Używałem Fedory do hostowania serwerów wiele razy. Nigdy nie spotkałem żadnego problemu. Nadal wszyscy nowi użytkownicy przychodzą i mówią, że Fedora nie jest bezpieczna. Powinniśmy używać Ubuntu / CentOS lub innej dystrybucji, ale nie Fedory. Nigdy nie rozumiem, na czym polega problem z Fedorą. Co sprawia, że inne dystrybucje są bardziej bezpieczne.
Kilka punktów: 1. Fedora jest dostarczana z iptables skonfigurowanymi tak, aby zezwalały tylko na SSH. Ponadto zawsze możemy skonfigurować iptables, aby nawet blokować SSH, jeśli chcemy. Tak więc wkrótce zapora sieciowa.
Fedora regularnie wydaje aktualizacje (zarówno poprawki bezpieczeństwa, jak i ogólne).
Ludzie mówią, że distro X wypuszcza nową wersję raz na 5 lat, a Fedora raz na 6 miesięcy. Dlaczego wydanie raz na 5 lat zapewnia bezpieczeństwo. Jeśli uważasz, że 5-letnie rzeczy są bezpieczne, zainstaluj pięcioletni system operacyjny lub nie aktualizuj przez 5 lat, nawet jeśli pojawi się nowa wersja. Osobiście uważam, że nie dawanie nowej wersji przez 5 lat nie zwiększa bezpieczeństwa. Będziesz musiał wydawać łatki na 5 lat, gdy wykryte zostaną błędy. Używanie bardzo starego systemu operacyjnego oznacza po prostu więcej łatek. Jeśli korzystamy z ostatnio wydanej wersji, musimy zastosować mniej aktualizacji / poprawek. Jak uwalnianie raz na 5 lat zapewnia bezpieczeństwo, którego nigdy nie rozumiałem.
Wszystkie systemy operacyjne używają podobnych pakietów, takich jak Gnome, Open-Office, KDE, Open-SSH, Apache. Czy inni programiści dystrybucji spędzają czas na czytaniu kodu źródłowego tych pakietów i poprawianiu ewentualnych błędów bezpieczeństwa? Nawet jeśli tego nie zrobią, opublikują te wady, a wszystkie inne dystrybucje wydałyby łaty, w tym Fedorę. Czy też zabezpieczyliby własne dystrybucje i nie zawracali sobie głowy powiadamianiem innych. Wszystko to przy założeniu, że czytają miliony linii kodów pakietów tak dużych jak apache, gcc, Open-Office. Jeśli te rzeczy są takie same w każdej dystrybucji, co czyni Fedorę bardziej podatną na atak.
Fedora ma preinstalowany i ładnie skonfigurowany seLinux.
Powiązanie domyślnie działa w chroot w fedorze. Teraz w Fedorze 11 obsługa DNSSEC jest również domyślnie dostępna. Zobacz pytanie Serwer DNS na Fedorze 11, gdzie ktoś wskazał, że Fedora nie jest dobra do hostowania DNS. Nie wiem dlaczego.
W rzeczywistości jeden z nowych administratorów zainstalował Cent-OS 5.3 na jednej z testowych maszyn. Użyłem go do pingowania jednego adresu IP, którego nie było. Mam odpowiedzi ping. Byłem zaskoczony, ponieważ nie było to możliwe. Próbowałem znaleźć lokalizację, z której nadchodzą odpowiedzi, ale nie udało się. W końcu po ponad godzinie próbowałem usunąć kabel sieciowy z komputera CentOS. Nadal byłem w stanie pingować adres IP. Następnie próbowałem pingować adres IP urządzenia. Też mogę pingować. Byłem więc w stanie pingować dwa adresy IP (nie inne, też je wypróbowałem), gdy komputer został skonfigurowany z jednym adresem IP i nie było żadnych aliasów (eth0: 1 itd.). Sprawdziłem również wyjście ifconfig. Straciłem pełne zaufanie do tak zwanych dystrybucji serwerów i zainstalowałem Fedorę 11 na wszystkich komputerach testowych. Teraz nie mam do czynienia z tak dziwnymi problemami w przypadku tak podstawowych rzeczy jak ping.
Byłbym naprawdę wdzięczny, gdyby udało mi się zdobyć przykłady z życia, które wskazują, że Fedora jest niepewna, a jeśli tak, to w przypadku jakiejkolwiek innej dystrybucji wszystko byłoby dobrze. Nie podawaj przykładów, w których popełniono błędy administratora. Nie możemy winić za to dystrybucji. Nie podawaj też bardzo starych przykładów Fedory 1, 2 lub Fedory 3. Projekt Fedora jest teraz bardzo dojrzały, zwłaszcza ostatnie dwie wersje 10, 11. Jeśli napotkałeś problemy związane z bezpieczeństwem, które dotyczą tylko ich, prosimy o podzielenie się swoimi doświadczeniami.
Odpowiedzi:
Nic nie wskazuje na to, że Fedora nie nadaje się do użycia na serwerach, ani nic, co wskazuje, że „dystrybucje serwerów” są jedynym wyborem dla serwerów. To zależy od twoich szczególnych potrzeb.
Korzyści z korzystania z „dystrybucji serwerów” to:
Moja główna „skarga” na dystrybucje serwerów polega na tym, że oprogramowanie / biblioteki są zwykle nieco stare, a zakres obsługiwanych pakietów jest znacznie mniejszy niż wysiłki podejmowane przez społeczność.
To znaczy, że długoterminowe wsparcie i niezmienne interfejsy API to coś, co uwielbiają komercyjni dostawcy oprogramowania, nie będą musieli odbudowywać aplikacji dla najnowszych bibliotek, ponieważ API nagle się zmieniło. Mogą opracować dla dostawcy Y Release X i wiedzieć, że ta platforma będzie dostępna przez kilka lat.
źródło
Myślałem, że nie mam nic do dodania, ale po prawie dwóch latach obsługi Fedory w produkcji - dla mojego bardzo ważnego systemu monitorowania Zabbix! - wygląda na to, że mam kilka rzeczy do powiedzenia.
Po pierwsze, nie był to mój pierwszy wybór. Zazwyczaj dla wszystkiego, co jest nawet mało ważne, wybiorę CentOS / RHEL ze względu na długoterminowe korzyści stabilności zapewniane przez te dystrybucje. Jednak w przypadku tego konkretnego wdrożenia absolutnie wymagałem funkcji w Zabbix 2.0, podczas gdy repozytorium EPEL zapewniało tylko 1.8. (EPEL ma teraz pakiety Zabbix 2.0 i 2.2 oprócz 1.8, choć w tamtym czasie tak nie było. Gdyby tak było, nigdy bym tego nie spróbował.)
Zatem kompromis jest następujący: Fedora ma najnowsze oprogramowanie, ale jego wydania mają bardzo krótki 13-miesięczny cykl życia, a nowe wydania pojawiają się co około sześć miesięcy. Oznacza to, że musiałem zaplanować okno konserwacji, aby zaktualizować Fedorę dwa razy w roku, oprócz zwykłej okresowej instalacji aktualizacji.
W przypadku systemu monitorowania, który ma śledzić wszystko inne , ważne jest, aby takie okresy konserwacji były tak rzadkie i jak najkrótsze. Przy wymogu tak częstej aktualizacji zwykle wykluczałoby to taką dystrybucję, ale pamiętaj, że miałem bardziej palące obawy; byłoby bezużyteczne bez potrzebnych mi funkcji. Jest to więc kompromis, który dokonałem przy (prawie) pełnej wiedzy o konsekwencjach.
Niedawno zrobiłem aktualizację Fedory 18-19 na tym serwerze, używając nowego narzędzia aktualizacji Fedory. Zaplanowałem dwugodzinną przerwę, z kolejnymi dwiema godzinami, aby ewentualnie poradzić sobie z dowolną z monitorowanych usług, które mogły umrzeć, a tego faktu pominięto od czasu upadku Zabbix.
Rzeczywisty czas przestoju obsługa była 11 minut. To jest od momentu zatrzymania Zabbix przed ponownym uruchomieniem komputera do momentu, w którym zostało ono wykonane i usług monitorowania po zakończeniu aktualizacji. Nie zdawałem sobie sprawy, że przestoje będą tak krótkie! Spodziewałem się znacznie więcej problemów , chociaż wiem z doświadczenia, że znaczące problemy z aktualizacją są rzadkie w Fedorze. (I zostało to jeszcze bardziej ulepszone: kiedy zrobiłem aktualizację Fedory 19-20, całkowity czas przestoju był niesamowity sześć minut . Ten sam czas dla 20-21).
Ta usługa prawie na pewno zostanie przeniesiona na RHEL 7, kiedy będzie dostępna.Po tym doświadczeniu jestem znacznie bardziej przekonany o tym, że Fedora jest serwerem i teraz zamierzam go zachować, nawet po poważnej aktualizacji co sześć miesięcy. Przeprowadzka do RHEL byłaby znacznie bardziej uciążliwa i mogłaby mnie ograniczyć w przyszłości z następujących powodów:Szkoda, że Red Hat ma tak dużo czasu między głównymi wydaniami; podobne opóźnienie między EL5 a EL6 doprowadziło mnie do wprowadzenia instalacji Ubuntu do produkcji, coś, nad czym wciąż się rozwijam. (W przypadku tego systemu zastanawiałem się nad Fedorą, ale o dziwo nie było w nim oprogramowania, którego w ogóle potrzebowałem, mimo że starsza wersja była w EPEL.)
Jednym „problemem”, o którym nikt nie wspominał o uruchomieniu Fedory, jest to, że zobaczysz wiele nowych rzeczy, zarówno dużych projektów oprogramowania, jak i drobnych ulepszeń, znacznie wcześniej niż ich włączenie do RHEL. Więc kiedy przejdziesz do zarządzania systemami RHEL / CentOS, będziesz za nimi tęsknił. Na przykład Fedora ma dużą liczbę zakończeń bash, które domyślnie nie są jeszcze dostępne w RHEL; Jednym z nich jest uzupełnianie tabulatorami dla nazw pakietów w
yum
wierszu poleceń.Tak więc z pewnością można używać Fedory w produkcji, o ile można zaakceptować kompromisy:
Biorąc wszystko pod uwagę, Fedora wciąż nie jest moim pierwszym wyborem dla platformy serwerowej i prawdopodobnie nigdy nie będzie. (Chociaż byłem szczęśliwym użytkownikiem pulpitu Fedory przez całe jego istnienie). W przypadku, gdy absolutnie potrzebujesz więcej aktualnych wersji oprogramowania niedostępnych w bardziej „korporacyjnej” dystrybucji i możesz zaakceptować kompromisy, wtedy nie ma nic źle z użyciem Fedory.
Wreszcie, ponieważ zapytałeś konkretnie o bezpieczeństwo, kilka słów na ten temat.
Jak wspomniano wcześniej, nie ma realnej różnicy w tempie aktualizacji bezpieczeństwa między Fedorą a jakąkolwiek inną dystrybucją. Programy pakujące Fedory dokładają szczególnych starań, aby pozostać blisko upstreamu i jak najszybciej udostępniać tego rodzaju aktualizacje, czasem nawet zanim zrobi to projekt upstream.
Podobnie jak przedsiębiorczy starszy brat, Fedora jest również dostarczana z dość zablokowaną konfiguracją bezpieczeństwa: usługi (z wyjątkiem ssh) są domyślnie wyłączone; zapora domyślnie blokująca jest domyślnie włączona zarówno dla IPv4, jak i IPv6; SELinux wymusza domyślnie. Ponadto Fedora jest zahartowana na wiele innych sposobów .
Z drugiej strony bardzo wcześnie zobaczysz nową technologię bezpieczeństwa; jednym z przykładów jest niedawne wprowadzenie FirewallD , który wciąż nie jest jeszcze gotowy na najlepszy czas, chociaż powrót do poprzedniej zapory jest łatwy .
źródło
Chodzi bardziej o stabilność i tempo zmian niż bezpieczeństwo. Fedora to platforma dla Red Hat do wdrażania nowych funkcji i aplikacji w celu sprawdzenia ich przydatności, zapewnia platformę do eksperymentowania i rozwiązywania problemów z integracją.
Zwykle nie jest to tym, co powinien robić serwer - zazwyczaj chcesz, aby serwer wykonywał funkcję w najbardziej stabilny sposób.
W zależności od tego, co robisz, Fedora może być w porządku. Jeśli tworzysz aplikacje komputerowe dla systemu Linux, pożądana może być praca z najnowocześniejszymi rozwiązaniami. Podobnie, jeśli pracujesz nad semestralnym projektem szkolnym lub innym projektem o ograniczonym czasie trwania, w którym wysokie tempo zmian nie stanowi problemu, Fedora również jest w porządku.
źródło
Kluczowy punkt, który trzyma mnie z użyciem Fedorę zamiast na serwerze i preferując Debian, Ubuntu lub CentOS jest stabilność i długość wsparcia . Gdy prowadzisz serwer, potrzebujesz stabilności, bezpieczeństwa i długowieczności. Tak, prawie każda dystrybucja zawiera to samo oprogramowanie, więc nie ma to znaczenia. Jest to kwestia tego, co jest testowane, ma aktualizacje bezpieczeństwa i jest obsługiwane.
Harmonogram wydawania Fedory co 6 miesięcy jest fajny, jeśli chcesz mieć przewagę, ale kiedy mówisz o przewadze serwera, nie zawsze jest dobra rzecz. Dodaj do tego fakt, że Fedora obsługuje tylko trzy ostatnie wersje, co oznacza, że patrzysz na nieobsługiwany system operacyjny za 18 miesięcy i musisz go zaktualizować. Jeśli kiedykolwiek zrobiłeś aktualizację Fedory, zwykle są one złe i łatwiej jest wykonać czystą instalację, która na komputerze stacjonarnym / laptopie może nie być taka zła, ale dla serwera oznacza to przestoje i jest nie do przyjęcia dla większości administratorów systemu.
Zdecydowanie najdłuższy cykl wsparcia ma CentOS. W tym czasie jest obsługiwany, a łatki bezpieczeństwa i aktualizacje są wydawane, więc przez cały czas nie jest to ta sama wersja. Zaletą tego jest to, że nie spędzasz całego czasu na przygotowaniach do następnej aktualizacji. Masz stabilny serwer z uruchomionym stabilnym testowanym oprogramowaniem.
Debian ma harmonogram wydań, który jest dłuższy niż Fedora, ale krótszy niż CentOS, ale zawsze dotyczy aktualizacji bezpieczeństwa. Kolejną zaletą Debiana jest czysta ścieżka aktualizacji. Wydania Debiana są testowane zarówno pod kątem czystej instalacji, jak i aktualizacji na żywo i nie są faktycznie wydawane, dopóki nie da się tego zrobić bez problemów. Ta dbałość o szczegóły i chęć przesunięcia daty premiery, aby usunąć więcej błędów pakietowych, jest jednym z jej najsilniejszych zalet. Sama struktura pakietu DEB została również zaprojektowana tak, aby aktualizacja była bardzo płynna i utrzymywała twoje konfiguracje. Jedyne, czego tak naprawdę brakuje, to wsparcie handlowe, w którym to przypadku możesz spojrzeć na Ubuntu, który pobiera swoje pakiety z Debiana, tak jak CentOS bierze wiele pakietów z RHEL.
Edycja: Dodano pogrubiony tekst, aby zwrócić uwagę na fakt, który oczywiście został pominięty, że nie uważam Fedory za wystarczająco stabilną dla platformy serwerowej.
źródło
Bez wsparcia.
Fedora nie ma umów o wsparcie techniczne, takich jak Red Hat Enterprise. Nie masz do kogo zadzwonić, jeśli masz problem z zatrzymaniem programu.
źródło
Moim największym argumentem byłoby:
Serwery nie są jego główną grupą docelową
Podobnie nie zalecałbym używania Ubuntu jako środowiska serwerowego i wielu nie zgadzałoby się ze mną, ale to po prostu nie jest główny cel.
Brakuje oprogramowania skierowanego do użytkowników domowych i komputerów stacjonarnych w działach zorientowanych na serwer, podobnie jak rzeczy skierowane na serwer nie działają tak dobrze dla użytkowników domowych.
Ponadto platformy skierowane do użytkowników domowych zwykle przyciągają więcej użytkowników domowych, dlatego błędy, które zostaną wykryte, zgłoszone i naprawione, będą miały priorytet ze względu na ten efekt.
Podobnie, platformy ukierunkowane na użycie serwera będą miały tendencję do przyciągania użycia serwera, a zatem błędy związane z korzystaniem z serwera będą bardziej prawdopodobne, że zostaną znalezione i rozwiązane, zanim do nich dotrzesz.
(Mam przynajmniej jednego przyjaciela, który ma profesjonalne doświadczenie z Ubuntu w środowiskach produkcyjnych i mówi, że był tym całkowicie przerażony i wolałby CentOS dla serwerów produkcyjnych, ponieważ.)
seLinux
Należy zauważyć, że seLinux nie oznacza bezpieczeństwa.
Ze strony internetowej NSA seLinux :
źródło
Jestem wielkim fanem Fedory, myślę, że to cudowne i działam na wszystkich moich komputerach stacjonarnych / laptopach, ale nie uruchomiłbym go na żadnym z moich serwerów.
Fedora chce być bliżej „krwawej krawędzi”. Oznacza to, że otrzymasz nowsze oprogramowanie, które spędzało mniej czasu na testowaniu. Ponieważ żadne wydanie nie pojawia się dokładnie w tym samym czasie, trudno jest uzyskać dokładne liczby na ten temat, ale uważam, że ubuntu jest często jednym opóźnieniem w stosunku do nowych funkcji, podczas gdy debian / centos / redhat są daleko w tyle.
Mam wrażenie, że z tego powodu jest więcej aktualizacji fedory, ale znowu nie mam żadnych liczb, które mogłyby to zrobić.
To, co naprawdę go zmienia, to brak modelu LTS, który ma Ubuntu. Możesz zainstalować ubuntu LTS kilka miesięcy po jego wydaniu i wiedzieć, że miał dużo czasu, aby rozwiązać wszelkie poważne problemy i nieco się uspokoić.
Po tym będziesz wiedział, że masz minimum 4 lata dalszej pomocy i aktualizacji, zanim będziesz musiał zaktualizować swój serwer. Mógłbym żyć z innymi potencjalnymi problemami z działaniem Fefory, ale nie z koniecznością przenoszenia wersji na każde urządzenie co najmniej raz w roku (prawdopodobnie dwa razy).
Edycja: Znaleziono kilka liczb ...
Fedora 11 zawiera serwer openssh w wersji 5.2. Po wydaniu Ubuntu Karmic będzie mieć tylko wersję 5.1 , tę samą wersję, którą ma Debian Lenny . Witryna centos jest dla mnie zbyt badziewna, żebym mogła znaleźć wersję, ale afaik jest na 4.x
źródło
Nie chodzi o to, że fedora jest niepewna. Chodzi o to, że jest dostarczany z najnowocześniejszymi pakietami i odświeża się bardzo szybko, dlatego musisz co roku przeprowadzać aktualizacje, aby otrzymywać aktualizacje zabezpieczeń. To wielka sprawa, jeśli masz jakąś nietrywialną liczbę serwerów, szczególnie biorąc pod uwagę, że proces aktualizacji fedory (iirc) wymaga przestoju.
źródło
Korzystanie z Fedory na serwerze w przeciwieństwie do CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES itp. Naprawdę sprowadza się do odpowiedniego narzędzia do tego zadania.
Główną skargą od administratorów serwera dotyczącą Fedory na serwerze jest cykl aktualizacji co 6 miesięcy do roku (w zależności od tego, czy zawsze chcesz być w najnowszej wersji, czy pomijać każdą inną wersję). Jak już zauważyłeś, Fedora instaluje konfiguracje „bezpieczne domyślnie” i zapewnia wiele narzędzi do utrzymywania bezpiecznego systemu. Zwłaszcza na serwerze narzędzie do wstępnej aktualizacji poradzi sobie z migracjami między różnymi wydaniami Fedory, co nieco łagodzi te obawy.
Jeśli chcesz wydłużyć cykl wydawania, coś podobnego do CentOS (która jest zasadniczo bezpłatną wersją Red Hat Enterprise Linux) może być łatwiejsze w obciążeniu.
Podsumowując, myślę, że nie masz nic przeciwko Fedorze, jeśli jesteś z tego zadowolony. Nigdy nie widziałem żadnych dowodów wskazujących, że Debian, Ubuntu lub CentOS są szczególnie bezpieczniejsze niż Fedora.
źródło
Każdy system operacyjny może być bezpieczny. Dwie kwestie dotyczące Fedory jako serwera. Po pierwsze, przy każdej aktualizacji wersji oprogramowania istnieje ryzyko wprowadzenia nowych błędów i problemów bezpieczeństwa, które nie występowały w poprzedniej wersji. Właśnie dlatego firmy będą chciały czekać rok po wydaniu oprogramowania przed jego zainstalowaniem, aby można było naprawić wiele błędów i problemów związanych z bezpieczeństwem. Nie chcesz przechodzić na nowe wersje za każdym razem, gdy pojawia się problem migracji i nowych problemów związanych z bezpieczeństwem. Po drugie, Fedora nie ma możliwości uzyskania wsparcia korporacyjnego, takiego jak RedHat lub Ubuntu.
źródło
Używamy RHEL w pracy. Gdybyś musiał aktualizować 7k serwerów co 6 lub 12 miesięcy, nigdy nie będziemy na czele. Nadal otrzymujemy serwery Win2k3 do 2008 roku.
Wydania Fedory są zbyt częste, aby firma z dużą liczbą serwerów mogła być na bieżąco. W przypadku małej firmy Fedora prawdopodobnie jest w porządku. Ale z drugiej strony, potrzebujesz linuksowego administratora na stronie i większość nie może sobie pozwolić na rozwiązanie wielu problemów. To właśnie tam RHEL ma przewagę - płatne wsparcie.
Używałem Debiana w domu. Właśnie zaktualizowałem z 7 do 8 i poszło bardzo gładko. Ubuntu ma również serwer, ale Ubuntu jest odpowiednikiem Fedory. Debian poświęca dużo czasu na wdrożenie nowych pakietów, ponieważ dokładnie je testują. Minusem jest to, że możesz nie mieć najnowszej wersji Apache, MySQL lub innej potrzebnej aplikacji, która ma pożądane funkcje. Pewnie, że możesz pobrać go osobno, ale nie spełnia to celu posiadania „stabilnego i bezpiecznego” systemu operacyjnego.
źródło
Ponadto - mogą pojawić się funkcje / funkcje, które zostaną następnie wyświetlone w następnej wersji - co nie jest [ogólnie] pomocne dla serwera , ponieważ chcesz niezawodności. OTOH, jeśli zainstalujesz, powiedzmy, F11 i pozostanie przy nim przez 2-4 lata, tak jak w przypadku CentOS 5 lub Ubuntu LTS, to nie będzie żadnej różnicy. Chodzi o poziomy komfortu.
źródło
Czekaj, co? O ile mi wiadomo, Wikipedia działa na Fedorze. Nie w RedHat - w Fedorze. Więc naprawdę nie ma problemu z użyciem Fedory jako serwera WWW :)
źródło
Zazwyczaj administrator systemu chce od dystrybucji zorientowanej na serwer:
Fedora nie odnosi się do tego, afaik
CentOS zawodzi w 2,3,4,5
Debian zawiedzie 5
Ubuntu kończy się niepowodzeniem 1
Twój wybór :)
źródło