bin fremdgegangen

Hinweis: In dem Thema bin fremdgegangen gibt es 67 Antworten auf 7 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • In Firmen gibt es auch kein openSUSE, sondern SUSE.
    Das merken die Meisten nicht einmal.
    Fast alle Mainframes laufen mittlerweile mit SUSE.
    Dort ist SUSE Marktführer.
    Zusammen mit Red Hat ist SUSE Marktführer in professionellen Installationen.


    Unabhängig davon, was irgendwelche Leute zu wissen glauben, gehört oder gesehen haben.
    Schlicht nach Anzahl der Installationen.

  • ist evtl auch branchenabhängig was eingesetzt wird. Ich hab mich auf Gespräche mit lokalen Abteilungs-Admins bezogen und da war (damals) HP-UX oder vermehrt Solaris die Wahl. Bei openSuse dachte ich jetzt auch mehr an Kollegen die eben ubuntu für den ein oder anderen Einzelplatzrechner eingesetzt haben. Da wäre i.m.A. openSuse die Alternative gewesen.

    honi soit qui mal y pense :: lärnt L.i.n.u.x zu buchstabieren

    Für den Inhalt des Beitrages 107420 haftet ausdrücklich der jeweilige Autor: TuxSv748

  • Für Firmen eignet sich auch RedHat oder SuSE Linux Enterprise besser, denn dafür sind die beiden Distros ja auch gemacht worden. Das gleiche kann man soviel ich weiß mit Ubuntu erreichen, wenn man Cannonical etwas regelmäßig zahlt. Außerdem brauchen auch Firmen jemanden, den sie verklagen können, wenn etwas nicht so läuft, wie es soll. Und das hast Du nunmal nur bei Linux Distributionen, bei denen ein Hersteller dahinter steht, der dem Kunden garantiert, dass es geht. Das ist jetzt auch nicht irgendwelches "Stammtisch-Gerede", sondern das weiß ich von jemanden, der im Linux Hochverfügbarkeits- und Hochsensibelfeld arbeitet (Finanz- und Bankingbranche).
    Nichts desto trotz, kann man Enterprise Linxu auch kostenlos haben. Wer das haben will, der ist mit CentOS gut bedient, das ist ein kostenloser RedHat Klon. Fedora stammt zwar auch aus dem Hause RedHat, ist aber eine eigenständige Distribution, die nicht immer alles von RedHat übernimmt. Nur eben das, was die bei RedHat angestellten Entwickler wollen. Schließlich ist ja Fedora dessen Freizeit-Baby.


    @Berechtigung Also eine Spam-Schleuder war mein mit Plesk konfigurierter Server ganz und gar nicht. Kostenpflichtiger Virenschutz und Firewal imbegriffen. Sicherheitskonzepte übernahm Plesk automatisch. Darunter neben Dr. Web AV, auch rkhunter weekly reports etc.. Spamfilterung und das ganze Zeug war auch leicht möglich.
    Das Bottleneck war dabei nur die Sache, wenn man mehrere openSource Projekt unterschiedlicher Programmiersprachen gleichzeitig auf dem Server betreiben wollte. Erstens mal bot Plesk nur recht eingeschränkte Möglichkeiten für Ruby (on Rails) an, und zum anderen lief das nie so wirklich mit den angebotenen Möglichkeiten, selbst bei einem kleinen 0815 Ruby Projekt spuckte Plesk nur Fehlermeldungen aus. Das war aber auch recht neu in Plesk, den Ruby Support gabs erst mit der damaligen aktuellen Version.
    Ja, außerdem musste man PHP als FastCGI Modul laufen lassen, weil das das Plesk Web Interface brauchte und solche unsinnigen Scherze.
    Aber ich sehe schon (wie auch in anderen Beiträgen), dass wir eine unterschiedliche Weltanschauung haben in Bezug auf Computer Themen. Aber wie es halt so ist, es führen mehrere Wege nach Rom. Niemand sagt, dass Dein oder mein Weg der Idealweg ist. Ein Forum ist ja nur als Hilfestellung zu verstehen, aus dem man sich dann selber seine Meinung bilden kann. Von daher, sehe ich das alles nicht so streng. Und ja, ich kann Deinen Standpunkt auch nachvollziehen, dass ein Hardcore Linuxer nichts von Klickibunti hält. Das war schon immer so, und wird wohl auch immer so bleiben. Leider erkennen aber genau diese Leute nicht, dass Automatismen viel detaillierte Handarbeit ersparen können. Diese Automatismen sind sogar mittlerweile so weit fortgeschritten, dass man diese auf die eigenen individuellen Bedürfnisse und hohen Ansprüchen anpassen kann, damit sie genau das tun, was sie sollen und nicht mehr. Also, ich kann nur sagen, lebt nicht mehr in der Vergangenheit und macht euch selbst das Leben nicht unnötig schwer, das dankt euch schließlich niemand. Wie mein Chef schon immer sagt: "Du musst auch mal Software aus den Augen aus Menschen sehen, nicht aus den eines Programmierers". Mit dem Motto im Hinterkopf lassen sich manche Sachverhalte einfacher lösen, als man manchmal denkt.

    Diese Signatur ist derzeit nicht verfügbar.

    Für den Inhalt des Beitrages 107432 haftet ausdrücklich der jeweilige Autor: derwunner

  • Nein.
    Das ist fehlerträchtig.
    Solche Server werden regelmäßig gehackt.


    Es genügt eben nicht, wenn man einen Server nur mit Plesk samt eingebauten Sicherheitslöchern wie PHP verwalten kann.


    Kann man einen Server aber komplett mit der Konsole verwalten,
    hat man es halt auch gelernt.


    Und deshalb sind nun mal solche Server einfach sicherer.
    Man wird dann bunte Oberflächen eben auch aus genau diesem Grunde ablehnen.
    Überflüssiger Ballast, der seinerseits Admintätigkeit verlangt.


    Mit Rootkithunter und Virenscanner kriegst du keinen Server sicher.
    Das sind psychologische Schlangenölpillen.


    Da sind jeden Tag mindestens die Logs von psad und fail2ban zu lesen.
    Die Web- und Mailogs zu analysieren.
    Alles andere ist verantwortunglos.


    Ich habe selbst in einem Hochsicherheitsrechenzentrum verantwortlich gearbeitet.
    Ich weiß ziemlich genau, wovon ich schreibe.
    Und eine Verwaltungsoberfläche in PHP ist ein definitives No-go.

  • Ich habe selbst in einem Hochsicherheitsrechenzentrum verantwortlich gearbeitet.


    Ich weiß ziemlich genau, wovon ich schreibe.
    Und eine Verwaltungsoberfläche in PHP ist ein definitives No-go.

    Frage 1: Wie willst Du es denn sonst machen?
    Frage 2: Warum bist Du denn so ein strikter PHP Verweigerer? Viele gute und häufig genutzte Software basiert darauf (Shopware, Magento, Typo3, Drupal, phpMyAdmin, etc.). Dass PHP ein Sicherheitsloch per se ist, bezweifle ich stark. Führe doch mal Nachweise zu Deiner Behauptung an. Wie auch bereits an anderer Stelle schon gesagt, Sicherheitslücken bzw. Angriffsvektoren gibt es in bzw. an jeder Software. Glaube die meisten Sicherheitslücken gibt es im Flash Player, den Adobe PDF Reader und im Mozilla Firefox. PHP steht da gaaaanz weit hinten, sogar noch hinter C# .NET.

    Diese Signatur ist derzeit nicht verfügbar.

    Für den Inhalt des Beitrages 107440 haftet ausdrücklich der jeweilige Autor: derwunner

  • Du kannst schlicht in jedes HTML einfach Code einbinden, der dann auch ausgeführt wird.
    Das führt dann zu absurden Dingen, wie Suhosinpatch und dergleichen Verrenkungen mehr.


    Und man muss für das Web eigentlich nötige Programmierparadigma Model-View-Controller per Konvention umsetzen.
    Bei z.B. einem Pythonframework ist das systemimmanent. Du kannst nicht eine einzige Seite erstellen, ohne dass es vollständig nach diesem Paradigma geht.
    Damit sind von Haus viele Angriffe nicht MÖGLICH. Nada nothing. Fällt aus, wegen is nich.


    Magento war erst diese Woche wieder in den Schlagzeilen, weil eine derbe Lücke seit Jahren klafft.


    Natürlich ist PHP weit verbreitet, weil es das schon länger gibt, als moderne SGIs, wie uwsgi.
    Woraus schon alleine bei schlichtem Nachdenken folgen müsste, dass es moderner ist, also wahrscheinlich auch besser geeignet für dynamische Websiten.


    Leider ist es so, dass -wie im richtigen Leben auch- die breite Masse relativ dumm ist und sich auch saudumm verhält.
    Das ist bei Linux nicht anders.
    Kaum haben sie es geschafft ihren ersten Server aufzusetzen, wird ein PHP Blog aufgesetzt.
    Sie sind gezwungen irgendeine dämliche PHP Software einfach draufzuklatschen, weil sie erstens nichts anderes finden, und vor allem kein wsgi Interface hinkriegen. Von mangelnden Sprachkenntnissen ganz zu schweigen.


    Und dann wird diese aus ihrer Sicht heldenhafte Leistung in die Welt polluiert.
    Was habe ich schon für fundamental falschen Schwachsinn im Netz gelesen!
    Wenn sie die Systemrechte nicht verstehen, wir kurzerhand ein ganzer Verzeichnisbaum nicht nur für User und Group - nein sogar für die ganze Welt beschreibbar gemacht, und dieser verantwortungslose Schwachsinn des reinen Nichtwissens stolz als Tip im Blog hinausposaunt.


    Denke mal kurz drüber nach, warum PHP so weit verbreitet ist.
    Weil alle Dummen es einsetzen. Weil es soviele hirnrissige Tutorials gibt und weil ja für jeden Anfänger ein noch blutigerer ein schwachsinniges Howto veröffentlicht hat.


    Und warum liest du gar nichts über uwsgi Websites, wie web2py, Django oder dergleichen?
    Weil sie nicht gehackt werden.
    Mal eben einen PHP- Server hacken, ist Kindergarten.
    Einen modernen Webserver hackst du nicht einfach so.


    Und es ist anfangs sehr viel mühsamer, weil man es wirklich erst lernen muss.
    Deshalb auch keine dümmlichen Tutorials, kaum Blogs.


    Wenn man nicht gerade Facebook ist, hat man kein PHP mehr.
    Das ist nur noch für Nicht IT Unternehmen, die kein KnowHow haben, und sich nur Entwickler leisten können, die auch kein KnowHow haben.


    Es ist krank.
    Und per se doomed to fail.


    Es ist übrigens auch ein typisches Nichtargument, die Verbreitung von Schwachsinn alleine als Beleg für die Qualität zu nehmen.
    "Fresst Scheixxe, Millionen Fliegen können nicht irren."


    Und noch eines: Typo3 ist ebenso krank. Es hat auch Lücken ohne Ende.
    Es sieht natürlich ziemlich professionell aus, weil man da erst mal gar nix gebacken kriegt, und vor er ersten Seite ziemlich viel basteln muss.
    In der Zeit habe ich zwei Websites mit mehr Funktionen geschrieben, die noch dazu keine solchen eklatanten Lücken haben.
    Typo3 ist so alt, dass es mich wundert, warum Leute, die immer das Modernste zu brauchen glauben, ihre Websiten noch mit dem Abacus basteln.

  • @Berichtigung: Naja, aber einer Programmiersprache / Skriptsprache / Serverseitiger Skriptsprache / Wie auch immer du es nennen willst, schlecht zu nennen, nur weil es viele inkompetente Skripter dafür gibt, ist nicht fair. Sicherlich ist PHP nicht das Nurn-Plus-Ultra, das behauptet auch keiner. Selbst ich bin kein PHP Befürworter, obwohl ich davon lebe. Man kann nichts gegen PHP tun, es ist gegenwärtig immer noch die beliebteste / meist genutzte Sprache für die Webentwicklung. Und wenn man halbwegs am Ball bleiben will, dann zieht man mit, egal ob einem das gefällt oder nicht. Das ist leider so. Genauso kommt Typo3 immer noch von vielen Endanwendern im deutschsprachigen Raum zum Einsatz. Gerade viele Behörden verwenden das, sowie Webseiten, die von deutschen Agenturen verwaltet werden. Bei Agenturen ist Typo3 nach wie vor Gesetz, egal wie schlecht oder gut das ist, weil einfach der Kunde nichts anderes will, da gibt es keine Diskussion. Es gibt sogar ganze Agenturen, die sich rein auf den Vertrieb von Typo3 basierten Webseiten spezialisiert haben. Genauso wie es reine Shopware Agenturen gibt. Die beiden Platzhirschen sind aus der Branche nicht weg zu denken.
    Und ja, ich weiß, Typo3 ist mit seinem Typoscript nicht wirklich zeitgemäß oder komfortabel zu verwalten. Man muss dabei bedenken, dass Typo3 zu einer Zeit entstanden ist, wo es nur ein paar schlechte CMS Systeme gab. Und ich denke Du weißt selber, wie es ist, dass man ab einer gewissen Projektgröße nicht mehr von Anfangs-Design-Fehlern abweichen kann, weil das zu sehr im Core verankert ist.


    Dein Eingangs erwähnter Patch musste ich erstmal googeln. Das war vielleicht mal vor 10 Jahren so zu den PHP 5.3 Hochzeiten. Es wurden einige Sicherheitslücken und Bugs durch die neueren Major Releases behoben, falls Du das nicht weißt. Also schöne Geschichtsstunde, aber nicht mehr wirklich aussagekräftig heutzutage.


    Und man liest nur nichts über Python, Ruby & Co., weil es noch zu unbeliebt ist, als dass es die breiten Massen interessieren würde. Wäre das der Fall, dann würden dort auch ganz schnell Sicherheitslöcher klaffen. Das ist doch immer so bei Cross-Plattfrom Sachen. Wenn man sich nicht spezialisieren kann auf eine Plattform, dann muss man verallgemeinern, dass es auf allen angestrebten Plattformen läuft und dabei passieren Fehler. Dein erwähntes swgi Ding scheint nichts anderes zu sein, als der große Bruder von NodeJS. Ich bin kein Fan davon, dass jeder Laufzeitprozess seinen eigenen Webserver startet. Im Prinzip kann man mit dem swgi dasselbe wie mit NodeJS machen, nur mit dem Unterschied, dass swgi Threads per se unterstützt, während man bei NodeJS noch in Prozess-Konzepten des letzten Jahrhunderts denkt. Ich bin vorallem deswegen kein Fan davon, weil das sehr Ressourcen lastig ist. Nicht nur unter Windows, sondern auch unter *NIX Systemen. Hatte es neulich geschafft, dass sich mein MacBook deswegen aufgehängt hat, bzw. dass es unbedienbar war. Mehrere Threads oder Prozesse pro Webanfrage können für einen Server nicht gesund sein. Schließlich ist man auf einen Server nicht alleine, da laufen neben dem Webserver noch andere wichtige(re) Anwendungen, die auch Ressourcen benötigen. Wenn ein Dienst schon alles verschluckt, na dann Gute Nacht!
    Ebenfalls bin ich kein Fan von MVC per Programmier-Paradigma-Konvention einzusetzen. Konventionen sind im Regelfall gut, es gibt aber immer wieder begründete Einzelfälle bzw. Spezialfälle, in denen es besser ist, von der Konvention abzuweichen. Und wenn man das nicht kann, dann leidet der gesamte Entwicklungsprozess darunter. Außerdem habe ich schon viel Sturheit / Dummheit bei Programmieren gesehen, die ein Paradigma aufgezwungen bekommen hatten, sich aber wehement dagegen gewehrt hatten. Dementsprechend scheußlich sah der Code aus. Im Prinzip ist das so, als würde man Kindern etwas verbieten, sie es dann aber trotzdem über Umwege tun. Also ich denke nicht, dass etwas aufzwingen die Lösung aller Dinge ist.


    PS: Ich bin auch nicht der Meinung, dass NodeJS die bessere Antwort auf PHP ist. JavaScript war schon immer eine hässliche und vorallem unvollendete Sprache und wird es auch immer bleiben. Es ist nur so beliebt geworden, weil jeder Idiot JavaScript kann. Aber Vorteile hat das ganze NodeJS Ecosystem trotzdem, siehe die wunderbaren Task Runner Grunt und Gulp. Das macht es einem möglich, bei der SCSS Kompilierung komplett auf den Ruby Müll verzichten zu können, weil das ganze gegen NodeSASS kompiliert wird. Jede unnütze Programmiersprache weniger, die nur einer Aufgabe dient, ist eine gute Programmiersprache! Ich spiele damit vorallem auf Ruby, Go, Erlang, Python und Lua an.

    Diese Signatur ist derzeit nicht verfügbar.

    Für den Inhalt des Beitrages 107453 haftet ausdrücklich der jeweilige Autor: derwunner

  • Es ist zwecklos.


    wsgi hat mal genau gar nix mit irgendwelchem node.js zu tun.
    Und grundlegend genau JEDE dynamische Website braucht irgendein SGI.
    Auch dein PHP. Sonst gäbe es KEINE einzige dynamische Website.


    Gerade uwsgi ist supergeil um die Last hochgenau zu skalieren.
    Zur Laufzeit, ohne Heckmeck, ohne Neustart von irgendwas.


    Und schön salopp wird über die grundlegende Trennung, die MVC nun mal darstellt, hinweggegangen.
    Ohne sehen zu wollen, dass genau das der allererste Grund für Sicherheitsmängel ist.
    Das ist genau das, warum solche Websites so leicht zu hacken sind.


    Aber schon klar:
    Weil wir es nicht können und lernen wollen sichere Websites modern und schnell zu schreiben,
    und weil schon soviele PHP einsetzen, bleiben wir lieber bei dem veralteten Sicherheitsrisiko.
    Wäre ja noch schöner, wenn wir unsere Fehler einsehen würden.


    Ich lebe ganz gut damit, dass Java, PHP und Konsorten nicht auf meinen Servern ist.