Debian en progression pour les serveurs web

Posté par . Modéré par Nÿco.
Tags :
0
6
fév.
2004
Debian
Une petite information en forme de troll est passée il y a peu sur le site Netcraft : la distribution Debian serait celle qui a eut la plus grosse progression du nombre d'installation (+24,6%) en 6 mois pour les serveurs web.
C'est toujours les distributions RedHat qui tiennent la tête en nombre de serveur total, cependant on remarque un net fléchissement depuis la fin de l'année 2003, ce que Netcraft attribue à leur politique de licence et de sécurité.

On remarquera la très bonne présence de Cobalt, la distribution Linux de Sun pour ses appliances serveurs. Cependant, comme Sun a arrêté cette distribution en fin d'année 2003, sa part de marché devrait considérablement réduire dans les mois à venir.

Enfin, pour ceux qui s'étonneront de ne voir parler que d'Apache, je les renvois vers les deux derniers liens qui donnent une vision du marché actuel des serveurs Internet...

Aller plus loin

  • # Re: Debian en progression pour les serveurs web

    Posté par (page perso) . Évalué à -3.

    En forme de troll ? même pas !... car chacun sait que Mandrake est la meilleure distribution de l'univers connu.
    Au fait, des nouvelles de LSB ?
  • # Re: Debian en progression pour les serveurs web

    Posté par . Évalué à 6.

    Netcraft c'est bien, mais security space, c'est pas mal non plus. Il y a beaucoup plus d' infos:
    http://www.securityspace.com/s_survey/data/index.html(...)
    http://www.securityspace.com/s_survey/data/200401/index.html(...)
  • # Re: Debian en progression pour les serveurs web

    Posté par . Évalué à -4.

    Enfin Debian progresse quelque part...

    oui, je sais, je sais, c'est pas là... ===>[]
  • # Ah les chiffres...

    Posté par (page perso) . Évalué à 8.

    On ne voit pas trop le debianiste qui fait parler les chiffres à son avantage sur ce coup là... On peut peut peut-être compléter cette information en précisant que :
    - il y a toujours plus de 3 fois plus de RedHat
    - sur cette période, RedHat a cru de 219519 unités, contre 87283 pour Debian, soit 2,5 fois moins...
    Bonjour l'exhaustivité de l'information !
    Admettons que SuSE ait pogressé de 1% l'année dernière (je n'ai pas chercher à connaître les chiffres exacts), je vois bien Sam nous faire une news triomphale pour nous annoncer que la progression de SuSE a connu la plus forte progression, soit 2220% ;-)
    • [^] # Re: Ah les chiffres...

      Posté par (page perso) . Évalué à 0.

      la distribution Debian serait celle qui a eut la plus grosse progression du nombre d'installation (+24,6%) en 6 mois pour les serveurs web.
      C'est toujours les distributions RedHat qui tiennent la tête en nombre de serveur total,


      Y'a pas de manipulation de l'information, tout est dans la new.
      Bon ok on peux enlever "nombre d'installation".

      Reste que la plus forte progression ...c'est debian ;-)


      Enjoy
      Karles

      Ps: Debian; When the code matters more than commercials.
      • [^] # Re: Ah les chiffres...

        Posté par (page perso) . Évalué à 7.

        statistiquement, c'est pas top de faire un pourcentage sur un autre pourcentage sur un sous ensemble (le pourcentage a augmenté de x% sur le nombre d'installations)
        ca ne veut pas dire grand chose.

        il vaut mieux préférer des formations du type "xxx a augmenté de x points" ou partir en valeur absolue.
        • [^] # Re: Ah les chiffres...

          Posté par . Évalué à 1.

          Tout ce que je lis personnellement c'est que debian a la plus forte progression des serveurs qui n'ont pas passé leur directive ServerToken en Prod.
          • [^] # Re: Ah les chiffres...

            Posté par . Évalué à 9.

            Oui, mais sans vouloir faire une réponse sous forme de troll (quoique ?), il est plus facile d'avoir une forte progression sur un parc peu répendu plutôt que sur quelque chose d'extrêmement répendu :

            Exemple :

            Si j'ai une seule Debian en prod dans le monde (bon c'est pas un troll c'est pour la simplicité et montrer que les chiffres ne veulent rien dire ;o)), si quelqu'un décide dans mettre une 2ème en prod, paf la progression est de 100%.

