Která distribuce je "nejlepší"? Odpověď neexistuje, každému může vyhovovat něco jiného. Ke vhodné volbě se ale dá dopracovat. Většina všeobecných distribucí je použitelná a dá se s nimi dojít k týmž cílům, kterými může být třeba dobře nainstalovaný, nakonfigurovaný a dostatečně bezpečný počítač s Linuxem. Nepřehledné množství distribucí vypadá jako hrozný problém, ve skutečnosti je právě toto výhoda - dává vám svobodu rozhodnout se sám podle toho, která nejlépe vyhovuje vám, ne nějakému hodnému strýčkovi. Software je v převážné většině úplně stejný. 1. Nejlepší je ta distribuce, které dokonale porozumíte a u které budete přesně vědět, kde co najdete - hlavně v případech, že máte nějaký opravdový problém. 2. Je neocenitelné, pokud je ve vaší blízkosti někdo, kdo už nějakou distribuci zvládl nebo aspoň trochu zná. Pomůže vám v začátcích, řekne kde hledat dobrou dokumentaci a co si přečíst za knížku. Ale zorientovat se stejně budete muset sami. 3. Chcete-li si udržet pořádek i po několika desítkách instalování a odinstalovávání, volte balíčkovanou distribuci. Programy se distribují po balíčcích s krátkým popisem, se seznamem závislostí apod. Nejoblíbenější systémy balíčkování jsou deb a rpm. 4. Můžete vyzkoušet postupně si nainstalovat všechny a rozhodnout se později. Dáte tak ovšem víc na první dojem než na zkušenosti po delším provozu. 5. Bezpečnost: Pokud se jedna o bezpecnostni patch a panuje shoda o jeho reseni (trivialnim), je zaplata a nasledne i balicky pro distribuce pomerne brzo k dispozici (a ve srovnatelnem case). Pokud vznikne nejaky bezpecnostni problem, nebyvaji postizeny *vsechny* distribuce. Jednak proto, ze obsahuji ruzne verze daneho programu a jednak proto, ze jejich balicky jsou ruzne patchovane a ruzne prekladane (nektere problemy se projevi treba prelozenim programu s volbou XY nebo patchem Z). Dobry admin si po zjisteni chyby udela sam provizorni bezpecnostni opatreni (napr. vyrazeni dotycne sluzby z public pristupu, dodatecne firewallove pravidla, sledovani logu, omezeni pristupu luseru ke stroji atp.). Dobry admin neaplikuje zaplaty bezhlave, ale s rozmyslem, protoze neni vetsi zabava, nez 3x v rychlem sledu "opravit" problem a zavlect si do systemu dalsich 10 chyb (rozbiju si i drive funkcni podsystemy). Zadna velka distribuce si nedovoli ignorovat bezpecnostni problemy. IMHO je remote exploit zavaznejsi, nez potencialni problem u user-space programu, ktery je sice neprijemny, ale vhodnym chovanim (napr. ze na server luserove nesmeji) se stava "naprosto" bezvyznamnyn. BTW: pokud byste chtel posoudit bezpecnostni hledisko na ruznych distribucich, je rychlost vydavani updatu minoritni, protoze dulezitejsi bude peclivost provedeni distribuce, interni audit distribuce (tj. fixy potencionalnich problemu uz pred jejich vznikem) a tim kvalita jejich bezpecnostnich expertu. K tomu byste potreboval o dost sirsi znalost problematiky a musel byste se podrobne venovat kazdemu jednotlivemu problemu. Chci tim take naznacit, ze aplikace ruznych patchu (do jadra nebo do aplikaci) muze byt ve svem dusledku kontraproduktivni - napr. falesny pocit bezpeci, system slitne kvuli pitome chybe v superbezpecnostnim patchu na memoryleak nebo DoS, bezpecnostni opatreni se da nejak obejit (napr. nonexec stack patch), admin je ignorant atd. [MK] > P.P.S: ten GnuPG byl jenom priklad, protoze zrovna vylez, kdyz si se > ptal :-) RH meli update po 9 dnech, SuSE mela update po 3 dnech (na ftp.suse.cz ale update neni), Mandrake po 1 dni (od vyjiti GnuPG 1.0.6). Pokud si nekdo da praci srovnat vsechny updaty, muze to byt zajimavy prehled. Hodnoceni ale (jak se zde uz pretrasalo) bude slozitejsi (napr. kolik zaplat na zaplaty, rozlisit chyby distribuce a puvodnich