Hallo,

ich betreibe zur Zeit mehrere Webserver auf Debian Woody. Grundsätzlich halte ich Debian für ein herausragendes System. Die Unzuverlässigkeit von Release-Ankündigungen und die langen Zeiträume zwischen neuen Stable-Versionen, machen die vielen Vorteile von Debian für mich aber leider wieder wett. Ich habe lange versucht mit Woody weiter zu arbeiten, aber irgendwann geht es nicht mehr. Die zahlreichen Backports machen zuviel Ärger, bzw. stören das Sicherheits-Konzept. Kunden werden unzufrieden, weil sie immer wieder auf Sarge vertröstet werden müssen und ich bezweifle, dass sich nach dem Erscheinen von Sarge die Situation ändert.

Ich habe jetzt versucht alternative Distributionen zu finden, habe aber bisher noch nicht das Richtige gefunden. Ich würde mich freuen, wenn jemand, der selbst einen oder mehrere Webserver im Einsatz ( nicht nur zu Hause, sorry, suche Erfahrungen aus dem Produktions-Alltag ) betreibt, seine Meinung dazu einmal dazu schreiben würde.

Die Anforderungen für meine Suche nach einer neuen Distri sind:
- Regelmäßige und schnelle Sicherheits-Updates,
- Paket-System ( Idealerweise Deb, aber nicht zwingend ),
- Apache, PHP 5.x, MySQL 4.x und Postfix 2.x ( mit SASL ) jetzt oder in absehbarer Zeit im aktiven Software-Bestand,
- Betrieb ohne laufendes GUI möglichst als Voreinstellung.

Als viel versprechendenste Alternative zu Debian bin ich auf Ubuntu gestoßen. Schnelle Release-Zyklen und ein aktives Sicherheitsteam klingen gut. Leider scheint sich bei Ubuntu niemand um den Bereich Webhosting zu kümmern, anders kann ich mir nicht erklären, daß tatsächlich PHP4 aber nicht PHP4-MYSQL im aktuellen Release enthalten ist. Auch andere für den Server-Betrieb essentielle Pakete fehlen, zudem werden Fragen und Anregungen zu diesem Bereich ignoriert oder nur von einer Minderheit, an selbst Hilfe suchenden Usern, beantwortet. Ubuntu scheint sich also voll auf Desktop zu konzentrieren.

Andere Debian-Ableger scheinen entweder nicht oder nur noch schwach gepflegt zu werden oder gehen in eine andere Ausrichtung.

Vielleicht können wir auf diesem Weg ein paar Erfahrungen auf der Suche nach einer effizienten Hosting-Umgebung für sichere, aber aktuelle Systeme zusammentragen.

Viele Grüße
Ensis

also wir setzen bei uns rein auf SuSE 8.2 bzw. Solaris (je nach Architektur). Im Park sind ca. 60 Server.

Für i386 könnte auch Solaris 10 eine Alternative werden - wir werden's wohl auf jeden Fall antesten.

Allerdings installieren wir immer nur ein Minimal-System, die Applikationen selbst kommen bei uns nicht über die Paketverwaltung sondern werdem manuell von Hand installiert und gepflegt. Im Einsatz haben haben wir Apache, Tomcat, MySQL, resin, Perl, PHP.


Ob Du hier eine "eindeutige" Antwort finden wirst - bezweifle ich leider...

Ich habe mal, als bei uns das Projekt "Aktualisierung" anstand (Altsystem SuSE 7.3) diverse Distris getestet. Ist aber schon etwas her. Darunter waren FreeBSD 4.8, Debian, Slackware 8, SuSE 8.2, Gentoo, SoL.

Wir haben uns dann für SuSE 8.2 entschieden, weil da der Migrationsaufwand am geringsten war und zu der Zeit die Hardwareerkennung auf allen unseren Servern problemlos lief. Heutzutage würde ich evtl. auf FreeBSD, SoL oder Slackware setzen (wobei bei Slackware wohl gerade Zukunftsängste schwirren) - haben damals am besten gefallen. Gerade SoL - ist aber bei der Config ein völlig anderes Konzept, welches es aber glaube ich sehr flexibel für größere Serverparks macht...

