Bei Technik-affinen Leuten wie die Leser dieses Blogs dürfte sich bereits wie ein Lauffeuer verbreitet habe, dass das weit verbreitete Paket xz-utils (Datenkompressions-Tools), beginnend mit den Versionen 5.6.0 bis 5.6.1, eine Backdoor hat (CVE-2024-3094). Diese Hintertür könnte es einem böswilligen Akteur ermöglichen, die sshd-Authentifizierung zu kompromittieren. Damit könnte sie oder er unbefugten Fernzugriff auf das gesamte System erhalten. Die gute Nachricht ist, dass aktuelle LTS-Versionen von Ubuntu nicht betroffen sind. Das gilt auch für Linux Mint und die stabile Version […]
Red Hat hat vorgeschlagen, dass Kunden, die über das bevorstehende Lebensende von CentOS 7 besorgt sind, möglicherweise über seinen Insights-Dienst auf Red Hat Enterprise Linux (RHEL) migrieren möchten. Der Support für CentOS Linux 7 endet am 30. Juni 2024. Eine Entscheidung, die Red Hat Ende 2020 getroffen hat. Jetzt ist die IBM-Tochter besorgt über das...
Xorg und Wayland repräsentieren unterschiedliche Ansätze für grafische Serversysteme in der Linux-Welt. Xorg, der etablierte Standard, ist bekannt für seine lange Geschichte und breite Kompatibilität. Im Gegensatz dazu wird Wayland als moderner und schlanker Nachfolger betrachtet. Die Linux-Community ist seit geraumer Zeit in eine lebendige Debatte über Xorg und Wayland vertieft. Jetzt hat Red Hat,...
Xorg und Wayland repräsentieren unterschiedliche Ansätze für grafische Serversysteme in der Linux-Welt. Xorg, der etablierte Standard, ist bekannt für seine lange Geschichte und breite Kompatibilität. Im Gegensatz dazu wird Wayland als moderner und schlanker Nachfolger betrachtet. Die Linux-Community ist seit geraumer Zeit in eine lebendige Debatte über Xorg und Wayland vertieft. Jetzt hat Red Hat,...
Red Hat gab die allgemeine Verfügbarkeit seiner Linux Business Server Lösung Red Hat Enterprise Linux (RHEL) 9.3 als neuestes Update seiner Red Hat Enterprise Linux 9 Betriebssystemserie bekannt. Red Hat Enterprise Linux 9.3 kommt etwa fünf Monate nach Red Hat Enterprise Linux 9.2 und ist das dritte Wartungsupdate für Red Hat Enterprise Linux 9 Serie....
Red Hat gab die allgemeine Verfügbarkeit seiner Linux Business Server Lösung Red Hat Enterprise Linux (RHEL) 9.3 als neuestes Update seiner Red Hat Enterprise Linux 9 Betriebssystemserie bekannt. Red Hat Enterprise Linux 9.3 kommt etwa fünf Monate nach Red Hat Enterprise Linux 9.2 und ist das dritte Wartungsupdate für Red Hat Enterprise Linux 9 Serie....
Suse, Oracle und CIQ haben sich zur Open Enterprise Linux Association (OpenELA ) zusammengeschlossen, um gemeinsam einen Fork von Red-Hat-Enterprise-Linux als freien Enterprise Linux-Quellcode (EL) bereitzustellen. Nun ist der Quellcode für Pakete verfügbar, teilt OpenELA mit.
Der Quellcode stehe auf Github für alle Pakete bereit, die für die Erstellung eines abgeleiteten Enterprise Linux-Betriebssystems erforderlich seien, teilt OpenELA mit. Der Schwerpunkt liegt zunächst auf Enterprise Linux 8 und EL9, Pakete für EL7 seien in Vorbereitung.
