Ich habe Fedora oft zum Hosten von Servern verwendet. Ich hatte nie ein Problem. Trotzdem kommen alle neuen Benutzer und sagen, dass Fedora nicht sicher ist. Wir sollten Ubuntu / CentOS oder eine andere Distribution verwenden, aber nicht Fedora. Ich verstehe nie, was das Problem mit Fedora ist. Was macht andere Distributionen sicherer?
Einige Punkte: 1. Fedora wird mit iptables geliefert, das so konfiguriert ist, dass nur SSH zulässig ist. Außerdem können wir iptables jederzeit so konfigurieren, dass SSH sogar blockiert wird, wenn wir das möchten. Also gibt es keine Einschränkungen bei der Firewall.
Fedora veröffentlicht regelmäßig Updates (sowohl Sicherheits- als auch allgemeine Patches).
Die Leute sagen, dass Distro X alle 5 Jahre eine neue Version herausbringt und Fedora alle 6 Monate. Wie kommt es, dass eine Veröffentlichung alle 5 Jahre die Dinge sicher macht? WENN Sie meinen, dass 5 Jahre alte Dinge sicher sind, installieren Sie ein 5 Jahre altes Betriebssystem oder führen Sie 5 Jahre lang kein Upgrade durch, selbst wenn eine neue Version herauskommt. Ich persönlich bin der Meinung, dass es die Sicherheit nicht erhöht, wenn 5 Jahre lang keine neue Version herausgebracht wird. Sie müssten 5 Jahre lang Patches veröffentlichen, sobald Fehler erkannt werden. Die Verwendung eines sehr alten Betriebssystems bedeutet also nur mehr Patches. Wenn wir eine kürzlich veröffentlichte Version verwenden, müssen wir weniger Updates/Patches anwenden. Wie eine Veröffentlichung alle 5 Jahre die Dinge sicher macht, habe ich nie verstanden.
Alle Betriebssysteme verwenden ähnliche Pakete wie Gnome, Open-Office, KDE, Open-SSH und Apache. Verbringen andere Distributionsentwickler Zeit damit, den Quellcode dieser Pakete zu lesen und etwaige Sicherheitsfehler zu beheben? Selbst wenn sie es nicht tun, veröffentlichen sie diese Fehler und alle anderen Distributionen würden Patches dafür veröffentlichen, einschließlich Fedora. Oder würden sie ihre eigenen Distributionen sichern und sich nicht die Mühe machen, andere zu benachrichtigen? Dies alles setzt voraus, dass sie alle Millionen Zeilen Code von Paketen lesen, die so groß sind wie Apache, GCC oder Open-Office. Wenn diese Dinge in allen Distributionen gleich sind, was macht Fedora dann anfälliger?
Fedora wird mit vorinstalliertem und gut konfiguriertem seLinux geliefert.
Bind läuft in Fedora standardmäßig in Chroot. Mit Fedora 11 ist DNSSEC-Unterstützung jetzt auch standardmäßig vorhanden. Siehe FrageDNS-Server unter Fedora 11wo jemand darauf hingewiesen hat, dass Fedora nicht gut zum Hosten von DNS geeignet ist. Ich weiß nicht, warum.
Tatsächlich hat einer der neuen Administratoren Cent-OS 5.3 auf einer der Testmaschinen installiert. Ich habe es verwendet, um eine IP anzupingen, die es nicht gab. Ich habe Ping-Antworten erhalten. Ich war erstaunt, weil das nicht möglich war. Ich habe versucht, den Ort herauszufinden, von dem die Antworten kamen, aber es hat nicht funktioniert. Nachdem ich es schließlich über eine Stunde lang versucht hatte, habe ich das Netzwerkkabel von der CentOS-Maschine entfernt. Ich konnte die IP immer noch anpingen. Dann habe ich versucht, die IP-Adresse der Maschine anzupingen. Das konnte ich auch anpingen. Also konnte ich zwei IPs anpingen (nicht andere, die habe ich auch versucht), obwohl die Maschine mit einer IP konfiguriert war und keine Aliase (eth0:1 usw.) vorhanden waren. Ich habe auch die ifconfig-Ausgabe geprüft. Ich habe das Vertrauen in sogenannte Serververteilungen völlig verloren und Fedora 11 auf allen Testmaschinen installiert. Jetzt habe ich bei so grundlegenden Dingen wie Ping keine so merkwürdigen Probleme mehr.
Ich wäre wirklich dankbar, wenn ich Beispiele aus dem echten Leben bekommen könnte, die zeigen, dass Fedora unsicher ist, und wenn es in diesem Fall eine andere Distribution gewesen wäre, wäre alles in Ordnung gewesen. Geben Sie keine Beispiele, bei denen der Administrator Fehler gemacht hat. Wir können dafür keine Distribution verantwortlich machen. Geben Sie auch keine sehr alten Beispiele für Fedora 1, 2 oder Fedora 3. Das Fedora-Projekt ist mittlerweile sehr ausgereift, insbesondere die letzten beiden Versionen 10 und 11. Wenn Sie auf Sicherheitsprobleme gestoßen sind, die nur bei diesen Distributionen auftreten, teilen Sie uns bitte Ihre Erfahrungen mit.
Antwort1
Es gibt nichts, das besagt, dass Fedora für den Einsatz auf Servern ungeeignet ist, noch gibt es etwas, das besagt, dass „Server-Distributionen“ die einzige Wahl für Server sind. Es hängt davon abdeinbesondere Bedürfnisse.
Die Vorteile der Verwendung von „Server-Distributionen“ sind:
- Langzeitunterstützung
- stabile APIs (kaum bis keine Versions-Upgrades von Bibliotheken und Anwendungen)
- Backportierte Sicherheitsfixes und Bugfixes
- bezahlte Unterstützung
Meine größte „Beschwerde“ über die Server-Distributionen besteht darin, dass die Software/Bibliotheken tendenziell etwas veraltet sind und die Palette der unterstützten Pakete viel kleiner ist als bei den von der Community betriebenen Bemühungen.
Der langfristige Support und die unveränderten APIs sind etwas, was kommerzielle Softwareanbieter schätzen. Sie müssen ihre Anwendung nicht für die neuesten Bibliotheken neu erstellen, weil sich die API plötzlich geändert hat. Sie können für Anbieter Y, Release X, entwickeln und wissen, dass diese Plattform noch mehrere Jahre verfügbar sein wird.
Antwort2
Ich dachte, ich hätte nichts hinzuzufügen, aber nachdem ich Fedora fast zwei Jahre lang in der Produktion ausgeführt habe – für mein sehr wichtiges Zabbix-Überwachungssystem! – habe ich wohl doch ein paar Dinge zu sagen.
Erstens war es nicht meine erste Wahl. Normalerweise wähle ich für alles, was auch nur annähernd wichtig ist, CentOS/RHEL aufgrund der langfristigen Stabilitätsvorteile, die diese Distributionen bieten. Für diese spezielle Bereitstellung benötigte ich jedoch unbedingt Funktionen in Zabbix 2.0, während dieEPELDas Repo stellte nur 1.8 bereit. (EPEL hat jetzt zusätzlich zu 1.8 auch Zabbix 2.0- und 2.2-Pakete, obwohl das damals nicht der Fall war. Wenn das der Fall gewesen wäre, hätte ich das nie versucht.)
Der Kompromiss hier ist also: Fedora hat die neueste Software, aber seine Versionen haben einen sehr kurzen Lebenszyklus von 13 Monaten, wobei etwa alle sechs Monate neue Versionen erscheinen. Das bedeutet, dass ich zusätzlich zur üblichen regelmäßigen Installation von Updates ein Wartungsfenster einplanen musste, um Fedora zweimal im Jahr zu aktualisieren.
Für ein Überwachungssystem, das überwachen sollalles andereist es wichtig, dass solche Wartungsintervalle so selten und kurz wie möglich sind. Da so häufig Upgrades erforderlich sind, würde dies eine solche Distribution normalerweise ausschließen, aber denken Sie daran, dass ich dringlichere Sorgen hatte; ohne die Funktionen, die ich brauchte, wäre es nutzlos. Dies ist also ein Kompromiss, den ich in (fast) vollem Bewusstsein der Konsequenzen eingegangen bin.
Vor nicht allzu langer Zeit habe ich auf diesem Server das Upgrade von Fedora 18 auf 19 durchgeführt, wobei ich Fedoras neues Upgrade-Tool „fedup“ verwendet habe. Ich habe einen Ausfall von zwei Stunden eingeplant und weitere zwei Stunden, um mich möglicherweise um die überwachten Dienste zu kümmern, die möglicherweise ausgefallen sind und die ich übersehen habe, da Zabbix ausgefallen war.
DertatsächlichDie Ausfallzeit des Dienstes betrug 11 Minuten. Das ist die Zeitspanne von der Zeit, in der Zabbix vor dem Neustart gestoppt wurde, bis zu der Zeit, in der es nach dem abgeschlossenen Upgrade wieder einsatzbereit war und die Dienste überwachte. Ich hätte nicht gedacht, dass die Ausfallzeit so kurz sein würde!Ich hatte mit viel mehr Ärger gerechnet, obwohl ich aus Erfahrung weiß, dass erhebliche Upgrade-Probleme bei Fedora selten sind. (Und es wurde noch weiter verbessert: Als ich das Upgrade von Fedora 19 auf 20 durchführte, war die komplette Ausfallzeit eine erstaunlichesechs Minuten. Die gleiche Zeit für 20-21.)
Dieser Dienst wird mit ziemlicher Sicherheit auf RHEL 7 verschoben, sobald es verfügbar ist. Nach dieser Erfahrung vertraue ich Fedora als Server viel mehr und beabsichtige nun, es zu behalten, selbst wenn alle sechs Monate ein größeres Upgrade durchgeführt wird. Die Umstellung auf RHEL wäre aus folgenden Gründen viel störender und könnte mich in Zukunft einschränken:
Es ist bedauerlich, dass bei Red Hat so viel Zeit zwischen den Hauptversionen vergeht. Eine ähnliche Verzögerung zwischen EL5 und EL6 hat mich dazu veranlasst, tatsächlich eine Ubuntu-Installation in Betrieb zu nehmen, worüber ich mich bis heute ärgere. (Für dieses System hatte ich Fedora in Betracht gezogen, aber seltsamerweise war die Software, die ich brauchte, damals überhaupt nicht darin enthalten, obwohl eine ältere Version in EPEL vorhanden war.)
Ein „Problem“, das niemand beim Ausführen von Fedora erwähnt hat, ist, dass Sie viele neue Dinge, sowohl große Softwareprojekte als auch kleine Verbesserungen, lange vor ihrer Aufnahme in RHEL sehen werden. Wenn Sie also Ihre RHEL/CentOS-Systeme verwalten, werden Sie sie verpassen. Beispielsweise verfügt Fedora über eine große Anzahl von Bash-Vervollständigungen, die standardmäßig noch nicht in RHEL enthalten sind. Eine bemerkenswerte davon ist die Tab-Vervollständigung für Paketnamen in der yumBefehlszeile.
Es ist also durchaus möglich, Fedora in der Produktion einzusetzen, solange Sie die folgenden Kompromisse akzeptieren können:
- Es gibt keine Supportverträge. Sie müssen über ausreichendes Fachwissen verfügen, um den Server und seine Dienste zu verwalten und alle auftretenden Probleme zu lösen. Es steht nur Community-Support zur Verfügung und es gibt keine Garantien. Erfahrung mit RHEL ist hilfreich, da diese recht ähnlich sind.
- Sie müssen über ein Wartungsfenster verfügen, ummindestens jährlich aktualisieren. Allerdings ist alle sechs Monate besser; wenn Sie jährlich ein Upgrade durchführen, müssen Sie zwei Versionen gleichzeitig aktualisieren, wodurch sich die Anzahl potenzieller Probleme, mit denen Sie sich um 3 Uhr morgens befassen müssen, verdoppelt.
- Updates können neue Softwareversionen mit sich bringen, mit denen Sie sich befassen müssen; dabei handelt es sich jedoch um Punktversionen und nicht um Hauptversionen. In seltenen Fällen können wichtige neue Funktionen hinzugefügt werden (z. B.BZ#319901). Normalerweise behält die Software jedoch während der gesamten Lebensdauer der Version die gleiche Versionsnummer, wobei Fehlerbehebungen zurückportiert werden; nur einige Pakete (wie PHP) verfolgen Upstream-Punktversionen.
- Obwohl es keinen signifikanten Unterschied in der Geschwindigkeit der Sicherheitsupdates gibt, sind diese möglicherweise nicht immer von Bugfix-Updates isoliert (wiederum wie bei PHP). Ob dies ein Problem darstellt, hängt von dem Dienst ab, den Sie ausführen möchten.
Alles in allem ist Fedora immer noch nicht meine erste Wahl für eine Serverplattform und wird es wahrscheinlich auch nie sein. (Obwohl ich ein glücklicher Fedora-Benutzer bin,Desktop-ComputerBenutzer während seiner gesamten Existenz.) Wenn Sie unbedingt aktuellere Versionen einer Software benötigen, die in einer eher auf Unternehmen ausgerichteten Distribution nicht verfügbar sind, und Sie die Kompromisse akzeptieren können, dann ist die Verwendung von Fedora völlig in Ordnung.
Da Sie speziell nach der Sicherheit gefragt haben, noch ein paar Worte dazu.
Wie bereits erwähnt, gibt es keinen wirklichen Unterschied in der Geschwindigkeit der Sicherheitsupdates zwischen Fedora und anderen Distributionen. Die Fedora-Paketer unternehmen besondere Anstrengungen, umbleiben Sie in der Nähe von Upstreamund bringen Sie diese Art von Updates so schnell wie möglich heraus, manchmal sogar bevor das Upstream-Projekt dies tut.
Wie sein großer Bruder für Unternehmen wird auch Fedora mit einer ziemlich abgeriegelten Sicherheitskonfiguration ausgeliefert: Dienste (außer SSH) werden standardmäßig deaktiviert; die Default-Deny-Firewall ist standardmäßig sowohl für IPv4 als auch für IPv6 aktiviert; SELinux erzwingt standardmäßig. Darüber hinausFedora ist auf verschiedene andere Weise gehärtet.
Auf der anderen Seite bekommt man neue Sicherheitstechnologien sehr früh zu sehen; ein Beispiel ist die kürzliche Einführung vonFirewallD, das allerdings noch nicht ganz zur Hauptsendezeit bereit istDer Wechsel zurück zur vorherigen Firewall ist einfach.
Antwort3
Dabei geht es mehr um Stabilität und Änderungsgeschwindigkeit als um Sicherheit an sich. Fedora ist für Red Hat eine Plattform, auf der sie neue Funktionen und Anwendungen einführen, ihre Relevanz überprüfen, eine Plattform zum Experimentieren bereitstellen und Integrationsprobleme lösen kann.
Dies ist normalerweise nicht die Aufgabe, die Sie von einem Server erwarten. Generell möchten Sie, dass ein Server eine Funktion möglichst stabil ausführt.
Je nachdem, was Sie tun, ist Fedora möglicherweise genau das Richtige. Wenn Sie Linux-Desktop-Apps entwickeln, ist es möglicherweise wünschenswert, mit der neuesten Technologie zu arbeiten. Wenn Sie an einem semesterlangen Schulprojekt oder einem anderen zeitlich begrenzten Projekt arbeiten, bei dem das hohe Änderungstempo kein Problem darstellt, ist Fedora ebenfalls gut geeignet.
Antwort4
Keine Unterstützung.
Fedora bietet im Gegensatz zu Red Hat Enterprise keine technischen Supportverträge an. Es gibt niemanden, den Sie anrufen können, wenn Sie ein schwerwiegendes Problem haben.