我们是一个免费/开源项目。我们租用一台 CentOS 7 x86_64 VM 用于网站和 wiki。我们对虚拟机进行了完整的修补。我们每周登录并运行一次,yum update
以确保我们拥有最新的装备。
随着发行版的老化,一些软件包开始给我们带来麻烦。例如,PHP 版本是 5.4,2015 年停产:
$ php --version
PHP 5.4.16 (cli) (built: Nov 15 2017 16:33:54)
Copyright (c) 1997-2013 The PHP Group
Zend Engine v2.4.0, Copyright (c) 1998-2013 Zend Technologies
with XCache v3.1.1, Copyright (c) 2005-2014, by mOo
with XCache Optimizer v3.1.1, Copyright (c) 2005-2014, by mOo
with XCache Cacher v3.1.1, Copyright (c) 2005-2014, by mOo
with XCache Coverager v3.1.1, Copyright (c) 2005-2014, by mOo
下级 PHP 意味着我们的配套 MediaWiki 软件不再维护。我们陷入了 MediaWiki 1.26 的困境。
根据CentOS 7 支持的最高 PHP 版本其中一种可能性是启用第三方存储库。我同意启用额外的存储库;但我不喜欢启用外国的。
根据CentOS 常见问题解答CentOS 是基于 Red Hat 源代码构建的 Red Hat 社区开发平台。我严重怀疑 RHEL 只向其客户提供废弃的软件。
根据 CentOS wiki 上其他资源 |存储库有一个可以启用的 CentOS-Plus 存储库。我检查了回购协议并且没有可用的更新 PHP。
我的第一个问题是,为什么 CentOS不是提供更新的 PHP 吗?
我的第二个问题是,我们是否总是需要信任<一些随机来源>当使用 CentOS 时?
我的第三个问题是,对于兼职系统管理员来说,是否有一个可行的策略来避免第三方回购?
问题(1)是我们案例中的实例问题。我想其他人在使用其他 CentOS 软件时也遇到过同样的问题。
问题(2)是长期规划。如果随着时间的推移 CentOS 总是会导致这个问题,那么我们需要评估是否应该寻找另一个发行版。
问题 (3) 主要涉及 (a) 最新软件和 (b) 可信来源和存储库。我们可以接受额外的配置工作,但我们希望将其最小化。我们确实想避免不受信任的来源。
从更大的角度来看,我感觉自己缺少一些[明显]的东西。但我现在不知道那是什么。
答案1
我的第一个问题是,为什么 CentOS 不提供更新的 PHP?
这是红帽的决定。这很可能是因为他们提供的东西依赖于如此旧的版本 - 但我找不到这方面的证据。
如果您需要更新的 PHP,您可以使用大量资源,例如宫内节育系统甚至是SCLCentOS 提供的。 IUS 不会覆盖现有的软件包,但它们会要求您首先删除其中的任何内容(php 方面)。我在 CentOS 6 上使用 Python 2.7 的 IUS,这样我就可以正确安装 salt。
注意:从稳定性的角度来看,红帽最终决定将哪些软件包和哪些版本纳入其发行版。 CentOS 只是获取源代码并将它们重建为 CentOS。
我们是否总是需要信任一些随机源当使用 CentOS 时?
不必要。那里有很多好的和坏的回购协议。事实上,有些人可以轻松地仅依赖基础存储库。
这实际上取决于您的需求。去此页在这里查看社区批准了哪些回购协议。请放心,该页面上列出的任何存储库均已获得批准并且可以信赖。
对于兼职系统管理员来说,是否有可行的策略来避免第三方回购?
最佳策略取决于用户或公司的用例。对于您的特定用例,您将需要第三方存储库。你真的别无选择,尤其是当你无法让 MediaWiki 升级到更高版本时。正如之前的答案中所指出的,有些人可以只使用基础存储库就可以了。有些人甚至只使用 EPEL。同样,这取决于您的用例以及您正在运行或维护的内容。请放心,来自 EPEL 或 IUS(例如)的任何内容通常都与来自发行版基础的内容一样维护、稳定和安全。
我还是建议去这里对于社区批准的回购协议。
答案2
随着发行版的老化,一些软件包开始给我们带来麻烦。例如,PHP 版本为 5.4,已于 2015 年终止生命周期
是的,但是安全补丁是向后移植。升级到较新版本的 PHP 的唯一真正原因是语言功能或应用程序需要它,但这样您会错过安全(或其他特定于发行版的)补丁。
我们是一个免费/开源项目。我们租用一台 CentOS 7 x86_64 VM 用于网站和 wiki。我们对虚拟机进行了完整的修补。
这真的有必要吗?廉价的解决方案是使用 Github Pages 托管一个网站,并使用 Github 作为 wiki 或使用 Sphinx 等静态网页生成器。如果您想更进一步,您可以使用 Cloudflare 并将其指向您的 GH 页面站点。查看以下问题的答案非营利组织的防黑客托管解决方案?有关此的更多信息。
优点:
完全免费
更简单的语言(Markdown/重组文本)而不是 MediaWiki 语法
维护更简单,因为您不需要处理任何服务器端的东西
降低进入门槛,因为这是许多开源项目已经使用的解决方案,即 readthedocs.org 并浏览 Github 以获取大量示例
不运行服务器端技术会大大减少攻击面。攻击者需要利用 Github Pages,而 Cloudflare 提供了充足的保护,而如果您 DIY,则需要完成强化虚拟机的所有艰苦工作