Außerdem sei die Gründungsphase der Gemeinschaft abgeschlossen, OpenELA sei als Delaware Non-Profit Non-Stock Corporation gegründet worden. Die Gesellschaft soll ein Forum für Interessengruppen bieten, die die Ziele und Interessen der Entwicklung von Open Source Enterprise Linux-Distributionen unterstützen wollen, teilt die Corporation mit.
Auch sei das Technical Steering Committee (TSC) gegründet worden, um den Zugang zu Enterprise Linux-Paketen zu sichern. Das TSC spiele eine entscheidende Rolle bei der Steuerung und Entscheidungsfindung von OpenELA, indem es die technischen Aspekte des Projekts beaufsichtige und die Entwicklung und laufende Wartung lenke.
Die Gründung von OpenELA ging auf die Änderungen von Red Hat an der Verfügbarkeit von RHEL-Quellcode zurück. Linux-Distributor Red Hat hat angekündigt, dass das Unternehmen künftig nicht mehr direkt öffentlichen Zugang zum Quellcode seiner Enterprise-Linux-Distribution RHEL bieten will. Das vor etwas mehr als zwei Jahren neu geschaffene CentOS Stream soll demnach “das einzige Repository für öffentliche RHEL-bezogene Quellcode-Veröffentlichungen sein”.
Linux-Betriebssysteme erfreuen sich seit langem großer Beliebtheit aufgrund ihrer Vielseitigkeit, Sicherheit und Open-Source-Natur. Innerhalb der Linux-Welt haben sich sogenannte LTS-Distributionen (Long-Term Support) als wichtige Säule etabliert. Diese Distributionen zeichnen sich durch langfristige Unterstützung und Stabilität aus, was in der schnelllebigen Welt der Technologie von großer Bedeutung ist. LTS-Distributionen: Grundlagen und Bedeutung LTS-Distributionen sind spezialisierte Varianten...
CIQ, Oracle und SUSE haben vor wenigen Wochen die Gründung der Open Enterprise Linux Association (OpenELA) angekündigt, um RHEL-basierte Distributionen zu unterstützen. Die Entscheidung von Red Hat, den Zugang zu seinem Quellcode einzuschränken, ist eines der wichtigsten und zeitgleich negativen Ereignissen, aus der Open-Source-Welt in diesem Jahr. Diese Nachricht polarisierte und löste einen Sturm an...
Linux-Betriebssysteme erfreuen sich seit langem großer Beliebtheit aufgrund ihrer Vielseitigkeit, Sicherheit und Open-Source-Natur. Innerhalb der Linux-Welt haben sich sogenannte LTS-Distributionen (Long-Term Support) als wichtige Säule etabliert. Diese Distributionen zeichnen sich durch langfristige Unterstützung und Stabilität aus, was in der schnelllebigen Welt der Technologie von großer Bedeutung ist. LTS-Distributionen: Grundlagen und Bedeutung LTS-Distributionen sind spezialisierte Varianten...
CIQ, Oracle und SUSE haben vor wenigen Wochen die Gründung der Open Enterprise Linux Association (OpenELA) angekündigt, um RHEL-basierte Distributionen zu unterstützen. Die Entscheidung von Red Hat, den Zugang zu seinem Quellcode einzuschränken, ist eines der wichtigsten und zeitgleich negativen Ereignissen, aus der Open-Source-Welt in diesem Jahr. Diese Nachricht polarisierte und löste einen Sturm an...
Hi, mein Name ist Jörg. Ich arbeite seit März 2023 als Senior Technical Account Manager für Red Hat und mir schwirren derzeit folgende Fragen im Kopf herum:
Wer sind die Menschen, die Open Source Software auf bzw. für CentOS Stream, Fedora und/oder RHEL entwickeln?
Sind es Menschen, die dies ausschließlich in ihrer Freizeit tun?
Arbeiten sie in Unternehmen, welche nach dem Open Source Entwicklungsmodell arbeiten?
Warum habt ihr euch für oder gegen die eine oder andere Distribution entschieden?
Was hindert euch daran, eine der genannten Distributionen zu verwenden?
Aus welchem Grund bevorzugt ihr andere Distributionen und welche sind dies?
Hinsichtlich dieser Fragen habe ich selbst offensichtlich einen Interessenskonflikt und bin darüber hinaus zu einem hohen Grad betriebsblind. Deshalb bin ich umso mehr daran interessiert, eure Antworten auf diese Fragen zu lesen.
Ich freue mich, wenn ihr euch die Zeit nehmt, um mir zu antworten und mir zu erläutern, wie ihr dazu steht. Eure Nachrichten nehme ich gern auf folgenden Kanälen entgegen:
Als Kommentar unter diesem Artikel
Als E-Mail an jkastning+distribution (at) my-it-brain (dot) de
Als Chat-Nachricht in #my-it-brain:matrix.org
Es freut mich, wenn daraus eine freundliche und konstruktive Diskussion entsteht. Sollte es dabei allerdings zu Trolling oder unangemessenen Äußerungen kommen, werde ich die Kommentare schließen und die Kommunikation einstellen. Bitte geht daher höflich miteinander um und behandelt einander so, wie ihr selbst auch behandelt werden möchtet.
Losgetreten von der Red Hat / IBM Entscheidung, den Zugang zu seinen öffentlichen Paketquellen einschränken zu wollen und damit das Forken von RHEL durch Entwickler zu begrenzen, kündigte SUSE an, eine kostenlose Alternative für RHLE- und CentOS Nutzer anbieten zu wollen. SUSE ist bereits mit seiner SLES (SUSE Linux Enterprise Server) Lösung am Markt, welches...
Losgetreten von der Red Hat / IBM Entscheidung, den Zugang zu seinen öffentlichen Paketquellen einschränken zu wollen und damit das Forken von RHEL durch Entwickler zu begrenzen, kündigte SUSE an, eine kostenlose Alternative für RHLE- und CentOS Nutzer anbieten zu wollen. SUSE ist bereits mit seiner SLES (SUSE Linux Enterprise Server) Lösung am Markt, welches...
Wir sprechen über Red Hat und SUSE und die dazugehörigen Meldungen der letzten Tage und Wochen. Was die jüngsten Entscheidungen bedeuten und welche Reichweite das haben könnte. All das gibts im Podcast.
Im Hause Red Hat scheint man es nicht mehr so gerne zu sehen, dass alle binärkompatiblen Klone von der eigenen Arbeit kostenlos profitieren. Anders als bei CentOS Stream könnten sich Klone wie AlmaLinux oder RockyLinux künftig mit erschwerten Bedingungen konfrontiert sehen. Denn für CentOS Stream kündigen sich Änderungen an, die den Zugirff auf den RHEL-Quellcode...
Weil Red Hat sich entschlossen zeigt, die Quellen für RHEL nicht länger auf git.centos.org zu veröffentlichen, geraten Distributionen, die darauf setzen, in Bedrängnis. Eine davon, Rocky Linux, hat nun nach eigenem Bekunden Wege gefunden, doch noch legal an die Quellen zu kommen.
Das Vorgehen von Red Hat, die Quellen nur noch zahlenden Kunden zugänglich zu machen, hält Rocky Linux für engstirnig und erinnert in einem Blogpost daran, dass dieser Quellcode in erster Linie aus Upstream-Open-Source Projektpaketen besteht, die sich nicht im Besitz von Red Hat befinden würden.
Glücklicherweise gebe es alternative Methoden, um den Quellcode zu erhalten, schreiben die Rocky-Linux-Macher. Eine Möglichkeit bestehe in der Verwendung von UBI-Container-Images, die auf RHEL basieren und über verschiedene Online-Quellen, einschließlich Docker Hub, erhältlich seien. Mit dem UBI-Image sei es leicht möglich, Red Hat-Quellen zuverlässig und unbelastet zu beziehen. Man habe dies mit OCI-Containern (Open Container Initiative) getestet, und es funktioniere genau wie erwartet, heißt es weiter.
