Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Installer des package ou compiler?

chap

Je désire installer un web server.

à présent j'hésite à savoir si je suis mieux d'installer des packages ou de compiler les différentes applications?

Évidemment afin d'éviter les failles de sécurité je préfère avoir les dernières versions tables des différents outils.

De plus le fait d'avoir un compilateur sur le serveur est-ce une porte ouverte pour me faire hacker?

Avez-vous une liste de logiciels souhaitables à installer (Firewall etc..)

Merci

nouvo09

d'une façon générale tu as toujours interet à installer des paquets qui ont été prévus et paramétrés de façon optimale pour ta distrib. Cela dit si tu es compétent et que tu as des besoin spécifiques, tu peux compiler ce qui te manque.

pitchbull

je pense que la meilleur solution est que tu essais les 2 methodes... Ca vaut tous les discours du monde.

chap

en ce qui concerne de conserver un compilateur sur un serveur de "production" est-ce une faille de sécurité???

je pars de rien pour mon serveur, dois-je installer apache qui vient avec et tenter de l'updater ou suis-je mieux de de ne rien a l'installation du serveur et de le faire dans un deuxième temps?

remi

Fedora est une distribution construite autour des RPM. Ce système permet de garantir en permanence une cohérence du système (base de données de l'ensemble des fichiers présents, dépendences...)

La compilation et l'installation manuelle conduisent à une perte certaine de cohérence (même si cela peut être réalisé prudement) et les désinstallation sont généralement impossibles.

Pour les failles de sécurités, même si certaines versions n'évoluent pas (ex Firefox 1.0.7 sur FC3, php-4, etc..) pour éviter les problèmes de migration, Fedora réalise, pendant tout le cycle de vie d'une version, le rétro-portage (backport) des correctifs de sécurités.

C'est à dire que la version 2.0.54 d'apache sur FC4 est aussi sure que la version 2.0.55 officiellement disponible sur le site apache.org.

Maintenant s'il s'agit de tester des versions plus évoluées (php-5.1, mysql-5.0...) il existe aussi des RPM pour ces versions.

En conclusion je dirais qu'il est préférable d'éviter au maximum l'utilisation de sources et de toujours préférer les RPM.

Pour la présence du compilateur : la prudence conseille de limiter au maximum les logiciels présent sur un serveur de production. Même si cela ne gène pas son fonctionnement, il est préférable de disposer d'une machine séparée pour la compilation (ou la construction de RPM).

A+

celmir

Pour le compilateur je confirme : si tu as besoin de compiler tu installes ton compilateur, et après tu l'enlèves pour éviter de donner des outils clefs en main à un vilain 'hacker'.
Pour le match rpm vs tarball, je dirais que la prudence veut que l'on ne mélange pas pour éviter l'écrasement de bibliothèques dépendantes et garder une image représentative des fichiers installés via la base d'information générer par les rpms. Installer/désinstaller un tarball ou faire évoluer une version ainsi installée signifie connaitre tous les fichiers installés, être capable d'enlever les fichiers obsolètes tout en garantissant le bon fonctionnement des programmes liés, installer les nouveaux en garantissant que les nouvelles bibliothèques seront utilisables par tous les logiciels insatllés. le format RPM a ses limites, les utilisateurs de portage (sur gentoo par exemple) te le diront mais il simplifie quand même la tâche.
Pour moi si tu n'as pas de rpm, il faut le générer depuis le tarball, ainsi la boucle est bouclée : c'est parfois très simple (rarement) et souvent très compliqué (car c'est compliqué de faire simple) puisque tu dois respecter une certaine norme qui garantie la qualité du rpm produit, connaitre la structure d'un tarball,etc.

Temet

Oui mais tout utilisateur de Gentoo que je suis, la compilation a les inconvénients de ses avantages. Gentoo a réussi le tour de force de rendre la compilation super simple ... mais compiler reste compiler et reste lent!!!!
Je me tate donc (dès mon retour en France) pour me forcer à migrer vers une bonne vieille distro RPM ... mais la seule que je vois qui puisse me convenir (KDE user inside) est Suse et j'ai beaucoup de mal à encadrer Suse ... en gros, il me reste 3 mois pour me décider.

Sinon, moi je dis et pense : "In remi we should all trust!"

chap

Merci de m'avoir éclairé...

Je vais tenter de trouver des rpm de tous ce dont j'ai besoin. Existe-il une doc avec avec une solution optimale pour installer un serveur web sous fedora. De plus le firewall venant avec Fedora est-il suffisant ou un logiciel plus robuste exciste?

Temet

Le serveur web s'installe tout connement ... c'est bien le configurer qui est moins con (moi je ne sais que le configurer connement).

Pour le firewall, si tu veux vraiment t'y mettre ... faut passer par la case iptables :x

Temet

celmir

Pour apache il faut vérifier les modules compilés par défaut et ajuster selon les besoins nécessite de refaire le rpm. Ensuite il y a la configuration proprement dite qui passe par une connaissance appronfondie du httpd.conf chaque option pouvant faire l'objet d'une réflexion ... Rour se former le mieux c'est de virer le httpd.conf par défaut qui est lourd et complexe pour faire le sien 'à la main' : c'est radical comme méthode mais y'a pas mieux.

pitchbull

Temet => met toi a la fedora il parait que c'est la meilleur....

chap => remi a tout dit ! hey ho reveilez vous !!! avez vous oubliez que dans le monde windows quand on installe une applications, lorsque l'on veux la supprimer, meme en passant par le programme de desinstallation de cette application ou un utilitaire comme cleansweep, il reste des traces dans la base de registres et des fichiers orphelin...

La solution est de pouvoirs "pister" tous les fichiers et modification que peux faire une application pour pouvoir la desinstaller, cette solution est apporter par rpm : il utilise une base de donné (sqlite) pour stocké tous ce que fait un programme qui s'installe. ainsi on peut le supprimer ou le mettre ajour facilement.

Par contre c vrai niveau des dependances c'est pas encore ca.... (combien de fois j'ai assisté impuissant a une application qui as besoin de 3 dependances et lorsque je la supprime meme si les 3 dependnaces ne st pas utulisé il les laisse sur le system...)

donc y a pas a tergiverser : utilise des rpm, y a suffisamment de depot pour trouver ton bonheur...

et sinon pour ton serveur il faut que tu installes le MINIMUM VITALE : pour des question de performance mais aussi de fiabilité et de maintenance.

"Pour les failles de sécurités, même si certaines versions n'évoluent pas (ex Firefox 1.0.7 sur FC3, php-4, etc..) pour éviter les problèmes de migration, Fedora réalise, pendant tout le cycle de vie d'une version, le rétro-portage (backport) des correctifs de sécurités." => mon dieux ca fait trop plaisir de lire ca ! cz rejoint ce que je disais sur d'otre post concernant l'utilité de tjrs avoir la dernire version etc...

abompard

Je me tate donc (dès mon retour en France) pour me forcer à migrer vers une bonne vieille distro RPM ... mais la seule que je vois qui puisse me convenir (KDE user inside) est Suse et j'ai beaucoup de mal à encadrer Suse ... en gros, il me reste 3 mois pour me décider.

Je suis un utilisateur de KDE et j'utilise Fedora, ça pose pas de problèmes. Je te conseille fortement http://kde-redhat.sf.net pour avoir le meilleur des deux mondes 🙂

Anvil

Peu importe la methode, le tout est de garder une distribution `coherente'. Une distribution a base de packages se doit d'etre maintenu tant que ce peut avec des packages : une fedora avec des rpm pour fedora, une mandriva avec des rpms pour mandriva, une gentoo avec des portages, une debian avec des deb, une slack avec des tar.

Compiler, la distribution se moque pas mal que vous le fassiez. Installer n'importe quoi n'importe ou, ca, C'est Mal(tm). Soit vous savez ce que vous faites et/ou vous lisez des docs (sans faire la chochote parce que c'est de l'anglais dans 90% des cas..) et vous commencez a penser par vous-memes, soit vous prenez les packages que des gens qui savent ce qu'ils font (ou presque), eux, ont faits et mis a disposition. La compilation exige des connaissances parfois non-neglieable en developpement, en cas de probleme.

celmir : `lourd et complexe', tu exageres. La conf par defaut charge les modules et definit les comportements a adopter pour chaque user-agent, certains icones, des extensions de fichiers pour des langues, le format des langues et le vhost par defaut. Vraiment pas de quoi en foueter un chat. Ca fait 250 lignes a tout peter (une fois les 1000 lignes commentaires qui ne sont la que pour expliquer l'interet des directives.

chap

Donc une config minimale, et installer les pakages requis seulement.... Un pix Cisco, c'est suffisant pas besoin de firewall avec ça? Ou on laisse celui built-in pour éviter les attaques de l'interne?

De plus, j'ai fai une installation minimale et j'ai après fait un "yum update" par la suite (et près de 300 updates) j'ai remarqué que Apache s'est installé par lui-même... est-ce normal???

celmir

rien d'inquiétant 🙂

Pour moi le firewall fedora est sufisant pour l'interne, mais tu peux renforcer la sécurité de ton serveur avec bastille linux, le module mod_security pour apache, et tripwire ...
Attention trop de sécurité peut nuire ! Si tu ne maitrise pas tu risque de générer plus de problèmes que tu ne vas en résoudre ...

nouvo09

Perso, je pense que pour un serveur, un routeur avec son firewall intégré, qui peut router en douce un appel malveillant sur un DMZ ou une adresse fictive, c'est indispensable. En plus les prix ont considérablement baissé.

Markand

Compiler les logiciels c'est bien quand on veux qu'il soit vraiment bien adapté a son matériel, il est aussi utile lorsqu'on veux ajouter des options (ou supprimer)

La compilation est plus délicate mais permet aussi d'avoir les dernières version de logiciels 😉 Maintenant c'est à toi de voir

abompard

Pour ce qui est d'avoir la dernière version ou de changer les options de compil, on peut toujours récupérer le src.rpm, bidouiller le fichier spec et recompiler. Ca marche en général très bien.

chap

Je rage avec les rpm. J'ai essayer de mettre la dernier version de Apache, et c'est des composant requis à la suite de l'autre....

Ça prends telle version de apr, ensuite pour avoir apr il faut apr-utils ensuite il faut des librairies... Il ya une façon plus simple? J'ai moins eu de problème en compilant Apache.

Il esixte un package de librairies plus qu'essentielles pour faciliter le tout???

Page suivante »