# [producción] Gentoo en serio?

## Solusan

Muy buenas,

Trabajando (y divirtiéndome) con la gentoo, se me ha planteado una duda que seguro que no es la primera vez que se plantea en el foro.

Antes de poner este post, he buscado por las palabras claves 'producción', 'gentoo en producción', 'gentoo en serio', pero no he encontrado resultados.

La pregunta es, imaginemos que el jefe necesita que una máquina envie un mailing (no spam), de 2 millones de usuarios, de ello depende (por poner un ejemplo), 2 millones de .

Nos podemos fiar de una gentoo?

O dicho de otra manera sin tener que hacer tanta retórica, es tan robusta como una debian sarge?

Hay ejemplos de gentoo en producción?

Como hacemos para que se nos actualicen los fallos de seguridad .... de forma segura, sin que se abran otros.

Por favor, que no se me mal interprete, sólo son preguntas.

Gracias.

----------

## Ferdy

 *Solusan wrote:*   

> La pregunta es, imaginemos que el jefe necesita que una máquina envie un mailing (no spam), de 2 millones de usuarios, de ello depende (por poner un ejemplo), 2 millones de .
> 
> Nos podemos fiar de una gentoo?

 

Yo me preguntaría si te puedes fiar del que va a administrar ese servidor de correo.

 *Soulsan wrote:*   

> O dicho de otra manera sin tener que hacer tanta retórica, es tan robusta como una debian sarge?

 

¿ Como de robusta es una sarge ? Sofware viejo != software estable

 *Soulsan wrote:*   

> Hay ejemplos de gentoo en producción?

 

Muchos. Para empezar nuestros propios servidores de infraestructura.

 *Soulsan wrote:*   

> Como hacemos para que se nos actualicen los fallos de seguridad .... de forma segura, sin que se abran otros.

 

¿ Cómo haces eso en una debian sarge ?

Saludos.Ferdy

----------

## DDrDark

yo creo q..hoy en dia, cualquier linux bien configurado, es lo suficientemente robusto para lo que te propongas. sobre los ejemplos pues no se ninguno, pero seria cuestion de googlear

----------

## gringo

dos palabras 

Gentoo hardened -> http://www.gentoo.org/proj/en/hardened/

Es la alternativa que ofrece Gentoo para servidores.

saluetes  :Wink: 

----------

## Solusan

Ferdy,

No se si te lo has tomado como algo personal  :Smile: 

Yo sólo comparaba con debian para tener un punto de referencia, hombre  :Smile: 

De todas maneras parece que gentoo hardened parece que documenta como crear una gentoo estable.

Rspecto a esto: 

Sofware viejo != software estable

Estoy deacuerdo contigo, pero soft viejo también es garantía de soft testado.

Un ejemplo, estaba yo instalando gentoo, y derrepente emerge -e system no funcionaba (la instalación de gentoo, imagínate), tube que googlear buscando y tube que poner un parámetro en las FEATURES del /etc/make.conf, luego tampoco funcionó del todo, luego quté el parámetro y luego ya si funcionó....

Claro esto da que pensar, pero esto lo digo sin ningún tipo de acritud, eh? 

 :Wink: 

----------

## gringo

 *Quote:*   

> De todas maneras parece que gentoo hardened parece que documenta como crear una gentoo estable. 

 

 *Hardened Gentoo-Projects Goals wrote:*   

> Hardened Gentoo's purpose is to make Gentoo viable for high security, high stability production server environments. 

 

saluetes  :Wink: 

----------

## kamikaze04

Sobre este mismo tema...

No he encontrado ningun howto ni handbook en donde se explique como pasar de una version "normal" de gentoo a una version "hardened"...

Supongo que hay 3 puntos a tratar: 

- el nuevo kernel, que si que supongo que me lo puedo bajar y aplicar sobre mi servidor

- Los nuevos archivos...que supongo que habra que compilar con alguna use estilo "hardened" o algo asi

- Tema del gcc actual, que tendria que compilarlo tb con esa nueva USE

Voy encaminado?

Saludos

----------

## gringo

 *Quote:*   

> No he encontrado ningun howto ni handbook en donde se explique como pasar de una version "normal" de gentoo a una version "hardened"... 

 

me dá que acabas antes bajándote un stage hardened y empezando desde cero ...

