Linux eller Windows serveren? (del 4)

[int20h]

Religiøse oppfatninger av hvilket operativsystem man skal velge fører sjelden til noe godt. Denne siste artikkeldelen tar for seg sikkerhetshull, case-studier og oppsummering.

Les mer

[Torbjørn]

Det virker som om artikkelforfatteren ikke har tenkt nøye igjennom sine betraktninger rundt OS og Applikasjoner i en noe lang men lite original artikkel.

 

Et eksempel:

 

Et praktisk eksempel er et tilfelle der man gjennomfører en sikkerhetsoppdatering av PHP på en eller annen Linux-distribusjon som benyttes som webserver og etter fullendt "patching" merker at funksjonalitet har forsvunnet fra visse nettsider.

 

Hva i all verden har f.eks patching av PHP å gjøre med Linux? PHP kjører på på et utall webservere som igjen kan kjøre på et utall operativsystemer.

 

Vil ikke en tilsvarende endring av PHP på samme måte affektere en php applikasjon på webserver X som kjører på windows?

 

EDIT: Sånn rent bortsett fra at Microsoft aldri er der for deg og patcher PHP for deg, på samme måte som din *nix community gir deg en patch.

Endret 22. november 2005 av Torbjørn

[Torbjørn]

Her er et utsagn jeg ikke kjente meg igjen i.

 

Ulempen med Linux og sikkerhetspatching er at man må vite hva man gjør, pløye mange ganger gjennom dokumentasjon og bruke tid for å få ting til å fungere.

 

Finnes det gode Linux-alternativer der ting bare fungerer? Svaret kan ligge i såkalt Enterprise Linux.

 

Å installere en pakke på linux, og alle aspekter rundt dette, er da langt enklere på linux enn på windows? (da linux distroer med et pakkesystem selvsagt)

 

Pakkebehandling er ikke noe som er knyttet til Enterprisesegmentet av linuxdistroer, det fantes lenge før distroer tok "Enterprise" i navnet sitt. Jeg må nesten stille spørsmål til artikkelforfatterens praktiske kjennskap og erfaring med linux.

[tZar]

Syns det blir litt for enkelt å liste opp fordeler og ulemper med de forskjellige systemene for å finne ut hva man skal velge.

 

Det som er viktig er sysadmins kunnskap til applikasjonene, og applikasjonenes mulighet til å løse oppgavene som er viktig for sysadmin

[Axentrix]

Sikkerhet: Sentral styring

Linux: 3

Windows: 5

 

Denne tok jeg ikke...

 

 

Ellers en grei fortsettelse, enig i de fleste utsagn..

 

Men ikke det med forskjellige versjon av libs (biblioteker), dette har jeg aldri i min 3 år lange linuxkariere vært borti at har trøbblet spesielt..

 

Og en liten ting: Det nevnes DEBIAN under disse biblioteksproblemene, det må være den MINST trøblete distroen sånn sett. Debian er så konservativ, med kun super-ur-mega-stable pakker i pakkesystemet

[stigfjel]

Og en liten ting: Det nevnes DEBIAN under disse biblioteksproblemene, det må være den MINST trøblete distroen sånn sett. Debian er så konservativ, med kun super-ur-mega-stable pakker i pakkesystemet

5191673[/snapback]

Problemet med Debian er at pakkene gjerne blir FOR gamle. F.eks så droppet www.distrowatch.com Debian og gikk over til FreeBSD.

[arokh]

Her er et utsagn jeg ikke kjente meg igjen i.

 

Ulempen med Linux og sikkerhetspatching er at man må vite hva man gjør, pløye mange ganger gjennom dokumentasjon og bruke tid for å få ting til å fungere.

 

Finnes det gode Linux-alternativer der ting bare fungerer? Svaret kan ligge i såkalt Enterprise Linux.

 

Å installere en pakke på linux, og alle aspekter rundt dette, er da langt enklere på linux enn på windows? (da linux distroer med et pakkesystem selvsagt)

 

Pakkebehandling er ikke noe som er knyttet til Enterprisesegmentet av linuxdistroer, det fantes lenge før distroer tok "Enterprise" i navnet sitt. Jeg må nesten stille spørsmål til artikkelforfatterens praktiske kjennskap og erfaring med linux.

5190923[/snapback]

 

Må si meg enig i at sikre oppdateringer er forbeholdt enterprise-distribusjoner. Ellers er det vel kun Debian som har en slik policy at man kan stole på at sikkerhets-oppgraderingene ikke vil få applikasjonen din til å gå i lufta.

[langsjoen]

Det er få som teller sikkerhetsfeil på en fornuftig måte.