            Maintenant imaginons que une 101ème RedHat (pour citer une distrib fortement répandue mais bien sûr à l'échelle de notre exemple), pour une RedHat en plus, la progression est de 1%, une paille par rapport à nos 100% de croissance de Debian.

            Alors effectivement Debian à la plus grosse progression mais on se rend compte que la progression ne se fait que sur une unité dans les 2 cas, et que le parc RedHat est 100 fois plus important que celui de Debian.

            Donc, voilà, c'était pas un troll mais une leçon de chiffres ;o) Les chiffres tels quels ne veulent rien dire.

            Sur ce, à chacun sa distrib et les distribs majeures sont toutes une bonne solution en terme de serveur web.
  • # en terme de charge?

    Posté par . Évalué à 3.

    J'aimerai trouver des stats du genre, mais avec la charge, au nombre de visiteurs
    pour voir si les sites pros sont sous apache, blabla, ou MS.
    Histoire qu'on puisse troller sur le fait que MS ou apache tient mieux la charge.
  • # Re: Debian en progression pour les serveurs web

    Posté par . Évalué à -1.

    "mesuré en comptant le nombre de sites actifs contenant le nom d'une distribution Linux dans l'entête du serveur Apache.
    [...] Un peu plus du quart des serveurs Apaches tournant sous Linux fournissent un nom de distribution"

    Ce qui n'est pas sans rappeler certain slogan de la française des jeux.
    • [^] # Re: Debian en progression pour les serveurs web

      Posté par . Évalué à -1.

      Ba ca prouve simplement que les admins debian sont plus incompetants que les autres, par ce qu'ils savent pas mettre "ServerTokens Prod" dans leur httpd.conf.

      Ou alors qu'ils sont plus fier d'eux que les autres, mais ca c'est pas une nouvelle :-)

      Bon je sors avant la volée de moins.
      • [^] # Re: Debian en progression pour les serveurs web

        Posté par . Évalué à 6.

        Es-ce que l'on doit comprendre de ton commentaire, que les admins des autres distrib' sont obligés de cacher les bannières de leurs serveurs, car les patches de sécu tardent plus à sortir ?

        ;-)
        • [^] # Re: Debian en progression pour les serveurs web

          Posté par . Évalué à 9.

          Excuse moi de te dire ca mais ta remarque fait un peu pitié.
          Debian est systematiquement a la bourre sur la publication des advisos (pour le patchage je sais pas j'ai pas (plus) de Debian). Debian arrive fréquement avec 1 semaine de retard et j'ai deja eu des ovnis du genre un mois après.

          Aller on va le faire sur le "dernier" problème qui a fait un peu de bruit en date, j'ai nommé GAIM :

          26 01 : premier adviso
          26 01 : RHSA
          27 01 : MDKSA
          27 01 : slackware security
          27 01 : GLSA
          29 01 : SuSE security announcement
          05 02 : DSA ! (dans leur moyenne de temps de réponse)
          [note que l'adviso n'est toujours pas sur bugtraq, d'ailleurs on s'en fou un peu, mais ma mailbox me dit
          Date: Thu, 5 Feb 2004 15:06:18 +0100 (CET)
          ]

          Ca ne fait que DIX jours de retard ca !

          Gaim n'est pas un incident de parcours et généralement l'ordre est a peu près toujours le même sur bugtraq. Je pense que ta remarque valait le coup pour souligner la promptitude des réponses de Debian :-)

          Faudrait peut-etre un moins borné sur sa distrib et allez voir ailleur de temps en temps. Ca fait du bien des fois et ca permet de relativiser la genialissimité des choses que l'on utilise. De plus c'est pas security.debian.org qui était encore dans les choux la semaine passée ?



          Bon tu veux aussi troller sur les délais de réponse au rootkitage ou on peut allez se coucher ?
          • [^] # Re: Debian en progression pour les serveurs web

            Posté par . Évalué à 2.

            Hum...

            Tu fais un gros commentaire sur *UNE* faille, dans laquelle debian a eu du retard.
            J'avoue que la sécu, ce n'est pas ma spécialité, et je n'ai jamais fais de "bench" des différentes distros sur ce point (pour ça qu'il y avait un smiley dans mon commentaire)

            Mais montrer un seul exemple et de dire "c'est toujours comme ça chez Debian", ça ma parait un peu douteux...

