Distro pour un proxy

Distro pour un proxy - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 23-01-2007 à 10:07:56    

Salut,
 
J'hésite entre Debian, Fedora et Ubuntu pour mon proxy Squid, pas d'interface graphique.
Laquelle me conseillez-vous, et pourquoi (si possible).
 
Machine : bi-xéon 500 MHZ / 3 HDD SCSI / 1024 MO RAM.
 
Merci

Reply

Marsh Posté le 23-01-2007 à 10:07:56   

Reply

Marsh Posté le 23-01-2007 à 10:10:40    

Perso je te conseillerai debian..en install minimum...
Mais en fait tu t'en fiche un peu, toute te permettront de faire tourner squid donc...
++


Message édité par boobaka le 23-01-2007 à 10:11:00
Reply

Marsh Posté le 23-01-2007 à 10:21:59    

Les 3 distrib te permettront de faire ce que tu veux. La seule différence à prendre en compte c'est le temps de suivi niveau mises à jour de sécurité.
Par exple si tu installes Ubuntu 6.06 LTS Alternate, t'as 5 ans de mises à jour de sécurité assurées (enfin un peu moins de 5 ans maintenant, 4 ans et demi).
Debian pareil, ils assurent pendant longtemps les maj de sécu. En revanche fedora c'est plus incertain (se tourner vers CentOS dans ce cas).


Message édité par leto le 23-01-2007 à 10:22:08

---------------
--
Reply

Marsh Posté le 23-01-2007 à 10:27:11    

C'est justement ce genre d'arguments sur les mise-a-jours, ou sur le fait que l'install de base soit plus ou moins "clean" / sécurisée etc... qui m'intéressent, sinon je sais que je px faire tourner squid sur n'importe laquelle des 3 !

Reply

Marsh Posté le 23-01-2007 à 10:30:29    

Slackware sinon, en install mini sans interface graphique :D


---------------
Wedge#2487 @HS -#- PW: +∞ -#- Khaz-Modan/Boltiz @WoW
Reply

Marsh Posté le 23-01-2007 à 10:32:40    

Ca fait pas partie de mes 3 choix ! :D

Reply

Marsh Posté le 23-01-2007 à 10:35:23    

Et alors, c'est plus "à jour" que Debian, moins restrictif que Fedora et beaucoup moins "toy" qu'Ubuntu ... parfait pour un serveur quoi :o


---------------
Wedge#2487 @HS -#- PW: +∞ -#- Khaz-Modan/Boltiz @WoW
Reply

Marsh Posté le 23-01-2007 à 10:36:38    

PS: Ubuntu n'a rien de "toy" si tu installes à partir du CD Alternate.


Message édité par leto le 23-01-2007 à 10:37:39

---------------
--
Reply

Marsh Posté le 23-01-2007 à 10:38:39    

Plus a jour cad ?
Je la vx surtout stable et sécurisé, pour le noyau j'envisage de compiler eventuellement le dernier si il le faut et pour squid pareil avec la derniere version stable.
 
Que vx tu dire par plus a jour et moins restrictif ?

Reply

Marsh Posté le 23-01-2007 à 10:42:12    

Plus à jour: ben si tu veux du stable chez Debian, t'as des versions de softs qui datent d'il y a 5 ans ... :o

 

Moins restrictif: chez Fedora, ils sont tenus par une "licence" interne qui leur interdit d'intégrer le moindre bout de code non GPL, donc adieu ndiswrapper par exemple (très utile en cas de carte resal non supporté par un driver libre)

 

Slack est très stable, bien sécurisée et très réputée dans le domaine des serveurs. Elle dispose d'outils simples sans fioritures, bref c'est du bonheur :) (si tu veux prendre contact avec la communauté slack francophone: www.slackfr.org )

Message cité 1 fois
Message édité par wedgeant le 23-01-2007 à 10:42:49

---------------
Wedge#2487 @HS -#- PW: +∞ -#- Khaz-Modan/Boltiz @WoW
Reply

Marsh Posté le 23-01-2007 à 10:42:12   

Reply

Marsh Posté le 23-01-2007 à 10:42:20    

C'est son avis.
En ce qui concerne les distribution, il existe une regle:
- NE DEMANDE PAS LAQUELLE UTILISER
Chacun a ses preferences et va te conseiller en fonction (en quelques minutes sur ce topic t'as déjà eu 3 propositions: ubuntu, debian et slack. Nul doute que des amateurs de CentOS, Gentoo, Suse, Mandriva, *BSD, Solaris, etc etc ne tarderont pas à arriver). La seule solution c'est soit de faire toi meme ton choix, soit de prendre au hasard :D


Message édité par leto le 23-01-2007 à 10:44:30

---------------
--
Reply

Marsh Posté le 23-01-2007 à 10:50:33    

Je demande pas quelle distro je dois utiliser, mais un conseil. Un conseil suivi d'arguments. Parmis les 3 que j'ai ds un 1er tps retenues figurent celles que je connais (et surtout le systeme de gestion de paquets a savoir apt et yum). Justement ca m'interresse de connaitre les preferences de chacun du moment que ca px m'aider a faire mon choix.
 
