[Discussioni] [m.lusini a palazzochigi.it: Re: Articolo sulla tecnologia Open Source]

[Marco Ermini]

Simo Sorce wrote:
> 
> Marco Ermini wrote:
> >
> > Simo Sorce wrote:
> > >
> > > Se leggete bene quel _tantomeno_ significa che il tizio HA pregiudizi
> > > verso qualunque software opensource a prescindere da quale sia e che
> > > possa girare sotto linux. Qui non ha imparzialmente dato un giudizio su
> > > un software in particolare ma ha condannato tutta una categoria
> > > (software opensource su Linux), e se non e' pregiudizio questo.....
> >
> > Se mi permetti, e' il mio stesso pregiudizio. Mi ripeto: io avendo un budget
> > virtualmente infinito non userei mai Linux, ne' _tantomeno_ (se il problema e'
> > il "tantomeno"...) un software opensource o non opensource come firewall. Va'
> > da se' che sulla mia ADSL casalinga non ci mettero' mai un Cisco Catalyst, e
> > Linux va piu' che bene, ma se facessi la rete del Governo o di una grossa
> > multinazionale non baderei certo a spese.
> 
> La frase sopra citata esclude qualsiasi sw opensource, che sia sendmail,
> apache, samba, per citarne alcuni, non solo sw di firewalling.

Perche' mai? guarda che io parlo di firewall e basta. Scanso equivoci, non
mettermi in bocca frasi che non ho detto. Non vedo web server migliore di
Apache, e non conosco un HW che faccia le stesse cose.

Ripeto quello che ha detto Rubini, il firewall e' un dispositivo molto
particolare e con compiti e funzioni molto limitate e molto "stupide" che
possono ben essere svolte da un pezzo di latta, creato e studiato da un team
ristretto di persone, e per cui una soluzione a "sviluppo distribuito" puo'
non essere l'ottimale: a meno che tu non voglia legare il firewall ad
applicativi particolari (ma non ne vedo l'utilita') un pezzo di latta va
benissimo.

Al contrario, non potrei immaginare l'utilita' di un mail server o di un web
server che faccia "certe cose e basta". La cosa bella di Apache, per esempio,
e' che ci puoi compilare i moduli che vuoi, non vedo come lo potresti
realizzare in firmware. Qui la soluzione "a sviluppo distribuito" e' la
migliore.


> Se dovessi fare una rete di quelle dimensioni con dei budget infiniti
> userei anche io prodotti cisco per il networking e probabilmente un
> firewall commerciale, ma confido molto in iptables (l'ultima
> incarnazione dei firewall nel kernel 2.4.x) tanto che lo metterei senza
> problemi in molte realta' senza temere, anzi.

Quindi confermi quello che dico io... Sono contento :-)

Per carita', poi, nessuna sfiducia in iptables, solo che ammetterai che tra
aprire una scatola di un Cisco ed attaccare i cavi, e installare e configurare
un PC con Linux c'e' una bella differenza: la prima cosa la puo' fare anche
uno "stupido", per la seconda serve un "geek" vero e proprio, e sicuramente la
seconda cosa e' molto piu' prona all'errore. Io dicevo solo questo...



[...]
> Si' e generalmente sono gonzi che non ne capiscono un h di reti e
> sicurezza.
> Ma quante persone esperte gli servono a quest'uomo? 10.000?
> Quanto costa formare un piccolo staff tecnico che gestisca in modo
> centralizzato i server web governativi? Non penso che servano piu' di
> una decina di sysadmin per tutti i loro server.

Non ne ho idea, ma ripeto, tu ed io non lo sappiamo. Se sai dove trovare dieci
sysadmin Unix skillati e disponibili da un giorno all'altro, allora
telefonami, che ti faccio assumere subito allo stipendio che vuoi tu: come
dicevo lavoro anche nel body renting, e ti posso assicurare che saresti
*veramente* bravo :-)

Battute a parte (ma nemmeno tanto! :-) la mia esperienza e' che trovare gonzi
M$-addicted e' relativamente facile, mentre gente per fare uno staff esperto
Unix o Linux e' mooolto difficile. E generalmente, se sei il capo progetto,
non ti puoi scegliere la gente che lavora con te, ma te la assegnano, o sono i
tuoi dipendenti... se ho un'unica risorsa che conosce Linux e dieci gonzi
Micro$hafter non posso essere cosi' imbecille da fare tutto con Linux, perche'
caricherei di superlavoro una sola persona e ne lascerei ferme altre dieci.
Non so se mi sono spiegato.

Quando hai un budget grosso e ti prendi una pila infinita di PC puoi anche
usare NT ed IIS (anche se crasha ne rimangono altri in piedi...), per certi
servizi (come il DNS ecc.) non puoi fare a meno di uno Unix.


[...]
> Mah speravo che il governo stimasse di piu' la sicurezza di un software
> che il resto.

Secondo me il Governo Italiano fa come tutti: prende una ditta in appalto e se
ne frega. E giustamente, hanno di meglio a cui pensare che il loro sito web,
se mi permetti!!!! credi che quello Americano faccia diversamente? negli USA
gli uffici governativi hanno come unica restrizione quella di usare un OS che
abbia un certo livello di certificazione di sicurezza e che supporti POSIX
1.1. Guardacaso NT ha una libreria chiamata posix.dll che non usa nessuno.

Quello che e' invece giusto fare e' fare pressione politica perche' siano
adottate delle linee guida nella scelta del software, come ha fatto Alessio
Papini al Consiglio Comunale di Firenze. E' un passo piccolo ma per lo meno e'
qualcosa di concreto e non (solamente) chiacchere.


[...]
> Ognuno ha le proprie idee, ma io ho visto sia router che firewall Cisco
> mal configurati e in quantita', ripeto dipende tutto dalla
> professionalita' di chi li configura.
> Ritengo che fidarsi delle impostazioni di default di un apparato
> (qualsiasi) piu' che sulle capacita' di chi poi lo gestisce sia un
> grosso errore di valutazione, e' proprio per questo tipo di ragionamento
> che ho visto andare a rotoli intere reti.

Sono d'accordo, ma insomma e' indubbio che un Cisco lo faccio funzionare, un
Linux devo conoscerlo...


> > > Perche'? Linux non gira mica solo sui "PC"!
> >
> > No, ma poco piu'.
> 
> Beh, dai un occhio qua allora:
> http://perso.wanadoo.es/xose/linux/linux_ports.html

Ah, e su quante piattaforme lo posso trovare gia' installato? o lo installo
facilmente? il resto conta poco. Linux e' nato per i PC, posso anche farlo
girare su un tostapane ma sono hack e ci sara' di sicuro qualcosa che funziona
meglio. Se poi voglio usare Linux per forza, non dico che non ci riesco, ma
perche' devo fare il triplo della fatica o sprecare tempo? A me e' successo,
per esempio, di dover far girare un'applicazione embedded che richiedeva uno
scheduler realtime, e sono ben felice di aver scelto QNX dopo aver fatto due o
tre giorni di prove con due o tre Linux pseudo-real time. Ripeto, io usero',
potendolo fare, le soluzioni che ritengo migliori ogni volta che potro'.


> > > Gira su una marea di
> > > appliance e hardware piu' disparato (e' stato addirittura provato un
> > > porting su apparati Cisco).
> >
> > Ma non te lo certifica certo la Cisco. Mi spiace, un conto e' un sistema
> > embedded fornito dalla IBM con BSD/OS, un conto e' un hackeraggio di Linux su
> > un vecchio Cisco. Quando questi hackeraggi saranno molto diffusi e saranno uno
> > standard, ed io potro' comprare uno scatolotto che non e' "Cisco con Linux" ma
> > "Firewall TizioCaio" che guardacaso ha Linux dentro, allora sara' un altro
> > paio di maniche. Ma se devo "farlo girare" come firewall non e' affidabile, e'
> > solo un esperimento.
> 
> Qualcuno lo fa': http://www.astaro.com/
> con un pc ovviamente.

Bene, sono contento che esistano cose del genere, francamente non le
conoscevo, anche se mi paiono solo soluzioni economiche.


> > Io sostengo il SL nel modo migliore: ovvero, quando non e' adatto, non lo
> > impiego. Gli evito figure di m***a, se mi passi il neologismo. Come il signore
> > di "statura", e come ogni engeneer di rispetto, ricerco gli strumenti migliori
> > in ogni cosa che faccio: per certe cose Linux e' imbattibile, ma questo non
> > vuol dire che devo usarlo a tutti i costi.
> 
> Beh su questo non posso che essere d'accordo al 100%

Ed e', in fondo, l'unica cosa che stavo dicendo... poi sulle specifiche
questioni si puo' essere d'accordo o meno, ma il senso di fondo era questo.


ciao ciao ciao

-- 
Marco Ermini
http://www.markoer.org - ICQ # 50825709
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence.      -- Jeremy S. Anderson