            Si ça ce trouve tu a raison, je n'en sais rien, mais pour être un minimum objectif et crédible, il faudrait étendre la comparaison sur une période un poil plus grande.
            • [^] # DSA publiés après mises à jour par apt

              Posté par . Évalué à 7.

              de + les failles ne sont annoncées en DSA (debian security advisory) que quand les paquets de mise à jour ont été testés et sont disponibles en téléchargement sur security.debian.org pour toutes les architectures (y compris les archis supportées seulement par Debian)

              dans la pratique, les mises à jour pour des archis comme x86 sont souvent téléchargées par apt sur security.debian.org bien avant que le DSA ne soit publié !

              http://www.debian.org/security/faq.en.html#handling(...)
              If our system is vulnerable, we work on a fix for the problem. The package maintainer is contacted as well, if he didn't contact the security team already. Finally, the fix is tested and new packages are prepared, which are then compiled on all stable architectures and uploaded afterwards. After all of that is done, an advisory is published.
            • [^] # Re: Debian en progression pour les serveurs web

              Posté par . Évalué à 5.

              Bin si tu lis bugtraq tout les jours je peux t'assurer que c'est comme ca dans 90% des cas.

              De plus, amha, l'excuse des 70 plateformes ne tiens pas ici. Si c'est problematique alors on creer des listes de sécu x86/ppc/amd64/alpha etc. Et on envoit sur la liste des que le paquet est près. Ca coute vraiment pas cher a mettre en oeuvre. C'est avoir l'information qui est important, a la limite il va mieux couper les services pendant quelques heures le temps que le patch soit dispo que de devoir couper pendant une semaine pour cause de rootkitage.

              J'ai pris l'exemple de Gaim par ce que c'etait le dernier dont tout le monde a entendu parler et me semblait etre un choix impartial (j'aurais pu choisir de retrouver un adviso qui est arrivé plus d'un mois après en cherchant un petit peu !).

              La c'est Gaim c'est pas très grave. 10 jours pour une faille OpenSSH tu te rends compte ! ca laisse le temps a ton reseau se faire scanner par les scripts kiddies quelques millions de fois :-)
              Le vrai compte a rebour commence lorsque l'exploit devient publique si l'upgrade arrive apres alors ca devient tendu du slip. Je connais plein de gens pas assez fou pour mettre un apt upgrade dans le crontab et qui suivent pas la sécu plus que ca (ie au mieux c'est abonné a la liste de secu de debian et on passe les advisos au procmail pour ne garder que les pkg installés...). Mais au moins eux ils patchent :-)

              Mes statistiques de têtes dans l'ordre de bugtraquage c'est RH/Gentoo/Slackware, Mdk entre 12h et 1 jours après. FreeBSD, Debian entre 2 et 4 jours mais ca, ca n'a rien de scientifique :-)
              • [^] # Re: Debian en progression pour les serveurs web

                Posté par . Évalué à 4.

                > La c'est Gaim c'est pas très grave. 10 jours pour une faille OpenSSH tu te
                > rends compte ! ca laisse le temps a ton reseau se faire scanner par les
                > scripts kiddies quelques millions de fois :-)

                Regardons CAN-2003-0693 :

                REDHAT:RHSA-2003:279 : 16 septembre
                Debian DSA 382 : 16 septembre
                Mandrake MDKSA-2003:090 : 16 septembre
                Debian DSA 382 : 17 septembre
                Mandrake MDKSA-2003:090-1 : 17 septembre

                Donc ne t'inquiètes pas, pour OpenSSH c'est plus rapide.

                Yannick
          • [^] # Re: Debian en progression pour les serveurs web

            Posté par . Évalué à 5.

            Ah oui, aussi:
            "Faudrait peut-etre un moins borné sur sa distrib et allez voir ailleur de temps en temps. Ca fait du bien des fois et ca permet de relativiser la genialissimité des choses que l'on utilise."

            Mais je n'utilise pas Debian parce qu'elle est plus sécur, plus stable ou même plus rapide (http://web.linuxfr.org/2003/08/13/13629.html(...) ).
            Mais parce qu'elle est 100% libre. Et qu'elle ne dépend pas d'une entreprise, et n'est rattaché à aucun pays, contrairement à RedHat, Mandrake, Gentoo, Suse, etc...

            ça la rend encore "plus libre" à mes yeux ;-) On peut trouver ça idiot, mais pour moi, ça compte.