Bei vielen Distris sehe ich heutzutage für Serverbetrieb als Problem, dass vielmehr der Desktop entdeckt wird - z.B. Ubuntu. Da ist glaube ich ein Installation ohne WM gar nicht mehr möglich.


Als Tipp meinseits also
- SoL (http://www.sol-linux.com/Private/SoL/?lang=Deutsch)
- FreeBSD
- Slackware

... in der Reihenfolge würde ich vorgehen (anhand der Erfahrungen von vor 2 Jahren)...

ja leider hat sich bei uns ebenfalls das allseits "unbeliebte" & "klickibunti" verschriehene SuSE durchgesetzt, wir fahren im Park RedHat zu 3% und zu 97% SuSE (8.2).

... wobei wir hier mit dem "Klickibunti" SuSE eigentlich keine negativen Erfahrungen haben...

es installiert sich schnell und problemlos und es läuft. Und genau das erwarte ich von einem System für einen Server.

Alles "Geschrei" kommt glaube ich eher von Vorurteilen des jeweiligen "Betroffenen"

eben ;) *Ironie tags einfordert :ugly:

Man sollte das ganze nicht nur aus der Sicht des Sysadmins betrachten.

Wenn ich eine "kommerzielle" Distribution, wie SuSE mit ihrem Paketmanagment, installiere, bin ich rechtlich auf der sicheren Seite, weil ich einen Teil meiner Sorgfaltspflicht auf den Distributor abwälze, der ja Sicherheitsupdates bereitstellt.

Außerdem habe ich im Supportfall einen vertraglichen Ansprechpartner...

Natürlich eignet sich im Prinzip jede Distribution für den Servereinsatz - in erster Linie sollte entscheidend sein das der Admin sich mit der Distribution auskennt...

Zusätzlich ist der Einsatzzweck entscheidend - für ein sicherheitsrelevantes System sollte auch ein abgesichertes Linux oder ein BSD zum Einsatz kommen. Dient der Server "nur" als Datenbank und ist von anderen Systemen gesichert kann auch ein auf Performance optimiertes Linux zum Einsatz kommen...

Die richtige Distribution ist also für jeden eine andere!

mfg
cane

Nun hast du zwar explizit nach Linux Distributionen gefragt aber vielleicht solltest du dir trotzdem die BSDs anschauen. Ein Versuch sollte es wert sein. In meiner alten Abteilung wurde groesstenteils Redhat 7.3 eingsetzt. Und wahrscheinlich wird nun auf Suse migriert.

Freut mich als Neuer in diesem Forum erstmal, dass hier offensichtlich viele Fachleute mit lesen und schreiben.

Es sind zur Zeit 4 Webserver, die ich betreibe. Ich war bisher immer der Meinung, dass sich in diesem Bereich ein reines Paket-System noch einfacher einsetzen läßt. Bei ab ca. 10 Servern kann ich mir aber gut vorstellen, das es bedeutend effizienter ist, die passende Software auf einem Entwicklungsserver zu kompilieren und dann auf alle anderen Server zu verteilen. Liege ich mit meiner Grenze von 10 Servern falsch?

Die Website von SoL habe ich mir gerade mal angesehen. Klingt vom Prinzip wunderbar, aber mir sind zwei Haken aufgefallen. Zum einen wird auf der Seite die 18.0 als neu propagiert, dabei ist sie vom Mai. Zum anderen muss für Sicherheitsupdates bezahlt werden.

In Sachen Suse muss ich zugeben, dass dort der schlechte Ruf tatsächlich etwas gewirkt hat und ich es von Anfang an nicht näher in Betracht gezogen habe, allerdings nicht wegen der Oberfläche, sondern wegen dem Ruf Pfade, Konfigurationen, etc. immer etwas anders zu handhaben als bei anderen Distributionen. Wenn es hier so beliebt ist, sollte ich wohl nochmal einen ausgiebigen Blick auf Suse werfen.

Bei RedHat bin ich seit der Aufspaltung in RedHat und Fedora skeptisch. Warum sollte sich die freie Entwicklergemeinde in die gleiche Richtung entwickeln, in die RedHat sein kommerzielles System bringen will?

