Apa masalah dengan menggunakan Fedora untuk server?

17

Saya sering menggunakan Fedora untuk hosting server. Saya tidak pernah menghadapi masalah. Masih semua pengguna baru datang dan memberi tahu Fedora tidak aman. Kita harus menggunakan Ubuntu / CentOS atau distribusi lain tetapi tidak untuk Fedora. Saya tidak pernah mengerti apa masalahnya dengan Fedora. Apa yang membuat distribusi lain lebih aman.

Beberapa poin: 1. Fedora dilengkapi dengan iptables yang dikonfigurasi untuk memungkinkan hanya SSH. Plus, kita selalu dapat mengkonfigurasi iptables bahkan untuk memblokir SSH jika kita mau. Jadi tidak ada kekurangan pada firewall.

  1. Fedora merilis pembaruan secara berkala (baik keamanan dan tambalan umum).

  2. Orang mengatakan distro X merilis versi baru sekali dalam 5 tahun dan Fedora sekali dalam 6 bulan. Bagaimana melepaskannya sekali dalam 5 tahun membuat semuanya aman. JIKA Anda merasa hal-hal berusia 5 tahun aman menginstal OS lima tahun atau jangan meng-upgrade selama 5 tahun bahkan jika versi baru datang. Secara pribadi saya merasa tidak memberikan versi baru selama 5 tahun tidak menambah keamanan. Anda harus melepaskan tambalan selama 5 tahun ketika bug terdeteksi. Jadi menggunakan OS yang sangat lama hanya berarti lebih banyak tambalan. Jika kita menggunakan versi yang baru dirilis maka kita harus menerapkan lebih sedikit pembaruan / tambalan. Bagaimana melepaskan sekali dalam 5 tahun membuat hal-hal aman saya tidak pernah mengerti.

  3. Semua OS menggunakan paket serupa seperti Gnome, Open-Office, KDE, Open-SSH, Apache. Apakah pengembang distribusi lain menghabiskan waktu membaca kode sumber dari paket-paket ini dan memperbaiki kesalahan keamanan, jika ada? Bahkan jika mereka tidak mau, mereka menerbitkan kekurangan itu dan semua distribusi lainnya akan merilis patch untuk itu termasuk Fedora. Atau apakah mereka akan mengamankan distribusi mereka sendiri dan tidak repot-repot memberi tahu orang lain. Ini semua dengan asumsi mereka membaca semua jutaan baris kode paket sebesar apache, gcc, Open-Office. Jika hal ini sama di setiap distribusi, apa yang membuat Fedora lebih rentan.

  4. Fedora hadir dengan seLinux yang sudah diinstal dan terkonfigurasi dengan baik.

  5. Bind berjalan di chroot secara default di fedora. Sekarang dengan dukungan Fedora 11 DNSSEC juga hadir secara default. Lihat pertanyaan DNS Server pada Fedora 11 di mana seseorang menunjuk Fedora tidak bagus untuk hosting DNS. Saya tidak tahu kenapa.

Bahkan salah satu admin baru menginstal Cent-OS 5.3 pada salah satu mesin uji. Saya menggunakannya untuk melakukan ping satu IP yang tidak ada. Saya mendapat balasan ping. Saya heran karena itu tidak mungkin. Saya mencoba mencari tahu lokasi dari mana balasan datang tetapi gagal. Akhirnya setelah mencoba selama lebih dari satu jam, saya melepaskan kabel jaringan dari mesin CentOS. Saya masih bisa melakukan ping IP. Kemudian saya mencoba untuk melakukan ping alamat IP mesin. Saya juga bisa melakukan ping itu. Jadi saya bisa melakukan ping dua IP (bukan yang lain, saya mencobanya juga) ketika mesin dikonfigurasi dengan satu IP dan tidak ada alias (eth0: 1, dll) hadir. Saya memeriksa keluaran ifconfig juga. Saya kehilangan kepercayaan penuh pada apa yang disebut distribusi server dan menginstal Fedora 11 pada semua mesin uji. Sekarang saya tidak menghadapi masalah aneh seperti untuk hal-hal mendasar seperti ping.

Saya akan sangat menghargai jika saya bisa mendapatkan contoh kehidupan nyata yang menunjukkan Fedora tidak aman dan jika dalam kasus itu ada distribusi lain hal-hal akan baik-baik saja. Jangan beri contoh tadi admin melakukan kesalahan. Kami tidak dapat menyalahkan distribusi untuk itu. Juga jangan berikan contoh Fedora 1, 2 atau Fedora 3 yang sangat lama. Proyek Fedora sangat matang sekarang terutama dua versi terakhir 10, 11. Jika Anda telah menghadapi masalah keamanan yang khusus hanya untuk mereka, silakan berbagi pengalaman Anda.

