Qual è il problema con l'utilizzo di Fedora per i server?

Ho usato Fedora per l'hosting di server molte volte. Non ho mai affrontato alcun problema. Tuttavia, arrivano tutti i nuovi utenti e dicono che Fedora non è sicura. Dovremmo usare Ubuntu / CentOS o qualche altra distribuzione ma non Fedora. Non capisco mai qual è il problema con Fedora. Ciò che rende le altre distribuzioni più sicure.

Pochi punti: 1. Fedora viene fornito con iptables configurato per consentire solo SSH. Inoltre, possiamo sempre configurare iptables per bloccare anche SSH, se vogliamo. Quindi a breve il firewall.

2. Fedora rilascia aggiornamenti regolarmente (sia per la sicurezza che per le patch generali).

3. Si dice che la distribuzione X rilasci una nuova versione una volta ogni 5 anni e Fedora una volta ogni 6 mesi. Come mai rilasciare una volta ogni 5 anni rende le cose sicure. Se ritieni che le cose di 5 anni siano sicure, installa un sistema operativo di 5 anni o non aggiorna per 5 anni anche se arriva una nuova versione. Personalmente mi sento di non dare la nuova versione per 5 anni non aumenta la sicurezza. Dovresti rilasciare patch per 5 anni quando e quando vengono rilevati dei bug. Quindi usare un SO molto vecchio significa solo più patch. Se utilizziamo la versione rilasciata di recente, dobbiamo applicare meno aggiornamenti / patch. Come il rilascio una volta ogni 5 anni renda le cose sicure non ho mai capito.

4. Tutti i sistemi operativi utilizzano pacchetti simili come Gnome, Open-Office, KDE, Open-SSH, Apache. Gli altri sviluppatori di distribuzione impiegano del tempo a leggere il codice sorgente di questi pacchetti e correggere eventuali errori di sicurezza? Anche se non lo fanno, pubblicano quei difetti e tutte le altre distribuzioni rilascerebbero patch per esso incluso Fedora. O si assicurerebbero le proprie distribuzioni e non si preoccuperebbero di avvisare gli altri. Tutto questo supponendo che leggano tutti i milioni di righe di codici di pacchetti grandi come apache, gcc, Open-Office. Se questo è lo stesso in ogni distribuzione, ciò che rende Fedora più vulnerabile.

5. Fedora viene fornito con seLinux preinstallato e ben configurato.

6. Il bind viene eseguito in chroot per impostazione predefinita in fedora. Ora con Fedora 11 il supporto DNSSEC è presente anche per impostazione predefinita. Vedi la domanda Server DNS su Fedora 11 in cui qualcuno ha indicato Fedora come non buono per l'hosting DNS. Non so perché.

In effetti uno dei nuovi amministratori ha installato Cent-OS 5.3 su una delle macchine di prova. L'ho usato per eseguire il ping di un IP che non c'era. Ho ricevuto risposte ping. Rimasi stupito poiché non era possibile. Ho provato a scoprire la posizione da cui arrivano le risposte ma non ci sono riuscito. Alla fine, dopo aver provato per più di un'ora, ho rimosso il cavo di rete dalla macchina CentOS. Ero ancora in grado di eseguire il ping dell'IP. Quindi ho provato a eseguire il ping dell'indirizzo IP della macchina. Potrei anche fare un ping. Quindi sono stato in grado di eseguire il ping di due IP (non altri, li ho provati anche) quando la macchina era configurata con un IP e non erano presenti alias (eth0: 1, ecc.). Ho controllato anche l'output di ifconfig. Ho perso la completa fiducia nelle cosiddette distribuzioni di server e ho installato Fedora 11 su tutte le macchine di prova. Ora non incontro problemi così strani per cose semplici come il ping.

