Új hozzászólás Aktív témák
-
LB/HA: minimum 3 lab, 3 kulonbozo foldrajzi helyen - ha egyet frissitesz, egy meg megdoglik, meg mindig legyen hol futnia az alkalmazasodnak.
Backup: legalabb 3 peldany, 3 kulonbozo foldrajzi helyen.
Backup ellenorzes: igenis minden backup utan legyen megnezve a logban, hogy rendesen lefutott-e.
Monitoring: legyen beallitva, mit monitorozol es csak az.
Monitoring dokumentacio: mi es miert kerult hozzaadasra, mi es miert kerult ki belole.
Igen, ez van megírva a nagykönyvben, az már más kérdés, hogy ez hány cégnél van kiépítve...
De egyébként ezek mellett sem árt az, ha stabil az OS-ed, ott kezdődik az egész
Jelenlegi munkahelyemen egyébként éjfélkor van backup, de nem szívesen állnék vissza arról, mert lehetnek olyan adatok, amik elvesznek. Egy operációs rendszer szintű snapshotnál viszont nagyon gyors a visszaállás.
Egy VM snapshotra sem szívesen állok vissza, legfeljebb ha biztosan tudom, hogy azóta nem keletkezett új adat, vagy ki vannak szervezve az adatok hálózatra.
Minden viccen kívűl, szerintem a magyar cégek 90%-nál ahhoz, amit leírtál, nincs kiépítve az infrastruktúra. Főleg a KKV-kre gondolok, azok közül is a kisebbeknél nagyon gyakran látom azt, hogy be van vágva a lépcső alá a "szerver", valami 10 éve nem támogatott Windows-szal, a backup az annyi, hogy a FreeFileSync néha lefut és lementi egy külső HDD-re az adatokat....
Fú, láttam pár ilyet, és mai napig PTSD-m van tőlük.olyan erzesem van, hogy Magad sem tudod, hogy egy ilyen immutable rendszer hova lenne jo a Linux vilagaban, de nem okollak erte, mert szerintem azok sem tudjak, akiknek a fejeben megfogant az otlet.
Nem, én abban kételkedek, hogy asztali gépen van-e helye, abban nem vagyok biztos. Szerveren működHET, és tök jó lenne, ha működne, de még nekem is vannak kérdéseim. és kétségeim. Hogy pl. hol akadhat el a dolog, mert elég egy apróság, és onnantól fogva nem működik a dolog. Pl. egy Falcon endpoint menne-e, és ha igen, nem lenne-e problémás?
Én most erre úgy tekintek, mint egy kísérleti technológiára, és amíg nincsenek esettanulmányok, addig így is marad.mindekozben olyan dolgokrol disputazunk, aminek nincs keresnivaloja szerveren, pl.: GNOME, network-manager es hasonszoru dolgok.
Mert mag az Aeon (és a Fedora Silverblue) asztali rendszernek készült. De az Aeon pedig a MicroOS-ből ered, az meg szerverre.
-
Igen, vannak olyan libek, amiknek a rendszerbe kell kerülniük, de onnantól fogva az a rendszer része, és így immutable lesz.
De egy átlagos gépen azért elég kevés ilyen program van, böngésző, media player, office, stb., egyiknek sem kell a rendszerben lenniük.En az oncelu es a corporate Linux fele vezeto ujdonsagok ellen vagyok, meg azok ellen, amik security-t hirdetnek, majd olyan megoldasokat kinalnak ezen belul, ami gyengiti azt, felrevezeti a felhasznalokat es hamis biztonsagerzetbe ringatja oket.
Csak ugy poenkeppen beirtam G keresobe, hogy immutable Linux, elso talalat ZDNet. Mit ir? Increases safety and security, majd kb. 20 sorral lejjeb flatpak, snap es appimage...
Ne a Blikkből tájékozódj, hanem a hivatalos prezentációkat nézegesd...
De azt nyilván senki nem gondolja, hogy csupán attól biztonságos lesz egy rendszer, mert immutable. Annyit lehet elmondani, hogy nem mókolhat bele a rendszerbinárisokba mindenféle jött-ment. Ennyi a security related vonatkozása.
Meg kell nézni, hogy a hivatalos doksik mit állítanak: https://microos.opensuse.org/
Itt pl. nem is írnak kártevőkről meg vírusokról. Én sem írtam róla semmi többet, csak egy mondatot: "Ennek a megoldás az az előnye, hogy egy hibás vagy káros szoftver nem tudja felülírni a rendszerfájlokat, még sudo jogosultsággal sem."
Mert az immutable rendszer nem a vírusok, kártevől, sebezhetőségek elleni védelem miatt érdekes, ahhoz nem ad sokat. Hanem inkább az üzemeltetési biztonságról szól, arról, hogy ha frissítés közben elmegy az áram, és leáll a géped, akkor is konzisztens állapotban fog újraindulni. Vagy ha véletlenül letörlöd a Network-Managert, és megy vele az egész asztali környezet, és azt se tudod, hogy kapj, akkor csak visszabootolsz az előző snapshotra, és meg van oldva. Vagy ha egy elbaltázott frissítés miatt nem indul a rendszered, akkor is csak visszaállsz az előző snapshotra, és kész. Persze, előfordulhat olyan eset, amikor a boot manager sem indul vagy nem tudja felhúzni a rendszert, de ez azért elég ritka.És ott vannak még olyan dolgok, mint pl. Fedora Silverblue esetén, hogy mindenki minden egyes frissítéssel ugyanazt a lemezképet kapja. A Fedorások összeállítják neked a lemezképet, tesztelik, kiadják, te meg megkapod 1:1-ben ugyanazt, egyetlen commitban.