Je sais meme pas si je dois utiliser un noyau 2.4 ou un 2.6 (et lequel), une idée ?

Reply

Marsh Posté le 23-01-2007 à 10:57:28    

Inutile de recompiler un noyau, utilise celui fourni par la distribution de ton choix. J'imagine que t'as pas envie de recompiler le noyau à chaque faille de sécurité corrigée, donc je te conseille d'utiliser le noyau fourni par ta distrib.
Et donc ça sera un 2.6, sauf si tu choisis une debian stable (qui propose soit un 2.4 soit un 2.6).
 
Je réitère ce que j'ai dit. Toutes les distrib sont adaptées à ce que tu veux faire, et elles diffèrent juste par la durée du suivi de sécurité.
C'est le seul argument objectif que tu peux avoir.

Reply

Marsh Posté le 23-01-2007 à 10:59:43    

slack propose aussi 2.4 ou 2.6 ;)


---------------
Wedge#2487 @HS -#- PW: +∞ -#- Khaz-Modan/Boltiz @WoW
Reply

Marsh Posté le 23-01-2007 à 11:02:20    

Un noyau recompilé avec juste ce qu'il faut c'est pas mieux qd meme ?
Deja rien que le tps de boot de gagné c'est sympa ! ;)
 
2.4 ou 2.6 lequel choisir ? Avec du SCSI est ce que je vais etre emmerdé a l'install ?

Message cité 1 fois
Message édité par bluesboy le 23-01-2007 à 11:05:44
Reply

Marsh Posté le 23-01-2007 à 11:06:51    

bluesboy a écrit :

Un noyau recompilé avec juste ce qu'il faut c'est pas mieux qd meme ?
Deja rien que le tps de boot de gagné c'est sympa ! ;)
 
2.4 ou 2.6 lequel choisir ? Avec du SCSI est ce que je vais etre emmerdé a l'install ?


ça sers a rien, un vrai serveur ne reboote pas tous les  4 matins :o  

Reply

Marsh Posté le 23-01-2007 à 11:08:51    

Oui mais ca démontre le fait que le noyau est plus optimisé non ? C'est sur que sinon je suis pas a 15 secondes pres pour le tps de boot

Reply

Marsh Posté le 23-01-2007 à 11:09:49    

memaster a écrit :

ça sers a rien, un vrai serveur ne reboote pas tous les  4 matins :o


 
bin, un win2003 server si ... :o
ah ok, on parlait de vrai serveur, désolé  [:anathema]


---------------
Wedge#2487 @HS -#- PW: +∞ -#- Khaz-Modan/Boltiz @WoW
Reply

Marsh Posté le 23-01-2007 à 11:11:15    

wedgeant a écrit :

bin, un win2003 server si ... :o
ah ok, on parlait de vrai serveur, désolé  [:anathema]


Pas de pourrissage de topic SVP  :o

Reply

Marsh Posté le 23-01-2007 à 11:15:44    

bluesboy a écrit :

Oui mais ca démontre le fait que le noyau est plus optimisé non ? C'est sur que sinon je suis pas a 15 secondes pres pour le tps de boot


 
La différence entre un noyau compilé et un noyau de base ne vaut pas le coup.
Je me repète :
- Fais ton choix toi même niveau distrib, utilise le noyau livré avec (celui qui possède des MAJ de sécu auto)
 
Et pour squid, à la limite pareil (utiliser celui supporté par la distrib). Sauf si tu as besoin de fonctionnalités non assurées par la version fournie.

Reply

Marsh Posté le 23-01-2007 à 11:22:55    

leto a écrit :

La différence entre un noyau compilé et un noyau de base ne vaut pas le coup.
Je me repète :
- Fais ton choix toi même niveau distrib, utilise le noyau livré avec (celui qui possède des MAJ de sécu auto)
 
Et pour squid, à la limite pareil (utiliser celui supporté par la distrib). Sauf si tu as besoin de fonctionnalités non assurées par la version fournie.


sur une de mes passerelle j'ai mis une fedora avec une MAJ auto des kernel, il suffit de rebooter
pour profiter du nouveau kernel inscrit dans yum.

