서버에 Fedora를 사용할 때의 문제점은 무엇입니까?

서버 호스팅을 위해 Fedora를 여러 번 사용했습니다. 나는 어떤 문제에도 직면 한 적이 없다. 여전히 모든 새로운 사용자들이 와서 Fedora가 안전하지 않다고 말합니다. 우분투 / CentOS 또는 다른 배포판을 사용해야하지만 Fedora는 사용하지 않아야합니다. Fedora의 문제점을 이해하지 못합니다. 다른 배포를보다 안전하게 만드는 이유

몇 가지 사항 : 1. Fedora는 SSH 만 허용하도록 구성된 iptables와 함께 제공됩니다. 또한 원하는 경우 SSH를 차단하도록 iptables를 항상 구성 할 수 있습니다. 따라서 방화벽에 대한 문제는 없습니다.

2. Fedora는 정기적으로 업데이트를 배포합니다 (보안 및 일반 패치 모두).

3. 사람들은 distro X가 5 년에 한 번 새 버전을, 6 개월에 한 번 Fedora를 릴리스한다고 말합니다. 5 년에 한 번 출시되면 어떻게 안전 해집니다. 5 년 된 것들이 안전하다고 생각되면 5 년 된 OS를 안전하게 설치하거나 새 버전이 나오더라도 5 년 동안 업그레이드하지 마십시오. 개인적으로 5 년 동안 새 버전을 제공하지 않으면 보안이 강화되지 않습니다. 버그가 감지되면 5 년 동안 패치를 릴리스해야합니다. 따라서 아주 오래된 OS를 사용한다는 것은 더 많은 패치를 의미합니다. 최근에 릴리스 된 버전을 사용하는 경우 업데이트 / 패치를 적게 적용해야합니다. 5 년에 한 번 발표하면 내가 이해하지 못한 것들이 안전 해집니다.

4. 모든 OS는 Gnome, Open-Office, KDE, Open-SSH, Apache와 같은 유사한 패키지를 사용합니다. 다른 배포판 개발자가 이러한 패키지의 소스 코드를 읽고 보안 오류를 수정하는 데 시간을 소비합니까? 그들이 그 결함을 공개하지 않더라도 다른 모든 배포판은 Fedora를 포함한 패치를 릴리스 할 것입니다. 아니면 자신의 배포판을 확보하고 다른 사람에게 알리지 않아도됩니다. 아파치, gcc, 오픈 오피스와 같은 수백만 줄의 패키지 코드를 모두 읽는 것으로 가정합니다. 이것이 모든 배포판에서 동일하다면 Fedora가 더 취약 해집니다.

5. Fedora에는 seLinux가 사전 설치되어 있고 잘 구성되어 있습니다.

6. 바인드는 기본적으로 페도라에서 chroot로 실행됩니다. 이제 Fedora 11에서는 DNSSEC 지원도 기본적으로 제공됩니다. Fedora 11의 DNS 서버 질문 중 일부는 Fedora가 DNS 호스팅에 적합하지 않다고 지적했습니다. 이유를 모르겠습니다.

In fact one of the new admins installed Cent-OS 5.3 on one of the test machines. I used it to ping one IP which was not there. I got ping replies. I was astonished since it was not possible. I tried to find out the location from where replies are coming but failed. At end after trying for more than a hour, I removed network cable from CentOS machine. I was still able to ping the IP. Then I tried to ping IP address of the machine. I could ping that too. So I was able to ping two IPs (not others, I tried them too) when machine was configured with one IP and no aliases (eth0:1, etc.) were present. I checked ifconfig output too. I lost complete trust in so called server distributions and installed Fedora 11 on all test machines. Now I do not face such strange problems for things as basic as ping.

Fedora가 안전하지 않다는 것을 나타내는 실제 사례를 얻을 수 있다면 정말 감사하겠습니다.이 경우 다른 배포판이라면 문제가 없었을 것입니다. 관리자가 실수 한 예를 제공하지 마십시오. 우리는 그것에 대한 배포를 비난 할 수 없습니다. 또한 아주 오래된 Fedora 1, 2 또는 Fedora 3 예제를 제공하지 마십시오. Fedora 프로젝트는 현재 마지막 두 버전 10, 11에서 매우 성숙했습니다. 보안 관련 문제에만 직면 한 경우 경험을 공유하십시오.