BSD ist ein interessanter Tip. Aber hat jemand von euch BSD im praktischen Einsatz? Wie ist es mit reinem Linux ( kein Unix ) - Knowhow, läßt sich das vernünftig auch bei BSD nutzen und wie sieht die Software - Kompatibilität aus?

Alles hier ist meine Meinung ;-)

Paketsystem ja oder nein - hängt einfach davon ab.
Bei uns z.B. sind manche Konfigs recht "speziell" - bzw. wir packen in den Server halt nur immer genau das rein, was wir brauchen. Da sind die bei den Systemen beiliegenden Pakete meist "überfrachteter" (z.B. Apache bei Suse). Und wir können das Ding dahin installieren, wo wir es haben wollen, Pfade und User anpassen, ... - ich empfinde es als flexibler. Und ich weiss, dass wenn es ein Update auf einen Server gibt, _ich_ es teste und für lauffähig befinde. Und nichts automatisch eingespielt wird und ich dann morgens um x:xx in der Firma von roten Statusanzeigen im Monitoring überrascht werde, nur weil halt irgendwas im fertigen Paket dann nicht mit unserem System zusammen will...

Bei Systemnahen Dingen wie ssh und so bin ich natürlich über automatische Updates froh...


SoL
ich kenne SoL aus Tests (war damahls die 16er) - da gab's für Updates ein Script, welches die jeweilige Anwendung von einem vorgegebene Ort (meist die HP des Maintainers) geholt hat und auf dem System kompiliert hat. "Ähnlich" wie gentoo ;-) War immer sehr aktuell und hat im Test auch problemlos gefunzt. Aber man hat halt wieder eine Art Paket-System dabei, welches einem doch recht böse Eier legen kann...

Systemupdates - ok, da weiss ich ehrlich gesagt gerade nicht, wie sie das gehandhabt haben. Schon zu lange her...


SuSE
früher war SuSE tatsächlich anders als die Anderen. Aber seit der 8er-Serie halten sie sich an die Empfehlungen, was die Pfadstruktur von Linux angeht (da gab's irgendeine Abkürzung dafür, die mir gerade entfallen ist...). Und YAST bastelt Dir auch nicht mehr einfach so in Deinen Configs rum, wenn Du es nicht willst...


*BSD
ich persönlich empfand die Unterschiede im Handling gar nicht so groß. Ok, wir haben hier auch BSD und Solaris-Systeme am laufen, da muss man eh überall umdenken. Aber dadurch, dass wir meist nur das Grundsystem nutzen und den Rest selbst stricken - relativiert sich das meist wieder.

Cron und vi sind eh auf allen Systemen gleich ;-)

Software ist kein Problem. Es gibt ein Ports-System und vieles läuft auch nativ. Zumindest bei den Anwendungen, die für uns hier interessant waren gab's keine Probleme - kann bei speziellen Anforderungen natürlich anders sein.


Poolgröße?
naja - je nach Philosophie - wir kompilieren z.B. direkt dem jeweiligen Server - da gibt's für jede Anwendung, die wir am laufen haben ein Install-Script, welches das komplett automatisch erledigt. Kommt halt auch immer drauf an, wie "einfach" man sich die Installtion halten will. Und wie viele Server id. sein sollen. Und von den Vorgaben von QM oder der GL z.B.

und noch zum Thema SoL-Update nicht kostenlos?

Die Webseite http://www.sol-linux.com/JASP_start/Business/Support/ sagt dazu


Update Support Package
If you don not want to concern yourself with security, patches and updates of the packages on your server, but you think of it as an important issue, we can do it for you!

The Update Support package has a modular structure to cover standard LAMP, mail or heavy duty servers.

SuSE
früher war SuSE tatsächlich anders als die Anderen. Aber seit der 8er-Serie halten sie sich an die Empfehlungen, was die Pfadstruktur von Linux angeht (da gab's irgendeine Abkürzung dafür, die mir gerade entfallen ist...). Und YAST bastelt Dir auch nicht mehr einfach so in Deinen Configs rum, wenn Du es nicht willst...