Eine weitere Methode sei die Nutzung öffentlicher Cloud-Instanzen gegen Bezahlung. Damit könne jeder RHEL-Images in der Cloud aufsetzen und so den Quellcode für alle Pakete und Errata erhalten. Dies sei für Rocky Linux am einfachsten zu skalieren, da man alles über CI-Pipelines erledigen könne, indem man Cloud-Images aufsetze, um die Quellen über DNF zu erhalten, und diese automatisch in die eigenen Git-Repositories zu stellen.
Diese Methoden seien mit der GPL konform. Beide Methoden ermöglichten es, RHEL-Binärdateien und SRPMs auf legitime Weise zu beziehen, ohne das Engagement für Open-Source-Software zu gefährden oder Einschränkungen in den Nutzungsbedingungen oder EULAs zustimmen zu müssen, die Rechte beeinträchtigten. Rechtsberater hätten versichert, dass Rocky Linux das Recht habe mit diesen Alternativen den Quellcode zu erhalten, um sicherzustellen, dass man Rocky Linux weiterentwickeln könne.
Nach dem Ende des klassischen CentOS könnte es für RHEL-Nachbauten wie Rocky Linux und Alma Linux sowie deren Kunden schwierig werden.
Linux-Distributor Red Hat hat angekündigt, dass das Unternehmen künftig nicht mehr direkt öffentlichen Zugang zum Quellcode seiner Enterprise-Linux-Distribution RHEL bieten will. Das vor etwas mehr als zwei Jahren neu geschaffene CentOS Stream soll demnach “das einzige Repository für öffentliche RHEL-bezogene Quellcode-Veröffentlichungen sein”, wie es in der Ankündigung heißt.
Unter anderem, um nicht gegen das Urheberrecht der zahlreichen Copyleft-Software in RHEL zu verstoßen, soll der Quellcode für Kunden und Partner von RHEL künftig aber weiter über das Kundenportal des Unternehmens bereitstehen. Zum Problem werden könnte dies vor allem für jene Nachbauten, die kompatibel zu RHEL sein sollen und die Idee des klassischen Modells der CentOS-Distribution weiterführen wollten.
Erstmals vorgestellt hatte Red Hat CentOS Stream im Herbst 2019, Ende 2020 kündigte der Hersteller dann an, das klassische CentOS einstellen zu wollen. Das alte Entwicklungsmodell von Red Hat stellte Nutzern neue oder experimentelle Funktionen über die Community-Distribution Fedora bereit. Diese wurden im Laufe von Jahren teils stabilisiert und in Red Hat Enterprise Linux (RHEL) integriert. Aus den Quellen von RHEL wiederum entsteht die stabile Variante von CentOS als einfacher und kompatibler Nachbau. Das soll vor allem Admins eine notwendige Stabilität für ihre Systeme garantieren.
CentOS Stream ist dagegen eine neue Art Rolling-Release-Variante der Distribution, die auf die Bedürfnisse von Entwicklern ausgerichtet sein soll. Entwickler bräuchten schlicht einen schnelleren Zugriff auf neue Werkzeuge und eine stärkere Kooperation mit der Partner-Community rund um RHEL, sagte der Hersteller. CentOS Stream soll dies mit ständigen Neuveröffentlichungen bieten. CentOS Stream dient dabei als eine Art Upstream für die nächste RHEL-Version, mit einer Vorschau auf neue Kernel-Versionen und neue Funktionen.
