Was ist das Problem bei der Verwendung von Fedora für Server?

17

Ich habe Fedora oft zum Hosten von Servern verwendet. Ich habe noch nie ein Problem gehabt. Dennoch kommen alle neuen Benutzer und sagen, Fedora sei nicht sicher. Wir sollten Ubuntu / CentOS oder eine andere Distribution verwenden, Fedora jedoch nicht. Ich verstehe nie, was das Problem mit Fedora ist. Was macht andere Distributionen sicherer?

Einige Punkte: 1. Fedora wird mit iptables geliefert, die so konfiguriert sind, dass nur SSH zulässig ist. Außerdem können wir iptables jederzeit so konfigurieren, dass SSH auch blockiert wird, wenn wir dies möchten. Also kein Problem mit der Firewall.

  1. Fedora veröffentlicht regelmäßig Updates (sowohl Sicherheits- als auch allgemeine Patches).

  2. Die Leute sagen, dass Distribution X alle 5 Jahre eine neue Version und Fedora alle 6 Monate eine neue Version veröffentlicht. Wie kommt es, dass alle 5 Jahre ein Release veröffentlicht wird? Wenn Sie der Meinung sind, dass 5 Jahre alte Dinge sicher sind, installieren Sie ein 5 Jahre altes Betriebssystem oder aktualisieren Sie es 5 Jahre lang nicht, selbst wenn eine neue Version verfügbar ist. Persönlich fühle ich mich nicht neue Version für 5 Jahre zu geben, erhöht nicht die Sicherheit. Sie müssten Patches für 5 Jahre veröffentlichen, sobald Fehler entdeckt werden. Wenn Sie also ein sehr altes Betriebssystem verwenden, bedeutet dies nur, dass Sie mehr Patches verwenden. Wenn wir eine kürzlich veröffentlichte Version verwenden, müssen wir weniger Updates / Patches anwenden. Wie eine Veröffentlichung in 5 Jahren die Sicherheit erhöht, habe ich nie verstanden.

  3. Alle Betriebssysteme verwenden ähnliche Pakete wie Gnome, Open-Office, KDE, Open-SSH und Apache. Nehmen sich andere Distributionsentwickler Zeit, um den Quellcode dieser Pakete zu lesen und eventuelle Sicherheitsfehler zu beheben? Selbst wenn sie diese Fehler nicht veröffentlichen würden, würden alle anderen Distributionen Patches dafür veröffentlichen, einschließlich Fedora. Oder würden sie sich ihre eigenen Distributionen sichern und sich nicht die Mühe machen, andere zu benachrichtigen? Dies alles unter der Voraussetzung, dass sie alle Millionen Zeilen Code von Paketen lesen, die so groß sind wie Apache, GCC, Open-Office. Wenn diese Dinge in jeder Distribution gleich sind, macht das Fedora anfälliger.

  4. Fedora wird mit vorinstalliertem und gut konfiguriertem seLinux ausgeliefert.

  5. Bind wird in Fedora standardmäßig in Chroot ausgeführt. Mit Fedora 11 ist jetzt auch standardmäßig DNSSEC-Unterstützung verfügbar. Siehe Frage DNS-Server auf Fedora 11, wo jemand Fedora als nicht gut für das Hosten von DNS bezeichnete. Keine Ahnung warum.

Tatsächlich hat einer der neuen Administratoren Cent-OS 5.3 auf einem der Testcomputer installiert. Ich habe es benutzt, um eine IP zu pingen, die nicht da war. Ich habe Antworten bekommen. Ich war erstaunt, weil es nicht möglich war. Ich habe versucht herauszufinden, woher die Antworten stammen, aber es ist fehlgeschlagen. Am Ende, nachdem ich es mehr als eine Stunde lang versucht hatte, entfernte ich das Netzwerkkabel vom CentOS-Computer. Ich konnte die IP noch anpingen. Dann habe ich versucht, die IP-Adresse des Rechners zu pingen. Das könnte ich auch anpingen. Ich konnte also zwei IPs anpingen (nicht andere, ich habe sie auch ausprobiert), wenn der Computer mit einer IP konfiguriert war und keine Aliase (eth0: 1 usw.) vorhanden waren. Ich habe auch die Ausgabe von ifconfig überprüft. Ich habe das Vertrauen in so genannte Server-Distributionen vollständig verloren und Fedora 11 auf allen Testmaschinen installiert. Jetzt sehe ich mich nicht mit so merkwürdigen Problemen konfrontiert, die so grundlegend sind wie Ping.

Ich wäre sehr dankbar, wenn ich Beispiele aus der Praxis bekommen könnte, die darauf hinweisen, dass Fedora unsicher ist, und wenn es in diesem Fall eine andere Verteilung gegeben hätte, wären die Dinge in Ordnung gewesen. Geben Sie keine Beispiele an, bei denen der Administrator Fehler gemacht hat. Wir können keine Distribution dafür verantwortlich machen. Geben Sie auch keine sehr alten Fedora 1, 2 oder Fedora 3-Beispiele an. Das Fedora-Projekt ist sehr ausgereift, insbesondere die letzten beiden Versionen 10, 11. Wenn Sie mit Sicherheitsproblemen konfrontiert sind, die nur diese betreffen, teilen Sie bitte Ihre Erfahrungen mit.

