サーバーにFedoraを使用することの問題は何ですか？

Fedoraをサーバーのホスティングに何度も使用しました。私は問題に直面したことがありません。それでも、すべての新しいユーザーが来て、Fedoraは安全ではないと言います。Ubuntu / CentOSまたはその他のディストリビューションを使用する必要がありますが、Fedoraは使用しないでください。Fedoraの問題が何なのか理解できません。他のディストリビューションをより安全にするもの。

いくつかのポイント：1. Fedoraには、SSHのみを許可するように構成されたiptablesが付属しています。さらに、必要に応じてiptablesを設定して、SSHをブロックすることもできます。そのため、ファイアウォールに問題はありません。

2. Fedoraは定期的にアップデートをリリースします（セキュリティと一般的なパッチの両方）。

3. ディストリビューションXは5年に1回、Fedoraは6か月に1回新しいバージョンをリリースすると言われています。5年に1度リリースすると、安全になります。5年前のものが安全だと感じた場合、5年前のOSをインストールするか、新しいバージョンが来ても5年間アップグレードしないでください。個人的には、5年間新しいバージョンを提供しなくてもセキュリティは向上しません。バグが検出されると、5年間パッチをリリースする必要があります。したがって、非常に古いOSを使用することは、より多くのパッチを意味します。最近リリースされたバージョンを使用する場合は、適用するアップデート/パッチを減らす必要があります。5年に1回リリースすることで、私が理解したことのない安全な状態になります。

4. すべてのOSは、Gnome、Open-Office、KDE、Open-SSH、Apacheなどの同様のパッケージを使用します。他のディストリビューション開発者は、これらのパッケージのソースコードの読み取りとセキュリティエラーの修正に時間を費やしていますか？たとえそれらの欠陥を公開しなくても、他のすべてのディストリビューションはFedoraを含むパッチをリリースします。または、彼らは彼ら自身の配布を確保し、他人に通知することを気にしません。これはすべて、apache、gcc、Open-Officeと同じ大きさのパッケージのコードの数百万行すべてを読むことを前提としています。これがすべてのディストリビューションで同じ場合、Fedoraがより脆弱になります。

5. FedoraにはseLinuxがプリインストールされ、適切に構成されています。

6. fedoraのデフォルトでは、バインドはchrootで実行されます。Fedora 11では、デフォルトでDNSSECサポートも提供されます。Fedora 11のDNSサーバーの質問を参照してください。ある人は、FedoraがDNSのホストには向いていないと指摘しました。何故かはわからない。

実際、新しい管理者の1人がテストマシンの1つにCent-OS 5.3をインストールしました。私はそこにない1つのIPをpingするためにそれを使用しました。ping応答がありました。それが不可能だったので驚いた。返信が来る場所を見つけようとしましたが、失敗しました。最後に1時間以上試した後、CentOSマシンからネットワークケーブルを取り外しました。私はまだIPをpingできました。次に、マシンのIPアドレスにpingを試みました。私もそれをpingできました。そのため、マシンが1つのIPで構成されていて、エイリアス（eth0：1など）が存在しない場合、2つのIPをpingできました（他のIPも試してみませんでした）。ifconfigの出力も確認しました。いわゆるサーバーディストリビューションの完全な信頼を失い、すべてのテストマシンにFedora 11をインストールしました。今、私はpingのような基本的なものについてそのような奇妙な問題に直面していません。

Fedoraが安全でないことを示す実際の例を入手できれば、本当に感謝します。その場合、他のディストリビューションであれば問題ありませんでした。管理者がミスを犯した場合の例を挙げないでください。そのためのディストリビューションを非難することはできません。また、非常に古いFedora 1、2、またはFedora 3の例を提供しないでください。Fedoraプロジェクトは現在、特に最後の2つのバージョン10、11で非常に成熟しています。もしそれらに特有のセキュリティ問題に直面しているなら、あなたの経験を共有してください。

Fedoraがサーバーでの使用に適していないことを示すものは何もありません。また、サーバーの唯一の選択肢が「サーバーディストリビューション」であることを示すものもありません。それはあなたの特定のニーズに依存します。

「サーバーディストリビューション」を使用して得られるものは次のとおりです。

• 長期サポート
• 安定したAPI（ライブラリとアプリケーションのバージョンアップグレードがほとんどまたはまったくない）
• バックポートされたセキュリティ修正とバグ修正
• 有償サポート

