Qual é o problema com o uso do Fedora para servidores?

Eu usei o Fedora para hospedar servidores muitas vezes. Eu nunca enfrentei nenhum problema. Ainda assim, todos os novos usuários vêm dizer que o Fedora não é seguro. Devemos usar o Ubuntu / CentOS ou alguma outra distribuição, mas não o Fedora. Eu nunca entendo qual é o problema com o Fedora. O que torna outras distribuições mais seguras.

Alguns pontos: 1. O Fedora vem com o iptables configurado para permitir apenas SSH. Além disso, sempre podemos configurar o iptables para bloquear mesmo o SSH, se quisermos também. Portanto, não é curto vir no firewall.

2. O Fedora lança atualizações regularmente (segurança e patches gerais).

3. As pessoas dizem que a distro X lança uma nova versão uma vez em 5 anos e o Fedora uma vez em 6 meses. Como liberar uma vez a cada cinco anos torna as coisas seguras. Se você sentir que as coisas de 5 anos são seguras, instale o sistema operacional de cinco anos ou não atualize por 5 anos, mesmo que a nova versão venha. Pessoalmente, sinto que não dar nova versão por 5 anos não aumenta a segurança. Você precisaria liberar patches por 5 anos quando e quando os erros fossem detectados. Portanto, o uso de sistemas operacionais muito antigos significa mais patches. Se usarmos a versão lançada recentemente, teremos de aplicar menos atualizações / patches. Como liberar uma vez a cada cinco anos torna as coisas seguras que eu nunca entendi.

4. Todo sistema operacional usa pacotes semelhantes como Gnome, Open-Office, KDE, Open-SSH, Apache. Outros desenvolvedores de distribuição gastam tempo lendo o código-fonte desses pacotes e corrigindo erros de segurança, se houver? Mesmo que eles publiquem essas falhas, todas as outras distribuições lançariam patches para ela, incluindo o Fedora. Ou eles garantiriam suas próprias distribuições e não se incomodariam em notificar outras pessoas. Tudo isso assumindo que eles leem milhões de linhas de códigos de pacotes do tamanho de apache, gcc, Open-Office. Se isso acontecer em todas as distribuições, o que torna o Fedora mais vulnerável.

5. O Fedora vem com o seLinux pré-instalado e bem configurado.

6. A ligação é executada no chroot por padrão no fedora. Agora, com o suporte DNSSEC do Fedora 11, também está presente por padrão. Veja a pergunta Servidor DNS no Fedora 11, onde alguém apontou o Fedora como inadequado para hospedar DNS. Eu não sei porque.

De fato, um dos novos administradores instalou o Cent-OS 5.3 em uma das máquinas de teste. Eu o usei para executar ping em um IP que não estava lá. Eu recebi respostas de ping. Fiquei surpreso, pois não era possível. Tentei descobrir o local de onde as respostas estão chegando, mas falhei. No final, depois de tentar por mais de uma hora, removi o cabo de rede da máquina CentOS. Eu ainda era capaz de executar ping no IP. Então tentei executar ping no endereço IP da máquina. Eu também poderia fazer ping. Portanto, consegui executar ping em dois IPs (não em outros, tentei-os também) quando a máquina foi configurada com um IP e nenhum alias (eth0: 1 etc.) estava presente. Eu verifiquei a saída ifconfig também. Perdi total confiança nas distribuições de servidores e instalei o Fedora 11 em todas as máquinas de teste. Agora não enfrento problemas tão estranhos em coisas tão básicas quanto o ping.

Eu realmente apreciaria se pudesse obter exemplos da vida real que indiquem que o Fedora não é seguro e, nesse caso, haveria outras distribuições. Não dê exemplos foram erros cometidos pelo administrador. Não podemos culpar uma distribuição por isso. Também não dê exemplos muito antigos do Fedora 1, 2 ou Fedora 3. O projeto Fedora está muito maduro agora, especialmente nas duas últimas versões 10, 11. Se você enfrentou problemas de segurança específicos apenas a eles, por favor, compartilhe suas experiências.

Não há nada que determine que o Fedora não seja adequado para uso em servidores, nem que algo que determine que "distros de servidor" seja a única opção para servidores. Depende de suas necessidades particulares.

O que você pode ganhar com o uso das "distros do servidor" é:

• Suporte de longo termo
• APIs estáveis ​​(pouca ou nenhuma atualização de versão de bibliotecas e aplicativos)
• correções de segurança e correções de segurança
• suporte pago

Minha principal "reclamação" para as distribuições de servidores é que os softwares / bibliotecas tendem a ser um pouco antigos, e a variedade de pacotes suportados é muito menor do que os esforços conduzidos pela comunidade.

Ou seja, o suporte a longo prazo e as APIs que não mudam são algo que os fornecedores de software comercial adoram, eles não terão que reconstruir seu aplicativo para as bibliotecas mais recentes porque a API mudou repentinamente. Eles podem desenvolver para o Fornecedor Y Release X e saber que essa plataforma estará disponível por vários anos.

Eu pensei que não tinha nada a acrescentar, mas depois de rodar o Fedora em produção por quase dois anos - para o meu sistema de monitoramento Zabbix, muito importante! - parece que tenho algumas coisas a dizer.

Primeiro, não foi minha primeira escolha. Normalmente, para qualquer coisa que seja vagamente importante, escolherei o CentOS / RHEL pelos benefícios de estabilidade a longo prazo que essas distribuições oferecem. No entanto, para essa implantação em particular, eu absolutamente exigi recursos no Zabbix 2.0, enquanto o repositório EPEL forneceu apenas 1,8. (O EPEL agora possui os pacotes Zabbix 2.0 e 2.2 além do 1.8, embora não existisse na época. Se tivesse, eu nunca teria tentado isso.)

Portanto, a desvantagem aqui é: o Fedora possui o software mais recente, mas seus lançamentos têm um ciclo de vida de 13 meses muito curto, com novos lançamentos a cada seis meses. Isso significa que eu tive que planejar uma janela de manutenção para atualizar o Fedora duas vezes por ano, além da instalação periódica usual de atualizações.

Para um sistema de monitoramento que deveria acompanhar tudo o mais , é vital que esses períodos de manutenção sejam o mais raro e o mais curto possível. Com o requisito de atualização com tanta frequência, isso geralmente descartaria essa distribuição, mas lembre-se de que eu tinha preocupações mais urgentes; seria inútil sem os recursos que eu precisava. Portanto, essa é uma troca que fiz com (quase) pleno conhecimento das consequências.

Há pouco tempo, fiz a atualização do Fedora 18-19 neste servidor, usando a nova ferramenta de atualização de fedup do Fedora. Planejei uma interrupção de duas horas, com outras duas horas, para possivelmente lidar com qualquer um dos serviços monitorados que poderiam ter morrido e esse fato foi esquecido desde a queda do Zabbix.

O tempo de inatividade real do serviço foi de 11 minutos. Foi a partir do momento em que o Zabbix parou antes da reinicialização até o momento em que foi feito o backup e o monitoramento dos serviços após a atualização concluída. Eu não sabia que o tempo de inatividade seria tão curto! Eu estava esperando muito mais problemas , apesar de saber por experiência própria que problemas significativos de atualização são incomuns no Fedora. (E foi aprimorado ainda mais: quando eu fiz a atualização do Fedora 19-20, o tempo de inatividade completo foi incrível seis minutos . O mesmo tempo para 20-21.)

Este serviço quase certamente será movido para o RHEL 7 quando estiver disponível. Após essa experiência, estou muito mais confiante no Fedora como servidor e agora pretendo mantê-lo, mesmo com uma grande atualização a cada seis meses. Mudar para o RHEL seria muito mais perturbador e poderá me limitar no futuro, devido ao seguinte:

É lamentável que a Red Hat tenha um tempo tão longo entre os principais lançamentos; um atraso semelhante entre o EL5 e o EL6 me levou a colocar uma instalação do Ubuntu em produção, algo que ainda estou me dedicando até hoje. (Para esse sistema, considerei o Fedora, mas estranhamente ele não tinha o software que eu precisava empacotado no momento, apesar de uma versão mais antiga estar no EPEL.)

Um "problema" que ninguém mencionou sobre a execução do Fedora é que você verá muitas coisas novas, grandes projetos de software e pequenas melhorias, bem antes de serem incluídas no RHEL. Então, quando você for gerenciar seus sistemas RHEL / CentOS, sentirá falta deles. Por exemplo, o Fedora possui um grande número de conclusões do bash que ainda não estão no RHEL por padrão; uma notável é a conclusão da guia para nomes de pacotes na yumlinha de comando.

