* Ratti schrieb am 16.Jan.2002:
Arne-Erik Martin:
Hast Du da genaue Zahlen?? Der größere zeitliche Aufwand kommt, wenn er wirklich da sein sollte, was ich noch bezweifele, nur dadurch zustande, dass *nix Admins sich mehr um die Sicherheit sorgen machen als die meisten Win* Admins.
I wo. Nicht in der Praxis. Man spielt regelmässig seine Patches ein, hier wie da dauerts zwei Kaffee. Der Vorteil unter Windows ist, daß der einfach läuft, fertig. Starten, Lizenz annehmen, pinkeln gehen, Problem gelöst. Unter Windows sind auch Server-Patches "für Doofe".
Linux ist das mächtigere System, und als solches ist es empfindlicher: Da fallen öfters mal nacharbeiten an. Das liest du ja auch hier in der Liste, Themen a la "Ich hab doch bloß apache upgedatet - jetzt läuft php nicht mehr?! ... Äh, jetzt habe ich php upgedatet und es läuft wieder, aber jetzt verlangt die pdflib für php nach einer anderen Version von..."
Es gibt ja nicht nur Linux. Bei UNIX, wie etwa AIX oder auch HP_UX wird sowas auch nur aufgespielt und gut ist.
Ich muß mir um mein Windows-System sicherlich deutlich mehr Sorgen machen, von irgendwelchen automatisierten Kinder-Tools attackiert zu werden als um meine Linux-Schleudern, wo jemand den bei Heise vermeldeten theoretischen Puffer-Überlauf auch tatsählich erst mal zustande bringen muß. ;-) Die größere Sorge, Windows, ist aber auch einfacher behoben.
Deswegen gibt es hier kein "richtig" und "falsch", sondern nur "Welche Lösung paßt zu _meiner_ Problemstellung."
Neue Benutzer anlegen: Unter Win wildes rumklicken und unter *nix lasse ich ein Skript laufen und bin sofort fertig. Benutzer löschen: dito.
Das ist für die meisten Firmen praxisfremd. Die Nutzerverwaltung ist häufig mehr Problem als Lösung, weil sie im Kern von Individuen ausgeht. In den meisten Firmen dürfte die Struktur aber eher so aussehen, daß es "User" gar nicht gibt, sondern nur drei, vier Benutzergruppen: a) Gäste (Websurfer) b) Mitarbeiter, die alle auf alles untereinander zugreifen sollen c) Buchhaltung, die haben noch ein Volume für ihre Gehaltsabrechnungen d) den Admin
Ich lasse Gäste auf einen Rechner, auf dem sich die Buchhaltung befindet? Ein Rechner auf dem sich die Buchhaltung befindet würde ich nicht so ohne weiteres ans Internet anschließen. Abgesehen davon, Deine Strucktur, die Du angibst gilt doch nur für Webanbieter. Es gibt die unteschiedlichsten Firmen, mit den unterschiedlichsten Anforderungen. So haben z.B Banken und Versicherungen einen großen IT-Bereich. Da sieht es sicherlich anders aus, oder etwa reine Programmierschmieden. Auch da kommen selten Gäste vorbei.
Das Problem ist meistens nicht, alles gegeneinander abzudichten, sondern im Gegenteil: Die Buchhaltung (Das sind ja auch Mitarbeiter!) legt eine Datei auf das aktuelle Volume, und kein Schwein kommt ran, weil anderer Eigentümer. Und, und, und... Und dann kommen die Apple-Nutzer nicht an die Windows-Daten, und alle zusammen nicht an die vom Kunden per ftp geschickten Dateien, weil die wieder "wwwuser" gehören, und, und, und... Ich persönlich empfinde Freigaben schwieriger als Sperren. :-)
Generelles Thema "Ich kann mir Tools und Scripte schreiben, zack, fertig": Bei sagenwirmal 50 Mitarbeitern hast du ca. 6-7 Personalbewegungen im Jahr - da brauchst du _Jahre_, um die Programmierzeit deiner Scripte wieder reinzuholen, verglichen mit jedesmal-per-Hand-eintragen.
Kann man auch bei Linux machen. Zeile in /etc/passwd und /etc/shadow eintragen, /etc/groups ergänzen, neues Verzeichniß in /home anlegen, /etc/skel dorthin kopieren und chown darauf machen. Wo ist das Problem? Aber warum sollte man nicht useradd verwenden? Kurze Skripte sind sehr schnell geschrieben.
Ok, Du kannst bei *nixen viel mehr konfigurieren als unter Win* Systemen. Nur macht man das bei einem Produktivsystem denn wirklich ständig? IMHO sollte man ein System aufsetzen, konfigurieren und dann laufen lassen (Ausnahme natürlich Sicherheitspatches!!) ... .
Ständig sicherlich nicht. Nur, man hat die Möglichkeiten alles Mögliche auf genau seine Gegebenheiten anzupassen. Konfigurieren sollte man nur einmal und dann sollte es gut sein. Ist natürlich auch nur Wunsch, und die Praxis sieht anders aus, aber besser man kann konfigurieren, als man muß es so nehmen wie es ist.
"Ständig" sicherlich nicht. Aber du hast unter Linux sehr viel mehr Möglichkeiten, was erstmal gut ist. Das kann aber auch mal bedeuten, daß dein Konzept total im Eimer ist, wenn es nur geringfügig erweitert wird, weil es _so_ nicht mehr geht. (Beispielweise sind bei uns in der Firma Mac und Win im Einsatz. Läuft seit Jahren prima. Jetzt will ich einen (meinen) LinuxCLIENT da mit reinhängen, und mein ganzes Rechtekonzept ist für'n Eimer. Geht nicht. Geht anders, aber: Viel Arbeit, und vor allem: Viel Störung)
Sowas passiert dir unter Windows nicht, eben weil das Konzept so starr ist. Dafür gibt es aber eben auch keinen Raum für "Sonderwege".
So ist es.
Ok, den Quellcode hab man bei Win* nicht ... *scnr*
Hat man bei einem UNIX im Allgemeinen auch nicht. Obwohl die nicht so geheim sind.
repeat sleep until bluescreen
Was natürlich für einen Server, der Verfügbar sein muß, tötlich wäre. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9