Quel est le problème avec Fedora pour les serveurs?

17

J'ai souvent utilisé Fedora pour héberger des serveurs. Je n'ai jamais rencontré de problème. Pourtant, tous les nouveaux utilisateurs viennent et disent que Fedora n'est pas sécurisé. Nous devons utiliser Ubuntu / CentOS ou une autre distribution mais pas Fedora. Je ne comprends jamais quel est le problème avec Fedora. Ce qui rend les autres distributions plus sécurisées.

Quelques points: 1. Fedora est livré avec iptables configuré pour autoriser uniquement SSH. De plus, nous pouvons toujours configurer iptables pour bloquer même SSH si nous le voulons également. Donc, rien de moins sur le pare-feu.

  1. Fedora publie régulièrement des mises à jour (correctifs de sécurité et généraux).

  2. Les gens disent que distro X sort une nouvelle version une fois tous les 5 ans et Fedora une fois tous les 6 mois. Comment se fait-il que la sortie une fois tous les 5 ans sécurise les choses. SI vous pensez que les choses de 5 ans sont sécurisées, installez un système d'exploitation de 5 ans ou ne mettez pas à niveau pendant 5 ans même si une nouvelle version arrive. Personnellement, je pense que ne pas donner de nouvelle version pendant 5 ans n'ajoute rien à la sécurité. Vous devrez publier des correctifs pendant 5 ans au fur et à mesure que des bugs seront détectés. Donc, utiliser un OS très ancien signifie simplement plus de correctifs. Si nous utilisons une version récemment publiée, nous devons appliquer moins de mises à jour / correctifs. Comment libérer une fois tous les 5 ans rend les choses sûres, je n'ai jamais compris.

  3. Tous les systèmes d'exploitation utilisent des packages similaires comme Gnome, Open-Office, KDE, Open-SSH, Apache. Les autres développeurs de distribution passent-ils du temps à lire le code source de ces packages et à corriger les erreurs de sécurité, le cas échéant? Même s'ils ne le font pas, ils publient ces failles et toutes les autres distributions publieraient des correctifs pour cela, y compris Fedora. Ou bien sécuriseraient-ils leurs propres distributions et ne prendraient-ils pas la peine d'en informer d'autres? Tout cela en supposant qu'ils lisent des millions de lignes de codes de paquets aussi gros que apache, gcc, Open-Office. Si ces choses sont les mêmes dans chaque distribution, ce qui rend Fedora plus vulnérable.

  4. Fedora est livré avec seLinux préinstallé et bien configuré.

  5. Bind s'exécute dans chroot par défaut dans fedora. Désormais, avec Fedora 11, le support DNSSEC est également présent par défaut. Voir la question Serveur DNS sur Fedora 11 où quelqu'un a indiqué que Fedora n'était pas bon pour l'hébergement DNS. Je ne sais pas pourquoi.

En fait, l'un des nouveaux administrateurs a installé Cent-OS 5.3 sur l'une des machines de test. Je l'ai utilisé pour cingler une adresse IP qui n'était pas là. J'ai reçu des réponses ping. J'étais étonné car ce n'était pas possible. J'ai essayé de savoir d'où venaient les réponses, mais j'ai échoué. À la fin, après avoir essayé pendant plus d'une heure, j'ai retiré le câble réseau de la machine CentOS. J'étais toujours capable de cingler l'IP. Ensuite, j'ai essayé d'envoyer une requête ping à l'adresse IP de la machine. Je pourrais aussi cingler ça. J'ai donc pu cingler deux adresses IP (pas d'autres, je les ai essayées aussi) lorsque la machine a été configurée avec une adresse IP et qu'aucun alias (eth0: 1, etc.) n'était présent. J'ai également vérifié la sortie ifconfig. J'ai perdu toute confiance dans les soi-disant distributions de serveur et installé Fedora 11 sur toutes les machines de test. Maintenant, je ne fais pas face à des problèmes aussi étranges pour des choses aussi basiques que le ping.

J'apprécierais vraiment si je pouvais obtenir des exemples de la vie réelle qui indiquent que Fedora n'est pas sûr et si dans ce cas c'était une autre distribution, tout aurait été bien. Ne donnez pas d'exemples où l'administrateur a commis des erreurs. Nous ne pouvons pas blâmer une distribution pour cela. Ne donnez pas non plus de très anciens exemples Fedora 1, 2 ou Fedora 3. Le projet Fedora est désormais très mature, en particulier les deux dernières versions 10, 11. Si vous avez rencontré des problèmes de sécurité qui leur sont propres, partagez vos expériences.

