Релиз CentOS 6

> Но может быть это просто ты пытаешься списать солярис со счетов?

Я просто не знаю, что с ним будет, и Оракел этого не объясняет.

Наканецто торрент 100%! Значит официалка близко!)

>будто кто-то с пистолетом у виска заставляет использовать.

а то! манажоры хочут откатов вот и... :-D

>Обьясните зачем нужно сие поделие, если гуголь, утуб, яндекс, бидлоконтакт сидят на дебьяне и им плевать на ентерпрайз от шапки?

Security. У Google, чтобы они не использовали, достаточно возможностей самим патчить open source. Что они и делают, и даже какая-то там «Goobuntu» перепиленная. Yandex юзали FreeBSD, наверняка не только её, сканируйте сами.

В RHEL сидят оплачиваемые люди, занимающиеся своевременным бекпортом security patches. В debian это делают волонтёры, что-то сделали, что-то нет. Не за деньги же, неужели вы думаете коммунизм победил и качественно впереди?

Вот вам навскидку http://security-tracker.debian.org/tracker/source-package/linux-2.6 .

30 security issues висит. Это ядро. В прикладном софте может быть ещё веселее. Версии ж пакетов замораживаются, волшебников нет, патчить трудно. Ещё и за бесплатно.

+ Бекпорты поддержки оборудования в RHEL. В Debian этого нет. + Время сопровождения.

SL!=SLC

Если в яндексе это не имеет место быть, то у остальных аналогично. Очевидно, что если отделов в конторе много, то каждый отдел сам волен выбирать что использовать и для каких задач. Везде для всего использовать дебиан было бы идиотизмом.

Yandex юзали FreeBSD, наверняка не только её, сканируйте сами.

почему в прошедшем времени?

>Хм - а чем CentOS лучше того же Scientific ? Оба - RHEL однако, причем второй все же от CERN ?

SL5 отличался от оригинального RHEL5, работать с ним было не очень, а CentOS5 рулил, нормально апдейтился. В SL6 политика поменялась, почти RHEL6, баги бинарной совместимости искались, но не нашлись. Думайте сами ). Вопрос конкретного использования.

Теоретически цель CentOS - бесплатный RHEL, SL - университетский enterprise linux. То-есть захочется чего-то эдакого в SL7 - возьмут и поменяют. Но задержки CentOS удручают.

Я просто не знаю что-там :). По памяти. Дальше дампов хедеров не смотрел, неинтересно. Я бы на их месте постепенно уходил от FreeBSD. Мучение ж администрировать. Хотя с «бауманки», все имеющие отношение, вроде выходят с любовью к фре, так что ).

> 30 security issues висит. Это ядро.

Ядро Debian пишет? Или в других системах нет жалоб на ядро?

В прикладном софте может быть ещё веселее. Версии ж пакетов замораживаются, волшебников нет, патчить трудно.

Это в шапке веселее. В 5.0 мог быть firefox 1.5, или какой там, а в 5.6 - уже 3.6. У них вообще совместимость профиля сохраняется? В Debian как один раз заморозили, так только для нескольких пакетов может хоть одна циферка поменяться, в остальном - только патчи на уже существующую версию. Плюс есть несколько веток, каждому по потребности.

Ещё и за бесплатно.

Вы так говорите, как будто среди контрибуторов Debian одни школьники после уроков пакеты шлют и патчат.

+ Бекпорты поддержки оборудования в RHEL. В Debian этого нет.

Есть.

+ Время сопровождения.

Эээ.



Вообще, не хочу ничего плохого сказать про шапку, но это такая вещь, которая нужна только тем, кому она нужна :), остальным же она не нужна. Если у кого-то встаёт вопрос «а нужна ли мне шапка», значит, скорее всего, не нужна.

> А теперь посмотри, когда обе тимы осилили 4.9 и 5.6. И скажи что SL сделала правильнее, ога.