De fleste sikkerhetsfeil i Linux-distroene er i brukerprogrammer. Ofte i brukerprogrammer som *ikke* kjører på en server. F.eks. IM-programmet gaim har hatt en masse feil. Hvor mange kjører gaim på en server?

 

Man kommer frem til helt andre tall hvis man sammenligner tilsvarende funkjonalitet som Windows 2003 server har. Men samtidig vil man trolig komme frem til mer realistiske tall hvis man tar med alle programmene man normalt trenger på den aktuelle serveren.

 

En Linux-distribusjon tilsvarer Microsoft Windows, Office, SQL Server, Exchange, og mye mye mer.

 

-martin

[Kahuna]

Leste om en artig test for noen år siden...

 

To team av sysadminer satt opp hver sin server som kjørte et visst antall tjenester og "herdet" dem så godt de kunne. Den ene var en windows maskin( NT40 tror jeg, som sagt en stund siden) og den andre en *NIX boks(husker ikke hvilken variant lenger).

 

Så lot den en gruppe hackere prøve å komme seg inn på serverne over nettverket. De fikk 14 dager på seg men klarte ikke å komme seg inn på noen.

 

Peonget er at det spilller mye større rolle hva slags kompetanse du har tilgang til enn hva slags OS du bruker.

[olefiver]

A few gripes:

På standard Linux-distribusjoner som eksempelvis Fedora, Gentoo og Debian kan dette være et stort problem ettersom man gjerne ligger i forkant rent teknisk med siste skrik i versjonsnummere.

Ja det er pirk, men en kan bare ikke sammenlikne Fedora, Gentoo og Debian på den måten. Dertil handler artikkelen om Linux eller Windows på serveren, dermed er det bare banalt, i min mening, å dra frem eventuelle problemer ved generelle/desktop distroer.

Bare idioter bruker konsekvent "siste skrik" på serveren, viss så vil serveren snart skrike sitt siste før den klapper sammen

 

I 2003/2004 gjorde Microsoft seg spesielt bemerket ved å gå i spissen for å ikke publisere sikkerhetshull o.l. på BugTraq før leverandøren hadde fikset disse. Selv om selskapet fikk gjennomslag for mange av sine meninger og kanskje får en liten "grace"-periode, hjelper det likevel ikke dersom "patchen" legges ut alt for sent.

Jeg er klar over at denne artikkel serien er en enkel "kickstart" for folk som vil undersøke fordelene/ulempene ved å migrere til Linux eller Windows, men jeg syns overnevnte sistat vektlegges altfor lite. Slik jeg ser det er ikke dette en liten sak, og selv om MS ikke har den policien nå lenger vil jeg si at dette var en stor og stygg strek i MS' bug behandlings historie.

BTW, mener at i følge EULA blir bugmeldinger om Windows automagisk blir MS ekslusive eiendom, og du som bugmelder har *ingen* rettigheter. Betyr dette at hvis du offentliggjør en bugmelding som ikke har blitt løst innen akseptabel tid så kan MS saksøke deg for å ha offentliggjør bedrifts"hemmeligheter"?

 

I forbindelse med arkitekturen bak operativsystemet har både Windows og Linux sine klare ulemper.

Kan vi få en begrunnelse på denne påstanden? Det står overhodet ingenting om ulempene ved Linux' arkitektur i artikkelen (som jeg har sett). Mulig dette ble omtalt i tidligere artikkeler, men det kan jeg ikke huske. Rettelser, og begrunnelser , mottas med takk.

 

--

 

Må si meg enig i at sikre oppdateringer er forbeholdt enterprise-distribusjoner. Ellers er det vel kun Debian som har en slik policy at man kan stole på at sikkerhets-oppgraderingene ikke vil få applikasjonen din til å gå i lufta.

5191970[/snapback]

Slik du uttrykker deg her kan en tro at *kun* enterpriseLinux og debian kan stoles på når en installerer sikkerhets oppdateringer. Det er rett og slett feil. Artikkelen sier at for å få sikkerhetspatcher til å installeres skikkelig må en pløye mange ganger gjennom dokumentasjon og bruke tid for å få ting til å fungere.. Jeg har aldri trengt dette for å legge inn sikkerhetspatcher på noen av mine GNU/Linux maskiner.

Forskjellen er at enterprise versjoner eksplisitt garanterer at oppdateringene går glatt. Dette kommer ikke godt fram i artikkelen.

 

@Axentrix: jeg vil tippe at artikkelforfatter tenker på Debian Sid, eller kanskje Etch, eller til og med backporting inn i Sarge.

 

@langsjoen: Et godt poeng.

