将 Fedora 用于服务器有什么问题？

Question

我曾多次使用 Fedora 来托管服务器。我从来没有遇到过任何问题。仍然所有的新用户都来告诉 Fedora 不安全。我们应该使用 Ubuntu / CentOS 或其他一些发行版，而不是 Fedora。我一直不明白 Fedora 有什么问题。是什么让其他发行版更安全。

几点： 1. Fedora 自带的 iptables 配置为只允许 SSH。另外，如果我们愿意，我们也可以随时配置 iptables 以阻止 SSH。所以防火墙没有短板。

2. Fedora 定期发布更新（安全补丁和通用补丁）。

3. 人们说distro X每5年发布一次新版本，而Fedora每6个月发布一次。为什么每 5 年发布一次会使事情变得安全。如果您觉得 5 年前的东西是安全的，请安装 5 年前的操作系统，或者即使新版本出现也不要升级 5 年。我个人觉得 5 年不提供新版本不会增加安全性。当检测到错误时，您必须发布补丁 5 年。所以使用非常旧的操作系统意味着更多的补丁。如果我们使用最近发布的版本，那么我们必须应用较少的更新/补丁。5 年发布一次如何让事情变得安全，我一直不明白。

4. 所有操作系统都使用类似的软件包，如 Gnome、Open-Office、KDE、Open-SSH、Apache。其他发行版开发人员是否花时间阅读这些包的源代码并纠正安全错误（如果有）？即使他们不会发布这些缺陷，所有其他发行版也会发布补丁，包括 Fedora。或者他们是否会确保自己的分配，而不是费心通知其他人。这一切都假设他们确实阅读了与 apache、gcc、Open-Office 一样大的所有数百万行代码。如果这些东西在每个发行版中都是一样的，那么是什么让 Fedora 更容易受到攻击。

5. Fedora 预装了 seLinux 并进行了很好的配置。

6. 在 Fedora 中，绑定默认在 chroot 中运行。现在 Fedora 11 默认也支持 DNSSEC。请参阅Fedora 11 上的 DNS 服务器问题，其中有人指出 Fedora 不适合托管 DNS。我不知道为什么。

事实上，其中一位新管理员在其中一台测试机器上安装了 Cent-OS 5.3。我用它来 ping 一个不存在的 IP。我收到了 ping 回复。我很惊讶，因为这是不可能的。我试图找出回复的位置，但失败了。尝试了一个多小时后，我终于从 CentOS 机器上拔掉了网线。我仍然能够ping通IP。然后我尝试ping机器的IP地址。我也可以ping通。因此，当机器配置了一个 IP 并且没有别名（eth0:1 等）时，我能够 ping 两个 IP（不是其他的，我也尝试过）。我也检查了 ifconfig 输出。我对所谓的服务器发行版失去了完全信任，并在所有测试机器上安装了 Fedora 11。现在我不会面对像 ping 这样基本的事情这样奇怪的问题。

如果我能得到表明 Fedora 不安全的现实生活中的例子，我真的很感激，如果在这种情况下它是任何其他发行版，一切都会好起来的。不要举例子是管理员犯的错误。我们不能为此责怪发行版。也不要给出很老的 Fedora 1、2 或 Fedora 3 的例子。Fedora 项目现在非常成熟，尤其是最后两个版本 10 和 11。如果您遇到了只有它们特有的安全问题，请分享您的经验。

Answer 1

我以为我没有什么可以添加的，但是在生产环境中运行 Fedora 将近两年之后 - 对于我非常重要的 Zabbix 监控系统！- 看来我确实有几件事要说。

首先，这不是我的第一选择。通常对于任何模糊的重要内容，我都会选择 CentOS/RHEL 来获得这些发行版提供的长期稳定性优势。但是，对于这个特定的部署，我绝对需要 Zabbix 2.0 中的功能，而EPEL 存储库仅提供 1.8。（EPEL 现在除了 1.8 之外还有 Zabbix 2.0 和 2.2 包，虽然当时没有。如果有，我永远不会尝试这个。）

所以这里的权衡是：Fedora 拥有最新的软件，但其发布的生命周期非常短，只有 13 个月，大约每六个月发布一次新版本。这意味着除了通常的定期更新安装之外，我还必须计划一个维护窗口来每年升级两次 Fedora。

对于应该跟踪其他所有内容的监控系统，此类维护时间尽可能少且尽可能短是至关重要的。由于需要如此频繁地升级，这通常会排除这样的发行版，但请记住，我有更紧迫的担忧；如果没有我需要的功能，它将毫无用处。所以这是我在（几乎）完全了解后果的情况下做出的权衡。

前不久，我在这台服务器上做了Fedora 18-19的升级，使用的是Fedora新的fedup升级工具。我计划中断两个小时，再用两个小时来处理任何可能已经死亡的受监控服务，并且由于 Zabbix 宕机而错过了这一事实。

在实际的服务中断时间为11分钟。那是从 Zabbix 在重启前停止的时间到它在完成升级后备份和监控服务的时间。没想到停机时间这么短！我预计会有更多的麻烦，尽管我从经验中知道重大升级问题在 Fedora 中并不常见。（它得到了进一步的改进：当我升级 Fedora 19-20 时，整个停机时间是惊人的6 分钟。20-21 的时间也是如此。）

当该服务可用时，该服务几乎肯定会转移到 RHEL 7 上。在这次经历之后，我对作为服务器的 Fedora 更有信心，现在打算保留它，即使每六个月进行一次重大升级。转向 RHEL 会更具破坏性，并且可能会限制我在未来，因为以下原因：

不幸的是，Red Hat 在主要版本之间的间隔时间如此之长；EL5 和 EL6 之间的类似延迟导致我实际上将 Ubuntu 安装投入生产，直到今天我仍然在努力。（对于那个系统，我考虑过 Fedora，但奇怪的是它当时根本没有打包我需要的软件，尽管 EPEL 中有一个旧版本。）

One "problem" no one mentioned about running Fedora is that you will see many new things, both large software projects and tiny enhancements, well in advance of their inclusion in RHEL. So when you go to manage your RHEL/CentOS systems you will miss them. For example, Fedora has a large number of bash completions which aren't yet in RHEL by default; one notable one is tab completion for package names in the yum command line.

So, it's certainly possible to use Fedora in production, so long as you can accept the tradeoffs:

• There are no support contracts. You must have in-house expertise sufficient to manage the server and its services and deal with any issues that may arise; only community support is available, and there are no guarantees there. RHEL experience helps, as they are quite similar.
• 您必须有一个维护窗口才能至少每年升级一次。虽然每六个月更好；如果您每年升级一次，则必须一次升级两个版本，这会使您在凌晨 3 点必须处理的潜在问题数量增加一倍。
• 更新可能会带来新版本的软件，您将不得不处理这些问题；然而，这些将是点发布而不是主要版本。在极少数情况下，可能会添加重要的新功能（例如BZ#319901）。但是，通常情况下，软件在整个发行版的整个生命周期中都保持相同的版本号，并会向后移植修复程序；只有一些包（例如 PHP）跟踪上游点发布。
• 虽然安全更新的速度没有显着差异，但它们可能并不总是与错误修复更新（同样，例如 PHP）隔离。这是否是一个问题取决于您计划运行的服务。

考虑到所有因素，Fedora 仍然不是我作为服务器平台的首选，而且可能永远不会。（虽然我一直是一个快乐的 Fedora桌面用户。）如果您绝对需要在更“企业”的发行版中不可用的更多当前版本的软件，并且您可以接受权衡，那么没有什么使用 Fedora 的错误。

最后，由于您专门询问了安全性，因此就说几句。

如前所述，Fedora 和任何其他发行版之间的安全更新速度没有真正的区别。Fedora 打包人员特别努力地与上游保持密切联系，并尽快发布这些类型的更新，有时甚至在上游项目完成之前。

与其有事业心的老大哥一样，Fedora 还附带了一个相当锁定的安全配置：默认情况下提供服务（除了 ssh）；默认情况下为 IPv4 和 IPv6 启用默认拒绝防火墙；SELinux 默认强制执行。此外，Fedora 在许多其他方面得到了强化。

另一方面，您可以很早就看到新的安全技术；一个例子是最近引入的FirewallD，虽然切换回以前的防火墙很容易，但它仍然没有为黄金时间做好准备。

Answer 2

没有任何规定表明 Fedora 不适合在服务器上使用，也没有任何规定表明“服务器发行版”是服务器的唯一选择。这取决于您的特定需求。

使用“服务器发行版”可以获得的好处是：

• 长期支持
• 稳定的 API（几乎没有库和应用程序的版本升级）
• 向后移植的安全修复和错误修复
• 有偿支持

我对服务器发行版的主要“抱怨”是软件/库往往有些陈旧，并且支持的软件包范围远小于社区驱动的努力。

即长期支持和不变的 API 是商业软件供应商喜欢的东西，他们不必为最新的库重建他们的应用程序，因为 API 突然发生了变化。他们可以为 Vendor Y Release X 进行开发，并且知道该平台将在未来几年内出现。

Answer 3

与其说是安全性，不如说是稳定性和变化率本身。Fedora 是 Red Hat 推出新功能和应用程序以验证其相关性、提供试验平台和解决集成问题的平台。

这通常不是您希望服务器执行的操作——您通常希望服务器以尽可能最稳定的方式执行功能。

根据您在做什么，Fedora 可能会很好。如果您正在开发 Linux 桌面应用程序，则可能需要使用前沿技术。同样，如果您正在处理一个为期一学期的学校项目或其他一些不担心快速变化的限时项目，Fedora 也很好。

Answer 4

阻止我将 Fedora用作服务器而更喜欢 Debian、Ubuntu 或 CentOS的关键点是稳定性和支持的长度。当您运行服务器时，您需要稳定性、安全性和使用寿命。是的，几乎每个发行版都打包相同的软件，所以在那里无关紧要。这是一个经过测试、有安全更新并受支持的问题。

Fedora 的每 6 个月发布计划很不错，如果您想要前沿技术，但在谈论服务器前沿技术时并不总是一件好事。最重要的是，Fedora 仅支持最后三个版本，这意味着您将在 18 个月内查看不受支持的操作系统并且必须升级。如果您曾经进行过 Fedora 升级，它们通常很糟糕，而且在台式机/笔记本电脑上进行全新安装会更容易，但对于意味着停机并且大多数系统管理员无法接受的服务器而言，这可能不是那么糟糕。

迄今为止，CentOS 的支持周期最长，在此期间，它受到支持，并且发布了安全补丁和更新，因此它始终不是同一个版本。这样做的好处是您不必将所有时间都花在准备下一次升级上。您有一台稳定的服务器，上面运行着经过稳定测试的软件。

Debian 的发布时间表比 Fedora 长，但比 CentOS 短，但始终保持安全更新。Debian 的另一个优点是干净的升级路径。Debian 发行版经过全新安装和实时升级的测试，并且在能够顺利完成之前不会真正发布。这种对细节的关注和推迟发布日期以清除更多软件包错误的意愿是它最强大的优点之一。DEB 包结构本身也经过精心设计，可以使升级非常顺畅并维护您的配置。它唯一真正缺乏的是商业支持，在这种情况下，您可以查看 Ubuntu，它从 Debian 获取它的软件包，就像 CentOS 从 RHEL 获取它的大部分软件包一样。

编辑：添加了粗体文本以提请注意我认为 Fedora 对于服务器平台不够稳定这一明显遗漏的事实。

Answer 5

我最大的论点是：

服务器不是其主要目标受众

同样，我不建议将 Ubuntu 用于服务器环境，很多人会不同意我的观点，但这根本不是主要目标。

面向家庭用户和台式机的软件在面向服务器的部门中往往缺乏，就像面向服务器的东西对家庭用户不起作用一样。

此外，针对家庭用户的平台往往会吸引更多的家庭用户，因此，由于这种影响，发现、报告和修复的错误将被优先考虑。

同样，针对服务器使用的平台往往会吸引服务器使用，因此与服务器使用相关的错误将更有可能在您到达时被发现和解决。

（我至少有一位朋友在生产环境中拥有 Ubuntu 的专业经验，他说他完全被它吓坏了，并且更喜欢 CentOS 用于生产服务器，因为。）

seLinux

Fedora 预装了 seLinux 并进行了很好的配置。

需要注意的是，seLinux 并不意味着安全。

来自NSA 自己的 seLinux 网站：

安全性增强的 Linux 仅用于演示像 Linux 这样的现代操作系统中的强制性控制，因此它本身不太可能满足任何有趣的安全系统定义。

Answer 6

没有支持。

Fedora 没有像 Red Hat Enterprise 那样的技术支持合同。如果您有停止演出的问题，没有人可以打电话。