aplikaci, rozclenit podle zavaznosti apod). Zrovna tohle je sice security, ale podle (mych) dostupnych informaci je exploit spise teoreticky a nedosahnete jim vyssich prav (tj. lze mozna zfalsovat kontrolu dig. podpisu, ale neni to ani primy root ani remote exploit, takze informovany admin muze riziko odstranit vhodnym chovanim). Naproti tomu napriklad jadro 2.2.19 (ptrace root exploit) zverejnil Mandrake a Red Hat 17.4, SuSE pak az 17.5.2001 (prestoze 2.2.19 vysla uz 25.3.2001 a obsahovala opravu exploitu, ktery byl na serveru SecurityFocus zverejnen 31.3.2001). Zde bylo videt (minimum skoro 3 tydny!), ze se nikomu nechtelo do noveho jadra bez dukladneho testovani (2.2.18 byla diky zmenam ve VM dost nepouzitelna). Vysledkem je, ze napriklad v updatech od RH je ted jadro 2.2.19, ktere ma na sobe dalsich 75 patchu (skoro 8 MB) a v ostatnich distribucich to bude asi velmi podobne. Pravdepodobne se tedy dosahlo toho, ze nyni maji (temer vsichni) na svych strojich velmi stabilni jadro (za cenu jisteho zpozdeni). Ja sam jsem daval 2.2.19 hned 1.4, kdyz jsem si o exploitu precetl a jiste to udelal i kazdy jiny rozumny admin (radeji jsem riskoval nestabilitu s vedomim vsech dusledku, ktere sly ale na moje triko), ale to se uz o principu opakuju... [MK] 6. Strategie distribucí: Je jen na volbe uzivatele, zda zvoli jednu ze zakladnich strategii prislusne distribuce (protoze mu vyhovuje a je pro nej prioritni), napr: - zavadime nove technologie jako prvni (Red Hat) - mame skvely soukromy nastroj pro spravu systemu, ktery nikdo jiny nema (SuSE) - poskytujeme vsemozne patche primo v distribuci (Mandrake, SuSE) - nedame do jadra nic, o cem vime, ze (muze) obsahovat chyby (Red Hat) - mame nejvetsi mozne mnozstvi baliku (Debian) - ladime distribuci do umoru (Debian) - vydavame casto nove verze (SuSE) - poskytujeme komercni podporu (SuSE, Red Hat, Mandrake) - jsme nekomercni (Debian) ...atd. Samozrejme - nektere vyse zminene pohledy (nazory) mohou byt ciste me osobni (a ostatni mohou mit jine). Chtel jsem jen ukazat, v cem rozdil je a co (muze) byt pro nekoho dulezite (a samozrejme pro jineho to dulezite treba neni). [MK] -- Výčet nejrozšířenějších distribucí - bez pořadí: 1. Red Hat - buďto komerční (asi 1500 Kč) nebo volná, základ je stejný, v komerční verzi jsou některé programy navíc. Nejrozšířenější distribuce - největší uživatelská základna. Minimální velikost: 150 MiB. 2. Debian - pouze programy s GNU nebo podobnou licencí. Velmi rozšířená. 3. SuSE - ve verzi 7.1 9 disků se softwarem včetně komerčního, navíc částečně počeštěný kancelářský balík StarOffice, asi 2400 Kč. Komfortní instalace i správa, usnadnění začátečníkům. Též volná verze s menším rozsahem (viz Red Hat). 4. Mandrake - odvozená z RedHatu, instalace podobná MS Windows. 5. Corel - odvozená z Debianu, grafická instalace, usnadnění začátečníkům. http://www.samuel.cz/~corel_linux/ http://www.penguin.cz/~snek/clanky/Corel_Linux/CorelLinux.html 6. Slackware - jedna z nejstarších, bez komfortu; základní heslo: "Co není, dodělejte si sami." 7. Kromě toho existují speciální distribuce vhodné např. k provozu routeru bootovaného z 1 diskety. Široce rozšířené distribuce jsou k dostání v počítačových knihkupectvích, na internetových službách typu "vypal CD", členové CZLUGu dostávají jednu zvolenou distribuci ročně poštou až domů. http://www.linux-cd.cz http://www.vypalcd.cz Na Slovensku Magnificent (www.magnificent.sk), rychle a za velice rozumný peníz http://burncd.markiza.sk/linux *************************************************************************** * Přehled všeobecných distribucí se stručným popisem: http://www.linuxhq.com/dist.html * Publikovaná srovnání distribucí (pochopitelně