fedora linux Saurabh Barjatiya
la source
J'ai du mal à suivre la discussion ping. D'où veniez-vous? Quelle adresse IP spécifique avez-vous pingée? Vous devriez pouvoir envoyer une requête ping à l'hôte depuis sa console. Si vous pouvez envoyer une requête ping à l'hôte ailleurs avec son câble réseau détaché, le problème n'est PAS l'hôte détaché.
kmarsh
J'ai pu cingler deux IP différentes de l'hôte lorsque l'hôte n'était pas connecté au réseau. J'ai essayé d'utiliser Crtl + C et j'ai recommencé à envoyer une requête ping. Je pouvais toujours envoyer une requête ping à partir d'un hôte qui n'était connecté à aucun réseau à deux adresses IP différentes. J'ai essayé de cingler les deux IP en parallèle dans deux terminaux différents et j'ai pu cingler les deux IP. Mais cela ne fonctionnait que pour deux IP. J'ai essayé quelques autres adresses IP, mais elles ne faisaient pas de ping comme prévu. Il n'y avait pas de configuration de pare-feu étrange sur l'hôte qui aurait pu provoquer cela.
Saurabh Barjatiya

Réponses:

12

Il n'y a rien qui dicte que Fedora n'est pas adapté à une utilisation sur des serveurs, ni rien qui dicte que les "distributions de serveurs" sont le seul choix pour les serveurs. Cela dépend de vos besoins particuliers.

Ce que vous pouvez gagner en utilisant les "distributions de serveur" est:

  • Soutien à long terme
  • API stables (peu ou pas de mises à niveau de version des bibliothèques et des applications)
  • correctifs de sécurité et corrections de bogues rétroportés
  • support payant

Ma principale "plainte" pour les distributions de serveurs est que les logiciels / bibliothèques ont tendance à être un peu anciens, et la gamme de packages pris en charge est beaucoup plus petite que les efforts communautaires.

C'est-à-dire que le support à long terme et les API inchangées sont quelque chose que les éditeurs de logiciels commerciaux adorent, ils n'auront pas à reconstruire leur application pour les bibliothèques les plus récentes car l'API a soudainement changé. Ils peuvent développer pour le fournisseur Y version X et savent que cette plate-forme existera pendant plusieurs années à venir.

Kjetil Joergensen
la source
Je me rends compte que ma réponse peut être quelque peu «hors sujet» en ce qui concerne le contenu réel de votre question, alors regardez-la plutôt comme une réponse au titre / sujet de votre question. Quoi qu'il en soit, discuter des mérites de sécurité de diverses distrios est inutile, ils offrent tous une sécurité tout à fait adéquate, et vous serez probablement en mesure de "durcir" votre chemin pour sortir des insécurités perçues des fournisseurs. Si la sécurité est votre principale préoccupation, je vous suggère de regarder quelque chose comme OpenBSD qui a la sécurité comme objectif principal.
Kjetil Joergensen
14

Je pensais que je n'avais rien à ajouter à cela, mais après avoir dirigé Fedora en production pendant près de deux ans - pour mon très important système de surveillance Zabbix! - il semble que j'ai deux ou trois choses à dire.

Tout d'abord, ce n'était pas mon premier choix. Généralement, pour tout ce qui est même vaguement important, je choisirai CentOS / RHEL pour les avantages de stabilité à long terme que ces distributions fournissent. Cependant, pour ce déploiement particulier, j'avais absolument besoin de fonctionnalités dans Zabbix 2.0, tandis que le repo EPEL n'en fournissait que 1.8. (EPEL a maintenant des packages Zabbix 2.0 et 2.2 en plus de 1.8, bien qu'il ne l'ait pas fait à l'époque. Si c'était le cas, je n'aurais jamais essayé cela.)

Donc, le compromis est le suivant: Fedora a le dernier logiciel, mais ses versions sont sur un cycle de vie très court de 13 mois, avec de nouvelles versions faites environ tous les six mois. Cela signifie que je devais prévoir une fenêtre de maintenance pour mettre à niveau Fedora deux fois par an, en plus de l'installation périodique habituelle des mises à jour.

Pour un système de surveillance censé garder une trace de tout le reste , il est essentiel que ces périodes de maintenance soient aussi peu fréquentes et aussi courtes que possible. Avec la mise à niveau si fréquente, cela excluait généralement une telle distribution, mais rappelez-vous que j'avais des préoccupations plus pressantes; ce serait inutile sans les fonctionnalités dont j'avais besoin. C'est donc un compromis que j'ai fait avec (presque) une connaissance complète des conséquences.

Il n'y a pas longtemps, j'ai effectué la mise à niveau de Fedora 18-19 sur ce serveur, en utilisant le nouvel outil de mise à niveau de Fedora de Fedora. J'ai prévu une interruption de deux heures, avec encore deux heures pour éventuellement traiter l'un des services surveillés qui pourraient être morts et ce fait a été manqué depuis que Zabbix était en panne.