Saurabh Barjatiya
quelle
Ich habe Probleme, der Ping-Diskussion zu folgen. Woher pingst du? Welche spezifische IP-Adresse haben Sie angerufen? Sie sollten in der Lage sein, den Host von seiner Konsole aus anzupingen. Wenn Sie den Host mit abgetrenntem Netzwerkkabel von einem anderen Ort aus anpingen können, liegt das Problem NICHT am abgetrennten Host.
kmarsh
Ich konnte zwei verschiedene IP-Adressen vom Host aus anpingen, wenn der Host nicht mit dem Netzwerk verbunden war. Ich habe versucht, Crtl + C zu verwenden, und erneut angefangen zu pingen. Ich konnte immer noch von einem Host, der nicht mit einem Netzwerk verbunden war, zu zwei verschiedenen IP-Adressen pingen. Ich habe versucht, beide IPs parallel an zwei verschiedenen Terminals anzupingen, und ich konnte beide IPs anpingen. Es funktionierte aber nur für zwei IPs. Ich habe einige andere IPs ausprobiert, aber sie haben nicht wie erwartet gepingt. Auf dem Host gab es keine seltsame Firewall-Konfiguration, die dies hätte verursachen können.
Saurabh Barjatiya

Antworten:

12

Es gibt nichts, was vorschreibt, dass Fedora für die Verwendung auf Servern ungeeignet ist, und es gibt nichts, was vorschreibt, dass "Serververteilungen" die einzige Wahl für Server sind. Es hängt von Ihren speziellen Bedürfnissen ab.

Was Sie von der Verwendung der "Server-Distributionen" profitieren können, ist:

  • Langzeitunterstützung
  • stabile APIs (wenig bis keine Versions-Upgrades von Bibliotheken und Anwendungen)
  • Backportierte Sicherheits- und Bugfixes
  • bezahlte Unterstützung

Meine Haupt- "Beschwerde" für die Server-Distributionen ist, dass Software / Bibliotheken tendenziell etwas alt sind und der Umfang der unterstützten Pakete viel kleiner ist als die von der Community betriebenen Anstrengungen.

Das heißt, der langfristige Support und die unveränderten APIs sind etwas, das kommerzielle Softwareanbieter lieben. Sie müssen ihre Anwendung nicht für die neuesten Bibliotheken neu erstellen, da sich die API plötzlich geändert hat. Sie können für Vendor Y Release X entwickeln und wissen, dass diese Plattform noch einige Jahre bestehen wird.

Kjetil Joergensen
quelle
Mir ist klar, dass meine Antwort in Bezug auf den eigentlichen Inhalt Ihrer Frage etwas "off topic" sein kann. Sehen Sie sie sich also eher als Antwort auf den Titel / das Thema Ihrer Frage an. Wie auch immer, die Diskussion über die Sicherheitsmerkmale verschiedener Distrikte ist grenzwertig, sie bieten alle eine angemessene Sicherheit, und Sie werden wahrscheinlich in der Lage sein, Ihren Weg aus den Unsicherheiten von Anbietern herauszuhalten. Wenn Sicherheit Ihr Hauptanliegen ist, würde ich vorschlagen, dass Sie sich etwas wie OpenBSD ansehen, dessen Hauptaugenmerk auf Sicherheit liegt.
Kjetil Joergensen
14

Ich dachte, ich hätte nichts hinzuzufügen, aber nachdem ich Fedora fast zwei Jahre lang in der Produktion hatte - für mein sehr wichtiges Zabbix-Überwachungssystem! - Ich habe anscheinend ein paar Dinge zu sagen.

Erstens war es nicht meine erste Wahl. Normalerweise wähle ich CentOS / RHEL wegen der langfristigen Stabilitätsvorteile, die diese Distributionen bieten. Für diese spezielle Bereitstellung benötigte ich jedoch unbedingt Features in Zabbix 2.0, während das EPEL- Repo nur 1.8 lieferte. (EPEL hat jetzt zusätzlich zu 1.8 Zabbix 2.0- und 2.2-Pakete, dies war jedoch zu diesem Zeitpunkt nicht der Fall. Wenn dies der Fall gewesen wäre, hätte ich dies nie versucht.)

Der Kompromiss lautet also: Fedora verfügt über die neueste Software, die Releases haben jedoch einen sehr kurzen Lebenszyklus von 13 Monaten, wobei etwa alle sechs Monate neue Releases veröffentlicht werden. Das heißt, ich musste ein Wartungsfenster einplanen, um Fedora zweimal im Jahr zu aktualisieren, zusätzlich zu der üblichen regelmäßigen Installation von Updates.

Für ein Überwachungssystem, das alles andere im Auge behalten soll , ist es wichtig, dass solche Wartungszeiten so selten und so kurz wie möglich sind. Bei der Anforderung, so häufig zu aktualisieren, würde dies normalerweise eine solche Verteilung ausschließen, aber denken Sie daran, dass ich dringendere Bedenken hatte; es wäre nutzlos ohne die Funktionen, die ich brauchte. Das ist also ein Kompromiss, den ich mit (fast) vollständiger Kenntnis der Konsequenzen geschlossen habe.

Vor kurzem habe ich das Fedora 18-19-Upgrade auf diesem Server mit Fedoras neuem Fedup-Upgrade-Tool durchgeführt. Ich plante einen zweistündigen Ausfall, mit weiteren zwei Stunden, um möglicherweise die überwachten Dienste zu beheben, die möglicherweise nicht mehr verfügbar waren und die seit dem Ausfall von Zabbix nicht mehr verfügbar waren.

Die tatsächliche Ausfallzeit betrug 11 Minuten. Das ist von dem Zeitpunkt an, an dem Zabbix vor dem Neustart gestoppt wurde, bis zu dem Zeitpunkt, an dem es nach dem abgeschlossenen Upgrade Backup- und Überwachungsdienste ausführte. Mir war nicht klar, dass die Ausfallzeit so kurz sein würde! Ich hatte mit viel mehr Ärger gerechnet , obwohl ich aus Erfahrung weiß, dass Fedora nur selten signifikante Upgrade-Probleme hat. (Und es wurde weiter verbessert: Als ich das Fedora 19-20-Upgrade durchführte, betrug die gesamte Ausfallzeit erstaunliche sechs Minuten . Die gleiche Zeit für 20-21.)

Dieser Service wird mit ziemlicher Sicherheit auf RHEL 7 verschoben, sobald er verfügbar ist. Nach dieser Erfahrung bin ich viel zuversichtlicher in Fedora als Server und beabsichtige nun, es zu behalten, auch wenn alle sechs Monate ein größeres Upgrade durchgeführt wird. Ein Wechsel zu RHEL wäre viel störender und könnte mich in Zukunft aus folgenden Gründen einschränken:

Es ist bedauerlich, dass Red Hat zwischen den Hauptversionen so viel Zeit hat. Eine ähnliche Verzögerung zwischen EL5 und EL6 führte dazu, dass ich tatsächlich eine Ubuntu-Installation in Betrieb nahm, was ich bis heute selbst in die Knie gezwungen habe. (Für dieses System habe ich Fedora in Betracht gezogen, aber seltsamerweise fehlte die Software, die ich zu diesem Zeitpunkt überhaupt brauchte, obwohl eine ältere Version in EPEL enthalten war.)


Ein "Problem", von dem niemand beim Ausführen von Fedora spricht, ist, dass Sie viele neue Dinge sehen werden, sowohl große Softwareprojekte als auch kleine Verbesserungen, lange bevor sie in RHEL aufgenommen werden. Wenn Sie also Ihre RHEL / CentOS-Systeme verwalten, werden Sie sie vermissen. Fedora verfügt beispielsweise über eine große Anzahl von Bash-Abschlüssen, die noch nicht standardmäßig in RHEL enthalten sind. Eine bemerkenswerte ist die Tab-Vervollständigung für Paketnamen in der yumBefehlszeile.

Es ist also durchaus möglich, Fedora in der Produktion zu verwenden, solange Sie die Kompromisse akzeptieren können:

  • Es bestehen keine Supportverträge. Sie müssen über internes Fachwissen verfügen, das ausreicht, um den Server und seine Dienste zu verwalten und auftretende Probleme zu lösen. Es steht nur Community-Support zur Verfügung, und es gibt dort keine Garantien. RHEL Erfahrung hilft, da sie ziemlich ähnlich sind.
  • Sie müssen über ein Wartungsfenster verfügen, um mindestens einmal jährlich ein Upgrade durchführen zu können . Obwohl alle sechs Monate besser ist; Wenn Sie jährlich ein Upgrade durchführen, müssen Sie zwei Releases gleichzeitig aktualisieren. Dies verdoppelt die Anzahl der potenziellen Probleme, mit denen Sie sich um 3 Uhr morgens befassen müssen.
  • Aktualisierungen können neue Softwareversionen mit sich bringen, mit denen Sie sich befassen müssen. Es handelt sich jedoch um Einzelversionen und nicht um Hauptversionen. In seltenen Fällen können wichtige neue Funktionen hinzugefügt werden (z. B. BZ # 319901 ). In der Regel bleibt die Versionsnummer der Software während der gesamten Laufzeit der Version unverändert, wobei die Fixes zurückportiert werden. Nur einige Pakete (wie PHP) verfolgen Upstream-Point-Releases.
  • Die Geschwindigkeit von Sicherheitsupdates unterscheidet sich zwar nicht wesentlich, sie sind jedoch möglicherweise nicht immer von Bugfix-Updates (wie z. B. PHP) isoliert. Ob dies ein Problem ist, hängt von dem Dienst ab, den Sie ausführen möchten.

Alles in allem ist Fedora immer noch nicht meine erste Wahl für eine Serverplattform und wird es wahrscheinlich auch nie sein. (Obwohl ich während meiner gesamten Existenz ein zufriedener Fedora- Desktop- Benutzer war.) Wenn Sie unbedingt aktuellere Softwareversionen benötigen, die in einer "unternehmerischeren" Distribution nicht verfügbar sind, und Sie die Kompromisse akzeptieren können, gibt es nichts falsch mit Fedora.


Schließlich, da Sie speziell nach der Sicherheit gefragt haben, einige Worte dazu.

Wie bereits erwähnt, gibt es keinen wirklichen Unterschied in der Geschwindigkeit von Sicherheitsupdates zwischen Fedora und anderen Distributionen. Fedora-Paketanbieter bemühen sich besonders, in der Nähe des Upstreams zu bleiben und diese Art von Updates so schnell wie möglich zu veröffentlichen, manchmal sogar noch vor dem Upstream-Projekt.

Wie der große Bruder des Unternehmens wird auch Fedora mit einer ziemlich eingeschränkten Sicherheitskonfiguration ausgeliefert: Dienste (außer ssh) werden standardmäßig abgeschaltet; Die Firewall mit Standardverweigerung ist standardmäßig sowohl für IPv4 als auch für IPv6 aktiviert. SELinux erzwingt standardmäßig. Außerdem wird Fedora auf verschiedene andere Arten gehärtet .

Auf der anderen Seite lernen Sie die neue Sicherheitstechnologie sehr früh kennen. Ein Beispiel ist die kürzliche Einführung von FirewallD , die noch nicht für die Hauptsendezeit bereit ist, obwohl das Zurückschalten auf die vorherige Firewall einfach ist .

Michael Hampton
quelle
13

Es geht mehr um Stabilität und Veränderungsrate als um Sicherheit an sich. Fedora ist eine Plattform, auf der Red Hat neue Funktionen und Anwendungen einführt, um deren Relevanz zu überprüfen, eine Plattform zum Experimentieren bereitzustellen und Integrationsprobleme zu lösen.

Das ist normalerweise nicht das, was ein Server tun soll - Sie möchten im Allgemeinen, dass ein Server eine Funktion so stabil wie möglich ausführt.

Abhängig davon, was Sie tun, ist Fedora möglicherweise in Ordnung. Wenn Sie Linux-Desktop-Apps entwickeln, ist es möglicherweise wünschenswert, mit dem neuesten Stand der Technik zu arbeiten. Ebenso ist Fedora in Ordnung, wenn Sie an einem semesterlangen Schulprojekt oder einem anderen zeitlich begrenzten Projekt arbeiten, bei dem das hohe Tempo der Änderungen keine Rolle spielt.

duffbeer703
quelle
1
Wenn ein Fedora-Server einwandfrei funktioniert und ich ihn nicht aktualisiere, obwohl neue Fedora-Versionen veröffentlicht wurden. Wird es Fedora auch stabil machen? Immerhin ist es nicht zwingend erforderlich, auf die neueste Version des Betriebssystems zu aktualisieren, und wenn ich kein Upgrade vornehme, funktionieren die Dinge problemlos weiter. Wir können Fedora also für Server verwenden, wenn wir nicht versuchen, weiterhin auf die neuesten Fedora-Versionen zu aktualisieren. Sind Sie einverstanden?
Saurabh Barjatiya
Aber was ist mit Sicherheitsupdates? Das wirst du machen, oder?
Josh Brower
Ja, aber ich habe nach dem Paket-Update noch nie Probleme gehabt. Sicherheitsupdates haben die Arbeit der Server für mich nie beeinträchtigt. Alte Konfigurationsdateien werden nicht ersetzt, so dass die Dinge auch nach Updates problemlos funktionieren.
Saurabh Barjatiya
1
Es hängt davon ab, was Sie tun. Beispiel: Wenn Sie eine geschäftskritische Anwendung ausführen, die die Datenbank verwendet. Möglicherweise möchten Sie die Hauptversionen Ihrer Datenbank nicht ständig aktualisieren, da dies zu Inkompatibilitäten mit Ihrem Anwendungscode führen kann.
Guy C
Ich spreche hier nicht über geschäftskritische Anwendungen. Das würde zu viel Sicherheit und Wissen erfordern. Durchschnittliche Server, bei denen es aus unglücklichen Gründen zu Ausfallzeiten kommt, zu keinen allzu großen Verlusten kommt. Insbesondere kein Verlust von Leben / vollständiger Zweck des Servers.
Saurabh Barjatiya
7

Der entscheidende Punkt, der mich davon abhält, Fedora für einen Server zu verwenden und stattdessen Debian, Ubuntu oder CentOS bevorzugt, ist die Stabilität und die Dauer des Supports . Wenn Sie einen Server betreiben, möchten Sie Stabilität, Sicherheit und Langlebigkeit. Ja, fast jede Distribution enthält die gleiche Software, daher spielt es dort keine Rolle. Es ist eine Frage dessen, was getestet wird, über Sicherheitsupdates verfügt und unterstützt wird.

Fedoras Release-Zeitplan für alle 6 Monate ist gut, wenn Sie den neusten Stand der Dinge wollen, aber wenn es um einen Server geht, ist das nicht immer gut. Hinzu kommt, dass Fedora nur die letzten drei Versionen unterstützt, was bedeutet, dass Sie in 18 Monaten ein nicht unterstütztes Betriebssystem suchen und ein Upgrade durchführen müssen. Wenn Sie jemals ein Fedora-Upgrade durchgeführt haben, sind diese normalerweise fehlerhaft und es ist einfacher, eine Neuinstallation durchzuführen, die auf einem Desktop / Laptop möglicherweise nicht so fehlerhaft ist, jedoch für einen Server, der Ausfallzeiten bedeutet und für die meisten Systemadministratoren inakzeptabel ist.

CentOS hat bei weitem den längsten Supportzyklus und wird in diesem Zeitraum unterstützt. Außerdem werden Sicherheitspatches und -updates veröffentlicht, sodass es nicht die ganze Zeit über dieselbe Version gibt. Dies hat den Vorteil, dass Sie nicht Ihre ganze Zeit damit verbringen, sich auf das nächste Upgrade vorzubereiten. Sie haben einen stabilen Server mit einer stabilen getesteten Software.

Debian hat einen Veröffentlichungsplan, der länger als Fedora, aber kürzer als CentOS ist, aber immer über Sicherheitsupdates informiert ist. Der andere Vorteil von Debian ist ein sauberer Upgrade-Pfad. Debian-Releases werden sowohl auf Neuinstallation als auch auf Live-Upgrades getestet und erst dann veröffentlicht, wenn dies ohne Probleme erfolgreich durchgeführt werden kann. Diese Liebe zum Detail und die Bereitschaft, ein Veröffentlichungsdatum zu verschieben, um weitere Paketfehler zu beheben, ist einer der größten Vorteile. Die DEB-Paketstruktur selbst wurde ebenfalls so entwickelt, dass die Aktualisierung sehr reibungslos verläuft und Ihre Konfigurationen beibehalten werden. Das einzige, was wirklich fehlt, ist die kommerzielle Unterstützung. In diesem Fall können Sie sich an Ubuntu wenden, das die Pakete von Debian entgegennimmt, genau wie CentOS einen Großteil der Pakete von RHEL entgegennimmt.

