Saya sering menggunakan Fedora untuk hosting server. Saya tidak pernah menghadapi masalah. Masih semua pengguna baru datang dan memberi tahu Fedora tidak aman. Kita harus menggunakan Ubuntu / CentOS atau distribusi lain tetapi tidak untuk Fedora. Saya tidak pernah mengerti apa masalahnya dengan Fedora. Apa yang membuat distribusi lain lebih aman.
Beberapa poin: 1. Fedora dilengkapi dengan iptables yang dikonfigurasi untuk memungkinkan hanya SSH. Plus, kita selalu dapat mengkonfigurasi iptables bahkan untuk memblokir SSH jika kita mau. Jadi tidak ada kekurangan pada firewall.
Fedora merilis pembaruan secara berkala (baik keamanan dan tambalan umum).
Orang mengatakan distro X merilis versi baru sekali dalam 5 tahun dan Fedora sekali dalam 6 bulan. Bagaimana melepaskannya sekali dalam 5 tahun membuat semuanya aman. JIKA Anda merasa hal-hal berusia 5 tahun aman menginstal OS lima tahun atau jangan meng-upgrade selama 5 tahun bahkan jika versi baru datang. Secara pribadi saya merasa tidak memberikan versi baru selama 5 tahun tidak menambah keamanan. Anda harus melepaskan tambalan selama 5 tahun ketika bug terdeteksi. Jadi menggunakan OS yang sangat lama hanya berarti lebih banyak tambalan. Jika kita menggunakan versi yang baru dirilis maka kita harus menerapkan lebih sedikit pembaruan / tambalan. Bagaimana melepaskan sekali dalam 5 tahun membuat hal-hal aman saya tidak pernah mengerti.
Semua OS menggunakan paket serupa seperti Gnome, Open-Office, KDE, Open-SSH, Apache. Apakah pengembang distribusi lain menghabiskan waktu membaca kode sumber dari paket-paket ini dan memperbaiki kesalahan keamanan, jika ada? Bahkan jika mereka tidak mau, mereka menerbitkan kekurangan itu dan semua distribusi lainnya akan merilis patch untuk itu termasuk Fedora. Atau apakah mereka akan mengamankan distribusi mereka sendiri dan tidak repot-repot memberi tahu orang lain. Ini semua dengan asumsi mereka membaca semua jutaan baris kode paket sebesar apache, gcc, Open-Office. Jika hal ini sama di setiap distribusi, apa yang membuat Fedora lebih rentan.
Fedora hadir dengan seLinux yang sudah diinstal dan terkonfigurasi dengan baik.
Bind berjalan di chroot secara default di fedora. Sekarang dengan dukungan Fedora 11 DNSSEC juga hadir secara default. Lihat pertanyaan DNS Server pada Fedora 11 di mana seseorang menunjuk Fedora tidak bagus untuk hosting DNS. Saya tidak tahu kenapa.
Bahkan salah satu admin baru menginstal Cent-OS 5.3 pada salah satu mesin uji. Saya menggunakannya untuk melakukan ping satu IP yang tidak ada. Saya mendapat balasan ping. Saya heran karena itu tidak mungkin. Saya mencoba mencari tahu lokasi dari mana balasan datang tetapi gagal. Akhirnya setelah mencoba selama lebih dari satu jam, saya melepaskan kabel jaringan dari mesin CentOS. Saya masih bisa melakukan ping IP. Kemudian saya mencoba untuk melakukan ping alamat IP mesin. Saya juga bisa melakukan ping itu. Jadi saya bisa melakukan ping dua IP (bukan yang lain, saya mencobanya juga) ketika mesin dikonfigurasi dengan satu IP dan tidak ada alias (eth0: 1, dll) hadir. Saya memeriksa keluaran ifconfig juga. Saya kehilangan kepercayaan penuh pada apa yang disebut distribusi server dan menginstal Fedora 11 pada semua mesin uji. Sekarang saya tidak menghadapi masalah aneh seperti untuk hal-hal mendasar seperti ping.
