/7 egal was ich zu maulen hab. :)
 
Hi Delta,

zu 1.) ja - das läuft auch wenn`s gut geht in 5 Jahren noch so - nur sicher ist an der Methode installieren und 5 Jahre nix tun garnix - dat is klar. Du kannst auch ne 4.x heute noch bei Firmen vorfinden. In der überwiegenden Mehrzahl sind diese Kisten auch Jahre lang am Stück online ohne Downtime oder Reboots - meist jedoch in Bereichen wo die Sicherheit keine große Rolle spielt. Warum das keinen juckt ? - weil jeder halbwegs normal denkende Bär schon längst ne 7.2-p... drauf hat und kein 7.1 mehr nutzt - darum juckts keinen. Abgesehen davon ist die 8er schon so gut wie fast fertig. Spätestens wenn die saubär läuft werden die allermeisten Bären auf diese 'umstellen'. Es gibt aktuell nichts was eine 7.2 nicht auch könnte bzw. die 8er nicht können wird was 7.1 kann - von daher also kein Anlass dort noch groß Bärpower zu investieren.

Punkt 2. beruht auf Tatsachen bzw. besser gesagt diversen Umfragen bei größeren Kunden. Das ist traurig aber wahr.

Die Bären supporten BSD für wesentlich weniger mit 3-Schicht-System 24/7. Das ist keine reine Preisfrage. Machbar ist sowas natürlich nur unter bestimmten Voraussetzungen. Eine der wohl wichtisten ist das keiner an solchen Servern dran 'rumfummelt' der weder weiss was er tut noch Plan hat davon. An sonsten sind solche Preise natürlich nicht machbar. Ebenfalls sind auf solchen Servern keine Spielzeug GUI Tools installiert, die zu 99% noch nichtmal einer Sicherheitsprüfung unter Laborbedingungen unterzogen wurden. Das Ganze lässt sich fortführen an Voraussetzungen damit solche Konditionen sich rechnen. Grundsätzlich ist das aber keine reine Supportfrage, zumal die meisten großen Kunden keinen externen Support benötigen sondern eigenes geschultes Personal hierfür haben bzw. regelmäßig auch weiter- / fortbilden. Was sich da lohnt hängt einfach von der Anzahl der Server und der Betriebsgröße ab. Das Telefon als Supportmittel spielt dabei btw eher eine sehr geringe Rolle. Die meisten Server werden heut zu Tage direkt mittels IPMI oder KVM over IP bzw. direkt vor Ort im RZ betreut. Wirklich interessant ist wohl eher die Tatsache, dass die meisten Supportanfragen eigenverschuldet sind. Wenn ich nur mal statistisch die Top1 nennen darf - "wir kommen nimmer uf unseren Server nachdem wir die Firewall Rules geändert haben".

Redhat haben wir früher auch lange Zeit im Einsatz gehabt. Leider ist der Support dort nicht wirklich empfehlenswert. Ich erinner mich da noch sehr gut an die Nummer mit den Custom Build RPMs wo dann noch ned mal des Suexec und so im Apache das gemacht haben was se sollten und die Lösung dafür bei Redhat nach 4 Wochen immer noch nicht in Sicht war. Der Gäg mit ach der Kernel hat einen Patch x und nö da supporten wir nix is au ganz geil. Les Dir mal die entsprechenden Bedingungen in Ruhe durch - Du wirst schnell merken das Du dort auch einfach nur verlassen bist wenn Du irgendwas anderst brauchst als die sich so im Traum vorstellen.

BSD ist nur dann mistig, wenn Du neumodische leistungsstarke Grafik mit 3D brauchst und keinen Bock auf Blobs hast. Das gilt vorallem für ATI, mehr oder weniger aber auch für NVIDIA. D.h. als Desktop System ist das wenn man sowas wirklich mit high end 3d braucht vielleicht nicht gerade die erste Wahl.