Bearbeiten: Fett gedruckter Text hinzugefügt, um die Aufmerksamkeit auf die Tatsache zu lenken, dass ich Fedora als nicht stabil genug für eine Serverplattform betrachte.

Jeremy Bouse
quelle
Ich muss Ihnen in Bezug auf 18 Monate zustimmen, dass nur die letzten drei Versionen unterstützt werden. Ich habe auch immer eine Neuinstallation durchgeführt und nie ein Upgrade durchgeführt, sodass ich auch keine Erfahrung mit dem Upgrade habe. Aber ich verwalte nur wenige CentOS-Server. Ich hasse es, vim in CentOS zu verwenden, und wenn ich die Tabulatortaste drücke, versucht es eine Autovervollständigung, was irritierend ist. Auch wenn ich Tools wie awstats / denyhosts installieren musste, konnte ich sie nicht in den Standard-CentOS-Repositorys finden. Ich musste sie nach Quelle installieren. Tatsächlich hatte ich RPM von Awstats ausprobiert, die ich von seiner Website erhalten hatte, und es funktionierte nicht. Also musste ich es endlich per Source installieren.
Saurabh Barjatiya
Fedora erspart in diesen Fällen also Ärger, da awstats mit Standardpaketen geliefert wird und denyhosts problemlos mit yum mit Standard-Repos installiert werden können. Zum Glück war die Neuinstallation nach 18 Monaten in meinen Anwendungsfällen nicht so problematisch. Infact hilft beim Aufräumen von nicht mehr benötigten Konfigurationszeilen. Aber ich denke, für große / berühmte Website-Server, ISP-Server usw. sind 18 Monate zu früh. Danke für die Antwort.
Saurabh Barjatiya
Es sind nicht einmal 18 Monate. Die Unterstützung für Release n wird in der Regel einen Monat nach dem Release von n + 2 eingestellt. Das bedeutet, dass Sie alle 12 Monate ein Upgrade durchführen und den neuen Fedora installieren, sobald er herauskommt. Wenn Sie jedes Fedora-Release vor der Installation auf Ihren Servern zwei bis drei Monate lang stabilisieren lassen möchten, sollten Sie alle sechs Monate eine Neuinstallation durchführen.
theotherreceive
3
Für alles, was nicht in CentOS-Base-, CentOS-Plus- oder CentOS-Extra-Repos enthalten ist, können Sie jederzeit im EPEL-Repository nach hochwertigen RPM-Paketen suchen ... AWstats sind dort verfügbar: * epel: mirrors.tummy.com Available Packages Name: awstats Arch: noarch Version: 6.7 Release: 5.el5 Größe: 1.1 M Repo: epel Zusammenfassung: Advanced Web Statistics URL: awstats.sourceforge.net Lizenz: GPLv2
Jeremy Bouse
1
Wenn Ihr Problem mit CentOS das Verhalten von vim ist, sollten Sie einfach die vim-Konfiguration ändern. Das Installieren von 1 oder 2 Apps aus dem Quellcode und das Ändern der VIM-Konfiguration kann als Skript ausgeführt und einfach als Nachinstallationsaufgabe hinzugefügt werden, die beim Erstellen eines neuen Servers ausgeführt wird.
Sclarson
5

Keine Unterstützung.

Fedora hat keine Verträge für technischen Support wie Red Hat Enterprise. Sie können niemanden anrufen, wenn Sie ein Problem mit der Show haben.

kmarsh
quelle
1
Wir müssen für diese Verträge für technischen Support bezahlen. Es ist also eine Art Handel zwischen Kosten und Support. Außerdem macht es Fedora nicht unsicher. Es bedeutet nur, dass Sie alleine sind. Bisher hat es ohne Unterstützung gut geklappt. Ich hoffe, dass es so bleibt. Websuche, Manpages und Dokumentation helfen sehr. Jetzt haben wir Sites wie serverfault zur Hilfe. Wenn man es sich leisten kann, gibt es möglicherweise ein Gefühl der Sicherheit bei Enterprise-Editionen, bei denen wir bei Problemen um Hilfe bitten können.
Saurabh Barjatiya
5

Mein größtes Argument wäre:

Server sind nicht die primäre Zielgruppe

Ebenso würde ich Ubuntu nicht für eine Serverumgebung empfehlen, und viele würden mir nicht zustimmen, aber das ist einfach nicht das primäre Ziel.

Software für Privatanwender und Desktops fehlt in den Abteilungen, die sich an Servern orientieren, in der Regel, genau wie Dinge, die sich an den Server richten, für Privatanwender nicht so gut funktionieren.

Außerdem ziehen Plattformen für Privatanwender in der Regel mehr Privatanwender an. Daher werden die entdeckten, gemeldeten und behobenen Fehler aufgrund dieses Effekts priorisiert.

Ebenso werden Plattformen, die auf die Servernutzung abzielen, tendenziell die Servernutzung anlocken, und daher ist es wahrscheinlicher, dass Fehler im Zusammenhang mit der Servernutzung gefunden und behoben werden, wenn Sie sie erreichen.

