저는 서버 호스팅을 위해 Fedora를 여러 번 사용해 왔습니다. 나는 어떤 문제도 겪은 적이 없습니다. 여전히 모든 신규 사용자가 와서 Fedora가 안전하지 않다고 말합니다. Fedora가 아닌 Ubuntu/CentOS 또는 다른 배포판을 사용해야 합니다. 나는 Fedora의 문제가 무엇인지 이해하지 못합니다. 다른 배포판을 더 안전하게 만드는 것은 무엇입니까?
몇 가지 사항: 1. Fedora에는 SSH만 허용하도록 구성된 iptables가 함께 제공됩니다. 또한 원할 경우 언제든지 SSH를 차단하도록 iptables를 구성할 수도 있습니다. 따라서 방화벽에는 아무런 문제가 없습니다.
Fedora는 정기적으로 업데이트를 릴리스합니다(보안 및 일반 패치 모두).
사람들은 distro X가 5년에 한 번씩 새 버전을 출시하고 Fedora는 6개월에 한 번씩 새 버전을 출시한다고 말합니다. 5년에 한 번 출시하면 어떻게 보안이 유지되나요? 5년 된 것이 안전하다고 생각한다면 5년 된 OS를 설치하거나 새 버전이 나오더라도 5년 동안 업그레이드하지 마세요. 개인적으로 나는 5년 동안 새 버전을 제공하지 않는 것이 보안에 추가되지 않는다고 생각합니다. 버그가 발견되면 5년 동안 패치를 출시해야 합니다. 따라서 매우 오래된 OS를 사용한다는 것은 더 많은 패치를 의미한다는 의미입니다. 최근 출시된 버전을 사용하는 경우 업데이트/패치를 더 적게 적용해야 합니다. 5년에 한 번 릴리스하는 것이 어떻게 보안을 유지하는지 이해하지 못했습니다.
모든 OS는 Gnome, Open-Office, KDE, Open-SSH, Apache와 같은 유사한 패키지를 사용합니다. 다른 배포판 개발자들이 이러한 패키지의 소스 코드를 읽고 보안 오류가 있는 경우 수정하는 데 시간을 소비합니까? 설사 그들이 그러한 결함을 공개하지 않더라도 다른 모든 배포판은 Fedora를 포함하여 이에 대한 패치를 출시할 것입니다. 아니면 자신의 배포판을 확보하고 다른 사람에게 알리는 데 신경 쓰지 않을 것입니다. 이것은 모두 Apache, gcc, Open-Office만큼 큰 수백만 줄의 패키지 코드를 모두 읽는다고 가정합니다. 이것이 모든 배포판에서 동일하다면 Fedora를 더 취약하게 만드는 것은 무엇입니까?
Fedora에는 seLinux가 사전 설치되어 있고 잘 구성되어 있습니다.
Fedora에서는 기본적으로 chroot에서 바인딩이 실행됩니다. 이제 Fedora 11에서는 DNSSEC 지원도 기본적으로 제공됩니다. 질문 보기Fedora 11의 DNS 서버어떤 사람은 Fedora가 DNS 호스팅에 적합하지 않다고 지적했습니다. 이유는 모르겠습니다.
실제로 새로운 관리자 중 한 명이 테스트 시스템 중 하나에 Cent-OS 5.3을 설치했습니다. 나는 거기에 없는 하나의 IP를 핑하는 데 그것을 사용했습니다. ping 응답을 받았습니다. 불가능해서 깜짝 놀랐습니다. 답변이 오는 위치를 알아내려고 했지만 실패했습니다. 한 시간 넘게 노력한 끝에 CentOS 시스템에서 네트워크 케이블을 제거했습니다. 여전히 IP를 핑할 수 있었습니다. 그런 다음 컴퓨터의 IP 주소를 ping해 보았습니다. 나도 그걸로 핑할 수 있었어. 따라서 컴퓨터가 하나의 IP로 구성되고 별칭(eth0:1 등)이 없을 때 두 개의 IP(다른 IP는 아님, 나도 시도함)에 핑을 보낼 수 있었습니다. ifconfig 출력도 확인했습니다. 저는 소위 서버 배포판에 대한 완전한 신뢰를 잃었고 모든 테스트 시스템에 Fedora 11을 설치했습니다. 이제는 ping과 같은 기본적인 문제에 대해 이상한 문제가 발생하지 않습니다.
Fedora가 안전하지 않음을 나타내는 실제 사례를 얻을 수 있다면 정말 감사하겠습니다. 이 경우 다른 배포판이라면 괜찮았을 것입니다. 관리자가 실수한 예를 제시하지 마십시오. 우리는 그것에 대해 배포판을 비난할 수 없습니다. 또한 매우 오래된 Fedora 1, 2 또는 Fedora 3의 예를 제공하지 마십시오. Fedora 프로젝트는 특히 마지막 두 버전 10, 11에서 매우 성숙해졌습니다. Fedora에만 해당되는 보안 문제에 직면했다면 경험을 공유해 주세요.