Frissítesz, rebootolsz, ha mégsem működik, akkor meg visszaállsz az előző snaphostra (commitra).
A programok meg ott csücsülnek a rendszerimage fölött, egy overlay rétegben vagy flatpakban/distrobox konténerben.
Ennél üzembiztosabb működést én elképzelni sem tudok.Biztonsági szempontból a konténerezés, a flatpak meg a distrobox más téma, szerintem azt már kibeszéltük párszor.
-
Rossz oldalról közelíted meg a dolgokat. Miért KELL, hogy az alaprendszer írható legyen, miközben a felhasználónak ott semmi keresnivalója, a programoknak meg bőven elég, ha read only módban érik el?
Amióta léteznek operációs rendszerek, azóta törekednek rá, hogy a rendszerfájlokhoz lehetőleg senki se nyúljon. Az összes modern rendszer (MacOS, iOS, Android, ChromeOS, stb.) immutable, és nagyon is jól teszik, hogy azok.Mondom, én elsősorban nem a security miatt szeretem, de security szempontból is ad valamennyi plusz az immutabilitás, nyilván nem fog megvédeni mindentől, de ha már egy valamitől véd, az is több, mint a semmi.
Nézd, amellett, hogy nagyon tisztelem a tudásod és a munkásságod, néha azt érzem, hogy te csakazértis minden ellen vagy, ami új. És sokszor nem gondolod át, amit írsz.
Azt írod, hogy a Linuxnak kernel szinten van hypervisora, de nem gondolsz bele, hogy a docker (és így a distrobox is) éppen erre épülve működik.
Azt írod, hogy a virtuális gépet csak kikapcsolod, ha nekiáll rendetlenkedni - de hát a konténerizált szoftverrel is pontosan ugyanezt meg tudod csinálni... és ugyanúgy el tudod szeparálni a konténerizált szoftvert, mint a virtualizáltat.Nem tudom pontosan, mit te értesz application image alatt. Én konkrétan docker imagekről beszélek, azokból meg elég sokat használnak szerveren.
-
Nem a security miatt érdekes a konténerezősdi, nem azért használjuk, legalábbis én nem. Az csak egy plusz, de pl. egy sima distrobox konténernél semmilyen extra biztonságot nem kapsz (de ezt le is írtam).
Hanem mert pl. könnyebb kezelni az eltérő verziókat.
Én pont két napja jártam úgy, hogy a Tumbleweedben lévő Inkscape-en valamit elkeféltek, az ablakát nem lehet maximalizálni. Feldobtam Ubuntus distroboxba az Inkscape-et, az meg tökéletesen működik.Vagy: én itthon a Radicale-t használom CardDAV szervernek. Docker konténerből fut, ha frissíteni kell, csak lehúzom az új image-et, a régi leállítom, elindítom az újat és kész. Semmilyen szinten nem birizgál bele a rendszerbe semmit.
Ugyanúgy a Giteát is konténerből futtatom, meg hamarosan az egész Apache-PHP kombót is abból fogom.
Céges szerveren is egyre több mindent futtatunk konténerből.Mindezeken felul ki az a komoly, felelossegteljes rendszergazda, aki a szerverere barmit telepit image-bol?
Kb. a világ rendszergazdáinak nagy többsége
-
A /usr-ben nincs keresnivaloja konfiguracios allomanynak, annak a /etc-ben van.
/usr csak a config fájlok sablonjai vannak, amiket a csomag hoz magával, és az másolódik át az /etc-be, vagy te csinálod meg kézzel. Ebben igazából nincs különbség a hagyományos rendszerekhez képest.
A masik, hogy korlatozza a usert a dolgaban. A *nix rendszerek filozofiaja pont az, hogy a user tudja, mit csinal es nem akarja korlatok koze szoritani, vagy okosabb lenni nala.
Annyi előnye van, hogy az ember nem tölt le minden szirt-szart csak azért, mert le lehet. Amit letölt, azt is konténerbe vagy flatpakba tölti le. Nem olyan rossz dolog ez, csak néha elég macerás.
Az meg, hogy valaki onkenyesen a GNOME-ot valasztotta, mint tamogatando asztali kornyezetet, a hulyeseg netovabbja.
Állítólag a Gnome-mal van a legkevesebb probléma. Könnyű fordítani, patchelni, stb.
Maga az Aeon prezentaciojanak elso sora is rossz: hogy a fenebe lehetne fuggetlen egy alkalmazas az alaprendszertol?
Nyilván nem teljesen független, de olyan értelemben igen, hogy az alkalmazás saját csomagjai nem keverednek a rendszer csomagjaival. Ha flatpakot használsz akkor azért, ha Distrobox konténert, akkor meg azért.
Új hozzászólás Aktív témák
- HIBÁTLAN iPhone 14 256GB Midnight -1 ÉV GARANCIA - Kártyafüggetlen, MS3531, 93% Akkumulátor
- Bomba ár! Lenovo ThinkPad Yoga 260 - i5-G6 I 8GB I 192SSD I 12,5" FHD Touch I W10 I Cam I Gari!
- 8Gb DDR3L 1,35V 12800u 1600Mhz RAM-ok, több db
- HIBÁTLAN iPhone 14 Pro 256GB Deep Purple -1 ÉV GARANCIA - Kártyafüggetlen, MS3516, 94% Akkumulátor
- Telefon felvásárlás!! iPhone 12 Mini/iPhone 12/iPhone 12 Pro/iPhone 12 Pro Max
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest