linux – 在大型安装环境中使用rpm和yum进行应用程序安装

很明显,为什么他们很难合作,所以我不再说了.

至于过时,很明显他们没有考虑现代技术,如虚拟化,Linux功能,容器,SELinux等,所有这些都有助于以更优雅和可用的方式解决相同的安全问题.

举例来说,将httpd绑定到高端口,然后使用iptables将流量重定向到它,而不是简单地让它绑定然后删除权限,就像默认情况下一样,接近偏执并获得几乎没有任何东西.它还使SELinux与httpd一起使用变得复杂,因为httpd SELinux策略的设计没有考虑到这种设置.

以同样的方式,只是盲目地要求软件包将自己填入/ opt或/usr/local就没有任何收获,因为无论软件包安装在何处,RPM都已经保持了所需的分离(除非软件包被破坏,可能就是这种情况)与第三方供应商包,但这样会拒绝安装)并失去标准合规性,可能使相关的SELinux政策无法使用,并造成维护噩梦. Red Hat Software Collections是按照这些方针设计的,虽然它有一些可用性问题,但在处理真正的问题时,building your own packages by this design可能是一个权宜之计.

然而,我看到的最大问题是维护一种“大铁”服务器或服务器,每个人的应用程序并行运行.仅这就引入了自己的安全问题,这可能是这些“安全实践”的起源.此时虚拟化非常成熟,只是将应用程序分离到自己的VM中,例如,与KVM on RHEL 6 or RHEL 7,将eliminate the need为大多数这些“安全实践”.

顺便说一下,由于你几乎肯定会拥有大量的应用程序,creating a private cloud with OpenStack可能是你在中短期内最好的选择.这些将使用RHEL 7主机并运行RHEL 7,6甚至5个客人,因为你可能有一堆仍然活着和踢的人.它还为您提供了一个平台,可以安全地试验新的应用程序和操作系统,以及业务部门,部门等更轻松地分配资源.

如果虚拟化对于某些事情来说太重了,那就转移到容器(例如LXC/Docker on RHEL 7).它们的重量要轻得多,除了应用程序包本身之外几乎都可以剥离,然后用它们自己的文件系统,网络和uid / gid命名空间隔离,有效地将它们从任何其他容器中切除,除非你碰巧在各自的防火墙.将SELinux添加到KVM虚拟机或Linux容器可提供第二层保护,只需单击一下即可打开.

此外,如果您开始向他们提供OpenStack和/或Docker,您的公司将充满开发人员,他们将永远爱你.

简而言之,是时候评估现代Linux发行版及其提供的功能,并根据这些功能重新评估所有安全实践.

在许可方面,红帽现在提供无限制的虚拟化许可证,允许您运行无限制的RHEL虚拟机/容器,当然还有CentOS,它将在99.9％的时间内替代RHEL.所以那里没有任何借口.