Hi, On 20 Feb 2002 at 7:33, Konrad Neitzel wrote:
Mir geht es nicht um das Neueste vom Neuen sondern schlicht um Security Patches! Und entweder mache ich es von Hand (Viel Spass!) oder ich nehme, was man mir vorsetzt! Und für die 6.3 und 6.4 werden von SuSE keine Updates bereitgestelt. 6.3 findet sich nicht mal mehr im Updatezweig!
richtig, das Problem dabei ist leider, daß dann auch neue Kernels, neue Compiler und neue Programmversionen dazukommen, die nicht mehr "ganz" so zusammenpassen. Toll wäre, wenn SuSE soetwas wie ein kommerzielles Unix rausbrächten, das soll dann ruhig 3.000,-- EUR kosten, aber so modular sein, daß Kernelpatches z.B. compilerunabhängig für alle drei unterstützten Kernels verfügbar wären (2.0, 2.2 und 2.4). Dies auch für alle (oder zumindest viele Serverrelevanten) Programme (also sowohl Samba 2.0 mit allen Patches als auch Samba 2.2) verfügbar zu machen.
Wenn Du Dir einen kurzen Ausfall nicht leisten kannst, dann bist Du schlicht weg blöd, wenn Du Linux einsetzt. Bei Linux hast Du ja noch nicht einmal feste Zertifikate, so dass Du einen Spezialisten nicht von einem Idioten unterscheiden kannst! (Ja - das kommt langsam!)
Und wo hast Du die? Wenn das nciht OT wäre, könnte ich Dir hunderte Seiten mit Bonmots diverser "zertifizierter" Techniker liefern, dies von diversen Umgebungen, mehrere Unixe, Win, SAP, etc.
Ein Produktivsystem kann auch ein Webserver mit meiner Firmenpräsenz sein! Wenn dieser zwischen 5 und 6 Uhr morgens mal nicht verfügbar ist, dann ist das sehr wohl zu verschmerzen. Und 100% Ausfallsicherheit gibt es ehh nicht! (Was ist spätestens, wenn ein Bagger irgendwelche Leitungen zerhaut?)
Doch, die gibt es, und es ist nichteinmal so teuer! Richtig ist, daß es zwei große Ausnahmen gibt, einerseits Userfehler (z.B. HTML Code, der nicht funktioniert) und ein globaler Nuklearschlag, wo weder Sat noch terrestrische Übertragungssystem funktionieren. Ansonsten kannst Du mit dem entsprechenden Aufwand selbstverständlich redundante Server auf unterschiedlichen Kontinenten aufbauen, dies entweder durch entsprechende BRP Manipulationsgewalt, oder DNS Konfiguration.
Ja klar. Wenn Du auf diesem Niveau anfängst, dann a) lässt Du es [...] Das Problem des Aufwandes will ich hier gar nicht erst erwähnen!
Du hast schon recht, aber er meinte wohl eher, daß neuere Distributionen auch neuere Softwareversionen und Konfigurationstechniken mitbringen. Die neuen SuSE Versionen bringen z.B. kein altes Samba mehr mit, oder Bind etc. Und da die Änderungen alle schnell zu finden ist nicht leicht, wenn Du z.B. Scripts verwendest um die Samba Logfiles auszuwerten, wirst Du bei einem Versionswechsel hart gebissen. Und Bind 9 will auf einmal in allen Zonefiles eine TTL, Bind 8 lief ohne, ... Wie oben erwähnt wäre für solche Rechner eine richtige "Pro" Version von SuSE gedacht. Die darf wohl etwas kosten, muß aber sicherstellen, daß jedes Softwareupdate mit den alten Konfigurationsdateien arbeitet.
Aber nochmal ganz klar: Mir geht es nicht um die neueste Distribution, sondern um den Support, d.h. die Verfügbarkeit von patches. Natürlich kann ich - das habe ich oft genug in die Liste geschrieben - diese von Hand einspielen, aber das macht auf Dauer mehr Arbeit, als das Einspielen der Patches.
Wichtiger scheint mir dabei, daß nicht sichergestellt ist, daß Du für ältere Versionen noch z.B. Securityannouncements bekommst.
Was das Vertrauen in SuSE angeht: Ja genau! Die haben keine so hohen Anforderungen an ihr SuSE Linux! Da können ruhig Bugs drin sein! Selbst wenn ein Bug gefunden wird, wird das Produkt normal weiter vertrieben! Warum nutzt Du sowas auch auf einem Produktionssystem?
Das ist eine technische Notwendigkeit. Wenn Du einen neuen Cisco kaufst, kannst Du auch nicht immer davon ausgehen, daß die Securitypatches des letzten Monats installiert sind.
Debian? Was nutzt Du denn für Pakete, wo Du nicht weisst, was für Leute die gebaut haben? Das ist ja noch schlimmer als SuSE zu vertrauen. (Source Code wird kontrolliert, aber Binaries - wer kontrolliert die? Ich glaube kaum, dass da jemand reverse Engeenering betreibt!)
Wie bei SuSE ist bei Debian relativ sicher, daß die Binaries mit den Sourcen übereinstimmen.
Also bin ich wieder bei einem Punkt, den ich auch schon oft genug geschrieben habe: Wenn ich ein Produktivsystem habe, mitrecht hohen Anforderungen, dann nutze ich Lösungen von Firmen, die von dieser Sache Ahnung haben! Also lande ich bei Firmen wie IBM. Nur eben
IBMs Linux, OS/400, AIX oder was? Ich kenne alle drei, und wenn Du so ein neues System orderst ist ebenfalls Patcheinspielen angesagt! Der Unterschied ist, daß wenn Du EUR 100.000,-- oder mehr für ein System ausgibst, dann sind Dir einige tausend EUR für den Techniker auch egal! Ich bin aber sicher, daß Dir auch SuSE ein entsprechendes Vor-Ort-Service anbietet, zumindest zum selben Preis! Eingeschränkt bist Du nur durch die eventuell fehlenden MCMs bei Deiner Hardware.
bezweifel ich, dass die Linux "Produktionsserver" so grosse Anforderungen haben. Ansonsten wäre dies ein Fall für die Entlassung des einen oder anderen Mitarbeiters.
Wie gesagt, mit dem nötigen Kleingeld ist das auch unter Linux möglich. Um etwas OT zus ein: Ich persönlich mag die 7.3 nicht, ich bevorzuge eine 7.2 mit entsprechenden Updates. Allerdings ist anzumerken, daß ich etliche Dinge verwende, die nicht standardmäßig bei SuSE dabei sind, und daher ohnehin "Hand anlegen" muß. Tom