-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Fri, 5 Sep 2003, Alex Popa wrote:
> Salut! > > Nu am mai folosit (in mod serios) Linux in ultimii doi ani, dar despre > FreeBSD pot sa spun cateva lucruri. Si eu am _folosit_ (cu accent pe folosit) FreeBSD in ultimele 8 luni, zi de zi dar nu stiu chiar asa multe. > Pe FreeBSD branch-urile de securitate suportate oficial sunt din ramura > stabila 4.8 si 4.7. End of life pentru 4.7 este estimat pe la 30 > septembrie anul acesta. Totusi, unele patchuri de securitate sunt > relativ simplu de aplicat si in versiuni mai vechi, si ajung si in > ramurile de securitate respective, dar ei NU GARANTEAZA acest lucru. > De exemplu pentru ultima vulnerabilitate descoperita s-a generat patch > pentru 4.6, 4.7 si 4.8, iar pentru alte trei inaintea acesteia s-a > generat patch pentru toate versiunile de la 4.3 incoace (4.3 a aparut pe > 21 aprilie 2001). > > La http://www.freebsd.org/security/ vei observa ca branchurile de > securitate sunt suportate in mod normal pentru 12 luni. aha, ok. > > In schimb e relativ simplu sa aduci sistemul de la o versiune minora la > urmatoarea (4.3 -> 4.4 de exemplu), si se poate chiar peste mai multe > versiuni (am facut upgrade 4.3 -> 4.8 fara probleme majore la un moment > dat). Asta stiam, aici e ca la debian somehow, doar ca debian-ul nu separa sistemul cu aplicatiile de sistem de celelalte (ports) ci sunt toate niste packete care se afla fie in stable, unstable sau testing si se muta dintr-o parte in alta in functie de cat de mult a fost packetul respectiv testat. Deci astfel ca si la FreeBSD un server poate avea viata foarte lunga (de altfel teoretic la debian ar trebui sa aiba viata infinita pe cand la FreeBSD se opreste cand nu mai suporta deloc acel major branch, ex. cand deja avem FreeBSD 5.6 si ultimul din 4-STABLE este 4.9 si acesta are deja 2 ani de vechime). Intr-un fel reinstalarea unui sistem este o actiune benefica deoarece: 1. scapi de orice haxor/backdoor posibil (cu exceptia unui in softul/configurarile care le _copii_ din versiunea veche in cea noua) 2. forteaza la organizarea softului ca atunci cand vezi ca toate sunt puse peste tot, apare nevoie naturala de a le organiza. Asa cum este totul in viata si aici trebuie sa exista un compromis/echilibru. Consider ca o reinstalre de server la 2 ani este prea des dar la 4 ani e ok! > Aplicatiile care nu vin cu sistemul de baza ("porturile") pot fi > upgradate oricand, fie din surse fie din pachete precompilate de ei. > Porturile nu sunt legate de versiunea de FreeBSD pe care o folosesti (se > adapteaza automat daca le compilezi), dar au fost cazuri in care au > trebuit aduse la o versiune mai noua programele pkg_* (echivalentul rpm > sau dpkg), pentru a putea compila porturile. Da, stiu ce este pkg_* :). > De asemenea, este relativ simplu sa folosesti versiunea din ports a unei > aplicatii care este distribuita cu sistemul de baza (BIND, Sendmail, > OpenSSH). Asta mi-a perimis mie sa tin sistemul la 4.3 atat de mult: > problemele de securitate erau fie locale (nu am useri cu shell pe masina > respectiva, deci am sters programele respective, sau le-am lasat fara > setuid/setgid), fie remote (OpenSSH) si am instalat o versiune la zi din > ports. Oricum, sistemul fusese instalat pe la versiunea 4.1 (sau 4.1.1) > si a fost upgradat din aproape in aproape. Hmmm, daca tehnica asta e ok pt un server devine cam greoi de tinut minte toate aceste detalii pe o ferma de servere fiecare avand versiuni diferite de SO instalat. O solutie e sa le tii pe toate la zi in varianta -STABLE si astfel toate ar trebui sa aiba aproximativ aceasi configuratie (exceptand serviciile, ex. http, ftp, mail, etc...). > > Pentru celelalte versiuni de BSD nu pot vorbi, nu stiu suficiente > detalii. > > So, ce vroiam sa zic cu mailul asta? A, da! Ai dreptate cu partea cu > -STABLE, si doar partial la partea cu security branch. In principiu, ei > garanteaza pentru ultimele doua versiuni (4.7 si 4.8 acum, dar apare 4.9 > in curand si o vor lasa mai moale cu 4.7), dar sunt sanse maricele ca > altcineva sa genereze patch si pentru versiunile mai vechi, si ei le vor > incorpora in ramurile respective de securitate. > > HTH > Alex (an ex Debian user/fan) /me ex FreeBSD home user and more and more Debian home user :) PS: cuvintele de mai sus au importanta minora de vreme ce eu acasa reinstalez sistemul o data pe luna cel putin (am in TODO Solaris9 si QNX) - ---------------------------- Mihai RUSU Email: [EMAIL PROTECTED] GPG : http://dizzy.roedu.net/dizzy-gpg.txt WWW: http://dizzy.roedu.net -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.3 (GNU/Linux) iD8DBQE/WIs8PZzOzrZY/1QRAi4YAKC+I9u5+bY71zLolor4LHLzQnw6hgCeNjiH v4atAthi9nHtv2Zg/tqXGgE= =wUNE -----END PGP SIGNATURE----- --- Detalii despre listele noastre de mail: http://www.lug.ro/