Fedora가 서버에서 사용하기에 적합하지 않다는 것을 나타내는 것은 없으며 "서버 배포"가 서버를위한 유일한 선택임을 나타내는 것도 없습니다. 그것은 당신의 특정한 필요 에 달려 있습니다 .

"서버 배포판"을 사용하면 다음과 같은 이점을 얻을 수 있습니다.

• 장기 지원
• 안정적인 API (라이브러리 및 응용 프로그램의 버전이 거의 또는 전혀 업그레이드되지 않음)
• 백 포트 된 보안 수정 사항 및 버그 수정
• 유료 지원

서버-거리에 대한 나의 주요 "불만"은 소프트웨어 / 라이브러리가 다소 오래된 경향이 있으며 지원되는 패키지의 범위가 커뮤니티 주도 노력보다 훨씬 작다는 것입니다.

즉, 장기 지원 및 변경되지 않는 API는 상용 소프트웨어 공급 업체가 좋아하는 것입니다. API가 갑자기 변경 되었기 때문에 최신 라이브러리에 대한 응용 프로그램을 다시 작성할 필요가 없습니다. 이들은 공급 업체 Y 릴리스 X 용으로 개발할 수 있으며이 플랫폼이 향후 몇 년 동안 사용됨을 알고 있습니다.

나는 이것에 추가 할 것이 없다고 생각했지만, 거의 2 년 동안 프로덕션에서 Fedora를 실행 한 후 매우 중요한 Zabbix 모니터링 시스템을 위해! -할 말이 몇 개있는 것 같습니다.

첫째, 그것은 나의 첫번째 선택이 아니었다. 일반적으로 모호한 부분이있는 경우 이러한 배포판이 제공하는 장기적인 안정성 이점을 위해 CentOS / RHEL을 선택합니다. 그러나이 특정 배포의 경우 Zabbix 2.0의 기능이 절대적으로 필요했지만 EPEL 저장소는 1.8 만 제공했습니다. (EPEL은 현재 Zabbix 2.0 및 2.2 패키지를 1.8에 추가했지만 현재는 그렇지 않았습니다.

Fedora는 최신 소프트웨어를 보유하고 있지만 릴리스는 매우 짧은 13 개월 수명주기이며 약 6 개월마다 새로 릴리스됩니다. 즉, 일반적인 정기적 인 업데이트 설치 외에도 1 년에 두 번 Fedora를 업그레이드 할 유지 관리 기간을 계획해야했습니다.

다른 모든 것을 추적해야하는 모니터링 시스템의 경우, 그러한 유지 보수 기간은 드물고 짧아야합니다. 너무 자주 업그레이드해야한다는 요구 사항으로 인해 이러한 배포는 일반적으로 배제되지만 더 시급한 우려 사항이 있음을 기억하십시오. 필요한 기능이 없으면 쓸모가 없습니다. 그래서 이것은 결과에 대한 (거의) 완전한 지식과의 교환입니다.

얼마 전, 저는이 서버에서 Fedora의 새로운 페드 업 업그레이드 도구를 사용하여 Fedora 18-19 업그레이드를 수행했습니다. Zabbix가 다운 된 이후로 사라 졌을 수도있는 모니터링 된 서비스를 처리하기 위해 2 시간 더 중단 될 계획이었습니다.

실제 서비스 중단 시간 11 분이었다. Zabbix가 재부팅 전에 중지 된 시간부터 업그레이드가 완료된 후 백업 및 서비스 모니터링 시간까지입니다. 다운 타임이 너무 짧다는 것을 몰랐습니다! Fedora에서는 심각한 업그레이드 문제가 드물다는 것을 경험을 통해 알았지 만 훨씬 더 많은 문제를 예상하고있었습니다 . (그리고 Fedora 19-20 업그레이드를했을 때, 완전한 다운 타임은 놀라운 6 분 이었습니다. 같은 시간에 20-21시입니다.)

이 서비스는 사용 가능할 때 거의 확실히 RHEL 7로 옮겨 질 것입니다. 이 경험을 통해 저는 서버로서 Fedora에 대해 훨씬 더 확신을 가지고 있으며 6 개월마다 크게 업그레이드하더라도이를 유지하려고합니다. 다음과 같은 이유로 RHEL으로 전환하면 훨씬 더 혼란 스러울 수 있으며 앞으로 나를 제한 할 수 있습니다.

불행히도 Red Hat은 메이저 릴리스 사이에 오랜 시간이있었습니다. EL5와 EL6 사이의 비슷한 지연으로 인해 실제로 우분투 설치를 프로덕션 환경으로 만들었습니다. (이 시스템의 경우 Fedora를 고려했지만 이상하게도 EPEL의 이전 버전 임에도 불구하고 패키지가 필요한 소프트웨어가 전혀 없었습니다.)

Fedora 실행에 대해 언급하지 않은 한 가지 "문제"는 RHEL에 포함되기 전에 대규모 소프트웨어 프로젝트와 작은 개선 사항을 모두 볼 수 있다는 것입니다. 따라서 RHEL / CentOS 시스템을 관리 할 때는 놓치게됩니다. 예를 들어, Fedora에는 기본적으로 아직 RHEL에없는 많은 수의 bash 완료가 있습니다. 주목할만한 것은 yum명령 행 에서 패키지 이름에 대한 탭 완성입니다 .

따라서 트레이드 오프를 수용 할 수있는 한 프로덕션 환경에서 Fedora를 사용할 수 있습니다.

• 지원 계약이 없습니다. 서버 및 서버 서비스를 관리하고 발생할 수있는 모든 문제를 처리 할 수있는 사내 전문 지식이 있어야합니다. 커뮤니티 지원 만 가능하며 보장은 없습니다. RHEL 경험은 매우 유사하므로 도움이됩니다.
• 최소한 매년 업그레이드 하려면 유지 관리 기간이 있어야합니다 . 6 개월마다 더 낫지 만 매년 업그레이드하는 경우 한 번에 두 개의 릴리스를 업그레이드해야하므로 오전 3시에 처리해야하는 잠재적 문제의 수가 두 배가됩니다.
• 업데이트로 인해 새로운 버전의 소프트웨어가 제공 될 수 있습니다. 그러나 이것들은 메이저 버전이 아닌 포인트 릴리즈입니다. 드문 경우이지만 중요한 새 기능이 추가 될 수 있습니다 (예 : BZ # 319901 ). 그러나 일반적으로 릴리스 기간 동안 소프트웨어는 동일한 버전 번호를 유지하며 수정 사항은 백 포트됩니다. PHP와 같은 일부 패키지 만 업스트림 포인트 릴리스를 추적합니다.
• 보안 업데이트 속도에는 큰 차이가 없지만 PHP와 같은 버그 수정 업데이트와 항상 격리되는 것은 아닙니다. 이것이 문제인지 여부는 실행하려는 서비스에 따라 다릅니다.

모든 것을 고려할 때, Fedora는 여전히 서버 플랫폼을위한 나의 첫 번째 선택이 아니며 아마도 결코 그렇지 않을 것입니다. ( 전반적으로 Fedora 데스크톱 사용자 는 기뻤습니다 .) 더 많은 "엔터프라이즈"배포판에서 사용할 수없는 최신 버전의 소프트웨어가 절대적으로 필요한 경우 트레이드 오프를 수락 할 수 있습니다. Fedora를 사용하는 데 잘못되었습니다.

마지막으로 보안에 대해 구체적으로 물었으므로 몇 가지 내용을 설명합니다.

앞에서 언급했듯이 Fedora와 다른 배포판 사이의 보안 업데이트 속도에는 실질적인 차이가 없습니다. Fedora 패키지 관리자는 업스트림에 가까이 머물러 있고 때로는 업스트림 프로젝트 이전에 가능한 한 빨리 이러한 종류의 업데이트를 신속하게 제공 하기 위해 특별한 노력을 기울 입니다.

Fedora는 엔터프라이즈 대기업과 마찬가지로 보안 구성이 상당히 잠겨 있습니다. 기본적으로 서비스 (ssh 제외)는 출하됩니다. 기본 거부 방화벽은 IPv4 및 IPv6 모두에 대해 기본적으로 활성화되어 있습니다. SELinux는 기본적으로 적용됩니다. 또한 Fedora는 여러 가지 다른 방식으로 강화되었습니다 .

반면에 새로운 보안 기술을 매우 일찍 보게됩니다. 한 가지 예는 FirewallD 의 최근 소개 인데 아직 이전에는 아직 준비가되지 않았지만 이전 방화벽으로 쉽게 전환 할 수 있습니다.

보안보다는 안정성과 변화 속도에 관한 것입니다. Fedora는 Red Hat이 관련성을 검증하고 실험 할 플랫폼을 제공하며 통합 문제를 해결하기 위해 새로운 기능과 응용 프로그램을 출시 할 수있는 플랫폼입니다.

일반적으로 서버가 원하는 것은 아닙니다. 일반적으로 서버가 가장 안정적인 방식으로 기능을 수행하기를 원합니다.

당신이하고있는 것에 따라, Fedora는 괜찮을 것입니다. Linux 데스크톱 앱을 개발하는 경우 최첨단 작업이 바람직 할 수 있습니다. 마찬가지로, 한 학기 동안 진행되는 학교 프로젝트 나 높은 변화의 템포가 중요하지 않은 다른 제한된 기간의 프로젝트에서 작업하는 경우 Fedora도 좋습니다.

페도라를 사용에서 저를 유지 핵심 서버에 대한 데비안, 우분투 또는 CentOS는 선호 대신 안정성과 지원의 길이입니다 . 서버를 실행할 때는 안정성, 보안 및 수명이 필요합니다. 예, 거의 모든 배포판은 동일한 소프트웨어를 패키징하므로 ​​중요하지 않습니다. 테스트 대상, 보안 업데이트 및 지원 대상입니다.

6 개월마다 Fedora의 릴리스 일정은 최첨단을 원하지만 서버 최첨단에 대해 이야기 할 때 항상 좋은 것은 아닙니다. 게다가 Fedora는 마지막 3 개 버전 만 지원하므로 18 개월 동안 지원되지 않는 OS를보고 업그레이드해야한다는 의미입니다. Fedora 업그레이드를 해본 적이 있다면 일반적으로 나쁘고 데스크탑 / 노트북에서 그렇게 나쁘지 않을 수도 있지만 다운 타임을 의미하고 대부분의 시스템 관리자가 받아 들일 수없는 서버 인 경우에는 새로 설치하는 것이 더 쉽습니다.

CentOS는 지원주기가 가장 길며 그 기간 동안 지원되며 보안 패치 및 업데이트가 릴리스되므로 전체 릴리스가 동일하지 않습니다. 이것의 장점은 다음 업그레이드를 준비하는 데 모든 시간을 소비하지 않는다는 것입니다. 안정적인 테스트 소프트웨어가 실행중인 안정적인 서버가 있습니다.

데비안은 Fedora보다 길지만 CentOS보다 짧은 릴리스 일정을 가지고 있지만 항상 보안 업데이트에 있습니다. 데비안의 또 다른 장점은 깔끔한 업그레이드 경로입니다. 데비안 릴리스는 새로 설치 및 라이브 업그레이드 모두에 대해 테스트되었으며 실제로 문제없이 성공적으로 완료 될 때까지 릴리스되지 않았습니다. 더 많은 패키지 버그를 해결하기 위해 릴리스 날짜를 단축하려는 세부 사항과 의지에 대한 이러한 관심은 가장 강력한 전문가 중 하나입니다. DEB 패키지 구조 자체도 업그레이드를 원활하게하고 구성을 유지하도록 설계되었습니다. 실제로 부족한 것은 상용 지원뿐입니다.이 경우 CentOS가 RHEL에서 포장의 많은 부분을 차지하는 것처럼 데비안에서 패키지를 가져 오는 우분투를 볼 수 있습니다.

편집 : 서버 플랫폼에 Fedora가 충분히 안정적이라고 생각하지 않는다는 사실에 주목하기 위해 굵은 텍스트를 추가했습니다.

지원 없음.

Fedora에는 Red Hat Enterprise와 같은 기술 지원 계약이 없습니다. 쇼 중지 문제가있는 경우 전화 할 사람이 없습니다.

나의 가장 큰 논쟁은 다음과 같다.

서버는 주요 대상이 아닙니다

마찬가지로, 나는 서버 환경에 우분투를 사용하지 않는 것이 좋으며 많은 사람들이 저와 동의하지 않을 것입니다. 그러나 그것은 기본 목표가 아닙니다.

개인 사용자와 데스크톱을 대상으로하는 소프트웨어는 서버를 대상으로하는 부서가 서버를 대상으로하는 소프트웨어가 가정 사용자에게 적합하지 않은 것처럼 부족한 경향이 있습니다.

또한, 가정 사용자를 대상으로하는 플랫폼은 더 많은 가정 사용자를 유치하는 경향이 있으므로, 그 영향으로 인해 발견,보고 및 수정 된 버그가 우선합니다.

마찬가지로, 서버 사용을 목표로하는 플랫폼은 서버 사용을 유도하는 경향이 있으므로 서버 사용과 관련된 버그가 발견 될 때 발견 및 해결 될 가능성이 높습니다.

(저는 프로덕션 환경에서 우분투에 대한 전문적인 경험을 가진 친구 가 적어도 한 명 있는데, 그로 인해 전체적으로 끔찍했으며 CentOS를 프로덕션 서버로 선호한다고 말합니다.)

seLinux

Fedora에는 seLinux가 사전 설치되어 있고 잘 구성되어 있습니다.

seLinux가 보안을 의미하지는 않습니다.

로부터 NSA의 자신의 SELinux를 웹 사이트 :

보안이 강화 된 Linux는 Linux와 같은 최신 운영 체제에서 필수 제어를 보여주기위한 것이므로 보안 시스템의 흥미로운 정의를 충족 할 가능성은 거의 없습니다.

나는 큰 페도라 팬입니다. 훌륭하다고 생각합니다. 모든 데스크탑 / 노트북에서 실행하지만 서버에서 실행하지는 않습니다.

• Fedora는 '출혈 가장자리'에 더 가까이 다가가는 것을 목표로합니다. 즉, 테스트 시간이 단축 된 최신 소프트웨어를 얻게됩니다. 동시에 릴리스가 나오지 않기 때문에 정확한 숫자를 얻기가 어렵지만 우분투는 종종 새로운 기능에 대해 하나의 릴리스 뒤에 있지만 debian / centos / redhat은 훨씬 뒤에 있습니다.

• 이 때문에 fedora에 대한 더 많은 업데이트가 있지만 다시 백업 할 번호가 없다는 인상이 있습니다.

우분투가 가지고있는 LTS 모델이 없기 때문에 실제로 스윙하는 것은 무엇입니까? Ubuntu LTS가 출시 된 후 몇 개월이 지나면 주요 문제를 해결하고 다소 해결하는 데 충분한 시간이 있다는 것을 알 수 있습니다.

그 후 서버를 업그레이드하기 전에 최소 4 년의 추가 지원 및 업그레이드가 있음을 알고 있습니다. 나는 fefora를 달리는 다른 잠재적 인 문제들과 함께 살 수는 있지만 각 상자에서 최소한 일년에 한 번 (아마도 두 번) 릴리스를 이동하지 않아도됩니다.

편집 : 숫자를 찾았습니다 ...

Fedora 11은 openssh 서버 버전 5.2와 함께 제공됩니다. Ubuntu karmic이 릴리스되면 데비안 lenny 와 동일한 버전 5.1 만 있습니다 . centos 웹 사이트는 버전을 찾을 수 없기에 너무 엉망이지만 4.x에 있습니다.

페도라가 안전하지 않은 것은 아닙니다. 최첨단 패키지와 함께 제공되며 매우 빠르게 업데이트되므로 매년 업그레이드를 수행하거나 보안 업데이트를 계속 받아야합니다. 특히 페도라 업데이트 프로세스 (iirc)에 가동 중지 시간이 필요하다는 점에서 사소한 수의 서버가있는 경우에는 큰 문제입니다.

CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES 등과 같은 서버에서 Fedora를 사용하면 실제로 작업에 적합한 도구가됩니다.

서버 관리자가 서버의 Fedora에 대해 가장 많이 제기하는 불만은 6 개월에서 1 년마다 업그레이드주기입니다 (항상 최신 버전을 원하든 다른 릴리스를 건너 뛰는 지에 따라 다름). 지적했듯이 Fedora는 "기본적으로 보안"구성을 설치 하고 보안 시스템을 유지 관리하기위한 많은 도구를 제공 합니다. 특히 서버에서 사전 업그레이드 도구는 다른 Fedora 릴리스 간의 마이그레이션을 잘 처리하여 다소 우려를 완화시킵니다.