Le temps d'arrêt réel du service était de 11 minutes. C'est à partir du moment où Zabbix s'est arrêté avant le redémarrage jusqu'au moment où il était de sauvegarde et de surveillance des services après la mise à niveau terminée. Je ne savais pas que le temps d'arrêt serait si court! Je m'attendais à beaucoup plus de problèmes , même si je sais par expérience que d'importants problèmes de mise à niveau sont rares avec Fedora. (Et cela a encore été amélioré: lorsque j'ai effectué la mise à niveau de Fedora 19-20, le temps d'arrêt complet était de six minutes incroyables . Le même temps pour 20-21.)

Ce service sera presque certainement déplacé sur RHEL 7 lorsqu'il sera disponible. Après cette expérience, je suis beaucoup plus confiant en Fedora en tant que serveur et j'ai maintenant l'intention de le conserver, même avec une mise à niveau majeure tous les six mois. Passer à RHEL serait beaucoup plus perturbateur et pourrait me limiter à l'avenir, pour les raisons suivantes:

Il est regrettable que Red Hat se soit écoulé si longtemps entre les versions majeures; un délai similaire entre EL5 et EL6 m'a amené à mettre une installation Ubuntu en production, quelque chose que je me botte encore aujourd'hui. (Pour ce système, j'ai pensé à Fedora, mais étrangement, il n'avait pas du tout le logiciel dont j'avais besoin à l'époque, malgré une version plus ancienne en EPEL.)

Un «problème» que personne n'a mentionné à propos de l'exécution de Fedora est que vous verrez beaucoup de nouvelles choses, à la fois de grands projets logiciels et de minuscules améliorations, bien avant leur inclusion dans RHEL. Ainsi, lorsque vous allez gérer vos systèmes RHEL / CentOS, vous les manquerez. Par exemple, Fedora a un grand nombre de complétions bash qui ne sont pas encore dans RHEL par défaut; un exemple notable est la complétion de tabulation pour les noms de packages dans la yumligne de commande.

Ainsi, il est certainement possible d'utiliser Fedora en production, tant que vous pouvez accepter les compromis:

  • Il n'y a pas de contrat de support. Vous devez avoir une expertise interne suffisante pour gérer le serveur et ses services et faire face à tout problème qui pourrait survenir; seul le soutien communautaire est disponible et il n'y a aucune garantie là-bas. L'expérience RHEL est utile, car elles sont assez similaires.
  • Vous devez disposer d'une fenêtre de maintenance pour effectuer une mise à niveau au moins une fois par an . Bien que tous les six mois, c'est mieux; si vous effectuez une mise à niveau annuelle, vous devrez mettre à jour deux versions à la fois, ce qui double le nombre de problèmes potentiels que vous devrez traiter à 3 heures du matin.
  • Les mises à jour peuvent apporter de nouvelles versions de logiciels, que vous devrez gérer; cependant, ce seront des versions ponctuelles et non des versions majeures. Dans de rares cas, de nouvelles fonctionnalités importantes peuvent être ajoutées (par exemple BZ # 319901 ). En règle générale, cependant, les logiciels conservent le même numéro de version pendant toute la durée de vie de la version, avec des correctifs rétroportés; seuls certains packages (tels que PHP) effectuent le suivi des versions ponctuelles en amont.
  • Bien qu'il n'y ait pas de différence significative dans le rythme des mises à jour de sécurité, elles peuvent ne pas toujours être isolées des mises à jour de correction de bogues (encore une fois, comme PHP). Le problème dépend du service que vous prévoyez d'exécuter.

Tout bien considéré, Fedora n'est toujours pas mon premier choix pour une plate-forme de serveur, et ne le sera probablement jamais. (Bien que j'aie été un utilisateur de bureau Fedora heureux pendant toute son existence.) Dans le cas où vous avez absolument besoin de versions plus récentes de logiciels non disponibles dans une distribution plus "entreprise", et vous pouvez accepter les compromis, alors il n'y a rien mal à utiliser Fedora.

Enfin, puisque vous avez posé une question spécifique sur la sécurité, quelques mots à ce sujet.

Comme indiqué précédemment, il n'y a pas de réelle différence dans le rythme des mises à jour de sécurité entre Fedora et toute autre distribution. Les conditionneurs Fedora font des efforts particuliers pour rester proches de l'amont et diffuser ces types de mises à jour le plus rapidement possible, parfois même avant le projet en amont.

Comme son grand frère d'entreprise, Fedora est également livré avec une configuration de sécurité assez verrouillée: les services (sauf ssh) sont désactivés par défaut; le pare-feu par défaut est activé par défaut pour IPv4 et IPv6; SELinux s'applique par défaut. De plus, Fedora est endurci de plusieurs autres manières .

D'un autre côté, vous voyez très tôt les nouvelles technologies de sécurité; un exemple est l'introduction récente de FirewallD , qui n'est pas encore tout à fait prêt pour les heures de grande écoute, bien que le retour au pare-feu précédent soit facile .

Michael Hampton
la source
13

Il s'agit plus de stabilité et de taux de changement que de sécurité en soi. Fedora est une plate-forme permettant à Red Hat de déployer de nouvelles fonctionnalités et applications pour valider leur pertinence, fournir une plate-forme pour expérimenter et résoudre les problèmes d'intégration.