Die Herde zieht z.B. wegen ZFS, IPv6, Jailsv2 usw. weiter. Näheres kannst Du bei 8.er FreeBSD nachschauen wenn Dich das so brennend interessiert wo die Herde ist. Manchmal ist abär auch einfach nur ein Hund (Bitzer ?) hinter der Herde her um sie zusammen zu halten.

Gruß Bummibär
 
Delta schrieb:
@ troll:

Ja, zum grossen Teil als Webserver fungieren. Aber das sagte ich auch schon.
Zum Vergrößern anklicken....

Ja, allerdings kann man daraus keine Empfehlung ableiten. Interessant ist halt auch, was der Kleine Teil ist. Wenn da irgendwas dabei ist, was das System schlecht, oder nicht macht, dann ist es halt raus.
Ich hoffe der Name ist nicht Programm bei der Menge an Posts. Aber ist er sicher nicht. :-)
Zum Vergrößern anklicken....

Natürlich ist der Name Programm! Ich muss hier die Quote erfüllen und bin auch nur deshalb geduldet.
*soifz* jemand muss den Job ja machen...
 
@Bummi: Klar, da lese ich mal nach. Über externen BSD Support muss ich mich dann wohl erst noch ein wenig informieren, was in Frage käme.

@troll: Also im Endeffekt sind es bisher wirklich reine Webserver. Die liefern einfach Webseiten aus. Dabei werden PHP Scripte ausgeführt welche oft MySQL gestützt sind. Wobei auch enige recht grosse Datein zum Download auf den Servern liegen.

WIe ich ja oben schrieb sind es bisher erst 2 Server, also nicht wirklich gross das ganze. Dazu kommen werden bis Mitte 2010 mindestens 4 weitere Server das steht jetzt schon fest.

Natürlich könnte man das ganze dann auch umstrukturieren und auf einen Server alle Datenbanken packen, einen als Fileserver einrichten, der nur Downloads ausliefert etc.

Allerdings ist es jetzt nicht wirklich eine grosse Datenbank sondern eben viele kleinere MySQL.

Ausserdem kommen Ende 10 warscheinlich auch noch 1-2 Server für Videostreaming hinzu. Also direkt vom Server auf den Desktop des Kunden gestreamt.

Wo liegen denn die Stärken oder Schwächen von FreeBSD in diesen Bereichen, wenn du so explizit fragst? Bzw. in welchem Bereich wäre denn Linux dann perfomanter?

-Webserver
-Fileserver
-Datenbankserver
-Multimedia-Streaming Server

Grüsse und eine erfolgreiche Woche euch
 
Delta schrieb:
Wo liegen denn die Stärken oder Schwächen von FreeBSD in diesen Bereichen, wenn du so explizit fragst? Bzw. in welchem Bereich wäre denn Linux dann perfomanter?

-Webserver
-Fileserver
-Datenbankserver
-Multimedia-Streaming Server
Zum Vergrößern anklicken....

Ich glaube nicht, dass Du so weiter kommst. Wenn die Performance in den letzten paar Prozent wichtig ist, wirst Du um Messungen auf Deiner HW und mit Deinen Applikationen nicht herumkommen. Ich vermute aber stark, dass die Performance bei Dir eher nebensächlich ist. Einfach so die Leistung verheizen tut weder Linux noch BSD - ganz ungünstige HW mal aussen vor gelassen. Mit exotischer HW hat man mit Linux eher Chancen etwas zum laufen zu bekommen, und wenn es per Binary-Treiber ist. Mit den Standard-Mietservern hatte ich in den letzten Jahren eigentlich keine Probleme mehr. Da laufen Linux und FreeBSD, wobei die lokale Performance nie ein Thema war.

Wenn Du Deine Services so dimensionierst, dass Platte|CPU|RAM im Schnitt bei 95% laufen wirst Du mit keinem System glücklich werden.
 
Delta schrieb:
Wo liegen denn die Stärken oder Schwächen von FreeBSD in diesen Bereichen, wenn du so explizit fragst? Bzw. in welchem Bereich wäre denn Linux dann perfomanter?
Zum Vergrößern anklicken....

Die Unterschiede liegen in Feinheiten verborgen. So kommt es z.B. darauf an, welchen Webserver du verwendest. Mit lighthttpd und php als fastcgi hatte ich z.B. unter FreeBSD Probleme, während es unter Linux sauber läuft.
Ebenso Performancemessungen der DB-Server. Je nach einzusetzender MySQL-Version wirst du z.T. komplett unterschiedliche Messergebnisse finden, meist liegt Linux bei MySQL in der Performance etwas vorne, FreeBSD dagegen bei PG.

Wenn du einen ganzen Serverpark anlegen willst, würde ich definitiv darauf achten überall das selbe System einzusetzen. Leichte Performanceunterschiede fallen nicht so stark ins Gewicht, wie eine gute Wartbarkeit.

Dazu kommt die HW. Wenn du z.B. ein NIC nutzt, dass von einem System nicht gut unterstützt wird, dann ist das andere Sywstem logischer.
 
troll schrieb:
Wenn du einen ganzen Serverpark anlegen willst, würde ich definitiv darauf achten überall das selbe System einzusetzen. Leichte Performanceunterschiede fallen nicht so stark ins Gewicht, wie eine gute Wartbarkeit.
Zum Vergrößern anklicken....

Und weil ich das ganz genau so sehe stell ich auch so viele Fragen. :) Bevor ich mich für genau eine Variante entscheide und nicht heute so morgen so Mischmasch.

Also es ist nicht so das man z.B. sagen könnte das Videostreaming mit BSD irgendwie schlechter laufen würde als mit Linux?

Mit Performance mein ich auch wirklich nicht 2-3%. Da ist mir Stabilität ganz klar wichtiger. Aber es könnte ja zB sein das eben Videostreaming unter BSD das letzte ist und unter Linux abgeht wie die Hölle. Oder eben umgekehrt. Um sowas gehts mir. Oder sagen wir so eine von den typischen 'Web 2.0' Communities mit Videos und Voting und Mitgliederbereich und Newsletter und alles klickibunti.
 
Die Unterschiede sind halt erheblich. Siehe das Beispiel mit lighthttpd und php als fastcgi.
Bei nem Datenbankserver kommt es erheblich auf die Performance von Dateisystem und der HW an, auf der die Storage läuft. Daher ist dann hier schon mal wichtig zu wissen, welche HW angeschafft werden soll. Für ein zügiges System ist hier eine vernünftige Raidlösung mit entsprechendem Controller und Storage nötig. Und hier gehts ans OS. Wie gut kommt es mit dem Controller klar.
Ähnlich verhält es sich mit dem Streaming. Wer Streaming sagt meint meistens grosse Datenmengen. Also wieder die Frage nach dem Dateisystem. Wo macht es bei vielen gleichzeitigen Zugriffen die Grätsche, wie hoch ist überhaupt die Anbindung und mit wieviel MB/s wird überhaupt daran gezogen. Das OS spielt hier durchaus ne Rolle. Wenn z.B. riesige Dateisysteme erforderlich sind, dann würde ich pers. zu Solaris tendieren. Falls es bei Linux vs.BSD bleibt ist das Nutzungsprofil interessant. Also werden bestimmte Dateien von vielen Leuten gleichzeitig gesaugt, oder eher kleine, die in nen Cache passen, etc. Die unterschiedlichen Dateisysteme reagieren vollkommen verschieden auf solche Nutzungsprofile.
Ob web2.0, oder herkömmliche Anwendungen ist nem Webserver ziemlich egal. Das web2.0-Gezumpel sind meistens Javascripts und stellen sich aus der Sicht des Servers genauso dar, wie ne statische Textdatei. Ausgeführt wird das Zeuges beim Client.
 
asg schrieb:
Nimm das, was sich am besten mit Deinen Ansprüchen und Wissen deckt. Wenn Du keine Ahnung von BSD hast, aber dafür von einem RHEL, dann nimm RHEL.
Und ja, damit widerspreche ich deutlich bofh_hannibal.
Zum Vergrößern anklicken....

Hi Asg,

Mir persönlich ist es egal was für ein OS er letztendlich benutzt.

Ich bin nur der Meinung das jeder sich erstmal selber ein Bild über BSD machen sollte ( also Installieren, Testen und dann hat man ein Feedback.) bevor ich ihm ein System empfehle. Ob er dann Linux dennoch nimmt ist zwar schade, aber mir egal.
 
Delta schrieb:
[...] Für mich ist es irgendwie wichtig die Dinge erstmal auseinander zu schrauben. Und dann so wie ich es verstanden habe wieder zusammen zu setzen.
Zum Vergrößern anklicken....
Ja, das kenne ich; es geht mir genauso. Manchmal ist es aber trotz allem besser nicht bis in die (kleinsten) Details vorzudringen, sondern die Dinge von weiter weg zu betrachten, eben weil die Details zur Lösung des Problems in den meisten Fällen nicht gebraucht werden.

Delta schrieb:
[...]
Also -Daemon- Warum zieht die Herde weiter? Wenn es nicht so ist, bitte Fakten.
Zum Vergrößern anklicken....
Meinst Du die "Linux-Herde"? Falls ja, da kann und will ich dir keine Antwort darauf geben, weil ich mich mit Linux nur sehr, sehr wenig beschäftige.

Das einzige auf was ich rauswollte ist folgendes: Wenn ich zum lösen eines Problemes ein geeignetes Werkzeug suche, dann ist es legitim andere nach ihren Erfahrungen zu fragen, aber sich dann ausschließlich auf deren Ratschläge zu verlassen ist mir ehrlich gesagt unverständlich.
So habe ich dich verstanden; in diesem Sinne habe ich darauf reagiert. Es scheint wohl insgesamt ein Missverständnis vorgelegen zu haben.
 
@troll: Darüber muss ich nachdenken und weitere Fragen bezüglich der Hardware klären. Ich nehme diesen Faden dann in den nächsten Tagen wieder auf. Aber auf jeden Fall Danke für den guten Beitrag.

@-Daemon-: Nein, ganz so einfach bin ich nicht gestrickt. :) Ich verlasse mich auf keinen Fall ausschliesslich auf Meinungen anderer. Aber ich benötige diese zur Entscheidungsfindung. Und hier ist offensichtlich ein sehr guter Platz dafür. Jedenfalls für mich.

Aber eins brennt mir trotz allem immer noch unter den Nägeln. Wie gesagt nutze ich momentan 6.4 wegen Plesk. Warum sind denn da immer noch 10% Secunia Advisories zu 6.x unpatched?

Ist doch total ärgerlich für mich jetzt. Ist das denn so ein Problem die in 6.4 zu patchen? Mir ist schon klar das 7.2 raus ist, ja.

Edit: Achso @-Daemon- Nein ich meine die Herde der grossen Firmen die Server für ihr Internetgeschäft benötigen. Wie oben schon beschrieben. Die setzen fast alle auf Linux jetzt. Jedenfalls nach meinen Recherchen. Linux stellt dabei nur die Oase dar wo die Herde jetzt grast. Um in diesem Bild zu bleiben. Es geht dabei mehr um ein Gefühl was sich mir aufdrängt.
 
Zuletzt bearbeitet:
Naja, was wirklich gepatcht wird und was überhaupt als Sicherheitsrisiko eingestuft wird. entscheidet einzig und allein das FreeBSD Security Team. Und die machen ihre Arbeit wirklich gut. Und von den bei Secunia als offen bezeichneten Lücken ist nu n keine auf einem Niveau, dass es auch nur ein Gähnen wert wäre. :)
 
Delta schrieb:
Da schiess ich doch gern aus der Hüfte zurück: Ja, sind nur 5% unpatched. :cool:
Zum Vergrößern anklicken....
In absoluten Zahlen sind das allerdings 67% mehr als bei FreeBSD.:belehren:

Und das obwohl hier Äpfel mit Birnen verglichen werden. Bei FreeBSD liegt das gesamte Basis-System auf der Wagschale, bei Linux ausschließlich der Kernel. Filter mal bei den FreeBSD-Lücken die nicht-Kernel-Lücken raus.
 
@Kamikaze: Ja natürlich Äpfel mit Birnen. Wie gesagt, aus der Hüfte, zurück.

In absoluten Prozenten heisst es für mich das: 0% aktuell RHEL Oder was verstehe ich da falsch?

@Yamagi: Das verstehe ich nicht ganz. Heisst es das eine, in den Augen des Security Teams nur kleine Lücke, keine Lücke ist?

Warum bleiben denn bestehende Lücken unpatched? Und warum sollte man bei Sicherheitslücken gähnen?

Ich hatte es bei allem Internet-querlesen bisher immer so verstanden: BSD Community nimmt alles was Sicherheit angeht extrem ernst und da gibts keine Kompromisse.

Nun höre ich: Naja, das soll ein Loch sein, gähn..

Oder sinds keine Löcher? Ich will nur lernen. :)
 
Also, der Punkt ist, dass FreeBSD als "Lücken" nur Dinge bezeichnet, welche auch praktisch ausnutzbar sein könnten und keinen lediglich theoretisch möglichen Angriff erlauben. Letztere sind ganz normale "Bugs", also die Fehler die irgendwann behoben werden. In diesem Fall kommt noch dazu, dass FreeBSD 6.4 zwar noch Support bekommt, dieser ab schon recht eingeschränkt ist, da die Entwicklung sich mehr als 7-STABLE, 8-STABLE und 9-CURRENT konzentriert.

Nehmen wir mal zum Beispiel die SA zu dem ftpd. Hier ist der erste Kritikpunk, welchen ftpd er denn meint. FreeBSD hatte zu jener Zeit nämlich noch zwei mit an Bord. Wahrscheinlich spricht er aber von /usr/libexec/ftpd. Im ersten Teil beschränkt er die Anzahl möglicher Dateien des Nutzers auf fünf, dies bringt den ftpd aus dem Tritt und macht bricht so einigermaßen aus dem Chroot aus. Das ist unschön, keine Frage und man sollte es in meinen Augen auch so schnell wie es geht patchen, was anscheinend auch noch nicht passiert ist. Aber, wie relevant ist es, warum wird es nicht als Sicherheitsproblem eingestuft? Der Punkt ist ":\openfiles=5:" (\, da er sonst einen Smiley drauß macht) funktioniert nur, wenn dies nicht systemweit gesetzt ist. In der Standardeinstellung - FreeBSD kommt mit sehr konservativer Vorkonfiguration - ist dies nicht der Fall, die Einstellung ist dort "unlimited". Lässt der Administrator dies so, öffnet er Forkbomben und DOS-Angriffen die Türen. Oder anders gesagt, dies ist mehr ein Konfigurationsproblem in Kombination mit einem Bug, als eine wirkliche Schwachstelle.

Der zweite Teil geht in eine ähnliche Richtung. Auch hier sollte man so schnell wie möglich patchen, was wieder nicht passiert ist. Klar. Er hat einen Stackoverflow und lässt den Dienst abschmieren, wodurch er an ein Corefile kommt, in welchem die Passwörter stehen. Zumindest solange kern.sugid_coredump auf 1 steht, was man tunlichst unterlassen sollte. Nur davon einmal abgesehen, Speicherabbilder kann ich mir auch ohne Abstürze zu provozieren per gcore(1) ziehen, solange es mein eigener Prozess ist. Hier ist es wahrscheinlich ein fremder. Nun speichert FreeBSD per Standardeinstellung die Speicherabbilder in das aktuelle Verzeichnis, worüber an wieder sehr streiten kann. Es ist sehr anzuraten diese global in ein Verzeichnis speichern zu lassen, was normale Nutzer nicht lesen können. Zumindest auf produktiv eingesetzten Maschinen. Des Weiteren am besten auch gleich noch verbieten, dass man anderer Leute Prozesse überhaupt sehen kann. Die Stackprotection neuerer Versionen spielt hier auch noch hinein. Auch hier würde ich wieder sagen, mehr ein Bug mit Konfigurationsproblem als eine klare Lücke.

Das ist in beiden Fällen natürlich meine eigene Argumentation und hat mit der offiziellen Stelle nichts zu tun. Andere Personen mögen es anders sehen. Aber von diesem einmal abgesehen, das Basissystem ist schon recht unkritisch. In der Praxis würde ich mir ehrlich gesagt zehnmal mehr Sorgen über Programme und Dienste machen, die ich mir über die Ports anlache. Die haben nicht nur extrem unterschiedliche Qualitätsstandards, sind zudem auch teils extrem weit verbreitet (Apache, PHP) und bieten schon dadurch eine sehr große Angriffsfläche.
 
Hey Yamagi,

danke für die ausführliche Antwort erstmal.

Auf die einzelnen partiellen Verwundbarkeiten kann ich leider nicht genau eingehen, da mir dafür die notwendige Kenntnis fehlt. Und leider bin ich momentan zeitlich auch nicht in der Lage mir diese Kenntnisse anzueignen. Leider, zum Dritten, ganz ausdrücklich.

Mittlerweile denke ich das ich langsam zum Kern der Dinge die mich an dieser Fragestellung, BSD oder Linux(RHEL) im Produktivbetrieb, interessieren, vorgedrungen bin.

BSD fehlt momentan die Manpower.

Wenn BSD etwas ganz neues wäre, wäre es normal. Da es aber nicht so ist, ist es bedenklich. In meinen Augen.

Ob ich die Patchpolitik auch darauf zurück führen kann weiss ich nicht. Bitte helft mir an dieser Stelle.

Fakt ist, für mich, jetzt: Enterprise Systeme sind gegenüber anderen klar im Vorteil. Für Unternehmen. Und genau deshalb wechseln auch soviele zu Enterprise Systemen. Weil sie darauf ausgelegt sind. Darum heissen sie auch so.

Mit meinen aktuell 2 Servern, FreeBSD 6.4 und CentOS 5.4 erlebe ich ja nicht viel. Die laufen und gut ist. Und die speziellen php5-extensions die ich brauchte dank eurer Hilfe locker einzuspielen war wirklich easy going.

War es mit Cent aber auch.

Updates einzuspielen allerdings steht auf einem ganz anderen Blatt. Mein Cent 5.x wird bis Ende März 2014 unterstützt. Mit sämtlichen Patches. Mitte nächsten Jahres, wenn ich die meisten meiner neuen Server brauche, kommt Cent 6 und läuft bis 2017. RHEL ist ja dasselbe.

Mein FreeBSD 6.4 allerdings würde ich gern genauso lassen. Geht auch aus bestimmten Gründen garnicht anders. Ich möchte lediglich updates fahren und gut. Nichts upgraden.

Geht aber nicht, weil es nicht mehr wirklich unterstützt wird. Das ist ein riesen Problem.

Mir stellt sich nun folgende Frage: Für wen genau ist FreeBSD 2010 gedacht? Für Firmen kann es nicht sein. Aus dem von mir beschriebenen Grund. Für Privatanwender? Oder für BSD Entwickler?

Das war nur zur Patchpolitik. Aber auch sie ist vielleicht der Manpower geschuldet?

Grüsse
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben