В чем проблема с использованием Fedora для серверов?

Я использовал Fedora для хостинга серверов много раз. Я никогда не сталкивался с какой-либо проблемой. Тем не менее, все новые пользователи приходят и говорят, что Fedora не защищена. Мы должны использовать Ubuntu / CentOS или другой дистрибутив, но не Fedora. Я никогда не понимаю, в чем проблема с Fedora. Что делает другие дистрибутивы более безопасными.

Несколько моментов: 1. Fedora поставляется с iptables, настроенным на использование только SSH. Кроме того, мы всегда можем настроить iptables для блокировки SSH, если захотим. Так что нет короткого замысла в брандмауэре

2. Fedora регулярно выпускает обновления (как исправления безопасности, так и общие исправления).

3. Люди говорят, что distro X выпускает новую версию раз в 5 лет, а Fedora - раз в 6 месяцев. Почему выход один раз в 5 лет делает вещи безопасными. Если вы чувствуете, что 5-летние вещи безопасны, установите 5-летнюю ОС или не обновляйте ее в течение 5 лет, даже если выйдет новая версия. Лично я чувствую, не давая новую версию в течение 5 лет, не добавляет безопасности. Вы должны будете выпускать патчи в течение 5 лет, как и при обнаружении ошибок. Так что использование очень старой ОС просто означает больше патчей. Если мы используем недавно выпущенную версию, тогда мы должны применять меньше обновлений / патчей. Как выпускать раз в 5 лет делает вещи безопасными, я никогда не понимал.

4. Все ОС используют похожие пакеты, такие как Gnome, Open-Office, KDE, Open-SSH, Apache. Другие разработчики дистрибутива тратят время на чтение исходного кода этих пакетов и исправление ошибок безопасности, если таковые имеются? Даже если они этого не сделают, они опубликуют эти недостатки, и все другие дистрибутивы выпустят исправления для него, включая Fedora. Или они будут защищать свои собственные дистрибутивы и не будут уведомлять других. Все это при условии, что они читают все миллионы строк кодов пакетов размером с apache, gcc, Open-Office. Если в каждом дистрибутиве все одинаково, что делает Fedora более уязвимой.

5. Fedora поставляется с предустановленным seLinux и хорошо настроенным.

6. Bind запускается в chroot по умолчанию в fedora. Теперь в Fedora 11 поддержка DNSSEC также присутствует по умолчанию. Смотрите вопрос DNS-сервер на Fedora 11, где кто-то указал на то, что Fedora не подходит для размещения DNS. Я не знаю почему.

Фактически один из новых администраторов установил Cent-OS 5.3 на одну из тестовых машин. Я использовал его, чтобы пропинговать один IP, которого там не было. Я получил ответы на пинг. Я был удивлен, так как это было невозможно. Я пытался выяснить место, откуда приходят ответы, но не смог. В конце, после попытки больше часа, я удалил сетевой кабель из машины CentOS. Я все еще мог пинговать IP. Затем я попытался пинговать IP-адрес машины. Я мог бы пинговать это тоже. Таким образом, я смог пропинговать два IP-адреса (не другие, я их тоже пробовал), когда на машине был настроен один IP-адрес и не было псевдонимов (eth0: 1 и т. Д.). Я проверил вывод ifconfig тоже. Я потерял полное доверие к так называемым серверным дистрибутивам и установил Fedora 11 на все тестовые машины. Теперь я не сталкиваюсь с такими странными проблемами для таких базовых вещей, как пинг.

Я был бы очень признателен, если бы мог получить примеры из реальной жизни, которые указывают на то, что Fedora небезопасна, и если бы в этом случае это был любой другой дистрибутив, все было бы хорошо. Не приводите примеры, были ошибки администратора. Мы не можем винить в этом распределение. Также не приводите очень старые примеры Fedora 1, 2 или Fedora 3. Проект Fedora сейчас очень зрелый, особенно последние две версии 10, 11. Если вы столкнулись с проблемами безопасности, характерными только для них, пожалуйста, поделитесь своим опытом.

Там нет ничего, что диктует, что Fedora не подходит для использования на серверах, и нет ничего, что диктует, что «серверные дистрибутивы» является единственным выбором для серверов. Это зависит от ваших конкретных потребностей.

Что вы можете получить от использования "серверных дистрибутивов":

• долгосрочная поддержка
• стабильные API (обновления версий библиотек и приложений практически отсутствуют)
• исправленные ошибки и исправления
• платная поддержка

Моя главная «жалоба» на серверные дистрибутивы заключается в том, что программное обеспечение / библиотеки, как правило, несколько устарели, а диапазон поддерживаемых пакетов намного меньше, чем усилия сообщества.

Т.е. поставщики коммерческого программного обеспечения любят долговременную поддержку и неизменяемые API, им не придется перестраивать свое приложение для новейших библиотек, потому что API внезапно изменился. Они могут разрабатывать для Vendor Y Release X и знать, что эта платформа будет доступна в течение нескольких лет.

Я думал, что мне нечего добавить к этому, но после запуска Fedora в течение почти двух лет - для моей очень важной системы мониторинга Zabbix! - Кажется, мне есть что сказать.

Во-первых, это был не мой первый выбор. Как правило, для чего-то даже неопределенно важного я выберу CentOS / RHEL для преимуществ долгосрочной стабильности, предоставляемых этими дистрибутивами. Однако для этого конкретного развертывания мне абсолютно необходимы функции в Zabbix 2.0, а в репозитории EPEL только 1.8. (EPEL теперь имеет пакеты Zabbix 2.0 и 2.2 в дополнение к 1.8, хотя в то время этого не было. Если бы это было так, я бы никогда не попробовал это).

Итак, компромисс здесь заключается в следующем: Fedora имеет новейшее программное обеспечение, но ее выпуски находятся на очень коротком 13-месячном жизненном цикле, а новые выпуски выпускаются примерно каждые шесть месяцев. Это означает, что мне пришлось планировать период обслуживания для обновления Fedora два раза в год, в дополнение к обычной периодической установке обновлений.

Для системы мониторинга, которая должна отслеживать все остальное , важно, чтобы такие периоды обслуживания были как можно реже и как можно короче. С требованием так часто обновляться, это обычно исключало бы такое распределение, но помните, что у меня были более насущные проблемы; это было бы бесполезно без необходимых мне функций. Так что это компромисс, который я сделал с (почти) полным знанием последствий.

Недавно я выполнил обновление Fedora 18-19 на этом сервере, используя новый инструмент обновления Fedora Fedora. Я планировал двухчасовое отключение, и еще два часа, чтобы, возможно, иметь дело с любыми отслеживаемыми службами, которые могли погибнуть, и этот факт был упущен, так как Zabbix был недоступен.

Фактическое время простоя службы было 11 минут. Это с момента остановки Zabbix до перезагрузки и до момента резервного копирования и мониторинга сервисов после завершения обновления. Я не понимал, что время простоя будет таким коротким! Я ожидал гораздо больше неприятностей , хотя по опыту знаю, что значительные проблемы с обновлением встречаются редко в Fedora. (И это было улучшено дальше: когда я делал обновление Fedora 19-20, полное время простоя составило потрясающие шесть минут . То же самое время для 20-21.)

Эта услуга почти наверняка будет переведена на 7-ю RHEL, когда она станет доступной. После этого опыта я стал намного увереннее в Fedora как сервере и теперь намерен сохранить ее, даже с серьезным обновлением каждые шесть месяцев. Переход на RHEL будет гораздо более разрушительным и может ограничить меня в будущем из-за следующего:

К сожалению, Red Hat так долго не выходила между основными релизами; аналогичная задержка между EL5 и EL6 привела меня к фактическому запуску установки Ubuntu, которую я до сих пор не могу себе представить. (Для этой системы я рассматривал Fedora, но, как ни странно, в то время в ней не было программного обеспечения, которое мне нужно было упаковывать, несмотря на то, что более старая версия была в EPEL.)

Одна из «проблем», о которой никто не упомянул при работе с Fedora, заключается в том, что вы увидите много новых вещей, как крупных программных проектов, так и мелких улучшений, задолго до их включения в RHEL. Поэтому, когда вы начнете управлять своими системами RHEL / CentOS, вы упустите их. Например, в Fedora есть большое количество завершений bash, которых по умолчанию еще нет в RHEL; один известный завершение табуляции для имен пакетов вyum командной строке.

Так что, безусловно, возможно использовать Fedora в производстве, если вы можете принять компромиссы:

• Контрактов на поддержку нет. У вас должен быть собственный опыт, достаточный для управления сервером и его услугами, а также для решения любых проблем, которые могут возникнуть; доступна только поддержка сообщества, и там нет никаких гарантий. Опыт RHEL помогает, так как они очень похожи.
• У вас должно быть окно технического обслуживания для обновления хотя бы раз в год . Хотя каждые шесть месяцев лучше; если вы обновляете его ежегодно, вам придется обновлять сразу два выпуска, что удваивает количество потенциальных проблем, с которыми вам придется столкнуться в 3 часа ночи.
• Обновления могут принести новые версии программного обеспечения, с которыми вам придется иметь дело; однако это будут точечные выпуски, а не основные версии. В редких случаях могут быть добавлены новые важные функции (например, BZ # 319901 ). Тем не менее, как правило, программное обеспечение остается с тем же номером версии на протяжении всей жизни выпуска, с исправлениями, перенесенными обратно; только некоторые пакеты (такие как PHP) отслеживают выпуски исходных программ.
• Хотя нет существенной разницы в скорости обновлений безопасности, они не всегда могут быть изолированы от обновлений исправлений ошибок (опять же, таких как PHP). Является ли это проблемой, зависит от службы, которую вы планируете запустить.

Учитывая все обстоятельства, Fedora по-прежнему не является моим первым выбором для серверной платформы и, вероятно, никогда не будет. (Несмотря на то, что я был счастливым пользователем рабочего стола Fedora за все время его существования.) Если вам абсолютно необходимы более свежие версии программного обеспечения, недоступные в более «корпоративном» дистрибутиве, и вы можете согласиться с компромиссами, тогда ничего не изменится. неправильно с использованием Fedora.

Наконец, поскольку вы спрашивали конкретно о безопасности, несколько слов об этом.

Как отмечалось ранее, нет никакой разницы в скорости обновлений безопасности между Fedora и любым другим дистрибутивом. Упаковщики Fedora прилагают особые усилия, чтобы оставаться ближе к добыче такие обновления как можно быстрее, иногда даже до того, как это делает апстрим.

Как и его старший брат, Fedora также поставляется с довольно закрытой конфигурацией безопасности: сервисы (кроме ssh) по умолчанию отключаются; брандмауэр, запрещающий использование по умолчанию, включен по умолчанию как для IPv4, так и для IPv6; SELinux применяется по умолчанию. Кроме того, Fedora укреплена многими другими способами .

С другой стороны, вы видите новые технологии безопасности очень рано; Одним из примеров является недавнее появление FirewallD , который еще не совсем готов к прайм-тайму, хотя переключиться обратно на предыдущий брандмауэр легко .

Это больше касается стабильности и скорости изменений, чем безопасности, как таковой. Fedora - это платформа для Red Hat, в которой можно развертывать новые функции и приложения для проверки их актуальности, предоставлять платформу для экспериментов и решать проблемы интеграции.

Обычно это не то, что вы хотите, чтобы сервер делал - вы обычно хотите, чтобы сервер выполнял функцию наиболее стабильным способом.

В зависимости от того, что вы делаете, Fedora может быть просто в порядке. Если вы разрабатываете настольные приложения для Linux, работа с передовыми технологиями может оказаться желательной. Точно так же, если вы работаете над школьным проектом продолжительностью в семестр или над каким-либо другим проектом с ограниченной продолжительностью, где высокий темп изменений не является проблемой, Fedora тоже подойдет.

Ключевой момент , который удерживает меня от использования Fedora для сервера и предпочитающих Debian, Ubuntu или CentOS вместо является стабильность и длительность поддержки . Когда вы работаете с сервером, вам нужны стабильность, безопасность и долговечность. Да, почти все дистрибутивы упаковывают одно и то же программное обеспечение, поэтому это не имеет значения. Это вопрос того, что проверено, имеет обновления безопасности и поддерживается.

График выпуска Fedora каждые 6 месяцев хорош, если вы хотите использовать самые передовые возможности, но когда речь идет о передовых возможностях серверов, это не всегда хорошо. Добавьте к этому тот факт, что Fedora поддерживает только последние три версии, что означает, что вы смотрите на неподдерживаемую ОС через 18 месяцев и нуждаетесь в обновлении. Если вы когда-либо выполняли обновление Fedora, они обычно бывают плохими, и проще выполнить чистую установку, которая на настольном компьютере / ноутбуке может быть не такой уж плохой, но для сервера, который означает простои и который неприемлем для большинства системных администраторов.

У CentOS, безусловно, самый длинный цикл поддержки, и в течение этого времени он поддерживается, и выпускаются исправления и обновления безопасности, поэтому это не один и тот же выпуск все время. Преимущество этого состоит в том, что вы не тратите все свое время на подготовку к следующему обновлению. У вас есть стабильный сервер, на котором работает стабильно протестированное программное обеспечение.

У Debian есть график выпуска, который длиннее, чем Fedora, но короче, чем CentOS, но всегда в курсе обновлений безопасности. Другое преимущество Debian - это чистый путь обновления. Релизы Debian тестируются как на чистую установку, так и на живые обновления, и на самом деле не выпускаются до тех пор, пока не смогут быть успешно выполнены без проблем. Это внимание к деталям и готовность отодвинуть дату выпуска, чтобы устранить больше ошибок в пакете, является одним из самых сильных плюсов. Сама структура пакета DEB также разработана, чтобы сделать обновление очень плавным и поддерживать ваши конфигурации. Единственное, чего ему действительно не хватает, - это коммерческой поддержки, и в этом случае вы можете обратиться к Ubuntu, которая берет свои пакеты из Debian, точно так же, как CentOS берет большую часть своей упаковки из RHEL.

Изменить: Добавлен жирный текст, чтобы привлечь внимание к факту, который явно упущен из-за того, что я не считаю Fedora достаточно стабильной для серверной платформы.

Без поддержки.

Fedora не имеет контрактов на техническую поддержку, как Red Hat Enterprise. Если у вас возникли проблемы с выставкой, звонить некому.

Мой самый большой аргумент будет:

Серверы не являются его основной целевой аудиторией

Кроме того, я бы не рекомендовал использовать Ubuntu для серверной среды, и многие не согласились бы со мной, но это просто не основная цель.

В отделах, ориентированных на сервер, обычно не хватает программного обеспечения, предназначенного для домашних пользователей и настольных компьютеров, точно так же, как вещи, нацеленные на сервер, не работают так же хорошо для домашних пользователей.

Кроме того, платформы, нацеленные на домашних пользователей, имеют тенденцию привлекать больше домашних пользователей, таким образом, ошибки, которые обнаруживаются, сообщаются и исправляются, будут приоритетными из-за этого эффекта.

Аналогично, платформы, нацеленные на использование сервера, будут иметь тенденцию привлекать использование сервера, и, таким образом, ошибки, связанные с использованием сервера, с большей вероятностью будут обнаружены и устранены к тому времени, когда вы к ним попадете.

(У меня есть хотя бы один друг, который имеет профессиональный опыт работы с Ubuntu в производственных средах и говорит, что он был в полном ужасе от этого, и очень предпочел бы CentOS для производственных серверов, потому что.)

SELinux

Fedora поставляется с предустановленным seLinux и хорошо настроенным.

Важно отметить, что seLinux не подразумевает безопасность.

С собственного сайта seLinux АНБ :

Linux с улучшенной безопасностью предназначен только для демонстрации обязательных элементов управления в современной операционной системе, такой как Linux, и поэтому сам по себе вряд ли будет соответствовать какому-либо интересному определению защищенной системы.

Я большой поклонник Fedora, я думаю, что это замечательно, и я запускаю его на всех своих настольных компьютерах / ноутбуках, но я бы не стал запускать его на любом из моих серверов.

• Fedora стремится быть ближе к «кровоточащему краю». Это означает, что вы получите более новое программное обеспечение, которое потратило меньше времени на тестирование. Поскольку ни один релиз не выходит в одно и то же время, трудно получить точные цифры по этому вопросу, но я чувствую, что ubuntu часто отстает от новых функций, в то время как debian / centos / redhat намного отстают.

• У меня сложилось впечатление, что из-за этого есть больше обновлений на Fedora, но опять же у меня нет никаких цифр, чтобы подтвердить это.

Что действительно качает это, хотя это - отсутствие модели LTS, которую имеет ubuntu. Вы можете установить Ubuntu LTS через несколько месяцев после его выпуска и знать, что у него было достаточно времени, чтобы разобраться с любыми серьезными проблемами и решить их в некоторой степени.

После этого вы знаете, что у вас есть как минимум 4 года дополнительной поддержки и обновлений, прежде чем вам придется обновлять свой сервер. Я мог бы справиться с любыми другими потенциальными проблемами с запуском fefora, но не с необходимостью переносить релиз на каждую коробку как минимум раз в год (хотя, возможно, дважды).

Изменить: Найдено несколько номеров ...

Fedora 11 поставляется с openssh сервером версии 5.2. Когда он выйдет, ubuntu karmic будет иметь только версию 5.1 , ту же версию, что и у debian lenny . Сайт Centos слишком дерьмовый, чтобы я мог найти версию, но на самом деле они на 4.x

Дело не в том, что федора небезопасна. Дело в том, что он поставляется с новейшими пакетами, и он очень быстро обновляется, поэтому вы должны проходить обновления каждый год или около того, чтобы получать обновления безопасности. Это очень важно, если у вас есть нетривиальное количество серверов, особенно если учесть, что процесс обновления fedora (iirc) требует простоев.

Использование Fedora на сервере в сравнении с CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES и т. Д. Действительно сводится к подходящему инструменту для работы.

Основная жалоба, которую вы найдете у администраторов серверов на Fedora на сервере, заключается в цикле обновления каждые 6 месяцев до года (в зависимости от того, хотите ли вы всегда использовать последнюю версию или пропустить каждый второй выпуск). Как вы указали, Fedora устанавливает конфигурации «по умолчанию» и предоставляет множество инструментов для обеспечения безопасности системы. Особенно на сервере инструмент предварительного обновления прекрасно справляется с миграциями между различными выпусками Fedora, что несколько смягчает эту проблему.

Если вы хотите более продолжительный цикл выпуска, то что-то вроде CentOS (которая по сути является бесплатной версией Red Hat Enterprise Linux) может быть проще в вашей рабочей нагрузке.

Подводя итог, я думаю, что вы просто в порядке с Fedora, если вы довольны этим. Я никогда не видел доказательств того, что Debian, Ubuntu или CentOS особенно безопасны, чем Fedora.

Любая операционная система может быть защищена. Два замечания о Fedora как о сервере. Во-первых, каждый раз, когда вы обновляете версию программного обеспечения, вы рискуете столкнуться с новыми ошибками и проблемами безопасности, которых не было в предыдущей версии. Вот почему компании захотят подождать год после выхода программного обеспечения, прежде чем устанавливать его, поэтому многие ошибки и проблемы безопасности могут быть исправлены. Вы не хотите переключаться на новые версии каждый раз, когда возникают проблемы с миграцией и новыми проблемами безопасности. Во-вторых, Fedora не имеет возможности получить корпоративную поддержку, такую ​​как RedHat или Ubuntu.

Мы используем RHEL на работе. Если бы вам приходилось обновлять 7k серверов каждые 6 или 12 месяцев, мы бы никогда не были впереди. Мы все еще получаем серверы Win2k3 к 2008 году.

Выпуски Fedora слишком часты для компании с большим количеством серверов, чтобы оставаться в курсе. Для малого бизнеса наверняка хорошо использовать Fedora. Но опять же, вам понадобится администратор Linux на сайте, и большинство из них не может позволить себе решить многие проблемы. Так что у RHEL есть преимущество - платная поддержка.

Я использовал Debian дома. Я только что обновился с 7 до 8, и все прошло очень гладко. У Ubuntu тоже есть сервер, но Ubuntu эквивалентен Fedora. Debian требует много времени для развертывания новых пакетов, потому что они тщательно их тестируют. Недостатком является то, что у вас может не быть последней версии Apache или MySQL или любого другого необходимого вам приложения, обладающего необходимыми функциями. Конечно, вы можете скачать его отдельно, но это побеждает цель иметь «стабильную и безопасную» ОС.

Кроме того, функции / функциональные возможности могут появиться, а затем их можно будет найти в следующем выпуске, что, как правило, бесполезно для сервера , поскольку вам нужна надежность. OTOH, если вы установите, скажем, F11 и придерживаетесь его в течение 2-4 лет, как если бы вы использовали CentOS 5 или Ubuntu LTS, то никакой реальной разницы нет. Речь идет об уровнях комфорта.

Чего ждать? Насколько я знаю, Википедия работает на Fedora. Не на RedHat - на Fedora. Таким образом, на самом деле нет проблем с использованием Fedora в качестве веб-сервера :)

Обычно системный администратор хочет от серверно-ориентированного дистрибутива:

1. Нет передового программного обеспечения, даже на последней версии
2. Все программное обеспечение , вам нужно должно быть доступно из официальных репозиториев: в производственной среде иногда вы не можете использовать пакеты тянули от случайных ненадежных сайтов или, что еще хуже, локально скомпилированных.
3. Централизованные и своевременные обновления безопасности из официальных репозиториев
4. Сценарии и политики установки пакетов (предоставляемые дистрибутивом), обеспечивающие плавное обновление [т.е. обновление содержимого файла конфигурации при обновлении демона до нового выпуска]
5. Опционально, корпоративная поддержка

Fedora терпит неудачу в этом, afaik

CentOS дает сбой на 2,3,4,5

Debian не работает 5

Ubuntu не работает на 1

Твой выбор :)