(Ich habe mindestens einen Freund, der professionelle Erfahrung mit Ubuntu in Produktionsumgebungen hat und sagt, er sei völlig entsetzt darüber und würde CentOS für Produktionsserver vorziehen, weil.)

seLinux

Fedora wird mit vorinstalliertem und gut konfiguriertem seLinux ausgeliefert.

Es ist wichtig zu beachten, dass seLinux keine Sicherheit impliziert.

Von der eigenen seLinux-Website der NSA :

Security-enhanced Linux soll nur verbindliche Kontrollen in einem modernen Betriebssystem wie Linux demonstrieren und es ist daher sehr unwahrscheinlich, dass es von sich aus einer interessanten Definition von sicherem System entspricht.

Kent Fredric
quelle
Alle Distributionen verwenden ähnliche Server wie Apache, Open-SSH, vsftpd, Sendmail, Postfix usw. Wenn Fehler entdeckt und behoben werden, wirkt sich dies auf alle Distributionen aus. Wir werden keinen sehr guten stabilen Apache für eine Distribution und einen fehlerhaften Apache für andere haben. Dies setzt voraus, dass Apache-Entwickler Apache entwickeln und verbessern und Distributionen dasselbe verwenden, mit geringfügigen Änderungen im Pfad usw.
Saurabh Barjatiya
IN ORDNUNG. Möglicherweise trägt seLinux nicht zur Sicherheit bei. Es wird es auch nicht reduzieren. Ist Fedora also so gut wie andere Distributionen?
Saurabh Barjatiya
1
Es spielt keine Rolle, wie schnell $ OS den Fix packen und an Sie senden kann. Wenn niemand diese Software auf Ihrer Plattform verwendet, ist die Wahrscheinlichkeit geringer, den Fix zu erhalten. Dies gilt umso mehr für seltsame Dinge, die Desktops niemals wie Netzwerk-Block-Geräte usw. verwenden. Außerdem haben Apache unter Fedora! = Apache unter Ubuntu herstellerspezifische Patch-Sets und sogar unterschiedliche Verzeichnislayouts.
Kent Fredric
1
Alle Distributionen verwenden dieselbe Software, jedoch nicht dieselbe Version. Fedora bietet Ihnen die neueste Version von allem, wobei neue Funktionen eingeführt und getestet werden, während andere Distributionen häufig ältere Versionen bereitstellen, die länger getestet wurden. Es ist kein Zufall, das will Fedora tun. Sie sollten diese Tatsache zumindest akzeptieren und sich darauf vorbereiten, wenn Sie
vorhaben,
Ich bin kein Systemadministrator, aber einer unserer Systemadministratoren hat SELinux für Apache einmal deaktiviert, nur weil ein PHP-Skript zum Erstellen eines Ordners erforderlich war. Dies ist fehlgeschlagen, und Red Hat erklärte: "Das Sicherheitsziel besteht darin, sicherzustellen, dass Apache HTTP nur den statischen Webinhalt liest und keine anderen Aktionen ausführt, z " Ich versuche zu sagen : Wenn man SELinux nicht versteht, kann dies die Sicherheit verringern, wenn die Benutzer es nur vollständig deaktivieren, während andere Sicherheitsmaßnahmen nicht vorhanden sind.
Arjan
3

Ich bin ein großer Fedora-Fan, ich finde es wunderbar und ich starte es auf allen meinen Desktops / Laptops, aber ich würde es auf keinem meiner Server laufen lassen.

  • Fedora ist bestrebt, näher an der "Blutungsgrenze" zu sein. Dies bedeutet, dass Sie eine neuere Software erhalten, die weniger Zeit für Tests aufgewendet hat. Da keine Veröffentlichung genau zur gleichen Zeit herauskommt, ist es schwierig, genaue Zahlen darüber zu erhalten, aber ich glaube, dass Ubuntu in Bezug auf neue Funktionen oft eine Veröffentlichung zurückliegt, während Debian / Centos / Redhat viel weiter hinten liegen.

  • Ich habe den Eindruck, dass es aus diesem Grund mehr Updates für Fedora gibt, aber ich habe auch hier keine Zahlen, die dies belegen könnten.

Was wirklich ausmacht, ist das Fehlen des LTS-Modells, das Ubuntu hat. Sie können ein ubuntu LTS einige Monate nach seiner Veröffentlichung installieren und wissen, dass es genügend Zeit hatte, um wichtige Probleme zu lösen und sich einigermaßen zu beruhigen.

Danach wissen Sie, dass Sie mindestens 4 Jahre weiteren Support und Upgrades benötigen, bevor Sie Ihren Server aktualisieren müssen. Ich könnte mit einem der anderen potenziellen Probleme beim Ausführen von fefora leben, aber nicht mit der Notwendigkeit, die Veröffentlichung auf jeder Box mindestens einmal pro Jahr (wahrscheinlich jedoch zweimal) zu verschieben.


Bearbeiten: Einige Zahlen gefunden ...

Fedora 11 wird mit OpenSh Server Version 5.2 ausgeliefert. Wenn es veröffentlicht wird, wird Ubuntu Karmic nur die Version 5.1 haben , dieselbe Version wie Debian Lenny . Die Centos-Website ist zu beschissen, um eine Version finden zu können, aber afaik sie sind auf 4.x

theotherreceive
quelle
2

Es ist nicht so, dass Fedora unsicher ist. Es wird mit hochaktuellen Paketen ausgeliefert und wird sehr schnell aktualisiert, sodass Sie jedes Jahr Upgrades durchführen müssen, um immer wieder Sicherheitsupdates zu erhalten. Das ist eine große Sache, wenn Sie eine nicht triviale Anzahl von Servern haben, insbesondere angesichts der Tatsache, dass der Fedora-Aktualisierungsprozess (iirc) Ausfallzeiten erfordert.

Cian
quelle
Wenn eine neue Sicherheitslücke entdeckt wird. Alle Distributionen wären anfällig und wir müssten Sicherheitspatches installieren. Ich habe die Ausfallzeit des Fedora-Aktualisierungsprozesses nicht verstanden. Ich aktualisiere Systeme ohne Probleme, ohne neu zu starten. Nur Kernel-Updates müssen neu gestartet werden, aber das ist verständlich.
Saurabh Barjatiya
2
Nein, hier gibt es keine Ausfallzeiten ... außer dem gelegentlichen Kernel-Upgrade. Andererseits starten wir alle Linux-Leute irgendwann die alte Box für ein Kernel-Upgrade neu, also ist es fair
Bobby
3
Der Punkt ist, dass Fedora die Distribution irgendwann als "zu alt" abbricht und Sie keine Sicherheitsupdates mehr dafür erhalten. An diesem Punkt sehen Sie entweder ein Update von Version zu Version (was ich noch nie gut gemacht habe) oder einen Neuaufbau. Wenn Sie mit vielen Computern zu tun haben, ist die Stabilität und das Wissen, dass Sicherheitsupdates für mehrere Jahre verfügbar sein werden, gut.
David Mackintosh
David sagte es viel besser als ich hier konnte.
Cian
2

Die Verwendung von Fedora auf einem Server im Vergleich zu CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES usw. hängt wirklich vom richtigen Tool ab.

Die Hauptbeschwerde von Serveradministratoren über Fedora auf dem Server ist der Aktualisierungszyklus alle 6 Monate bis zu einem Jahr (je nachdem, ob Sie immer auf dem neuesten Stand sein möchten oder jede andere Version überspringen möchten). Wie Sie bereits erwähnt haben, installiert Fedora "Secure by Default" -Konfigurationen und bietet zahlreiche Tools für die Aufrechterhaltung eines sicheren Systems. Insbesondere auf einem Server kann das Pre-Upgrade-Tool problemlos Migrationen zwischen verschiedenen Fedora-Versionen durchführen, wodurch dieses Problem etwas gemildert wird.

Wenn Sie einen längeren Release-Zyklus wünschen, kann CentOS (im Wesentlichen die kostenlose Version von Red Hat Enterprise Linux) Ihre Arbeitslast entlasten.

Zusammenfassend kann ich sagen, dass Fedora für Sie in Ordnung ist, wenn Sie damit zufrieden sind. Ich habe noch nie Anzeichen dafür gesehen, dass Debian, Ubuntu oder CentOS besonders sicher sind als Fedora.

Ophidian
quelle
1

Jedes Betriebssystem kann sicher gemacht werden. Zwei Punkte zu Fedora als Server. Zum einen besteht bei jedem Upgrade einer Softwareversion das Risiko, dass neue Fehler und Sicherheitsprobleme auftreten, die in der vorherigen Version nicht vorhanden sind. Aus diesem Grund sollten Unternehmen ein Jahr warten, nachdem die Software veröffentlicht wurde, bevor sie installiert wird, damit viele Fehler und Sicherheitsprobleme behoben werden können. Sie möchten nicht jedes Mal auf eine neue Version wechseln, wenn Migrationsprobleme und neue Sicherheitsprobleme auftreten. Zweitens hat Fedora nicht die Fähigkeit, Unternehmensunterstützung wie RedHat oder Ubuntu zu erhalten.

Jared
quelle
1
Es kann auch als Problem angesehen werden. Wenn wir nicht die neuesten Versionen verwenden, sind wir bekannten Exploits ausgesetzt. Aus DNS und BIND, das ich gestern gelesen habe, wie es ist: "Abonnieren Sie einen der Beratungsdienste von SANS (www.sans.org) oder CERT (www.cert.org) sowie vielen anderen. Je nach Schweregrad der Warnung kann ein sofortiges Upgrade erforderlich sein, gefolgt von einem schnellen Test, bevor ein schneller systemweiter Austausch durchgeführt wird. In diesem Fall ist es besser, ein neues Problem als einen bekannten Exploit zu riskieren. "
Saurabh Barjatiya
1
Wenn Sie ein Serverbetriebssystem haben, das von einem großen Unternehmen unterstützt wird, werden alle erforderlichen Sicherheitskorrekturen zurückportiert, wenn die betroffene Version der Software noch Teil einer Version des Betriebssystems ist, für das Support angeboten wird.
Jared
1

Wir benutzen RHEL bei der Arbeit. Wenn Sie alle 6 oder 12 Monate ein Upgrade von 7k-Servern durchführen müssten, wären wir nie weiter. Wir bekommen noch Win2k3 Server bis 2008.

Fedora-Releases sind zu häufig, als dass ein Unternehmen mit vielen Servern auf dem neuesten Stand bleiben könnte. Für ein kleines Unternehmen ist Fedora wahrscheinlich in Ordnung. Andererseits bräuchten Sie einen Linux-Administrator vor Ort und die meisten können sich keinen leisten, um viele Probleme zu beheben. Hier hat RHEL also einen Vorteil - bezahlte Unterstützung.

