將 Fedora 用於伺服器有什麼問題?
我曾多次使用 Fedora 來託管伺服器。我從來沒有遇到過任何問題。仍然所有新使用者都來告訴 Fedora 不安全。我們應該使用 Ubuntu / CentOS 或其他發行版,而不是 Fedora。我永遠不明白 Fedora 有什麼問題。是什麼讓其他發行版更安全。
幾點: 1. Fedora 自帶的 iptables 配置為只允許 SSH。另外,如果我們願意,我們也可以隨時配置 iptables 甚至阻止 SSH。所以防火牆沒有缺點。
- Fedora 定期發布更新(包括安全更新檔和通用更新檔)。
- 人們說 distro X 5 年發布一次新版本,Fedora 6 個月發布一次。為什麼 5 年發布一次就可以保證安全。如果您覺得 5 年前的東西是安全的,請安裝 5 年前的作業系統,或者即使新版本來了也不升級 5 年。我個人覺得 5 年不提供新版本不會增加安全性。當檢測到錯誤時,您將不得不發布 5 年的更新檔。所以使用非常舊的作業系統意味著更多的更新檔。如果我們使用最近發布的版本,那麼我們必須應用更少的更新/更新檔。5 年發布一次如何讓事情變得安全,我從未理解過。
- 所有作業系統都使用類似的軟體包,如 Gnome、Open-Office、KDE、Open-SSH、Apache。其他發行版開發人員是否花時間閱讀這些軟體包的原始碼並糾正安全錯誤(如果有)?即使他們不會發布這些缺陷,所有其他發行版也會發布更新檔,包括 Fedora。還是他們會保護自己的發行版而不費心通知其他人。這一切都假設他們確實閱讀了 apache、gcc、Open-Office 等數百萬行程式碼。如果這在每個發行版中都是一樣的,那麼是什麼讓 Fedora 更容易受到攻擊。
- Fedora 預裝了 seLinux 並進行了很好的配置。
- 在 fedora 中,Bind 預設在 chroot 中執行。現在在 Fedora 11 中也預設提供 DNSSEC 支持。請參閱Fedora 11 上的 DNS 伺服器問題,其中有人指出 Fedora 不適合託管 DNS。我不知道為什麼。
事實上,其中一位新管理員在其中一台測試機器上安裝了 Cent-OS 5.3。我用它來ping一個不存在的IP。我收到了 ping 回复。我很驚訝,因為這是不可能的。我試圖找出回复的位置,但失敗了。最後在嘗試了一個多小時後,我從 CentOS 機器上拔下了網線。我仍然能夠ping通IP。然後我嘗試ping機器的IP地址。我也可以ping通。因此,當機器配置有一個 IP 並且沒有別名(eth0:1 等)存在時,我能夠 ping 兩個 IP(不是其他 IP,我也嘗試過)。我也檢查了 ifconfig 輸出。我對所謂的伺服器分發完全失去了信任,並在所有測試機器上安裝了 Fedora 11。現在,對於像 ping 這樣基本的東西,我不會遇到這種奇怪的問題。
如果我能獲得表明 Fedora 不安全的真實範例,並且如果在這種情況下是任何其他發行版,我將非常感激。如果管理員犯了錯誤,請不要舉例。我們不能為此責怪發行版。也不要給出非常舊的 Fedora 1、2 或 Fedora 3 範例。Fedora 項目現在非常成熟,尤其是最後兩個版本 10、11。如果您遇到過只有它們特有的安全問題,請分享您的經驗。
沒有任何東西表明 Fedora 不適合在伺服器上使用,也沒有任何東西表明“伺服器發行版”是伺服器的唯一選擇。這取決於您的特定需求。
您可以從使用“伺服器發行版”中獲得的是:
- 長期支持
- 穩定的 API(幾乎沒有庫和應用程序的版本升級)
- 向後移植的安全修復和錯誤修復
- 付費支持
我對伺服器發行版的主要“抱怨”是軟體/庫往往有些陳舊,支持的軟體包範圍遠小於社區驅動的努力。
即長期支持和不變的 API 是商業軟體供應商喜歡的東西,他們不必為最新的庫重建他們的應用程序,因為 API 突然改變了。他們可以為 Vendor Y Release X 開發,並且知道這個平台將在未來幾年內出現。