Portanto, é certamente possível usar o Fedora na produção, desde que você aceite as vantagens e desvantagens:

• Não há contratos de suporte. Você deve ter experiência interna suficiente para gerenciar o servidor e seus serviços e lidar com quaisquer problemas que possam surgir; somente o apoio da comunidade está disponível e não há garantias lá. A experiência do RHEL ajuda, pois são bastante semelhantes.
• Você deve ter uma janela de manutenção para atualizar pelo menos anualmente . Embora a cada seis meses seja melhor; se você atualizar anualmente, precisará atualizar dois lançamentos ao mesmo tempo, o que duplica o número de possíveis problemas com os quais você terá que lidar às 3 da manhã.
• As atualizações podem trazer novas versões de software, com as quais você terá que lidar; no entanto, serão lançamentos pontuais e não versões principais. Em casos raros, novas funcionalidades significativas podem ser adicionadas (por exemplo, BZ # 319901 ). Normalmente, porém, o software permanece no mesmo número de versão durante toda a vida do lançamento, com as correções suportadas; somente alguns pacotes (como PHP) rastreiam lançamentos de pontos upstream.
• Embora não haja diferença significativa no ritmo das atualizações de segurança, elas nem sempre podem ser isoladas das atualizações de correções (novamente, como o PHP). Se isso é um problema depende do serviço que você planeja executar.

Tudo considerado, o Fedora ainda não é minha primeira escolha para uma plataforma de servidor, e provavelmente nunca será. (Embora eu tenha sido um usuário feliz da área de trabalho do Fedora por toda a sua existência.) No caso em que você absolutamente precisa de versões mais atuais do software não disponíveis em uma distribuição mais "corporativa" e de aceitar as compensações, não há nada. errado em usar o Fedora.

Por fim, como você perguntou especificamente sobre segurança, algumas palavras sobre isso.

Como observado anteriormente, não há diferença real no ritmo das atualizações de segurança entre o Fedora e qualquer outra distribuição. Os empacotadores do Fedora fazem esforços especiais para ficar perto do upstream e obter esse tipo de atualização o mais rápido possível, às vezes antes do projeto upstream.

Como seu irmão mais velho empreendedor, o Fedora também é fornecido com uma configuração de segurança bastante bloqueada: serviços (exceto ssh) são enviados por padrão; o firewall de negação padrão é ativado por padrão para IPv4 e IPv6; O SELinux está aplicando por padrão. Além disso, o Fedora é reforçado de várias outras maneiras .

Por outro lado, você vê novas tecnologias de segurança muito cedo; Um exemplo é a introdução recente do FirewallD , que ainda não está pronto para o horário nobre, embora seja fácil voltar ao firewall anterior .

É mais sobre estabilidade e taxa de mudança do que segurança, por si só. O Fedora é uma plataforma para a Red Hat lançar novos recursos e aplicativos para validar sua relevância, fornecer uma plataforma para experimentar e resolver problemas de integração.

Isso geralmente não é o que você deseja que um servidor faça - você geralmente deseja que um servidor execute uma função da maneira mais estável possível.

Dependendo do que você está fazendo, o Fedora pode estar bem. Se você estiver desenvolvendo aplicativos de desktop Linux, pode ser desejável trabalhar com o que há de mais moderno. Da mesma forma, se você estiver trabalhando em um projeto escolar de um semestre ou em algum outro projeto de duração limitada, onde o ritmo acelerado das mudanças não é uma preocupação, o Fedora também está bem.

O ponto principal que me impede de usar o Fedora para um servidor e preferir o Debian, Ubuntu ou CentOS é a estabilidade e a duração do suporte . Quando você está executando um servidor, deseja estabilidade, segurança e longevidade. Sim, quase todas as distros estão empacotando o mesmo software, portanto não importa lá. É uma questão do que é testado, possui atualizações de segurança e é suportado.

O cronograma de lançamentos do Fedora a cada 6 meses é bom se você quiser um ponto final, mas quando se fala em um ponto final do servidor nem sempre é uma coisa boa. Acrescente a isso que o Fedora suporta apenas as três últimas versões, o que significa que você está olhando para um sistema operacional não suportado em 18 meses e precisando atualizar. Se você já fez uma atualização do Fedora, eles geralmente são ruins e é mais fácil fazer uma instalação limpa, que em um desktop / laptop pode não ser tão ruim, mas para um servidor que significa tempo de inatividade e é inaceitável para a maioria dos administradores de sistema.

De longe, o CentOS possui o ciclo de suporte mais longo e, durante esse período, ele é suportado e os patches e atualizações de segurança são lançados, por isso não é a mesma versão o tempo todo. A vantagem disso é que você não está gastando todo o seu tempo se preparando para a próxima atualização. Você tem um servidor estável com um software testado estável em execução.