Saya akan sangat menghargai jika saya bisa mendapatkan contoh kehidupan nyata yang menunjukkan Fedora tidak aman dan jika dalam kasus itu ada distribusi lain hal-hal akan baik-baik saja. Jangan beri contoh tadi admin melakukan kesalahan. Kami tidak dapat menyalahkan distribusi untuk itu. Juga jangan berikan contoh Fedora 1, 2 atau Fedora 3 yang sangat lama. Proyek Fedora sangat matang sekarang terutama dua versi terakhir 10, 11. Jika Anda telah menghadapi masalah keamanan yang khusus hanya untuk mereka, silakan berbagi pengalaman Anda.
Jawaban:
Tidak ada yang menyatakan bahwa Fedora tidak cocok untuk digunakan di server, juga tidak ada yang menyatakan bahwa "distro server" adalah satu-satunya pilihan untuk server. Itu tergantung pada kebutuhan khusus Anda .
Apa yang dapat Anda peroleh dari menggunakan "distro server" adalah:
"Keluhan" utama saya untuk server-distro adalah bahwa perangkat lunak / perpustakaan cenderung agak lama, dan berbagai paket yang didukung jauh lebih kecil daripada upaya yang digerakkan masyarakat.
Yaitu dukungan jangka panjang dan API yang tidak berubah adalah sesuatu yang disukai vendor perangkat lunak komersial, mereka tidak perlu membangun kembali aplikasi mereka untuk perpustakaan terbaru karena API tiba-tiba berubah. Mereka dapat mengembangkan untuk Vendor Y Release X dan tahu bahwa platform ini akan ada untuk beberapa tahun mendatang.
sumber
Saya pikir saya tidak punya apa-apa untuk ditambahkan ke ini, tetapi setelah menjalankan Fedora dalam produksi selama hampir dua tahun - untuk sistem pemantauan Zabbix saya yang sangat penting! - sepertinya saya punya beberapa hal untuk dikatakan.
Pertama, itu bukan pilihan pertama saya. Biasanya untuk apa pun yang bahkan sangat penting, saya akan memilih CentOS / RHEL untuk manfaat stabilitas jangka panjang yang disediakan oleh distribusi ini. Namun, untuk penyebaran khusus ini saya benar-benar membutuhkan fitur di Zabbix 2.0, sementara repo EPEL hanya menyediakan 1,8. (EPEL sekarang memiliki paket Zabbix 2.0 dan 2.2 selain 1.8, meskipun tidak pada saat itu. Jika sudah, saya tidak akan pernah mencoba ini.)
Jadi pengorbanannya di sini adalah: Fedora memiliki perangkat lunak terbaru, tetapi rilisnya berada pada siklus hidup 13 bulan yang sangat singkat, dengan rilis baru dibuat setiap enam bulan. Ini berarti saya harus merencanakan jendela pemeliharaan untuk memutakhirkan Fedora dua kali setahun, selain pemasangan pembaruan berkala yang biasa.
Untuk sistem pemantauan yang seharusnya melacak semua hal lain , sangat penting bahwa periode pemeliharaan seperti itu jarang dan sesingkat mungkin. Dengan keharusan untuk meningkatkan begitu sering, ini biasanya akan mengesampingkan distribusi seperti itu, tetapi ingat bahwa saya memiliki masalah yang lebih mendesak; itu akan sia-sia tanpa fitur yang saya butuhkan. Jadi ini adalah tradeoff yang saya buat dengan (hampir) pengetahuan penuh tentang konsekuensinya.
Belum lama ini, saya melakukan pemutakhiran Fedora 18-19 di server ini, menggunakan alat peningkatan fedup baru Fedora. Saya berencana untuk pemadaman dua jam, dengan dua jam lagi untuk kemungkinan berurusan dengan layanan yang dipantau yang mungkin telah mati dan fakta itu hilang sejak Zabbix turun.