Ce n'est généralement pas ce que vous voulez qu'un serveur fasse - vous voulez généralement qu'un serveur exécute une fonction de la manière la plus stable possible.

Selon ce que vous faites, Fedora peut être très bien. Si vous développez des applications de bureau Linux, travailler avec le dernier cri peut être souhaitable. De même, si vous travaillez sur un projet d'école d'un semestre ou sur un autre projet de durée limitée où le rythme élevé des changements n'est pas un problème, Fedora va bien aussi.

duffbeer703
la source
1
Si certains serveurs Fedora fonctionnent correctement et que je ne les mets pas à niveau, même si de nouvelles versions de Fedora sont publiées. Cela rendra-t-il également Fedora stable? Après tout, il n'est pas obligatoire de passer à la dernière version du système d'exploitation et si je ne mets pas à niveau, les choses continueront de fonctionner sans aucun problème. Nous pouvons donc utiliser Fedora pour les serveurs, si nous n'essayons pas de continuer la mise à niveau vers les dernières versions de Fedora. Êtes-vous d'accord?
Saurabh Barjatiya
Mais qu'en est-il des mises à jour de sécurité? Vous les ferez, non?
Josh Brower
Oui, mais je n'ai jamais rencontré de problème après la mise à jour du package. Pour moi, les mises à jour de sécurité n'ont jamais affecté le fonctionnement des serveurs. Les anciens fichiers de configuration ne sont pas remplacés donc les choses fonctionnent bien même après les mises à jour sans aucun problème.
Saurabh Barjatiya
1
Cela dépend de ce que vous faites. Par exemple: si vous exécutez une application critique qui utilise une base de données; vous ne souhaiterez peut-être pas continuer à mettre à jour les versions majeures de votre base de données et risquez d'être incompatible avec le code de votre application.
Guy C
Je ne parle pas ici des applications critiques. Cela exigerait trop de sécurité et de connaissances. Serveurs moyens où si pour une raison malheureuse il y a des temps d'arrêt, il n'y a pas trop de pertes. Surtout aucune perte de vie / objectif complet du serveur.
Saurabh Barjatiya
7

Le point clé qui m'empêche d'utiliser Fedora pour un serveur et de préférer Debian, Ubuntu ou CentOS à la place est la stabilité et la durée du support . Lorsque vous exécutez un serveur, vous recherchez la stabilité, la sécurité et la longévité. Oui, presque toutes les distributions emballent le même logiciel, donc cela n'a pas d'importance là-bas. C'est une question de ce qui est testé, a des mises à jour de sécurité et est pris en charge.

Le calendrier de sortie de Fedora tous les 6 mois est bien si vous voulez un bord de fuite, mais lorsque vous parlez d'un bord de fuite de serveur n'est pas toujours une bonne chose. Ajoutez à cela le fait que Fedora ne prend en charge que les trois dernières versions, ce qui signifie que vous regardez un système d'exploitation non pris en charge dans 18 mois et que vous devez mettre à niveau. Si vous avez déjà effectué une mise à niveau de Fedora, ils sont généralement mauvais et il est plus facile de faire une installation propre qui, sur un ordinateur de bureau / portable, pourrait ne pas être si mauvaise, mais pour un serveur, cela signifie des temps d'arrêt et est inacceptable pour la plupart des administrateurs système.

CentOS a de loin le cycle de support le plus long et pendant ce temps, il est pris en charge et les correctifs de sécurité et les mises à jour sont publiés, ce n'est donc pas la même version tout le temps. L'avantage est que vous ne passez pas tout votre temps à préparer la prochaine mise à niveau. Vous disposez d'un serveur stable sur lequel un logiciel testé stable est exécuté.

Debian a un calendrier de publication plus long que Fedora mais plus court que CentOS mais est toujours à jour sur les mises à jour de sécurité. L'autre avantage de Debian est un chemin de mise à niveau propre. Les versions de Debian sont testées pour une installation propre et des mises à jour en direct et ne sont pas réellement publiées tant qu'elles ne peuvent pas être effectuées avec succès sans problème. Cette attention aux détails et cette volonté de repousser une date de sortie pour éliminer plus de bugs de package est l'un de ses plus forts avantages. La structure de package DEB elle-même est également conçue pour rendre la mise à niveau très fluide et maintenir vos configurations. La seule chose qui manque vraiment est le support commercial, auquel cas vous pouvez vous tourner vers Ubuntu qui prend ses paquets de Debian tout comme CentOS prend une grande partie de son emballage de RHEL.

Edit: Ajout d'un texte en gras pour attirer l'attention sur un fait qui était évidemment manqué que je ne considère pas Fedora assez stable pour une plate-forme de serveur.

Jeremy Bouse
la source
Je serais d'accord avec vous sur le point de 18 mois et que seules les trois dernières versions sont prises en charge. J'ai également toujours effectué une installation propre et jamais mis à niveau, donc aucune expérience de mise à niveau non plus. Mais je gère quelques serveurs CentOS. Je déteste utiliser vim dans CentOS et lorsque j'appuie sur Tab, il essaie une saisie semi-automatique qui est irritante. De plus, lorsque j'ai dû installer des outils comme awstats / denyhosts, je ne pouvais pas les trouver dans les référentiels CentOS par défaut. J'ai dû les installer par source. En fait, j'avais essayé des rpm d'awstats que j'avais obtenus sur son site Web et cela n'a pas fonctionné. J'ai donc dû enfin l'installer par source.
Saurabh Barjatiya
Fedora évite donc les ennuis dans ces cas, car awstats est fourni avec des packages par défaut et les denyhosts peuvent être installés en utilisant yum sans aucun problème avec les dépôts par défaut. Heureusement dans mes cas d'utilisation, une réinstallation de 18 mois ne s'était pas avérée être un problème. En fait, il aide à nettoyer les lignes de configuration qui ne sont plus nécessaires. Mais je suppose que pour les serveurs de sites Web grands / célèbres, les serveurs ISP, etc. 18 mois est trop tôt. Merci pour la réponse.
Saurabh Barjatiya
Ce n'est même pas 18 mois. La prise en charge de la version n est généralement arrêtée un mois après la sortie de n + 2. Donc, cela vous oblige à mettre à niveau tous les 12 mois, et cela commence à installer le nouveau fedora dès sa sortie. Si vous souhaitez laisser chaque version de fedora se stabiliser pendant 2/3 mois avant l'installation sur vos serveurs, vous envisagez une réinstallation tous les 6 mois.
theotherreceive
3
Pour tout ce qui n'est pas dans les référentiels CentOS-Base, CentOS-Plus ou CentOS-Extra, vous pouvez toujours consulter le référentiel EPEL pour des packages RPM testés de haute qualité ... AWstats est disponible ici: * epel: mirrors.tummy.com Packages disponibles Nom: awstats Arch: noarch Version: 6.7 Version: 5.el5 Taille: 1.1 M Repo: epel Résumé: Statistiques Web avancées URL: awstats.sourceforge.net Licence: GPLv2
Jeremy Bouse
1
Si votre problème avec CentOS est la manière dont vim se comporte, je vous suggère de modifier la configuration de vim. L'installation de 1 ou 2 applications à partir de la source et la modification de votre configuration vim peuvent être scriptées et simplement ajoutées en tant que tâche de post-installation à exécuter lors de la construction d'un nouveau serveur.
sclarson
5

Pas de support.

Fedora n'a pas de contrats de support technique comme Red Hat Enterprise. Il n'y a personne à appeler si vous avez un problème d'arrêt.

kmarsh
la source
1
Nous devons payer pour ces contrats de support technique. C'est donc une sorte d'échange entre le coût et le soutien. De plus, cela ne rend pas Fedora non sécurisé. Cela signifie simplement que vous êtes seul. Les choses ont bien fonctionné jusqu'à présent sans soutien. J'espère que cela restera le même. La recherche sur le Web, les pages de manuel et la documentation aident beaucoup. Nous avons maintenant des sites comme serverfault pour obtenir de l'aide. Certainement, si l'on peut se le permettre, il pourrait y avoir un sentiment de sécurité avec les éditions d'entreprise que nous pouvons appeler à l'aide en cas de problème.
Saurabh Barjatiya
5

Mon plus grand argument serait:

Les serveurs ne sont pas son public cible principal

De même, je ne recommanderais pas d'utiliser Ubuntu pour un environnement de serveur, et beaucoup seraient en désaccord avec moi, mais ce n'est tout simplement pas la cible principale.

Les logiciels destinés aux utilisateurs à domicile et aux ordinateurs de bureau ont tendance à faire défaut dans les services orientés serveur, tout comme les éléments destinés au serveur ne fonctionnent pas aussi bien pour les utilisateurs à domicile.

De plus, les plates-formes ciblant les utilisateurs à domicile ont tendance à attirer davantage d'utilisateurs à domicile.Par conséquent, les bogues découverts, signalés et corrigés seront priorisés en raison de cet effet.

De même, les plates-formes ciblées sur l'utilisation du serveur auront tendance à attirer l'utilisation du serveur, et donc les bogues liés à l'utilisation du serveur seront plus susceptibles d'avoir été trouvés et résolus au moment où vous y arriverez.

(J'ai au moins un ami qui a une expérience professionnelle avec Ubuntu dans des environnements de production et dit qu'il en a été complètement horrifié, et préférerait de loin CentOS pour les serveurs de production.)

seLinux

Fedora est livré avec seLinux préinstallé et bien configuré.

Il est important de noter que seLinux n'implique pas la sécurité.