fedora linux Saurabh Barjatiya
sumber
Saya mengalami kesulitan mengikuti diskusi ping. Dari mana Anda melakukan ping? IP spesifik apa yang Anda ping? Anda harus dapat melakukan ping ke host dari konsolnya. Jika Anda bisa melakukan ping host dari tempat lain dengan kabel jaringan terlepas, masalahnya BUKAN host terpisah.
kmarsh
Saya dapat melakukan ping dua IP berbeda dari host ketika host tidak terhubung ke jaringan. Saya mencoba menggunakan Crtl + C dan mulai ping lagi saya masih bisa melakukan ping dari host yang tidak terhubung ke jaringan apa pun ke dua IP yang berbeda. Saya mencoba melakukan ping kedua IP secara paralel di dua terminal yang berbeda dan saya dapat melakukan ping kedua IP. Tetapi itu hanya bekerja untuk dua IP. Saya mencoba beberapa IP lain tetapi mereka tidak melakukan ping seperti yang diharapkan. Tidak ada konfigurasi firewall aneh pada host yang bisa menyebabkan ini.
Saurabh Barjatiya

Jawaban:

12

Tidak ada yang menyatakan bahwa Fedora tidak cocok untuk digunakan di server, juga tidak ada yang menyatakan bahwa "distro server" adalah satu-satunya pilihan untuk server. Itu tergantung pada kebutuhan khusus Anda .

Apa yang dapat Anda peroleh dari menggunakan "distro server" adalah:

  • Dukungan Jangka Panjang
  • stable API's (sedikit atau tidak ada versi-upgrade dari perpustakaan dan aplikasi)
  • perbaikan keamanan dan perbaikan bug yang di-backport
  • dukungan berbayar

"Keluhan" utama saya untuk server-distro adalah bahwa perangkat lunak / perpustakaan cenderung agak lama, dan berbagai paket yang didukung jauh lebih kecil daripada upaya yang digerakkan masyarakat.

Yaitu dukungan jangka panjang dan API yang tidak berubah adalah sesuatu yang disukai vendor perangkat lunak komersial, mereka tidak perlu membangun kembali aplikasi mereka untuk perpustakaan terbaru karena API tiba-tiba berubah. Mereka dapat mengembangkan untuk Vendor Y Release X dan tahu bahwa platform ini akan ada untuk beberapa tahun mendatang.

Kjetil Joergensen
sumber
Saya menyadari bahwa jawaban saya mungkin agak "di luar topik" sehubungan dengan konten aktual dari pertanyaan Anda, jadi lihatlah itu sebagai jawaban atas judul / topik pertanyaan Anda. Bagaimanapun, mendiskusikan manfaat keamanan dari berbagai distro tidak ada batasnya, mereka semua memberikan keamanan yang cukup memadai, dan Anda mungkin akan dapat "mengeraskan" jalan keluar dari perasaan tidak aman vendor yang dirasakan. Jika keamanan adalah perhatian utama Anda, saya sarankan melihat sesuatu seperti OpenBSD yang memiliki keamanan sebagai fokus utama mereka.
Kjetil Joergensen
14

Saya pikir saya tidak punya apa-apa untuk ditambahkan ke ini, tetapi setelah menjalankan Fedora dalam produksi selama hampir dua tahun - untuk sistem pemantauan Zabbix saya yang sangat penting! - sepertinya saya punya beberapa hal untuk dikatakan.

Pertama, itu bukan pilihan pertama saya. Biasanya untuk apa pun yang bahkan sangat penting, saya akan memilih CentOS / RHEL untuk manfaat stabilitas jangka panjang yang disediakan oleh distribusi ini. Namun, untuk penyebaran khusus ini saya benar-benar membutuhkan fitur di Zabbix 2.0, sementara repo EPEL hanya menyediakan 1,8. (EPEL sekarang memiliki paket Zabbix 2.0 dan 2.2 selain 1.8, meskipun tidak pada saat itu. Jika sudah, saya tidak akan pernah mencoba ini.)

Jadi pengorbanannya di sini adalah: Fedora memiliki perangkat lunak terbaru, tetapi rilisnya berada pada siklus hidup 13 bulan yang sangat singkat, dengan rilis baru dibuat setiap enam bulan. Ini berarti saya harus merencanakan jendela pemeliharaan untuk memutakhirkan Fedora dua kali setahun, selain pemasangan pembaruan berkala yang biasa.

Untuk sistem pemantauan yang seharusnya melacak semua hal lain , sangat penting bahwa periode pemeliharaan seperti itu jarang dan sesingkat mungkin. Dengan keharusan untuk meningkatkan begitu sering, ini biasanya akan mengesampingkan distribusi seperti itu, tetapi ingat bahwa saya memiliki masalah yang lebih mendesak; itu akan sia-sia tanpa fitur yang saya butuhkan. Jadi ini adalah tradeoff yang saya buat dengan (hampir) pengetahuan penuh tentang konsekuensinya.

Belum lama ini, saya melakukan pemutakhiran Fedora 18-19 di server ini, menggunakan alat peningkatan fedup baru Fedora. Saya berencana untuk pemadaman dua jam, dengan dua jam lagi untuk kemungkinan berurusan dengan layanan yang dipantau yang mungkin telah mati dan fakta itu hilang sejak Zabbix turun.

Waktu henti layanan yang sebenarnya adalah 11 menit. Itu sejak Zabbix berhenti sebelum reboot ke waktu itu dicadangkan dan memantau layanan setelah upgrade selesai. Saya tidak menyadari bahwa downtime akan sangat singkat! Saya mengharapkan lebih banyak masalah , meskipun saya tahu dari pengalaman bahwa masalah peningkatan yang signifikan jarang terjadi pada Fedora. (Dan itu telah ditingkatkan lebih lanjut: Ketika saya melakukan upgrade Fedora 19-20, downtime total adalah enam menit yang luar biasa . Waktu yang sama untuk 20-21.)