Waktu henti layanan yang sebenarnya adalah 11 menit. Itu sejak Zabbix berhenti sebelum reboot ke waktu itu dicadangkan dan memantau layanan setelah upgrade selesai. Saya tidak menyadari bahwa downtime akan sangat singkat! Saya mengharapkan lebih banyak masalah , meskipun saya tahu dari pengalaman bahwa masalah peningkatan yang signifikan jarang terjadi pada Fedora. (Dan itu telah ditingkatkan lebih lanjut: Ketika saya melakukan upgrade Fedora 19-20, downtime total adalah enam menit yang luar biasa . Waktu yang sama untuk 20-21.)
Layanan ini hampir pasti akan dipindahkan ke RHEL 7 saat tersedia.Setelah pengalaman ini, saya jauh lebih percaya diri dalam Fedora sebagai server dan sekarang berniat untuk menyimpannya, bahkan dengan peningkatan besar setiap enam bulan. Pindah ke RHEL akan jauh lebih mengganggu, dan mungkin membatasi saya di masa depan, karena hal berikut:Sangat disayangkan bahwa Red Hat memiliki waktu yang lama antara rilis utama; penundaan serupa antara EL5 dan EL6 membuat saya benar-benar menempatkan instalasi Ubuntu ke dalam produksi, sesuatu yang saya masih menendang sendiri sampai hari ini. (Untuk sistem itu, saya mempertimbangkan Fedora, tetapi anehnya itu tidak memiliki perangkat lunak yang saya butuhkan untuk dikemas sama sekali pada saat itu, meskipun versi yang lebih lama ada di EPEL.)
Satu "masalah" tidak ada yang disebutkan tentang menjalankan Fedora adalah bahwa Anda akan melihat banyak hal baru, baik proyek perangkat lunak besar dan peningkatan kecil, jauh sebelum dimasukkan dalam RHEL. Jadi ketika Anda pergi untuk mengelola sistem RHEL / CentOS Anda, Anda akan kehilangan mereka. Misalnya, Fedora memiliki banyak penyelesaian bash yang belum ada di RHEL secara default; satu yang penting adalah penyelesaian tab untuk nama paket di
yum
baris perintah.Jadi, tentu saja mungkin untuk menggunakan Fedora dalam produksi, selama Anda dapat menerima pengorbanan:
Semua hal dipertimbangkan, Fedora masih bukan pilihan pertama saya untuk platform server, dan mungkin tidak akan pernah. (Meskipun saya telah menjadi pengguna desktop Fedora yang bahagia untuk seluruh keberadaannya.) Dalam kasus di mana Anda benar-benar membutuhkan lebih banyak versi perangkat lunak saat ini tidak tersedia dalam distribusi yang lebih "tegas", dan Anda dapat menerima imbalan, maka tidak ada apa-apa. salah menggunakan Fedora.
Akhirnya, karena Anda bertanya secara khusus tentang keamanan, beberapa kata tentang itu.
Seperti disebutkan sebelumnya, tidak ada perbedaan nyata dalam kecepatan pembaruan keamanan antara Fedora dan distribusi lainnya. Pembuat paket Fedora melakukan upaya khusus untuk tetap dekat dengan hulu dan mendapatkan pembaruan semacam ini secepat mungkin, kadang-kadang bahkan sebelum proyek hulu melakukannya.
Seperti kakaknya yang tegas, Fedora juga mengirim konfigurasi keamanan yang cukup dikunci: layanan (kecuali ssh) dikirimkan secara default; firewall default-deny diaktifkan secara default untuk IPv4 dan IPv6; SELinux dijalankan secara default. Selain itu, Fedora dikeraskan dengan sejumlah cara lain .
Di sisi lain, Anda dapat melihat teknologi keamanan baru sangat awal; salah satu contohnya adalah pengenalan FirewallD baru-baru ini , yang masih belum cukup siap untuk prime time, meskipun beralih kembali ke firewall sebelumnya mudah .
sumber
Ini lebih tentang stabilitas dan tingkat perubahan daripada keamanan, per se. Fedora adalah platform bagi Red Hat untuk meluncurkan fitur dan aplikasi baru untuk memvalidasi relevansinya, menyediakan platform untuk bereksperimen, dan menyelesaikan masalah integrasi.