El quid de la cuestión estará en el toolchain ( binutils, cabeceras, glibc y compilador), deberás compilar todo esto con un compilador hardened, para despues recompilar todo lo que tengas instalao ... ni idea de si es viable o no,  pero por lo menos tiene pinta de provocar un bonito dolor de cabeza  :Wink: 

saluetes

----------

## 0kupa

wenas,

 *Quote:*   

> Sofware viejo != software estable

 

si hablamos de una debian woody, es mas vieja q la sarge por eso mismo, pq esta mas provada y por lo tanto mas estable, otra cosa es q sea incompatible con hardware nuevo, y q tengan vulnerabilidades nuevas, pr sera mas estable q usar versiones betas q es lo q ocurre en sarge

en Gentoo utilizamos versiones viejas, hasta q no se hacen los test, pruevas, etc.. queda como ~, por eso tardamos mas en tener las versiones mas actuales de los programas

 *Quote:*   

> yo creo q..hoy en dia, cualquier linux bien configurado, es lo suficientemente robusto para lo que te propongas. sobre los ejemplos pues no se ninguno, pero seria cuestion de googlear

 

yo opino lo mismo, pero lo mas importante es el administrador segun como lo haya configurado y los programas q haya usado para la seguridad, siempre q no salga una fuerte vulnerabilidad, pr mas q las q tienen los servidores windows.. jeje

saludoss  :Wink: 

----------

## LinuxBlues

 *Solusan wrote:*   

> 
> 
> O dicho de otra manera sin tener que hacer tanta retórica, es tan robusta como una debian sarge?
> 
> 

 

Disculpa mi mensaje, pero realmente es inútil (por no mencionar otra palabra), comparar distribuciones, o preguntar ¿esta distribución es mejor o peor que la otra para un servidor en producción?

Nada, absolutamente nada, depende de la distribución; todo, absolutamente todo, depende de su administrador.

¿Conoces debian de principio a fin? Usa debian. ¿Tienes lagunas con gentoo? No uses gentoo. Así de simple.

Yo, en mi caso, administro dos servidores en producción... Conozco RedHat desde hace años, y usan RHE... El motivo: no me van a tener horas configurándolos, como gentoo, en dos horas están listos y cuando digo dos horas quizá me refiera a menos tiempo, paga la empresa y obtienen los resultados que esperan... ¿Para qué esforzarme en dejar una gentoo configurada perfectamente de principio a fin?

Esta última pregunta pretende insistir en eso que decía, un servidor JAMÁS depende de la distribución, únicamente depende de su administrador... Así de simple.

----------

## LinuxBlues

 :Very Happy: 

Esto de poder usar apodos en lugar de nombres reales es maravilloso...

 :Laughing: 

----------

## Solusan

 *LinuxBlues wrote:*   

>  *Solusan wrote:*   
> 
> O dicho de otra manera sin tener que hacer tanta retórica, es tan robusta como una debian sarge?
> 
>  
> ...

 

Lo que pasa es que yo no pretendìa comparar a las distros, sòlo hacìa referencia a lo que pasa, nada màs instalar una debian, o mejor aùn lo que pasa cuando por ejemplo instalas un OpenBSD, que de saque es bastante inexpugnable es decir, està claro que al instalar una distribuciòn lo importante es la administraciòn. 

Coincido contigo en que la instalaciòn de por ejemplo una RHE es gloria bendita (yo lo he hecho con SuSE en otras ocasiones). Instalas en un ratito y ya lo tienes chutando como tu dices y si tienes varios servidores y tienes una imagen creada con MONDO del primero, para llevar una regla.... pues ya es la leche!!   :Smile:  Es màs yo lo harìa asì. Pero al instalar la gentoo y encontrarme con un fallo en la _instalaciòn_ me entrò la sensaciòn de inestabilidad, y al existir sòlo dos ramas estable y testing, y haber leido los procesos que existen por ahì para pasar de testing a stable, mi duda era por ejemplo; por que nail en vez de mail (programa que desaparecerà de los ports, tengo entendido) y si, por ejemplo nail estarìa lo suficientemente testado y sin vulnerabilidades.

Es decir que la comparaciòn realmente era anecdòtica.