 

@Torbjørn: Godt poeng her også (PHP)

Endret 22. november 2005 av olefiver

[G]

Håper Linux utviklingsmiljøet kan satse ennå mer for å høyne brukervennligheten.

[arokh]

Det er få som teller sikkerhetsfeil på en fornuftig måte.

De fleste sikkerhetsfeil i Linux-distroene er i brukerprogrammer. Ofte i brukerprogrammer som *ikke* kjører på en server. F.eks. IM-programmet gaim har hatt en masse feil. Hvor mange kjører gaim på en server?

 

Man kommer frem til helt andre tall hvis man sammenligner tilsvarende funkjonalitet som Windows 2003 server har. Men samtidig vil man trolig komme frem til mer realistiske tall hvis man tar med alle programmene man normalt trenger på den aktuelle serveren.

 

En Linux-distribusjon tilsvarer Microsoft Windows, Office, SQL Server, Exchange, og mye mye mer.

 

-martin

5192223[/snapback]

 

Usikker på hva du vil fram til her. Alle skikkelige sikkerhets-oppdateringer har forskjellige nivå, selv "brukerprogrammer" kan ha feil som kan gi en vanlig bruker root privilegier.

 

Se på en standard RHEL/SLES minimal installasjon, er en del overflødige program som installeres som man ikke nødvendigvis har kontroll på.

 

Kort og godt, holde en distribusjon up-to-date er ikke dumt.

[DarkSlayer]

Er det bare meg, eller er artikklene egentlig litt ... dårlige? Jeg har ikke fått noen gode grunner til det ene eller det andre her, og det vil vel neppe komme. Føler det er bare en forsiktig oppramsing av en masse påstander uten å tråkke noen på tærne.

 

Det er jo ikke alltid man har mulighet for å velge en server, lager man web-apps i vb.net, så er vel kanskje ikke linux det beste alternativet. Kan hende DB er MS-SQL...

 

Så har du kompetanse. Du setter ikke folk med lite kunnskap på linux til å eksperiementere med linux når du har noe så kritisk som en butikk kjørende på blikkboksen. Og siden du ikke kan sparke folk sånn helt uten videre, så blir jo kompetanse og investering i kompetanse en sterk føring.

 

Ansettelse av folk "som kan noe" er jo ikke det enkleste heller. Høyskoleutdannelse, eller mange sertifiseringer innen driftområdet skriker ikke akuratt kvalitet.

 

Totalkostnad finnes det jo heller ikke noe fasitsvar på. For det kommer igjen på om du har kompetente folk, eller må anskaffe ekstern hjelp. Om du må bytte flere system (system henger ofte sammen på en måte lissom). osv ...

 

Sikkerhetsdiskusjonen er skikkelig .... tåpelig. Aldri hatt så sikker og stabil windows ever ... sinnsykt bra. Aner ikke hva folk skriker om. Hackere har jo problem med å henge med virker det som. Hull tettes, og de som evt er åpne krever kompetanse til å utnytte ... på nivå med Sony (enda en grunn til å piratkopiere musikk - unngå dritt på maskinen, trodde aldri eg skulle få det argumentet i fanget).

 

Nei, artikkelen er vel godt ment ... men den er for mitt vedkommende totalt meningsløs. Den gir meg ikke akkuratt noe bedre svar enn å si "elle melle"... hvis du har den lexusen.

[Terrasque]

Føler det er bare en forsiktig oppramsing av en masse påstander uten å tråkke noen på tærne.

5194324[/snapback]

 

Enig i alt du skriver, men det var spesielt den linjen jeg kjente meg igjen i. Har tenkt akkurat det samme hver gang jeg leser disse artiklene.

 

Syns artikkelforfatteren har gjort et slett arbeid, og bare gulpet opp litt fra andre plasser uten å ha gjort noe særlig selv. Videre, de tingenene artikkelforfatteren har skrevet selv virker veldig dårlig begrunnet. Ta for eksempel den fine rekken med tall i artikkelen. Hva betyr egentlig de forskjellige linjene? Hvordan fant artikkelforfatteren fram til tallene? Han sier han fikk tallene fra denne og tidligere artikler, men de jeg har lest er sidevis med breking, og svært lite ull. Uten mer informasjon er tallene .. tja, bare en liste med tall, og ingenting mer.

 

Videre:

På standard Linux-distribusjoner som eksempelvis Fedora, Gentoo og Debian kan dette være et stort problem ettersom man gjerne ligger i forkant rent teknisk med siste skrik i versjonsnummere.

Å se debian i den listen fikk meg nesten til å le. Debian (stable), som er berømt/beryktet for å låse versjonsnummerene i flere år, og backporte alle sikkerhetspatcher til gamle versjoner heller enn å oppgradere? Eller mente han Debian Sid, også kjent som Debian Unstable? Men det er snakk om servere her, og sid like mye i listen å gjøre som longhorn beta.