Itu biasanya bukan apa yang Anda inginkan dari server - Anda biasanya ingin server melakukan fungsi dengan cara yang paling stabil.
Tergantung pada apa yang Anda lakukan, Fedora mungkin baik-baik saja. Jika Anda mengembangkan aplikasi desktop Linux, bekerja dengan tepi pendarahan mungkin diinginkan. Demikian juga, jika Anda mengerjakan proyek sekolah selama satu semester atau proyek berdurasi terbatas lainnya di mana tempo perubahan yang tinggi tidak menjadi masalah, Fedora juga baik-baik saja.
sumber
The titik kunci yang membuat saya menggunakan Fedora untuk server dan lebih memilih Debian, Ubuntu atau CentOS bukan adalah stabilitas dan panjang dukungan . Ketika Anda menjalankan server Anda ingin stabilitas, keamanan dan umur panjang. Ya, hampir setiap distro mengemas perangkat lunak yang sama sehingga tidak masalah di sana. Ini masalah apa yang diuji, memiliki pembaruan keamanan dan didukung.
Jadwal rilis Fedora setiap 6 bulan adalah baik jika Anda ingin pendarahan tetapi ketika berbicara tentang server pendarahan tidak selalu merupakan hal yang baik. Tambahkan juga fakta bahwa Fedora hanya mendukung tiga versi terakhir yang berarti Anda melihat OS yang tidak didukung dalam 18 bulan dan harus memutakhirkan. Jika Anda pernah melakukan pemutakhiran Fedora mereka biasanya buruk dan lebih mudah untuk melakukan instalasi bersih yang pada desktop / laptop mungkin tidak begitu buruk tetapi untuk server yang berarti downtime dan tidak dapat diterima oleh sebagian besar administrator sistem.
CentOS sejauh ini memiliki siklus dukungan terpanjang dan selama itu didukung dan patch keamanan dan pembaruan dirilis sehingga itu bukan rilis yang sama sepanjang waktu. Keuntungan dari hal ini adalah Anda tidak menghabiskan seluruh waktu untuk mempersiapkan peningkatan selanjutnya. Anda memiliki server yang stabil dengan perangkat lunak yang teruji stabil yang menjalankannya.
Debian memiliki jadwal rilis yang lebih panjang dari Fedora tetapi lebih pendek dari CentOS tetapi selalu siap dengan pembaruan keamanan. Keuntungan lain dari Debian adalah jalur peningkatan yang bersih. Rilis Debian diuji untuk pemasangan yang bersih dan peningkatan langsung dan tidak benar-benar dirilis sampai dapat dilakukan dengan sukses tanpa masalah. Perhatian terhadap detail dan kemauan untuk mendorong tanggal rilis untuk menghapus lebih banyak paket bug adalah salah satu kelebihannya. Struktur paket DEB itu sendiri juga dirancang untuk membuat peningkatan sangat lancar dan menjaga konfigurasi Anda. Satu-satunya hal yang kurang benar-benar adalah dukungan komersial, dalam hal ini Anda dapat melihat ke Ubuntu yang mengambil paket-paket itu dari Debian seperti CentOS mengambil banyak kemasan itu dari RHEL.
Sunting: Menambahkan teks tebal untuk menarik perhatian pada fakta yang jelas terlewatkan bahwa saya tidak menganggap Fedora cukup stabil untuk platform server.
sumber
Tidak ada dukungan
Fedora tidak memiliki kontrak dukungan teknis seperti perusahaan Red Hat. Tidak ada orang untuk dihubungi jika Anda memiliki masalah show-stopping.
sumber
Argumen terbesar saya adalah:
Server bukanlah audiens yang dituju utamanya
Demikian juga, saya tidak akan merekomendasikan menggunakan Ubuntu untuk lingkungan server, dan banyak yang akan tidak setuju dengan saya, tapi itu bukan target utama.