답변1
Fedora가 서버에서 사용하기에 적합하지 않다고 규정하는 것도 없고 "서버 배포판"이 서버를 위한 유일한 선택이라고 규정하는 것도 없습니다. 그것은 다음에 달려있다당신의특별한 필요.
"서버 배포판"을 사용하면 다음과 같은 이점을 얻을 수 있습니다.
- 장기 지원
- 안정적인 API(라이브러리 및 애플리케이션의 버전 업그레이드가 거의 또는 전혀 없음)
- 백포트된 보안 수정 및 버그 수정
- 유료 지원
서버 배포판에 대한 나의 주요 "불만"은 소프트웨어/라이브러리가 다소 오래된 경향이 있고 지원되는 패키지 범위가 커뮤니티 중심 노력보다 훨씬 작다는 것입니다.
즉, 장기 지원과 변경되지 않는 API는 상용 소프트웨어 공급업체가 좋아하는 것입니다. API가 갑자기 변경되었기 때문에 최신 라이브러리를 위해 애플리케이션을 다시 빌드할 필요가 없습니다. 이들은 공급업체 Y 릴리스 X용으로 개발할 수 있으며 이 플랫폼이 앞으로 몇 년 동안 계속 사용될 것이라는 것을 알고 있습니다.
답변2
여기에 추가할 것이 없다고 생각했지만 거의 2년 동안 프로덕션 환경에서 Fedora를 실행한 후 – 매우 중요한 Zabbix 모니터링 시스템을 위해! - 할 말이 몇 가지 있는 것 같습니다.
첫째, 그것은 나의 첫 번째 선택이 아니었습니다. 일반적으로 막연하게 중요한 모든 경우에는 이러한 배포판이 제공하는 장기적인 안정성 이점을 위해 CentOS/RHEL을 선택합니다. 그러나 이 특정 배포에는 Zabbix 2.0의 기능이 절대적으로 필요했습니다.에펠레포는 1.8만 제공했습니다. (EPEL에는 현재 1.8 외에 Zabbix 2.0 및 2.2 패키지가 있지만 당시에는 그렇지 않았습니다. 그랬다면 절대 시도하지 않았을 것입니다.)
따라서 여기서의 절충점은 다음과 같습니다. Fedora는 최신 소프트웨어를 보유하고 있지만 릴리스는 13개월의 매우 짧은 수명 주기를 가지며 약 6개월마다 새 릴리스가 만들어집니다. 즉, 일반적인 정기적인 업데이트 설치 외에도 Fedora를 1년에 두 번 업그레이드하기 위한 유지 관리 기간을 계획해야 했습니다.
추적해야 하는 모니터링 시스템의 경우그 밖의 모든 것, 이러한 유지 관리 기간은 가능한 한 자주, 짧게 유지하는 것이 중요합니다. 너무 자주 업그레이드해야 한다는 요구 사항으로 인해 일반적으로 이러한 배포는 제외되지만 더 시급한 문제가 있다는 것을 기억하십시오. 필요한 기능이 없으면 쓸모가 없을 것입니다. 그래서 이것은 결과에 대해 (거의) 완전한 지식을 가지고 만든 절충안입니다.
얼마 전 Fedora의 새로운 fedup 업그레이드 도구를 사용하여 이 서버에서 Fedora 18-19 업그레이드를 수행했습니다. 나는 2시간의 가동 중단을 계획했고, Zabbix가 다운된 이후로 누락되었거나 중단되었을 수 있는 모니터링되는 서비스를 처리하기 위해 추가로 2시간을 계획했습니다.
그만큼실제서비스 중단 시간은 11분이었습니다. 이는 재부팅하기 전에 Zabbix가 중지된 시간부터 업그레이드가 완료된 후 서비스를 백업하고 모니터링하는 시간까지입니다. 가동 중지 시간이 이렇게 짧을 줄은 몰랐습니다!나는 훨씬 더 많은 문제를 예상하고 있었다, Fedora에서는 심각한 업그레이드 문제가 흔하지 않다는 것을 경험을 통해 알고 있지만. (그리고 더욱 개선되었습니다. Fedora 19-20 업그레이드를 수행했을 때 전체 다운타임은 놀라웠습니다.6분. 20-21도 같은 시간입니다.)
이 서비스는 출시되면 RHEL 7로 옮겨질 것이 거의 확실합니다. 이 경험 이후 저는 서버로서 Fedora에 훨씬 더 자신감을 갖게 되었고 이제는 6개월마다 주요 업그레이드를 하더라도 Fedora를 유지할 계획입니다. RHEL로 전환하는 것은 훨씬 더 지장을 줄 수 있으며 다음과 같은 이유로 인해 향후 제한을 받을 수도 있습니다.
Red Hat의 주요 릴리스 사이에 오랜 시간이 걸리는 것은 불행한 일입니다. EL5와 EL6 사이의 비슷한 지연으로 인해 실제로 Ubuntu 설치를 프로덕션에 투입하게 되었는데, 나는 오늘날까지도 여전히 이 일을 계속하고 있습니다. (해당 시스템의 경우 Fedora를 고려했지만 이상하게도 이전 버전이 EPEL에 있음에도 불구하고 당시에 필요한 소프트웨어가 패키지로 포함되어 있지 않았습니다.)
Fedora 실행에 대해 아무도 언급하지 않은 한 가지 "문제"는 RHEL에 포함되기 훨씬 전에 대규모 소프트웨어 프로젝트와 작은 개선 사항 등 많은 새로운 것을 보게 될 것이라는 것입니다. 따라서 RHEL/CentOS 시스템을 관리하려고 하면 해당 시스템을 놓치게 됩니다. 예를 들어, Fedora에는 기본적으로 아직 RHEL에 없는 많은 bash 완료 기능이 있습니다. 주목할만한 것 중 하나는 명령줄에서 패키지 이름에 대한 탭 완성입니다 yum.
따라서 트레이드오프를 받아들일 수 있는 한 Fedora를 프로덕션 환경에서 사용하는 것은 확실히 가능합니다.
- 지원 계약이 없습니다. 서버와 해당 서비스를 관리하고 발생할 수 있는 모든 문제를 처리할 수 있을 만큼 충분한 사내 전문 지식을 갖추고 있어야 합니다. 커뮤니티 지원만 가능하며 이에 대한 보장은 없습니다. RHEL 경험은 매우 유사하므로 도움이 됩니다.
- 유지 관리 기간이 있어야 합니다.적어도 매년 업그레이드. 6개월마다 하는 것이 더 좋지만; 매년 업그레이드하는 경우 두 개의 릴리스를 동시에 업그레이드해야 하므로 오전 3시에 처리해야 하는 잠재적인 문제 수가 두 배로 늘어납니다.
- 업데이트로 인해 새로운 버전의 소프트웨어가 출시될 수 있으며 이를 처리해야 합니다. 그러나 이는 주요 버전이 아닌 포인트 릴리스입니다. 드문 경우지만 중요한 새 기능이 추가될 수 있습니다(예:BZ#319901). 그러나 일반적으로 소프트웨어는 릴리스 기간 동안 동일한 버전 번호로 유지되며 수정 사항은 백포트됩니다. 일부 패키지(예: PHP)만이 업스트림 포인트 릴리스를 추적합니다.
- 보안 업데이트 속도에는 큰 차이가 없지만 버그 수정 업데이트(예: PHP)와 항상 격리되는 것은 아닙니다. 이것이 문제인지 여부는 실행하려는 서비스에 따라 다릅니다.
모든 것을 고려해 볼 때 Fedora는 여전히 서버 플랫폼에 대한 첫 번째 선택이 아니며 아마도 앞으로도 그럴 것입니다. (나는 행복한 Fedora였지만데스크탑더 많은 "엔터프라이즈" 배포판에서 사용할 수 없는 최신 버전의 소프트웨어가 절대적으로 필요하고 절충안을 받아들일 수 있는 경우 Fedora를 사용하는 데 아무런 문제가 없습니다.
마지막으로, 보안에 관해 구체적으로 질문하셨으니 이에 대해 몇 마디 말씀드리겠습니다.
이전에 언급했듯이 Fedora와 다른 배포판 간의 보안 업데이트 속도에는 실질적인 차이가 없습니다. Fedora 패키저는 다음을 위해 특별한 노력을 기울입니다.상류에 가까이 머물다이러한 종류의 업데이트를 가능한 한 빨리, 때로는 업스트림 프로젝트가 완료되기 전에도 얻을 수 있습니다.
기업의 큰 형님처럼 Fedora도 상당히 잠긴 보안 구성을 제공합니다. 서비스(ssh 제외)는 기본적으로 제공됩니다. 기본 거부 방화벽은 IPv4와 IPv6 모두에 대해 기본적으로 활성화되어 있습니다. SELinux는 기본적으로 적용됩니다. 게다가,Fedora는 여러 가지 다른 방법으로 강화되었습니다..
반면에 새로운 보안 기술을 아주 일찍 접하게 됩니다. 한 가지 예는 최근에 도입된방화벽D, 아직 전성기를 맞이할 준비가 되지 않았지만이전 방화벽으로 다시 전환하는 것은 쉽습니다..
답변3
보안 자체보다는 안정성과 변화 속도에 관한 것입니다. Fedora는 Red Hat이 새로운 기능과 애플리케이션을 출시하여 관련성을 검증하고 실험할 플랫폼을 제공하며 통합 문제를 해결하는 플랫폼입니다.
이는 일반적으로 서버가 수행하기를 원하는 것이 아닙니다. 일반적으로 서버가 가능한 가장 안정적인 방식으로 기능을 수행하기를 원합니다.
수행하는 작업에 따라 Fedora가 괜찮을 수도 있습니다. Linux 데스크톱 앱을 개발하는 경우 최첨단 기술을 사용하여 작업하는 것이 바람직할 수 있습니다. 마찬가지로, 한 학기 동안 진행되는 학교 프로젝트나 빠른 변화 속도가 문제가 되지 않는 기타 제한된 기간의 프로젝트를 진행하고 있다면 Fedora도 괜찮습니다.
답변4
지원 없음.
Fedora에는 Red Hat Enterprise와 같은 기술 지원 계약이 없습니다. 공연 중단 문제가 발생하면 전화할 사람이 없습니다.