Re: Grundsaetzliche Frage zu FreeBSD

From: Rainer Duffner <rainer(at)ultra-secure.de>
Date: Mon, 06 Feb 2006 17:19:13 +0100

Daniel Bauer wrote:

> Hi Olli,
>
> From: "Oliver Fromme" <olli(at)lurza.secnetix.de>
>
>> Daniel Bauer <mlist(at)dsb-gmbh.de> wrote:
>> > Andreas Braukmann <braukmann(at)tse-online.de> wrote:
>> > > Daniel Bauer <mlist(at)dsb-gmbh.de> wrote:
>> > > > Nachdem die kleinen Kisten immer wieder den Geist aufgegeben >
>> > > haben
>> > > > und ich jetzt günstig eine ProLiant mit 8 CPU's und 12 GB > > >
>> bekommen
>> > >
>> > > 12 GByte? Der Speicher laesst sich unter FreeBSD/i386
>> > > (und andere 32 Bit i386 Betriebssystemen) nur mittels
>> > > der PAE-Kruecke nutzen.
>> >
>> > ja, aber für neue 64 Bit Hardware ist die Software auch noch nicht
>> > 100%ig auf dem laufenden und die Kiste ist zumindest für den 24x7
>> > Betrieb ausgelegt. Die Größe der Maschine sollte doch für die paar
>> > Dienste gut reichen ...
>>
>> Nunja, es gibt jedenfalls drei Möglichkleiten:
>>
>> 1. Wenn die Prozessoren in dem Rechner (über die Du leider
>> immer noch keine Details verraten hast) 64bot-Erweite-
>> rungen beherrschen -- also AMD64 oder EM64T --, dann
>> kannst Du das 64bittige FreeBSD/amd64 installieren und
>> die gesamten 12 Gbyte Hauptspeicher ohne Einschränkun-
>> gen nutzen.
>>
>> 2. Anderenfalls (also nur 32bit) mußt Du einen Kernel kom-
>> pilieren, in dem die PAE-Option enabled ist. Prinzi-
>> piell kann ein 32bit-System nur 4 Gbyte Speicher direkt
>> adressieren, aber PAE sorgt dafür, daß Speicher aus dem
>> restlichen Bereich (bei Dir also die »oberen« 8 Gbyte)
>> seitenweise in die unteren 4 Gbyte eingeblendet werden
>> kann, um Daten heraus- und hineinzukopieren. Besonders
>> effizient ist das nicht, aber zumindest liegt der Spei-
>> cher nicht brach. (Es gibt einige wenige Treiber, die
>> nicht mit PAE funktionieren.)
>
>
> tut mir leid, ich dachte ich hätte es schon geschrieben:
>
> es ist eine Compaq Proliant 8500
> - 8 x Xeon 550, 2MB
> - 12 GB ECC RAM
> - SCSI Raid
>
> ich werde sicherlich den Kernel neu bauen und schneller als der HDD
> Speicher sollte das Ram sicherlich sein. Soweit ich das mit PAE
> verstanden habe, hat die Proliant einen 36bit Bus um den Speicher zu
> adressieren ...
>
>
>> 3. Du begnügst Dich einfach mit 4 Gbyte und verzichtest
>> auf den Rest. Die denkbar schlechteste Alternative.
>>
>> Überigens: Diese Möglichkeiten sind keineswegs FreeBSD-
>> spezifisch. Mit Linux wäre die Sitation genau dieselbe.
>
>
> nein wie bereits gesagt, war SuSE die einizigste Distribution die
> alles ohne wenn & aber geschafft hat, big-smp-kernel, aber ich will
> nicht alle Sicherheitslöcher auf einer Maschine händeln und vorallem
> ist mir der Bau des Kernels bei dazufügen von XEN nicht mehr gelungen,
> daher habe ich gemerkt wie unausgereift das ganze noch ist. Meine
> anschießenden Versuche mit anderen Linuxen waren noch schlimmer ...
> Die Recherche nach Alternativen hat eben BSD mit Jails ergeben und
> nach dem ich schon lange an BSD interessiert bin, ist es jetzt eben
> Zeit sich damit zu beschäftigen ...
>
>
>> > > Nein. Jails bieten keine Betriebssystem-/Maschinen-Virtua-
>> > > lisierung. Jails dehnen schlussendlich "nur" das chroot-
>> > > Konzept auf die Netzwerk-Interfaces (bzw. daran gebundene
>> > > IP-Adressen) aus. Ein Prozess in einem Jail kann nur auf
>> > > einen vorgebenen Directory-Zweig eines Dateisystems zugrei-
>> > > fen und nur ueber eine festgelegte IP-Adresse mit dem Netz-
>> > > werk kommunizieren. Zudem sind bestimmte Operationen, die
>> > > dazu dienen koennten, das Konzept zu unterlaufen, (z.B. die
>> > > Kommunikation ueber raw sockets) verboten.
>>
>> Vereinfacht könnte man sagen: In einem Jail ist es nicht
>> möglich (auch nicht als root), Dinge zu tun, die Einfluß
>> auf das Host-System oder auf andere Jails hätten.
>
>
> Das ist exat was ich will, ich brauche keine virtuelle Maschine wo ein
> anderes Linux od. Windows läuft, aber ich will die Services
> voneinander trennen und den Host so sicher wie mögl. haben ...
>
>
>> > das wäre im Prinzip völlig ausreichend, wenn ich unter BSD alle >
>> Dienste
>> > die ich jetzt unter Linux laufen auch zur Verfügung habe.
>>
>> Da sehe ich kein Problem. Apache, Sendmail, Samba usw.
>> sind alles Standardsachen, die problemlos unter FreeBSD
>> laufen.
>
>
> ich hab grad durch die Ports geblättert und das meiste schon gefunden
> was ich brauche ...
>
>
>> > > Welche Hardware? Du beschreibst sie recht unkonkret.
>>
>> Allerdings.
>>
>> Übrigens habe ich FreeBSD schon auf ProLiants mit zwei Pro-
>> zessoren installiert; das funktioniert problemlos.
>>
>> > Sorry, habe gerade mal eine 5.4 installiert und die Maschine läuft,
>> > allerdings nur mit einer CPU und 4 GB RAM (teilt er auch beim booten
>> > gleich mit das die restl. 8 GB ignoriert werden). D.h. es läuft wohl
>> > prinzipiell, werde jetzt nochmal nach dem Download eine
>> Installation > mit
>> > 6 versuchen.
>>
>> Das ist zu erwarten. Der Default-Kernel (»GENERIC«) unter-
>> stützt kein SMP und kein PAE, daher wird zunächst nur ein
>> Prozessor und max. 4 Gbyte unterstützt.
>>
>> Wie man einen neuen Kernel bauen kann, ist ausführlich im
>> FreeBSD-Handbook erläutert, daher brauche ich das hier wohl
>> nicht wiederzukäuen. :-)
>>
>> Im Prinzip brauchst Du nur GENERIC zu kopieren, darin dann
>> »options SMP« und »options PAE« hinzufügen (und evtl. noch
>> andere Dinge, die Du brauchen kannst, und/oder unnötige
>> Dinge herauslöschen oder auskommentieren).
>>
>> > > > 2. welche Version ist für den Servereinsatz zu empfehlen?
>> > >
>> > > 6-stable, ... abhaengig von den konkreten Beduerfnissen.
>>
>> Ich würde ebenfalls 6-stable empfehlen, mindestens aber
>> 6.0. (Übrigens ist 6.1 gerade in der Betaphase, bis zur
>> Release wird es aber noch ein Weilchen dauern.)
>>
>> > > Die Unterschiede zwischen Linux und *BSD zu beschreiben ist
>> > > eher muessig. (Zumal sich die Administration mancher Linux-
>> > > Distributionen staerker unterscheidet als die Administration
>> > > gewisser Linux-Distributionen von jener der *BSDs).
>> >
>> > nun ich hatte gehofft das es etwas gibt als Art Übersetzer:
>> > eth0 =>
>> > iptables =>
>> > rcapache2 =>
>>
>> Es gab mal so eine Art »Rosetta Stone« für die verschiede-
>> nen UNIX-Systeme. URL habe ich leider nicht parat, sowas
>> läßt sich aber sicher per Suchmaschine finden. Aber man
>> sollte das mit Vorsicht genießen, da sowas häufig von Leu-
>> ten geschrieben wird, die sich nur mit einem der Systeme
>> richtig gut auskennen.
>>
>> Was die von Dir genannten Beispiele betrifft: eth0 hat
>> keine direkte Entsprechung. Die Netzwerk-Interfaces werden
>> nach dem Treiber benannt. Beispiel: Der Treiber für intel
>> EtherExpress/100 heißt fxp, daher heißen die Interfaces
>> dann fxp0, fxp1 usw. Der Treiber für Broadcom Gigabit-
>> Ethernet heißt bge, die Iterfaces heißt bge0, bge1 usw.
>> Man kann aber Interfaces auch beliebige eigene Namen zu-
>> ordnen (z.B. »extern«, »intern«), üebr die man sie dann
>> ansprechen kann.
>>
>> iptables: Es gibt verschiedene Paketfilter. Zunächst mal
>> das FreeBSDP-spezifische IPFW, dann Darren Reed's IPFilter
>> (den es auch für Solaris und andere Systeme gibt), und
>> schließlich den von OpenBSD portierten PF, der praktisch
>> auch alle Features von IPFilter hat (und eine sehr ähnliche
>> Syntax). Also eigentlich muß man sich nur zwischen IPFW
>> und PF entscheiden; man kann aber auch beide gleichzeitig
>> verwenden. Dokumentation ist für alle Paketfilter vorhan-
>> den.
>>
>> »rcapache2« sagt mir nichts.
>
>
> die rc... Befehle sind in der SuSE Scripte zum starten, stoppen usw.
> der einzelnen Dienste ...

Wobei das IIRC Symlinks zu den Scripts in /etc/init.d sind.
In FreeBSD ist alles unter /usr/local/etc/rc.d/ bzw. /etc/rc.d (für die
Sachen, die im Basissystem dabei sind).

egrep enable /etc/defaults/rc.conf

Einen Abend lang das handbook durchblättern ist sehr hilfreich.

Rainer

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 06 Feb 2006 - 17:21:07 CET

search this site