サーバーディストリビューションに関する私の主な「不満」は、ソフトウェア/ライブラリがやや古くなりがちであり、サポートされるパッケージの範囲はコミュニティ主導の努力よりもはるかに小さいことです。

つまり、長期サポートと非変更APIは商用ソフトウェアベンダーが愛するものであり、APIが突然変更されたため、最新のライブラリ用にアプリケーションを再構築する必要はありません。ベンダーYリリースX向けに開発し、このプラットフォームが今後数年間使用されることを知っています。

これに追加するものは何もないと思っていましたが、Fedoraを実稼働で2年近く実行した後、非常に重要なZabbix監視システムのために！-言いたいことがいくつかあるようです。

まず、それは私の最初の選択ではありませんでした。通常、漠然と重要であっても、これらのディストリビューションが提供する長期的な安定性の利点のためにCentOS / RHELを選択します。ただし、この特定の展開では、Zabbix 2.0の機能が絶対に必要でしたが、EPELレポジトリは1.8しか提供していませんでした。（EPELには1.8に加えてZabbix 2.0および2.2パッケージがありますが、当時はありませんでした。もしあれば、私はこれを試したことはなかったでしょう。）

したがって、トレードオフは次のとおりです。Fedoraには最新のソフトウェアがありますが、そのリリースは13か月という非常に短いライフサイクルであり、約6か月ごとに新しいリリースが行われます。これは、通常の定期的なアップデートのインストールに加えて、Fedoraを年2回アップグレードするためのメンテナンスウィンドウを計画する必要があったことを意味します。

他のすべてを追跡することになっている監視システムの場合、そのようなメンテナンス期間をできるだけ少なく、できるだけ短くすることが重要です。頻繁にアップグレードする必要があるため、通常、このようなディストリビューションは除外されますが、私はもっと差し迫った懸念を抱いていました。必要な機能がなければ役に立たないでしょう。したがって、これは、結果の（ほぼ）完全な知識とのトレードオフです。

少し前まで、Fedoraの新しいfedupアップグレードツールを使用して、このサーバーでFedora 18-19アップグレードを行いました。Zabbixがダウンしてから失われた可能性のある監視対象のサービスに対処するために、さらに2時間の2時間の停止を計画しました。

実際のサービスのダウンタイムは11分でした。これは、再起動前にZabbixが停止してから、アップグレードが完了してバックアップおよび監視サービスが実行されるまでの時間です。ダウンタイムがこれほど短いとは思いませんでした！経験から重大なアップグレードの問題がFedoraで一般的でないことを知っていたとしても、私はもっと多くのトラブルを予期していました。（さらに改善されました。Fedora19-20のアップグレードを行ったとき、完全なダウンタイムは驚くほど6分でした。20-21でも同じです。）

このサービスは、ほぼ確実にRHEL 7が利用可能になったときに移行されます。この経験の後、私はFedoraをサーバーとしてより自信を持っており、6か月ごとにメジャーアップグレードを行っても、Fedoraを維持するつもりです。次の理由により、RHELに移行することははるかに破壊的であり、将来的には制限される可能性があります。

残念ながら、Red Hatのメジャーリリース間の間隔がこれほど長いのは残念です。EL5とEL6の間の同様の遅延により、Ubuntuのインストールを実際に運用に移すことになりました。（そのシステムについては、Fedoraを検討しましたが、奇妙なことに、古いバージョンがEPELに含まれていたにもかかわらず、当時必要だったソフトウェアがまったくパッケージ化されていませんでした。）

Fedoraの実行について誰も言及していない「問題」の1つは、RHELに含める前に、大規模なソフトウェアプロジェクトと小さな拡張機能の両方の多くの新しいものを目にすることです。そのため、RHEL / CentOSシステムを管理するために行くとき、あなたはそれらを逃します。たとえば、Fedoraには多数のbash補完がありますが、デフォルトではまだRHELにはありません。注目すべきは、yumコマンドラインでのパッケージ名のタブ補完です。

したがって、トレードオフを受け入れることができる限り、実稼働環境でFedoraを使用することは確かに可能です。

• サポート契約はありません。サーバーとそのサービスを管理し、発生する可能性のある問題に対処するのに十分な社内の専門知識が必要です。コミュニティのサポートのみが利用可能であり、保証はありません。RHELの経験は非常に似ているので役立ちます。
• 少なくとも年1回アップグレードするには、メンテナンスウィンドウが必要です。半年ごとに改善されますが; 毎年アップグレードする場合、2つのリリースを一度にアップグレードする必要があります。これにより、午前3時に対処する必要がある潜在的な問題の数が倍になります。
• アップデートにより、ソフトウェアの新しいバージョンが提供される場合があります。ただし、これらはメジャーリリースではなくポイントリリースになります。まれに、重要な新機能が追加される場合があります（例：BZ＃319901）。ただし、通常、ソフトウェアはリリースの全期間を通じて同じバージョン番号のままであり、修正はバックポートされます。一部のパッケージ（PHPなど）のみがアップストリームポイントリリースを追跡します。
• セキュリティの更新のペースに大きな違いはありませんが、バグ修正の更新から常に分離されるとは限りません（PHPなど）。これが問題かどうかは、実行する予定のサービスによって異なります。

すべてを考慮すると、Fedoraはまだサーバープラットフォームの最初の選択肢ではありません。（私はFedora デスクトップユーザーとしてその存在全体に満足しています。）より「エンタープライズ」なディストリビューションでは入手できない最新バージョンのソフトウェアが絶対に必要であり、トレードオフを受け入れることができる場合は、何もありません。 Fedoraの使用に誤りがあります。

最後に、セキュリティについて具体的に尋ねたので、そのことについて少し説明します。

前述したように、Fedoraと他のディストリビューションとの間でセキュリティアップデートのペースに実際の違いはありません。Fedoraパッケージャーは、アップストリームの近くに留まり、これらの種類の更新を可能な限り迅速に、時にはアップストリームプロジェクトが行われる前であっても、それを入手するための特別な努力をします。

エンタープライズの兄貴のように、Fedoraはかなりロックダウンされたセキュリティ設定も備えています。サービス（sshを除く）はデフォルトで出荷されます。デフォルト拒否ファイアウォールは、IPv4とIPv6の両方でデフォルトで有効になっています。SELinuxはデフォルトで適用されます。さらに、Fedoraは他の多くの方法で強化されています。

一方、非常に早い段階で新しいセキュリティテクノロジーを見ることができます。1つの例としては、FirewallDの最近の導入があります。これは、まだプライムタイムにはまだ準備が整っていませんが、以前のファイアウォールに切り替えるのは簡単です。

それは、本質的にセキュリティよりも安定性と変化率に関するものです。Fedoraは、関連性を検証し、実験するプラットフォームを提供し、統合の問題を解決するために、新しい機能とアプリケーションを展開するRed Hatのプラットフォームです。

通常、それはサーバーにしたいことではありません。通常、サーバーに可能な限り最も安定した方法で機能を実行させます。

何をしているのかにもよりますが、Fedoraはうまくいくかもしれません。Linuxデスクトップアプリを開発している場合は、最先端の作業が望ましい場合があります。同様に、あなたが学期の長い学校プロジェクトや、変更の高いテンポが問題にならない他の限られた期間のプロジェクトに取り組んでいるなら、Fedoraも同様に大丈夫です。

Fedoraのを使用してから私を続けているキーポイントサーバー用とDebian、Ubuntuのか、CentOSのを好むではなく、安定性とサポートの長さです。サーバーを実行しているときは、安定性、セキュリティ、および寿命が必要です。はい、ほぼすべてのディストリビューションで同じソフトウェアがパッケージ化されているため、そこに問題はありません。テスト対象、セキュリティ更新プログラム、サポート対象の問題です。

Fedoraの6か月ごとのリリーススケジュールは、最新の機能が必要な場合には便利ですが、サーバーの最新の機能について話すときは必ずしも良いことではありません。それに加えて、Fedoraは最後の3つのバージョンのみをサポートしているということは、18か月でサポートされていないOSを見てアップグレードする必要があることを意味します。Fedoraのアップグレードを行ったことがある場合、それらは通常不良であり、デスクトップ/ラップトップ上ではそれほど悪くないかもしれませんが、ダウンタイムを意味し、ほとんどのシステム管理者には受け入れられないクリーンインストールを行う方が簡単です。

CentOSのサポートサイクルはこれまでで最も長く、その期間中にサポートされ、セキュリティパッチとアップデートがリリースされるため、常に同じリリースではありません。これの利点は、次のアップグレードの準備にすべての時間を費やしていないことです。安定したテスト済みソフトウェアが実行されている安定したサーバーがあります。

DebianのリリーススケジュールはFedoraよりも長く、CentOSよりも短いですが、常にセキュリティアップデートが行われています。Debianのもう1つの利点は、クリーンなアップグレードパスです。Debianリリースは、クリーンインストールとライブアップグレードの両方でテストされており、問題なく正常に実行できるようになるまで実際にはリリースされません。パッケージのバグを解消するためにリリース日を遅らせるという細部へのこだわりと意欲は、最も強力なプロの1つです。DEBパッケージ構造自体も、アップグレードを非常にスムーズにし、構成を維持するように設計されています。本当に不足しているのは商用サポートだけです。この場合、CentOSがRHELからパッケージの多くを取得するように、Debianからパッケージを取得するUbuntuを見ることができます。

編集：Fedoraがサーバープラットフォームに対して十分に安定しているとは思わないことを明らかに見落としていたという事実に注意を引くために太字のテキストを追加しました。

サポートなし。

Fedoraには、Red Hat Enterpriseのような技術サポート契約はありません。あなたがショーストップの問題を抱えているなら、誰も電話する必要はありません。

私の最大の議論は次のとおりです。

サーバーは主な対象読者ではありません

同様に、サーバー環境にUbuntuを使用することはお勧めできませんし、多くの人は私に反対しますが、それは単に主要なターゲットではありません。

サーバー指向の部門では、ホームユーザーやデスクトップを対象とするソフトウェアが不足する傾向があります。これは、サーバーを対象とするものがホームユーザーに対しても機能しないのと同じです。

さらに、ホームユーザーをターゲットとするプラットフォームは、より多くのホームユーザーを引き付ける傾向があるため、発見、報告、修正されたバグは、その影響により優先されます。

同様に、サーバー使用を対象としたプラットフォームはサーバー使用を引き付ける傾向があるため、サーバー使用に関連するバグは、それらに到達するまでに発見され解決される可能性が高くなります。

（私は、プロダクション環境でUbuntuの専門的な経験を持っている友人が少なくとも1人いて、彼はそれによって完全に恐ろしいと言い、プロダクションサーバーにはCentOSを好むだろうと言います。

seLinux

FedoraにはseLinuxがプリインストールされ、適切に構成されています。

seLinuxはセキュリティを意味しないことに注意することが重要です。

NSAの独自のSELinuxのウェブサイト：

セキュリティが強化されたLinuxは、Linuxなどの最新のオペレーティングシステムで必須の制御を示すことのみを目的としているため、安全なシステムの興味深い定義を満たすことはほとんどありません。

私はフェドラの大ファンです。すばらしいと思います。すべてのデスクトップ/ラップトップで実行しますが、どのサーバーでも実行しません。

• Fedoraは、「ブリードエッジ」に近づくことを目指しています。これは、テストに費やす時間が短縮された新しいソフトウェアを入手できることを意味します。まったく同じリリースが出ないので、これについて正確な数字を得るのは難しいですが、多くの場合、ubuntuは新機能で1リリース遅れており、debian / centos / redhatははるかに遅れています。

• これにより、fedoraの更新が増えているとの印象ですが、これをバックアップする数値はありません。

ubuntuが持っているLTSモデルの欠如にもかかわらず、実際にそれを揺るがすもの。ubuntu LTSは、リリース後数か月でインストールできます。大きな問題を解決し、ある程度落ち着くのに十分な時間があったことがわかります。

その後、サーバーをアップグレードする前に、最低4年間の追加サポートとアップグレードがあることがわかります。私はfeforaの実行に関する他の潜在的な問題に耐えることができますが、各ボックスのリリースを最低1年に1回（おそらく2回）移動する必要はありません。

編集：いくつかの数字を見つけました...

Fedora 11にはopensshサーバーバージョン5.2が付属しています。ubuntu karmicがリリースされると、debian lennyと同じバージョン5.1のみがリリースされます。CentOSのWebサイトは、バージョンを見つけることができませんが、4.xにあります

fedoraが安全ではないということではありません。最新のパッケージが付属しており、非常に迅速に更新されるため、セキュリティ更新プログラムを入手し続けるには毎年アップグレードを行う必要があります。特に、fedora更新プロセス（iirc）がダウンタイムを必要とすることを考えると、重要な数のサーバーを所有している場合、それは大したことです。

サーバーでのFedoraの使用と、CentOS、Debian、Ubuntu、Gentoo、Slackware、SLESなどの使用は、実際に仕事に適したツールになります。

サーバー管理者からのサーバー上のFedoraについての主な不満は、6か月から1年ごとのアップグレードサイクルです（常に最新バージョンを使用するか、他のすべてのリリースをスキップするかによって異なります）。あなたが指摘したように、Fedoraは「デフォルトでセキュア」な設定をインストールし、セキュアなシステムを維持するための多くのツールを提供します。特にサーバーでは、アップグレード前のツールは異なるFedoraリリース間の移行をうまく処理し、その懸念をいくらか軽減します。

より長いリリースサイクルが必要な場合は、CentOS（本質的にはRed Hat Enterprise Linuxの無料バージョン）のようなものがワークロードで簡単になる可能性があります。

要約すると、Fedoraに満足しているのであれば、Fedoraで十分だと思います。Debian、Ubuntu、またはCentOSがFedoraよりも特に安全であることを示す証拠を見たことはありません。

すべてのオペレーティングシステムをセキュリティで保護できます。サーバーとしてのFedoraについての2つのポイント。1つは、ソフトウェアバージョンをアップグレードするたびに、以前のバージョンには存在しなかった新しいバグやセキュリティ上の問題が発生する危険があります。ソフトウェアがリリースされてから1年待ってからインストールする必要があるため、多くのバグとセキュリティの問題を修正できます。移行の頭痛や関連する新しいセキュリティの問題に出くわすたびに新しいバージョンに切り替える必要はありません。2番目のFedoraには、RedHatやUbuntuなどの企業サポートを取得する機能がありません。

職場ではRHELを使用しています。6か月または12か月ごとに7k台のサーバーをアップグレードする必要がある場合、私たちは決して先を行くことはありません。2008年までWin2k3サーバーを入手しています。

Fedoraのリリースは、サーバーの数が多い会社にとって最新の状態を維持するにはあまりにも頻繁です。中小企業の場合、Fedoraはおそらく使用しても大丈夫です。しかし、この場合も、サイトにLinux管理者が必要になり、ほとんどの場合、多くの問題をトラブルシューティングする余裕がありません。そのため、RHELには利点があります-有料サポート。

私は自宅でDebianを使用しました。7から8にアップグレードしたところ、非常にスムーズになりました。Ubuntuにもサーバーがありますが、UbuntuはFedoraと同等です。Debianは徹底的にテストするため、新しいパッケージを展開するのに長い時間がかかります。欠点は、最新のApacheやMySQL、または必要な機能を備えた必要なアプリケーションがない可能性があることです。個別にダウンロードすることもできますが、「安定した安全な」OSを持つという目的に反します。

また、機能/機能が表示され、次のリリースで不要になる可能性があります。これは、信頼性が必要なため、[一般的に] サーバーには役立ちません。OTOH、たとえば、F11をインストールして、CentOS 5やUbuntu LTSのように2〜4年間使い続けると、実質的な違いはありません。それは快適さのレベルです。

待って…何？私の知る限り、ウィキペディアはFedoraで実行されています。RedHatではなく、Fedoraで。そのため、FedoraがWebServerとして使用されていても問題はありません。

通常、システム管理者がサーバー指向のディストリビューションに求めるものは次のとおりです。

1. 最新リリースでも最新のソフトウェアはありません
2. 必要なソフトウェアはすべて公式リポジトリから入手できる必要があります。運用環境では、ランダムな信頼できないWebサイトから取得したパッケージを使用できない場合があります。
3. 公式リポジトリからの一元化されたタイムリーなセキュリティ更新
4. スムーズなアップグレードを保証するパッケージのインストールスクリプトとポリシー（ディストリビューションで提供）[つまり、デーモンが新しいリリースにアップグレードされたときに構成ファイルの内容をアップグレードする]
5. オプションで、企業サポート

Fedoraはこの点で失敗します、afaik

CentOSは2,3,4,5で失敗します

Debianは5で失敗します

Ubuntuは1で失敗します

あなたの選択 ：）