Eigene Debian-Distribution erstellen

[RodNoc]

Nene.... ich weiß schon was ich als root mache, so ist es ja nicht Ich will so ein teil bauen wo halt alles schon drin ist und derjenige, der die CD dann bekommt nicht mehr als root reinmuss die ganzen klamotten fertig machen

[theton]

Nene.... ich weiß schon was ich als root mache, so ist es ja nicht Ich will so ein teil bauen wo halt alles schon drin ist und derjenige, der die CD dann bekommt nicht mehr als root reinmuss die ganzen klamotten fertig machen

Wird er trotzdem muessen. Zum Server administrieren gehoert nunmal auch Updates einzuspielen, ab und an mal Firewall-Regeln anzupassen, Konfigurationen zu optimieren und und und. Server ohne root wird nix und kein verantwortungsvoller Admin wuerde sowas machen. Und andere Leute haben an Servern nichts verloren. *find*

Ich zumindest wuerde keine Fertig-Server-Distro verwenden, die mir verspricht, dass ich nichts mehr konfigurieren muss. Und zwar aus folgenden Gruenden:

1. Die meisten Server haben keine Standard-Hardware, so dass oft noch Treiber-Module kompiliert werden muessen.
2. Ich wuesste nicht, welche Sicherheitsmassstaebe angesetzt waeren bei der Distro.
3. Ein IDS waere total sinnlos, wenn es nicht an den Server angepasst ist und bei mir gehoert ein ordentlich eingestelltes IDS mit Remote-Logging auf einem anderen Server/Rechner zur Grundausstattung eines Servers.
4. Updates lassen sich nicht ohne root einspielen.
5. Datei-Integritaetstools (AIDE u.ae.) muessen nach jedem Update und nach jeder Installation neuer Software aktualisiert werden, da die Checksummen der geaenderten Dateien sich logischerweise aendern.
6. IPs, die mir auf anderen Servern in den IDS-Logs schon mehrfach unangenehm aufgefallen sind, werden per iptables sofort geblockt. Welche das sind, kann der "Distributor" (also du) garnicht wissen.
7 und letztens: Server administrieren und einrichten ohne root ist einfach unmoeglich. Ein Out-of-the-Box-Server kann garnicht sicher sein.

[RodNoc]

arktur, SAN, etc sind alles solche Fertigserver.... es geht um einen Server für eine schule, es wird alles über ein externes Programm bzw ein webinterface gesteuert (es läuft ein daemon dafür auf dem server)... und es ist nunmal so, dass an der schule nicht viel ahnung von linux vorhanden ist. Ich werde mich von extern darum kümmern soweit es geht. Aber für alles andere reicht der Client bzw das Webinterface... so schaut die planung aus und der Server ist schulintern. Also keine Angrifft von extern möglich

Bei einem produktiven Server der im INet steht stimme ich dir zu, aber wie gesagt: es ist intern und da ist das ganze ausreichend und ehrlich gesagt sicherer als wenn ich jemanden als root reinlasse, der keine ahnung hat (Das root-PW wird natürlich mitgeliefert, aber es wird genug möglichkeiten geben um auch ohne root auszukommen )

Dom

[slasher]

ich persönlich weiß jetzt auch garnicht, wieso hier herade um die eigentliche Fragestellung herumdiskutiert wird :-), aber ok *g*.
Der Dschungn wollte doch nur wissen, wie man seine eigene Debian Distribution bastelt und würde er das mit Slackware machen wollen, würde ich ihm einfach eine TXT in die Hand drücken, jedoch kann ich damit nicht dienen, und irgendwie ist mein Beitrag nun auch nicht so sehr sinnvoll, aber "zielkorrigierend", also schweift nicht immer direkt ab :-), wir wollten doch alles besser machen als unsere Regierung ;-).

[RodNoc]

*g* stümmt, besser als die regierung will ich das auf jeden fall machen... Soviele schulden kann ich mir net leisten

Und ich hab mir jetzt überlegt, dass ich einfach ein debian-iso anpasse... sprich: alles rausnehme aus der CD was ich net brauche und die pakete die zusätzlich benötigt werden drauf packe.... und ich habe ne möglichkeit gefunden wie ich nach der installation ein Shell-Script einbinde... damit werde ich dann meine configs und zusätzliche software einbinden Ich hoffe das funktioniert LFS hat den nachteil, dass sec-updates nicht so einfach möglich sind, während die bei Debian schon dabei sind

Wenn das Teil steht schreibe ich meine Lösung hier rein, vll interessiert die ja jemand (auch wenn es als "richtiger" Server nicht wirklich geeignet ist, aber das habe ich ja schon zugegeben )

Gruß
Dom

[theton]

LFS hat den nachteil, dass sec-updates nicht so einfach möglich sind, während die bei Debian schon dabei sind

Wenn du in's LFS einen Paketmanager wie apt einpflegst, sind die Sicherheitsupdates sogar schneller moeglich, als das Debian-Security-Team reagiert (nichts gegen die Arbeit der Jungs, aber ein paar Tage dauern die Sicherheitsupdates bei Debian nunmal). Einfach den Original-Source patchen, Paket daraus bauen, updaten, fertig (nichts anderes macht das Sec-Team ja auch). Damit kannst du (sofern du gute Info-Quellen nutzt) in weniger als 24h schon dein System gegen neu bekannt gewordene Sicherheitsluecken patchen.

[Goodspeed]

Wenn du in's LFS einen Paketmanager wie apt einpflegst, sind die Sicherheitsupdates sogar schneller moeglich, als das Debian-Security-Team reagiert (nichts gegen die Arbeit der Jungs, aber ein paar Tage dauern die Sicherheitsupdates bei Debian nunmal). Einfach den Original-Source patchen, Paket daraus bauen, updaten, fertig (nichts anderes macht das Sec-Team ja auch).

Bei SID vielleicht ... aber für stable ist das ein Arsch an Aufwand, wenn man die Sec-Patches für aktuelle Versionen auf die in stable stehende Version Rückportieren muss ... incl. testen, ob es Seiteneffekte gibt. Wenn es soooo einfach wäre, hätte es vor nem halben Jahr sicher nicht die Probleme gegeben, als Joey allein war.
Aber stimmt schon ... Du kannst da ja alles ...

[theton]

Bei SID vielleicht ... aber für stable ist das ein Arsch an Aufwand, wenn man die Sec-Patches für aktuelle Versionen auf die in stable stehende Version Rückportieren muss ... incl. testen, ob es Seiteneffekte gibt. Wenn es soooo einfach wäre, hätte es vor nem halben Jahr sicher nicht die Probleme gegeben, als Joey allein war.
Aber stimmt schon ... Du kannst da ja alles ...

Hab nie behauptet, dass ich alles kann. Trink vielleicht erstmal 'nen Kaffee und werde erstmal richtig wach, damit sich deine Laune etwas bessert.

Ausserdem war hier die Rede von LFS. *anmerk* Dass es bei veralteten Programm-Versionen nicht ganz so einfach ist, ist mir selbst klar und trotzdem bleibt es fuer ein aktuell gehaltenes System die grundlegende Vorgehensweise.
Bestreitet ja niemand, dass ein eigenes LFS update-technisch leichter zu handhaben ist, als das fuer die Leute von Debian fuer eine Distro moeglich ist, von der feste Releases erwartet werden. Ich hatte nicht vor deren Arbeit in irgendeiner Weise zu schmaelern oder in Frage zu stellen, was ich ja wohl auch zum Ausdruck gebracht habe. Sollte dies nicht so ruebergekommen sein, bitte ich dies zu entschuldigen. Ich habe absolut Respekt vor deren Arbeit und auch wenn ich sicher nicht alles weiss, weiss ich zumindest, dass Patches in ein LFS einspielen wesentlich einfacher zu machen ist als bei Debian und genau deswegen geht es auch meist wesentlich schneller.

[Goodspeed]

Entschuldigung angenommen ... auch wenn ein

Einfach den Original-Source patchen, Paket daraus bauen, updaten, fertig (nichts anderes macht das Sec-Team ja auch).

für einen "Nicht-Insider" anders rüberkommt ...

Auf den LFS-Part bezog sich meine "Kritik" ja auch nicht ...
Und "schneller" ist auch nicht immer "besser" ... ich hatte schon zu viele "Bug-Fixes", die mehr kaputt gemacht haben, als sie gerettet haben ...
(frei nach dem Motto: Ein Inselsystem ist sicherer als eins mit I-Net *g*)

P.S.: Den Kaffee hatte ich schon weg ... und das hat nix mit schlechter Laune zu tun

[OwnOS_de]

So, wir haben jetzt 2010 und da dieser Artikel immer noch ganz oben bei Google kommt möchte ich hier noch einen Hinweis posten:

Mit Ubuntu ist es heute leichter als je zuvor, ein angepasstes, installierbares und von CD/DVD bootbares Linux zu erstellen.

Dafür brauch man nur eine Ubuntu-CD und das Programm RemasterSys.

Auch UCK für Ubuntu wäre eine Möglichkeit.

Ich habe mit RemasterSys auch selbst ein Projekt geschaffen. Könnt ja mal nach OwnOS CreativeSuite suchen wenns euch interessiert.