Jaki jest problem z używaniem Fedory do serwerów?

17

Używałem Fedory do hostowania serwerów wiele razy. Nigdy nie spotkałem żadnego problemu. Nadal wszyscy nowi użytkownicy przychodzą i mówią, że Fedora nie jest bezpieczna. Powinniśmy używać Ubuntu / CentOS lub innej dystrybucji, ale nie Fedory. Nigdy nie rozumiem, na czym polega problem z Fedorą. Co sprawia, że ​​inne dystrybucje są bardziej bezpieczne.

Kilka punktów: 1. Fedora jest dostarczana z iptables skonfigurowanymi tak, aby zezwalały tylko na SSH. Ponadto zawsze możemy skonfigurować iptables, aby nawet blokować SSH, jeśli chcemy. Tak więc wkrótce zapora sieciowa.

  1. Fedora regularnie wydaje aktualizacje (zarówno poprawki bezpieczeństwa, jak i ogólne).

  2. Ludzie mówią, że distro X wypuszcza nową wersję raz na 5 lat, a Fedora raz na 6 miesięcy. Dlaczego wydanie raz na 5 lat zapewnia bezpieczeństwo. Jeśli uważasz, że 5-letnie rzeczy są bezpieczne, zainstaluj pięcioletni system operacyjny lub nie aktualizuj przez 5 lat, nawet jeśli pojawi się nowa wersja. Osobiście uważam, że nie dawanie nowej wersji przez 5 lat nie zwiększa bezpieczeństwa. Będziesz musiał wydawać łatki na 5 lat, gdy wykryte zostaną błędy. Używanie bardzo starego systemu operacyjnego oznacza po prostu więcej łatek. Jeśli korzystamy z ostatnio wydanej wersji, musimy zastosować mniej aktualizacji / poprawek. Jak uwalnianie raz na 5 lat zapewnia bezpieczeństwo, którego nigdy nie rozumiałem.

  3. Wszystkie systemy operacyjne używają podobnych pakietów, takich jak Gnome, Open-Office, KDE, Open-SSH, Apache. Czy inni programiści dystrybucji spędzają czas na czytaniu kodu źródłowego tych pakietów i poprawianiu ewentualnych błędów bezpieczeństwa? Nawet jeśli tego nie zrobią, opublikują te wady, a wszystkie inne dystrybucje wydałyby łaty, w tym Fedorę. Czy też zabezpieczyliby własne dystrybucje i nie zawracali sobie głowy powiadamianiem innych. Wszystko to przy założeniu, że czytają miliony linii kodów pakietów tak dużych jak apache, gcc, Open-Office. Jeśli te rzeczy są takie same w każdej dystrybucji, co czyni Fedorę bardziej podatną na atak.

  4. Fedora ma preinstalowany i ładnie skonfigurowany seLinux.

  5. Powiązanie domyślnie działa w chroot w fedorze. Teraz w Fedorze 11 obsługa DNSSEC jest również domyślnie dostępna. Zobacz pytanie Serwer DNS na Fedorze 11, gdzie ktoś wskazał, że Fedora nie jest dobra do hostowania DNS. Nie wiem dlaczego.

W rzeczywistości jeden z nowych administratorów zainstalował Cent-OS 5.3 na jednej z testowych maszyn. Użyłem go do pingowania jednego adresu IP, którego nie było. Mam odpowiedzi ping. Byłem zaskoczony, ponieważ nie było to możliwe. Próbowałem znaleźć lokalizację, z której nadchodzą odpowiedzi, ale nie udało się. W końcu po ponad godzinie próbowałem usunąć kabel sieciowy z komputera CentOS. Nadal byłem w stanie pingować adres IP. Następnie próbowałem pingować adres IP urządzenia. Też mogę pingować. Byłem więc w stanie pingować dwa adresy IP (nie inne, też je wypróbowałem), gdy komputer został skonfigurowany z jednym adresem IP i nie było żadnych aliasów (eth0: 1 itd.). Sprawdziłem również wyjście ifconfig. Straciłem pełne zaufanie do tak zwanych dystrybucji serwerów i zainstalowałem Fedorę 11 na wszystkich komputerach testowych. Teraz nie mam do czynienia z tak dziwnymi problemami w przypadku tak podstawowych rzeczy jak ping.

Byłbym naprawdę wdzięczny, gdyby udało mi się zdobyć przykłady z życia, które wskazują, że Fedora jest niepewna, a jeśli tak, to w przypadku jakiejkolwiek innej dystrybucji wszystko byłoby dobrze. Nie podawaj przykładów, w których popełniono błędy administratora. Nie możemy winić za to dystrybucji. Nie podawaj też bardzo starych przykładów Fedory 1, 2 lub Fedory 3. Projekt Fedora jest teraz bardzo dojrzały, zwłaszcza ostatnie dwie wersje 10, 11. Jeśli napotkałeś problemy związane z bezpieczeństwem, które dotyczą tylko ich, prosimy o podzielenie się swoimi doświadczeniami.

Saurabh Barjatiya
źródło
Mam problem z obserwacją dyskusji ping. Skąd pingowałeś? Jaki konkretny adres IP pingowałeś? Powinieneś być w stanie pingować host z jego konsoli. Jeśli możesz pingować host z innego miejsca przy odłączonym kablu sieciowym, problem NIE oznacza odłączonego hosta.
kmarsh
Byłem w stanie pingować dwa różne adresy IP z hosta, gdy host nie był podłączony do sieci. Próbowałem użyć Crtl + C i ponownie zacząłem pingować. Nadal byłem w stanie pingować z hosta, który nie był podłączony do żadnej sieci z dwoma różnymi adresami IP. Próbowałem pingować oba IP równolegle na dwóch różnych terminalach i udało mi się pingować oba IP. Ale działało tylko dla dwóch adresów IP. Próbowałem kilka innych adresów IP, ale nie były pingowane zgodnie z oczekiwaniami. Na hoście nie było dziwnej konfiguracji zapory, która mogłaby to spowodować.
Saurabh Barjatiya

Odpowiedzi:

12

Nic nie wskazuje na to, że Fedora nie nadaje się do użycia na serwerach, ani nic, co wskazuje, że „dystrybucje serwerów” są jedynym wyborem dla serwerów. To zależy od twoich szczególnych potrzeb.

Korzyści z korzystania z „dystrybucji serwerów” to:

  • długoterminowa pomoc
  • stabilne API (niewielkie lub brak aktualizacji wersji bibliotek i aplikacji)
  • cofnięte poprawki bezpieczeństwa i poprawki błędów
  • płatne wsparcie

Moja główna „skarga” na dystrybucje serwerów polega na tym, że oprogramowanie / biblioteki są zwykle nieco stare, a zakres obsługiwanych pakietów jest znacznie mniejszy niż wysiłki podejmowane przez społeczność.

To znaczy, że długoterminowe wsparcie i niezmienne interfejsy API to coś, co uwielbiają komercyjni dostawcy oprogramowania, nie będą musieli odbudowywać aplikacji dla najnowszych bibliotek, ponieważ API nagle się zmieniło. Mogą opracować dla dostawcy Y Release X i wiedzieć, że ta platforma będzie dostępna przez kilka lat.

Kjetil Joergensen
źródło
Zdaję sobie sprawę, że moja odpowiedź może być nieco „nie na temat” w odniesieniu do rzeczywistej treści twojego pytania, więc spójrz na to bardziej jako odpowiedź na tytuł / temat twojego pytania. W każdym razie omawianie zalet bezpieczeństwa różnych dystrybucji jest bezcelowe, wszystkie zapewniają całkiem odpowiednie bezpieczeństwo i prawdopodobnie będziesz w stanie „wzmocnić” swoją drogę wyjścia z postrzeganej niepewności dostawcy. Jeśli bezpieczeństwo jest twoim głównym zmartwieniem, proponuję spojrzeć na coś takiego jak OpenBSD, który skupia się na bezpieczeństwie.
Kjetil Joergensen
15

Myślałem, że nie mam nic do dodania, ale po prawie dwóch latach obsługi Fedory w produkcji - dla mojego bardzo ważnego systemu monitorowania Zabbix! - wygląda na to, że mam kilka rzeczy do powiedzenia.

Po pierwsze, nie był to mój pierwszy wybór. Zazwyczaj dla wszystkiego, co jest nawet mało ważne, wybiorę CentOS / RHEL ze względu na długoterminowe korzyści stabilności zapewniane przez te dystrybucje. Jednak w przypadku tego konkretnego wdrożenia absolutnie wymagałem funkcji w Zabbix 2.0, podczas gdy repozytorium EPEL zapewniało tylko 1.8. (EPEL ma teraz pakiety Zabbix 2.0 i 2.2 oprócz 1.8, choć w tamtym czasie tak nie było. Gdyby tak było, nigdy bym tego nie spróbował.)

Zatem kompromis jest następujący: Fedora ma najnowsze oprogramowanie, ale jego wydania mają bardzo krótki 13-miesięczny cykl życia, a nowe wydania pojawiają się co około sześć miesięcy. Oznacza to, że musiałem zaplanować okno konserwacji, aby zaktualizować Fedorę dwa razy w roku, oprócz zwykłej okresowej instalacji aktualizacji.

W przypadku systemu monitorowania, który ma śledzić wszystko inne , ważne jest, aby takie okresy konserwacji były tak rzadkie i jak najkrótsze. Przy wymogu tak częstej aktualizacji zwykle wykluczałoby to taką dystrybucję, ale pamiętaj, że miałem bardziej palące obawy; byłoby bezużyteczne bez potrzebnych mi funkcji. Jest to więc kompromis, który dokonałem przy (prawie) pełnej wiedzy o konsekwencjach.

Niedawno zrobiłem aktualizację Fedory 18-19 na tym serwerze, używając nowego narzędzia aktualizacji Fedory. Zaplanowałem dwugodzinną przerwę, z kolejnymi dwiema godzinami, aby ewentualnie poradzić sobie z dowolną z monitorowanych usług, które mogły umrzeć, a tego faktu pominięto od czasu upadku Zabbix.

Rzeczywisty czas przestoju obsługa była 11 minut. To jest od momentu zatrzymania Zabbix przed ponownym uruchomieniem komputera do momentu, w którym zostało ono wykonane i usług monitorowania po zakończeniu aktualizacji. Nie zdawałem sobie sprawy, że przestoje będą tak krótkie! Spodziewałem się znacznie więcej problemów , chociaż wiem z doświadczenia, że ​​znaczące problemy z aktualizacją są rzadkie w Fedorze. (I zostało to jeszcze bardziej ulepszone: kiedy zrobiłem aktualizację Fedory 19-20, całkowity czas przestoju był niesamowity sześć minut . Ten sam czas dla 20-21).

Ta usługa prawie na pewno zostanie przeniesiona na RHEL 7, kiedy będzie dostępna. Po tym doświadczeniu jestem znacznie bardziej przekonany o tym, że Fedora jest serwerem i teraz zamierzam go zachować, nawet po poważnej aktualizacji co sześć miesięcy. Przeprowadzka do RHEL byłaby znacznie bardziej uciążliwa i mogłaby mnie ograniczyć w przyszłości z następujących powodów:

Szkoda, że ​​Red Hat ma tak dużo czasu między głównymi wydaniami; podobne opóźnienie między EL5 a EL6 doprowadziło mnie do wprowadzenia instalacji Ubuntu do produkcji, coś, nad czym wciąż się rozwijam. (W przypadku tego systemu zastanawiałem się nad Fedorą, ale o dziwo nie było w nim oprogramowania, którego w ogóle potrzebowałem, mimo że starsza wersja była w EPEL.)


Jednym „problemem”, o którym nikt nie wspominał o uruchomieniu Fedory, jest to, że zobaczysz wiele nowych rzeczy, zarówno dużych projektów oprogramowania, jak i drobnych ulepszeń, znacznie wcześniej niż ich włączenie do RHEL. Więc kiedy przejdziesz do zarządzania systemami RHEL / CentOS, będziesz za nimi tęsknił. Na przykład Fedora ma dużą liczbę zakończeń bash, które domyślnie nie są jeszcze dostępne w RHEL; Jednym z nich jest uzupełnianie tabulatorami dla nazw pakietów w yumwierszu poleceń.

Tak więc z pewnością można używać Fedory w produkcji, o ile można zaakceptować kompromisy:

  • Brak umów o wsparcie. Musisz posiadać wewnętrzną wiedzę specjalistyczną wystarczającą do zarządzania serwerem i jego usługami oraz radzenia sobie z wszelkimi problemami, które mogą się pojawić; dostępna jest tylko pomoc społeczności i nie ma żadnych gwarancji. Pomaga doświadczenie RHEL, ponieważ są one dość podobne.
  • Musisz mieć okno konserwacji, aby dokonać aktualizacji co najmniej raz w roku . Chociaż co sześć miesięcy jest lepiej; jeśli aktualizujesz co roku, będziesz musiał uaktualnić dwie wersje jednocześnie, co podwaja liczbę potencjalnych problemów, z którymi będziesz musiał się uporać o 3 nad ranem.
  • Aktualizacje mogą przynieść nowe wersje oprogramowania, z którymi będziesz musiał sobie poradzić; będą to jednak wydania punktowe, a nie główne wersje. W rzadkich przypadkach mogą zostać dodane znaczące nowe funkcje (np. BZ # 319901 ). Zazwyczaj jednak oprogramowanie pozostaje w tym samym numerze przez cały okres wydania, a poprawki są importowane; tylko niektóre pakiety (takie jak PHP) śledzą wydania punktu pobierania.
  • Chociaż nie ma znaczącej różnicy w tempie aktualizacji zabezpieczeń, nie zawsze mogą one być odizolowane od aktualizacji błędów (ponownie, takich jak PHP). To, czy jest to problem, zależy od usługi, którą planujesz uruchomić.

Biorąc wszystko pod uwagę, Fedora wciąż nie jest moim pierwszym wyborem dla platformy serwerowej i prawdopodobnie nigdy nie będzie. (Chociaż byłem szczęśliwym użytkownikiem pulpitu Fedory przez całe jego istnienie). W przypadku, gdy absolutnie potrzebujesz więcej aktualnych wersji oprogramowania niedostępnych w bardziej „korporacyjnej” dystrybucji i możesz zaakceptować kompromisy, wtedy nie ma nic źle z użyciem Fedory.


Wreszcie, ponieważ zapytałeś konkretnie o bezpieczeństwo, kilka słów na ten temat.

Jak wspomniano wcześniej, nie ma realnej różnicy w tempie aktualizacji bezpieczeństwa między Fedorą a jakąkolwiek inną dystrybucją. Programy pakujące Fedory dokładają szczególnych starań, aby pozostać blisko upstreamu i jak najszybciej udostępniać tego rodzaju aktualizacje, czasem nawet zanim zrobi to projekt upstream.

Podobnie jak przedsiębiorczy starszy brat, Fedora jest również dostarczana z dość zablokowaną konfiguracją bezpieczeństwa: usługi (z wyjątkiem ssh) są domyślnie wyłączone; zapora domyślnie blokująca jest domyślnie włączona zarówno dla IPv4, jak i IPv6; SELinux wymusza domyślnie. Ponadto Fedora jest zahartowana na wiele innych sposobów .

Z drugiej strony bardzo wcześnie zobaczysz nową technologię bezpieczeństwa; jednym z przykładów jest niedawne wprowadzenie FirewallD , który wciąż nie jest jeszcze gotowy na najlepszy czas, chociaż powrót do poprzedniej zapory jest łatwy .

Michael Hampton
źródło
13

Chodzi bardziej o stabilność i tempo zmian niż bezpieczeństwo. Fedora to platforma dla Red Hat do wdrażania nowych funkcji i aplikacji w celu sprawdzenia ich przydatności, zapewnia platformę do eksperymentowania i rozwiązywania problemów z integracją.

Zwykle nie jest to tym, co powinien robić serwer - zazwyczaj chcesz, aby serwer wykonywał funkcję w najbardziej stabilny sposób.

W zależności od tego, co robisz, Fedora może być w porządku. Jeśli tworzysz aplikacje komputerowe dla systemu Linux, pożądana może być praca z najnowocześniejszymi rozwiązaniami. Podobnie, jeśli pracujesz nad semestralnym projektem szkolnym lub innym projektem o ograniczonym czasie trwania, w którym wysokie tempo zmian nie stanowi problemu, Fedora również jest w porządku.

duffbeer703
źródło
1
Jeśli jakiś serwer Fedory działa dobrze i nie aktualizuję go, mimo że nowe wersje Fedory są wydane. Czy dzięki temu Fedora też będzie stabilna? W końcu aktualizacja do najnowszej wersji systemu operacyjnego nie jest obowiązkowa, a jeśli nie zaktualizuję, wszystko będzie działało bez problemu. Możemy więc użyć Fedory do serwerów, jeśli nie będziemy próbować kontynuować aktualizacji do najnowszych wersji Fedory. Czy sie zgadzasz?
Saurabh Barjatiya
Ale co z aktualizacjami zabezpieczeń? Zrobisz to, prawda?
Josh Brower
Tak, ale nigdy nie napotkałem problemów po aktualizacji pakietu. Aktualizacje zabezpieczeń nigdy nie wpłynęły na działanie serwerów. Stare pliki konfiguracyjne nie są zastępowane, więc wszystko działa dobrze nawet po aktualizacji bez żadnego problemu.
Saurabh Barjatiya
1
To zależy od tego, co robisz. Na przykład: jeśli korzystasz z aplikacji o znaczeniu krytycznym, która korzysta z bazy danych; możesz nie chcieć ciągle aktualizować głównych wersji bazy danych i ryzykować niezgodnością z kodem aplikacji.
Guy C
Nie mówię tu o aplikacjach o znaczeniu krytycznym. Wymagałoby to zbyt dużego bezpieczeństwa i wiedzy. Przeciętne serwery, na których z jakiegoś niefortunnego powodu występuje przestój, nie ma zbyt dużej straty. Szczególnie brak utraty życia / pełny cel serwera.
Saurabh Barjatiya
7

Kluczowy punkt, który trzyma mnie z użyciem Fedorę zamiast na serwerze i preferując Debian, Ubuntu lub CentOS jest stabilność i długość wsparcia . Gdy prowadzisz serwer, potrzebujesz stabilności, bezpieczeństwa i długowieczności. Tak, prawie każda dystrybucja zawiera to samo oprogramowanie, więc nie ma to znaczenia. Jest to kwestia tego, co jest testowane, ma aktualizacje bezpieczeństwa i jest obsługiwane.

Harmonogram wydawania Fedory co 6 miesięcy jest fajny, jeśli chcesz mieć przewagę, ale kiedy mówisz o przewadze serwera, nie zawsze jest dobra rzecz. Dodaj do tego fakt, że Fedora obsługuje tylko trzy ostatnie wersje, co oznacza, że ​​patrzysz na nieobsługiwany system operacyjny za 18 miesięcy i musisz go zaktualizować. Jeśli kiedykolwiek zrobiłeś aktualizację Fedory, zwykle są one złe i łatwiej jest wykonać czystą instalację, która na komputerze stacjonarnym / laptopie może nie być taka zła, ale dla serwera oznacza to przestoje i jest nie do przyjęcia dla większości administratorów systemu.

Zdecydowanie najdłuższy cykl wsparcia ma CentOS. W tym czasie jest obsługiwany, a łatki bezpieczeństwa i aktualizacje są wydawane, więc przez cały czas nie jest to ta sama wersja. Zaletą tego jest to, że nie spędzasz całego czasu na przygotowaniach do następnej aktualizacji. Masz stabilny serwer z uruchomionym stabilnym testowanym oprogramowaniem.

Debian ma harmonogram wydań, który jest dłuższy niż Fedora, ale krótszy niż CentOS, ale zawsze dotyczy aktualizacji bezpieczeństwa. Kolejną zaletą Debiana jest czysta ścieżka aktualizacji. Wydania Debiana są testowane zarówno pod kątem czystej instalacji, jak i aktualizacji na żywo i nie są faktycznie wydawane, dopóki nie da się tego zrobić bez problemów. Ta dbałość o szczegóły i chęć przesunięcia daty premiery, aby usunąć więcej błędów pakietowych, jest jednym z jej najsilniejszych zalet. Sama struktura pakietu DEB została również zaprojektowana tak, aby aktualizacja była bardzo płynna i utrzymywała twoje konfiguracje. Jedyne, czego tak naprawdę brakuje, to wsparcie handlowe, w którym to przypadku możesz spojrzeć na Ubuntu, który pobiera swoje pakiety z Debiana, tak jak CentOS bierze wiele pakietów z RHEL.

Edycja: Dodano pogrubiony tekst, aby zwrócić uwagę na fakt, który oczywiście został pominięty, że nie uważam Fedory za wystarczająco stabilną dla platformy serwerowej.

Jeremy Bouse
źródło
Muszę się z tobą zgodzić co do 18 miesięcy i że obsługiwane są tylko trzy ostatnie wersje. Zawsze też przeprowadzałem czystą instalację i nigdy nie aktualizowałem, więc nie mam doświadczenia z aktualizacją. Ale zarządzam kilkoma serwerami CentOS. Nienawidzę używać vima w CentOS i kiedy naciskam Tab, próbuje on wykonać autouzupełnianie, co jest irytujące. Również gdy musiałem instalować narzędzia takie jak awstats / denyhosts, nie mogłem ich znaleźć w domyślnych repozytoriach CentOS. Musiałem zainstalować je według źródła. W rzeczywistości próbowałem rpm programów awstats, które otrzymałem z jego strony internetowej i nie zadziałało. W końcu musiałem zainstalować go według źródła.
Saurabh Barjatiya
W takich przypadkach fedora oszczędza kłopotów, ponieważ awstats zawiera domyślne pakiety, a denyhosts można zainstalować za pomocą yum bez żadnych problemów z domyślnymi repozytoriami. Na szczęście w moich przypadkach użycia 18-miesięczna instalacja nie okazała się tak dużym problemem. W rzeczywistości pomaga w czyszczeniu linii konfiguracji, które nie są już potrzebne. Ale wydaje mi się, że w przypadku dużych / znanych serwerów witryn, serwerów ISP itp. 18 miesięcy to za wcześnie. Dziękuję za odpowiedź.
Saurabh Barjatiya
To nie jest nawet 18 miesięcy. Wsparcie dla wydania n jest generalnie zatrzymywane miesiąc po wydaniu n + 2. To powoduje, że aktualizujesz co 12 miesięcy, i zaczynasz instalować nową fedorę, gdy tylko się pojawi. Jeśli chcesz pozostawić każdą wersję Fedory do stabilizacji przez 2/3 miesięcy przed instalacją na swoich serwerach, to szukasz aktualizacji co 6 miesięcy.
theotherreceive
3
Na wszystko, czego nie ma w repozytoriach CentOS-Base, CentOS-Plus lub CentOS-Extra, zawsze możesz zajrzeć do repozytorium EPEL w celu przetestowania wysokiej jakości pakietów RPM ... AWstats jest tam dostępne: * epel: mirrors.tummy.com Dostępne pakiety Nazwa: awstats Arch: noarch Wersja: 6.7 Wydanie: 5.el5 Rozmiar: 1.1 M Repo: epel Podsumowanie: URL zaawansowanych statystyk WWW: awstats.sourceforge.net Licencja: GPLv2
Jeremy Bouse
1
Jeśli twój problem z CentOS jest taki, jak zachowuje się vim, proponuję zmodyfikować konfigurację vima. Instalowanie 1 lub 2 aplikacji ze źródła i modyfikowanie konfiguracji vima można wykonać za pomocą skryptów i po prostu dodać jako zadanie po instalacji do uruchomienia podczas budowania nowego serwera.
sclarson
5

Bez wsparcia.

Fedora nie ma umów o wsparcie techniczne, takich jak Red Hat Enterprise. Nie masz do kogo zadzwonić, jeśli masz problem z zatrzymaniem programu.

kmarsh
źródło
1
Musimy zapłacić za te umowy wsparcia technicznego. Jest to więc rodzaj wymiany między kosztem a wsparciem. Ponadto nie powoduje to, że Fedora jest niezabezpieczona. To po prostu oznacza, że ​​jesteś sam. Do tej pory działało dobrze bez wsparcia. Mam nadzieję, że pozostanie taki sam. Wyszukiwarka, strony podręcznika i dokumentacja bardzo pomagają. Teraz mamy do pomocy strony takie jak błąd serwera. Zdecydowanie, jeśli można sobie pozwolić na to, może istnieć poczucie bezpieczeństwa w wydaniach korporacyjnych, do których możemy wezwać pomoc w przypadku problemów.
Saurabh Barjatiya
5

Moim największym argumentem byłoby:

Serwery nie są jego główną grupą docelową

Podobnie nie zalecałbym używania Ubuntu jako środowiska serwerowego i wielu nie zgadzałoby się ze mną, ale to po prostu nie jest główny cel.

Brakuje oprogramowania skierowanego do użytkowników domowych i komputerów stacjonarnych w działach zorientowanych na serwer, podobnie jak rzeczy skierowane na serwer nie działają tak dobrze dla użytkowników domowych.

Ponadto platformy skierowane do użytkowników domowych zwykle przyciągają więcej użytkowników domowych, dlatego błędy, które zostaną wykryte, zgłoszone i naprawione, będą miały priorytet ze względu na ten efekt.

Podobnie, platformy ukierunkowane na użycie serwera będą miały tendencję do przyciągania użycia serwera, a zatem błędy związane z korzystaniem z serwera będą bardziej prawdopodobne, że zostaną znalezione i rozwiązane, zanim do nich dotrzesz.

(Mam przynajmniej jednego przyjaciela, który ma profesjonalne doświadczenie z Ubuntu w środowiskach produkcyjnych i mówi, że był tym całkowicie przerażony i wolałby CentOS dla serwerów produkcyjnych, ponieważ.)

seLinux

Fedora ma preinstalowany i ładnie skonfigurowany seLinux.

Należy zauważyć, że seLinux nie oznacza bezpieczeństwa.

Ze strony internetowej NSA seLinux :

Linux z podwyższonym poziomem bezpieczeństwa ma jedynie na celu wykazanie obowiązkowej kontroli w nowoczesnym systemie operacyjnym, takim jak Linux, a zatem jest bardzo mało prawdopodobne, aby spełniał jakąkolwiek interesującą definicję bezpiecznego systemu.

Kent Fredric
źródło
Wszystkie dystrybucje będą korzystać z podobnych serwerów, takich jak apache, open-SSH, vsftpd, sendmail, postfix itp. Jeśli błędy zostaną wykryte i naprawione, wpłynie to na wszystkie dystrybucje. Nie będziemy mieli bardzo dobrego stabilnego apache dla jednej dystrybucji i buggy apache dla innych. Zakłada się, że programiści apache opracowują i ulepszają apache, a dystrybucje używają tego samego z niewielkimi zmianami w ścieżce itp.
Saurabh Barjatiya
DOBRZE. Może być seLinux nie zwiększa bezpieczeństwa. To też nie zmniejszy. Czy więc Fedora jest tak dobra, jak inne dystrybucje?
Saurabh Barjatiya
1
Nie ma znaczenia indywidualne oprogramowanie, ważne jest, jak szybko $ OS może spakować poprawkę i dostarczyć ją do ciebie, a jeśli nikt nie używa tego oprogramowania na twojej platformie, prawdopodobieństwo uzyskania poprawki jest mniejsze. Jest to tym bardziej, że w przypadku dziwnych rzeczy komputery stacjonarne nigdy nie używają bloków sieciowych itp. Ponadto, apache na fedora! = Apache na ubuntu, oba mają specyficzne dla producenta zestawy łat, a nawet mają różne układy katalogów!
Kent Fredric
1
Wszystkie dystrybucje używają tego samego oprogramowania, ale nie w tej samej wersji. Fedora dostarczy Ci najnowszą wersję wszystkiego, w której nowe funkcje są wprowadzane i testowane, podczas gdy inne dystrybucje często udostępniają starsze wersje, które były testowane dłużej. To nie jest wypadek, fedora chce to zrobić. Powinieneś przynajmniej zaakceptować i przygotować się na poradzenie sobie z tym faktem, jeśli planujesz uruchomić go w produkcji
otrzymujesz
Nie jestem sysadminem, ale jeden z naszych sysadminów kiedyś wyłączył SELinux dla Apache tylko dlatego, że jakiś skrypt PHP musiał utworzyć folder. To się nie powiodło, a Red Hat stwierdził: „Celem bezpieczeństwa jest upewnienie się, że HTTP Apache odczytuje tylko statyczną zawartość internetową i nie robi nic innego, jak zapisywanie treści, łączenie się z gniazdami bazy danych, czytanie katalogów domowych użytkowników itp. „ Próbuję powiedzieć : jeśli nie rozumie się SELinuksa, to może faktycznie zmniejszyć bezpieczeństwo, jeśli ludzie po prostu całkowicie go wyłączą, podczas gdy inne środki bezpieczeństwa nie są wprowadzone?
Arjan
3

Jestem wielkim fanem Fedory, myślę, że to cudowne i działam na wszystkich moich komputerach stacjonarnych / laptopach, ale nie uruchomiłbym go na żadnym z moich serwerów.

  • Fedora chce być bliżej „krwawej krawędzi”. Oznacza to, że otrzymasz nowsze oprogramowanie, które spędzało mniej czasu na testowaniu. Ponieważ żadne wydanie nie pojawia się dokładnie w tym samym czasie, trudno jest uzyskać dokładne liczby na ten temat, ale uważam, że ubuntu jest często jednym opóźnieniem w stosunku do nowych funkcji, podczas gdy debian / centos / redhat są daleko w tyle.

  • Mam wrażenie, że z tego powodu jest więcej aktualizacji fedory, ale znowu nie mam żadnych liczb, które mogłyby to zrobić.

To, co naprawdę go zmienia, to brak modelu LTS, który ma Ubuntu. Możesz zainstalować ubuntu LTS kilka miesięcy po jego wydaniu i wiedzieć, że miał dużo czasu, aby rozwiązać wszelkie poważne problemy i nieco się uspokoić.

Po tym będziesz wiedział, że masz minimum 4 lata dalszej pomocy i aktualizacji, zanim będziesz musiał zaktualizować swój serwer. Mógłbym żyć z innymi potencjalnymi problemami z działaniem Fefory, ale nie z koniecznością przenoszenia wersji na każde urządzenie co najmniej raz w roku (prawdopodobnie dwa razy).


Edycja: Znaleziono kilka liczb ...

Fedora 11 zawiera serwer openssh w wersji 5.2. Po wydaniu Ubuntu Karmic będzie mieć tylko wersję 5.1 , tę samą wersję, którą ma Debian Lenny . Witryna centos jest dla mnie zbyt badziewna, żebym mogła znaleźć wersję, ale afaik jest na 4.x

inne
źródło
2

Nie chodzi o to, że fedora jest niepewna. Chodzi o to, że jest dostarczany z najnowocześniejszymi pakietami i odświeża się bardzo szybko, dlatego musisz co roku przeprowadzać aktualizacje, aby otrzymywać aktualizacje zabezpieczeń. To wielka sprawa, jeśli masz jakąś nietrywialną liczbę serwerów, szczególnie biorąc pod uwagę, że proces aktualizacji fedory (iirc) wymaga przestoju.

Cian
źródło
W przypadku wykrycia nowej podatności. Wszystkie dystrybucje byłyby wrażliwe i musielibyśmy zastosować poprawki bezpieczeństwa. Nie zrozumiałem części przestoju procesu aktualizacji Fedory. Aktualizuję systemy bez problemu bez ponownego uruchamiania. Tylko aktualizacje jądra wymagają ponownego uruchomienia, ale jest to zrozumiałe.
Saurabh Barjatiya
2
Nie, nie ma tutaj przestojów ... z wyjątkiem aktualizacji jądra raz na jakiś czas. Z drugiej strony, wszyscy ludzie Linuksa w końcu ponownie uruchamiają starą skrzynkę w celu aktualizacji jądra, więc to jest sprawiedliwe
Bobby
3
Chodzi o to, że po pewnym czasie Fedora porzuca dystrybucję jako „za starą” i nie otrzymujesz już żadnych aktualizacji zabezpieczeń. W tym momencie patrzysz na aktualizację rev-to-rev (której nigdy nie miałem dobrze) lub na przebudowę. Jeśli masz do czynienia z wieloma komputerami, stabilność, a także wiedza, że ​​aktualizacje zabezpieczeń będą dostępne przez kilka lat, są dobre.
David Mackintosh
David powiedział to o wiele lepiej niż ja tutaj.
Cian
2

Korzystanie z Fedory na serwerze w przeciwieństwie do CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES itp. Naprawdę sprowadza się do odpowiedniego narzędzia do tego zadania.

Główną skargą od administratorów serwera dotyczącą Fedory na serwerze jest cykl aktualizacji co 6 miesięcy do roku (w zależności od tego, czy zawsze chcesz być w najnowszej wersji, czy pomijać każdą inną wersję). Jak już zauważyłeś, Fedora instaluje konfiguracje „bezpieczne domyślnie” i zapewnia wiele narzędzi do utrzymywania bezpiecznego systemu. Zwłaszcza na serwerze narzędzie do wstępnej aktualizacji poradzi sobie z migracjami między różnymi wydaniami Fedory, co nieco łagodzi te obawy.

Jeśli chcesz wydłużyć cykl wydawania, coś podobnego do CentOS (która jest zasadniczo bezpłatną wersją Red Hat Enterprise Linux) może być łatwiejsze w obciążeniu.

Podsumowując, myślę, że nie masz nic przeciwko Fedorze, jeśli jesteś z tego zadowolony. Nigdy nie widziałem żadnych dowodów wskazujących, że Debian, Ubuntu lub CentOS są szczególnie bezpieczniejsze niż Fedora.

Ophidian
źródło
1

Każdy system operacyjny może być bezpieczny. Dwie kwestie dotyczące Fedory jako serwera. Po pierwsze, przy każdej aktualizacji wersji oprogramowania istnieje ryzyko wprowadzenia nowych błędów i problemów bezpieczeństwa, które nie występowały w poprzedniej wersji. Właśnie dlatego firmy będą chciały czekać rok po wydaniu oprogramowania przed jego zainstalowaniem, aby można było naprawić wiele błędów i problemów związanych z bezpieczeństwem. Nie chcesz przechodzić na nowe wersje za każdym razem, gdy pojawia się problem migracji i nowych problemów związanych z bezpieczeństwem. Po drugie, Fedora nie ma możliwości uzyskania wsparcia korporacyjnego, takiego jak RedHat lub Ubuntu.

Jared
źródło
1
Można to również postrzegać jako problem. Nieużywanie najnowszych wersji oznacza, że ​​jesteśmy narażeni na dobrze znane exploity. Cytując na DNS i BIND, które czytałem wczoraj - „Zapisz się do jednej z usług doradczych SANS (www.sans.org) lub CERT (www.cert.org), a także wielu innych, i podejmuj działania w związku z alertami BIND i pokrewnymi. W zależności od ważności alertu może to wymagać natychmiastowej aktualizacji, a następnie szybkiego testu przed szybką wymianą całego systemu. Lepiej w takim przypadku zaryzykować nowy problem niż znany exploit. „
Saurabh Barjatiya
1
Jeśli masz system operacyjny serwera obsługiwany przez dużą firmę, cofnie on wszelkie niezbędne poprawki bezpieczeństwa, jeśli zagrożona wersja oprogramowania jest nadal częścią wersji systemu operacyjnego, którą oferuje.
Jared
1

Używamy RHEL w pracy. Gdybyś musiał aktualizować 7k serwerów co 6 lub 12 miesięcy, nigdy nie będziemy na czele. Nadal otrzymujemy serwery Win2k3 do 2008 roku.

Wydania Fedory są zbyt częste, aby firma z dużą liczbą serwerów mogła być na bieżąco. W przypadku małej firmy Fedora prawdopodobnie jest w porządku. Ale z drugiej strony, potrzebujesz linuksowego administratora na stronie i większość nie może sobie pozwolić na rozwiązanie wielu problemów. To właśnie tam RHEL ma przewagę - płatne wsparcie.

Używałem Debiana w domu. Właśnie zaktualizowałem z 7 do 8 i poszło bardzo gładko. Ubuntu ma również serwer, ale Ubuntu jest odpowiednikiem Fedory. Debian poświęca dużo czasu na wdrożenie nowych pakietów, ponieważ dokładnie je testują. Minusem jest to, że możesz nie mieć najnowszej wersji Apache, MySQL lub innej potrzebnej aplikacji, która ma pożądane funkcje. Pewnie, że możesz pobrać go osobno, ale nie spełnia to celu posiadania „stabilnego i bezpiecznego” systemu operacyjnego.

użytkownik1052448
źródło
Nawet ja nie użyłbym Fedory do wszystkiego . Ale jest kilka ukierunkowanych przypadków, w których cykl szybkiej aktualizacji może mieć większy sens. Na przykład niektóre aplikacje internetowe.
Michael Hampton
0

Ponadto - mogą pojawić się funkcje / funkcje, które zostaną następnie wyświetlone w następnej wersji - co nie jest [ogólnie] pomocne dla serwera , ponieważ chcesz niezawodności. OTOH, jeśli zainstalujesz, powiedzmy, F11 i pozostanie przy nim przez 2-4 lata, tak jak w przypadku CentOS 5 lub Ubuntu LTS, to nie będzie żadnej różnicy. Chodzi o poziomy komfortu.

królikarnia
źródło
-2

Czekaj, co? O ile mi wiadomo, Wikipedia działa na Fedorze. Nie w RedHat - w Fedorze. Więc naprawdę nie ma problemu z użyciem Fedory jako serwera WWW :)

Nidrax
źródło
Nie sądzę: [me @ risby ~] $ telnet pl.wikipedia.org 22 [...] SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.1
MadHatter
Fundacja Wikimedia korzystała z Fedory, ale przeszła na Ubuntu w 2008 roku .
Michael Hampton
-3

Zazwyczaj administrator systemu chce od dystrybucji zorientowanej na serwer:

  1. Brak najnowocześniejszego oprogramowania, nawet w najnowszej wersji
  2. Całe potrzebne oprogramowanie powinno być dostępne z oficjalnych repozytoriów: w środowisku produkcyjnym czasami nie wolno używać pakietów pobranych z niezaufanych witryn lub, co gorsza, lokalnie skompilowanych.
  3. Scentralizowane i aktualne aktualizacje bezpieczeństwa z oficjalnych repozytoriów
  4. Skrypty instalacyjne pakietu i zasady (dostarczone przez dystrybucję), które zapewniają płynne aktualizacje [tj. Aktualizację zawartości pliku konfiguracyjnego, gdy demon jest aktualizowany do nowej wersji]
  5. Opcjonalnie wsparcie korporacyjne

Fedora nie odnosi się do tego, afaik

CentOS zawodzi w 2,3,4,5

Debian zawiedzie 5

Ubuntu kończy się niepowodzeniem 1

Twój wybór :)

Federico
źródło
7
Przeszukałem tę listę, zanim opublikuję coś takiego. Nowo przybyły może wziąć twoją opinię za fakt. Nie przypominam sobie Fedory ani CentOS przy użyciu „niezaufanych” repozytoriów bardziej niż Ubuntu. Pamiętam moje ostatnie „scentralizowane i aktualne” aktualizacje bezpieczeństwa około 4 dni temu od Fedory. Czy widziałeś moje skrypty instalacyjne pakietu? Są eleganckie ! Pamiętaj, kiedy następnym razem przedstawisz opinię lub fakt, aby wyjaśnić to nam. Jeśli naprawdę chcesz pobić tę listę, możesz po prostu powiedzieć FreeBSD i wysadzić je wszystkie z wody, bez wsparcia korporacyjnego.
bobby
3
IMHO CentOS kończy się niepowodzeniem tylko na 5. Istnieje ryzyko związane z 3, ale z mojego doświadczenia są dość aktualne.
Mark
1
Jeśli zamierzasz wysuwać dzikie twierdzenia o różnych dystrybucjach w swoich sugestiach, powinieneś naprawdę je trochę poprzeć faktami. Poza brakiem wsparcia ze strony korporacji (który jestem pewien, że można znaleźć konsultantów chętnych do zapewnienia), nie zgadzam się z twoją oceną niepowodzenia Fedory w pozostałych przypadkach.
Ophidian
1
Cokolwiek na temat „niezaufanego”, znalazłem repozytoria centos dość pozbawione ostatniego (jedynego) czasu, kiedy je uruchomiłem, i musiałem je uzupełnić kilkoma repozytoriami stron trzecich. Nie znalazłem tego w przypadku Fedory. Jedynym repozytorium innej firmy, którego użyłem w Fedorze, jest rpmfusion dla takich rzeczy, jak niewolne media i pakiety graficzne, czego nie widzę na moich serwerach.
theotherreceive
3
Głosowałbym za tylko 1,2,3,4,5 punktu. Ale twierdzenia o tym, która dystrybucja zawodzi, a które liczą, są po prostu złe.
Milan Babuškov