 

 

Videre, "Juridisk garanti/beskyttelse" .. Har artikkelforfatteren noen konkrete, real-life hendelser å vise til? Microsoft sier mye rart om dette emnet, men jeg har enda til gode å se noen eksempler fra virkeligheten på dette. Også, Microsoft fraskriver seg mer eller mindre ethvert ansvar for programvaren i EULA'en.

[langsjoen]

Usikker på hva du vil fram til her. Alle skikkelige sikkerhets-oppdateringer har forskjellige nivå, selv "brukerprogrammer" kan ha feil som kan gi en vanlig bruker root privilegier.

 

Se på en standard RHEL/SLES minimal installasjon, er en del overflødige program som installeres som man ikke nødvendigvis har kontroll på.

 

Kort og godt, holde en distribusjon up-to-date er ikke dumt.

5193742[/snapback]

 

Tingen er at man må sammenligne *ALLE* programmene installert på en windows-maskin og på en linux-maskin. IKKE bare OSet på Windows og full pakke på Linux.

Når man installerer en tekstbasert RedHat-server får man ikke så mye ekstra med så lenge man velger minimum install. Men man får med de programmene man trenger pluss litt til. Med windows får man kun OSet og legger da inn resten senere. Da er det viktig at man også regner med alle programmene man installerer etterpå.

 

-martin

[Wishborn]

Sikkerhet: Sentral styring

Linux: 3

Windows: 5

 

joda etter å ha driftet servere over noen år så kan jeg med en gang fastslå at denne artikelen er skrevet av en person uten så alt for mye kunnskap om OS, programmer og strukturer i noen av de to.

 

Tydelig litt forvirret av alt han leser om andres meninger om hva de liker og de objektive fakta som ligger bak.

 

Til en her som kommenterte at debian var urgammelt, så vil jeg anbefale experimental, om han vil ha noe som fungerer; unstable eller om han skal drifte noe; stable. Dog er dette ferdige distribusjoner, og her roter artikelen mye mellom distribusjoner og hva som er sikkert og ikke med linux.

 

Men av alle de firma og problemer jeg har sett. Det er ett tøft firma med mye overtid som skal ha mulighet til å sette opp en produksjons server på windows platformen.

Som de minst alvorlige og mest komiske kan jeg med glede huske på canal digitals kabeltv med asp sine errormeldinger ( ja jeg vet at det finnes php til windows, men disse er det mer krøll en å bare velge program oppdateringen til windows), og for ikke å snakke om TT i Trondheim.

[arokh]

Tingen er at man må sammenligne *ALLE* programmene installert på en windows-maskin og på en linux-maskin. IKKE bare OSet på Windows og full pakke på Linux.

Når man installerer en tekstbasert RedHat-server får man ikke så mye ekstra med så lenge man velger minimum install. Men man får med de programmene man trenger pluss litt til. Med windows får man kun OSet og legger da inn resten senere. Da er det viktig at man også regner med alle programmene man installerer etterpå.

 

-martin

 

På en minimal RHEL4 installasjon får man bluez, alsa-lib og gamin som det første jeg legger merke til.

 

Men uansett, vet fortsatt ikke helt hva du ville fram til.

[msulland]

Eh, hvordan kan du gi karakterer til windows på disse to:

 

Sikkerhet: Kildekode

Sikkerhet: OS-arkitektur

 

Du veit jo ikke hvordan windows er bygget opp. Sist jeg så satt MS ganske hardt på koden sin og delte ikke ut den type info. Uansett hva de sier, så har VI NULL oversikt over Kildekode og OS-arkitekturen til Windows.

 

Riktig karaktert burde vært ? . For ingen har peil på hva som er inni, eller hvordan det er bygget opp.

[stigfjel]

Akkurat. Og for alt jeg vet, kan det være det værste kodesammensurium i Windows. Det er nok mer enn ett programmeringsspråk som er brukt i Windows.

[berland]

Akkurat. Og for alt jeg vet, kan det være det værste kodesammensurium i Windows. Det er nok mer enn ett programmeringsspråk som er brukt i Windows.

5211580[/snapback]

 

Et eksempel er doc-formatet, Microsoft Norge var med i en debatt på NTNU for vel ett år siden og ble grillet litt for hvorfor doc-formatet ikke kunne offentliggjøres. Noe av svaret var at de gjorde verden en tjeneste ved å ikke publisere formatet (med et smil etterpå som ikke kunne tolkes som noe annet enn "fordi den er så grisete").