Die Abkürzung ist LSB und bedeutet linux standard base:
http://www.linuxbase.org/

mfg
cane

Als viel versprechendenste Alternative zu Debian bin ich auf Ubuntu gestoßen. Schnelle Release-Zyklen und ein aktives Sicherheitsteam klingen gut. Leider scheint sich bei Ubuntu niemand um den Bereich Webhosting zu kümmern, anders kann ich mir nicht erklären, daß tatsächlich PHP4 aber nicht PHP4-MYSQL im aktuellen Release enthalten ist. Auch andere für den Server-Betrieb essentielle Pakete fehlen, zudem werden Fragen und Anregungen zu diesem Bereich ignoriert oder nur von einer Minderheit, an selbst Hilfe suchenden Usern, beantwortet. Ubuntu scheint sich also voll auf Desktop zu konzentrieren.

Andere Debian-Ableger scheinen entweder nicht oder nur noch schwach gepflegt zu werden oder gehen in eine andere Ausrichtung.

Vielleicht können wir auf diesem Weg ein paar Erfahrungen auf der Suche nach einer effizienten Hosting-Umgebung für sichere, aber aktuelle Systeme zusammentragen.

Viele Grüße
Ensis

Warum nimmste nich einfach ein debian sarge ... ??? die Debianer haben das noch nicht released weil es
noch bugs im Installer gibt .... und in einigen packeten .. aber die lösung für solche Probleme heißt wohl apt-get ... und den Installer brauht man nicht so wirklich. Und ein "ich basiere auf Debian linux" ist wohl keine
alternative zu debian sarge ....

gibt's denn schon automatische Sec-Updates für Sarge? Meines Wissens noch nicht - und das wäre schon ein Grund, es nicht für einen prod. Server zu nehmen.

für sowas gibts ja apt-get ...

gibt's denn schon automatische Sec-Updates für Sarge? Meines Wissens noch nicht - und das wäre schon ein Grund, es nicht für einen prod. Server zu nehmen.

Was meinst du mit "automatisch"?

Gruss
Chrigu

ok, automatisch ist falsch ausgedrückt...

bin kein Deb-Experte ;-) - meine nur, hier öfters gelesen zu haben, dass es für sarge keine security-updates gibt, sondern halt nur neue Pakete.

Berichtigt mich, falls ich Müll erzählt habe...

Nein, hast du nicht, du liegst völlig richtig, Marce. Sarge ist keine Option, da es kein aktives Sicherheitsteam hat. Sicherheits-Updates werden bei Sarge als letztes eingespielt. Bei Sicherheitslücken reagiert normalerweise erst das Woody Security Team, dann kommt der übliche Fix in die Unstable und erst wenn dieser die ganz normale Wartezeit durch hat, kommt er nach Sarge. Eine Sarge-Server direkt im Netz heisst entweder alles selbst machen oder offene Türen anbieten.

ok, automatisch ist falsch ausgedrückt...

bin kein Deb-Experte ;-) - meine nur, hier öfters gelesen zu haben, dass es für sarge keine security-updates gibt, sondern halt nur neue Pakete.

Berichtigt mich, falls ich Müll erzählt habe...

Das stimmt. Die duerfte es erst geben wenn sarge stable wird. Wobei dann das Problem welches der OP hatte nach ein oder zwei Jahren wieder auftauchen wird.

Das stimmt. Die duerfte es erst geben wenn sarge stable wird. Wobei dann das Problem welches der OP hatte nach ein oder zwei Jahren wieder auftauchen wird.
Exakt, ich habe wie gesagt, das Vertrauen verloren, dass sich mit Sarge etwas an dem ewigen Warten ändern wird und will deswegen wechseln, auch wenn mir Debian ansonsten wirklich gefällt. Selbst wenn Sarge jetzt erscheinen würde, würde dass das Problem nur verschieben.

Aber Suse hört sich immer interessanter an. Mit der LSB habe ich mich bereits kurz beschäftigt, wußte aber nicht das Suse dabei ist.