Perangkat lunak yang ditargetkan pada pengguna rumahan dan desktop cenderung kurang di departemen yang berorientasi server, seperti hal-hal yang ditargetkan pada server tidak berfungsi dengan baik untuk pengguna rumahan.
Selain itu, platform yang ditargetkan untuk pengguna rumahan cenderung menarik lebih banyak pengguna rumahan, sehingga bug yang ditemukan, dilaporkan, dan diperbaiki, akan diprioritaskan karena efek itu.
Demikian juga, platform yang ditargetkan pada penggunaan server akan cenderung menarik penggunaan server, dan dengan demikian bug yang terkait dengan penggunaan server akan lebih mungkin telah ditemukan dan dipecahkan pada saat Anda mendapatkannya.
(Saya memiliki setidaknya satu teman yang memiliki pengalaman profesional dengan Ubuntu di lingkungan produksi dan mengatakan dia sepenuhnya ngeri karenanya, dan lebih suka CentOS karena server produksi.)
seLinux
Penting untuk dicatat bahwa seLinux tidak menyiratkan keamanan.
Dari situs seLinux milik NSA sendiri :
sumber
Saya penggemar berat fedora, saya pikir ini luar biasa, dan saya menjalankannya di semua desktop / laptop saya, tetapi saya tidak akan menjalankannya di server saya.
Fedora bertujuan untuk lebih dekat ke 'sisi pendarahan'. Ini berarti Anda akan mendapatkan perangkat lunak yang lebih baru yang menghabiskan lebih sedikit waktu untuk diuji. Karena tidak ada rilis yang keluar pada saat yang sama, sulit untuk mendapatkan angka yang pasti tentang hal ini, tetapi saya merasa bahwa ubuntu sering satu rilis di belakang pada fitur baru, sementara debian / centos / redhat jauh lebih jauh di belakang.
Ini kesan saya bahwa karena ini ada lebih banyak pembaruan pada fedora, tapi sekali lagi saya tidak punya nomor untuk mendukung ini.
Apa yang benar-benar mengayunkannya meskipun kurangnya model LTS yang dimiliki ubuntu. Anda dapat menginstal LTS ubuntu beberapa bulan setelah dirilis dan tahu bahwa ada banyak waktu untuk menyelesaikan masalah besar dan agak tenang.
Setelah itu Anda tahu Anda memiliki dukungan dan peningkatan lebih lanjut minimal 4 tahun sebelum Anda harus meningkatkan server Anda. Saya bisa hidup dengan salah satu masalah potensial lainnya dengan menjalankan fefora, tetapi tidak dengan harus memindahkan rilis di setiap kotak minimal satu kali per tahun (mungkin dua kali sekalipun).
Edit: Ditemukan beberapa angka ...
Fedora 11 hadir dengan openssh server versi 5.2. Ketika dirilis ubuntu karmic hanya akan memiliki versi 5.1 , versi yang sama dengan debian lenny . Situs web centos terlalu buruk bagi saya untuk dapat menemukan versi, tetapi mereka berada di 4.x
sumber
Bukan karena fedora tidak aman. Ini karena ia dikirim dengan paket yang berdarah, dan itu disegarkan dengan sangat cepat, jadi Anda harus melalui peningkatan setiap tahun atau lebih untuk terus mendapatkan pembaruan keamanan. Itu masalah besar jika Anda memiliki sejumlah server non-sepele, terutama mengingat bahwa proses pembaruan fedora (iirc) memerlukan downtime.
sumber
Penggunaan Fedora di server versus sesuatu seperti CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES, dll benar-benar bermuara pada alat yang tepat untuk pekerjaan itu.