 :Smile: 

pd: en este paìs no tengo los acentos cerrados en el teclado... y no me acuerdo de los còdigos ascii, que le vamos a hacer  :Wink: 

----------

## Solusan

 *LinuxBlues wrote:*   

> 
> 
> Esto de poder usar apodos en lugar de nombres reales es maravilloso...
> 
> 

 

Si no fuera por que eres de Madrid, me parece que sabrìa quien eres XD

Pero va a ser que no  :Smile: 

----------

## rompetechos

Personalmente (y pese a que opino que gentoo es una grandisima distribución), para entornos de producción recomendaría otras con una política menos "agresiva" en la incorporación de nuevos paquetes. Cuando digo agresiva no pretendo un significado negativo, ya que esto es precisamente una de las características que hacen gento atractiva para mucha gente (el tener siempre el software a la última, con las últimas funcionalidades,etc).

Desde mi punto de vista (que es solo eso, una opinión). Prefiero software viejo. Ojo!!, entendiendo por software viejo, aquel paquete que no tiene bugs de seguridad conocidos, aún, y que cumple con los requisitos que yo necesito.

Por poner un ejemplo si yo corro un servidor postfix con la versión x, y me funciona bien, se comporta de forma estable,etc. y no se reporta ningun bug de seguridad... pues no se toca!!!

si es critico y funciona, acostumbrate a jugar lo menos posible con el...

un saludo

----------

## focahclero

 *rompetechos wrote:*   

> Desde mi punto de vista (que es solo eso, una opinión). Prefiero software viejo. Ojo!!, entendiendo por software viejo, aquel paquete que no tiene bugs de seguridad conocidos, aún, y que cumple con los requisitos que yo necesito.
> 
> Por poner un ejemplo si yo corro un servidor postfix con la versión x, y me funciona bien, se comporta de forma estable,etc. y no se reporta ningun bug de seguridad... pues no se toca!!!

 

Mi opinión es bastante distinta  :Wink: ...

Y no sé por qué Gentoo se comporta de forma diferente a lo que dices, yo sigo el mismo prodecimiento que indicas: en mis servidores Gentoo en producción sólo (bueno, casi) actualizo el software cuando hay un GLSA al respecto.  Por tanto, si no hay problema de seguridad no actualizo (y si no actualizara y dejara el paquete "viejo/estable", pues tendría un agujero abierto para el que quisiera utilizarlo).

De hecho, lo que comentas (trabajar con versiones "viejas" a la vez que "estables") es un poco difícil de que ocurra,  por desgracia, en realidad: el día a día demuestra que no hay software que se libre de vulnerabilidades en cuanto a seguridad... por lo que difícilmente un paquete "viejo" será seguro (¡ojo! que no digo que no haya ninguno)

Por tanto, y desde mi punto de vista, esta característica que mencionas de Gentoo es otro de los mitos o leyendas urbanas en GNU/Linux: "Debian, por ejemplo, es estable y Gentoo es inestable".

Yo creo que no se puede generalizar a nivel de distro, y lo que sería totalmente correcto decir es que "determinada instalación de Debian es estable y determinada instalación de Gentoo es inestable", o al revés "determinada instalación de Debian es inestable y determinada instalación de Gentoo es estable", puesto que la seguridad no depende sólo de los paquetes sino también de la administración de los sistemas.

Saludos,

----------

## rompetechos

 *Quote:*   

> Yo creo que no se puede generalizar a nivel de distro, y lo que sería totalmente correcto decir es que "determinada instalación de Debian es estable y determinada instalación de Gentoo es inestable", o al revés "determinada instalación de Debian es inestable y determinada instalación de Gentoo es estable"

 

Efectivamente, se pueden conseguir diferentes grados de estabilidad en una misma distro. Pero tambien es innegable que determinadas distros, tienen un perfil más "orientable" a servidores que otras. 

Efectivamente con todas se puede hacer lo mismo, pero no habrá muchas Ubuntus, etc en entornos empresariales "críticos". 

Para mi gentoo es una maravillosa distribución (lástima no tener la misma soltura que tengo con otras con las que trabajo a diario), aunque mi opinión es que le falta aún algo de madurez para afrontar entornos críticos, y ojo!! con críticos no me refiero el servidor de mail de nuestra empresa (que efectivamente para nosotros es super-crítico  :Wink: ). Me refiero a entornos donde te piden una disponibilidad de los sistemas rallando el 100%, sitios que van más alla de un servidor de correo, sino que tienen servidores de aplicaciones (ej Weblogic, websphere..aplicaciones certificadas para muy poquitas plataformas), Oracle's etc, etc.... Aplicaciones donde es muy importante tener un soporte detras.

Gentoo tiene un futuro muy prometedor, y puede que llegue su momento de entrar en entornos empresariales críticos....el tiempo lo dira.

Un saludo a todos.

----------

## pcmaster

 *Solusan wrote:*   

> Muy buenas,
> 
> La pregunta es, imaginemos que el jefe necesita que una máquina envie un mailing (no spam), de 2 millones de usuarios, de ello depende (por poner un ejemplo), 2 millones de .
> 
> Nos podemos fiar de una gentoo?
> ...

 

¿Y por qué no te vas a fiar? ¿Qué tiene Debian sarge que no tenga Gentoo?

Mira mi servidorcito, hace unos minutos:

```

PentiumI ~ # uptime                                                            

 11:33:51 up 15 days, 21:04,  1 user,  load average: 0.30, 0.21, 0.13

PentiumI ~ # uname -a                                                          

Linux PentiumI 2.6.11-gentoo-r11 #1 Thu Jun 23 21:04:06 CEST 2005 i586 Pentium 75 - 200 GenuineIntel GNU/Linux

PentiumI ~ # cat /proc/cpuinfo                                                 

processor   : 0

vendor_id   : GenuineIntel

cpu family   : 5

model      : 2

model name   : Pentium 75 - 200

stepping   : 12

cpu MHz      : 120.010

fdiv_bug   : no

hlt_bug      : no

f00f_bug   : yes

coma_bug   : no

fpu      : yes

fpu_exception   : yes

cpuid level   : 1

wp      : yes

flags      : fpu vme de pse tsc msr mce cx8

bogomips   : 232.96

PentiumI ~ #                          
```

¿Te parece lo bastante fiable? Entre otras cosas, me hace de servidor de correo smtp (exim) y ejecuta cada minuto una tarea que vigila al router para saber cuándo se desconecta el ADSL y por cuánto tiempo.

----------

## focahclero

 *rompetechos wrote:*   

> Me refiero a entornos donde te piden una disponibilidad de los sistemas rallando el 100%, 

 Yo también  trabajo con sistemas de alta disponibilidad de IBM (HACMP sobre AIX) y no veo que puedan tener de mejor con respecto a los sistemas equivalentes sobre GNU/Linux (y por tanto Gentoo)

 *rompetechos wrote:*   

> sitios que van más alla de un servidor de correo, sino que tienen servidores de aplicaciones (ej Weblogic, websphere..aplicaciones certificadas para muy poquitas plataformas), Oracle's etc, etc.... Aplicaciones donde es muy importante tener un soporte detras.

 

Pero eso no es problema de Gentoo, si no del dinero  :Mr. Green:  El soporte y la certificación que dan determinadas compañías lo dan precisamente a aquellas otras que pagan (de alguna forma) por tener su logo como "plataforma certificada o soportada".

Y en el caso de GNU/Linux es más de risa: muchos productos/hardware dicen estar soportados en Red Hat, Suse, ... que curiosamente son distribuciones con ánimo de negocio (¡ojo! no digo que esto sea malo), y dicen no estar soportadas en otras, cuando lo que "hay detrás" de todas ellas es lo mismo: GNU/Linux.

Por ejemplo, IBM sólo soporta su plataforma Domino Notes en Red Hat y su versión de GNU/Linux... sin embargo funciona perfectamente en Gentoo.

No nos engañemos: si no está soportado no quiere decir que no funcione. Otra cosa totalmente comprensible es que no queramos quedarnos sin el respaldo de compañías que fabrican software privativo y que con la excusa de que "no está instalado en una plataforma soportada" se nieguen a prestar el servicio de soporte que deberían.

(Por cierto, rompetechos, el ejemplo que haces con Ubuntu no me parece muy esclarecedor: difícilmente una distribución orientada al escritorio podrá hacer un buen papel como servidor)

----------

## pacho2

 *pcmaster wrote:*   

>  *Solusan wrote:*   Muy buenas,
> 
> La pregunta es, imaginemos que el jefe necesita que una máquina envie un mailing (no spam), de 2 millones de usuarios, de ello depende (por poner un ejemplo), 2 millones de .
> 
> Nos podemos fiar de una gentoo?
> ...

 

Con linux es fácil conseguir estabilidad  :Smile: 

Yo tengo un Pentium Classic (133MHz) con Slackware 3.1 a la que nunca tengo que reiniciar, está encendida dependiendo del flujo de luz que reciba  :Very Happy: , sólo rebota cuando se corta la luz.

Yo he probado SuSE 8.1, 9.0, 9.1, 9.2; Mandrake 10.0, 10.1, 2005; Slackware 3.1, 7.1, 9.1 y Gentoo 2005.0 y ninguna me ha dado problemas de estabilidad.

Saludos

----------

## rompetechos

 *Quote:*   

> (Por cierto, rompetechos, el ejemplo que haces con Ubuntu no me parece muy esclarecedor: difícilmente una distribución orientada al escritorio podrá hacer un buen papel como servidor)

 

Era lo que pretendia   :Smile:  , Ubuntu sigue siendo Linux... pero como tu bien dices tiene un perfil diferente.

En cuanto a lo que comentas de otros Unisex com Aix, Solaris, etc. pues efectivamente en cuanto a funcionalidad aportan pocas cosas que se puedan considerar de valor frente a Debian, Gentoo....salvo el soporte!!. Quizas opines que no es necesario si tienes buenos administradores (esta claro que eso ayuda   :Very Happy:  ), pero yo que quieres que te diga, cuando tienes un problema "serio", con un servicio que se mueve en una sunfire15k, me alegro muy , muy mucho de poder descolgar el telefono y compartir mi angustia con otros nosecuantos pobres consultares de sun, oracle o lo que sea.

Quizas en se me malinterpreto un poco. En ningún caso he pretendido defender otras opciones frente a Gnu/Linux. Es más mi gran pena es trabajar con más máquinas solaris que Linux en el día a día. Gentoo es una maravillosa distribución... me encanta !!

nadie dice que gento no sea estupenda y que pueda desempeñar con exito tareas muy importantes y "criticas", seguramente sea así para el concepto de criticidad del 90% de nosotros. Simplemente aun queda trabajo por hacer,para completar ese 10% restante. Se esta trabajando, y creo que se esta haciendo en buena dirección.

Un saludo a todos

----------

## 0kupa

wenas,

he visto q el tema se pone interesante jeje

bueno como han dicho por ahi arriba, todas las distribuciones de linux tienen en comun el kernel (q es lo q hace q se llame linux) y a partir de el uno se va montando la distribucion, por lo q mandrake la monta con unos paketes (programas) y debian con otros (a elegir)

entonces los packetes-programas basicamente son los mismos para todas las distribuciones, salvo q para algunas distribuciones llevan alguna modificacion, o el tipo de instalacion *.rpm, *.dev etc..

entonces tendriamos q ir al corazon, y la pregunta seria.. ¿el kernel q usa Gentoo es mejor (seguro, estable..) q los demas kernels?

entonces asi si podriamos hacer comparaciones, pr ten encuenta q tb puedes usar el kernel q kieras, salvo ahora los 2.4.x jeje

tb recordar q el kernel de Gentoo no se basa en el oficial mas actual

y q viendo q los paketes son casi identicos, pues el 90% depende del administrador y que pregramas o como los haya instalado (mal/bien/como ha podido) ya q las distros especialmente para usarlas en servidor, ya lo han elegido previamente unos administradores/desarrolladores/profesionales bastante buenos y nosotros luego configuramos los programas, cosa q en Gentoo hemos de hacer nosotros las 2 cosas y lo q ello conlleva, q es saber mas sobre el sistema y elegir programas a tu gusto.. no tiene precio!

y q de todas las distros Linux, es una de las q mas se parece a las *BSD por el sistema portage, sumando las use flags

y los drivers, en las distros Linux se usan los mismos, y ya bastante esfuerzo estan haciendo algunos cuando eso lo tendrian q hacer las compañias 

saludoss  :Wink: 

----------

## YosWinK

Algunas puntualizaciones:

 *0kupa wrote:*   

> 
> 
> entonces los packetes-programas basicamente son los mismos para todas las distribuciones, salvo q para algunas distribuciones llevan alguna modificacion, o el tipo de instalacion *.rpm, *.dev etc..
> 
> 

 

A mí parecer, esto no es del todo verdad. ¿Por qué? Sencillo, no todas las distribuciones tienen las mismas versiones de cada aplicación. Si tu quieres instalar la última versión de X-programa que soluciona el problema de seguridad-Y, te vas a encontrar con que en muchas distribuciones ese paquete todavía no ha sido incluido en el repositorio oficial de paquetes, mientras que en otras sí. 

A mi entender, parece evidente que la gestión de los paquetes que realiza cada distribución es importante a la hora de la seguridad.

 *Quote:*   

> 
> 
> entonces tendriamos q ir al corazon, y la pregunta seria.. ¿el kernel q usa Gentoo es mejor (seguro, estable..) q los demas kernels?
> 
> 

 

En gentoo lo bueno es que siempre se puede elegir entre varias opciones. Cuando dices "el kernel que utiliza Gentoo" te refieres a las gentoo-sources, me imagino. Pero también están las hardened-sources, por ejemplo. Gentoo no utiliza ningún kernel por obligación, puedes elegir (como bien dices), cada tipo de instalación conlleva la elección de uno adecuado. Algo más de información sobre gentoo-sources:

 *Documentación oficial wrote:*   

> 
> 
> gentoo-sources es un kernel basado en Linux 2.6, con diversos parches incluidos para arreglar errores, problemas de seguridad, y para incrementar la compatibilidad con las arquitecturas menos comunes. Linux 2.6

 

 *Okupa wrote:*   

> 
> 
> entonces asi si podriamos hacer comparaciones, pr ten encuenta q tb puedes usar el kernel q kieras, salvo ahora los 2.4.x jeje
> 
> 

 

Esto no es verdad.  ¿Quién o qué te impide utilizar la serie 2.4 del kernel?

 *Okupa wrote:*   

> 
> 
> tb recordar q el kernel de Gentoo no se basa en el oficial mas actual
> 
> 

 

Esto tampoco es verdad. A día de hoy 08/09/2005:

Linux Kernel Archives: 

The latest stable version of the Linux kernel is: 2.6.13

The latest 2.4 version of the Linux kernel is: 2.4.31

Gentoo-cvs:

gentoo-sources-2.6.13.ebuild 1.4 	  2 days 	 eradicator 	 Added ~sparc. (Portage version: 2.0.51.22-r2)

gentoo-sources-2.4.31-r1.ebuild  1.1 	 7 weeks 	 plasmaroo 	 Bump to 2.4.31. (Portage version: 2.0.51.22-r1)

¿Parecen ser las mismas no?

 *Okupa wrote:*   

> 
> 
> y q viendo q los paketes son casi identicos, pues el 90% depende del administrador y que pregramas o como los haya instalado (mal/bien/como ha podido) ya q las distros especialmente para usarlas en servidor, ya lo han elegido previamente unos administradores/desarrolladores/profesionales bastante buenos y nosotros luego configuramos los programas, cosa q en Gentoo hemos de hacer nosotros las 2 cosas y lo q ello conlleva, q es saber mas sobre el sistema y elegir programas a tu gusto.. no tiene precio!
> 
> 

 

Aquí ya estamos más de acuerdo  :Wink: 

----------

## MaROtO

Pues el caso es que esa pregunta ya la hice yo de otra manera hara unos cuantos meses...y bueno...al final, pues opte por gastar una sles9. Vamos una distro que para mis necesidades me venia al pelo, por ser extremadamente facil de usar sin entrar en temas raros, es decir, siguiendo su guion. Ademas, de cara al cliente final, tanto el hard y la distro estaban "certificados", asi como el soft, que es oracle, por imperativo del cliente.

Aun asi, lo cierto es que en alguno de los subforos en ingles lei que alguien habia gastado oracle con gentoo, y que no tuvo ningun problema...

Vamos, que es algo que me queda pendiente de probar...ya que al fin y al cabo, una gentoo la puedes dejar con el minimo necesario, sin nada mas que no vayas a usar, y que pueda traerte problemas...

----------

