Choć dziś wiele usług sieciowych instalowanych jest w chmurze, i działa na zasadzie kontenerów czy gotowych obrazów, to jednak wciąż w mniejszych instytucjach, firmach czy domowych laboratoriach z powodzeniem można prowadzić takie serwisy na prostym serwerze sprzętowym. Debian GNU/Linux oferuje tu szereg gotowych do instalacji rozwiązań od osławionego zestawu LAMP (Linux, Apache, MariaDB, PHP) pod serwisy wspierające działanie sieci lokalnej, takie jak DHCP czy DNS.
W tym artykule przyjrzymy się, jaki jest stan najpopularniejszych aplikacji
usługowo-sieciowych dostępnych w Debianie w wersji 13 "Trixie" w postaci
pakietów dystrybucyjnych.
Urok pakietów z dystrybucji polega na tym, że najczęściej wystarczy
zainstalować poleceniem apt, dodać minimalną konfigurację np. nazwę
użytkownika i hasło i mamy gotową działającą bazę usługi. Nie ma
konieczności, dodawania zewnętrznych źródeł pakietów, ściągania kodu,
kompilacji, ani pobierania, czasem całkiem sporych, obrazów kontenerowych.
Deweloperzy Debiana zadbali o wszelkie zależności, podstawową konfigurację
pozwalającą na uruchomienie serwisu, oraz minimalne ustawienia zabezpieczeń.
Sprawdźmy, jakie programy są dostępne i jaki jest ich stan w porównaniu z poprzednią wersją Debiana i wersjami mainstreamowymi.
Dostęp do zdalnej powłoki: SSH
Zaczynamy od usługi, nad którą dość często przechodzi się do porządku dziennego, nie traktując jej jako coś czemu trzeba poświęcić uwagę. Często po prostu jest włączona na serwerze, uzyskujemy przez nią dostęp do zdalnego serwera i pracujemy z właściwymi serwisami "produkcyjnymi". Mowa o serwerze SSH. SSH zapewnia zdalny bezpieczny dostęp do powłoki systemowej. Najpowszechniej wykorzystywanym oprogramowaniem tego rodzaju jest to tworzone w ramach projektu OpenSSH w ekosystemie OpenBSD. W Debianie, w zależności od sposobu instalacji, może on być dostępny "od ręki" lub należy go samemu doinstalować.
W wersji 13.1 dystrybucji mamy wersję OpenSSH 10.0p1. z najnowszej głównej linii 10. Projekt ma już kolejną iterację w postaci wersji 10.0p2, jednak biorąc pod uwagę sposób rozwoju Debiana można uznać, że stan tego pakietu jest zadowalający.
W tej wersji OpenSSH wyłączono obsługę słabych algorytmów, jak DSA, wprowadzono szereg poprawek bezpieczeństwa, poprawiono m.in. obsługę nazw hostów i użytkowników, dodano opcje poprawiające wydajność X11 forwarding, wydzielono do osobnego pliku binarnego logikę uwierzytelniania od sesji, co zmniejsza ryzyko powodzenia pewnych ataków.
Serwery WWW: Apache i Nginx
Fundamente każdego serwisu webowego jest serwer HTTP. W Debianie 13.1 mamy dostępne dwa najpopularniejsze pakiety serwera HTTP - Apache i Nginx. Apache występuje w wersji 2.4.65, która jest też najnowszą wersją mainstreamową.
Względem wersji 2.62 dostępnej w Debianie 12, wydanej rok wcześniej, zawiera liczne poprawki bezpieczeństwa, usprawnienia m.in. w modułach mod_rewrite, mod_ssl oraz mod_include. W najnowszych wersjach Apache domyślnie zablokowane jest TLS w wersjach 1.0 i 1.1
Lżejszy konkurent Apache, Nginx dostępny jest w wersji 1.26.3. (mainstream: 1.29.1)
Oba pakiety są wyposażone w liczne moduły do współpracy z bazami danych, środowiskami programowymi oraz narzędziami wspierającymi działanie aplikacji webowych.
Bazy danych: MariaDB i PostgreSQL
MariaDB to popularny serwer zarządzania relacyjną bazą danych (RDBMS), Wywodzi się z systemu MySQL i jest w dużym stopniu do niego podobny. Został stworzony z powodu obaw o licencje i sprawy dystrybucji po przejęciu MySQL przez firmę Oracle.
W Debianie 13 serwer MariaDB występuje w wersji 11.8.3, w Debianie 12 była to wersja 10.11.14. W projekcie źródłowym MariaDB jest już w wersji 12.0.1, jednak linia 11.8 jest tak zwaną linią LTS (Long-term support) i będzie wspierana do pierwszego kwartału 2028 roku. Wersja dostępna w Debianie doskonale nadaje się do obsługi niewielkich stron WWW, programowania, nauki, a nawet prowadzenia niektórych serwisów biznesowych.
Druga z głównych aplikacji bazodanowych, czyli PostgreSQL jest w wersji 17.6, również nie najnowszej w czasie pisania artykułu, jednak całkiem aktualnej.
PHP
PHP to popularny język programowania używany do tworzenia aplikacji webowych - szczególnie komponentu zaplecza. PHP nie jest ściśle oprogramowaniem typu serwisu sieciowego, jak pozostałe tu omawiane, ale jest wykorzystywany przez wiele znanych systemów CMS i e-commerce, takich jak Wordpress, Drupal czy PrestaShop. i stanowi element tak zwanego stosu LAMP.
W Debianie 13 mamy PHP w wersji 8.4 czyli najnowszej dostępnej.
Obsługa sieci lokalnej: Bind i ISC-DHCP/Kea
Serwery linuksowe mogą wesprzeć działanie organizacji poprzez obsługę instytucjonalnej sieci lokalnej LAN. Z pomocą przychodzą tu serwer DNS Bind oraz serwer DHCP ISC Kea.
Bind 9 jest dojrzałym, szeroko stosowanym serwerem obsługi systemu DNS, czyli Domain Name System. W Debianie występuje wersja 9.20.11, nie najnowsza , ale cały czas wspierana przez mainstream (9.21.12).
Jeśli chodzi o DHCP (Dynamic Host Configuration Protocol), to mamy w Debianie serwer ISC Kea, który zastępuje wycofany ISC DHPC Server. W aktualnej dystrybucji jest on w wersji 2.6.3. Można dodać, że stary, nie wspierany już isc-dhcp-server jest nadal dostępny w wersji 4.4.3
Usługi katalogowe: LDAP
Kolejną usługą, która może przydać się w firmie/organizacji, jest usługa katalogowa z danymi użytkowników lub klientów. Do realizacji takiej usługi w Debianie znajdziemy serwer slapd z projektu OpenLDAP. Pakiet ten jest w najnowszej dostępnej wersji 2.6.10, która w dodatku jest wersją LTS.
Poczta: Postfix i Dovecot
Prowadząc jakikolwiek serwis na serwerze Debian, warto skonfigurować na nim obsługę poczty. Przyda się np. do powiadomień, jeśli właściwy program będzie sprawiał problemy. Osobnym zagadnieniem jest budowa serwisu pocztowego dla użytkowników. Z pomocą przychodzą pakiety Postfix i Dovecot. Postfix, serwer pocztowy protokołu SMTP jest w wersji 3.10.4 i jest to wersja aktualnie najnowsza. (deb12: 3.7.11), zapewnia obsługę poczty wychodzącej i przychodzącej w komunikacji z innymi serwerami pocztowymi. Dovecot - serwer protokołu IMAP - zapewnia zaś wygodną obsługę skrzynek pocztowych użytkowników. Tu także mamy wersję najnowszą 2.4.1.
Monitoring - Prometheus
Każda usługa dostępna w sieci musi być monitorowany pod względem poprawności działania. Może w tym pomóc ekosystem związany z projektem Prometheus. Główny serwer gromadzący dane monitoringowe, prometheus występuje w wersji 2.53.3 z linii LTS, która nadal otrzymuje aktualizacje. Trzeba jednak przyznać, że główna gałąź rozwoju osiągnęła już wersję 3.6. Projekt ten ma duże tempo wydawania aktualizacji, deweloperzy Debiana raczej nie będą się starali nadążać za tak dynamicznym projektem. Mniejsza dynamika występuje w tzw. eksporterach czyli modułach monitorujących, np node_exporter w Debianie jest w wersji 1.9.0, a wersja w głównym projekcie to 1.9.1.
Podsumowanie
Niektóre przedstawione tu programy serwerowe w Debianie nie są w najnowszej dostępnej wersji. Jednak należy pamiętać, że w przypadku tego typu usług często od najnowszych funkcjonalności ważniejsza jest stabilność, więc pewne zatrzymanie na wersji jest nieuniknione. Część programów występuje w wersji LTS co oznacza, że będą otrzymywały udoskonalenia i poprawki bezpieczeństwa od głównych autorów. W przypadku części tak ważnych aplikacji jak serwery webowe, deweloperzy Debiana przenoszą ważniejsze usprawnienia i poprawki bezpieczeństwa z nowszych wersji do pakietów dystrybucyjnych.