Keluhan utama yang akan Anda temukan dari admin server tentang Fedora di server adalah siklus peningkatan setiap 6 bulan hingga setahun (tergantung apakah Anda selalu ingin menjadi yang terbaru atau melewatkan setiap rilis lainnya). Seperti yang Anda tunjukkan, Fedora menginstal konfigurasi "secure by default" dan menyediakan banyak alat untuk mempertahankan sistem yang aman. Khususnya pada server, alat preupgrade akan menangani migrasi antara rilis Fedora yang berbeda yang mengurangi kekhawatiran itu.
Jika Anda ingin siklus rilis yang lebih lama, maka sesuatu seperti CentOS (yang pada dasarnya adalah versi gratis Red Hat Enterprise Linux) mungkin lebih mudah pada beban kerja Anda.
Singkatnya, saya pikir Anda baik-baik saja dengan Fedora jika Anda senang dengan itu. Saya belum pernah melihat bukti yang menunjukkan bahwa Debian, Ubuntu, atau CentOS lebih aman daripada Fedora.
sumber
Sistem operasi apa pun dapat dibuat aman. Dua poin tentang Fedora sebagai server. Pertama, setiap kali Anda memutakhirkan versi perangkat lunak, Anda berisiko memperkenalkan bug baru dan masalah keamanan yang tidak ada pada versi sebelumnya. Inilah sebabnya mengapa perusahaan ingin menunggu satu tahun setelah perangkat lunak keluar sebelum menginstalnya, sehingga banyak bug dan masalah keamanan dapat diperbaiki. Anda tidak ingin beralih ke versi baru setiap kali ada keluar untuk sakit kepala migrasi dan masalah keamanan baru yang terlibat. Fedora kedua tidak memiliki kemampuan untuk mendapatkan dukungan perusahaan seperti RedHat atau Ubuntu.
sumber
Kami menggunakan RHEL di tempat kerja. Jika Anda harus meningkatkan server 7k setiap 6 atau 12 bulan, kami tidak akan pernah unggul. Kami masih mendapatkan server Win2k3 hingga 2008.
Rilis Fedora terlalu sering untuk perusahaan dengan banyak server agar tetap terkini. Untuk bisnis kecil, tentu Fedora mungkin boleh digunakan. Tetapi sekali lagi, Anda akan memerlukan admin linux di situs dan kebanyakan tidak mampu satu untuk memecahkan banyak masalah. Jadi di situlah RHEL memiliki keunggulan - dukungan berbayar.
Saya menggunakan Debian di rumah. Saya baru saja mengupgrade dari 7 ke 8 dan berjalan sangat lancar. Ubuntu juga memiliki server, tetapi Ubuntu setara dengan Fedora. Debian membutuhkan waktu lama untuk meluncurkan paket baru karena mereka mengujinya secara menyeluruh. Kelemahannya adalah, Anda mungkin tidak memiliki Apache atau MySQL terbaru atau aplikasi apa pun yang Anda butuhkan yang memiliki fitur yang Anda inginkan. Tentu Anda dapat mengunduhnya secara terpisah, tetapi itu mengalahkan tujuan memiliki OS yang "stabil dan aman".
sumber
Juga - fitur / fungsionalitas dapat muncul dan kemudian disatukan dalam rilis berikutnya - yang [umumnya] tidak membantu server , karena Anda menginginkan keandalan. OTOH, jika Anda menginstal, katakanlah, F11 dan tetap menggunakannya selama 2-4 tahun seperti Anda akan menggunakan CentOS 5 atau Ubuntu LTS, maka tidak ada perbedaan nyata. Ini tentang tingkat kenyamanan.
sumber
Tunggu apa? Sejauh yang saya tahu, Wikipedia berjalan di Fedora. Bukan di RedHat - di Fedora. Jadi benar-benar tidak ada masalah dengan Fedora yang digunakan sebagai WebServer :)
sumber
Biasanya yang diinginkan administrator sistem dari distribusi berorientasi server adalah:
Fedora gagal dalam poin ini, afaik
CentOS gagal pada 2,3,4,5
Debian gagal pada tanggal 5
Ubuntu gagal pada 1
Pilihanmu :)
sumber