O Debian tem um cronograma de lançamento mais longo que o Fedora, mas mais curto que o CentOS, mas sempre com atualizações de segurança. A outra vantagem do Debian é um caminho de atualização limpo. As versões Debian são testadas para instalação limpa e atualizações ao vivo e não são realmente lançadas até que possam ser executadas com sucesso sem problemas. Essa atenção aos detalhes e a vontade de adiar uma data de lançamento para eliminar mais erros de pacote é um dos profissionais mais fortes. A estrutura do pacote DEB também foi projetada para tornar a atualização muito suave e manter suas configurações. A única coisa que falta é realmente o suporte comercial, caso em que você pode olhar para o Ubuntu, que pega seus pacotes do Debian, assim como o CentOS pega muito do seu pacote do RHEL.

Edit: Adicionado texto em negrito para chamar a atenção para o fato de que obviamente estava faltando e que eu não considero o Fedora estável o suficiente para uma plataforma de servidor.

Sem suporte.

O Fedora não possui contratos de suporte técnico como o Red Hat Enterprise. Não há ninguém para ligar se você tiver um problema de parada de programa.

Meu maior argumento seria:

Servidores não são seu público-alvo primário

Da mesma forma, eu não recomendaria o uso do Ubuntu para um ambiente de servidor, e muitos discordariam de mim, mas esse simplesmente não é o alvo principal.

O software direcionado a usuários domésticos e desktops tende a faltar nos departamentos orientados ao servidor, assim como as coisas direcionadas ao servidor não funcionam tão bem para os usuários domésticos.

Além disso, as plataformas direcionadas aos usuários domésticos tendem a atrair mais usuários domésticos, portanto, os bugs descobertos, relatados e corrigidos serão priorizados devido a esse efeito.

Da mesma forma, as plataformas direcionadas ao uso do servidor tenderão a atrair o uso do servidor e, portanto, os erros relacionados ao uso do servidor terão mais probabilidade de serem encontrados e resolvidos quando você chegar a eles.

(Eu tenho pelo menos um amigo que tenha experiência profissional com o Ubuntu em ambientes de produção e diz que ficou horrorizado com isso, e prefere muito o CentOS para servidores de produção porque.)

seLinux

O Fedora vem com o seLinux pré-instalado e bem configurado.

É importante observar que o seLinux não implica segurança.

No site seLinux da NSA :

O Linux com segurança aprimorada destina-se apenas a demonstrar controles obrigatórios em um sistema operacional moderno como o Linux e, portanto, é muito improvável que ele atenda a qualquer definição interessante de sistema seguro.

Sou um grande fã do fedora, acho maravilhoso e o executo em todos os meus desktops / laptops, mas não o executava em nenhum dos meus servidores.

• O Fedora pretende estar mais próximo do 'limite'. Isso significa que você obterá um software mais novo que passou menos tempo sendo testado. Como nenhum release sai exatamente ao mesmo tempo, é difícil obter números exatos sobre isso, mas eu sinto que o ubuntu geralmente está um release atrasado em novos recursos, enquanto o debian / centos / redhat está muito mais atrasado.

• Tenho a impressão de que, por causa disso, há mais atualizações no fedora, mas, novamente, não tenho números para fazer backup disso.

O que realmente impressiona é a falta do modelo LTS que o ubuntu possui. Você pode instalar um ubuntu LTS alguns meses após seu lançamento e saber que ele teve tempo de sobra para resolver os principais problemas e se acalmar um pouco.

Depois disso, você saberá que possui no mínimo 4 anos de suporte e atualizações adicionais antes de atualizar o servidor. Eu poderia viver com qualquer um dos outros problemas em potencial com a execução do fefora, mas não com a necessidade de mover a liberação em cada caixa pelo menos uma vez por ano (provavelmente duas vezes).

Edit: Encontrou alguns números ...

O Fedora 11 vem com o servidor openssh versão 5.2. Quando lançado, o ubuntu karmic terá apenas a versão 5.1 , a mesma versão que o debian lenny . O site centos é muito ruim para eu encontrar uma versão, mas depois eles estão no 4.x

Não é que o fedora seja inseguro. É que ele é fornecido com pacotes de última geração e é atualizado muito rapidamente, para que você precise fazer atualizações a cada ano ou mais para continuar recebendo atualizações de segurança. Isso é muito importante se você tiver um número não trivial de servidores, principalmente porque o processo de atualização do fedora (iirc) requer tempo de inatividade.