더 긴 릴리즈주기를 원한다면 CentOS (기본적으로 Red Hat Enterprise Linux의 무료 버전)와 같은 것이 작업 부하에서 더 쉬울 수 있습니다.

요약하면, Fedora에 만족한다면 괜찮습니다. 데비안, 우분투 또는 CentOS가 특히 페도라보다 더 안전 하다는 증거는 본 적이 없습니다 .

모든 운영 체제를 안전하게 만들 수 있습니다. 서버로서의 Fedora에 대한 두 가지 점. 하나, 소프트웨어 버전을 업그레이드 할 때마다 이전 버전에없는 새로운 버그 및 보안 문제가 발생할 위험이 있습니다. 소프트웨어를 설치하기 전에 소프트웨어가 나온 후 1 년을 기다려야하기 때문에 많은 버그와 보안 문제를 해결할 수 있습니다. 마이그레이션 문제와 관련된 새로운 보안 문제가 발생할 때마다 새 버전으로 전환하고 싶지 않습니다. Second Fedora는 RedHat 또는 Ubuntu와 같은 기업 지원을받을 수있는 기능이 없습니다.

우리는 직장에서 RHEL을 사용합니다. 6 개월 또는 12 개월마다 7k 서버를 업그레이드해야한다면 결코 앞서 나갈 수 없습니다. 우리는 여전히 2008 년까지 Win2k3 서버를 받고 있습니다.

Fedora 릴리즈는 서버가 많은 회사가 최신 상태를 유지하기에는 너무 빈번합니다. 소규모 기업의 경우 Fedora를 사용해도 좋습니다. 그러나 다시 한번, 당신은 사이트에 리눅스 관리자가 필요하고 대부분은 많은 문제를 해결하기 위해 그것을 감당할 수 없습니다. RHEL이 유리한 지원을받는 곳입니다.

집에서 데비안을 사용했습니다. 방금 7에서 8로 업그레이드했는데 매우 매끄 럽습니다. 우분투에는 서버도 있지만 우분투는 페도라와 같습니다. 데비안은 새 패키지를 철저히 테스트하기 때문에 오랜 시간이 걸립니다. 단점은 최신 Apache 또는 MySQL 또는 원하는 기능이 필요한 응용 프로그램이 없을 수 있다는 것입니다. 물론 별도로 다운로드 할 수는 있지만 "안정적이고 안전한"OS를 사용한다는 목적에 위배됩니다.

또한 기능 / 기능은 다음 릴리스에서 나타날 수 있습니다. 이는 안정성을 원하기 때문에 일반적으로 서버에 도움이되지 않습니다 . OTOH, F11을 설치하고 CentOS 5 또는 Ubuntu LTS에서와 같이 2-4 년 동안 사용한다면 실제 차이는 없습니다. 편안함 수준에 관한 것입니다.

무엇을 기다립니다? 내가 아는 한, Wikipedia는 Fedora에서 실행 중입니다. RedHat이 아니라 Fedora에 없습니다. 따라서 Fedora를 WebServer로 사용하는 데는 아무런 문제가 없습니다. :)

일반적으로 시스템 관리자가 서버 지향 배포에서 원하는 것은 다음과 같습니다.

1. 최신 릴리스에서도 최신 소프트웨어가 없습니다.
2. 필요한 모든 소프트웨어 는 공식 리포지토리에서 사용할 수 있어야합니다. 프로덕션 환경에서는 신뢰할 수없는 임의의 웹 사이트에서 가져온 패키지를 사용하거나 로컬로 컴파일 된 패키지를 사용할 수없는 경우가 있습니다.
3. 중앙 및 시의 적절 공식의 repos에서 보안 업데이트
4. 원활한 업그레이드를 보장하는 패키지 설치 스크립트 및 정책 (배포에서 제공) (예 : 데몬을 새 릴리스로 업그레이드 할 때 구성 파일 내용 업그레이드)
5. 선택적으로 기업 지원

Fedora는이 점에서 실패합니다.

2,3,4,5에서 CentOS 실패

데비안은 5시에 실패

우분투는 1에 실패

당신의 선택 :)