            P.S.
            Cerise sur le gateau et troll mise à part, Debian est une distribution EXTRAORDINAIREMENT bien foutue
          • [^] # Re: Debian en progression pour les serveurs web

            Posté par . Évalué à 4.

            Y a pas beaucoup de mes serveurs qui ont Gaim...

            Je sors ? :)
          • [^] # Re: Debian en progression pour les serveurs web

            Posté par . Évalué à 0.

            > Ca ne fait que DIX jours de retard ca !

            Date: Tue, 27 Jan 2004 16:06:39 +0000

            gaim (1:0.75-2) unstable; urgency=medium
            .
            * Security update to fix 12 possible buffer overflow attacks. Details are
            at http://security.e-matters.de/advisories/012004.html.(...)
            .
            * debian/patches/buffer-overflows.patch:
            - patch from RedHat's RHSA-2004:032-04 advisory to fix CAN-2004-0006/7/8,
            thanks to RedHat for this patch, Jacques A. Vidrine for the initial
            patch, and Stefan Esser for finding the original problems
            (closes: #229843)

            ----------

            Je ne sais pour les annonces, mais le paquet était corrigé dans la journée ... donc la faille réglée aussi ...alors bon, pour tes remarques sur la promptitude c'est un peu mal placé je trouve.

            mes 2c
            • [^] # Re: Debian en progression pour les serveurs web

              Posté par (page perso) . Évalué à 2.

              Faut quand meme etre en unstable pour avoir ce paquet immédiatement
            • [^] # Re: Debian en progression pour les serveurs web

              Posté par . Évalué à 2.

              Super Gnome 7.93.2 est sorti hier mais comme personne ne l'annoncera avant 10 ans personne ne l'aura testé !

              Moi je te dis quand ca arrive dans ma mailbox, ce qui correspond à la date a partir de laquelle tu es supposé être au courant et donc pouvoir chercher/appliquer un remède au problème. Si le patch a attendu tout seul sur les mirroirs pendant 10 jours il n'a pas été très utile.

              Bon sur ce j'arrete la :-)
              • [^] # Re: Debian en progression pour les serveurs web

                Posté par . Évalué à 0.

                Tu tournes en instable et t'attends les annonces de sécurités pour mettre à jour ? Faudra que tu m'expliques pourquoi tu tournes en unstable alors ...
                • [^] # Re: Debian en progression pour les serveurs web

                  Posté par . Évalué à 1.

                  Je tourne en unstable ? Tu as lu le premier message ?
                  J'utilise plus Debian depuis un an et demi....
                  • [^] # Re: Debian en progression pour les serveurs web

                    Posté par . Évalué à -2.

                    > Moi je te dis quand ca arrive dans ma mailbox, ce qui correspond à la date a partir de laquelle tu es supposé être au courant et donc pouvoir chercher/appliquer un remède au problème. Si le patch a attendu tout seul sur les mirroirs pendant 10 jours il n'a pas été très utile.


                    T'es en unstable, et t'updates tous les combien de temps alors ? Parce que si t'updates tous les jours tu peux pas dire que le patch a attendu 10j sur les mirroirs ... il était dans la mise à jour du paquet le lendemain et donc le problème était réglé sur ta machine (peut être sans que tu le saches, mais il était réglé). Donc dire qu'il n'a pas été très utile est complétement faux ...
                    • [^] # Re: Debian en progression pour les serveurs web

                      Posté par . Évalué à 0.

                      putain tu sais lire ? JE N'UTILISE PLUS DEBIAN. Ca fait juste trois fois que je l'écris mais bon...
                      • [^] # Re: Debian en progression pour les serveurs web

                        Posté par . Évalué à 0.

                        Bon visiblement l'utilisation du "tu" dans une phrase générale (ie: en se plaçant dans la situation de l'utilisateur) ca passe pas avec toi, donc on va la refaire.

                        Tu penses vraiment que le gars en unstable il met à jour seulement quand il recoit une alerte de sécurité ? Tu m'expliqueras l'intérêt qu'il a à tourner en unstable alors ....
            • [^] # Re: Debian en progression pour les serveurs web

              Posté par . Évalué à 4.

              en _stable_ il a mis 10 jours http://www.debian.org/security/2004/dsa-434(...) , les version de dev on s en fout , c est a tes risques et perils.
              • [^] # Re: Debian en progression pour les serveurs web

                Posté par . Évalué à 2.