Und noch zum Thema SoL-Update nicht kostenlos?
Die Webseite http://www.sol-linux.com/JASP_start/Business/Support/ sagt dazu...
Soweit ich die Seite verstehe, muss man sich bei Sicherheitsproblemen die Patches für die jeweilige Software selbst ziehen und dann neu kompilieren. Wenn man das auch ohne weitere Kosten über das Paketsystem regeln könnte, wofür wollen die Jungs dann 280 Dollar im Monat? Für ein per Cron gestartetes Update? Vielleicht (hoffentlich) liege ich ja auch falsch mit meinem Verdacht.


Paketsystem ja oder nein - hängt einfach davon ab.Zu meinem Sicherheitskonzept gehört halt, dass ich auf den Servern selbst keinen Compiler haben möchte. Das Ganze soll rein über Pakete laufen, um ein möglichst sauberes Profil zu bieten. Natürlich kann ich in Einzelfällen auf einem anderem Server ein Paket erstellen und dann aufspielen, aber das sollten wegen dem Arbeitsaufwand halt Ausnahmen sein. Ich habe in all der Zeit niemals Probleme mit dem Paketsystem von Woody gehabt. Deswegen war Ubuntu ja für mich auch eine grosse Hoffnung, aber das wird ja wie oben erwähnt leider nichts. Das ich auf dem Server nur das haben will, was ich wirklich brauche, sehe ich genauso. Das geht mit Debian auch wunderbar, gibt es bei z.B. Suse da Schwierigkeiten?

So wie es aussieht, werde ich mich also mit Suse und eventuell BSD mal näher beschäftigen. Wie sieht es bei Suse mit dem Paketsystem aus? Es hört sich so an, als gäbe es da manchmal Probleme?

nur wird sich wohl das Problem von Debian auch bei SuSE nicht "verhindern" lassen - ok, vielleicht sind sie etwas aktueller, was die Software angeht, vielleicht auch gleich aktuell. Aber auch eine SuSE-Version wird nur eine gewisse Zeit gepflegt. Für die jetzigen Versionen wird es wohl auch in spätestens 3 Jahre keine von Suse bereitgestellten Updates mehr geben.

deswegen fand ich Slackware interessant - dort kann man wohl längerfristig mit Updates rechnen...

Da hast du mich falsch verstanden. Ich habe kein Problem damit ein Update auf eine neue Version einzuspielen. Wenn Suse ein neues Release rausbringt und nach einiger Zeit dann den Support für die alten Releases stoppt, ist das völlig in Ordnung. Das Gegenteil ist ja mein Problem, es gibt bei Debian eben kein neues Release, sondern "nur" ewiger Support vor Woody, weil man anscheinend Angst hat, dass Sarge nicht perfekt ist. Wirklich ärgerlich, weil Debian meiner Meinung nach so gut ist, das es auch mit Releasezyklen von z.B. einem Jahr stabil und zuverlässig genug wäre.

nur wird sich wohl das Problem von Debian auch bei SuSE nicht "verhindern" lassen - ok, vielleicht sind sie etwas aktueller, was die Software angeht, vielleicht auch gleich aktuell. Aber auch eine SuSE-Version wird nur eine gewisse Zeit gepflegt. Für die jetzigen Versionen wird es wohl auch in spätestens 3 Jahre keine von Suse bereitgestellten Updates mehr geben.

deswegen fand ich Slackware interessant - dort kann man wohl längerfristig mit Updates rechnen...

Naja, Wenn man sich auf die ein oder andere Security Mailingliste eintragt, kann man Slackware auch relativ bequem selber aktuell halten. Hin und wieder mal was neu kompilieren ist ja keine Hexerei.

ebent. Es gibt jetzt auch noch Updates für _sehr_ alte Versionen bzw. wohl auch die Möglichkeit, das System selbst (wohl auch funktionierend) upzugraden.

Das bietet glaube ich sonst keine Distri in der Art.

Habe mir die Seite von Slackware gerade mal angesehen. Das sieht wirklich sehr interessant aus. Kann mir jemand einen kurzen Überblick über Slackware geben (Sicherheit, Paketsystem, etc.)?

Security Mailinglisten verfolge ich natürlich alleine schon um selbst bei Debian Woody noch ein Auge darauf zu haben, wo und wann welche Lücken entstehen und gefixt werden.