将Fedora用于服务器有什么问题？

我已经使用Fedora托管服务器很多次了。我从来没有遇到任何问题。仍然所有新用户来告诉F​​edora不安全。我们应该使用Ubuntu / CentOS或其他发行版，而不是Fedora。我从不了解Fedora的问题是什么。是什么使其他发行版更安全。

几点：1. Fedora附带的iptables配置为仅允许SSH。另外，如果需要的话，我们总是可以配置iptables甚至阻止SSH。因此，防火墙很快就来了。

2. Fedora会定期发布更新（包括安全补丁和常规补丁）。

3. 人们说发行版X每5年发布一次新版本，而Fedora每6个月发布一次。每5年发布一次如何使事情变得安全。如果您认为5年之久的东西是安全的，请安装5年之久的OS，或者即使新版本来了也不要升级5年。我个人觉得五年不提供新版本并不会增加安全性。当检测到错误时，您将必须发布5年的补丁程序。因此，使用非常老的操作系统仅意味着需要更多补丁。如果我们使用最新发布的版本，则必须应用更少的更新/补丁。我从未理解过，每5年发布一次如何使事情变得安全。

4. 所有操作系统都使用类似的软件包，例如Gnome，Open-Office，KDE，Open-SSH，Apache。其他发行版开发人员是否花时间阅读这些软件包的源代码并更正安全性错误（如果有）？即使他们不愿意发布这些缺陷，所有其他发行版也会为此发布补丁，包括Fedora。还是他们会确保自己的发行版，而不必通知其他人。所有这些都假设他们确实读取了apache，gcc和Open-Office一样大的数百万行软件包代码。如果每个发行版中的情况都相同，那么Fedora更容易受到攻击。

5. Fedora预先安装了seLinux，并且配置良好。

6. 在fedora中，绑定默认在chroot中运行。现在，在Fedora 11中，默认情况下也提供DNSSEC支持。请参阅问题Fedora 11上的DNS服务器，其中有人指出Fedora不利于托管DNS。我不知道为什么。

In fact one of the new admins installed Cent-OS 5.3 on one of the test machines. I used it to ping one IP which was not there. I got ping replies. I was astonished since it was not possible. I tried to find out the location from where replies are coming but failed. At end after trying for more than a hour, I removed network cable from CentOS machine. I was still able to ping the IP. Then I tried to ping IP address of the machine. I could ping that too. So I was able to ping two IPs (not others, I tried them too) when machine was configured with one IP and no aliases (eth0:1, etc.) were present. I checked ifconfig output too. I lost complete trust in so called server distributions and installed Fedora 11 on all test machines. Now I do not face such strange problems for things as basic as ping.

如果能得到表明Fedora不安全的真实示例，并且在这种情况下可以进行其他分发，我将不胜感激。不要举一些被管理员弄错的例子。我们不能为此怪罪于发行。也不要给出非常古老的Fedora 1、2或Fedora 3示例。Fedora项目现在已经非常成熟，尤其是最后两个版本10、11。如果您遇到的安全问题仅适用于它们，请分享您的经验。

没有任何东西表明Fedora不适合在服务器上使用，也没有任何东西表明“服务器发行版”是服务器的唯一选择。这取决于您的特定需求。

使用“服务器发行版”可以获得的好处是：

• 长期支持
• 稳定的API（几乎没有库和应用程序的版本升级）
• 向后移植安全修复程序和错误修复程序
• 有偿支持

我对服务器变形的主要“抱怨”是软件/库往往有些陈旧，并且受支持的软件包的范围比社区推动的工作要小得多。

也就是说，长期的支持和不变的API是商业软件供应商喜欢的东西，因为API突然改变了，所以他们不必为最新的库重建其应用程序。他们可以为供应商Y版本X开发，并且知道该平台将在未来几年内出现。

我以为我没有什么要补充的，但是在将Fedora运行了将近两年之后-对于我非常重要的Zabbix监视系统！-我似乎有几句话要说。

首先，这不是我的第一选择。通常，对于那些甚至非常重要的东西，我都会选择CentOS / RHEL来获得这些发行版提供的长期稳定性。但是，对于此特定部署，我绝对需要Zabbix 2.0中的功能，而EPEL存储库仅提供1.8。（EPEL现在除了1.8之外还具有Zabbix 2.0和2.2软件包，尽管当时还没有。如果有的话，我永远也不会尝试过。）

因此，这里要权衡一下：Fedora拥有最新的软件，但其发布的生命周期非常短，只有13个月，而新发布的版本大约每6个月发布一次。这意味着除了通常定期安装更新之外，我还必须计划一个维护窗口来每年两次升级Fedora。

对于应该跟踪所有其他内容的监视系统，至关重要的是，此类维护周期应尽可能短且尽可能短。由于需要如此频繁地进行升级，因此通常会排除这种分布，但是请记住，我还有更多紧迫的担忧；没有我需要的功能将毫无用处。因此，这是我（几乎）完全了解后果之后做出的一个权衡。

不久前，我使用Fedora的新fedup升级工具在此服务器上进行了Fedora 18-19升级。我计划停运两个小时，再花两个小时来处理可能已死亡的所有受监视服务，而自从Zabbix宕机以来，这一事实一直未得到解决。

在实际的服务中断时间为11分钟。从Zabbix在重新启动之前停止运行到备份并在完成升级后监视服务的时间。我没有意识到停机时间会这么短！尽管我从经验中知道Fedora很少出现重大升级问题，但我预计会有更多麻烦。（而且它得到了进一步的改进：当我完成Fedora 19-20升级时，整个停机时间是惊人的六分钟。同一时间是20-21。）

该服务几乎肯定会在可用时移至RHEL 7。经历了这段经历之后，我对Fedora作为服务器有了更大的信心，现在打算保留它，即使每六个月进行一次重大升级。迁移到RHEL将会更具破坏性，并且由于以下原因可能会限制我的未来：

不幸的是，Red Hat在主要版本之间的间隔时间如此之长。EL5和EL6之间的类似延迟使我实际上将Ubuntu安装投入生产，这一点我至今仍在努力。（对于该系统，我考虑过Fedora，但奇怪的是，尽管EPEL中使用的是旧版本，但当时根本没有打包我需要的软件。）

关于运行Fedora的一个“问题”没有人提到，您会在将它们包含到RHEL中之前就看到许多新东西，包括大型软件项目和小型增强功能。因此，当您去管理RHEL / CentOS系统时，会想念它们。例如，Fedora具有大量的bash补全，默认情况下RHEL中还没有。值得注意的一项是yum命令行中包名称的制表符补全。

因此，当然可以在生产中使用Fedora，只要您可以接受权衡：

• 没有支持合同。您必须具有足够的内部专业知识来管理服务器及其服务，并处理可能出现的任何问题；仅提供社区支持，并且没有任何保证。RHEL的经验非常相似，因此很有帮助。
• 您必须有一个维护窗口，至少每年进行一次升级。虽然每六个月会更好一些；如果您每年进行升级，则必须一次升级两个版本，这会使您在凌晨3点必须处理的潜在问题数量翻倍。
• 更新可能会带来新版本的软件，您将必须处理这些新版本；但是，这些将是发行版，而不是主要版本。在极少数情况下，可能会添加重要的新功能（例如BZ＃319901）。但是，通常情况下，软件在发行版的整个生命周期内都保持相同的版本号，并向后移植了一些修补程序。只有某些软件包（例如PHP）跟踪上游发行版。
• 尽管安全更新的速度没有显着差异，但它们不一定总是与错误修正更新（例如，PHP）隔离开来。这是否有问题取决于您计划运行的服务。

考虑到所有因素，Fedora仍然不是我选择服务器平台的首选，也许永远不会。（尽管我一直对Fedora 桌面用户感到满意）。如果您绝对需要更多的“企业版”发行版中不提供的更多当前版本的软件，并且您可以接受这些折衷，那么就没有任何好处了。使用Fedora是错误的。

最后，由于您是专门询问安全性的，因此请多说几句。

如前所述，Fedora与任何其他发行版之间的安全更新速度没有真正的区别。Fedora打包人员特别努力保持靠近上游，并尽可能快地获取此类更新，有时甚至在上游项目之前也是如此。

像它的企业大佬一样，Fedora还附带了相当严格的安全性配置：服务（ssh除外）默认情况下关闭；默认情况下，IPv4和IPv6均启用了默认拒绝防火墙；SELinux默认是强制执行的。此外，Fedora还通过其他多种方式进行了加固。

