Eu usei o Fedora para hospedar servidores muitas vezes. Nunca enfrentei nenhum problema. Mesmo assim, todos os novos usuários vêm e dizem que o Fedora não é seguro. Deveríamos usar Ubuntu/CentOS ou alguma outra distribuição, mas não o Fedora. Eu nunca entendo qual é o problema com o Fedora. O que torna outras distribuições mais seguras.
Alguns pontos: 1. O Fedora vem com iptables configurado para permitir apenas SSH. Além disso, sempre podemos configurar o iptables para bloquear SSH, se quisermos também. Portanto, não há falta de firewall.
O Fedora lança atualizações regularmente (tanto patches de segurança quanto gerais).
As pessoas dizem que a distro X lança uma nova versão uma vez a cada 5 anos e o Fedora uma vez a cada 6 meses. Como é que liberar uma vez a cada 5 anos torna as coisas seguras. SE você acha que as coisas com 5 anos estão seguras, instale o sistema operacional com cinco anos ou não atualize por 5 anos, mesmo que uma nova versão chegue. Pessoalmente, sinto que não fornecer uma nova versão por 5 anos não aumenta a segurança. Você teria que lançar patches por 5 anos conforme os bugs fossem detectados. Portanto, usar um sistema operacional muito antigo significa apenas mais patches. Se usarmos a versão lançada recentemente, teremos que aplicar menos atualizações/patches. Como liberar uma vez a cada 5 anos torna as coisas seguras, eu nunca entendi.
Todos os sistemas operacionais usam pacotes semelhantes como Gnome, Open-Office, KDE, Open-SSH, Apache. Outros desenvolvedores de distribuição gastam tempo lendo o código-fonte desses pacotes e corrigindo erros de segurança, se houver? Mesmo que o façam, eles não publicarão essas falhas e todas as outras distribuições lançariam patches para elas, incluindo o Fedora. Ou eles garantiriam suas próprias distribuições e não se preocupariam em notificar os outros? Tudo isso assumindo que eles leiam todos os milhões de linhas de códigos de pacotes tão grandes quanto apache, gcc, Open-Office. Se isso for igual em todas as distribuições, o que torna o Fedora mais vulnerável.
O Fedora vem com o seLinux pré-instalado e bem configurado.
O Bind é executado em chroot por padrão no Fedora. Agora com o Fedora 11 o suporte DNSSEC também está presente por padrão. Ver perguntaServidor DNS no Fedora 11onde alguém apontou que o Fedora não é bom para hospedar DNS. Eu não sei porque.
Na verdade, um dos novos administradores instalou o Cent-OS 5.3 em uma das máquinas de teste. Eu usei-o para executar ping em um IP que não estava lá. Recebi respostas de ping. Fiquei surpreso porque não foi possível. Tentei descobrir o local de onde vêm as respostas, mas não consegui. No final, depois de tentar por mais de uma hora, removi o cabo de rede da máquina CentOS. Ainda consegui fazer ping no IP. Então tentei fazer ping no endereço IP da máquina. Eu poderia fazer ping nisso também. Portanto, consegui executar ping em dois IPs (não em outros, tentei também) quando a máquina estava configurada com um IP e nenhum aliase (eth0:1, etc.) estava presente. Eu verifiquei a saída do ifconfig também. Perdi total confiança nas chamadas distribuições de servidores e instalei o Fedora 11 em todas as máquinas de teste. Agora não enfrento problemas tão estranhos para coisas tão básicas como o ping.
Eu realmente apreciaria se pudesse obter exemplos da vida real que indiquem que o Fedora não é seguro e se nesse caso fosse qualquer outra distribuição, tudo estaria bem. Não dê exemplos onde o administrador cometeu erros. Não podemos culpar uma distribuição por isso. Também não dê exemplos muito antigos do Fedora 1, 2 ou Fedora 3. O projeto Fedora está muito maduro agora, especialmente nas duas últimas versões 10, 11. Se você enfrentou problemas de segurança que são específicos apenas deles, por favor, compartilhe suas experiências.
Responder1
Não há nada que determine que o Fedora seja inadequado para uso em servidores, nem há nada que determine que "distros de servidores" sejam a única opção para servidores. Isso depende deseunecessidades particulares.
O que você pode ganhar usando as "distroções de servidor" é:
- Suporte de longo termo
- APIs estáveis (pouca ou nenhuma atualização de versão de bibliotecas e aplicativos)
- correções de segurança e correções de bugs backportadas
- suporte pago
Minha principal "reclamação" para as distribuições de servidores é que software/bibliotecas tendem a ser um pouco antigos e a variedade de pacotes suportados é muito menor do que os esforços conduzidos pela comunidade.
Ou seja, o suporte de longo prazo e as APIs inalteradas são algo que os fornecedores de software comercial adoram. Eles não terão que reconstruir seus aplicativos para as bibliotecas mais recentes porque a API mudou repentinamente. Eles podem desenvolver para o Fornecedor Y Release X e sabem que esta plataforma existirá por vários anos.
Responder2
Achei que não tinha nada a acrescentar a isso, mas depois de executar o Fedora em produção por quase dois anos - para o meu importante sistema de monitoramento Zabbix! - parece que tenho algumas coisas a dizer.
Primeiro, não foi minha primeira escolha. Normalmente, para qualquer coisa, mesmo que vagamente importante, escolherei o CentOS/RHEL pelos benefícios de estabilidade de longo prazo que essas distribuições oferecem. No entanto, para esta implantação em particular, eu absolutamente precisava de recursos do Zabbix 2.0, enquanto oEPELrepo forneceu apenas 1.8. (EPEL agora tem pacotes Zabbix 2.0 e 2.2 além do 1.8, embora não tivesse na época. Se tivesse, eu nunca teria tentado isso.)
Portanto, a desvantagem aqui é: o Fedora possui o software mais recente, mas seus lançamentos têm um ciclo de vida muito curto de 13 meses, com novos lançamentos feitos a cada seis meses. Isso significa que tive que planejar uma janela de manutenção para atualizar o Fedora duas vezes por ano, além da habitual instalação periódica de atualizações.
Para um sistema de monitoramento que deveria acompanhartodo o resto, é vital que esses períodos de manutenção sejam tão raros e tão curtos quanto possível. Com a necessidade de atualizar com tanta frequência, isso normalmente excluiria tal distribuição, mas lembre-se de que eu tinha preocupações mais urgentes; seria inútil sem os recursos que eu precisava. Portanto, esta é uma troca que fiz com (quase) pleno conhecimento das consequências.
Não muito tempo atrás, fiz a atualização do Fedora 18-19 neste servidor, usando a nova ferramenta de atualização fedup do Fedora. Planejei uma interrupção de duas horas, com mais duas horas para possivelmente lidar com qualquer um dos serviços monitorados que pudessem ter morrido e esse fato não foi percebido desde que o Zabbix caiu.
Orealo tempo de inatividade do serviço foi de 11 minutos. Isso ocorre desde o momento em que o Zabbix parou antes da reinicialização até o momento em que ele fez backup e monitorou os serviços após a atualização concluída. Não imaginava que o tempo de inatividade seria tão curto!Eu esperava muito mais problemas, embora eu saiba por experiência própria que problemas significativos de atualização são incomuns no Fedora. (E foi melhorado ainda mais: quando fiz a atualização do Fedora 19-20, o tempo de inatividade completo foi incrívelseis minutos. O mesmo horário para 20-21.)
Este serviço quase certamente será transferido para o RHEL 7 quando estiver disponível. Depois dessa experiência estou muito mais confiante no Fedora como servidor e agora pretendo mantê-lo, mesmo com uma grande atualização a cada seis meses. Mudar para o RHEL seria muito mais perturbador e poderia me limitar no futuro, pelos seguintes motivos:
É uma pena que a Red Hat demore tanto tempo entre os lançamentos principais; um atraso semelhante entre EL5 e EL6 me levou a colocar uma instalação do Ubuntu em produção, algo que ainda estou me culpando até hoje. (Para esse sistema, considerei o Fedora, mas estranhamente ele não tinha o software que eu precisava empacotado na época, apesar de uma versão mais antiga estar em EPEL.)
