[devel] Следующий дистрибутив

Alexey Tourbin =?iso-8859-1?q?at_=CE=C1_altlinux=2Eru?=
Вс Июл 30 23:23:41 MSD 2006 

On Sun, Jul 30, 2006 at 10:37:01PM +0400, Денис Смирнов wrote:
> AT> Проблема стабильности -- наполовину психологическая.  Базовая/базовая
> AT> серверная система в Сизифе очень стабильны. 
> Это случай так называемого вранья (c)

Предпочитаю вранье безбожное, а не просто "так называемое". :)

> samba является частью базовой серверной системы? А она даже не
> устанавливается. О чем дальше говорить? Пакеты ldv@ всегда отличались
> стабильностью. Но startup был убит именно им. Увы, все мантейнеры люди а
> не инопланетяне или роботы. И ошибаются. А кому-то такая ошибка может
> стоить дорого. 

Я не знаю/не помню, почему startup сейчас сломан.  Трафик на очередной
dist-upgrade кончился у меня почти месяц назад (и снова появится через
пару дней).  Однако этот dist-upgrade дал рабочую систему, как и два
предыдущих.

> Потому Сизиф на сервере это как мина вместо табуретки.  Сидеть можно, но
> опасно. Ровно потому, что попавший туда пакет ограничен тестированием _в
> лучшем случае_ одним человеком. В худшем плюхнули без тестирования. Это я
> тебе как человек держащий все свои сервера на Сизифе говорю -- то ещё
> удовольствие.

Сидеть на мине -- это развлечение для хорошего админа. :)  Во всяком
случае сидеть на backports немногим лучше.  Три года назад мне случалось
делать и сломанный security update для MySQL.  Он не запускался.  А из
Сизифа запускался.

Дело не в количестве людей.  Просто в Owl делают полный аудит кода для
базовой системы.  Больше никто аудит кода не делает, насколько я знаю.
Соответственно, доверие к одному человеку из Owl как к десятерым.

> Сизиф недостаточно стабилен, чтобы человек не являющийся членом команды
> хотя бы пару лет мог вообще использовать его на серверах. И dist-upgrade в
> кроне, или даже обновление отдельных пакетов в кроне -- это фантастика.
> 
> А вот тем, кому нужно чтобы оно just works -- нужно именно иметь некий
> дистрибутив + репозиторий с security fix'ами, обновления из которых
> делаются cron'ом.

Про dist-upgrade в кроне для чайников речи не идет.  Речь идет о том,
чтобы привлечь более компетентных и деятельных людей.  И налаживать.

Это могут быть и деятельные админы, а не только девелоперы.  Должны быть
контейнеры-песочницы, в которых можно "параллельно" сделать dist-upgrade
и посмотреть, что получается.

> AT> За последнее время,
> AT> насколько я помню, был всего один косяк -- это pam-0.99.1, после
> AT> обновления которого нужно было перезапустить sshd, crond и ещё некоторый
> AT> неспецифицированный список сервисов и приложений.
> 
> Одного этого косяка достаточно чтобы нельзя было рекомендовать админам
> использовать sisyphus на серверах. Такие изменения допустимы только между
> дистрибутивами, при использовании в production. Отдельные матюки могут
> высказать на тему слова "неспецифицированый" в этом контексте.

Увы.  Анонс был до синхронизации, но полного или хотя бы частичного
списка сервисов/программ для перезапуска не было.  В связи с этим,
помнится, Иван Аджубей решил вопрос reset'ом, когда у него сломался kdm
или кто там.

> AT> Виртуализация здесь дает новые степени свободы.  Например "решение для
> AT> IP-телефонии" можно держать в отдельном контейнере и обновлять
> AT> независимо от всего остального.
> 
> Именно так. Это несколько спасает тем, что пакетная база основной системы
> невелика, и меньше шансов лишиться элементарно удаленного доступа.

Конечно.  Это несколько облегчает игру.  "Админский" удаленный доступ
через ssh надлежит стеречь как зеницу ока только на "корневое" openvz
ядро.  С контейнерами уже можно играться без фатальных последствий.

> AT> Остается только обновление ядра.
> 
> Угу. Ещё связаные с этим обновления glibc и etcnet, рисковое дело. Именно
> потому что можно лишиться ssh.

Про glibc не верю.  Про etcnet верю.

> samba должна быть однозначно. Потому что это один из наиболее широко
> используемых сервисов в SOHO секторе.
>
> openldap таки тоже обязательно, потому как потихоньку он становится
> стандартым средством.

Ну в общем да.  Хотя самба мне понятнее, чем openldap.  Но это мне.
Вообще на каждый "специализированный" пакет нужна компания из нескольких
компетентных/заинтересованных людей.  Тогда будет налаживаться.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20060730/ec60a536/attachment-0001.bin>

Подробная информация о списке рассылки Devel