mozno sa mylim, ale ked porovnavam scenare bezpecnostnych problemov IIS a Apache (resp. obecne MS produktov verzus Opensource), tak sa mi zda, ze pri IIS problemoch najskor niekto odhali problem, na svet sa dostane exploit a potom pride riesenie.
Kdezto pri Apache (a openssl, sendmail a podobne) sa najskor urobil velke halo, ze v tom softe je diera .. clovek si stiahne patch, prekompiluje a zase sa moze venovat niecomu inemu.
V par clankoch hore ludia spominali vyssiu mieru integracie IIS a MSSQL s Windows .. ale to ma aj druhu stranku. Vyssia miera integracie (priam by som povedal ze prerastenost tych systemov) znamena na druhu stranu niziu modularitu a oddelitelnost .. niekto to nazve tak, niekto inak.
Nemam skusenosti s "velkymi" web a intranet servermi .. ale iba s malou firmou. Ale pokial robim napr. Freebsd server, ktory sluzi ako postovy server, intranetovy web server, je tam webmail, samba, squid, zabezpecuje routovanie, je tam firewall, DNS server .. jeden alebo viac demonov na preklad adries .. sql server pre webove aplikacie ..co ja viem, LDAP databaza .. a par podobnych drobnosti, tak cely ten system bude fungovat. A ked to chcem upgradovat, tak jednotlive komponenty su samostatne (upgradnem squid a nezacne mi padat sendmail alebo apache). A ked to clovek potrebuje preklopit na novy server (upgradovat samotny OS), tak nainstaluje novy server, aplikacie, a vecsinu konfiguracie uplne sprosto prekopiruje vo forme textovych suborov.
Tototo mi nejak vo Windowsoch chyba. Modularita. Moznost pridavat/uberat komponenty a nestratit kontrolu nad vecou.
Verim, ze odbornik dokaze vyladit a zabezpecit vysokovykonny web server WIN+IIS na nejakej multiprocesorovej brutalite .. ale skor by som potreboval maly server, pre par uzivatelov, kde by bezali vsetky nainstalovane programy a neovplyvnovali sa.
Alebo iny priklad: upgradujem Apache, a bezi mi tam zaroven stara verzia (port 80) a nova verzia (port 81) .. a ked som spokojny s novou verziou, tak zastavim stareho a spustim noveho .. a system je mimo prevadzky tak 5 sekund. To iste ked upgradujem php alebo iny komponent.
Kdezto s windowsami (NT4.0 server, Exchange 5.0 a 5.5, MSSQL) sme mali tu skusenost, ze to fungovalo iba ked sa to nainstalovalo (najlepsie kazdy produkt zvlast - Exchange + MSSQL na jednom stroji moc neslo .. kazdy zozral kolko pamate mohol) a potom sa toho NIKTO NECHYTAL ! Kym to bezalo, bolo dobre. Ked sa vyskytol problem, prehladal sa Technet, ak sa nieco naslo, vyskusalo .. pripadne sa cez to hodil service pack .. ale nikto nevedel dopredu povedat, co ten service pack spravi .. takze pre istotu sa ten server zalohoval pomocou Ghosta (image celej partition).. aby v pripade potreby sa to dalo obnovit. Migraciu z Exchange 5.0 na 5.5 som nejak moc nezvladol ..takze som to radsej cele rucne vytvoril a uzivatelske konta premigroval cez PST subory.
Ok, poviete si, ze amater .. no dobre, tak som - ale napriek tomu dokazem spravovat zopar unixovych serverov .. s ktorymi taketo problemy nemam. Cize TCO (total cost of ownership, ci ako sa ta pekna kategoria vola) je nizsia, ako keby mala firma zvlast zamestnavat (alebo prenajimat) nejakeho spickoveho odbornika, tak sa nam to pekne predrazi. Zasahy do unixov zatial vykonavam iba v dvoch pripadoch: 1.- treba nieco zmenit (vylepsit) 2.- treba nieco opatchovat
Alebo si predstavte jednu kancelariu, kde su 3-4 tetusky a ich server je Pentium 120 +128MB RAM, so zrkadlenymi diskami .. sluzi ako file server, dialup server na internet, proxy server .. pripadne tam moze byt nainstalovany antivirak (NOD) .. DNS.. a vsetko chodi a bude chodit, ak kym neodidu disky alebo napajaci zdroj. Raz sa to spravi a funguje .. kdezto mali sme znamych kde podobnu funkciu robil podstatne nadupanejsi stroj s Windows a niekedy bolo treba restartovat system, lebo prestal fungovat dialup .. a rozbehol sa az po restarte .. alebo Exchange po par desiatkach dni si povedal, ze uz dalej nejde .. a podobne.
A navyse, zakial co Windowsak musi svoje znalosti velmi rychlo NAHRADZAT novymi, tak opensource softver sa tak nejak pomaly VYVIJA, takze k znalostiam treba iba PRIDAVAT. Ked viem, ako sa konfigurovala samba a sendmail pred 4 rokmi, tak odvtedy pribudlo par novych crt .. ale inak vsetko po starom..
Berte to prosim iba ako nazor, ktory nechcem nikomu vnucovat ..ale kym si druha strana bude n-ty krat preinstalovavat server, tak ja si idem oddychnut.