Gradirei davvero se potessi ottenere esempi di vita reale che indicano che Fedora non è sicura e se in quel caso fosse qualsiasi altra distribuzione le cose sarebbero andate bene. Non dare esempi di errori commessi dall'amministratore. Non possiamo dare la colpa a una distribuzione per questo. Inoltre, non dare esempi di Fedora 1, 2 o Fedora 3 molto vecchi. Il progetto Fedora ora è molto maturo, in particolare le ultime due versioni 10, 11. Se hai riscontrato problemi di sicurezza che sono particolari solo per loro, condividi le tue esperienze.

Non c'è nulla che imponga che Fedora non sia adatto per l'uso sui server, né c'è qualcosa che imponga che "distribuzioni dei server" sia l'unica scelta per i server. Dipende dalle tue esigenze particolari.

Quello che potresti ottenere dall'uso delle "distro server" è:

• supporto a lungo termine
• API stabili (pochi o nessun aggiornamento di versione di librerie e applicazioni)
• correzioni di backport e correzioni di bug
• supporto pagato

La mia "lamentela" principale per le distribuzioni dei server è che il software / le librerie tendono ad essere in qualche modo vecchi e la gamma di pacchetti supportati è molto più piccola degli sforzi guidati dalla comunità.

Vale a dire il supporto a lungo termine e le API non modificabili sono qualcosa che i venditori di software commerciali adorano, non dovranno ricostruire la loro applicazione per le librerie più recenti perché l'API è cambiata improvvisamente. Possono svilupparsi per il fornitore Y Release X e sapere che questa piattaforma sarà disponibile per diversi anni a venire.

Pensavo di non avere nulla da aggiungere a questo, ma dopo aver eseguito Fedora in produzione per quasi due anni - per il mio importantissimo sistema di monitoraggio Zabbix! - sembra che abbia un paio di cose da dire.

Innanzitutto, non è stata la mia prima scelta. Tipicamente per qualsiasi cosa anche vagamente importante sceglierò CentOS / RHEL per i benefici di stabilità a lungo termine che queste distribuzioni offrono. Tuttavia, per questa particolare implementazione ho assolutamente richiesto funzionalità in Zabbix 2.0, mentre il repository EPEL ha fornito solo 1.8. (EPEL ora ha pacchetti Zabbix 2.0 e 2.2 oltre a 1.8, anche se in quel momento non lo era. Se lo avesse fatto, non avrei mai provato questo.)

Quindi il compromesso qui è: Fedora ha il software più recente, ma le sue versioni hanno un ciclo di vita di 13 mesi molto breve, con nuove versioni rilasciate ogni sei mesi circa. Questo significa che dovevo pianificare una finestra di manutenzione per aggiornare Fedora due volte l'anno, oltre alla solita installazione periodica di aggiornamenti.

Per un sistema di monitoraggio che dovrebbe tenere traccia di tutto il resto , è fondamentale che tali periodi di manutenzione siano il meno frequenti e il più brevi possibile. Con il requisito di aggiornare così frequentemente, questo di solito escluderebbe una tale distribuzione, ma ricorda che avevo preoccupazioni più urgenti; sarebbe inutile senza le funzionalità di cui avevo bisogno. Quindi questo è un compromesso che ho fatto con (quasi) la piena conoscenza delle conseguenze.

Non molto tempo fa, ho eseguito l'aggiornamento di Fedora 18-19 su questo server, usando il nuovo strumento di aggiornamento fedup di Fedora. Avevo programmato un'interruzione di due ore, con altre due ore per affrontare eventualmente uno qualsiasi dei servizi monitorati che potrebbero essere morti e che questo fatto è mancato dal momento che Zabbix era inattivo.

Il tempo di inattività effettivo del servizio è stato di 11 minuti. Questo è dal momento in cui Zabbix si è fermato prima del riavvio al momento in cui è stato eseguito il backup e il monitoraggio dei servizi dopo l'aggiornamento completato. Non mi ero reso conto che i tempi di fermo sarebbero stati così brevi! Mi aspettavo molti più problemi , anche se so per esperienza che problemi significativi di aggiornamento sono rari con Fedora. (Ed è stato ulteriormente migliorato: quando ho fatto l'aggiornamento a Fedora 19-20, il tempo di inattività completo è stato di ben sei minuti . Lo stesso tempo per il 20-21.)

