[FUG-BR] Migrando do FreeBSD 9.3 para 11

Seg Maio 15 13:12:41 BRT 2017

Em 15 de maio de 2017 12:12, Renato Frederick <renato em frederick.eti.br>
escreveu:

> Em 15 de maio de 2017 10:55, Paulo Henrique <paulo.rddck em bsd.com.br>
> escreveu:
>
> > Em 15 de maio de 2017 09:39, Renato Frederick <renato em frederick.eti.br>
> > escreveu:
> >
> > > Em 8 de maio de 2017 12:01, Paulo Henrique <paulo.rddck em bsd.com.br>
> > > escreveu:
> > >
> > > > Em 8 de maio de 2017 11:03, Renato Frederick <
> renato em frederick.eti.br>
> > > > escreveu:
> > > >
> > > > > Em 8 de maio de 2017 08:26, Renato Botelho <rbgarga em gmail.com>
> > > escreveu:
> > > > >
> > > > > > On 05/05/17 20:31, Renato Frederick wrote:
> > > > > > > Em 3 de maio de 2017 17:46, Renato Botelho <rbgarga em gmail.com>
> > > > > escreveu:
> > > > > > >
> > > > > > >> On 03/05/17 16:39, Edinilson - ATINET wrote:
> > > > > > >>> On 03/05/17 16:11, Edinilson - ATINET wrote:
> > > > > > >>>> On 03/05/17 14:29, Edinilson - ATINET wrote:
> > > > > > >>>>> Caros amigos, alguém já fez o upgrade do FreeBSD 9.3 para o
> > 11?
> > > > > > >>>>>
> > > > > > >>>>> Se sim, poderia compartilhar a experiencia?
> > > > > > >>>>>
> > > > > > >>>>> Você usa 9.3-RELEASE ou 9.3-STABLE?
> > > > > > >>>>> Quer atualizar via src ou via freebsd-update?
> > > > > > >>>>> --
> > > > > > >>>>> Renato Botelho
> > > > > > >
> > > > > >
> > > > > > Ah sim, eu não compilo mais nada em servidores há muito tempo. Só
> > uso
> > > > > pkgs.
> > > > > >
> > > > > > Se o ambiente pede pkgs com OPTIONS diferentes eu monto um
> > poudriere
> > > e
> > > > > > ele gera meus repositórios automaticamente.
> > > > > >
> > > > >
> > > > > Pois é, xará, compilar não é vida não. Já foi a época que eu
> > compilava
> > > > > QMAIL, antispam, blá blá. lembro de fazer no início no SLACKWARE,
> que
> > > nem
> > > > > ports tinha. Isso em Pentium, ou se o cliente era milionário,
> Pentium
> > > > > Pro...
> > > > >
> > > > > Hoje ou eu coloco um pfsense se for prá fazer qualquer coisa de
> > > > > firewall/router/etc ou instalo o bsd e adquiro programas com
> > instalador
> > > > que
> > > > > a licença é barata, se for prá serviço de email.
> > > > >
> > > > > Acho que a única coisa que eu deixo instalando é se for o DJBDNS,
> > pois
> > > > não
> > > > > trabalho com bind, mas não aceitar IPv6 parou no tempo
> > > > >
> > > > >
> > > > >
> > > > > Renato Frederick
> > > > > Consultor em TI
> > > > > http://about.me/renatofrederick
> > > > > Skype: renatofrederick
> > > > > +55 31 99123 - 3006
> > > > > +55 31 2523 - 0686
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > >
> > > > Nada contra quanto as descisões por utilizar software/solução de
> > > caixinha.
> > > > Concordo que quando a coisa é simples, um firewall/proxy/snort ( com
> > > regras
> > > > open-source ) a praticidade e a interface torna o PFSense uma
> excelente
> > > > escolha., um Storage com recursos triviais faz o FreeNAS ser uma
> ótima
> > > > solução, nesse caso creio que é uma solução que se supera, o nivel de
> > > > otimização e recursos do mesmo é imcomparavel mesmo para o FreeBSD
> > puro.
> > > >
> > > > Quando se volta a atenção para uma necessidade onde o fator custo é
> > > critica
> > > > (instituição publica ou educacional) e o fator segurança também é
> > > critica o
> > > > que resta é apelar para o open-source em um comodity hardware,
> > > recentemente