Reply

Marsh Posté le 23-01-2007 à 11:24:54    

j'ai cru lire que squid n'était generalement pas compilé avec l'option SNMP par exemple, d'ou le besoin de le recompiler. La plupart des documentations et tutoriels squid conseillent aussi la compilation.
 
Pour le noyau je pense m'orienter vers le 2.6 de la distribution.
 
Et pour le SCSI est-ce chiant ?

Reply

Marsh Posté le 23-01-2007 à 11:25:52    

C'est le cas sur toutes les distributions.
 
Après le problème avec Fedora c'est : pendant combien de temps t'auras les MAJ de sécu ?
La réponse à cette question peut disqualifier Fedora pour un serveur. (En tout cas moi je n'ai pas envie de réinstaller un serveur tous les 6 ou 12 mois).

Reply

Marsh Posté le 23-01-2007 à 11:27:07    

bluesboy a écrit :

j'ai cru lire que squid n'était generalement pas compilé avec l'option SNMP par exemple, d'ou le besoin de le recompiler. La plupart des documentations et tutoriels squid conseillent aussi la compilation.
 
Pour le noyau je pense m'orienter vers le 2.6 de la distribution.
 
Et pour le SCSI est-ce chiant ?


 
Ca dépend de ton controleur SCSI.
Etant donné que tu parles d'un  bi xeon 500Mhz, ça doit etre du matériel assez vieux. Donc a mon avis tu n'auras pas de problèmes.
Si tu donnais le nom de ton controleur SCSI, on pourrait t'en dire plus (google t'en dirait aussi bcp plus). La solution la plus simple reste de tester.

Reply

Marsh Posté le 23-01-2007 à 11:27:37    

leto a écrit :

C'est le cas sur toutes les distributions.
 
Après le problème avec Fedora c'est : pendant combien de temps t'auras les MAJ de sécu ?
La réponse à cette question peut disqualifier Fedora pour un serveur. (En tout cas moi je n'ai pas envie de réinstaller un serveur tous les 6 ou 12 mois).


ça fait maintenant 1an et demi que ma FC4 est MAJ regulierement ave le demon yum,
mais c'est une bonne question : dans la durée...
sinon faire une MAJ de FC4 vers FC5 tous les 12mois c'est pas la mort non plus ;)

Reply

Marsh Posté le 23-01-2007 à 11:31:03    

C'est pas la mort sur un poste de travail, mais sur un serveur je prefère éviter. Si t'as 100 utilisateurs derrière qui vont t'appeler si le proxy fonctionne plus, tu preferes éviter aussi.
Et maintenant que le projet Fedora Legacy (qui assurait le suivi de sécu des fedora un peu anciennes) est stoppé, le problème se pose encore plus.

Reply

Marsh Posté le 23-01-2007 à 11:32:19    

leto a écrit :

C'est pas la mort sur un poste de travail, mais sur un serveur je prefère éviter. Si t'as 100 utilisateurs derrière qui vont t'appeler si le proxy fonctionne plus, tu preferes éviter aussi.
Et maintenant que le projet Fedora Legacy (qui assurait le suivi de sécu des fedora un peu anciennes) est stoppé, le problème se pose encore plus.


il faut toujours avoir 2 serveurs :o en cas de panne ou de MAJ d'un des 2

Reply

Marsh Posté le 23-01-2007 à 11:33:23    

bluesboy a écrit :

j'ai cru lire que squid n'était generalement pas compilé avec l'option SNMP par exemple, d'ou le besoin de le recompiler.


 
A vérifier avant de se lancer aveuglément dans la compilation.
Ne pas perdre de vue que les mises à jour de sécurité seront à *ta* charge si tu compiles. Avec les éventuels problèmes de changement de version que ça implique.


---------------
--
Reply

Marsh Posté le 23-01-2007 à 11:40:58    

Bon finalement les mecs vont sortir en direct sur le net, allé hop ...
 
Non je plaisante mais bon, j'hésite tjrs autant que tout a l'heure! :'(
 

Reply

Marsh Posté le 23-01-2007 à 11:41:56    

T'as pas un dé ? Ou une pièce de monnaie ?
Sinon prend la version de linux que tu connais le mieux, ou que la personne qui sera chargé de l'administrer connait le mieux.

Reply

Marsh Posté le 23-01-2007 à 11:47:29    

Code :
  1. case $(echo $((`echo ${RANDOM}` % 7)))
  2.     0) echo "debian" ;;
  3.     1) echo "slackware" ;;
  4.     2) echo "mandriva" ;;
  5.     3) echo "ubuntu" ;;
  6.     4) echo "gentoo" ;;
  7.     5) echo "freeBSD" ;;
  8.     6) echo "openBSD" ;;
  9. esac

Message cité 1 fois
Message édité par wedgeant le 23-01-2007 à 11:48:00

---------------
Wedge#2487 @HS -#- PW: +∞ -#- Khaz-Modan/Boltiz @WoW
Reply

Marsh Posté le 23-01-2007 à 11:49:10    

C'est debian que je connais le mieux, je voulais faire l'install en mode expert pour le serveur, ca vaut le coup ?

Reply

Marsh Posté le 23-01-2007 à 11:49:48    

wedgeant a écrit :

Code :
  1. case $(echo $((`echo ${RANDOM}` % 7)))
  2.     0) echo "debian" ;;
  3.     1) echo "slackware" ;;
  4.     2) echo "mandriva" ;;
  5.     3) echo "ubuntu" ;;
  6.     4) echo "gentoo" ;;
  7.     5) echo "freeBSD" ;;
  8.     6) echo "openBSD" ;;
  9. esac



 
 
 :lol:  :lol:

Reply

Marsh Posté le 23-01-2007 à 16:00:12    

wedgeant a écrit :

Plus à jour: ben si tu veux du stable chez Debian, t'as des versions de softs qui datent d'il y a 5 ans ... :o


Décidément, ce troll-là a une fourrure particulièrement dure :D  
 
Les versions des logiciels dans stable peuvent dater de 3 mois à 2 ans en moyenne, en fonction de quand est sortie la dernière stable par rapport au moment où tu l'installes. Enfin dernière version de soft != pas à jour au niveau de la sécu ; dès qu'une faille est découverte et fixée, l'équipe de sécurité Debian rétroporte les correctifs pour stable à partir des dernières versions en date.
 
Franchement, sur une machine de type serveur ou station de travail, ça sert à quoi d'avoir les toutes dernières versions tous les 5 jours ? Le but pour ces environnements est de passer plus de temps à bosser (production) que de temps à suivre la dernière version alpha-bidule du logiciel truc et il faut avant tout des outils rock-solid point barre.  :o  
 
 
 
 
> bluesboy :
 
iso netinstall de Debian stable (toujours Sarge pour l'instant) + installation des paquets qui vont bien.
 
 
La compilation du noyau est inutile dans ton cas, ça n'apportera aucune différence si c'est juste pour les perfs que tu veux effectuer cette opération ;en plus tu vas devoir te taper un suivi des maj des sources du noyau et te charger de régulièrement le recompiler pour qu'il soit à jour.
Pour bien faire les choses, lance l'installation avec la commande linux26 (noyau 2.6.x installé au lieu du 2.4.x par défaut), puis ensuite installe une version de noyau précompilé par Debian optimisé pour ton architecture. Pour un bi-processeur de type Pentium/Pro/II/III/4, le paquet adapté est celui nommé : kernel-image-2.6-686-smp
 
De même, pour tout autre logiciel évite la compilation à moins de n'avoir pas d'autre choix si tu ne veux pas avoir un suivi particulier à faire dessus ; en fait la compilation n'est utile qu'au cas où il n'y aurait pas une fonctionnalité absolument nécessaire, autrement ça n'apporte pas grand chose.
 
 
Toutefois, s'il était tout de même nécessaire de recompiler Squid (je ne sais pas si le mainteneur Debian le compile avec l'option SNMP), pour te simplifier les opérations de maintenance regarde du côté de apt-build.
 
Après avoir ajouté les dépôts sources de Debian (les lignes commençant par deb-src dans le sources.list), tu peux installer le paquet apt-build et t'en servir pour maintenir tes propres versions packagées de logiciels. Ça permet de gérer facilement les dépendances par rapport au logiciel que tu veux re-packager et surtout c'est plus propre que la compilation source traditionnelle (apt-build utilise son propre dépôt, ce qui est avantageux pour le suivi des paquets installés lorsqu'on veux les mettre à jour ou les supprimer par la suite).
 
 ;)


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
Reply

Marsh Posté le 23-01-2007 à 16:35:16    

THRAK a écrit :

Décidément, ce troll-là a une fourrure particulièrement dure :D  
 
Les versions des logiciels dans stable peuvent dater de 3 mois à 2 ans en moyenne, en fonction de quand est sortie la dernière stable par rapport au moment où tu l'installes. Enfin dernière version de soft != pas à jour au niveau de la sécu ; dès qu'une faille est découverte et fixée, l'équipe de sécurité Debian rétroporte les correctifs pour stable à partir des dernières versions en date.
 