Zu der Verfügbarkeit des Quellcodes heißt es in Bezug auf das neue CentOS-Modell: “Vor CentOS Stream hat Red Hat die öffentlichen Quellen für RHEL auf git.centos.org veröffentlicht. Als sich das CentOS-Projekt auf CentOS Stream konzentrierte, behielten wir diese Repositories bei, obwohl CentOS Linux nicht mehr als RHEL-Downstream entwickelt wurde.” Für Red Hat sei die Pflege eines zweiten, separaten Repositorys nicht mehr effizient, so dass das Vorgehen beendet wird.
Doch nicht alle vorherigen CentOS-Nutzer sind zufrieden mit der Entwicklung rund um CentOS Stream, so dass sich etwa mit Alma Linux und Rocky Linux schnell Community-Weiterführungen fanden, die das Modell des binärkompatiblen Nachbaus aufrechterhalten wollen. Wie und ob dies nun ohne direkten Zugang zu dem Quellcode möglich sein wird, ist derzeit völlig unklar. Das betrifft auch große Kunden wie etwa die NASA.
Sowohl Alma Linux als auch Rocky Linux versuchen derzeit, ihre Community und Kunden zu beschwichtigen und bitten um Geduld in Bezug auf Informationen zum weiteren Vorgehen. Die Rocky Enterprise Software Foundation schreibt zudem, dass der Schritt von Red Hat immer als Möglichkeit in Erwägung gezogen worden sei.
Die Einstellung des Git-Repos mit den RHEL-Quellen (siehe auch Ärger für Red-Hat-Klone) hat im Netz erwartungsgemäß für hitzige Diskussionen gesorgt. Ein wenig irritiert haben mich die Kommentare auf lwn.net, eigentlich der seriösesten Linux-News-Quelle: Dort wurden AlmaLinux, Rocky Linux und speziell Oracle von manchen Autoren als »Parasiten« bezeichnet.
Nun ist es unbestritten, dass die Zusammenstellung einer Distribution wie RHEL mit richtig viel Arbeit verbunden ist. Noch viel mehr Mühe bereitet es, das Software-Angebot über 10 Jahre zu warten und auch bei veralteter Software Sicherheits-Patches rückzuportieren. (Python 2.7 ist ein klassisches Beispiel.)
Wenn nun die RHEL-Klone die Quellen einfach kopieren und daraus ein kostenloses Produkt machen (oder, wie im Falle von Oracle, wahlweise kostenlos oder kostenpflichtig mit Support), ist das noch fair? Ist die Bezeichnung »Parasiten« womöglich zutreffend?
Anmerkung: Dieser Artikel wurde zwischen 23.6. und 24.6.2023 mehrfach aktualisiert.
Open Source ist keine Einbahnstrasse
ABER: Linux ist Open-Source-Software. Und das gilt nicht nur für den Kernel, das gilt auch für alle weitere Komponenten: Apache, NGINX, PHP, PostgreSQL, Samba, Postfix, Java, die Bash, der C-Compiler, Python, GRUB usw. Ich könnte hier vermutlich 1000 Open-Source-Komponenten aufzählen, die in RHEL zum Einsatz kommen. Ja, Red Hat arbeitet intensiv an manchen Open-Source-Projekten mit (dem Kernel, systemd, Gnome usw.) und unterstützt viele weitere finanziell. Von anderen Projekten profitiert es, ohne etwas zurückzugeben.
Dazu noch eine Anmerkung aus meiner beruflichen Praxis: Red Hat hat mit Podman ein Konkurrenzprodukt zu Docker geschaffen. Beide Programme stehen unter Open-Source-Lizenzen, beide halten sich an den öffentlichen OCI-Standard und beide funktionieren großartig. In der Presse genießt Docker aber einen zweifelhaften Ruf, weil es versucht, Geld zu verdienen. (Gerade c’t und iX bzw. einige Heise-Autoren sind sehr Docker-kritisch eingestellt.) Übersehen wird dabei: Die Firma Docker betreibt — mit beträchtlichem finanziellem Aufwand — den Docker Hub, die weltweit größte Quelle von Container-Images. Red Hat betreibt zwar auch Registries für ein paar eigene Software-Projekte, aber davon abgesehen gilt: Wer Podman anwendet, bezieht in aller Regel die Images vom Docker Hub (also von docker.io) und verursacht so weitere Kosten für Docker. Red Hat und Podman sind hier also Nutznießer einer Infrastruktur, die von einer anderen Firma geschaffen wurde. (Und ja, das ist Open Source. Das bessere Angebot wird sich langfristig durchsetzen.)
Das Open-Source-Modell funktioniert dann am besten, wenn Einsatz/Aufwand und Nutzen einigermaßen fair verteilt sind. Das Linux-Ökosystem als Ganzes profitiert von erfolgreichen Open-Source-Firmen, und Red Hat war ohne Zweifel die erfolgreichste. (Seit 2018 ist Red Hat Teil von IBM.) Red Hat wiederum profitiert vom riesigen Angebot exzellent gewarteter Open-Source-Software.
Wenn nun umgekehrt kleine Entwickler, Organisationen ohne riesige Finanzmittel, Schulen usw. RHEL-kompatible Software über den Umweg von AlmaLinux, Rocky Linux und Co. kostenfrei nutzen dürfen, erscheint mir das fair. Wiederum profitieren alle, letztlich sogar Red Hat bzw. IBM, weil ihre Software von vielen Anwendern genutzt und getestet wird, weil Studenten die Administration von RHEL-kompatiblen Systemen lernen (und nicht etwas die von Debian oder Ubuntu) usw.
Ohne Not in den Shit Storm
Der Schritt von Red Hat, die Quellen zu RHEL (soweit es GPL-technisch überhaupt möglich ist) zu kappen, wäre verständlich, wenn man sich um die finanzielle Stabilität von Red Hat Sorgen machen müsste. Aber soweit man den Finanzberichten trauen kann, ist das nicht der Fall. IBM hat 2018 Red Hat für 34 Mrd. Dollar gekauft. Damals machte Red Hat 2,9 Mrd Dollar Umsatz und 259 Mil. Dollar Gewinn (Quelle). Seither werden keine eigenen Red-Hat-Zahlen mehr veröffentlicht, aber die Red-Hat-Sparte innerhalb von IBM hat sich offenbar prächtig weiterentwickelt (Quelle). Red Hat kämpft also nicht um sein finanzielles Überleben. Eher ist es wohl die Gier (IBMs?), aus einem gut gehenden Geschäft noch mehr rauszuholen. Auch wenn dabei die Fairness auf der Strecke bleibt.
Und eines muss man schon sagen: Das Timing ist bösartig, ein freundlicheres Wort fällt mir nicht ein. Sowohl die Kommunikation über das CentOS-Ende (Ende 2020) als auch der Stopp der Veröffentlichung der RHEL-Quellen unter git.centos.org (Juni 2023) erfolgte jeweils äußerst kurzfristig mitten im Release-Zyklus. Es ist beabsichtigt, die Anwender von (damals) CentOS und (heute) AlmaLinux, Rocky Linux, Oracle Linux ganz bewusst zu verunsichern und vor den Kopf zu stoßen.
fosspost.org hat die Aktion Red Hat als Schuss ins Knie bezeichnet. Mir erscheint diese Einschätzung zutreffend. Ansible-Entwickler Jeff Geerling fragt: »Are you dumb?« und überlegt, ob er sich überhaupt noch die Mühe machen soll, RHEL zu unterstützen (also z.B. Fehlermeldungen zu bearbeiten, die sich auf RHEL beziehen).
Als Red Hat das CentOS-Projekt in seiner bisherigen Form stoppte, hatte ich Sorgen um die freie Verfügbarkeit von RHEL-Klonen. Dann erlebte das Konzept in Form von AlmaLinux und Rocky Linux eine Wiedergeburt und funktioniert heute besser denn je. Womöglich wird sich dieses Spiel wiederholen. An den Regeln der GNU Public Licence geht auch für Red Hat/IBM kein Weg vorbei. Sicher ist aber schon jetzt: Red Hat (IBM) verliert in der Open-Source-Community gerade massiv Reputation und Gunst.
