Qual distro usar nos Servidores de Produção?
Bem vou dar umas pinceladas no que acho que diferencia a escolha de uma distribuição linux quando se deseja configurar um Servidor de Produção.
Vamos pensar em alguns pontos:
1) Em primeiro lugar deve-se levar em consideração o Tempo de Suporte da Distro que tu tá instalando, pois em um ambiente de produção não dá para reinstalar o servidor sempre que uma nova versão é lançada.
Então tu deve pensar durante quanto tempo haverá as atualizações de segurança para a versão que tu instalou, mesmo depois que a distro já trocou de versão.
Foi ciente disto que a Canonical lançou a versão atual do Ubuntu (6.06 LTS) com suporte a atualizações por 6 anos.
2) Pense nos pacotes que a distro coloca no Sistema Operacional. Não se atire em distros que utilizam a última versão do Kernel, dos Gerenciadores de Janelas, do servidor X e dos pacotes básicos do Sistema, pois, normalmente versões muito novas dos pacotes contém correções para Bugs antigos, mas trazem consigo uma série de bugs ainda não descobertos mas que estão lá .. com certeza!!
Portanto é preferivel utilizar pacotes mais antigos, mas que já tem todas as falhas de segurança mapeadas e corrigidas pelos patchs de atualização.
É importante entender a diferença entre nova versão de pacotes e atualizações de segurança de versões antigas: Novas versões sempre corrigem os problemas de versões antigas mas trazem novos e atualizações somente corrigem falhas de programação e não implemtam novas features. Sendo assim utilize pacotes já bem testados …
3) Não utilize em Servidores Distros que existem a pouco tempo … não cabe em um servidor de produção uma distro que está na versão 1.0alpha, e que pode desaparecer na versão
1.0beta. Utilize estas distros em ambientes de testes para simples estudo ou servidores de teste.
4) Procure utilizar distribuições que sejam mantidas por uma grande comunidade bem ativa e organizada ou por alguma empresa. Não use uma distro que foi lançada por um grupo de programadores de uma cidadezinha do meio de uma ilha da oceania e que pode desaparecer no mês seguinte porque o chefe do projeto resolveu criar ovelhas e largar a informática (é so um exemplo…).
5) Procure utilizar a versão Enterprise ou “Premium” da Distro, caso haja, pois com certeza na sua formulação e planejamento houve um maior cuidado com aspectos como segurança, estabilidade e escalabilidade do que a versão mais “pop”.
Normalmente existe uma camada de proteção a mais no kernel e as atualizações de segurança são lançadas em espaço de tempo mais curto de tempo, além é claro do suporte ser por um período mais estendido.
6) Pense nos aplicativos que irão rodar sob o Sistem Operacional, pois em muitos casos o fabricante do Aplicativo homologa algumas distros para rodar seu software e só lhe dará suporte, caso tenha problemas, se ele estiver rodando sob o sistema homologado, exemplos são o Banco Oracle, ERPS e programas de BI. Este cuidade deve ser tomado com o Hardware, também, pois muitos fabricantes fazem a mesma distinção: HP é um exemplo.
Para firewall e servidores de Borda eu recomendario o Adamantix, por exemplo.
7) Por último, procure uma distro que lhe permita uma certa facilidade de Administração, tais como o gerenciamento de pacotes, atualização e configuração. Não tá com nada ter que fazer tudo na unha. isto é bom quando se administra até 1/2 duzia de servidores, agora quando este número pode chegar facilmente a casa do 30, 40, 50, a coisa se torna inviável.
Bom é isso, procurei não ser parcial, nem indicar Distros (fora o adamantix) mas com base nestas dicas vocês podem imaginar as distros que eu uso nos servidores 
Abraços
Textos do Blog Blogmind sao licenciados sobre a Creative Commons Atribuição-Uso Não-Comercial-Compartilhamento pela mesma Licença 2.5 Brasil License.
Parte do Trabalho de Leandro Godoy - www.opencode.com.br.
Out 22nd 2006
Olá,
Uma pergunta : no item 2 você recomenda (sabiamente, por sinal) não se atirar em distros que utilizam as últimas versões de softwares, pois as últimas versões geralmente possuem bugs ainda não descobertos e você não quer ser o primeiro a encontrá-los em um ambiente de produção.
No item 3 você também recomenda (outra vez, sabiamente) evitar distribuições muito novas. Acrescento que um dos motivos para isso é que você ainda não consegue ter certeza nenhuma sobre a longevidade de uma distribuição que acabou de ser lançada pelo zezinho da esquina. Você a adota em produção e o zezinho se chatea, abandonando o projeto, e você se vê em maus lençois.
E, para finalizar, no item 4, você recomenda utilizar uma distribuição com uma grande comunidade por trás (novamente, sabiamente) ou bancada por uma grande empresa. Novamente, a preocupação na longevidade da distribuição é o ponto chave.
Dito isto, porque exatamente você cita o Adamantix como uma versão recomendada para firewalls ou servidoes de borda ?
Em http://www.adamantix.org/, mas especificamente na seção de nome “Security updates”, podemos ler que o projeto Adamantix obtém seus patches e atualizações de segurança de outras distribuições, como o Debian. Porém, no mesmo parágrafo dizem que, para alguns softwares, eles utilizam sempre as versões mais atuais dos softwares, e citam como exemplo o kernel Linux e o OpenSSH. Isso não iria contra s sua recomendação de evitar distribuições que usam as versões mais atuais dos softwares ?
Você também cita no item 3 sobre evitar versões com números de versão muito baixos (cita explicitamente 1.0alpha e 1.0beta). No site do Adamantix, é citado que a versão atual do Adamantix é a versão 1.0.4. Não se trataria isso de uma indicação de algo relativamente novo ?
E, para finalizar, o item 4, sobre uma grande empresa ou uma grande comunidade por trás, não creio que o Adamantix se encaixe nesse perfil, não possuíndo nem uma grande comunidade por trás como o Debian, o Fedora ou o Ubuntu e nem mesmo sendo bancado por uma grande empresa.
Sendo assim, poderia elucidar a idéia da indicação do Adamantix, sendo que tal indicação me parece casar quase que perfeitamente com a descrição das características que você recomenda evitar ?
Out 22nd 2006
so uma correcao , na frase “Foi ciente disto que a Canonical lançou a versão atual do Ubuntu (6.06 LTS) com suporte a atualizações por 6 anos.”
Creio que voce quis dizer 05 anos para a versao Servidor. (ou tambem dizer 03 anos seestivesse se referindo a versao Desktop )
Out 23rd 2006
Olá André …
Muito obrigado pela leitura e pelos comentários.
Vamos a resposta:
Na verdade o Adamatix se originou em 2002 como um fork do Debian que teria seu foco voltado para a Segurança. Portanto, assim como o Debian, o tempo de vida da distribuição não reflete em seu número de versão. E, assim como o Debian, uma nova versão só é lançada depois de muitos testes e análise do grupo de desenvolvedores que embora pequeno é muito ativo e os membros são especialistas em segurança.
Quanto ao uso de versões novas, na verdade o Adamatix utiliza a última versão stable do kernel, mas o kernel do Adamantix não é o padrão, pois nele é aplicado uma série de patchs de segurança, como controles MAC (mandactory access control), RSBAC, Pax e GRsecurity. Quanto ao OpenSSH não vejo problemas de usar a ultima versão, o Debian Sarge usa a versão 3.8 que tem bem mais bugs que versão 4.2 que o SLES 10 usa (vide cvs.mitre.org).
Além disso tu pode utilizar todos os pacotes do Debian (Stable ou não) no Adamantix … até mesmo Ubuntu (embora não recomende) e isto significa uma grande escalabilidade para a Distro.
Pense no Adamatix como sendo um Debian Blindado … é claro que tu pode fazer com o kernel do Debian e demais pacotes tudo que faz no Adamantix ( tem até um script para isto no site deles) mas daria muito mais trabalho.
Espero ter esclarecido…
Out 23rd 2006
Muito bem!
Eu acho que um server como um firewall/gateway, mailserver e um webserver sao de facto os que tenho por software ja bem testado e retestado.
Agora quando se trata de algo interno e bem complicado ter de rodar software velho. Ha funcionalidades que desejo que foram postas hoje. Ai eu ariscava-me a por software novo.
Atencao nao menospreso os cuidados todos citados.
Mais uma coisa; Pode-se escrever em Portugues? Nao e por causa dos acentos… Veja-se por exemplo (ha mais ainda):
-Em primeiro lugar deve-se levar em consideração o Tempo de Suporte da Distro que tu tá instalando(…)
Deveria ser:
Em primeiro lugar deve-se levar em consideração o Tempo de Suporte da Distro que tu estas instalando(…)
O sujeito tem que combinar com o verbo na pessoa e no numero. Pessoas que lidam com informatica costuma exigir sintaxe corecta.
Out 23rd 2006
Olá Orvalho ….
Valeu pelo comentário.
Vou tomar cuidado, ao escrever os posts, com o nosso boa e velha lingua.
Vou procurar não comenter tantos erros, embora serão quase inevitáveis.
Abraços
Out 23rd 2006
Legal as dicas. Agora um negócio que chateia é que sempre tem um pentelho metido a “Prof. Pasquale” de plantão para ficar corrigindo erros gramaticais em artigos… Putz, tem um formulário logo acima onde pode-se entrar em contato com o autor e sugerir esse tipo de coisa, ao invés de ficar dando uma de “bonzão” para os outros verem. O pior é fazer a correção de forma um tanto grosseira e cometer alguns pequenos delitos gramaticais da mesma forma: “Pessoas que lidam com informatica costuma exigir sintaxe corecta”
Out 23rd 2006
parabens pelo artigo, muito bom, utilizo debian e vou dar uma olhada nesse adamantix.
Out 23rd 2006
Muito bom o artigo, utilizo o Slackware para meus servidores, em alguns pontos ele se encaixa, em outros nem tanto, gostei mesmo do artigo.
Out 23rd 2006
Olá Leandro,
Obrigado por responder os meus comentários. Vamos lá : sobre o Adamantix, apesar de não acompanhar de perto o projeto, eu o conheço faz algum tempo. Lembro da época em que o projeto foi iniciado e ocorreu toda a discussão devido ao nome que havia sido escolhido pelo projeto : Trusted Debian.
Algumas pessoas não gostaram do nome e diziam que o fato de ter existir uma distribuição de nome Trusted Debian poderia indicar que o Debian original não fosse confiável (trusted). Depois de muita discussão, o nome do projeto foi mudado e não vi mais o pessoal que o iniciou frequentando as listas de discussão do Debian.
Você mesmo diz que o grupo de desenvolvedores, apesar de ser bastante ativo, é um grupo pequeno. Esse é um dos pontos que me causou estranheza, visto que você citou em seu post original que uma das recomendações seria usar distribuições que tivessem uma grande comunidade ou uma grande empresa por trás.
Quanto ao kernel mais novo, apesar de ser o componente mais central do sistema e, como tal, o mais importante, consigo compreender a necessidade de alguns grupos em utilizar versões diferenciadas, para incluir patches trazendo melhorias como as voltadas à área de segurança, como é o do Adamantix.
Porém, pessoalmente (gosto pessoal, portanto, não é algo que deva ser levado em conta), creio que somente o fato desses patches não estarem integrados oficialmente à árvore oficial do kernel, ou seja, não estarem no kernel do kernel.org, já é umbom motivo para pensar duas vezes antes de utilizá-los em um ambiente de produção (este é o assunto do post, não é ?). Se os desenvolvedores do kernel ainda não os incluíram no kernel oficial é porque ainda acham que não estão prontos para o uso geral e quem sou eu para ir contra a opinião deles.