Обычно если брать Xrolling, чуть позже того, когда RH делает X.Y, а потом сравнить с релизом SL X.Y, то разницы с роллингом - копейки, всё в пределах погрешности на текущие секьюрити-фиксы. Я роллинг 6 брал ещё, по-моему, в прошлом году, а роллинг на 6.1 - несколько недель назад. Вот и посмотрим, что там так особо изменится с релизом 6.1 - он работает, а 100.0000% совместимость с Red Hat EL мне не нужна, если там вообще разница есть. А если нужна, то лучше купить RHEL, чем ждать полгода.

Кстати, то, что вы называете «CentOS 4.9», это вообще не релиз. Или уже есть iso-шки с CentOS 4.9? Когда я раньше смотрел зеркала, 4.9 была просто симлинком на 4.8, ну таких релизов и Scientific может хоть каждый день выпускать. :)

>Дебиан на моём сервере дико тупит на дисках, а центось - нет. Выбор очевиден.

известно, что у них планировщики ввода-вывода по умолчанию разные. пробовал ставить в дебиане такой же как в центосе?

>> Дебиан тупит

Он не тупит у того, кто умеет им пользоваться.

+100500 Дебиан рулит

> пусть имеется организация чуть более чем много меньшая чем google

Кто, простите, имеется?

>>> 30 security issues висит. Это ядро.

Ядро Debian пишет? Или в других системах нет жалоб на ядро?

в остальном - только патчи на уже существующую версию.

Так и я про патчи на ядро, и софт. Ядро не пишут? Бывает. RH пишет. Как думаете, кто лучше и быстрей пропатчит?

Это в шапке веселее. В 5.0 мог быть firefox 1.5, или какой там, а в 5.6 - уже 3.6

Ну RHEL это всё-таки сервер. Как-то всё-равно. Вроде, кто юзает desktop RH - были рады новой версии браузера.

Вы так говорите, как будто среди контрибуторов Debian одни школьники после уроков пакеты шлют и патчат.

Есть же разница, патчить full time на работе за деньги и по вечерам, отправив жену в очередной раз спать без результата. Кто лучше напатчит?

+ Время сопровождения.

Эээ.

Да, всё плохо. Есть у меня 1 deb в продакшене. Lenny. Жить бы ему, а не тужить, но нужно делать up. На тесте сделал - весь прикладной софт поотваливался. Надо сидеть и всё рагребать, а время деньги. Если бы был RH5 - ещё бы и не думал про это.

Если у кого-то встаёт вопрос «а нужна ли мне шапка», значит, скорее всего, не нужна.

Да конечно. Зачем RH тому же «вконтакту», если там и так местные админы за небольшую взятку, открывают спамерам двери. Какое ещё там security на уровне OS.

Теперь и на Яндексе...

> Так и я про патчи на ядро, и софт. Ядро не пишут? Бывает. RH пишет. Как думаете, кто лучше и быстрей пропатчит?

Можно зайти на опеннет, и понаблюдать за security-новостями, как в каких системах закрываются уязвимости.

Ну RHEL это всё-таки сервер. Как-то всё-равно. Вроде, кто юзает desktop RH - были рады новой версии браузера.

Просто после обновления, вдруг внезапно браузер стал другим. И, неизвестно, все ли настройки сохранятся. Кстати, а почему тогда gimp не обновляют? :)

А вообще, сколько я пытался на десктопе использовать RH/SL/CO, что 4, что 5, что 6 - ну не десктоп это, совсем не десктоп. :( А Debian - более универсален.

Есть же разница, патчить full time на работе за деньги и по вечерам, отправив жену в очередной раз спать без результата. Кто лучше напатчит?

Трагедия прямо. Но интересно не «кто лучше напатчит», а «кто лучше патчит». И с этим можно ознакомиться в security-новостях. Debian Security Team патчит хорошо, уж не знаю, от недоедания или переедания, но справляется.

Да, всё плохо. Есть у меня 1 deb в продакшене. Lenny. Жить бы ему, а не тужить, но нужно делать up. На тесте сделал - весь прикладной софт поотваливался. Надо сидеть и всё рагребать, а время деньги. Если бы был RH5 - ещё бы и не думал про это.