Questo servizio verrà quasi sicuramente spostato su RHEL 7 quando sarà disponibile. Dopo questa esperienza sono molto più fiducioso in Fedora come server e ora intendo mantenerlo, anche con un importante aggiornamento ogni sei mesi. Passare a RHEL sarebbe molto più dirompente e potrebbe limitarmi in futuro, a causa di quanto segue:

È un peccato che Red Hat abbia così tanto tempo tra le versioni principali; un simile ritardo tra EL5 e EL6 mi ha portato a mettere effettivamente in produzione un'installazione di Ubuntu, qualcosa su cui mi sto ancora dando da fare. (Per quel sistema, ho considerato Fedora, ma stranamente non aveva il software di cui avevo bisogno in quel momento, nonostante una versione precedente fosse in EPEL.)

Un "problema" che nessuno ha menzionato sull'esecuzione di Fedora è che vedrai molte cose nuove, sia grandi progetti software che piccoli miglioramenti, molto prima della loro inclusione in RHEL. Quindi quando vai a gestire i tuoi sistemi RHEL / CentOS ti mancheranno. Ad esempio, Fedora ha un gran numero di completamenti bash che non sono ancora in RHEL per impostazione predefinita; uno notevole è il completamento della scheda per i nomi dei pacchetti nella yumriga di comando.

Quindi, è certamente possibile usare Fedora in produzione, purché tu possa accettare i compromessi:

• Non ci sono contratti di supporto. È necessario disporre di competenze interne sufficienti per gestire il server e i suoi servizi e affrontare eventuali problemi che possono sorgere; è disponibile solo il supporto della comunità e non ci sono garanzie lì. L'esperienza di RHEL aiuta, poiché sono abbastanza simili.
• È necessario disporre di una finestra di manutenzione per l' aggiornamento almeno una volta all'anno . Anche se ogni sei mesi è meglio; se esegui l'aggiornamento ogni anno dovrai aggiornare due versioni contemporaneamente, il che raddoppia il numero di potenziali problemi che dovrai affrontare alle 3 del mattino.
• Gli aggiornamenti possono portare nuove versioni del software, che dovrai affrontare; tuttavia questi saranno rilasci puntuali e non versioni principali. In rari casi potrebbero essere aggiunte nuove funzionalità significative (ad es. BZ # 319901 ). In genere, tuttavia, il software rimane sullo stesso numero di versione per tutta la durata della versione, con correzioni di backport; solo alcuni pacchetti (come PHP) tengono traccia dei rilasci di punti a monte.
• Sebbene non vi siano differenze significative nel ritmo degli aggiornamenti di sicurezza, potrebbero non essere sempre isolati dagli aggiornamenti di bugfix (di nuovo, come PHP). Se questo è un problema dipende dal servizio che si intende eseguire.

Tutto sommato, Fedora non è ancora la mia prima scelta per una piattaforma server, e probabilmente non lo sarà mai. (Anche se sono stato un felice utente desktop Fedora per tutta la sua esistenza.) Nel caso in cui tu abbia assolutamente bisogno di più versioni attuali di software non disponibili in una distribuzione più "aziendale", e puoi accettare i compromessi, allora non c'è nulla sbagliato nell'uso di Fedora.

Infine, dal momento che hai chiesto specificamente informazioni sulla sicurezza, alcune parole su questo.

Come notato in precedenza, non vi è alcuna reale differenza nel ritmo degli aggiornamenti di sicurezza tra Fedora e qualsiasi altra distribuzione. I packager Fedora si impegnano in modo particolare per rimanere vicini all'upstream e ottenere questo tipo di aggiornamenti il ​​più rapidamente possibile, a volte anche prima del progetto upstream.

Come il suo fratello maggiore, Fedora fornisce anche una configurazione di sicurezza abbastanza bloccata: i servizi (tranne ssh) vengono spediti di default; il firewall predefinito nega è abilitato per impostazione predefinita sia per IPv4 che per IPv6; SELinux si impone per impostazione predefinita. Inoltre, Fedora è indurita in molti altri modi .

D'altra parte, si arriva a vedere la nuova tecnologia di sicurezza molto presto; un esempio è la recente introduzione di FirewallD , che non è ancora del tutto pronto per la prima serata, sebbene sia facile tornare al firewall precedente .

Si tratta più di stabilità e velocità di cambiamento che di sicurezza, di per sé. Fedora è una piattaforma per Red Hat per implementare nuove funzionalità e applicazioni per convalidarne la pertinenza, fornire una piattaforma per sperimentare e risolvere i problemi di integrazione.

Di solito non è ciò che si desidera che faccia un server: in genere si desidera che un server esegua una funzione nel modo più stabile possibile.

A seconda di quello che stai facendo, Fedora potrebbe andare bene. Se stai sviluppando app desktop Linux, è consigliabile lavorare con il limite massimo. Allo stesso modo, se stai lavorando a un progetto scolastico lungo un semestre o qualche altro progetto di durata limitata in cui l'alto ritmo dei cambiamenti non è un problema, anche Fedora sta bene.

Il punto chiave che mi impedisce di usare Fedora per un server e preferire Debian, Ubuntu o CentOS invece è la stabilità e la durata del supporto . Quando si esegue un server, si desidera stabilità, sicurezza e longevità. Sì, quasi tutte le distro confezionano lo stesso software, quindi non importa. È una questione di ciò che è testato, ha aggiornamenti di sicurezza ed è supportato.

Il programma di rilascio di Fedora ogni 6 mesi è utile se si desidera un bleeding edge ma quando si parla di un bleeding edge del server non è sempre una buona cosa. Inoltre, Fedora supporta solo le ultime tre versioni, il che significa che stai guardando un sistema operativo non supportato in 18 mesi e che devi aggiornare. Se hai mai fatto un aggiornamento di Fedora di solito sono male ed è più facile fare un'installazione pulita che su un desktop / laptop potrebbe non essere così male ma per un server che significa downtime ed è inaccettabile per la maggior parte degli amministratori di sistema.

CentOS ha di gran lunga il ciclo di supporto più lungo e durante quel periodo è supportato e le patch di sicurezza e gli aggiornamenti vengono rilasciati, quindi non è la stessa versione per tutto il tempo. Il vantaggio è che non stai impiegando tutto il tuo tempo a prepararti per il prossimo aggiornamento. Hai un server stabile con software testato stabile in esecuzione su di esso.

Debian ha un programma di rilascio che è più lungo di Fedora ma più breve di CentOS ma è sempre aggiornato sugli aggiornamenti di sicurezza. L'altro vantaggio di Debian è un percorso di aggiornamento pulito. Le versioni di Debian sono testate sia per l'installazione pulita che per gli aggiornamenti live e non sono effettivamente rilasciate fino a quando non è possibile farlo correttamente senza problemi. Questa attenzione ai dettagli e la volontà di rinviare una data di rilascio per eliminare più bug del pacchetto è uno dei suoi punti di forza. La stessa struttura del pacchetto DEB è inoltre progettata per rendere molto agevole l'aggiornamento e mantenere le configurazioni. L'unica cosa che manca davvero è il supporto commerciale, nel qual caso puoi guardare a Ubuntu che prende i suoi pacchetti da Debian proprio come CentOS prende gran parte dei suoi pacchetti da RHEL.

Modifica: aggiunto testo in grassetto per attirare l'attenzione sul fatto che ovviamente mi mancava che non considero Fedora abbastanza stabile per una piattaforma server.

Nessun supporto.

Fedora non ha contratti di supporto tecnico come Red Hat enterprise. Non c'è nessuno da chiamare in caso di problemi con lo spettacolo.

La mia più grande discussione sarebbe:

I server non sono il pubblico destinatario principale

Allo stesso modo, non consiglierei l'uso di Ubuntu per un ambiente server, e molti non sarebbero d'accordo con me, ma questo non è semplicemente l'obiettivo principale.

Il software destinato agli utenti domestici e ai desktop tende a mancare nei dipartimenti orientati al server, proprio come le cose destinate al server non funzionano altrettanto bene per gli utenti domestici.

Inoltre, le piattaforme destinate agli utenti domestici tendono ad attirare un numero maggiore di utenti domestici, pertanto gli errori rilevati, segnalati e corretti, avranno la priorità a causa di tale effetto.

Allo stesso modo, le piattaforme destinate all'utilizzo del server tenderanno ad attrarre l'uso del server, e quindi i bug relativi all'utilizzo del server avranno maggiori probabilità di essere stati individuati e risolti al momento del loro arrivo.

(Ho almeno un amico che ha esperienza professionale con Ubuntu in ambienti di produzione e dice che ne è rimasto totalmente inorridito, e preferirebbe CentOS ai server di produzione perché.)

SELinux

Fedora viene fornito con seLinux preinstallato e ben configurato.

È importante notare che seLinux non implica sicurezza.

Dal sito web seLinux dell'NSA :

Linux potenziato per la sicurezza ha lo scopo di dimostrare i controlli obbligatori in un sistema operativo moderno come Linux ed è quindi molto improbabile da solo soddisfare qualsiasi definizione interessante di sistema sicuro.

Sono un grande fan di Fedora, penso che sia meraviglioso e lo eseguo su tutti i miei desktop / laptop, ma non lo farei su nessuno dei miei server.

• Fedora mira ad essere più vicino al "bordo sanguinante". Ciò significa che otterrai software più recenti che hanno trascorso meno tempo a essere testati. Dal momento che nessuna versione esce allo stesso tempo, è difficile ottenere numeri esatti su questo, ma sento che Ubuntu è spesso una versione dietro alle nuove funzionalità, mentre debian / centos / redhat sono molto più indietro.

• La mia impressione è che a causa di ciò ci siano più aggiornamenti su fedora, ma ancora una volta non ho numeri per il backup.

Ciò che lo fa oscillare è la mancanza del modello LTS di Ubuntu. È possibile installare un Ubuntu LTS pochi mesi dopo che è stato rilasciato e sapere che ha avuto un sacco di tempo per risolvere eventuali problemi importanti e sistemarsi un po '.

Dopo di che sai di avere almeno 4 anni di ulteriore supporto e aggiornamenti prima di dover aggiornare il tuo server. Potrei vivere con uno qualsiasi degli altri potenziali problemi con l'esecuzione della fefora, ma non con la necessità di spostare il rilascio su ogni scatola almeno una volta all'anno (probabilmente due volte però).

Modifica: ho trovato alcuni numeri ...

Fedora 11 viene fornito con la versione 5.2 del server openssh. Quando verrà rilasciato Ubuntu Karmic avrà solo la versione 5.1 , la stessa versione di Debian Lenny . Il sito web di centos è troppo schifoso per me per essere in grado di trovare una versione, ma alla fine sono in 4.x

Non è che fedora sia insicuro. È che viene fornito con pacchetti bleeding edge e che si aggiorna molto rapidamente, quindi è necessario sottoporsi a aggiornamenti ogni anno o giù di lì per continuare a ricevere aggiornamenti di sicurezza. Questo è un grosso problema se hai un numero non banale di server, soprattutto perché il processo di aggiornamento di fedora (iirc) richiede tempi di inattività.

L'uso di Fedora su un server rispetto a qualcosa come CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES, ecc. Si riduce davvero allo strumento giusto per il lavoro.

La lamentela principale che troverai dagli amministratori del server su Fedora sul server è il ciclo di aggiornamento ogni 6 mesi o un anno (a seconda che tu voglia sempre essere aggiornato o saltare ogni altra versione). Come hai sottolineato, Fedora installa configurazioni "sicure per impostazione predefinita" e fornisce molti strumenti per mantenere un sistema sicuro. Soprattutto su un server, lo strumento di pre-aggiornamento gestirà bene le migrazioni tra diverse versioni di Fedora, il che mitiga un po 'questa preoccupazione.

Se desideri un ciclo di rilascio più lungo, qualcosa come CentOS (che è essenzialmente la versione gratuita di Red Hat Enterprise Linux) potrebbe essere più facile sul tuo carico di lavoro.

Per riassumere, penso che tu stia bene con Fedora se ne sei felice. Non ho mai visto alcuna prova che indichi che Debian, Ubuntu o CentOS siano particolarmente più sicuri di Fedora.

Qualsiasi sistema operativo può essere reso sicuro. Due punti su Fedora come server. Uno, ogni volta che si aggiorna una versione del software si corre il rischio di introdurre nuovi bug e problemi di sicurezza non presenti nella versione precedente. Questo è il motivo per cui le aziende vorranno aspettare un anno dopo l'uscita del software prima di installarlo, quindi molti bug e problemi di sicurezza possono essere risolti. Non si desidera passare a nuove versioni ogni volta che si esce fare il mal di testa della migrazione e i nuovi problemi di sicurezza coinvolti. Secondo Fedora non ha la possibilità di ottenere supporto aziendale come RedHat o Ubuntu.

Usiamo RHEL al lavoro. Se dovessi aggiornare i server 7k ogni 6 o 12 mesi, non saremmo mai in vantaggio. Stiamo ancora arrivando server Win2k3 al 2008.

I rilasci di Fedora sono troppo frequenti per un'azienda con molti server per rimanere aggiornati. Per una piccola impresa, sicuramente Fedora è probabilmente a posto. Ma ancora una volta, avresti bisogno di un amministratore Linux sul sito e la maggior parte non può permettersi uno per risolvere molti problemi. Ecco perché RHEL ha un vantaggio: supporto a pagamento.

Ho usato Debian a casa. Ho appena aggiornato da 7 a 8 ed è andato molto bene. Anche Ubuntu ha un server, ma Ubuntu è equivalente a Fedora. Debian impiega molto tempo a distribuire nuovi pacchetti perché li testano a fondo. Il rovescio della medaglia è che potresti non avere gli ultimi Apache o MySQL o qualsiasi altra applicazione di cui hai bisogno che abbia le funzionalità che desideri. Sicuramente puoi scaricarlo separatamente, ma vanifica lo scopo di avere un sistema operativo "stabile e sicuro".

Inoltre, le caratteristiche / funzionalità potrebbero apparire e quindi essere visualizzate nella versione successiva - il che non è [generalmente] utile per un server , poiché si desidera affidabilità. OTOH, se installi, diciamo, F11 e ti attacchi per 2-4 anni come faresti con CentOS 5 o Ubuntu LTS, allora non c'è vera differenza. Si tratta di livelli di comfort.

Aspetta cosa? Per quanto ne so, Wikipedia è in esecuzione su Fedora. Non su RedHat - su Fedora. Quindi non c'è davvero nessun problema con Fedora usato come WebServer :)

Di solito ciò che un amministratore di sistema desidera da una distribuzione orientata al server è:

1. Nessun software all'avanguardia, anche sull'ultima versione
2. Tutto il software di cui hai bisogno dovrebbe essere disponibile dai repository ufficiali: in un ambiente di produzione a volte non ti è permesso usare pacchetti estratti da siti Web casuali non attendibili o, peggio ancora, compilati localmente.
3. Aggiornamenti di sicurezza centralizzati e tempestivi dai repository ufficiali
4. Script e criteri di installazione del pacchetto (forniti dalla distribuzione) che garantiscono aggiornamenti regolari [ovvero l'aggiornamento del contenuto di un file di configurazione quando un demone viene aggiornato a una nuova versione]
5. Facoltativamente, supporto aziendale

Fedora fallisce su questo punto, afaik

CentOS fallisce su 2,3,4,5

Debian fallisce il 5

Ubuntu fallisce il 1

La tua scelta :)