¿Cuál es el problema con el uso de Fedora para servidores?

He usado Fedora para alojar servidores muchas veces. Nunca me he enfrentado a ningún problema. Aún así, todos los nuevos usuarios vienen y le dicen a Fedora que no es seguro. Deberíamos usar Ubuntu / CentOS o alguna otra distribución pero no Fedora. Nunca entiendo cuál es el problema con Fedora. Lo que hace que otras distribuciones sean más seguras.

Pocos puntos: 1. Fedora viene con iptables configurados para permitir solo SSH. Además, siempre podemos configurar iptables para bloquear incluso SSH si queremos también. Por lo tanto, no falta en cortafuegos.

2. Fedora lanza actualizaciones regularmente (tanto parches de seguridad como generales).

3. La gente dice que distro X lanza una nueva versión una vez cada 5 años y Fedora una vez cada 6 meses. ¿Cómo es que lanzar una vez cada 5 años asegura las cosas? SI cree que las cosas de 5 años son seguras, instale el sistema operativo de cinco años o no actualice durante 5 años, incluso si viene una nueva versión. Personalmente, creo que no dar nueva versión durante 5 años no aumenta la seguridad. Tendría que liberar parches durante 5 años a medida que se detectan errores. Entonces, usar un sistema operativo muy antiguo solo significa más parches. Si utilizamos la versión lanzada recientemente, entonces tenemos que aplicar menos actualizaciones / parches. Cómo liberar una vez cada 5 años hace que las cosas sean seguras que nunca he entendido.

4. Todos los sistemas operativos usan paquetes similares como Gnome, Open-Office, KDE, Open-SSH, Apache. ¿Otros desarrolladores de distribución pasan tiempo leyendo el código fuente de estos paquetes y corrigiendo errores de seguridad, si los hay? Incluso si no lo hacen, publican esos defectos y todas las demás distribuciones liberarían parches para ello, incluido Fedora. ¿O asegurarían sus propias distribuciones y no se molestarían en notificar a otros? Todo esto suponiendo que lean todos los millones de líneas de códigos de paquetes tan grandes como apache, gcc, Open-Office. Si esto es lo mismo en cada distribución, lo que hace a Fedora más vulnerable.

5. Fedora viene con seLinux preinstalado y bien configurado.

6. Bind se ejecuta en chroot por defecto en fedora. Ahora con Fedora 11 el soporte DNSSEC también está presente por defecto. Vea la pregunta Servidor DNS en Fedora 11, donde alguien señaló que Fedora no es bueno para alojar DNS. No se por que.

De hecho, uno de los nuevos administradores instaló Cent-OS 5.3 en una de las máquinas de prueba. Lo usé para hacer ping a una IP que no estaba allí. Recibí respuestas de ping. Me sorprendió ya que no fue posible. Traté de averiguar la ubicación de donde provienen las respuestas, pero fallé. Al final, después de intentarlo durante más de una hora, quité el cable de red de la máquina CentOS. Todavía podía hacer ping a la IP. Luego intenté hacer ping a la dirección IP de la máquina. Yo también podría hacer ping a eso. Así que pude hacer ping a dos IP (no a otras, también las probé) cuando la máquina se configuró con una IP y no hubo alias (eth0: 1, etc.). Verifiqué la salida ifconfig también. Perdí la confianza total en las llamadas distribuciones de servidor e instalé Fedora 11 en todas las máquinas de prueba. Ahora no enfrento problemas tan extraños para cosas tan básicas como el ping.

Realmente agradecería si pudiera obtener ejemplos de la vida real que indiquen que Fedora no es segura y si en ese caso fuera cualquier otra distribución, las cosas habrían estado bien. No dé ejemplos de errores cometidos por el administrador. No podemos culpar a una distribución por eso. Tampoco dé ejemplos de Fedora 1, 2 o Fedora 3 muy antiguos. El proyecto Fedora es muy maduro ahora, especialmente las últimas dos versiones 10, 11. Si ha enfrentado problemas de seguridad que son específicos solo para ellos, comparta sus experiencias.

No hay nada que dicte que Fedora no sea adecuado para su uso en servidores, ni hay nada que dicte que "distribuciones de servidor" es la única opción para servidores. Depende de tus necesidades particulares.

Lo que puede ganar al usar las "distribuciones del servidor" es:

• Soporte a largo plazo
• API estables (poca o ninguna actualización de versiones de bibliotecas y aplicaciones)
• correcciones de seguridad y correcciones de errores
• apoyo pagado

Mi principal "queja" para las distribuciones de servidores es que el software / las bibliotecas tienden a ser algo antiguas, y la gama de paquetes compatibles es mucho más pequeña que los esfuerzos de la comunidad.