                D'après le serveur ftp (http://security.debian.org/pool/updates/main/g/gaim/(...)), le packet a été installé le 28 janvier pour l'archi i386 (5 février pour mipsel).

                A mon avis, ce qu'on peut reprocher à Debian, c'est de ne pas publier de DSA avant que les packets ne soient disponibles pour toutes les architectures. Mais que faire alors : un DSA pour la découverte du problème, puis un DSA pour chacun des nouveaux packets par architecture qui essayent de corriger le problème, puis un DSA pour le packet bien testé par architecture qui corrige le problème, puis un DSA quand tout est prêt (le seul actuel) ?
                Pour ma part, bof, il suffit vérifier chaque jour qu'aucune mise à jour de sécurité n'est disponible. Et ça, ça se fait très bien avec une crontab pour la distrib stable.
                Associé à apt-listchanges, ça permet de choisir si on veut la mise à jour où si on attend la version certifiée/testée.
                • [^] # Re: Debian en progression pour les serveurs web

                  Posté par . Évalué à 1.

                  Pour chaque porblème décrit dans le DSA il y a :

                  "These problems only affect the version in the unstable distribution"

                  et pour le porblème qui affecte la version de la stable et qui concerne Yahoo :

                  "However, the connection to Yahoo doesn't work in the version in Debian stable."

                  Peut etre que je me trompe mais j'ai l'impression que ces failles n'étaient pas urgentes pour la woody.
      • [^] # Re: Debian en progression pour les serveurs web

        Posté par (page perso) . Évalué à 1.

        Ba ca prouve simplement que les admins debian sont plus incompetants que les autres, par ce qu'ils savent pas mettre "ServerTokens Prod" dans leur httpd.conf.

        Mais bien sûr ! Comment n'y avais-je pas pensé ? Cacher le nom du serveur va permettre d'éviter que les attaques automatisées viennent tout péter ! En effet ces outils de script-kiddies vérifient bien les bannières avant de lancer une attaque, car ce sont des outils très polis.

        Et si jamais c'est quelqu'un qui veut particulièrement du mal, sûr que ça va l'empêcher de tester différentes attaques, comme il a pas la version il saura pas quel défaillance exploiter.

        Security through obscurity...
        • [^] # Re: Debian en progression pour les serveurs web

          Posté par . Évalué à 2.

          Il s'agit simplement de limiter la divulgation d'information qui permettrait à un utilisateur malveillant de bénificier d'informations lui rendant plus facile la tâche.

          De la vrai "security through obscurity" serait de changer complètement la bannière de façon à renvoyer une version IIS au lieu d'apache par exemple.

          Le fait de ne pas donner la distribution ni le numéro de version du serveur apache, permet par exemple dans le cas d'openfuck (exploit permettant de profiter d'une faille openSSL) d'augmenter la difficulté pour un débile mental (script kiddy en anglais) car l'exploit demande en parametre le numéro de version d'apache et le nom de la distrib sur laquelle il doit se lancer.

          Cela n'empechera pas une attaque bien évidement mais en ne livrant pas ces informations, l'attaquant devra essayer plusieurs combinaisons en aveugle ce qui augmentera le bruit généré et donc les chances de remarquer ce traffic dans les logs.

          Tout ceci n'est qu'un exemple bien entendu et ne peut être interprété comme ma vision de la sécurité informatique.

          La sécurité c'est un peu comme les oignons, ca pu^H^H possède différentes couches :p
      • [^] # Re: Debian en progression pour les serveurs web

        Posté par . Évalué à 1.

        Je reviens la dessus, mais j'ai oublié un truc:

        http://uptime.netcraft.com/up/graph?site=linuxfr.org(...)

        «The site linuxfr.org is running Apache/1.3.26 (Unix) Debian GNU/Linux mod_gzip/1.3.19.1a PHP/4.1.2 mod_ssl/2.8.9 OpenSSL/0.9.6g on Linux. »


        Vraiment ces admins Debian...

        ;-)
  • # Re: Debian en progression pour les serveurs web

    Posté par . Évalué à -8.

    Halala les gars, vous me faites tous trop marrer avec vos commentaires à la con, vous êtes entrain de vous prendre la tête pour des conneries, des vrais gosses.

    Faut sortir prendre l'air desfois...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.