Franchement, sur une machine de type serveur ou station de travail, ça sert à quoi d'avoir les toutes dernières versions tous les 5 jours ? Le but pour ces environnements est de passer plus de temps à bosser (production) que de temps à suivre la dernière version alpha-bidule du logiciel truc et il faut avant tout des outils rock-solid point barre.  :o  
 
 
 
 
> bluesboy :
 
iso netinstall de Debian stable (toujours Sarge pour l'instant) + installation des paquets qui vont bien.
 
 
La compilation du noyau est inutile dans ton cas, ça n'apportera aucune différence si c'est juste pour les perfs que tu veux effectuer cette opération ;en plus tu vas devoir te taper un suivi des maj des sources du noyau et te charger de régulièrement le recompiler pour qu'il soit à jour.
Pour bien faire les choses, lance l'installation avec la commande linux26 (noyau 2.6.x installé au lieu du 2.4.x par défaut), puis ensuite installe une version de noyau précompilé par Debian optimisé pour ton architecture. Pour un bi-processeur de type Pentium/Pro/II/III/4, le paquet adapté est celui nommé : kernel-image-2.6-686-smp
 
De même, pour tout autre logiciel évite la compilation à moins de n'avoir pas d'autre choix si tu ne veux pas avoir un suivi particulier à faire dessus ; en fait la compilation n'est utile qu'au cas où il n'y aurait pas une fonctionnalité absolument nécessaire, autrement ça n'apporte pas grand chose.
 
 
Toutefois, s'il était tout de même nécessaire de recompiler Squid (je ne sais pas si le mainteneur Debian le compile avec l'option SNMP), pour te simplifier les opérations de maintenance regarde du côté de apt-build.
 
Après avoir ajouté les dépôts sources de Debian (les lignes commençant par deb-src dans le sources.list), tu peux installer le paquet apt-build et t'en servir pour maintenir tes propres versions packagées de logiciels. Ça permet de gérer facilement les dépendances par rapport au logiciel que tu veux re-packager et surtout c'est plus propre que la compilation source traditionnelle (apt-build utilise son propre dépôt, ce qui est avantageux pour le suivi des paquets installés lorsqu'on veux les mettre à jour ou les supprimer par la suite).
 
 ;)


 
Merci pour ce post très instructif :)  :hello:  

Reply

Marsh Posté le 23-01-2007 à 16:47:31    

prends une debian etch, j'ai installé la version actuelle sur des serveurs qui supportent beaucoup de charge, aucun souci et tu n'as aucun probleme de detection matérielle

Reply

Marsh Posté le 23-01-2007 à 16:55:47    

les MAJ de securité marchent aussi pour ETCH ( = testing ?) ?

Reply

Marsh Posté le 23-01-2007 à 17:34:52    

elle sort bientot (enfin normalement) donc autant prendre de l'avance

Reply

Marsh Posté le 23-01-2007 à 17:36:31    

Et de toute facon, il me semble que le suivi de sécurité est assuré pour la debian testing.
Avant ce n'était assuré que pour unstable (sid) et stable. Ca a changé il y'a peu je crois.

Reply

Marsh Posté le 23-01-2007 à 19:39:58    

leto a écrit :

Et de toute facon, il me semble que le suivi de sécurité est assuré pour la debian testing.
Avant ce n'était assuré que pour unstable (sid) et stable. Ca a changé il y'a peu je crois.


Il n'y a jamais eu d'équipe pour le suivi de sécurité dans unstable ; comme les versions changent rapidement un suivi est une tâche coûteuse en temps. Sinon c'est vrai qu'il y a une équipe de sécurité officielle depuis peu pour testing, mais contrairement à stable qui bénéficie d'un suivi de la sécurité complet (avec une équipe supplémentaire chargé de l'audit), celui de testing n'est que partiel.
 
Toutes les infos sur la sécurité :
   ---> http://www.debian.org/security/
 
 
Si tu es pressé et que tu ne peux plus attendre 1 ou 2 mois, tu peux toujours installer Etch dès maintenant, elle fonctionnera normalement sans problème mais tu dois tout de même noter que si elle n'est pas passé en stable c'est qu'il y a une bonne raison (il reste une centaine de bugs marqué "critiques" et une version de l'installateur devrait encore sortir en RC2 avant la sortie finale).


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed