У чому проблема використання Fedora для серверів?

Я багато разів використовував Fedora для розміщення серверів. Я ніколи не стикався з жодною проблемою. Проте всі нові користувачі приходять і кажуть, що Fedora не захищений. Ми повинні використовувати Ubuntu / CentOS або інший дистрибутив, але не Fedora. Я ніколи не розумію, у чому проблема Fedora. Що робить інші дистрибуції більш безпечними.

Невеликі моменти: 1. Fedora постачається з iptables, налаштованими на доступ до SSH. Крім того, ми завжди можемо налаштувати iptables, щоб навіть блокувати SSH, якщо теж хочемо. Тож жодне коротке відвідування брандмауера.

2. Fedora регулярно випускає оновлення (як безпеку, так і загальні патчі).

3. Люди кажуть, що distro X випускає нову версію раз на 5 років, а Fedora - раз на 6 місяців. Як випускати один раз на 5 років, це забезпечує безпеку. Якщо ви відчуваєте, що 5-річні речі захищені, встановіть п'ятирічну ОС або не оновлюйте її протягом 5 років, навіть якщо виходить нова версія. Особисто я відчуваю, що надання нової версії протягом 5 років не додає безпеки. Вам потрібно буде випускати патчі протягом 5 років, як і коли виявляються помилки. Тож використання дуже старої ОС просто означає більше патчів. Якщо ми використовуємо нещодавно випущену версію, тоді нам доведеться застосовувати менше оновлень / виправлень. Яким чином звільнення раз на 5 років робить речі безпечними, я ніколи не розумів.

4. Усі ОС використовують подібні пакети, такі як Gnome, Open-Office, KDE, Open-SSH, Apache. Чи проводять інші розробники дистрибутива час, читаючи вихідний код цих пакунків та виправляючи помилки безпеки, якщо такі є? Навіть якщо вони не хочуть, вони публікують ці недоліки, а всі інші дистрибутиви випускають патчі для нього, включаючи Fedora. Або вони б забезпечили свої власні дистрибуції і не намагалися б повідомляти інших. Це все за умови, що вони читають усі мільйони рядків кодів пакетів настільки великі, як apache, gcc, Open-Office. Якщо ці речі однакові у кожному розповсюдженні, це робить Fedora більш вразливим.

5. Fedora постачається з попередньо встановленою програмою seLinux та чудово налаштованою.

6. Bind працює за замовчуванням у Fedora. Тепер із Fedora 11 підтримка DNSSEC також присутня за замовчуванням. Див. Запитання DNS-сервера на Fedora 11, де хтось вказав Fedora на недобре розміщення DNS. Я не знаю чому.

Насправді один з нових адміністраторів встановив Cent-OS 5.3 на одній із тестових машин. Я використовував його для того, щоб пінг одного IP, якого там не було. Я отримав відповіді пінг. Я був здивований, оскільки це було неможливо. Я намагався з’ясувати місце, звідки надходять відповіді, але не вдалося. Зрештою, намагаючись більше години, я вийняв мережевий кабель із апарату CentOS. Мені все-таки вдалося пропрасувати IP. Потім я спробував пінг IP-адреси машини. Я теж міг би пінгнути це. Тож мені вдалося пінговувати два IP-адреси (не інші, я також спробував їх), коли машина була налаштована з одним IP-адресою і не було псевдонімів (eth0: 1 тощо). Я перевірив, чи є вихідний конфігурація. Я втратив повну довіру до так званих серверних дистрибутивів і встановив Fedora 11 на всіх тестових машинах. Зараз я не стикаюся з такими дивними проблемами для речей, як основні, як пінг.

Я дуже вдячний, якби я міг отримати приклади реального життя, які вказують на те, що Fedora є незахищеним, і якби в такому випадку це було б інше, все було б добре. Не наводьте приклади, чи були помилки адміністратора. Ми не можемо звинуватити в цьому розподіл. Також не наводьте дуже старі приклади Fedora 1, 2 або Fedora 3. Проект Fedora зараз дуже зрілий, особливо останні дві версії 10, 11. Якщо у вас виникли проблеми безпеки, які стосуються лише них, будь ласка, поділіться своїм досвідом.

Немає нічого, що диктує, що Fedora непридатний для використання на серверах, і не існує нічого, що диктує, що "серверні дистрибутиви" є єдиним вибором для серверів. Це залежить від ваших конкретних потреб.

Що ви можете отримати від використання "сервера дистрибутива":

• довгострокова підтримка
• стабільний API (мало оновлених версій бібліотек та додатків)
• підтримувані виправлення та виправлення
• платну підтримку

Моя головна «скарга» на серверні дистрибутиви - це те, що програмне забезпечення / бібліотеки, як правило, дещо старі, і коло підтримуваних пакетів значно менший, ніж зусилля, керовані громадою.

Тобто довгострокова підтримка і API, що не змінюється, - це те, що люблять виробники комерційного програмного забезпечення, їм не доведеться перебудовувати свою програму для найновіших бібліотек, оскільки API раптово змінився. Вони можуть розробити для Vendor Y Release X і знати, що ця платформа буде існувати протягом кількох років.

Я думав, що до цього я нічого не можу додати, але після того, як впродовж майже двох років запускав Fedora у виробництві - для моєї дуже важливої ​​системи моніторингу Zabbix! - здається, я маю сказати пару речей.

По-перше, це був не перший мій вибір. Як правило, для будь-якого, навіть неяскраво важливого, я виберу CentOS / RHEL для довгострокових переваг стабільності, які забезпечують ці дистрибутиви. Однак для цього конкретного розгортання я абсолютно потребував функцій у Zabbix 2.0, тоді як EPEL repo передбачав лише 1.8. (EPEL тепер має пакети Zabbix 2.0 та 2.2 на додаток до 1.8, хоча цього не було в той час. Якби це було, я б ніколи цього не пробував.)

Отож, компроміс тут: Fedora має найновіше програмне забезпечення, але його випуски проходять за дуже короткий 13-місячний життєвий цикл, з новими випусками, які виробляються кожні півроку. Це означає, що мені довелося планувати вікно технічного обслуговування, щоб оновити Fedora двічі на рік, крім звичайної періодичної установки оновлень.

Для системи моніторингу, яка повинна вести облік у всьому іншому , важливо, щоб такі періоди технічного обслуговування були якнайчастішими та короткими. З вимогою оновити так часто, це, як правило, виключає такий розподіл, але пам’ятайте, що у мене було більше нагальних проблем; було б марно без потрібних мені функцій. Тож це компроміс, який я здійснив із (майже) повним знанням наслідків.

Не так давно я здійснив оновлення Fedora 18-19 на цьому сервері, використовуючи новий інструмент оновлення Fedora. Я запланував дві години відключення, ще дві години, щоб, можливо, розібратися з будь-якою з моніторингових служб, яка, можливо, загинула, і цей факт пропустили з моменту того, як Zabbix пройшов.

Фактичне час простою служби було 11 хвилин. Це з часу, коли Zabbix зупинився перед перезавантаженням, до часу його резервного копіювання та моніторингу служб після завершеного оновлення. Я не розумів, що простої будуть такими короткими! Я очікував набагато більше неприємностей , хоча з досвіду знаю, що з Fedora трапляються значні проблеми з оновленням. (І це було покращено далі: коли я зробив оновлення Fedora 19-20, повний час простою склав дивовижні шість хвилин . Той самий час для 20-21.)

Ця послуга майже напевно буде перенесена на RHEL 7, коли вона стане доступною. Після цього досвіду я набагато впевненіший у Fedora як сервері, і тепер маю намір зберігати її, навіть із значним оновленням кожні півроку. Перехід до RHEL був би набагато руйнівнішим і може обмежити мене в майбутньому через наступне:

Прикро, що Red Hat так довго перебуває між основними релізами; аналогічна затримка між EL5 та EL6 призвела до того, що я фактично почав встановлювати Ubuntu у виробництво, що я до сих пір переживаю. (Для цієї системи я вважав Fedora, але, як не дивно, у неї не було програмного забезпечення, яке мені потрібно було спакувати на той час, незважаючи на те, що старіша версія була в EPEL.)

Одна з «проблем», про яку ніхто не згадував щодо управління Fedora, полягає в тому, що ви побачите багато нових речей, як великих програмних програм, так і крихітних вдосконалень, заздалегідь до їх включення до RHEL. Тож, коли ви перейдете до управління вашими системами RHEL / CentOS, ви їх будете сумувати. Наприклад, Fedora має велику кількість базових доповнень, які за замовчуванням ще не є RHEL; одна помітна - заповнення вкладок для імен пакетів у yumкомандному рядку.