Layanan ini hampir pasti akan dipindahkan ke RHEL 7 saat tersedia. Setelah pengalaman ini, saya jauh lebih percaya diri dalam Fedora sebagai server dan sekarang berniat untuk menyimpannya, bahkan dengan peningkatan besar setiap enam bulan. Pindah ke RHEL akan jauh lebih mengganggu, dan mungkin membatasi saya di masa depan, karena hal berikut:

Sangat disayangkan bahwa Red Hat memiliki waktu yang lama antara rilis utama; penundaan serupa antara EL5 dan EL6 membuat saya benar-benar menempatkan instalasi Ubuntu ke dalam produksi, sesuatu yang saya masih menendang sendiri sampai hari ini. (Untuk sistem itu, saya mempertimbangkan Fedora, tetapi anehnya itu tidak memiliki perangkat lunak yang saya butuhkan untuk dikemas sama sekali pada saat itu, meskipun versi yang lebih lama ada di EPEL.)

Satu "masalah" tidak ada yang disebutkan tentang menjalankan Fedora adalah bahwa Anda akan melihat banyak hal baru, baik proyek perangkat lunak besar dan peningkatan kecil, jauh sebelum dimasukkan dalam RHEL. Jadi ketika Anda pergi untuk mengelola sistem RHEL / CentOS Anda, Anda akan kehilangan mereka. Misalnya, Fedora memiliki banyak penyelesaian bash yang belum ada di RHEL secara default; satu yang penting adalah penyelesaian tab untuk nama paket di yumbaris perintah.

Jadi, tentu saja mungkin untuk menggunakan Fedora dalam produksi, selama Anda dapat menerima pengorbanan:

  • Tidak ada kontrak dukungan. Anda harus memiliki keahlian internal yang memadai untuk mengelola server dan layanannya dan menangani masalah apa pun yang mungkin timbul; hanya dukungan komunitas yang tersedia, dan tidak ada jaminan di sana. Pengalaman RHEL membantu, karena sangat mirip.
  • Anda harus memiliki jendela pemeliharaan untuk memperbarui setidaknya setiap tahun . Padahal setiap enam bulan lebih baik; jika Anda memutakhirkan setiap tahun, Anda harus memutakhirkan dua rilis sekaligus, yang menggandakan jumlah masalah potensial yang harus Anda atasi pukul 3 pagi.
  • Pembaruan dapat membawa versi perangkat lunak baru, yang harus Anda tangani; namun ini akan menjadi rilis titik dan bukan versi utama. Dalam kasus yang jarang terjadi, fungsionalitas baru yang signifikan mungkin ditambahkan (misalnya BZ # 319901 ). Namun, biasanya, perangkat lunak tetap pada nomor versi yang sama sepanjang masa rilis, dengan perbaikan yang di-backport; hanya beberapa paket (seperti PHP) yang melacak rilis titik upstream.
  • Meskipun tidak ada perbedaan signifikan dalam kecepatan pembaruan keamanan, mereka mungkin tidak selalu terisolasi dari pembaruan bugfix (sekali lagi, seperti PHP). Apakah ini masalah tergantung pada layanan yang Anda rencanakan untuk dijalankan.

Semua hal dipertimbangkan, Fedora masih bukan pilihan pertama saya untuk platform server, dan mungkin tidak akan pernah. (Meskipun saya telah menjadi pengguna desktop Fedora yang bahagia untuk seluruh keberadaannya.) Dalam kasus di mana Anda benar-benar membutuhkan lebih banyak versi perangkat lunak saat ini tidak tersedia dalam distribusi yang lebih "tegas", dan Anda dapat menerima imbalan, maka tidak ada apa-apa. salah menggunakan Fedora.

Akhirnya, karena Anda bertanya secara khusus tentang keamanan, beberapa kata tentang itu.

Seperti disebutkan sebelumnya, tidak ada perbedaan nyata dalam kecepatan pembaruan keamanan antara Fedora dan distribusi lainnya. Pembuat paket Fedora melakukan upaya khusus untuk tetap dekat dengan hulu dan mendapatkan pembaruan semacam ini secepat mungkin, kadang-kadang bahkan sebelum proyek hulu melakukannya.

Seperti kakaknya yang tegas, Fedora juga mengirim konfigurasi keamanan yang cukup dikunci: layanan (kecuali ssh) dikirimkan secara default; firewall default-deny diaktifkan secara default untuk IPv4 dan IPv6; SELinux dijalankan secara default. Selain itu, Fedora dikeraskan dengan sejumlah cara lain .

Di sisi lain, Anda dapat melihat teknologi keamanan baru sangat awal; salah satu contohnya adalah pengenalan FirewallD baru-baru ini , yang masih belum cukup siap untuk prime time, meskipun beralih kembali ke firewall sebelumnya mudah .

