> Да, хорошо, конечно, когда у тебя только два сервера, да и те у тебя, похоже, три или четыре? ;-) (ну ладно, ладно, я верю что два десятка)
> с LA 0.0. Можно вручную оба админить, каждый файл, каждый байтик
> там знать в лицо и давать им имена.
наоборот же ж - когда серверов сильно за тыщу, и все в общем одинаковые, можно позволить себе еще много дистрибутивных недоразумений ликвидировать на корню, заменим своими собственными [кто сказал "недоразумениями"?! ;-) ] - оно окупается. А имена будешь давать в svn репо, откуда оно все и раскладывается (а в связанном с ним trac - описывать зачем и от чего так, правда, один хрен потом никто не читает).
При этом для *bsd и в этом случае замена заключается в чем-нибудь типа авто-rdist'инга pf.conf вместе с остальными конфигами и незабывания pf_enable="YES" при генерации rc.conf (мы же не руками собираемся стейджить тысячи, да?), редхатоидам можно плюнуть и подменить /etc/sysconfig/iptables (не забывая про существование iptables-config, который так вот просто не меняется ;) а вот с остальными, увы, пичаль и страдание, особенно у тех, где пакеты не могут автоматически оверрайдить чужие файлы.
Когда их два десятка, все разные, файрволлы тюнятся индивидуально поскольку la нифига не 0, и быстро новую стойку не введешь, и еще надо помнить что "все мы временные", чтобы не создать опасных грабель тому кто после тебя придет - там сложнее, все время приходится выбирать между диверсионингом и времязатратами.
C опенком в этом месте все довольно неплохо - тот кто умеет его готовить, первым делом посмотрит в rc.conf (или не посмотрит, если знает что "у нас принято делать на ipfw"), следом - соответствующий конфиг.
Учитывая что опенок (да и free) нынче скорее встретится тебе именно в виде отдельного вручную выпиленного под специальный сорт задачи экземпляра, чем в виде фермы на энцать сотен, это хорошо.