Sur le site Web de la NSA, seLinux :

Linux à sécurité renforcée est uniquement destiné à démontrer les contrôles obligatoires dans un système d'exploitation moderne comme Linux et est donc très peu susceptible en soi de répondre à une définition intéressante de système sécurisé.

Kent Fredric
la source
Toutes les distributions utiliseront des serveurs similaires comme apache, open-SSH, vsftpd, sendmail, postfix, etc. Si des bogues sont découverts et corrigés, cela affectera toutes les distributions. Nous n'aurons pas un très bon apache stable pour une distribution et un apache buggy pour les autres. Cela suppose que les développeurs apache développent et améliorent apache et que les distributions utilisent simplement la même chose avec des changements mineurs dans le chemin, etc.
Saurabh Barjatiya
D'ACCORD. Peut-être que seLinux n'ajoute rien à la sécurité. Il ne le réduira pas non plus. Alors Fedora est-elle aussi bonne que les autres distributions?
Saurabh Barjatiya
1
Peu importe le logiciel individuel, ce qui compte, c'est la rapidité avec laquelle $ OS peut empaqueter le correctif et vous le procurer, et si personne n'utilise ce logiciel sur votre plate-forme, la probabilité d'obtenir le correctif est moindre. Cela est d'autant plus vrai que les ordinateurs de bureau ne fonctionnent jamais comme des périphériques de blocage de réseau, etc. De plus, apache sur fedora! = Apache sur ubuntu, ils ont tous deux des ensembles de correctifs spécifiques au fournisseur et même des dispositions de répertoire différentes!
Kent Fredric
1
Toutes les distributions utilisent le même logiciel, mais pas à la même version. Fedora vous donnera la dernière version de tout, où de nouvelles fonctionnalités sont introduites et testées tandis que d'autres distributions vous offrent souvent des versions plus anciennes qui ont été testées plus longtemps. Ce n'est pas un accident, Fedora a pour objectif de le faire. Vous devriez au moins accepter et vous préparer à faire face à ce fait si vous prévoyez de l'exécuter en production
theotherreceive
Je ne suis pas un administrateur système, mais l'un de nos administrateurs système a déjà désactivé SELinux pour Apache simplement parce qu'un script PHP avait besoin de créer un dossier. Cela a échoué et Red Hat a déclaré: "Le but de la sécurité est de s'assurer qu'Apache HTTP ne lit que le contenu Web statique, et ne fait rien d'autre comme écrire dans le contenu, se connecter aux sockets de base de données, lire les répertoires personnels des utilisateurs, etc. " Ce que j'essaie de dire, c'est: si l'on ne comprend pas SELinux, cela peut en fait diminuer la sécurité si les gens le désactivent complètement, alors que d'autres mesures de sécurité ne sont pas en place?
Arjan
3

Je suis un grand fan de fedora, je pense que c'est merveilleux, et je l'exécute sur tous mes ordinateurs de bureau / portables, mais je ne l'exécuterais sur aucun de mes serveurs.

  • Fedora vise à se rapprocher du «bord de saignement». Cela signifie que vous obtiendrez un logiciel plus récent qui a passé moins de temps à être testé. Comme aucune version ne sort en même temps, il est difficile d'obtenir des chiffres exacts à ce sujet, mais je pense qu'ubuntu est souvent en retard d'une version sur les nouvelles fonctionnalités, tandis que debian / centos / redhat sont beaucoup plus en retard.

  • J'ai l'impression qu'à cause de cela, il y a plus de mises à jour sur fedora, mais encore une fois, je n'ai pas de chiffres pour le sauvegarder.

Ce qui le fait vraiment basculer, c'est l'absence du modèle LTS qu'ubuntu possède. Vous pouvez installer un ubuntu LTS quelques mois après sa sortie et sachez qu'il a eu beaucoup de temps pour régler les problèmes majeurs et régler quelque peu.

Après cela, vous savez que vous avez au moins 4 ans de support et de mises à niveau supplémentaires avant de mettre à niveau votre serveur. Je pourrais vivre avec l'un des autres problèmes potentiels liés à l'exécution de fefora, mais pas avec le fait de devoir déplacer la version sur chaque boîte au moins une fois par an (probablement deux fois cependant).

Edit: Trouvé quelques chiffres ...

Fedora 11 est livré avec la version 5.2 du serveur openssh. Quand il sera publié, Ubuntu Karmic n'aura que la version 5.1 , la même version que Debian Lenny . Le site Web centos est trop merdique pour que je puisse trouver une version, mais afaik ils sont sur 4.x

l'autre reçoit
la source
2

Ce n'est pas que Fedora ne soit pas sûr. C'est qu'il est livré avec des packages à la pointe de la technologie et qu'il se rafraîchit très rapidement, vous devez donc effectuer des mises à niveau chaque année environ pour continuer à recevoir des mises à jour de sécurité. C'est un gros problème si vous avez un nombre non négligeable de serveurs, d'autant plus que le processus de mise à jour de fedora (iirc) nécessite un temps d'arrêt.

Cian
la source
Si une nouvelle vulnérabilité est découverte. Toutes les distributions seraient vulnérables et nous devions appliquer des correctifs de sécurité. Je n'ai pas compris le temps d'arrêt du processus de mise à jour de fedora. Je mets à jour les systèmes sans aucun problème sans redémarrer. Seules les mises à jour du noyau nécessitent un redémarrage, mais cela est compréhensible.
Saurabh Barjatiya
2
Non, pas de temps d'arrêt ici ... sauf la mise à niveau du noyau de temps en temps. Là encore, nous tous, Linux, finissons par redémarrer la vieille boîte pour une mise à niveau du noyau, donc c'est juste
bobby
3
Le fait est qu'après un certain point, Fedora abandonne la distribution comme "trop ​​ancienne" et vous ne recevez plus de mises à jour de sécurité pour elle. À ce stade, vous envisagez soit une mise à jour rev-to-rev (que je n'ai jamais bien passée) ou une reconstruction. Si vous avez beaucoup d'ordinateurs à gérer, la stabilité, ainsi que la connaissance que les mises à jour de sécurité viendront pendant plusieurs années, est bonne.
David Mackintosh
David l'a dit bien mieux que moi ici.
Cian
2

L'utilisation de Fedora sur un serveur par rapport à quelque chose comme CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES, etc. se résume vraiment à l'outil approprié pour le travail.

La principale plainte que vous trouverez auprès des administrateurs de serveur à propos de Fedora sur le serveur est le cycle de mise à niveau tous les 6 mois à un an (selon que vous souhaitez toujours être à la dernière version ou ignorer toutes les autres versions). Comme vous l'avez souligné, Fedora installe des configurations «sécurisées par défaut» et fournit de nombreux outils pour maintenir un système sécurisé. Surtout sur un serveur, l'outil de mise à niveau gérera très bien les migrations entre les différentes versions de Fedora, ce qui atténue quelque peu ce problème.

Si vous souhaitez un cycle de publication plus long, alors quelque chose comme CentOS (qui est essentiellement la version gratuite de Red Hat Enterprise Linux) peut être plus facile sur votre charge de travail.

Pour résumer, je pense que vous êtes très bien avec Fedora si vous en êtes satisfait. Je n'ai jamais vu de preuves indiquant que Debian, Ubuntu ou CentOS sont particulièrement plus sûrs que Fedora.

Ophidian
la source
1

Tout système d'exploitation peut être sécurisé. Deux points sur Fedora en tant que serveur. Premièrement, chaque fois que vous mettez à niveau une version logicielle, vous courez le risque d'introduire de nouveaux bogues et des problèmes de sécurité qui ne sont pas présents dans la version précédente. C'est pourquoi les entreprises voudront attendre un an après la sortie du logiciel avant de l'installer, de sorte que de nombreux bugs et problèmes de sécurité peuvent être corrigés. Vous ne voulez pas passer à de nouvelles versions chaque fois que vous en sortez, faites face aux maux de tête liés à la migration et aux nouveaux problèmes de sécurité impliqués. Second Fedora n'a pas la possibilité d'obtenir un support d'entreprise comme RedHat ou Ubuntu.

Jared
la source
1
Cela peut aussi être considéré comme un problème. Ne pas utiliser les dernières versions signifie que nous sommes exposés à des exploits bien connus. Citant sur DNS et BIND, que je lisais hier tel qu'il est - "Abonnez-vous à l'un des services consultatifs fournis par SANS (www.sans.org) ou CERT (www.cert.org), ainsi que de nombreux autres, et prendre des mesures sur BIND et les alertes technologiques associées. En fonction de la gravité de l'alerte, cela peut nécessiter une mise à niveau immédiate suivie d'un test rapide avant un remplacement rapide à l'échelle du système. Mieux vaut dans ce cas risquer un nouveau problème qu'un exploit connu. "
Saurabh Barjatiya
1
Si vous avez un système d'exploitation de serveur pris en charge par une grande entreprise, ils rétroporteront tous les correctifs de sécurité dont ils ont besoin si la version affectée du logiciel fait toujours partie d'une version de ce système d'exploitation qu'ils proposent.
Jared
1

Nous utilisons RHEL au travail. Si vous deviez mettre à niveau des serveurs 7k tous les 6 ou 12 mois, nous ne serions jamais en avance. Nous obtenons toujours des serveurs Win2k3 pour 2008.

Les versions de Fedora sont trop fréquentes pour qu'une entreprise avec beaucoup de serveurs reste à jour. Pour une petite entreprise, Fedora est probablement correct à utiliser. Mais là encore, vous auriez besoin d'un administrateur Linux sur le site et la plupart ne peuvent pas se le permettre pour résoudre de nombreux problèmes. C'est donc là que RHEL a un avantage: une assistance payante.