Michael Hampton
sumber
13

Ini lebih tentang stabilitas dan tingkat perubahan daripada keamanan, per se. Fedora adalah platform bagi Red Hat untuk meluncurkan fitur dan aplikasi baru untuk memvalidasi relevansinya, menyediakan platform untuk bereksperimen, dan menyelesaikan masalah integrasi.

Itu biasanya bukan apa yang Anda inginkan dari server - Anda biasanya ingin server melakukan fungsi dengan cara yang paling stabil.

Tergantung pada apa yang Anda lakukan, Fedora mungkin baik-baik saja. Jika Anda mengembangkan aplikasi desktop Linux, bekerja dengan tepi pendarahan mungkin diinginkan. Demikian juga, jika Anda mengerjakan proyek sekolah selama satu semester atau proyek berdurasi terbatas lainnya di mana tempo perubahan yang tinggi tidak menjadi masalah, Fedora juga baik-baik saja.

duffbeer703
sumber
1
Jika beberapa server Fedora berfungsi dengan baik dan saya tidak memutakhirkannya, meskipun versi Fedora baru dirilis. Apakah ini akan membuat Fedora stabil juga? Lagi pula itu tidak wajib untuk meng-upgrade ke versi rilis OS terbaru dan jika saya tidak meng-upgrade hal-hal akan terus berfungsi tanpa masalah. Jadi kita dapat menggunakan Fedora untuk server, jika kita tidak mencoba untuk terus meningkatkan ke versi Fedora terbaru. Apa kamu setuju?
Saurabh Barjatiya
Tetapi bagaimana dengan pembaruan keamanan? Anda akan melakukannya, bukan?
Josh Brower
Ya, tapi saya tidak pernah menghadapi masalah setelah pembaruan paket. Pembaruan keamanan tidak pernah memengaruhi kerja server untuk saya. File konfigurasi lama tidak diganti sehingga semuanya berfungsi dengan baik bahkan setelah pembaruan tanpa masalah.
Saurabh Barjatiya
1
Itu tergantung pada apa yang Anda lakukan. Sebagai contoh: Jika Anda menjalankan aplikasi misi kritis yang menggunakan database; Anda mungkin tidak ingin terus memperbarui versi utama basis data Anda dan berisiko tidak kompatibel dengan kode aplikasi Anda.
Guy C
Tidak berbicara tentang aplikasi penting misi di sini. Itu akan membutuhkan terlalu banyak keamanan dan pengetahuan. Rata-rata server di mana jika karena alasan malang ada downtime, tidak ada terlalu banyak kerugian. Khususnya tidak ada kehilangan nyawa / tujuan lengkap server.
Saurabh Barjatiya
7

The titik kunci yang membuat saya menggunakan Fedora untuk server dan lebih memilih Debian, Ubuntu atau CentOS bukan adalah stabilitas dan panjang dukungan . Ketika Anda menjalankan server Anda ingin stabilitas, keamanan dan umur panjang. Ya, hampir setiap distro mengemas perangkat lunak yang sama sehingga tidak masalah di sana. Ini masalah apa yang diuji, memiliki pembaruan keamanan dan didukung.

Jadwal rilis Fedora setiap 6 bulan adalah baik jika Anda ingin pendarahan tetapi ketika berbicara tentang server pendarahan tidak selalu merupakan hal yang baik. Tambahkan juga fakta bahwa Fedora hanya mendukung tiga versi terakhir yang berarti Anda melihat OS yang tidak didukung dalam 18 bulan dan harus memutakhirkan. Jika Anda pernah melakukan pemutakhiran Fedora mereka biasanya buruk dan lebih mudah untuk melakukan instalasi bersih yang pada desktop / laptop mungkin tidak begitu buruk tetapi untuk server yang berarti downtime dan tidak dapat diterima oleh sebagian besar administrator sistem.

CentOS sejauh ini memiliki siklus dukungan terpanjang dan selama itu didukung dan patch keamanan dan pembaruan dirilis sehingga itu bukan rilis yang sama sepanjang waktu. Keuntungan dari hal ini adalah Anda tidak menghabiskan seluruh waktu untuk mempersiapkan peningkatan selanjutnya. Anda memiliki server yang stabil dengan perangkat lunak yang teruji stabil yang menjalankannya.

Debian memiliki jadwal rilis yang lebih panjang dari Fedora tetapi lebih pendek dari CentOS tetapi selalu siap dengan pembaruan keamanan. Keuntungan lain dari Debian adalah jalur peningkatan yang bersih. Rilis Debian diuji untuk pemasangan yang bersih dan peningkatan langsung dan tidak benar-benar dirilis sampai dapat dilakukan dengan sukses tanpa masalah. Perhatian terhadap detail dan kemauan untuk mendorong tanggal rilis untuk menghapus lebih banyak paket bug adalah salah satu kelebihannya. Struktur paket DEB itu sendiri juga dirancang untuk membuat peningkatan sangat lancar dan menjaga konfigurasi Anda. Satu-satunya hal yang kurang benar-benar adalah dukungan komersial, dalam hal ini Anda dapat melihat ke Ubuntu yang mengambil paket-paket itu dari Debian seperti CentOS mengambil banyak kemasan itu dari RHEL.

Sunting: Menambahkan teks tebal untuk menarik perhatian pada fakta yang jelas terlewatkan bahwa saya tidak menganggap Fedora cukup stabil untuk platform server.