Seu exemplo do OpenSSH, por exemplo, não é tão válido assim. É lógico que versões mais novas de softwares geralmente possuem mais correções de bugs do que versões mais antigas de uma forma geral, mas, no caso de falhas de segurança, por exemplo, ter versões mais antigas de softwares devidamente patcheadas para correção das falhas as vezes é mais confiável do que ter a última versão disponível, visto que, como você mesmo citou, versões novas de softwares trazem novos bugs.
E, logicamente, dentre esses novos bugs, uma parte dos mesmos podem ser novas vulnerabilidades, visto que existe código novo implementado funcionalidades novas. No caso de versões mais antigas, geralmente as mesmas existem há mais tempo, são mais bem testadas, possuem uma quantidade menor de funcionalidades e, consequentemente, menor probabilidade de possuir falhas de segurança desconhecidas.
No pior caso, em versões antigas existem bugs conhecidos com os quais estamos acostumados e com os quais aprendemos a conviver, ao passo que versões novas são um mundo novo, ainda inexplorado e com possibilidades de possuir armadilhas perigosas.
Ah ! E só para deixar claro, é lógico que você sabe disso, mas nunca é demais frisar para que os demais leitores lendo os comentários tenham isso em mente : as versões antigdas de softwares existentes no Debian “stable” recebem constantamente atualizações de segurança.
Provavelmente seja minha predilação em ir direto a fonte ao invés de utilizar atalhos e, devido a isso, é algo difícil para mim entender os motivos de utilização de distribuições derivadas em ambientes de produção quando se tem a possibilidade de uso da distribuição base original, no caso, o Debian.
Obrigado por responder minhas perguntas e espero que possamos trocar idéias futuramente sobre esses e outros assuntos. Um último detalhe : me corrija se estiver errado, mas você parece ser um entusiasta do Debian. Se for o caso, deixo aqui o convite para visitar meu blog, onde geralmente escrevo sobre esse universo.
Ficaria contente em receber sua visita e, quem sabe, poder ler seus comentários sobre meus posts caso esteja inclinado a fornecê-los.
Out 24th 2006
Olá André …
Este assunto está dando pano para manga, mas vamos lá.
Primeiramente quero dizer que antes mesmo do convite seu blog já constava na minha lista de RSS. Eu sempre visito as páginas e blogs de quem deixa um comentário nos meus sites (este e a OpenCode) e quero dizer que seu blog está de parabéns.
Falta apenas escrever alguma coisa sobre você no “about”,
Pode ter certeza que irei ler seus posts e dar meus comentarios, vez ou outra.
Quero salientar somente mais um detalhe que você tocou e que acho muito importante:
Atualmente os desenvolvedores do kernel não mantém mais (na árvore 2.6) uma versão “stable” deixando a cargo das distribuições esta tarefa, portanto o kernel baixado dos fontes no site kernel.org é por definição dos desenvolvedores “instavel” e “experimental”.
Se você utilizar um kernel da árvore de Andrew Morton (a famosa árvore -mm) aí o bicho pega e é mais experimetal ainda, pois é onde normalmente os patchs entram antes de irem para a árvore oficial.
Portanto, embora tenha certeza que o desenvolvedores do Debian façam um ótimo trabalho com o “kernel do Debian”, acredito que o kernel padrão é muito suscetivel a ataques de overflow e foi ciente disso que a RedHat usa o SELinux e a Suse o AppArmor (alias eu prefiro o AppArmor ao SELinux).
Sendo assim acho que o “kernel do Adamatix” é mais seguro que o utilizado no Debian, não só pelos controles acessórios, mas também por ter menos preocupação de compatibilidade com uma série de hardwares que vão desde cameras fotográficas até celular bluetooth, que recebem suporte do kernel do Debian.
Enfim … acho que é por aí, mas esta é minha opinião e não necessariamente precisa refletir a verdade absoluta.
Abraços …
Obs:> Apesar de normalmente navegar com o Safari resolvi testar o Firefox 2.0 em homenagem ao lançamento e ao Projeto.