Um “problema” que ninguém mencionou sobre a execução do Fedora é que você verá muitas coisas novas, tanto grandes projetos de software quanto pequenas melhorias, bem antes de sua inclusão no RHEL. Então, quando você for gerenciar seus sistemas RHEL/CentOS, você sentirá falta deles. Por exemplo, o Fedora possui um grande número de conclusões bash que ainda não estão no RHEL por padrão; um deles notável é o preenchimento de guias para nomes de pacotes na yumlinha de comando.
Portanto, certamente é possível usar o Fedora em produção, desde que você aceite as compensações:
- Não há contratos de suporte. Você deve ter experiência interna suficiente para gerenciar o servidor e seus serviços e lidar com quaisquer problemas que possam surgir; apenas o apoio da comunidade está disponível e não há garantias nisso. A experiência RHEL ajuda, pois são bastante semelhantes.
- Você deve ter uma janela de manutenção paraatualizar pelo menos anualmente. Embora a cada seis meses seja melhor; se você atualizar anualmente, terá que atualizar duas versões de uma vez, o que dobra o número de possíveis problemas com os quais terá que lidar às 3 da manhã.
- As atualizações podem trazer novas versões de software, com as quais você terá que lidar; no entanto, estes serão lançamentos pontuais e não versões principais. Em casos raros, novas funcionalidades significativas podem ser adicionadas (por exemploBZ#319901). Normalmente, porém, o software permanece com o mesmo número de versão durante toda a vida do lançamento, com correções retroportadas; apenas alguns pacotes (como PHP) rastreiam lançamentos pontuais upstream.
- Embora não haja diferença significativa no ritmo das atualizações de segurança, elas nem sempre podem estar isoladas das atualizações de correção de bugs (novamente, como PHP). Se isso é um problema depende do serviço que você planeja executar.
Considerando tudo isso, o Fedora ainda não é minha primeira escolha para plataforma de servidor, e provavelmente nunca será. (Embora eu tenha sido um Fedora felizÁrea de Trabalhousuário durante toda a sua existência.) No caso em que você absolutamente precisa de versões mais atuais de software não disponíveis em uma distribuição mais "empresarial" e pode aceitar as compensações, então não há nada de errado em usar o Fedora.
Finalmente, já que você perguntou especificamente sobre segurança, algumas palavras sobre isso.
Conforme observado anteriormente, não há diferença real no ritmo das atualizações de segurança entre o Fedora e qualquer outra distribuição. Os empacotadores do Fedora fazem esforços especiais parafique perto do rio acimae lançar esses tipos de atualizações o mais rápido possível, às vezes até antes do projeto upstream.
Assim como seu irmão mais velho, o Fedora também vem com uma configuração de segurança bastante bloqueada: serviços (exceto ssh) são fornecidos por padrão; o firewall de negação padrão é habilitado por padrão para IPv4 e IPv6; SELinux é aplicado por padrão. Além disso,O Fedora é reforçado de várias outras maneiras.
Por outro lado, você verá novas tecnologias de segurança muito cedo; um exemplo é a recente introdução deFirewallD, que ainda não está pronto para o horário nobrevoltar para o firewall anterior é fácil.
Responder3
É mais uma questão de estabilidade e taxa de mudança do que de segurança em si. O Fedora é uma plataforma para a Red Hat lançar novos recursos e aplicações para validar sua relevância, fornecer uma plataforma para experimentar e resolver problemas de integração.
Geralmente não é isso que você deseja que um servidor faça - geralmente você deseja que um servidor execute uma função da maneira mais estável possível.
Dependendo do que você está fazendo, o Fedora pode funcionar bem. Se você estiver desenvolvendo aplicativos de desktop Linux, trabalhar com o que há de mais moderno pode ser desejável. Da mesma forma, se você estiver trabalhando em um projeto escolar de um semestre ou em algum outro projeto de duração limitada onde o ritmo acelerado de mudanças não seja uma preocupação, o Fedora também é adequado.
Responder4
Sem suporte.
O Fedora não possui contratos de suporte técnico como o Red Hat Enterprise. Não há ninguém para quem ligar se você tiver um problema que interrompa o show.