Jeremy Bouse
sumber
Saya harus setuju dengan Anda pada poin 18 bulan dan hanya tiga versi terakhir yang didukung. Saya juga selalu melakukan instalasi bersih dan tidak pernah ditingkatkan sehingga tidak ada pengalaman upgrade juga. Tapi saya mengelola beberapa Server CentOS. Saya benci menggunakan vim di CentOS dan ketika saya menekan Tab itu mencoba beberapa autocomplete yang menjengkelkan. Juga ketika saya harus menginstal alat seperti awstats / denyhosts saya tidak dapat menemukannya di repositori default CentOS. Saya harus menginstalnya berdasarkan sumber. Sebenarnya saya telah mencoba rpm awstats yang saya dapatkan dari situs webnya dan gagal berfungsi. Jadi saya harus menginstalnya berdasarkan sumber.
Saurabh Barjatiya
Jadi fedora menyelamatkan dari masalah dalam kasus ini karena awstats datang dengan paket-paket standar dan denyhosts dapat diinstal menggunakan yum tanpa masalah dengan repo default. Untungnya dalam kasus penggunaan saya menginstal ulang 18 bulan tidak terbukti banyak masalah. Infact membantu membersihkan garis konfigurasi yang tidak lagi diperlukan. Tapi saya kira untuk server situs web besar / terkenal, server ISP, dll. 18 bulan terlalu cepat. Terima kasih balasannya.
Saurabh Barjatiya
Bahkan belum 18 bulan. Dukungan untuk rilis n umumnya dihentikan satu bulan setelah n + 2 dirilis. Jadi, Anda harus memutakhirkan setiap 12 bulan, dan itu mulai menginstal fedora baru segera setelah keluar. Jika Anda ingin membiarkan setiap rilis fedora untuk ditusuk selama 2/3 bulan sebelum menginstal pada server Anda, maka Anda sedang mencari instal ulang setiap 6 bulan.
theotherreceive
3
Untuk apa pun yang tidak ada dalam CentOS-Base, CentOS-Plus atau CentOS-Extra repo Anda selalu dapat melihat repositori EPEL untuk paket RPM teruji berkualitas tinggi ... AWstats tersedia di sana: * epel: mirrors.tummy.com Paket yang Tersedia Nama: awstats Arch: noarch Versi: 6.7 Rilis: 5.el5 Ukuran: 1.1 M Repo: epel Summary: Advanced Web Statistics URL: awstats.sourceforge.net Lisensi: GPLv2
Jeremy Bouse
1
Jika masalah Anda dengan CentOS adalah cara vim berperilaku, saya sarankan Anda memodifikasi konfigurasi vim. Menginstal 1 atau 2 aplikasi dari sumber dan memodifikasi konfigurasi vim Anda dapat dituliskan dan hanya ditambahkan sebagai tugas pasca pemasangan untuk dijalankan saat membuat server baru.
sclarson
5

Tidak ada dukungan

Fedora tidak memiliki kontrak dukungan teknis seperti perusahaan Red Hat. Tidak ada orang untuk dihubungi jika Anda memiliki masalah show-stopping.

kmarsh
sumber
1
Kita harus membayar kontrak dukungan teknis itu. Jadi ini adalah jenis perdagangan antara biaya dan dukungan. Plus itu tidak membuat Fedora tidak aman. Itu berarti Anda sendirian. Sejauh ini semuanya berjalan baik tanpa dukungan. Saya berharap itu akan tetap sama. Pencarian web, halaman manual dan dokumentasi sangat membantu. Sekarang kami memiliki situs seperti serverfault untuk bantuan. Tentu saja, jika seseorang mampu maka mungkin ada rasa aman dengan edisi perusahaan yang dapat kita panggil bantuan jika terjadi masalah.
Saurabh Barjatiya
5

Argumen terbesar saya adalah:

Server bukanlah audiens yang dituju utamanya

Demikian juga, saya tidak akan merekomendasikan menggunakan Ubuntu untuk lingkungan server, dan banyak yang akan tidak setuju dengan saya, tapi itu bukan target utama.

Perangkat lunak yang ditargetkan pada pengguna rumahan dan desktop cenderung kurang di departemen yang berorientasi server, seperti hal-hal yang ditargetkan pada server tidak berfungsi dengan baik untuk pengguna rumahan.

Selain itu, platform yang ditargetkan untuk pengguna rumahan cenderung menarik lebih banyak pengguna rumahan, sehingga bug yang ditemukan, dilaporkan, dan diperbaiki, akan diprioritaskan karena efek itu.

Demikian juga, platform yang ditargetkan pada penggunaan server akan cenderung menarik penggunaan server, dan dengan demikian bug yang terkait dengan penggunaan server akan lebih mungkin telah ditemukan dan dipecahkan pada saat Anda mendapatkannya.

(Saya memiliki setidaknya satu teman yang memiliki pengalaman profesional dengan Ubuntu di lingkungan produksi dan mengatakan dia sepenuhnya ngeri karenanya, dan lebih suka CentOS karena server produksi.)

seLinux

Fedora hadir dengan seLinux yang sudah diinstal dan terkonfigurasi dengan baik.

Penting untuk dicatat bahwa seLinux tidak menyiratkan keamanan.

Dari situs seLinux milik NSA sendiri :

Linux yang disempurnakan dengan keamanan hanya dimaksudkan untuk menunjukkan kendali wajib dalam sistem operasi modern seperti Linux dan karenanya sangat tidak mungkin untuk memenuhi definisi menarik tentang sistem keamanan.

Kent Fredric
sumber
Semua distribusi akan menggunakan server yang sama seperti apache, open-SSH, vsftpd, sendmail, postfix, dll. Jika bug ditemukan dan diperbaiki itu akan mempengaruhi semua distribusi. Kami tidak memiliki apache stabil yang sangat baik untuk satu distribusi dan apache buggy untuk yang lain. Ini dengan asumsi pengembang apache mengembangkan dan meningkatkan apache dan distribusi hanya menggunakan hal yang sama dengan perubahan kecil di jalur, dll.
Saurabh Barjatiya
BAIK. Mungkin seLinux tidak menambah keamanan. Itu juga tidak akan menguranginya. Jadi, apakah Fedora sebagus distribusi lainnya?
Saurabh Barjatiya
1
Tidak masalah dengan masing-masing perangkat lunak, yang penting adalah seberapa cepat $ OS dapat mengemas perbaikan dan memberikannya kepada Anda, dan jika tidak ada yang menggunakan perangkat lunak itu pada platform Anda, kemungkinan untuk mendapatkan perbaikannya kurang. Ini lebih dari itu untuk hal-hal aneh yang tidak pernah digunakan oleh desktop seperti perangkat blok jaringan dll. Juga, apache pada fedora! = Apache di ubuntu, keduanya memiliki set tambalan khusus vendor, dan bahkan memiliki tata letak direktori yang berbeda!
Kent Fredric
1
Semua distribusi menggunakan perangkat lunak yang sama, tetapi tidak pada versi yang sama. Fedora akan memberi Anda versi terbaru dari semuanya, di mana fitur baru sedang diperkenalkan dan diuji sementara distribusi lain sering memberi Anda versi yang lebih lama yang telah diuji lebih lama. Ini bukan kecelakaan, fedora bertujuan untuk melakukan ini. Anda setidaknya harus menerima dan bersiap untuk menghadapi kenyataan itu jika Anda berencana untuk menjalankannya dalam produksi
theotherreceive
Saya bukan sysadmin, tetapi salah satu sysadmin kami pernah menonaktifkan SELinux untuk Apache hanya karena beberapa skrip PHP diperlukan untuk membuat folder. Ini gagal, dan Red Hat menyatakan: "Tujuan keamanan adalah untuk memastikan bahwa Apache HTTP hanya membaca konten Web statis, dan tidak melakukan hal lain seperti menulis ke konten, menghubungkan ke soket basis data, membaca direktori home pengguna, dll. " Apa yang ingin saya katakan adalah: jika seseorang tidak memahami SELinux, maka itu mungkin sebenarnya mengurangi keamanan jika orang hanya menonaktifkannya sama sekali, sementara langkah-langkah keamanan lainnya tidak ada?
Arjan
3

Saya penggemar berat fedora, saya pikir ini luar biasa, dan saya menjalankannya di semua desktop / laptop saya, tetapi saya tidak akan menjalankannya di server saya.

  • Fedora bertujuan untuk lebih dekat ke 'sisi pendarahan'. Ini berarti Anda akan mendapatkan perangkat lunak yang lebih baru yang menghabiskan lebih sedikit waktu untuk diuji. Karena tidak ada rilis yang keluar pada saat yang sama, sulit untuk mendapatkan angka yang pasti tentang hal ini, tetapi saya merasa bahwa ubuntu sering satu rilis di belakang pada fitur baru, sementara debian / centos / redhat jauh lebih jauh di belakang.

  • Ini kesan saya bahwa karena ini ada lebih banyak pembaruan pada fedora, tapi sekali lagi saya tidak punya nomor untuk mendukung ini.

Apa yang benar-benar mengayunkannya meskipun kurangnya model LTS yang dimiliki ubuntu. Anda dapat menginstal LTS ubuntu beberapa bulan setelah dirilis dan tahu bahwa ada banyak waktu untuk menyelesaikan masalah besar dan agak tenang.

Setelah itu Anda tahu Anda memiliki dukungan dan peningkatan lebih lanjut minimal 4 tahun sebelum Anda harus meningkatkan server Anda. Saya bisa hidup dengan salah satu masalah potensial lainnya dengan menjalankan fefora, tetapi tidak dengan harus memindahkan rilis di setiap kotak minimal satu kali per tahun (mungkin dua kali sekalipun).

Edit: Ditemukan beberapa angka ...

Fedora 11 hadir dengan openssh server versi 5.2. Ketika dirilis ubuntu karmic hanya akan memiliki versi 5.1 , versi yang sama dengan debian lenny . Situs web centos terlalu buruk bagi saya untuk dapat menemukan versi, tetapi mereka berada di 4.x

theecereceive
sumber
2

Bukan karena fedora tidak aman. Ini karena ia dikirim dengan paket yang berdarah, dan itu disegarkan dengan sangat cepat, jadi Anda harus melalui peningkatan setiap tahun atau lebih untuk terus mendapatkan pembaruan keamanan. Itu masalah besar jika Anda memiliki sejumlah server non-sepele, terutama mengingat bahwa proses pembaruan fedora (iirc) memerlukan downtime.

Cian
sumber
Jika beberapa kerentanan baru ditemukan. Semua distribusi akan rentan dan kami harus menerapkan patch keamanan. Saya tidak mengerti bagian downtime dari proses pembaruan fedora. Saya memperbarui sistem tanpa masalah tanpa me-reboot. Hanya pembaruan kernel yang membutuhkan boot ulang tetapi itu bisa dimengerti.
Saurabh Barjatiya
2
Tidak, tidak ada downtime di sini ... kecuali upgrade kernel sekali dalam waktu yang lama. Kemudian lagi, semua rakyat kita Linux akhirnya reboot 'kotak ol untuk upgrade kernel, sehingga itu adil
bobby
3
Intinya adalah bahwa setelah beberapa titik, Fedora meninggalkan distribusi sebagai "terlalu tua" dan Anda tidak mendapatkan pembaruan keamanan lagi untuk itu. Pada saat itu Anda sedang melihat pembaruan rev-to-rev (yang saya belum pernah berjalan dengan baik) atau membangun kembali. Jika Anda memiliki banyak komputer untuk ditangani, maka stabilitas, ditambah pengetahuan bahwa pembaruan keamanan akan datang selama beberapa tahun, adalah baik.
David Mackintosh
Kata David jauh lebih baik daripada yang bisa kulakukan di sini.
Cian
2

Penggunaan Fedora di server versus sesuatu seperti CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES, dll benar-benar bermuara pada alat yang tepat untuk pekerjaan itu.

Keluhan utama yang akan Anda temukan dari admin server tentang Fedora di server adalah siklus peningkatan setiap 6 bulan hingga setahun (tergantung apakah Anda selalu ingin menjadi yang terbaru atau melewatkan setiap rilis lainnya). Seperti yang Anda tunjukkan, Fedora menginstal konfigurasi "secure by default" dan menyediakan banyak alat untuk mempertahankan sistem yang aman. Khususnya pada server, alat preupgrade akan menangani migrasi antara rilis Fedora yang berbeda yang mengurangi kekhawatiran itu.

Jika Anda ingin siklus rilis yang lebih lama, maka sesuatu seperti CentOS (yang pada dasarnya adalah versi gratis Red Hat Enterprise Linux) mungkin lebih mudah pada beban kerja Anda.

Singkatnya, saya pikir Anda baik-baik saja dengan Fedora jika Anda senang dengan itu. Saya belum pernah melihat bukti yang menunjukkan bahwa Debian, Ubuntu, atau CentOS lebih aman daripada Fedora.

Ophidian
sumber
1

Sistem operasi apa pun dapat dibuat aman. Dua poin tentang Fedora sebagai server. Pertama, setiap kali Anda memutakhirkan versi perangkat lunak, Anda berisiko memperkenalkan bug baru dan masalah keamanan yang tidak ada pada versi sebelumnya. Inilah sebabnya mengapa perusahaan ingin menunggu satu tahun setelah perangkat lunak keluar sebelum menginstalnya, sehingga banyak bug dan masalah keamanan dapat diperbaiki. Anda tidak ingin beralih ke versi baru setiap kali ada keluar untuk sakit kepala migrasi dan masalah keamanan baru yang terlibat. Fedora kedua tidak memiliki kemampuan untuk mendapatkan dukungan perusahaan seperti RedHat atau Ubuntu.

Jared
sumber
1
Itu bisa dilihat sebagai masalah juga. Tidak menggunakan versi terbaru berarti kita terkena eksploitasi terkenal. Mengutip dari pada DNS dan BIND, yang saya baca kemarin adalah - "Berlangganan ke salah satu layanan konsultasi yang disediakan oleh SANS (www.sans.org) atau CERT (www.cert.org), serta banyak lainnya, dan mengambil tindakan pada BIND dan peringatan teknologi terkait, Tergantung pada tingkat keparahan lansiran, ini dapat menuntut peningkatan segera diikuti dengan tes cepat sebelum penggantian seluruh sistem yang cepat. Lebih baik dalam hal ini mengambil risiko masalah baru daripada eksploitasi yang diketahui. "
Saurabh Barjatiya
1
Jika Anda memiliki OS server yang didukung oleh perusahaan besar, mereka akan mendukung perbaikan keamanan apa pun yang mereka perlukan jika versi perangkat lunak yang terpengaruh masih merupakan bagian dari versi OS yang mereka dukung.
Jared
1

Kami menggunakan RHEL di tempat kerja. Jika Anda harus meningkatkan server 7k setiap 6 atau 12 bulan, kami tidak akan pernah unggul. Kami masih mendapatkan server Win2k3 hingga 2008.

Rilis Fedora terlalu sering untuk perusahaan dengan banyak server agar tetap terkini. Untuk bisnis kecil, tentu Fedora mungkin boleh digunakan. Tetapi sekali lagi, Anda akan memerlukan admin linux di situs dan kebanyakan tidak mampu satu untuk memecahkan banyak masalah. Jadi di situlah RHEL memiliki keunggulan - dukungan berbayar.