subjektivní) http://www.root.cz/clanek.phtml?id=328 Softwarové noviny 2000/06 Vetsi srovnani 8 distribuci: Computer 2000/07 http://www.spsselib.hiedu.cz/~kerslage/manuals/linux/Linux/ Distribution-HOWTO Diskuse na www.linuxworld.cz * Jak postavit vlastni distribuci: Linux-From-Scratch-HOWTO: Tam je popsana stavba distribuce malem bajt po bajtu takze pokud vam nevyhovuje jakakoliv distribuce, mate sanci... Bootdisk-HOWTO podle minidistribuce monkey http://freshmeat.net/, sekce http://freshmeat.net/appindex/Console/Mini%20Distributions.html (http://freshmeat.net/appindex/console/mini%20distributions.html) www.root.cz, clanek o brutalware * ono mate celkem uplne jedno jestli pouzivate tu nebo tu distribuci.Baliky jsou priblizne stejne. Debian je ma v unstable verzi novejsi (ne uplne odladene) a vice. Zato Redhat je ma celkem slusne odladene a dalsi se daji po ruznu bezproblemu sehnat - to znamena skoro zadny rozdil. Rozdily jsou minimalni. * Myslim, ze rozdily mezi distribucemi jsou precenovany. Mnohem dulezitejsi je spravce, ktery vi: a. Jak to spravne nainstalovat b. Ktere baliky nejsou potreba vubec c. Kde je na vyber, ktere z baliku uplne vynechat d. Kde hlidat, zda nejsou nove exploity. Bohuzel zejmena #d muze znamenat, ze clovek musi mit dost tlusty drat, aby updaty stahoval. (I kdyz zase na druhe strane, pocitac, ktery neni na siti, neni typicke treba tolik chranit.) * Nejlepsi distribuce je ta, ktera nejlepe vyhovuje Vasim pozadavkum a kterou si nejvice oblibite. Pokud chcete napriklad podporit myslenku free-softwaru, bylo by vhodne sahnout po nekomercni distribuci (Debian), pokud jstepripojeni k siti, chcete mit k dispozici stale aktualni verze baliku, opet doporucujeme Debian. Pokud chcete snadnou instalaci "wokenniho" typu, muzeme doporucit Corel Linux, Redhat nebo mandrake. Pokud mate penize a touzite opravdu po komercni distribuci, doporucujeme Redhat nebo SuSE. * IMHO jsou vsechny distribuce stejne, lisi se Instalacnim programem a pak kosmetickymi umistenimi konfiguracnich (resp. binarnich) souboru. Ciste teoreticky by melo byt meritkem kvality distribuci: - schopnosti vyvojaru - schopnost reakce na bugreporty - pokud mozno pruhledny a rozumny rozhodovaci mechanismus, jak zavadet nove veci nebo zmeny - co nejvice uzivatelu, kteri hlasi chyby - silu na udrzovani trvaleho rustu (vim, o cem mluvim - sam jsem si kdysi udelal jednu svoji distribuci /Monkey/ a ted udrzuji druhou) - dlouhodobe schopnost vypoustet stabilni verze ( a ne to pak sice rychle, ale az nasledne resit) * Relevantni je zde otazka, zda autor(i) distribuce zverejnuji opravy a jak casto. Dalsi relevantni pohled je v intervalech zverejneni 'stable' distribuce. Debian ma delsi casove rozmezi (hodne), takze pokud potrebujete aktualni system (nove knihovny, podpora noveho HW), nachazite se velmi dlouho ve stadiu 'unstable'. Tu zpusobuje snaha o bezchybnost, ktere stejne ani Debian nedosahne, jejich backportovani zaplat zvysuje riziko zavleceni dalsich chyb a vybiji programatorske usili dost neproduktivnim smerem (kdyz treba tym Apache vyda update ve stable rade, tak proc ho nepouzit - prevzeti "zodpovednosti" za bezchybnost SW Debian teamem je stejne dlouhodobe neudrzitelne, protoze okruh SW se dramaticky rozsiruje exponencialne). RH vydava distribuce 2x rocne, coz je rozumne (kazda stable release zarucuje jistou kompaktnost). SuSe vydava distribuce casteji, jine mene casto (napr. Corel). * No jo, kdyz on o tom pise, jak kdyby tomu i veril (ze je SuSE nejlepsi). Jenze to mu nekteri, kteri delaji okolo distribuce vic jak 5 let neuveri :-) A to zejmena proto, ze vsichni vychazime ze stejnych zdrojaku a *neni* v lidskych silach, aby jakykoliv team okolo kterekoliv distribuce vyrobil pro 1000+ baliku ty "spravne" patche, ktere vyresi "vsechny" problemy, vse "100%" otestoval do posledni mrte a tak zajistil, ze tim pak bude ta nektera distribuce "nejlepsi". Nejlepsi zde bude totiz ten, kdo da nam (i ostatnim) co nejkvalitneji odvedenou praci vcetne zdrojaku v dlouhodobem horizontu (a samozrejme bude seriozne pecovat o sve zakazniky). Resp. bysme takoveho meli povazovat za nejlepsiho (me soukrome prani je, aby byli nejlepsi vsichni). BTW: kvalita distribuce se neda merit mnozstvim featur, ktere jsou v ni standardne zahrnuty. Je treba se totiz pak ptat, proc ta feature treba neni v oficialnim jadru. Hodne lze nalezt treba v dopisech od A. Coxe, ktery to vetsinou komentuje (Linus obvykle zamita jen privatnimi maily, proto se dokola objevuji story aka IrDa v minulem Kernel-traffic) v konferenci linux-kernel. Jako priklad viz treba nekonecne opakovane diskuze o ReiserFS, kdy Alan (nejen on) opakovane prohlasil, ze neni proti tomuto FS, ale ze ho proste nedoporuci, protoze ma spolehlive reporty o rozborenych FS pri stresove zatezi, ve spolupraci s PostgreSQL a podobne. Nezalezi na poctu "success story" (tj. 100 lidi tvrdi, ze jim to chodi), ale zalezi na jednom potvrzenem reportu, kdy to znicilo data (napr. pri stresove zatezi - ale ten stres muze byt i kratkodoby a na kteremkoliv stroji nebo to bude treba pri oprave FS). My potrebujem rock-kernel, protoze jinak pak svuj Linux nerozezname od jinych OS... stejne tak ostatni soucasti, ze. * http://www.ibiblio.org/pub/Linux/distributions/ Seznam distribuci volne stazitelnych z Internetu * Minimální distribuce: Osobne bych na takovy pocitac doporucil Debian Linux 2.2. Vsechny "bezne" linuxove distribuce jsou vicemene stejne dobre konfigurovatelne, nicmene s Debianem jsem slavil pomerne dobre uspechy pri pokusech o minimalizaci a zaroven zachovani rozumne miry pouzitelnosti systemu a zaroven mit pekny prehled nad tim, co je nainstalovano, co patri do jakeho balicku a jak to musim upgradovat, aniz bych "rozbil" nejake zavislosti. (vse pres .deb system, nic rucne) Pro o trosku vetsi minimalizaci bych volil Slackware, ale to bych doporucil jen vice zkusenemu linuxovemu guru. Pro nejvetsi minimalisty fajnsmekry a hardcore uzivatele hledejte Rock Linux a prectete si LinuxFromScratch-HOWTO. Pokud to nemusi nutne byt Linux, tak bych si vybral mezi NetBSD a OpenBSD, ktere jsou minimalisticke uz tak nejak od prirody. * pokud chcete s Linuxem začít, tak rozhodně nedoporučuji hned dělat internetový (všimněte si, že je to přídavné jméno a tudíž se zde nepíše velké písmeno, i když ve slově Internet i např. Linux se velké písmeno píše) server. Na Internetu je již dost podobných "bezpečných" serverů. Distribuci si vyberte jakou chcete, každá má své přednosti i mouchy. Ale pokud ji chcete využít na Internetu, tak ji doporučuji "pochopit", což může někdy trvat i dva měsíce... * vyber vyhovujici distribuce je nadlouho, ale zato pak muzete byt spokojeni * Bezpecnost: www.linuxsecurity.com/advisories na lwn.net/ je tydeni security stranka s tim, ktere distribuce vydali opravu a na co * Vyhody balickovani: - mam sw v databazi a vim tedy, co mam nainstalovane - jednoduche nainstalovani, odinstalovani, upgrade - vendor specific upravy - je s tim mene prace - balicek je mozne prekompilovat rucne take - pridani ruznych /etc/init.d skriptu - checksumy vsech souboru - automaticke spousteni skriptu pri instalaci, odstraneni a upgrade - zavislosti na jinych programech (balicich) - podle spec souboru vim, jake parametry jsem pouzil pro preklad ... reprodukovatelnost prekladu * http://www.root.cz/clanek.phtml?id=1096 *** Kdyz jdete do obchodu... chcete, aby byly k dostani jedny oplatky, jedna balena voda, jeden druh jogurtu? ***