Тож, безумовно, можна використовувати Fedora у виробництві, якщо ви можете прийняти компроміси:

• Договорів на підтримку немає. Ви повинні мати власний досвід, достатній для управління сервером та його послугами та вирішення будь-яких проблем, які можуть виникнути; доступна лише підтримка громади, і гарантій там немає. Досвід RHEL допомагає, оскільки вони досить схожі.
• Ви повинні мати вікно технічного обслуговування, щоб оновити принаймні щорічно . Хоча кожні півроку краще; якщо ви оновлюєтесь щорічно, вам доведеться оновлювати два випуски одразу, що вдвічі перевищує кількість можливих проблем, з якими вам доведеться вирішити о 3 ранку.
• Оновлення можуть пропонувати нові версії програмного забезпечення, з якими вам доведеться мати справу; однак це будуть точкові випуски, а не основні версії. У рідкісних випадках можуть бути додані значні нові функціональні можливості (наприклад, BZ # 319901 ). Однак, як правило, програмне забезпечення залишається на одному номері версії протягом усього періоду випуску, з виправленими виправленнями; лише деякі пакети (наприклад, PHP) відстежують випуски точки за течією.
• Хоча не існує суттєвої різниці в темпі оновлень безпеки, вони не завжди можуть бути ізольовані від оновлення помилок (знову ж таки, наприклад, PHP). Чи це проблема, залежить від послуги, яку ви плануєте запустити.

Зважаючи на все, Fedora все ще не є моїм першим вибором для серверної платформи, і, мабуть, ніколи не буде. (Хоча я був щасливим користувачем настільного ПК Fedora протягом усього свого існування.) У випадку, коли вам абсолютно потрібні більш сучасні версії програмного забезпечення, недоступні в більш «корпоративному» розповсюдженні, і ви можете прийняти компроміси, тоді нічого немає неправильно використовувати Fedora.

Нарешті, оскільки ви конкретно запитали про безпеку, кілька слів про це.

Як зазначалося раніше, немає різниці в темпі оновлень безпеки між Fedora та будь-яким іншим розповсюдженням. Пакувальники Fedora докладають особливих зусиль, щоб залишатися поруч із верхнім потоком і отримувати такі оновлення якнайшвидше, іноді навіть до того, як це зробить проект вище.

Як і його великий підприємний брат, Fedora також постачає з досить заблокованою конфігурацією безпеки: служби (крім ssh) відправляються за замовчуванням; брандмауер-заперечення за замовчуванням увімкнено за замовчуванням як для IPv4, так і для IPv6; SELinux застосовується за замовчуванням. Крім того, Fedora загартований низкою інших способів .

З іншого боку, ви можете побачити нові технології безпеки дуже рано; одним із прикладів є нещодавнє впровадження FirewallD , який все ще не зовсім готовий до простого часу, хоча повернення назад до попереднього брандмауера є простим .

Йдеться швидше про стабільність та швидкість змін, ніж про безпеку. Fedora - це платформа Red Hat для розгортання нових функцій та додатків для перевірки їх актуальності, надання платформи для експериментів та розгляду проблем інтеграції.

Зазвичай це не те, що ви хочете, щоб сервер - ви, як правило, хочете, щоб сервер виконував функцію найбільш стабільним можливим способом.

Залежно від того, що ви робите, Fedora може бути просто чудовим. Якщо ви розробляєте додатки для настільних ПК Linux, робота з кровоточивим краєм може бути бажаною. Крім того, якщо ви працюєте над семестровим шкільним проектом або іншим обмеженим проектом, де високий темп змін не викликає занепокоєння, Fedora також добре.

Точка ключа , який утримує мене від використання Fedora для сервера і вважає за краще Debian, Ubuntu або CentOS замість є стабільність і тривалість підтримки . Запускаючи сервер, ви хочете стабільності, безпеки та довголіття. Так, майже кожен дистрибутив упаковує одне і те ж програмне забезпечення, щоб це не мало значення. Це питання про те, що тестується, має оновлення безпеки та підтримується.

Графік випуску Fedora кожні 6 місяців є приємним, якщо ви хочете кровоточити, але якщо говорити про кровоточивість сервера, це не завжди добре. Додайте до цього факт, що Fedora підтримує лише три останні версії, що означає, що ви переглядаєте непідтримувану ОС протягом 18 місяців та потребуєте оновлення. Якщо ви коли-небудь робили оновлення Fedora, вони зазвичай погані, і простіше зробити чисту установку, яка на робочому столі / ноутбуці може бути не такою поганою, але для сервера, який означає простої і неприйнятний для більшості системних адміністраторів.

На сьогодні CentOS має найдовший цикл підтримки, і за цей час він підтримується, випускаються патчі та оновлення безпеки, так що це не той самий випуск весь час. Перевага цього в тому, що ви не витрачаєте весь свій час на підготовку до наступного оновлення. У вас стабільний сервер із стабільним тестованим програмним забезпеченням, що працює на ньому.

Debian має розклад випусків, який довший, ніж Fedora, але коротший, ніж CentOS, але завжди підтримує оновлення безпеки. Іншою перевагою Debian є чистий шлях оновлення. Випуски Debian тестуються як на чисті встановлення, так і на оновлення в реальному часі, і фактично не випускаються, поки це не вдасться зробити успішно без проблем. Ця увага до деталей та готовність підштовхнути дату випуску, щоб очистити більше помилок у пакеті, є одним із найсильніших плюсів. Сама структура пакунків DEB також розроблена для того, щоб зробити оновлення дуже гладким і підтримувати ваші конфігурації. Єдине, чого йому справді бракує, - це комерційна підтримка, і в цьому випадку ви можете звернутися до Ubuntu, який приймає пакунки від Debian так само, як CentOS бере більшу частину упаковки від RHEL.

Редагувати: Додано жирний текст, щоб звернути увагу на те, що явно пропустили, що я не вважаю Fedora достатньо стабільним для серверної платформи.

Ніякої підтримки.

У Fedora немає таких контрактів на технічну підтримку, як підприємство Red Hat. Немає кому дзвонити, якщо у вас проблема з зупинкою шоу.

Мій найбільший аргумент:

Сервери не є його основною аудиторією

Так само я б не рекомендував використовувати Ubuntu для серверного середовища, і багато хто не погодиться зі мною, але це просто не головна мета.

Програмне забезпечення, орієнтоване на домашніх користувачів та настільних комп’ютерів, як правило, не вистачає у відділах, орієнтованих на сервер, як і речі, націлені на сервер, не працюють так добре для домашніх користувачів.

Крім того, платформи, орієнтовані на домашніх користувачів, як правило, залучають більше домашніх користувачів, таким чином, помилки, які виявляються, повідомляються та виправляються, будуть надавати пріоритет завдяки цьому ефекту.

Так само платформи, спрямовані на використання сервера, як правило, залучатимуть серверне використання, і, таким чином, помилки, пов’язані з використанням сервера, швидше будуть знайдені та вирішені до того часу, коли ви потрапите на них.

(У мене є принаймні один друг, який має професійний досвід роботи з Ubuntu у виробничих середовищах і каже, що він цілком жахнувся цим, і я вважаю за краще CentOS для виробничих серверів.)

seLinux

Fedora постачається з попередньо встановленою програмою seLinux та чудово налаштованою.

Важливо зазначити, що seLinux не передбачає безпеки.

З власного веб-сайту NSA seLinux :

Підвищена безпека Linux призначена лише для демонстрації обов'язкового контролю в такій сучасній операційній системі, як Linux, і тому дуже малоймовірно, що вона відповідає будь-якому цікавому визначенню захищеної системи.

Я великий фанат фейдори, я думаю, що це чудово, і я запускаю його на всіх своїх робочих столах / ноутбуках, але я б не запускав його на жодному зі своїх серверів.

• Федора має на меті бути ближче до "краю кровотечі". Це означає, що ви отримаєте новіше програмне забезпечення, яке витрачало менше часу на тестування. Оскільки жоден реліз не виходить в той самий час, важко отримати точні цифри на цьому, але я відчуваю, що ubuntu часто є одним випуском позаду нових функцій, в той час як debian / centos / redhat значно відстають.

• Моє враження, що через це є більше оновлень на Fedora, але я знову не маю жодних номерів, щоб підтвердити це.

Що насправді хитається, хоча це відсутність моделі LTS, яку має ubuntu. Ви можете встановити ubuntu LTS через кілька місяців після його випуску і знати, що у нього було достатньо часу, щоб розібратися в будь-яких основних проблемах і дещо вирішитись.

Після цього ви знаєте, що у вас є мінімум 4 роки подальшої підтримки та оновлення, перш ніж вам доведеться оновити сервер. Я міг би жити з будь-якими іншими потенційними проблемами із запущеною фефорою, але не з необхідністю переміщати реліз на кожному боксі мінімум один раз на рік (хоча, мабуть, двічі).

Редагувати: знайдено кілька номерів ...

Fedora 11 постачається з сервером opensh версії 5.2. Після виходу ubuntu karmic матиме лише версію 5.1 , таку ж версію, яку має debian lenny . Веб-сайт centos занадто лайно для мене, щоб знайти версію, але afaik вони на 4.x

Справа не в тому, що Федора небезпечна. Це те, що він постачається з пакетами, що кровоточать, і це дуже швидко оновлюється, тому вам доведеться проходити оновлення щороку або близько того, щоб постійно отримувати оновлення безпеки. Це велика справа, якщо у вас є будь-яка нетривіальна кількість серверів, особливо якщо врахувати, що процес оновлення Fedora (iirc) вимагає простоїв.

Використання Fedora на сервері порівняно з CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES тощо дійсно зводиться до потрібного інструменту для роботи.

Основна скарга, яку ви знайдете у адміністраторів сервера щодо Fedora на сервері, - це цикл оновлення кожні 6 місяців до року (залежно від того, чи завжди ви хочете бути останніми чи пропускати будь-який інший випуск). Як ви зазначали, Fedora встановлює конфігурації "захищених за замовчуванням" та забезпечує багато інструментів для підтримки захищеної системи. Особливо на сервері, інструмент попередньої оновлення буде обробляти міграції між різними випусками Fedora просто чудово, що дещо пом'якшує проблеми.

Якщо ви хочете більш тривалий цикл випуску, то щось на кшталт CentOS (це по суті безкоштовна версія Red Hat Enterprise Linux) може бути легше на вашому навантаженні.

Підводячи підсумок, я думаю, що з Fedora у вас все добре, якщо ви цим задоволені. Я ніколи не бачив жодних доказів, які б свідчили про те, що Debian, Ubuntu або CentOS особливо безпечніші, ніж Fedora.

Будь-яка операційна система може бути захищеною. Два моменти про Fedora як сервер. По-перше, кожен раз, коли ви оновлюєте версію програмного забезпечення, ви ризикуєте ввести нові помилки та проблеми із безпекою, які відсутні в попередній версії. Ось чому компанії захочуть зачекати рік після виходу програмного забезпечення перед його встановленням, тому багато помилок та проблем із безпекою можна виправити. Ви не хочете переходити на нові версії щоразу, коли з'являються такі дії, що стосуються міграційних головних болів та нових проблем безпеки. Друга Fedora не має можливості отримати корпоративну підтримку, як RedHat або Ubuntu.

Ми використовуємо RHEL на роботі. Якби вам довелося оновлювати 7k-сервери кожні 6 чи 12 місяців, ми ніколи не будемо попереду. Ми все ще отримуємо сервери Win2k3 до 2008 року.

Випуски Fedora занадто часті, щоб компанія з великою кількістю серверів залишалася в курсі. Для малого бізнесу впевнений, що Fedora, мабуть, добре використовувати. Але знову ж таки, вам знадобиться адміністратор Linux на сайті, і більшість не може дозволити собі вирішити багато проблем. Тож саме тут RHEL має перевагу - платну підтримку.

Я використовував Debian вдома. Я щойно модернізував з 7 до 8, і це пройшло дуже гладко. У Ubuntu теж є сервер, але Ubuntu еквівалентний Fedora. Debian потребує довгого часу, щоб розгортати нові пакунки, оскільки вони ретельно перевіряють їх. Мінусом є те, що у вас може бути не найновіший Apache або MySQL або будь-яке необхідне вам додаток, який має потрібні функції. Звичайно, ви можете завантажити його окремо, але це перемагає мета створення "стабільної та безпечної" ОС.

Також - функції / функціональність можуть з’являтися, а потім підмінювати їх у наступному випуску - що [як правило] не корисно для сервера , оскільки ви хочете надійності. ОТО, якщо ви встановите, скажімо, F11 і дотримуєтесь його протягом 2-4 років, як у вас з CentOS 5 або Ubuntu LTS, реальної різниці немає. Йдеться про рівні комфорту.

Чекати, що? Наскільки мені відомо, Вікіпедія працює на Fedora. Не на RedHat - на Fedora. Тож насправді немає проблеми з тим, що Fedora використовується як WebServer :)

Зазвичай те, що системний адміністратор хоче від серверно-орієнтованого розподілу, це:

1. Немає програмного забезпечення для кровоточивості, навіть після останнього випуску
2. Все програмне забезпечення , вам потрібно повинно бути доступно з офіційних репозиторіїв: у виробничому середовищі іноді ви не можете використовувати пакети тягнули від випадкових ненадійних сайтів або, що ще гірше, локально скомпільованих.
3. Централізовані та своєчасні оновлення безпеки від офіційних репостів
4. Сценарії та політики встановлення пакунків (надаються дистрибутивом), які забезпечують плавне оновлення [тобто оновлення вмісту файлу конфігурації, коли демон оновлений до нового випуску]
5. За бажанням - корпоративна підтримка

Федора зазнає невдач у цьому питанні, afaik

CentOS виходить з ладу на 2,3,4,5

Debian виходить з ладу 5

Ubuntu виходить з ладу на 1

Твій вибір :)