另一方面，您很早就可以看到新的安全技术。一个示例是最近引入的FirewallD，尽管切换回以前的防火墙很容易，但尚不适合黄金时间。

本质上，它更重要的是稳定性和变更率，而不是安全性。Fedora是Red Hat推出新功能和应用程序以验证其相关性，提供实验平台和解决集成问题的平台。

通常，这不是您希望服务器执行的操作-您通常希望服务器以最稳定的方式执行功能。

根据您的操作，Fedora可能还不错。如果您正在开发Linux桌面应用程序，那么最好使用最新技术。同样，如果您正在研究一个学期的学校项目或其他一些期限有限的项目，而这些项目的变化速度并不大，那么Fedora也可以。

使我无法在服务器上使用Fedora并偏爱Debian，Ubuntu或CentOS 的关键点是稳定性和支持时间。运行服务器时，需要稳定性，安全性和寿命。是的，几乎每个发行版都在打包相同的软件，所以在那没关系。这取决于测试的内容，是否有安全更新以及是否受支持。

如果您想获得优势，Fedora的每6个月发布时间表是不错的选择，但是当谈论服务器优势时，并非总是一件好事。最重要的是，Fedora仅支持最后三个版本，这意味着您将在18个月内看到不受支持的操作系统，并且必须进行升级。如果您曾经进行过Fedora升级，它们通常很糟糕，并且在桌面/笔记本电脑上进行全新安装会更容易一些，而对于桌面服务器/笔记本电脑来说，全新安装可能并不那么糟糕，但是对于服务器而言，这意味着停机，这是大多数系统管理员所无法接受的。

到目前为止，CentOS的支持周期最长，在此期间，它受到支持，并且安全补丁和更新已发布，因此在整个时间内它不是同一版本。这样做的好处是您不必花所有时间准备下一次升级。您有一台稳定的服务器，上面运行着经过测试的稳定软件。

Debian的发布时间表比Fedora更长，但比CentOS短，但总是可以进行安全更新。Debian的另一个优点是干净的升级路径。Debian发行版已针对全新安装和实时升级进行了测试，只有在能够成功完成而不会出现问题之前才实际发行。这种对细节的关注以及愿意推迟发布日期以清除更多程序包错误的意愿是它最强大的优点之一。DEB软件包结构本身也经过精心设计，可以使升级非常顺利并保持您的配置。它唯一真正缺乏的是商业支持，在这种情况下，您可以寻找Ubuntu，它从Debian那里获取软件包，就像CentOS从RHEL那里获取许多软件包一样。

编辑：添加了粗体文字以引起人们对以下事实的关注：显然，我认为Fedora对于服务器平台不够稳定。

没有支持。

Fedora没有像Red Hat Enterprise这样的技术支持合同。如果您遇到停播问题，没有人可以打电话。

我最大的论点是：

服务器不是其主要目标受众

同样，我不建议在服务器环境中使用Ubuntu，许多人不同意我的观点，但这并不是主要目标。

面向服务器的部门中经常缺少针对家庭用户和台式机的软件，就像针对服务器的功能对于家庭用户而言效果不佳一样。

此外，针对家庭用户的平台往往会吸引更多家庭用户，因此，由于这种影响，将优先发现，报告和修复错误。

同样，针对服务器使用的平台将倾向于吸引服务器使用，因此，与服务器使用相关的错误将很可能在您找到它们的时间就被发现并解决。

（我至少有一位朋友在生产环境中具有Ubuntu的专业经验，并说他对此感到非常恐惧，因为在生产服务器中，他们更喜欢CentOS。）

seLinux

Fedora预先安装了seLinux，并且配置良好。

重要的是要注意，seLinux并不意味着安全。

来自NSA自己的seLinux网站：

增强安全性的Linux仅旨在演示像Linux这样的现代操作系统中的强制性控制，因此，仅靠其本身不可能满足安全系统的任何有趣定义。

我是Fedora的忠实粉丝，我认为它很棒，并且可以在所有台式机/笔记本电脑上运行它，但是我不会在任何服务器上运行它。

• Fedora旨在更接近“出血边缘”。这意味着您将获得花费更少时间进行测试的更新软件。由于没有确切的时间同时发布任何版本，因此很难获得确切的数字，但是我觉得ubuntu通常在新功能方面落后于一个版本，而debian / centos / redhat则落后得多。

• 我的印象是，因此，fedora上会有更多更新，但是我再也没有任何数字可以支持此。

尽管缺少ubuntu的LTS模型，但真正使它动摇的是。您可以在发布ubuntu LTS几个月后再安装它，并且知道它有足够的时间来解决所有主要问题并有所解决。

之后，您将知道至少有4年的进一步支持和升级时间，然后才能升级服务器。我可以忍受运行fefora的任何其他潜在问题，但不必每年至少一次在每个盒子上移动发行版（尽管可能两次）。

编辑：找到一些数字...

Fedora 11随附了openssh服务器5.2版。发行后，ubuntu karmic将仅具有5.1版本，即与debian lenny相同的版本。centos网站对我来说太糟糕了，无法找到版本，但是afaik它们在4.x上

不是说软呢帽是不安全的。这是因为它附带了最新的边缘软件包，并且刷新非常快，因此您必须每年左右进行升级以保持安全更新。如果您拥有数量不菲的服务器，那将是一件大事，特别是考虑到fedora更新过程（iirc）需要停机。

与在CentOS，Debian，Ubuntu，Gentoo，Slackware，SLES等服务器上相比，在服务器上使用Fedora确实是正确的工具。

您会从服务器管理员那里发现有关服务器上Fedora的主要抱怨是每6个月到一年的升级周期（取决于您是否始终希望使用最新版本或跳过其他版本）。如您所指出的，Fedora安装了“默认情况下安全”的配置，并提供了许多维护安全系统的工具。特别是在服务器上，预升级工具可以很好地处理不同Fedora版本之间的迁移，从而在某种程度上减轻了这种担忧。

如果您需要更长的发布周期，那么诸如CentOS（它实际上是Red Hat Enterprise Linux的免费版本）之类的东西可能会减轻您的工作量。

总而言之，我认为如果您对Fedora满意的话，就很好。我从未见过任何证据表明Debian，Ubuntu或CentOS 比Fedora 更安全。

可以使任何操作系统安全。关于Fedora作为服务器的两点。第一，每次升级软件版本时，都会冒引入以前版本不存在的新错误和安全问题的风险。这就是为什么公司希望在软件发布后等待一年才能安装软件，因此可以修复许多错误和安全性问题。您不希望每次出现新版本时都因迁移麻烦和涉及新的安全问题而切换到新版本。Second Fedora无法获得RedHat或Ubuntu这样的公司支持。

我们在工作中使用RHEL。如果您必须每6或12个月升级7k服务器，我们将永远领先。我们仍将Win2k3服务器保留到2008年。

对于拥有许多服务器的公司而言，Fedora发行版过于频繁而无法保持最新​​。对于小型企业，请确保Fedora可以使用。但是话又说回来，您将需要现场的linux管理员，并且大多数人负担不起解决许多问题的能力。这就是RHEL的优势-付费支持。

我在家使用Debian。我刚刚从7升级到8，运行非常顺利。Ubuntu也有服务器，但是Ubuntu等同于Fedora。Debian需要很长时间才能推出新软件包，因为它们会对其进行全面测试。缺点是，您可能没有最新的Apache或MySQL或任何您需要的具有所需功能的应用程序。当然，您可以单独下载它，但是它破坏了拥有“稳定且安全”的操作系统的目的。

同样-功能/功能可能会出现，然后在下一个发行版中有所体现-对服务器来说 [通常]无用，因为您需要可靠性。OTOH，如果您安装F11并像使用CentOS 5或Ubuntu LTS一样坚持使用2-4年，则没有真正的区别。这与舒适度有关。

等等...什么 据我所知，Wikipedia在Fedora上运行。不在RedHat上–在Fedora上。因此，将Fedora用作WebServer确实没有问题：)

通常，系统管理员希望从面向服务器的发行版中获得以下收益：

1. 没有最新软件，即使在最新版本上
2. 您需要的所有软件都应该可以从官方存储库中获得：在生产环境中，有时不允许您使用从随机的不受信任的网站甚至更糟的是本地编译的软件包。
3. 官方仓库中集中及时的安全更新
4. 软件包安装脚本和策略（由发行版提供），可确保顺利升级（即，在将守护程序升级到新版本时升级配置文件的内容）
5. （可选）公司支持

Fedora在这一点上失败了，afaik

CentOS在2,3,4,5上失败

Debian失败5

Ubuntu在1失败

你的选择 ：）