Gdybym miał zgadywać, nie będąc w rzeczywistości pokoleniem deweloperów i opiekunów Debiana, zgaduję, że:
Debian jest przede wszystkim zaprojektowany jako system operacyjny serwera, zarówno gałęzie sid, jak i testujące mają za główny cel stworzenie następnej stabilnej gałęzi, aw momencie zamrożenia są zamrażane, a nowa stabilna jest pobierana z testów, ponieważ tylko stało się ze Stretchem.
Biorąc to pod uwagę, zakładam dalej, musiałbym to potwierdzić ze znajomym sysadmin, że zapory w centrum danych są urządzeniami zewnętrznymi, znacznie wyższym bezpieczeństwem (przynajmniej jedna ma nadzieję, że tak jest)), do serwerów i obsługiwać główny zadania zapory ogniowej. Tak jest nawet w małej sieci LAN z routerem, router jest zaporą ogniową, nie używam żadnych lokalnych reguł zapory na żadnym z moich systemów, dlaczego miałbym?
Myślę, że może ludzie mylą lokalne instalacje stacjonarnego Debiana lub pojedynczego serwera plików w biurze lub domu z faktyczną pracą związaną z Debianem, która moim zdaniem koncentruje się głównie na wykorzystaniu produkcyjnym.
Nie jestem tego pewien, ale po ponad dziesięciu latach używania Debiana to jest moje odczucie, zarówno jako programisty, jak i zwolennika Debiana na wiele sposobów.
Mogę to sprawdzić, ponieważ to właściwie dobre pytanie, ale domyślam się, że prawdziwe sieci są zapory ogniowe w punktach wejścia do sieci, a nie na podstawie poszczególnych komputerów, a przynajmniej to jest podstawowy pomysł, który może prowadzić Debian. Plus, oczywiście, że gdyby tak nie było, sysadmin konfigurowałby reguły zapory dla poszczególnych komputerów, używając czegoś takiego jak Chef, nie polegając na żadnej domyślnej instalacji, co nie byłoby czymś, co zwykle aby zaufać, na przykład, domyślne konfiguracje ssh Debiana nie są tym, czego użyłbym osobiście jako domyślny, na przykład domyślnie zezwalają na logowanie do roota, a administrator systemu musi to naprawić, jeśli uzna to za złą praktykę .
Oznacza to, że myślę, że istnieje kompetencja Debiana, która może być nieobecna w niektórych innych dystrybucjach. W tym momencie zmienisz to, co chcesz zmienić, tworzysz obrazy, zarządzasz nimi za pomocą oprogramowania do zarządzania witryną i tak dalej. To tylko kilka możliwości. Na przykład, nigdy nie użyłbyś DVD do stworzenia nowego serwera, przynajmniej nigdy w produkcji, prawdopodobnie użyłbyś czegoś takiego jak minimalna instalacja sieciowa, tego zawsze używam, na przykład (użyłem jeszcze mniejszego obrazu , ale przestali to robić). Jeśli spojrzysz na to, co jest zawarte w tej instalacji bazowej, dostrzeżesz, co Debian uważa za kluczowe, a co nie. Na przykład jest tam ssh. Xorg nie jest, Samba nie jest.
Można również zapytać, dlaczego wrócili do GNOME jako domyślnego pulpitu, ale są to tylko decyzje, które podejmują, i których użytkownicy w zasadzie ignorują, ponieważ można ustawić systemy tak, jak chcesz (to znaczy, aby uzyskać komputery stacjonarne Xfce, ja nie nie instaluję Xdebian (jak w Xubuntu), po prostu instaluję rdzeń Debiana, Xorg i Xfce i zaczynam. W podobny sposób, gdybym chciał zapory ogniowej, skonfigurowałbym ją, poznał tajniki i inne elementy, itp., Ale osobiście nie spodziewałbym się, że Debian będzie dostarczał z włączoną funkcją, to byłoby dla mnie trochę irytujące. . Być może moje poglądy na ten temat odzwierciedlają pewien rodzaj konsensusu, który można również znaleźć wewnętrznie w Debianie.
Plus, oczywiście, tak naprawdę nie ma czegoś takiego jak Debian, są różne obrazy instalacyjne, netinstall, pełna instalacja, wszystkie one różnią się od odsłonięcia, tylko cli, do dość kompletnego pulpitu użytkownika. Użytkownicy produkcyjni prawdopodobnie stworzyliby na przykład obrazy, które byłyby skonfigurowane tak, jak tego chce użytkownik. Wiem, że gdybym konfigurował serwer Debian, zacząłbym od podstaw i przygotowywał go, aż zrobiłby to, co chciałem.
Następnie masz świat serwerów sieciowych, który jest zupełnie inną kulą wosku, mają one bardzo różne pytania bezpieczeństwa, a jak powiedział mój stary przyjaciel dobrze związany z podziemiem hakerów, ktoś, kto prowadzi serwer internetowy, nie wiedząc, jak zabezpieczyć Można go również nazwać kimś, kogo serwer jest własnością crackerów.
iptables
fabrycznie zainstalowany! Sądzę, że ludzie po prostu próbują przenieść zasadę end-to-end do warstwy 7 ekstremalnej ...