> > > > li a utilização do BRO ( NMS ) filtrando 100GB/s de tráfego em uma
> > > > universidade do EUA, uma solução de IDS/IPS/NMS com caixinha fechada
> > era
> > > > inviável devido aos elevados custos tanto com a caixa como com o
> > > > licenciamento das soluções, gastaram com o hardware somente e
> > > construiram a
> > > > própria solução que está atendendo-os a uma fração do custo do
> > > proprietário
> > > >
> > > > Não é uma solução prática de trabalhar, requer dos administratores
> uma
> > > dose
> > > > significativa de esforço e competência técnica, além de estarem quase
> > > fora
> > > > de capacidade de suporte pela comunidade quanto a potenciais
> problemas,
> > > > incluindo ai a ausência ou dificuldade de se contratar um suporte
> > > comercial
> > > > e a instituição ficar refém de dois ou três caras, são pontos que
> vale
> > a
> > > > pena discutir e determinar se o projeto/instituição terá problemas
> com
> > > > elas.
> > > >
> > > > Há outros cenários onde compilar o kernel/world/ports ainda tem
> algumas
> > > > vantagens, seja para ativar recursos ou otimizar a capacidade
> > > > computacional, como roteador de borda, a 4 anos atrás quando se
> falavam
> > > em
> > > > mais de 2.5Gb/s de trafego e 1Mpps a adoção de soft-routers
> > > automaticamente
> > > > já era condenada, porém hoje há inumeros relatos de soft-router sobre
> > > > FreeBSD/Linux comutando 5Gb/s com mais de 2Mpps com várias sessões
> BGP
> > > > full-router.
> > > > Servidores de front-end de portais de internet com quantidade de
> > acessos
> > > > muito grandes também requer uma ótimização mais fina do sistema,
> > afinal o
> > > > Whatsapp só consegue manter a estabilidade/disponibilidade dele para
> a
> > > base
> > > > de usuários deles com custos realmente baixo devido as otimizações
> > > > realizadas no sistema, ( a disponibilidade nem tanto pois teve um
> galho
> > > > semana passada, mas sem qualquer explicação para compreendermos ).
> > > >
> > > > O encaixotamento de solução por parte dos fornecedores de software
> faz
> > > mais
> > > > mal a comunidade open-source do que bem, não é atoa que nos ultimos
> > anos
> > > a
> > > > capacitação técnica dos profissionais Linux/Unix que entram no
> mercado
> > > são
> > > > medonhos, profissionais com LPI1/2 que nunca compilaram um kernel
> > linux,
> > > > felizmente ainda não é o caso da BSDA, profissionais de redes que só
> > > usam o
> > > > linux X ou Y por que se mudar a distribuição não sabem nem por onde
> > > > começar, isso quando utilizam linux, pois já vi CCNA que só sabia
> usar
> > > > Windows.
> > > >
> > > > Quando presto um serviço na implantação de um servidor/serviço em uma
> > > > empresa, tenho por obrigação otimizar ao máximo e garantir a maior
> > > > estabilidade do sistema que estou sendo pago para implantar, se a
> > > descisão
> > > > é por uma solução open-source, irei otimizar tudo o que for possivel,
> > > > ativar tudo que é recurso de segurança que o sistema possui, firará
> > > > complexo para gerir o ambiente/serviço/servidor, sim ficará, mas o
> meu
> > > > contrato de suporte pós implantação já leva em consideração as
> 48Horas
> > > que
> > > > gastarem para atualizar o sistema, se a empresa não quer pagar o
> > contrato
> > > > de pos implantação ou quer uma solução proprietária for Gardner, bom
> > > então
> > > > lógicamente não serei eu a ser contratado.
> > > >
> > > >
> > > > Att.
> > > >
> > > >
> > > >
> > > >
> > > > --
> > > > :UNI><BSD:
> > > > Paulo Henrique.
> > > > Fone: (21) 37089388.
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > >
> > > Oi Paulo.
> > > Não sei se foi aqui ou na gter, alguem mandou um documento em que uma
> das
> > > partes eles pegaram
> > >
> > > openbsd
> > > freebsd
> > > pfsense
> > > linux
> > >
> > >
> > Foi publicado no GTER [1] e tem a referente ao serverU [2], embora há
> > outros posts com muitas informações que se fazer um compilado permite
> > averiguar o quão evoluido os sistemas open-sources estão perantes os
> > sistemas proprietários.
> > [1] https://eng.registro.br/pipermail/gter/2014-August/050839.html
> > [2] http://www.serveru.us/pt/netmapl800
> >
> > ai fizeram teste de performance, usando smp, sem smp(o open se ferrou
> > > porque o smp é "exótico"), depois fizeram mais um teste de performance
> de
> > > firewall, usando pf, ipw, iptables, etc.
> > >
> > > a performance da caixa pfsense para o freebsd não foi tão diferente
> não.
> > o
> > > pessoal lá faz um bom trabalho com o kernel, claro que tem que rodar um
> > > genérico, afinal deve ter instalação usando realtek, intel, sas, sata,
> > > scsi, etc.
> >
> >
> > > Porém o que saiu melhor foi o linux :)
> > >
> > > Acho que você está falando com relação ao NETMAP/DKDI , logicamente
> que o
> > linux será muito melhor, conforme o próprio Parceiro, Provedor Bogus
> > apontou na thread, as arquitetura/projetos de roteamento em open-source
> > estão mais avançadas, porém ele também frisa o caso do desenvolvimento
> dos
> > drivers da Intel que são feitos pelos próprios funcionários da empresa e
> é
> > onde obtém uma melhor performance.
> >
> >
> > > acho que de boa se for fazer um estudo de quantos % a performance é
> > melhor
> > > pegando kernel, tirando device, depois compilando manualmente não
> > justifica
> > > o trabalho.
> > >
> > > Pelo menos o BGP com firewall que uso pfsense, não arrependo de nada de
> > ter
> > > abolido freebsd instalado do zero e openbgpd compilado.
> > >
> > >
> > Quanto a isso de usar caixa de renome, cisco, juniper, etc, é o tal, voce
> > > compra para poder jogar a "bomba" na mão do fabricante. POrém vocÊ pode
> > > comprar suporte do PFSENSE. E quando Cisco dá pau de software, não deve
> > > nada a um linux ou bsd com software bugado, trava, da dump de memoria.
> > > Enfim, mas tem gestor que dorme melhor em comprar isso, comprar
> suporte,
> > > pagar profissional certificado...
> > >
> > > Por mim, todas as caixas tem sua vantagem, tirando é claro mikroSHIT
> que
> > > nem para peso de papel serve.
> > >
> > >
> > > Principalmente na hora de editar pf.conf ou ipfw.rules na mão, aquilo
> se
> > > voce tem 1, 2 clientes, até vai. passou de uma dezena, voce vai ter que
> > > ralar 24h/dia. Sem contar que eu posso contratar uma mão de obra mais
> > > barata para ser meu assistente que vai clicar na web, do que um
> analista
> > > que custa 3x mais. Sim, eu sou capitalista, só não faço a sacanagem de
> > > pagar estagiário e exigir que ele seja analista, mas preciso pensar no
> > > caixa prá poder pagar minha empresa e meus colaboradores.
> > >
> > > Quanto ao freenas, eu usei, mas agora eu uso as soluções da iomega, tem
> > > caixa com até 4 discos, 2 interfaces giga, ou caixa com 4 interfaces e
> 12
> > > discos, interfaces fazendo jumbo frame, round robin, agregation.
> > > Infelizmente tem uns que rodam um linux bugado que trava e tem que
> > > atualizar o "firmware"(que é o linux lá, tem grub, blá blá blá, só
> > alteram
> > > o layout do disco para vocÊ não conseguir acessar o linux se montar o
> > disco
> > > em outro PC).
> > >
> > > Quando a gente vai pro mercado e tem pancada de concorrente jogando o
> > preço
> > > pra baixo, se eu conseguir em 4horas entregar o serviço, para mim é
> > lucro e
> > > claro quanto mais remoto melhor.
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> > Mas ainda ficará restrito ao que o apliance oferece, tem o lado bom que
> > também concordo, facilidade da interface gráfica é fantastico, mas gera
> > péssimos profissionais sobre a tecnologia em um todo, visto que,
> exatamente
> > por quando precisar de um recurso mais especifico que requer compilar o
> > kernel com algumas opções que não vem no generico o cara já pensa em
> adotar
> > solução proprietária não por que tem o tal "suporte" e "enterprise" no
> meio
> > do nome, mas sim por que o cara não sabe.
> > É igual o povo de linux que desativa o SELinux, simplesmente por que não
> > sabem e não querem aprender, vão lá e desativa o recurso de segurança,
> até
> > hoje so teve um ambiente que não consegui fazer o SELinux funcionar 100%
> > com as aplicações e tive que usar ele em modo permissive, friso o modo
> > permissive e disable, contudo pelo menos 90% do material da internet
> criado
> > pelos usuário simplesmente recomendam a desativar e diminuir a segurança
> do
> > sistema em prol da praticidade.
> >
> > Abraços
> >
> >
> > --
> > :UNI><BSD:
> > Paulo Henrique.
> > Fone: (21) 37089388.
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> OPa
>
> Paulo, o paper foi o que o Renato Botelho acabou de postar de novo. Isso de
> desabilitar selinux é pq procura receita de bolo e vai fazendo.
> Sobre o caso da interface gráfica, sim, tem gente no fórum do pfsense no
> facebook que não sabe nem se tá de dia ou de noite, morro de rir das
> mancadas tentando implementar ipsec, é peer com fase 2 diferente, proposal
> errado.. :)
> Mas isso tem em qq lugar, tem "hacker" aí que só sabe usar kalil linux e
> clicar lá, nem sabe o que tá fazendo.
>
> []s
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Estava escrevendo o e-mail quando o Renato mandou o e-mail, lembro de ter
lido isso e foi na FUG pelo que recordo ( preguiça de procurar no historico
).

É onde pega para o lado do sysadmin que está adotando infraestrutura
implementada por "asnalista" seguidores de how to.
A fidelização de cliente que adoto é simplesmente no conhecimento agregado
ao serviço, tanto que diferente do que vejo, onde o consultor/gestor
contratado segura a senha root dos servidores eu já deixo com os clientes,
informando que toda ação no sistema está sendo monitorada e os logs estão
sendo gravados na minha estação em casa, se fizerem m**** eu vou saber e
haverá cobrança para correção, contudo com o selinux no sistema ou o
trustedbsd no caso do FreeBSD, o root muito mal consegue fazer algo
seguindo how to.
Em contra-partida é complicado gerenciar muitos servidores com esses
recursos ativos.
Bom mas creio que já saimos da thread a muito tempo, em um outro momento
abrimos uma thread destinado a discutirmos esses detalhes.

Abraços e vamos aguardar o que o Sr. Edinilson descidiu, e se for partir
para a atualização como será o processo e o impacto no decorrer dele.

Att.

-- 
:UNI><BSD:
Paulo Henrique.
Fone: (21) 37089388.