дистрибутив - гость в openvz

debian нормально пашет, проверенно на etch и lenny. Потребуется около 500-700 метров на диске под него. Меньше не ужать т.к. пакеты в дебиане обычно собраны со всеми зависимостями. А если и есть лайт-версии то они часто ущербные.

наверное все таки буду использовать source-based, т.к. зависимости проставляешь сам и собираешь сам...

Шаблон слаквари умещается в 30 Мб. Вот только если ориентироваться на хорошую поддержку, то мое imho - debian. Кстати, под поддержкой я понимаю оперативность выпуска багфиксов, или вас интиресует возможность on-line общения по горячей линии? :)

естественно багфиксы, я на gentoo.ru достаточно болтаю )
у gentoo достаточно хорошая поддержка + очень радует возможность оптимизации под железо. в чем минусы (конкретно для использования в качестве гостя)

Использовать source-based не рекомендую. Но дело тут не в проблемах виртуализации, а в решаемой задаче - поддержка сетевых сервисов.
Для таких задач очень актуален вопрос безопасности, а у source-based дистров обновление является значительно более трудоемким и хуже поддается автоматизации, чем в binary-based. В то же время выигрыш от оптимизации при сборке обычно незначителен - порядка нескольких процентов в лучшем случае.
Если же не рассматривать вопросы безопасности, то тогда source-based дистры выигрывают у бинарных за счет возможности уменьшения занимаемого места.

Резюмируя: если ваши сервера будут глядеть в интернет или в UTIN, рекомендую не жлобиться с местом и взять демьян либо центос. Если же они будут доступны только из trusted internal networks - тогда, пожалуй, можно и место экономить на генте или арче.

нормально они автоматизируются, разницы вообще нет никакой... генту буду юзать наверное
сервисы смотрят в интернет

разница есть:

1) необходимость наличия gcc

2) время

пункт 2 понятен, чем плох пункт 1? это вызывает проблемы с безопасностью или просто жиреет дистрибутив? вот собственно это и хотелось услышать

>нормально они автоматизируются, разницы вообще нет никакой...
1. Сборка есть процесс более сложный, чем установка бинарного пакета, поэтому вероятность ошибиться при его описании выше.
2. Процесс пересборки трудоемок сам по себе, как для администратора, так и для сервера.
3. Необходимо наличие компилятора, что для смотрящего в интернет сервера недопустимо.
4. Если вы собираетесь устанавливать обновления безопасности из сорцов, вам в обязательно придется держать в этих контейнерах не только gcc, но и заголовочные пакеты для практически всех используемых библиотек. Разумеется, это отрицательно скажется на размере системы. Эффективно можно ужать лишь необновляемую систему.

>Если вы собираетесь устанавливать обновления безопасности из сорцов, вам в обязательно придется держать в этих контейнерах не только gcc, но и заголовочные пакеты для практически всех используемых библиотек. Разумеется, это отрицательно скажется на размере системы. Эффективно можно ужать лишь необновляемую систему.
может он будет пакеты собирать и рассылать по серверам?

> 3. Необходимо наличие компилятора, что для смотрящего в интернет сервера недопустимо.

Ну это предрассудки. Как уже много раз говорили, трояны сто лет как на перле и php пишут. Им не нужен компилер, кроссплатформенное решение и они ничем не хуже троянов на C.

Вот чем хороши бинарные дистры так это поддержкой security-обновлений. В генте такого нет. Не, ну там выходят иногда ебилды с -r1, -r2 итп, но надолго разрабов с ними не хватает.

>может он будет пакеты собирать и рассылать по серверам?

Можно, конечно. Но мы с бинарными-то дистрами задалбываемся, хотя к нашим услугам штатные средства поддержки собственных реп.
А уж как с этим делом в сорцовых дистрах - представить страшно.

>Ну это предрассудки. Как уже много раз говорили, трояны сто лет как на перле и php пишут. Им не нужен компилер, кроссплатформенное решение и они ничем не хуже троянов на C.

Не спорю. Но удаление компилятора отсекает целый класс возможных угроз. Причем класс довольно опасный - именно на сях обычно пишутся всякие сплойты к ядру/удаву, дающие рута.
Хотя, конечно, не факт, что многие из этих вещей нельзя реализовать на скриптах.

>Вот чем хороши бинарные дистры так это поддержкой security-обновлений. В генте такого нет. Не, ну там выходят иногда ебилды с -r1, -r2 итп, но надолго разрабов с ними не хватает.

Имхо вы их немного недооцениваете http://www.gentoo.org/security/en/
В каждом уважающем себя дистре есть команда безопасности, занимающаяся секурити-апдейтами.

ну что мешает злоумышленнику написать у себя на компе эксплойт и потом загрузить в систему?

зы. имхо система бинарных пакетов в генте довольно удобна
зы2. поставил генту на контейнеры, чисто из соображения - что лучше знаю - тем могу лучше управлять

>ну что мешает злоумышленнику написать у себя на компе эксплойт и потом загрузить в систему?

Необходимость ставить у себя идентичную систему.

Один из ключевых принципов безопасности, которым меня учили, формулируется так: если нельзя полностью обезвредить какой-либо вид атаки, нужно попытаться максимально затруднить его реализацию.

>зы2. поставил генту на контейнеры, чисто из соображения - что лучше знаю - тем могу лучше управлять

Ну вот с этого и надо было начинать :)

> Имхо вы их немного недооцениваете http://www.gentoo.org/security/en/

Я не это имел в виду. В бинарных дистрах версии ПО стабилизированы а в генте нет. Поэтому, например, после обновления expat для устранения дыр в нём у меня полегло пол системы. Хорошо хоть revdep-rebuild есть.

В общем, если бы они держали стабильную ветку в которую бы тока security-патчи добавлялись цены бы им не было.

А вдруг злоумышленник и toolchain принесёт? :).

Тут, на самом деле дело не в наличии/отсутствии компилятора. Просто надо сделать систему такой чтобы у юзера не было привилегий обрушить или взломать систему. Ведь если нет компилера это не значит что нельзя тулчейн закачать. Средствами всяких selinux итп.

>Поэтому, например, после обновления expat для устранения дыр в нём у меня полегло пол системы.

О, ужас! Как хорошо, что у нас серваков на генте нет.

>А вдруг злоумышленник и toolchain принесёт? :).

Я уже говорил - отсутствие компилятора не дает никаких гарантий. Оно лишь весьма затрудняет атаку.
Иногда даже такое затруднение бывает очень полезно.
Предположим, некто Вася сломал какой-то сайт на хостинге и залил туда веб-шелл. Теперь он хочет скомпилять сплойт и получить рута. Какова вероятность того, что увидев отсутствие компилятора, он пойдет собирать аналогичную систему на эмуляторе, или тянуть в эту систему тулчейн? Зависит от уровня квалификации Васи. Если он просто школьник-кульхацкер, он даже о понятиях "веб-шелл" и "сплойт" имеет смутное представление, не говоря уж о тулчейне. Просто "тыкает в кнопочки" по инструкции. В этом случае вероятность преодоления им этого рубежа весьма низка. Если же он настоящий спец, его это, конечно, не остановит. Вот только кульхацкеров в этом мире на несколько порядков больше, чем спецов...

>Средствами всяких selinux итп.

Я разве говорил, что они не нужны? :)
Отсутствие компилятора вовсе не отменяет других мер безопасности.