O uso do Fedora em um servidor versus algo como CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES, etc realmente se resume à ferramenta certa para o trabalho.

A principal reclamação que você encontrará dos administradores de servidor sobre o Fedora no servidor é o ciclo de atualização a cada 6 meses a um ano (dependendo se você deseja sempre estar atualizado ou ignorar todas as outras versões). Como você apontou, o Fedora instala configurações "seguras por padrão" e fornece muitas ferramentas para manter um sistema seguro. Especialmente em um servidor, a ferramenta de pré-atualização manipula as migrações entre diferentes versões do Fedora, o que atenua um pouco essa preocupação.

Se você deseja um ciclo de lançamento mais longo, algo como o CentOS (que é essencialmente a versão gratuita do Red Hat Enterprise Linux) pode ser mais fácil em sua carga de trabalho.

Para resumir, acho que você está bem com o Fedora, se estiver feliz com isso. Eu nunca vi nenhuma evidência indicando que o Debian, Ubuntu ou CentOS são particularmente mais seguros que o Fedora.

Qualquer sistema operacional pode ser protegido. Dois pontos sobre o Fedora como servidor. Primeiro, toda vez que você atualiza uma versão do software, corre o risco de introduzir novos bugs e problemas de segurança que não estão presentes na versão anterior. É por isso que as empresas vão querer esperar um ano após o lançamento do software antes de instalá-lo, para que muitos bugs e problemas de segurança possam ser corrigidos. Você não deseja mudar para novas versões sempre que surgir, devido às dores de cabeça da migração e aos novos problemas de segurança envolvidos. O segundo Fedora não tem a capacidade de obter suporte corporativo como RedHat ou Ubuntu.

Usamos RHEL no trabalho. Se você tivesse que atualizar servidores de 7k a cada 6 ou 12 meses, nunca estaríamos à frente. Ainda estamos recebendo servidores Win2k3 para 2008.

Os lançamentos do Fedora são muito frequentes para uma empresa com muitos servidores permanecer atualizada. Para uma pequena empresa, é certo que o Fedora provavelmente é bom de usar. Mas, novamente, você precisaria de um administrador linux no local e a maioria não pode pagar por um para solucionar muitos problemas. Então é aí que o RHEL tem uma vantagem - suporte pago.

Eu usei o Debian em casa. Acabei de atualizar de 7 para 8 e foi muito bom. O Ubuntu também tem um servidor, mas o Ubuntu é equivalente ao Fedora. O Debian leva muito tempo para lançar novos pacotes porque eles os testam completamente. A desvantagem é que você pode não ter o Apache ou MySQL mais recente ou qualquer aplicativo que você precise com os recursos que deseja. Claro que você pode baixá-lo separadamente, mas isso anula o propósito de ter um sistema operacional "estável e seguro".

Além disso - os recursos / funcionalidades podem aparecer e serem ligados na próxima versão - o que [geralmente] não é útil para um servidor , pois você deseja confiabilidade. OTOH, se você instalar, digamos, o F11, e ficar com ele por 2 a 4 anos, como faria com o CentOS 5 ou Ubuntu LTS, então não haverá diferença real. É sobre níveis de conforto.

Espere o que? Até onde eu sei, a Wikipedia está sendo executada no Fedora. Não no RedHat - no Fedora. Portanto, não há realmente nenhum problema com o Fedora sendo usado como um servidor da Web :)

Geralmente, o que um administrador de sistemas deseja de uma distribuição orientada a servidor é:

1. Nenhum software de ponta, mesmo na versão mais recente
2. Todo o software que você precisa deve estar disponível nos repositórios oficiais: em um ambiente de produção, às vezes você não tem permissão para usar pacotes extraídos de sites não confiáveis ​​aleatórios ou, pior ainda, compilados localmente.
3. Atualizações de segurança centralizadas e oportunas dos repositórios oficiais
4. Scripts e políticas de instalação de pacotes (fornecidos pela distribuição) que garantem atualizações suaves [ou seja, atualizando o conteúdo de um arquivo de configuração quando um daemon é atualizado para uma nova versão]
5. Opcionalmente, suporte corporativo

O Fedora falha nesses pontos, depois

O CentOS falha em 2,3,4,5

O Debian falha em 5

Ubuntu falha em 1

Sua escolha :)