Saya menggunakan Debian di rumah. Saya baru saja mengupgrade dari 7 ke 8 dan berjalan sangat lancar. Ubuntu juga memiliki server, tetapi Ubuntu setara dengan Fedora. Debian membutuhkan waktu lama untuk meluncurkan paket baru karena mereka mengujinya secara menyeluruh. Kelemahannya adalah, Anda mungkin tidak memiliki Apache atau MySQL terbaru atau aplikasi apa pun yang Anda butuhkan yang memiliki fitur yang Anda inginkan. Tentu Anda dapat mengunduhnya secara terpisah, tetapi itu mengalahkan tujuan memiliki OS yang "stabil dan aman".

pengguna1052448
sumber
Bahkan saya tidak akan menggunakan Fedora untuk semuanya . Tetapi ada beberapa kasus yang ditargetkan di mana siklus pembaruan cepat mungkin lebih masuk akal. Aplikasi web tertentu, misalnya.
Michael Hampton
0

Juga - fitur / fungsionalitas dapat muncul dan kemudian disatukan dalam rilis berikutnya - yang [umumnya] tidak membantu server , karena Anda menginginkan keandalan. OTOH, jika Anda menginstal, katakanlah, F11 dan tetap menggunakannya selama 2-4 tahun seperti Anda akan menggunakan CentOS 5 atau Ubuntu LTS, maka tidak ada perbedaan nyata. Ini tentang tingkat kenyamanan.

warren
sumber
-2

Tunggu apa? Sejauh yang saya tahu, Wikipedia berjalan di Fedora. Bukan di RedHat - di Fedora. Jadi benar-benar tidak ada masalah dengan Fedora yang digunakan sebagai WebServer :)

Nidrax
sumber
Saya kira tidak: [me @ risby ~] $ telnet en.wikipedia.org 22 [...] SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.1
MadHatter
Wikimedia Foundation dulu menggunakan Fedora tetapi beralih ke Ubuntu pada 2008 .
Michael Hampton
-3

Biasanya yang diinginkan administrator sistem dari distribusi berorientasi server adalah:

  1. Tidak ada perangkat lunak yang berdarah, bahkan pada rilis terbaru
  2. Semua perangkat lunak yang Anda butuhkan harus tersedia dari repositori resmi: dalam lingkungan produksi kadang-kadang Anda tidak diperbolehkan menggunakan paket yang diambil dari situs web acak yang tidak dipercaya atau, lebih buruk lagi, dikompilasi secara lokal.
  3. Pembaruan keamanan terpusat dan tepat waktu dari repo resmi
  4. Paket menginstal skrip dan kebijakan (disediakan oleh distribusi) yang memastikan peningkatan mulus [yaitu meningkatkan konten file konfigurasi ketika daemon ditingkatkan ke rilis baru]
  5. Opsional, dukungan perusahaan

Fedora gagal dalam poin ini, afaik

CentOS gagal pada 2,3,4,5

Debian gagal pada tanggal 5

Ubuntu gagal pada 1

Pilihanmu :)

Federico
sumber
7
Saya akan meneliti daftar ini sebelum memposting sesuatu sebesar ini. Seorang pendatang baru mungkin menganggap pendapat Anda sebagai fakta. Saya tidak ingat Fedora atau CentOS menggunakan repositori "tidak dipercaya" lebih dari Ubuntu. Saya ingat pembaruan keamanan "terpusat dan tepat waktu" terakhir saya sekitar 4 hari yang lalu dari Fedora. Pernahkah Anda melihat skrip instalasi paket saya? Mereka berkelas ! Harap perhatikan saat Anda menyatakan pendapat atau fakta lain kali, untuk menjernihkannya bagi kami semua. Jika Anda benar-benar ingin mengalahkan daftar itu, Anda bisa saja mengatakan FreeBSD dan menghancurkan semuanya, tanpa dukungan perusahaan.
bobby
3
IMHO CentOS hanya gagal pada 5. Ada risiko yang terkait dengan 3 tetapi mereka cukup tepat waktu dalam pengalaman saya.
Markus
1
Jika Anda akan membuat klaim liar tentang berbagai distro dalam saran Anda, Anda harus benar-benar membuktikannya sedikit lebih banyak dengan fakta. Selain kurangnya dukungan perusahaan (yang saya yakin Anda dapat menemukan konsultan bersedia memberikan), saya tidak setuju dengan penilaian Anda tentang Fedora gagal sisanya.
Ophidian
1
Apa pun tentang 'tidak dipercaya', saya menemukan repo centos cukup kurang terakhir (hanya) saya menjalankannya, dan harus menambah mereka dengan beberapa repo pihak ke-3. Saya belum menemukan ini menjadi kasus di fedora. Satu-satunya repo pihak ke-3 yang saya gunakan di fedora adalah rpmfusion untuk hal-hal seperti paket media dan grafik yang tidak bebas, yang saya tidak dapat melihat kebutuhan besar pada server saya.
theotherreceive
3
Saya akan memilih Anda hanya untuk 1,2,3,4,5 poin. Tetapi klaim tentang distro mana yang gagal pada hitungan mana yang salah.
Milan Babuškov