He usado Fedora para alojar servidores muchas veces. Nunca me he enfrentado a ningún problema. Aún así, todos los nuevos usuarios vienen y dicen que Fedora no es seguro. Deberíamos usar Ubuntu/CentOS o alguna otra distribución pero no Fedora. Nunca entiendo cuál es el problema con Fedora. Lo que hace que otras distribuciones sean más seguras.
Algunos puntos: 1. Fedora viene con iptables configurado para permitir sólo SSH. Además, siempre podemos configurar iptables para incluso bloquear SSH si así lo queremos. Así que no hay escasez de firewall.
Fedora publica actualizaciones periódicamente (tanto de seguridad como de parches generales).
La gente dice que la distribución X lanza una nueva versión una vez cada 5 años y Fedora una vez cada 6 meses. ¿Cómo es que publicar una vez cada cinco años hace que las cosas sean seguras? SI cree que las cosas de hace 5 años son seguras, instale el sistema operativo de hace cinco años o no actualice durante 5 años, incluso si llega una nueva versión. Personalmente, creo que no dar una nueva versión durante 5 años no aumenta la seguridad. Tendría que lanzar parches durante 5 años a medida que se detecten errores. Entonces, usar un sistema operativo muy antiguo solo significa más parches. Si utilizamos una versión lanzada recientemente, tendremos que aplicar menos actualizaciones/parches. Nunca he entendido cómo liberar una vez cada cinco años hace que las cosas sean seguras.
Todos los sistemas operativos utilizan paquetes similares como Gnome, Open-Office, KDE, Open-SSH, Apache. ¿Otros desarrolladores de distribuciones dedican tiempo a leer el código fuente de estos paquetes y corregir errores de seguridad, si los hay? Incluso si no lo hacen, publicarán esas fallas y todas las demás distribuciones lanzarán parches, incluido Fedora. ¿O asegurarían sus propias distribuciones y no se molestarían en notificar a otros? Todo esto suponiendo que lean los millones de líneas de códigos de paquetes tan grandes como apache, gcc, Open-Office. Si estas cosas son iguales en todas las distribuciones, entonces Fedora es más vulnerable.
Fedora viene con seLinux preinstalado y muy bien configurado.
Bind se ejecuta en chroot de forma predeterminada en fedora. Ahora, con Fedora 11, la compatibilidad con DNSSEC también está presente de forma predeterminada. Ver preguntaServidor DNS en Fedora 11donde alguien señaló que Fedora no es bueno para alojar DNS. Yo no sé por qué.
De hecho, uno de los nuevos administradores instaló Cent-OS 5.3 en una de las máquinas de prueba. Lo usé para hacer ping a una IP que no estaba allí. Recibí respuestas de ping. Me quedé asombrado ya que no era posible. Intenté averiguar la ubicación de donde provienen las respuestas, pero fallé. Al final, después de intentarlo durante más de una hora, quité el cable de red de la máquina CentOS. Todavía pude hacer ping a la IP. Luego intenté hacer ping a la dirección IP de la máquina. También podría hacer ping a eso. Así que pude hacer ping a dos IP (no a otras, también las probé) cuando la máquina estaba configurada con una IP y no había alias (eth0:1, etc.). También verifiqué la salida de ifconfig. Perdí total confianza en las llamadas distribuciones de servidor e instalé Fedora 11 en todas las máquinas de prueba. Ahora no me encuentro con problemas tan extraños para cosas tan básicas como el ping.
Realmente agradecería si pudiera obtener ejemplos de la vida real que indiquen que Fedora no es seguro y si en ese caso se tratara de cualquier otra distribución, todo habría estado bien. No dé ejemplos en los que el administrador cometió errores. No podemos culpar a una distribución por eso. Tampoco dé ejemplos muy antiguos de Fedora 1, 2 o Fedora 3. El proyecto Fedora está muy maduro ahora, especialmente las dos últimas versiones 10 y 11. Si ha enfrentado problemas de seguridad que son específicos solo de ellos, comparta sus experiencias.
Respuesta1
No hay nada que indique que Fedora no sea adecuado para su uso en servidores, ni tampoco hay nada que indique que las "distros de servidor" sean la única opción para servidores. Depende desunecesidades particulares.
Lo que puede obtener al utilizar las "distros de servidor" es:
- Soporte a largo plazo
- API estables (pocas o ninguna actualización de versión de bibliotecas y aplicaciones)
- correcciones de seguridad y errores respaldados
- soporte pagado
Mi principal "queja" para las distribuciones de servidores es que el software/bibliotecas tienden a ser algo antiguos y la variedad de paquetes compatibles es mucho menor que los esfuerzos impulsados por la comunidad.
Es decir, el soporte a largo plazo y las API que no cambian es algo que a los proveedores de software comercial les encanta, no tendrán que reconstruir su aplicación para las bibliotecas más nuevas porque la API cambió repentinamente. Pueden desarrollar para el Proveedor Y Versión X y saber que esta plataforma existirá durante varios años.
Respuesta2
Pensé que no tenía nada que agregar a esto, pero después de haber ejecutado Fedora en producción durante casi dos años, ¡para mi muy importante sistema de monitoreo Zabbix! - Parece que tengo un par de cosas que decir.
Primero, no fue mi primera opción. Normalmente, para cualquier cosa vagamente importante, elegiré CentOS/RHEL por los beneficios de estabilidad a largo plazo que brindan estas distribuciones. Sin embargo, para esta implementación en particular necesitaba absolutamente características de Zabbix 2.0, mientras que elEPELEl repositorio solo proporcionó 1.8. (EPEL ahora tiene paquetes Zabbix 2.0 y 2.2 además de 1.8, aunque no los tenía en ese momento. Si los tuviera, nunca habría probado esto).
Entonces, la compensación aquí es: Fedora tiene el software más reciente, pero sus lanzamientos tienen un ciclo de vida muy corto de 13 meses, con nuevos lanzamientos realizados aproximadamente cada seis meses. Esto significa que tuve que planificar una ventana de mantenimiento para actualizar Fedora dos veces al año, además de la instalación periódica habitual de actualizaciones.
Para un sistema de seguimiento que se supone debe realizar un seguimiento detodo lo demas, es vital que dichos períodos de mantenimiento sean lo más infrecuentes y cortos posible. Con el requisito de actualizar con tanta frecuencia, esto normalmente descartaría dicha distribución, pero recuerde que tenía preocupaciones más urgentes; Sería inútil sin las funciones que necesitaba. Así que ésta es una compensación que hice con (casi) pleno conocimiento de las consecuencias.
No hace mucho, realicé la actualización de Fedora 18-19 en este servidor, utilizando la nueva herramienta de actualización de Fedora. Planeé una interrupción de dos horas, con otras dos horas para posiblemente lidiar con cualquiera de los servicios monitoreados que podrían haber muerto y ese hecho se perdió desde que Zabbix estaba inactivo.
ElactualEl tiempo de inactividad del servicio fue de 11 minutos. Eso es desde el momento en que Zabbix se detuvo antes de reiniciar hasta el momento en que realizó una copia de seguridad y monitoreó los servicios después de la actualización completa. ¡No me di cuenta de que el tiempo de inactividad sería tan corto!esperaba muchos mas problemas, aunque sé por experiencia que los problemas importantes de actualización son poco comunes con Fedora. (Y se ha mejorado aún más: cuando realicé la actualización de Fedora 19-20, el tiempo de inactividad total fue increíble).seis minutos. Lo mismo para el 20-21.)
Es casi seguro que este servicio se trasladará a RHEL 7 cuando esté disponible. Después de esta experiencia, tengo mucha más confianza en Fedora como servidor y ahora tengo la intención de conservarlo, incluso con una actualización importante cada seis meses. Pasarme a RHEL sería mucho más perjudicial y podría limitarme en el futuro debido a lo siguiente:
Es lamentable que Red Hat pase tanto tiempo entre lanzamientos importantes; un retraso similar entre EL5 y EL6 me llevó a poner en producción una instalación de Ubuntu, algo por lo que todavía me estoy molestando hasta el día de hoy. (Para ese sistema, consideré Fedora, pero extrañamente no tenía empaquetado el software que necesitaba en ese momento, a pesar de que había una versión anterior en EPEL).
Un "problema" que nadie mencionó sobre la ejecución de Fedora es que verá muchas cosas nuevas, tanto grandes proyectos de software como pequeñas mejoras, mucho antes de su inclusión en RHEL. Entonces, cuando vayas a administrar tus sistemas RHEL/CentOS, los extrañarás. Por ejemplo, Fedora tiene una gran cantidad de finalizaciones de bash que aún no están en RHEL de forma predeterminada; Uno notable es la finalización con tabuladores para los nombres de los paquetes en la yumlínea de comando.
Entonces, ciertamente es posible usar Fedora en producción, siempre y cuando puedas aceptar las compensaciones:
- No hay contratos de soporte. Debe tener experiencia interna suficiente para administrar el servidor y sus servicios y abordar cualquier problema que pueda surgir; sólo está disponible el apoyo de la comunidad y no hay garantías allí. La experiencia de RHEL ayuda, ya que son bastante similares.
- Debe tener una ventana de mantenimiento paraactualizar al menos anualmente. Aunque cada seis meses es mejor; si actualiza anualmente, tendrá que actualizar dos versiones a la vez, lo que duplica la cantidad de problemas potenciales con los que tendrá que lidiar a las 3 am.
- Las actualizaciones pueden traer nuevas versiones de software, con las que tendrás que lidiar; sin embargo, estos serán lanzamientos puntuales y no versiones principales. En casos excepcionales, es posible que se agreguen nuevas funciones significativas (p. ej.BZ#319901). Sin embargo, normalmente el software permanece en el mismo número de versión durante toda la vida útil del lanzamiento, con correcciones respaldadas; sólo algunos paquetes (como PHP) rastrean las versiones puntuales ascendentes.
- Si bien no hay una diferencia significativa en el ritmo de las actualizaciones de seguridad, es posible que no siempre estén aisladas de las actualizaciones de corrección de errores (nuevamente, como PHP). Si esto es un problema depende del servicio que planea ejecutar.
Considerando todo esto, Fedora todavía no es mi primera opción como plataforma de servidor, y probablemente nunca lo será. (Aunque he sido un Fedora felizescritoriousuario durante toda su existencia.) En el caso de que necesite absolutamente versiones más actuales de software que no estén disponibles en una distribución más "empresarial", y pueda aceptar las compensaciones, entonces no hay nada malo en usar Fedora.
Finalmente, dado que usted preguntó específicamente sobre seguridad, unas palabras al respecto.
Como se señaló anteriormente, no existe una diferencia real en el ritmo de las actualizaciones de seguridad entre Fedora y cualquier otra distribución. Los empaquetadores de Fedora hacen esfuerzos especiales paramanténgase cerca de aguas arribay publicar este tipo de actualizaciones lo más rápido posible, a veces incluso antes de que lo haga el proyecto inicial.
Al igual que su hermano mayor empresarial, Fedora también viene con una configuración de seguridad bastante bloqueada: los servicios (excepto ssh) se envían de forma predeterminada; el firewall de denegación predeterminado está habilitado de forma predeterminada tanto para IPv4 como para IPv6; SELinux lo aplica de forma predeterminada. Además,Fedora se fortalece de muchas otras maneras.
Por otro lado, las nuevas tecnologías de seguridad se pueden ver muy pronto; Un ejemplo es la reciente introducción deCortafuegosD, que aún no está listo para el horario de máxima audienciavolver al firewall anterior es fácil.
Respuesta3
Se trata más de estabilidad y ritmo de cambio que de seguridad per se. Fedora es una plataforma para que Red Hat implemente nuevas características y aplicaciones para validar su relevancia, proporcionar una plataforma para experimentar y resolver problemas de integración.
Por lo general, eso no es lo que desea que haga un servidor; generalmente desea que un servidor realice una función de la manera más estable posible.
Dependiendo de lo que estés haciendo, Fedora puede estar bien. Si está desarrollando aplicaciones de escritorio para Linux, puede ser conveniente trabajar con la última tecnología. Del mismo modo, si estás trabajando en un proyecto escolar de un semestre de duración o algún otro proyecto de duración limitada donde el alto ritmo de los cambios no es una preocupación, Fedora también está bien.
Respuesta4
Sin soporte.
Fedora no tiene contratos de soporte técnico como la empresa Red Hat. No hay nadie a quien llamar si tiene un problema espectacular.