J'ai utilisé Debian à la maison. Je viens de passer de 7 à 8 et ça s'est très bien passé. Ubuntu a aussi un serveur, mais Ubuntu est équivalent à Fedora. Debian met beaucoup de temps à déployer de nouveaux paquets car ils les testent minutieusement. L'inconvénient est que vous ne disposez peut-être pas de la dernière version d'Apache ou de MySQL ou de toute autre application dont vous avez besoin et qui possède les fonctionnalités souhaitées. Bien sûr, vous pouvez le télécharger séparément, mais il va à l'encontre du but d'avoir un système d'exploitation "stable et sécurisé".

user1052448
la source
Même moi, je n'utiliserais pas Fedora pour tout . Mais il existe quelques cas ciblés où un cycle de mise à jour rapide peut avoir plus de sens. Certaines applications Web, par exemple.
Michael Hampton
0

De plus - des caractéristiques / fonctionnalités peuvent apparaître et être ensuite supprimées dans la prochaine version - ce qui n'est [généralement] pas utile pour un serveur , car vous voulez la fiabilité. OTOH, si vous installez, disons, F11 et que vous vous y tenez pendant 2-4 ans comme vous l'auriez fait avec CentOS 5 ou Ubuntu LTS, alors il n'y a pas de réelle différence. Il s'agit de niveaux de confort.

garenne
la source
-2

Attends quoi? Pour autant que je sache, Wikipedia fonctionne sur Fedora. Pas sur RedHat - sur Fedora. Il n'y a donc vraiment aucun problème avec Fedora utilisé comme WebServer :)

Nidrax
la source
Je ne pense pas: [me @ risby ~] $ telnet en.wikipedia.org 22 [...] SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.1
MadHatter
La Fondation Wikimedia utilisait Fedora mais est passée à Ubuntu en 2008 .
Michael Hampton
-3

Généralement, ce qu'un administrateur système souhaite d'une distribution orientée serveur, c'est:

  1. Aucun logiciel de pointe, même sur la dernière version
  2. Tous les logiciels dont vous avez besoin doivent être disponibles dans les dépôts officiels: dans un environnement de production, vous n'êtes parfois pas autorisé à utiliser des packages extraits de sites Web aléatoires ou, pire encore, compilés localement.
  3. Mises à jour de sécurité centralisées et opportunes à partir des dépôts officiels
  4. Packages et politiques d'installation de packages (fournis par la distribution) qui assurent des mises à niveau fluides [c'est-à-dire la mise à niveau du contenu d'un fichier de configuration lorsqu'un démon est mis à niveau vers une nouvelle version]
  5. En option, support d'entreprise

Fedora échoue sur ce point, afaik

CentOS échoue sur 2,3,4,5

Debian échoue le 5

Ubuntu échoue sur 1

Votre choix :)

Federico
la source
7
Je ferais des recherches sur cette liste avant de publier quelque chose de cette ampleur. Un nouveau venu pourrait prendre votre opinion pour un fait. Je ne me souviens pas que Fedora ou CentOS aient utilisé des référentiels "non fiables" pas plus qu'Ubuntu. Je me souviens de mes dernières mises à jour de sécurité "centralisées et opportunes" de Fedora il y a environ 4 jours. Avez-vous vu mes scripts d'installation de packages? Ils sont chics ! Veuillez noter lorsque vous exprimerez une opinion ou un fait la prochaine fois, pour clarifier les choses pour le reste d'entre nous. Si vous vouliez vraiment battre la liste, vous auriez pu dire FreeBSD et les faire sauter hors de l'eau, sans le soutien de l'entreprise.
bobby
3
IMHO CentOS échoue uniquement sur 5. Il y a un risque associé à 3 mais ils sont assez opportuns selon mon expérience.
Mark
1
Si vous allez faire des déclarations folles sur les différentes distributions dans vos suggestions, vous devriez vraiment les justifier un peu plus avec des faits. Outre le manque de soutien de la part des entreprises (que je suis sûr que vous pourriez trouver des consultants prêts à fournir), je ne suis pas d'accord avec votre évaluation de l'échec de Fedora.
Ophidian le
1
Que ce soit à propos de `` non fiable '', j'ai trouvé que les dépôts centos manquaient assez la dernière (seule) fois que je l'ai exécuté, et j'ai dû les compléter avec plusieurs dépôts tiers. Je n'ai pas trouvé que c'était le cas à Fedora. Le seul référentiel tiers que j'ai utilisé dans fedora est rpmfusion pour des trucs comme les médias non gratuits et les packages graphiques, dont je ne vois pas l'énorme besoin sur mes serveurs.
theotherreceive
3
Je vous voterais juste pour les points 1,2,3,4,5. Mais les affirmations au sujet desquelles la distribution échoue sur quel compte sont tout simplement fausses.
Milan Babuškov