Es decir, el soporte a largo plazo y las API que no cambian es algo que los vendedores de software comerciales adoran, no tendrán que reconstruir su aplicación para las bibliotecas más nuevas porque la API cambió repentinamente. Pueden desarrollarse para Vendor Y Release X y saber que esta plataforma existirá durante varios años.

Pensé que no tenía nada que agregar a esto, pero después de haber ejecutado Fedora en producción durante casi dos años, ¡para mi muy importante sistema de monitoreo Zabbix! Parece que tengo un par de cosas que decir.

Primero, no fue mi primera opción. Por lo general, para cualquier cosa incluso vagamente importante, elegiré CentOS / RHEL por los beneficios de estabilidad a largo plazo que proporcionan estas distribuciones. Sin embargo, para esta implementación en particular, requería absolutamente funciones en Zabbix 2.0, mientras que el repositorio de EPEL solo proporcionaba 1.8. (EPEL ahora tiene paquetes Zabbix 2.0 y 2.2 además de 1.8, aunque no los tenía en ese momento. Si lo hubiera hecho, nunca lo habría intentado).

Entonces, la compensación aquí es: Fedora tiene el último software, pero sus lanzamientos tienen un ciclo de vida muy corto de 13 meses, con nuevos lanzamientos cada seis meses. Esto significa que tenía que planificar una ventana de mantenimiento para actualizar Fedora dos veces al año, además de la instalación periódica habitual de actualizaciones.

Para un sistema de monitoreo que se supone que debe realizar un seguimiento de todo lo demás , es vital que dichos períodos de mantenimiento sean lo menos frecuentes y lo más cortos posible. Con el requisito de actualizar con tanta frecuencia, esto generalmente descartaría dicha distribución, pero recuerde que tenía preocupaciones más apremiantes; Sería inútil sin las características que necesitaba. Así que esta es una compensación que hice con (casi) pleno conocimiento de las consecuencias.

No hace mucho tiempo, realicé la actualización de Fedora 18-19 en este servidor, utilizando la nueva herramienta de actualización de Fedora. Planeé una interrupción de dos horas, con otras dos horas para tratar posiblemente con cualquiera de los servicios monitoreados que podrían haber muerto y ese hecho se perdió desde que Zabbix estuvo caído.

El tiempo de inactividad real del servicio fue de 11 minutos. Eso es desde el momento en que Zabbix se detuvo antes de reiniciar hasta el momento en que se realizó una copia de seguridad y monitoreó los servicios después de la actualización completa. ¡No me di cuenta de que el tiempo de inactividad sería tan corto! Esperaba muchos más problemas , aunque sé por experiencia que los problemas significativos de actualización son poco comunes con Fedora. (Y se ha mejorado aún más: cuando hice la actualización de Fedora 19-20, el tiempo de inactividad completo fue de seis minutos increíbles . Al mismo tiempo durante 20-21.)

Es casi seguro que este servicio se trasladará a RHEL 7 cuando esté disponible. Después de esta experiencia, tengo mucha más confianza en Fedora como servidor y ahora tengo la intención de mantenerlo, incluso con una actualización importante cada seis meses. Mudarse a RHEL sería mucho más perjudicial y podría limitarme en el futuro, debido a lo siguiente:

Es lamentable que Red Hat tenga tanto tiempo entre lanzamientos importantes; una demora similar entre EL5 y EL6 me llevó a poner en producción una instalación de Ubuntu, algo que todavía estoy pateando hasta el día de hoy. (Para ese sistema, consideré a Fedora, pero extrañamente no tenía el software que necesitaba empaquetado en ese momento, a pesar de que una versión anterior estaba en EPEL).

Un "problema" que nadie mencionó sobre la ejecución de Fedora es que verá muchas cosas nuevas, tanto grandes proyectos de software como pequeñas mejoras, mucho antes de su inclusión en RHEL. Entonces, cuando vaya a administrar sus sistemas RHEL / CentOS, los extrañará. Por ejemplo, Fedora tiene una gran cantidad de compleciones de bash que aún no están en RHEL por defecto; Una notable es la finalización de tabulación para los nombres de paquetes en la yumlínea de comandos.