Ich habe Debian zu Hause benutzt. Ich habe gerade ein Upgrade von 7 auf 8 durchgeführt und es lief sehr reibungslos. Ubuntu hat auch einen Server, aber Ubuntu entspricht Fedora. Es dauert lange, bis Debian neue Pakete herausbringt, da sie gründlich getestet werden. Der Nachteil ist, dass Sie möglicherweise nicht über den neuesten Apache oder MySQL oder eine andere Anwendung verfügen, die die gewünschten Funktionen bietet. Natürlich können Sie es separat herunterladen, aber es hat nicht den Zweck, ein "stabiles und sicheres" Betriebssystem zu haben.

user1052448
quelle
Selbst ich würde Fedora nicht für alles verwenden . Es gibt jedoch einige gezielte Fälle, in denen ein schneller Aktualisierungszyklus möglicherweise sinnvoller ist. Zum Beispiel bestimmte Webanwendungen.
Michael Hampton
0

Außerdem werden Features / Funktionen möglicherweise angezeigt und in der nächsten Version angekündigt. Dies ist für einen Server [im Allgemeinen] nicht hilfreich , da Sie Zuverlässigkeit wünschen. OTOH, wenn Sie beispielsweise F11 installieren und 2-4 Jahre dabei bleiben, wie Sie es mit CentOS 5 oder Ubuntu LTS getan haben, gibt es keinen wirklichen Unterschied. Es geht um Komfortstufen.

Labyrinth
quelle
-2

Warte was? Soweit ich weiß, läuft Wikipedia auf Fedora. Nicht bei RedHat - bei Fedora. Es ist also wirklich kein Problem mit Fedora als WebServer :)

Nidrax
quelle
Ich denke nicht: [me @ risby ~] $ telnet de.wikipedia.org 22 [...] SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.1
MadHatter unterstützt Monica
Wikimedia Foundation verwendete Fedora, wechselte jedoch 2008 zu Ubuntu .
Michael Hampton
-3

Normalerweise möchte ein Systemadministrator von einer serverorientierten Distribution Folgendes:

  1. Keine hochaktuelle Software, selbst in der neuesten Version
  2. Die gesamte Software, die Sie benötigen, sollte in den offiziellen Repositories verfügbar sein: In einer Produktionsumgebung ist es manchmal nicht zulässig, Pakete zu verwenden, die von zufälligen nicht vertrauenswürdigen Websites stammen oder, noch schlimmer, lokal kompiliert wurden.
  3. Zentralisierte und zeitnahe Sicherheitsupdates von den offiziellen Repos
  4. Skripte und Richtlinien für die Paketinstallation (von der Distribution bereitgestellt), die ein reibungsloses Upgrade gewährleisten (dh Aktualisierung des Inhalts einer Konfigurationsdatei, wenn ein Dämon auf eine neue Version aktualisiert wird)
  5. Optional Unternehmensunterstützung

Fedora versagt in diesen Punkten, afaik

CentOS schlägt am 2,3,4,5 fehl

Debian schlägt am 5. fehl

Ubuntu schlägt am 1. fehl

Deine Entscheidung :)

Federico
quelle
7
Ich würde diese Liste untersuchen, bevor ich etwas in dieser Größenordnung poste. Ein Neuling könnte Ihre Meinung für eine Tatsache halten. Ich kann mich nicht mehr an Fedora oder CentOS erinnern, die "nicht vertrauenswürdige" Repositorys verwenden als Ubuntu. Ich erinnere mich an meine letzten "zentralisierten und zeitnahen" Sicherheitsupdates vor ungefähr 4 Tagen von Fedora. Haben Sie meine Paketinstallationsskripte gesehen? Sie sind nobel ! Bitte beachte, wenn du das nächste Mal eine Meinung oder einen Sachverhalt angibst, um dies für den Rest von uns zu klären. Wenn Sie die Liste wirklich auf den Kopf stellen wollten, hätten Sie einfach FreeBSD sagen und sie alle aus dem Wasser jagen können, abzüglich der Unternehmensunterstützung.
Bobby
3
IMHO CentOS schlägt nur auf 5 fehl. Es besteht ein Risiko für 3, aber meiner Erfahrung nach sind sie recht aktuell.
Mark
1
Wenn Sie in Ihren Vorschlägen wilde Behauptungen über die verschiedenen Distributionen aufstellen wollen, sollten Sie sie wirklich ein bisschen mehr mit Fakten untermauern. Abgesehen von dem Mangel an Unternehmensunterstützung (von dem Sie sicher sind, dass Sie Berater finden, die dazu bereit sind), stimme ich Ihrer Einschätzung nicht zu, dass Fedora den Rest nicht besteht.
Ophidian
1
Was auch immer von "nicht vertrauenswürdig" ist, ich fand, dass die Centos-Repos das letzte (einzige) Mal, als ich sie ausführte, ziemlich fehlten, und musste sie mit mehreren Repos von Drittanbietern ergänzen. Ich habe nicht festgestellt, dass dies bei Fedora der Fall ist. Das einzige Repo von Drittanbietern, das ich in Fedora verwendet habe, ist rpmfusion für Dinge wie unfreie Medien und Grafikpakete, für die ich auf meinen Servern keinen großen Bedarf sehe.
theotherreceive
3
Ich würde Sie nur für die 1,2,3,4,5 Punkte stimmen. Aber die Behauptungen, welche Distribution in welcher Anzahl versagt, sind einfach falsch.
Milan Babuškov