Всё, теперь понял, что такое время сопровождения. Ну, не сказал бы, что всё плохо, за три года можно и сани летом приготовить, но что не очень хорошо - это да, я бы сам не отказался от 7-летней поддержки каждого из дистрибутивов. Но, увы, такими ресурсами Debian Team не располагает. И лучше так, чем если бы они брали деньги за Debian. К тому же, количество поддерживаемых пакетов в Debian и Red Hat просто несоизмеримо, в SL 6 я насчитал примерно 6000 пакетов, а в Debian 6.0 - 30000. Плюс 9 архитектур, плюс kFreeBSD в дополнение к Linux. Debian очень универсальна, и поэтому сил держать всё это по 7 лет нет. А если в Debian сократить до 6000 пакетов и удалить несколько архитектур - то зачем тогда такой Debian нужен? :)

Да конечно. Зачем RH тому же «вконтакту», если там и так местные админы за небольшую взятку, открывают спамерам двери. Какое ещё там security на уровне OS.

Тут всё проще - автор контакта сам «родом» из Debian Team, поэтому что-то другое там было бы удивительно. :) Вот, кстати, уже один контрибутор «неголодный школьник» нашёлся. :)

1. Неверно. Рекомендую ещё раз внимательно прочитать, что это и для чего.

2. Неверно. nmap решает только часть задач, решаемых сканерами уязвимостей - и не самую большую.

3. Это уже вообще за гранью. Попробуйте где-нибудь отключить антиспам и посмотрите, за какой время вас погонят; в среднем это будет два-три дня, не более - а то и существенно меньше.

То, что далее - тоже выглядит очень странно. Ну соберите какую-нибудь из коммерческих SIM/SIEM-, NAC-, DLP-систем на чём-нибудь кроме того, на чём она поставляется - я с удовольствием на вас посмотрю из партера. А потом на вашу попытку получить поддержку. У вас очень своеобразные взгляды на информбезопасность - и имейте в виду, что они неправильные. На данный момент это аксиома, и можете даже не пытаться спорить.

> В новых серверах IBM встречаются SAS контроллеры LSI, которые поддерживаются linux ядром начиная с версии 2.6.33, следовательно debian 5-6 пролетает. В ядро RHEL 5 этот драйвер портирован и работает =)

/usr/src/kernel-patches/all/2.6.32/debian/features/all/SCSI-3w-sas-Add-new-driver-for-LSI-3ware-9750.patch.bz2

Да я не обижаюсь. Я же вижу, что у вас есть непонимание основ - что на это обижаться? Можно только попытаться навести на правильные мысли или проигнорировать.

1. На коммутаторах везде то, что поставил производитель. IOS, CatOS, прошивки HP, Huaiwei, 3Com, D-Link - тысячи их. И это вообще ни при чём.

2. Вы не понимаете, что такое NAC и для чего он. А если мне нужны разные ACL (кстати, укажу на то, что далеко не на всех коммутаторах L2 есть ACL - и даже больше, на большинстве их нет; сюрприз?) в зависимости от суммы результатов несколькиз проверок (ну, скажем, имя пользователя, физическое расположение коммутатора, тип и версия ОС, уровень обновлений, наличие специфического ПО, наличие специфических настроек)? Что делать будете?

Больше от него не требуется, начинает попахивать бредом...

Вы просто не в курсе, поэтому бредом попахивает содержимое вашей цитаты выше, увы...

> Появление несущей это сильно

И что же вас так позабавило? Вы хотите сказать, что несущая на порту есть всегда? Ж;-) Ну-ну.

> Все знают что на рынке серверов под linux на данный момент лидирует RHEL и это же все не с проста. Они этого добились трудом и доказали что они лучшие.

На рынке каких-таких серверов? Пролетал вот недавно график, уж не помню, по веб-серверам, по-моему, так вот там у Debian/Ubuntu цифра больше, чем у RHEL/SL,CO/Fedora.

> Пардон, но что вообще можно применять по появлению несущей на одном из портов? В этот момент о клиенте ж вообще ничего не известно.

Вот. Во-первых, вы невнимательно прочитали - не применять при появлении несущей, а запускать проверку. Не открывая порт до её завершения. Во-вторых, после завершения проверки применять политики, открывая порт в заданной конфигурации. Весь обмен в это время идёт на голом Ethernet.

Так работает практически любой NAC по схеме с применением политик на коммутаторе на уровне 2 (на уровне 3 может быть немного по-другому).

> Когда на порту появляется несущая, никакими радиусами-логинами-паролями еще и не пахнет, и не обязательно вообще запахнет. Интересно что и зачем в таком случае можно применять.

Предыдущий оратор не зря привёл пример конфигурачии коммутатора Cisco. Что, по-вашему, эта конфигурация делает? Ах, она при появлении несущей включает механизм 802.1x, и запускаект проверку по нему? Как странно, да?

>> Теперь скажи что-нибудь про нищебродов и «я использую только самое лучшее». так оно и есть.

Вот представь, что yum умеет даже зеркала ближайшие выбирать, пока apt долбится до посинения в свое единственное прописанное в конфигах.

А что, все деньги ушли на Red Hat и прочее, что даже на организацию локального зеркала не осталось?

> Обычно если брать Xrolling, чуть позже того, когда RH делает X.Y, а потом сравнить с релизом SL X.Y, то разницы с роллингом - копейки, всё в пределах погрешности на текущие секьюрити-фиксы. Я роллинг 6 брал ещё, по-моему, в прошлом году, а роллинг на 6.1 - несколько недель назад.

Роллинг кого, SL?

Кстати, то, что вы называете «CentOS 4.9», это вообще не релиз. Или уже есть iso-шки с CentOS 4.9? Когда я раньше смотрел зеркала, 4.9 была просто симлинком на 4.8, ну таких релизов и Scientific может хоть каждый день выпускать. :)

http://wiki.centos.org/Manuals/ReleaseNotes/CentOS4.9

The upstream provider did not respin media for the 4.9 release and therefore the CentOS project will also not respin our install media.

> Другими словами, начинать 802.1x аутентикацию по оному событию?

Именно это я и сказал. Только в более широком варианте - не только аутентификацию, но и проверку других параметров.

Но называть это «применением политик» как минимум.. туманно, имхо. А «работой поверх стандартного IEEE802.1x» все равно не понял как — где тут поверх-то?

Дорогой анонимус, сделай, пожалуйста, две вещи:

а) научись читать, чтобы не перевирать мои слова; применение политик СЛЕДУЕТ ЗА ПРОВЕРКОЙ и является передачей параметров,которые будут применены к порту при его включении механизмом 802.1x;

б) осиль сходить и прочитать, что такое NAC - тогда поймешь, почему «работой поверх стандартного IEEE 802.1x» (хотя это и не совсем точное определение - идёт одновременно использование механизмов 802.1x и параллельно - собственных механизмов NAC).

> Роллинг кого, SL?

Да.

The upstream provider did not respin media for the 4.9 release and therefore the CentOS project will also not respin our install media.

Так я заглянул в этот 4.9, там в директории с пакетами все пакеты от 4.8. Оно только апдейтами различается? Так в чём тогда разница в 4.8 и 4.9, просто один из упдейтов, которые вообще регулярные, совместили с симлинком на 4.9? Ну да, мощный релиз, я и говорю, SL таких релизов может делать по 10 раз на дню, уже бы давно и Firefox, и Chromium, и Emacs бы перегнал по цифрам.

> да, и может ошибаюсь, но подобную хрень (запускать аутентикацию при появлении линка) можно на баше за 10 минут написать и потестить. Почитатели энтерпрайза могут бросаться помидорами ;)

Напиши. На bash'е. На коммутаторе Cisco. Или 3Com. Или HP. Или... тысячи их. А потом попытайся продать это кому либо как NAC. Будет весело - потому, что NAC - это не 802.1x, который ты собираешься написать на bash'е.

>>openvpn, htop и тп нету в стандартных репах.

А дополнительные репы религия не позволяет подключить?

А security-апдейты и вообще гарантии жизнеспособности этих репов мне кто гарантировать будет? Red Hat? Да он пошлёт меня вместе с этими «левыми» репами, и правильно сделает.

Какой смысл в прочном мегафундаменте, если строить дом из неизвестного качества блоков?

> Во-первых, вы невнимательно прочитали - не применять при появлении несущей, а запускать проверку.

Уж что пишете, то и читаем :)

системы, которая бы начинала проверку по событию появления несущей на порту коммутатора и применялоа бы политики на коммутаторе

это можно понимать как «по событию начать проверку и одновременно применить политику». А какую политику в тот момент применять — фиг его знает, о чем и спросил.

Ах, она при появлении несущей включает механизм 802.1x, и запускаект проверку по нему? Как странно, да?

Уже без вас разобрались ;) Да, имхо странно, что такой простой фичи нет там, где она нужна.

> а) научись читать, чтобы не перевирать мои слова; применение политик СЛЕДУЕТ ЗА ПРОВЕРКОЙ и является передачей параметров,которые будут применены к порту при его включении механизмом 802.1x;

Не шипи и изъясняйся однозначно, и всё будет хорошо :) Выше уже написал, как прочитал предложение.

Напиши. На bash'е. На коммутаторе Cisco. Или 3Com. Или HP. Или... тысячи их. А потом попытайся продать это кому либо как NAC. Будет весело - потому, что NAC - это не 802.1x, который ты собираешься написать на bash'е.

О, предсказанный поклонник энтерпрайза ;) Про баш было к тому, что фича имхо копеечная. И если её в перечисленных брендах нет... ну как минимум это что-то говорит о этих ваших NAC'ах

И «научись читать»© — про написать было совсем не к 802.1х, а к его запуску по событию :)

> Уж что пишете, то и читаем :)

системы, которая бы [логический блок 1]начинала проверку по событию появления несущей на порту коммутатора[/логический блок 1] [разделитель логических блоков]И[/разделитель логических блоков] [логический блок 2]применялоа бы политики на коммутаторе[/логический блок 2]

Я-то всё правильно написал... Странно было бы, если бы политики применялись до завершения проверки, нет?

Уже без вас разобрались ;) Да, имхо странно, что такой простой фичи нет там, где она нужна.

Да уже прочитал... Ж;-) Фича есть на любом приличном коммутаторе, если говорить о 802.1x - но вот NAC, о котором я говорил, намного шире. Потому его и нет на сетевых устройствах в базовой поставке. И потому он и опирается на базовые механизмы сетевого оборудорвания - для L2 это 802.1x - что должен выполнять свои функции на любом оборудовании (хотя кое-кто - не будем показывать пальцем, хотя это было сло... Cisco, то есть - и тут идёт своим путём).

> Оно только апдейтами различается? Так в чём тогда разница в 4.8 и 4.9, просто один из упдейтов, которые вообще регулярные, совместили с симлинком на 4.9?

Не знаю, что именно сподвигло шапку выпустить 4.9, но в цитате ясно сказано — в оригинале образов 4.9 нет, поэтому и у нас не будет. А что именно центосевцы для этой версии допиливали — /me не в курсе. Всё же вряд ли от фонаря 4.9 назвали.

> Не знаю, что именно сподвигло шапку выпустить 4.9, но в цитате ясно сказано — в оригинале образов 4.9 нет, поэтому и у нас не будет. А что именно центосевцы для этой версии допиливали — /me не в курсе. Всё же вряд ли от фонаря 4.9 назвали.

Это не важно. Мне интересно, как можно было сказать, что у CO релиз 4.9 вышел раньше, если никакого релиза и у CO не было - просто сделали симлинк.

> О, предсказанный поклонник энтерпрайза ;)

Ну тут я даже комментировать не буду - настолько это глупо. Ж;-)

Про баш было к тому, что фича имхо копеечная. И если её в перечисленных брендах нет...

А вот это крайне неверное понимание. Она совсем не копеечная и стоит многих трудов. Потому, например, что для разных даже языковыз версий Windows надо писать разные сценарии. Для разных версий Linux надо писать разные сценарии. И это только те трудности, которые лежат на поверхности.

И если её в перечисленных брендах нет... ну как минимум это что-то говорит о этих ваших NAC'ах

Э-э... Не понял смысла фразы. В каких брендах нет NAC? Вообще-то, NAC должен в идеале работать на любой платформе - при чём тут какие-то бренды, будь то дистрибутивы Linux или коммутаторы?

>Можно зайти на опеннет, и понаблюдать за security-новостями, как в каких системах закрываются уязвимости.

Это ж не security сайт. Так, о том о сём. Идёте в security tracker разработчиков дистрибутива и читаете, что на текущий момент висит незакрытое (а туда народ редко ходит..). Хорошо хоть, что в debian всё что есть светят, можно в крайнем случае накатить свои пакеты.

Debian Security Team патчит хорошо

Молодцы, кто ж спорит. Как быстро?

CentOS Team тоже хорошо выпускают дистрибутивы :).

К тому же, количество поддерживаемых пакетов в Debian и Red Hat просто несоизмеримо, в SL 6 я насчитал примерно 6000 пакетов, а в Debian 6.0 - 30000

Ну так за то что выпускает RH - они отвечают деньгами и должны сопровождать, не могут ж они всё-всё вести. А у community потребности конечно огромны, потому и есть EPEL и прочее. В основную ветку debian, хотелки проще вставить, так как «as is». Я вот zope2 хочу. В lenny есть, в squeeze вроде выпелили, в wheezy тоже не вижу, в sid есть и то не последний :)

Вот, кстати, уже один контрибутор «неголодный школьник» нашёлся. :)

И какой результат? Слизанный 1 в 1 дизайн, куча спама, порнографии и вареза. У debian'а есть и лучшие применения ).

А что, все деньги ушли на Red Hat и прочее, что даже на организацию локального зеркала не осталось?

что?

> что?

В чём проблема держать локальное зеркало, и обновляться уже с него? Так будет и проще, и быстрее, и удобнее.

> если никакого релиза и у CO не было - просто сделали симлинк

А у кого-то (шапка, SL, ...) он был другой? А если нет, почему они (остальные клоны) не сделали такой же симлинк раньше?

> Странно было бы, если бы политики применялись до завершения проверки, нет?

Ну вроде бы выдумал один кейс — при поднятии порта обрабатывать траффик на нем в зависимости от номера. Может порту №3 вообще и аутентицироваться запрещено. Но вообще вариант спорный, согласен (можно спросить причем тут вообще тогда события на порту), потому и спрашивал.

Ну тут я даже комментировать не буду - настолько это глупо. Ж;-)

Это была полушутка, комментировать и не надо ;) Просто список брендов как на заказ.

Потому, например, что для разных даже языковыз версий Windows надо писать разные сценарии.

М-мама. Фантазии не хватает, чтобы придумать что тут может отличаться.

Э-э... Не понял смысла фразы. В каких брендах нет NAC?

Да не вообще NAC, а конкретно этой фичи, с которой мы тут начали. И там было «если».

> Это ж не security сайт. Так, о том о сём. Идёте в security tracker разработчиков дистрибутива и читаете, что на текущий момент висит незакрытое (а туда народ редко ходит..). Хорошо хоть, что в debian всё что есть светят, можно в крайнем случае накатить свои пакеты.

Я говорю про будоражущие воображение ошибки, когда они попадают на новостные сайты. На opennet обычно отслеживается вся статистика, кто и когда выложил заплатки. Так почти всегда Debian или быстрее всех или на одном уровне, редко когда это не так. Поэтому про скорость реакции ничего плохого сказать не могу. Если интересно, можно соответствующую секцию opennet почитать или на других новостных сайтах, я такие вещи не отслеживаю.

Или дайте пример, где Debian долго не латала, а RHEL быстро залатал и CO/SL быстро перелопатили и выпустили.

Молодцы, кто ж спорит. Как быстро?

Быстро.

CentOS Team тоже хорошо выпускают дистрибутивы :).

Плохо. Для меня из «red hat для самых маленьких» остался только SL.

Ну так за то что выпускает RH - они отвечают деньгами и должны сопровождать, не могут ж они всё-всё вести. А у community потребности конечно огромны, потому и есть EPEL и прочее. В основную ветку debian, хотелки проще вставить, так как «as is». Я вот zope2 хочу. В lenny есть, в squeeze вроде выпелили, в wheezy тоже не вижу, в sid есть и то не последний :)

Так я и говорю - если поддерживать только ключевые пакеты, а все остальные - возложить задачи по обновлению и секьюрити фиксам на пользователей - можно и 50 лет поддерживать.

И какой результат? Слизанный 1 в 1 дизайн, куча спама, порнографии и вареза. У debian'а есть и лучшие применения ).

Главное, что миф о том, что Debian это только голодные школьники - развенчан. :)

> А у кого-то (шапка, SL, ...) он был другой? А если нет, почему они (остальные клоны) не сделали такой же симлинк раньше?

SL 4.9 я не смотрел, поэтому врать не буду. Я ещё когда RH выпустила 4.9, зазеркалил себе 4rolling, с новыми пакетами. И у меня есть полноценный установщик для установки свежей версии. Никаким CentOS 4.9 тогда и не пахло даже близко. А в случае с CentOS - мне нужен диск с CO 4.8, и отдельно авоська с обновлениями. Ну какой это релиз?

Посмотрел сейчас на FTP Scientific-а. Полноценный релиз, и свежие пакеты, и исошки, всё, как у людей.

> Ну вроде бы выдумал один кейс — при поднятии порта обрабатывать траффик на нем в зависимости от номера.

Это очень узко. Более общий кейс - который и описывается в начальных презентациях про NAC - не пускать в рабочую сеть систему с критической уязвимостью до тех пор, пока не будет наложен патч, устраняющий эту уязвимость. А для наложения патча - пустить в карантинную сеть.

А вообще вариантов - море.

Просто список брендов как на заказ.

А это мой прокол. Я изначально решил, что упоминать конкретные бренды не буду - а потом по контексту вспомнил и на автомате вписал. Ж;-)

М-мама. Фантазии не хватает, чтобы придумать что тут может отличаться.

Ну вот последнее, с чем я столкнулся лично: на английской версии Win7 команда «net start „Windows Update“» отрабатывает, а на русской - нет.

Да не вообще NAC, а конкретно этой фичи, с которой мы тут начали. И там было «если».

Тогда я вообще потерялся. Ж;-) Эта фича - 802.1x? Или что-то ещё? Мы просто по-разному понимаем, кто откуда начал, видимо. Ж;-)

В чём проблема держать локальное зеркало, и обновляться уже с него? Так будет и проще, и быстрее, и удобнее.

зачем создавать какие-то дополнительные проблемы себе, если можно без них обойтись?

> Я ещё когда RH выпустила 4.9, зазеркалил себе 4rolling, с новыми пакетами. И у меня есть полноценный установщик для установки свежей версии. Никаким CentOS 4.9 тогда и не пахло даже близко.

Если верить вики, центось 4.9 вышла на 2 недели позднее шапки, а SL — на 2 месяца и 5 дней.

Ну какой это релиз? Посмотрел сейчас на FTP Scientific-а. Полноценный релиз, и свежие пакеты, и исошки, всё, как у людей.

Вопрос спорный. Центось следовала линии партии, SL логике и удобству.

> зачем создавать какие-то дополнительные проблемы себе, если можно без них обойтись?

Какие дополнительные проблемы создаёт локальное зеркало? Наоборот, оно гарантирует, что обновление или будет, или не будет. :) Оно гарантирует моментальную доставку всех нужных приложений (впрочем, для RHEL не очень актуально, там толком ничего в системе и нет, а что есть, то уже обычно поставлено). Оно гарантирует независимость от работы интернета. А какие проблемы создаёт?

> Ну вот последнее, с чем я столкнулся лично: на английской версии Win7 команда «net start „Windows Update“» отрабатывает, а на русской - нет.

А если net start wuauserv? Если что, это не я, это гугель :)

Тогда я вообще потерялся. Ж;-) Эта фича - 802.1x? Или что-то ещё? Мы просто по-разному понимаем, кто откуда начал, видимо. Ж;-)

Угу :) Фича «сделать что-то» при появлении линка. Да пофиг, основное уже выяснили.