Entonces, ciertamente es posible usar Fedora en la producción, siempre que pueda aceptar las compensaciones:

• No hay contratos de soporte. Debe tener experiencia interna suficiente para administrar el servidor y sus servicios y tratar cualquier problema que pueda surgir; solo hay apoyo comunitario disponible, y no hay garantías allí. La experiencia RHEL ayuda, ya que son bastante similares.
• Debe tener una ventana de mantenimiento para actualizar al menos anualmente . Aunque cada seis meses es mejor; Si actualiza anualmente, tendrá que actualizar dos versiones a la vez, lo que duplica la cantidad de problemas potenciales que tendrá que resolver a las 3 am.
• Las actualizaciones pueden traer nuevas versiones de software, con las que tendrá que lidiar; sin embargo, estos serán lanzamientos puntuales y no versiones principales. En casos raros, se podrían agregar nuevas funcionalidades significativas (por ejemplo, BZ # 319901 ). Normalmente, sin embargo, el software permanece en el mismo número de versión durante toda la vida de la versión, con correcciones soportadas; solo algunos paquetes (como PHP) rastrean las versiones puntuales aguas arriba.
• Si bien no hay una diferencia significativa en el ritmo de las actualizaciones de seguridad, es posible que no siempre estén aisladas de las actualizaciones de corrección de errores (nuevamente, como PHP). Si esto es un problema depende del servicio que esté planeando ejecutar.

A fin de cuentas, Fedora todavía no es mi primera opción para una plataforma de servidor, y probablemente nunca lo será. (Aunque he sido un feliz usuario de escritorio de Fedora durante toda su existencia). En el caso de que necesite absolutamente más versiones actuales de software que no estén disponibles en una distribución más "empresarial", y pueda aceptar las compensaciones, entonces no hay nada mal con el uso de Fedora.

Finalmente, dado que usted preguntó específicamente sobre seguridad, algunas palabras al respecto.

Como se señaló anteriormente, no hay una diferencia real en el ritmo de las actualizaciones de seguridad entre Fedora y cualquier otra distribución. Los empaquetadores de Fedora hacen esfuerzos especiales para mantenerse cerca de la corriente ascendente y obtener este tipo de actualizaciones lo más rápido posible, a veces incluso antes de que lo haga el proyecto ascendente.

Al igual que su hermano mayor empresarial, Fedora también se envía con una configuración de seguridad bastante bloqueada: los servicios (excepto ssh) se envían por defecto; el firewall denegado predeterminado está habilitado de manera predeterminada para IPv4 e IPv6; SELinux está aplicando por defecto. Además, Fedora se endurece de varias otras maneras .

Por otro lado, puedes ver la nueva tecnología de seguridad muy temprano; Un ejemplo es la reciente introducción de FirewallD , que todavía no está listo para el horario estelar, aunque es fácil volver al firewall anterior .

Se trata más de estabilidad y tasa de cambio que de seguridad, per se. Fedora es una plataforma para que Red Hat implemente nuevas funciones y aplicaciones para validar su relevancia, proporcionar una plataforma para experimentar y resolver problemas de integración.

Por lo general, eso no es lo que desea que haga un servidor, generalmente desea que un servidor realice una función de la manera más estable posible.

Dependiendo de lo que esté haciendo, Fedora puede estar bien. Si está desarrollando aplicaciones de escritorio de Linux, puede ser conveniente trabajar con la última tecnología. Del mismo modo, si está trabajando en un proyecto escolar de un semestre o algún otro proyecto de duración limitada en el que el alto ritmo de los cambios no es una preocupación, Fedora también está bien.

El punto clave que me impide usar Fedora para un servidor y preferir Debian, Ubuntu o CentOS es la estabilidad y la duración del soporte . Cuando ejecuta un servidor, desea estabilidad, seguridad y longevidad. Sí, casi todas las distribuciones incluyen el mismo software, por lo que no importa. Se trata de lo que se prueba, tiene actualizaciones de seguridad y es compatible.

El cronograma de lanzamiento de Fedora de cada 6 meses es bueno si quieres un punto de inflexión pero cuando se habla de un punto de inflexión del servidor no siempre es algo bueno. Además, Fedora solo admite las últimas tres versiones, lo que significa que está buscando un sistema operativo no compatible en 18 meses y que tiene que actualizar. Si alguna vez ha realizado una actualización de Fedora, generalmente son malos y es más fácil hacer una instalación limpia que en una computadora de escritorio / portátil puede no ser tan mala, pero para un servidor que significa tiempo de inactividad y es inaceptable para la mayoría de los administradores de sistemas.

CentOS, con mucho, tiene el ciclo de soporte más largo y durante ese tiempo es compatible y se lanzan parches de seguridad y actualizaciones, por lo que no es la misma versión todo el tiempo. La ventaja de esto es que no pasa todo el tiempo preparándose para la próxima actualización. Tiene un servidor estable con software estable probado que se ejecuta en él.

Debian tiene un cronograma de lanzamiento que es más largo que Fedora pero más corto que CentOS, pero siempre está actualizado con las actualizaciones de seguridad. La otra ventaja de Debian es una ruta de actualización limpia. Las versiones de Debian se prueban tanto para la instalación limpia como para las actualizaciones en vivo y en realidad no se lanzan hasta que se pueda hacer con éxito sin problemas. Esta atención al detalle y la voluntad de retrasar una fecha de lanzamiento para eliminar más errores de paquete es uno de sus mejores profesionales. La estructura del paquete DEB en sí también está diseñada para que la actualización sea muy fluida y mantenga sus configuraciones. Lo único que le falta realmente es soporte comercial, en cuyo caso puede buscar Ubuntu que toma sus paquetes de Debian al igual que CentOS toma gran parte de su paquete de RHEL.

Editar: Se agregó texto en negrita para llamar la atención sobre el hecho de que obviamente se perdió que no considero a Fedora lo suficientemente estable como para una plataforma de servidor.

Sin soporte.

Fedora no tiene contratos de soporte técnico como Red Hat Enterprise. No hay nadie a quien llamar si tiene un problema que detiene la presentación.

Mi mayor argumento sería:

Los servidores no son su público objetivo principal

Del mismo modo, no recomendaría usar Ubuntu para un entorno de servidor, y muchos estarían en desacuerdo conmigo, pero ese no es el objetivo principal.

El software que está dirigido a usuarios domésticos y equipos de escritorio tiende a faltar en los departamentos orientados al servidor, al igual que las cosas que están dirigidas al servidor no funcionan tan bien para los usuarios domésticos.

Además, las plataformas dirigidas a usuarios domésticos tienden a atraer a más usuarios domésticos, por lo tanto, los errores que se descubren, informan y corrigen tendrán prioridad debido a ese efecto.

Del mismo modo, las plataformas dirigidas al uso del servidor tenderán a atraer el uso del servidor y, por lo tanto, es más probable que los errores relacionados con el uso del servidor se hayan encontrado y resuelto para cuando llegue a ellos.

(Tengo al menos un amigo que tiene experiencia profesional con Ubuntu en entornos de producción y dice que estaba completamente horrorizado por ello, y preferiría CentOS para los servidores de producción porque).

seLinux

Fedora viene con seLinux preinstalado y bien configurado.

Es importante tener en cuenta que seLinux no implica seguridad.

Desde el propio sitio web de la NSA seLinux :

Linux con seguridad mejorada solo está destinado a demostrar controles obligatorios en un sistema operativo moderno como Linux y, por lo tanto, es muy poco probable por sí solo para cumplir con una definición interesante de sistema seguro.

Soy un gran fanático de fedora, creo que es maravilloso, y lo ejecuto en todos mis equipos de escritorio / portátiles, pero no lo ejecutaría en ninguno de mis servidores.

• Fedora apunta a estar más cerca del 'borde sangriento'. Esto significa que obtendrá un software más nuevo que ha pasado menos tiempo siendo probado. Dado que no se publica ninguna versión exactamente al mismo tiempo, es difícil obtener números exactos sobre esto, pero creo que ubuntu a menudo tiene una versión posterior en las nuevas características, mientras que debian / centos / redhat están mucho más atrás.

• Es mi impresión que debido a esto hay más actualizaciones en fedora, pero nuevamente no tengo ningún número para respaldar esto.

Lo que realmente lo balancea es la falta del modelo LTS que tiene ubuntu. Puede instalar un ubuntu LTS unos meses después de su lanzamiento y saber que ha tenido tiempo de sobra para resolver cualquier problema importante y resolverlo un poco.

Después de eso, sabe que tiene un mínimo de 4 años de soporte y actualizaciones adicionales antes de tener que actualizar su servidor. Podría vivir con cualquiera de los otros problemas potenciales con la ejecución de fefora, pero no con tener que mover el lanzamiento en cada caja un mínimo de una vez al año (aunque probablemente dos veces).

Editar: Encontrado algunos números ...

Fedora 11 viene con el servidor openssh versión 5.2. Cuando se publique ubuntu karmic solo tendrá la versión 5.1 , la misma versión que tiene Debian Lenny . El sitio web de Centos es demasiado basura para poder encontrar una versión, pero afaik están en 4.x

No es que Fedora sea inseguro. Es que se envía con paquetes de última generación y se actualiza muy rápidamente, por lo que debe realizar actualizaciones cada año más o menos para seguir recibiendo actualizaciones de seguridad. Eso es un gran problema si tiene un número no trivial de servidores, especialmente dado que el proceso de actualización de fedora (iirc) requiere tiempo de inactividad.

El uso de Fedora en un servidor frente a algo como CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES, etc. realmente se reduce a la herramienta adecuada para el trabajo.

La queja principal que encontrará de los administradores del servidor sobre Fedora en el servidor es el ciclo de actualización cada 6 meses a un año (dependiendo de si siempre desea estar en la última versión o saltarse cualquier otra versión). Como señaló, Fedora instala configuraciones "seguras por defecto" y proporciona muchas herramientas para mantener un sistema seguro. Especialmente en un servidor, la herramienta de actualización previa manejará las migraciones entre diferentes versiones de Fedora, lo que mitiga un poco esa preocupación.

Si desea un ciclo de lanzamiento más largo, entonces algo como CentOS (que es esencialmente la versión gratuita de Red Hat Enterprise Linux) puede ser más fácil para su carga de trabajo.

Para resumir, creo que estás bien con Fedora si estás contento con eso. Nunca he visto ninguna evidencia que indique que Debian, Ubuntu o CentOS sean particularmente más seguros que Fedora.

Cualquier sistema operativo puede ser seguro. Dos puntos sobre Fedora como servidor. Uno, cada vez que actualiza una versión de software corre el riesgo de introducir nuevos errores y problemas de seguridad que no estaban presentes en la versión anterior. Esta es la razón por la cual las empresas querrán esperar un año después de que salga el software antes de instalarlo, para que se puedan solucionar muchos errores y problemas de seguridad. No querrás cambiar a nuevas versiones cada vez que salgas a las migrañas y los nuevos problemas de seguridad involucrados. Segundo Fedora no tiene la capacidad de obtener soporte corporativo como RedHat o Ubuntu.

Usamos RHEL en el trabajo. Si tuviera que actualizar servidores 7k cada 6 o 12 meses, nunca estaríamos por delante. Todavía estamos recibiendo servidores Win2k3 para 2008.

Los lanzamientos de Fedora son demasiado frecuentes para que una empresa con muchos servidores se mantenga actualizada. Para una pequeña empresa, seguro que Fedora probablemente esté bien de usar. Pero, de nuevo, necesitaría un administrador de Linux en el sitio y la mayoría no puede permitirse uno para solucionar muchos problemas. Entonces, ahí es donde RHEL tiene una ventaja: soporte pagado.

Usé Debian en casa. Acabo de actualizar de 7 a 8 y todo salió muy bien. Ubuntu también tiene un servidor, pero Ubuntu es equivalente a Fedora. Debian tarda mucho tiempo en lanzar nuevos paquetes porque los prueban a fondo. La desventaja es que es posible que no tenga el último Apache o MySQL o cualquier aplicación que necesite que tenga las características que desea. Claro que puede descargarlo por separado, pero anula el propósito de tener un sistema operativo "estable y seguro".

Además, es posible que aparezcan características / funcionalidades y luego se integren en la próxima versión, lo que no es [generalmente] útil para un servidor , ya que desea confiabilidad. OTOH, si instala, por ejemplo, F11 y lo mantiene durante 2-4 años como lo hubiera hecho con CentOS 5 o Ubuntu LTS, entonces no hay una diferencia real. Se trata de niveles de confort.

¿Esperar lo? Que yo sepa, Wikipedia se está ejecutando en Fedora. No en RedHat - en Fedora. Por lo tanto, realmente no hay ningún problema con el uso de Fedora como servidor web :)

Por lo general, lo que un administrador del sistema quiere de una distribución orientada al servidor es:

1. Sin software de última generación, incluso en la última versión
2. Todo el software que necesita debe estar disponible en los repositorios oficiales: en un entorno de producción, a veces no se le permite usar paquetes extraídos de sitios web aleatorios no confiables o, peor aún, compilados localmente.
3. Actualizaciones de seguridad centralizadas y oportunas de los repositorios oficiales
4. Scripts y políticas de instalación de paquetes (proporcionados por la distribución) que aseguran actualizaciones sin problemas [es decir, actualizar el contenido de un archivo de configuración cuando un demonio se actualiza a una nueva versión]
5. Opcionalmente, soporte corporativo

Fedora falla en estos puntos, afaik

CentOS falla en 2,3,4,5

Debian falla el 5

Ubuntu falla en 1

Tu elección :)