Im Hause Red Hat scheint man es nicht mehr so gerne zu sehen, dass alle binärkompatiblen Klone von der eigenen Arbeit kostenlos profitieren. Anders als bei CentOS Stream könnten sich Klone wie AlmaLinux oder RockyLinux künftig mit erschwerten Bedingungen konfrontiert sehen. Denn für CentOS Stream kündigen sich Änderungen an, die den Zugirff auf den RHEL-Quellcode...
Red Hat Enterprise Linux (RHEL) besteht aus Open-Source-Code, der öffentlich zugänglich ist. Diesen Umstand nutzen AlmaLinux, Oracle Linux, Rocky Linux und einige weitere Distributionen, um zu RHEL kompatible Distributionen anzubieten. Es ist verständlich, dass dies Red Hat (oder noch mehr IBM?) ein Dorn im Auge ist. Die Klons funktionieren so gut wie das Original, und wer keinen Support braucht oder mit externen Support-Angeboten das Auslangen findet, kann sich viel Geld für Lizenzen sparen.
Nachdem Red Hat schon 2020 das CentOS-Projekt (quasi einen Red-Hat-eigener RHEL-Klon) beendet hat und durch das für den Produktivbetrieb weniger attraktive CentOS Stream ersetzt hat, hat die Firma Ende Juni verkündet, den öffentlichen Zugang auf die RHEL-Quellen unter https://git.centos.org zu beenden. Den RHEL-Quellcode erhalten dann möglicherweise nur noch zahlende Kunden. Das Ganze wurde in bestem Marketing-Sprech als Aufwertung des CentOS-Stream-Projekts verkündet. Die zentrale Aussage lautet: CentOS Stream will now be the sole repository for public RHEL-related source code releases.
Aktuell ist noch unklar, was das für AlmaLinux, Rocky Linux & Co. bedeutet. Grundsätzlich könnten die hinter den Projekt stehenden Organisationen einfach ein RHEL-Abo abschließen. Die Frage ist aber, in welcher Form der Zugang auf den Quellcode dann erfolgt (über SRPM-Pakete?), und wie flott diese Pakete aktualisiert werden. Letztlich könnte die ganze Aktion darauf hinauslaufen, die natürlich weitgehend automatisierten Build-Prozesse der Klone zu behindern oder zu verzögern.
Eine weitere Frage ist, ob irgendwelche EULA-Regeln die Verwendung dieses Codes zum Nachbau anderer Distributionen verbieten können. Das erscheint mir — ohne juristisches Wissen — eher unwahrscheinlich. Es galt immer und es gilt weiterhin die GNU Public License.
Es bleibt also spannend. AlmaLinux verkündet auf Twitter: Don’t panic. Wahrscheinlich eine gute Idee.
Sie wollen WordPress auf einem Server mit RHEL 9 oder einem Klon installieren? Diese Anleitung fasst alle erforderlichen Schritte zusammen. Dabei gehe ich davon aus, dass Sie über eine minimale Installation auf einem Root-Server oder in einer virtuellen Maschine verfügen. Ich habe meine Tests mit AlmaLinux 9 in einer Hetzner-Cloud-Instanz durchgeführt.
DNS-Einträge
Nachdem Sie Ihren Server in Betrieb genommen und sich mit SSH eingeloggt haben, ermitteln Sie die IP-Adressen, unter denen der Server nach außen hin erreichbar ist. Beachten Sie, dass das an sich nützliche Kommando hostname -I nicht in jedem Fall zielführend ist. Wenn Ihre virtuelle Maschine als EC2-Instanz in der Amazon Cloud (AWS) läuft, liefert das Kommando eine Adresse in einem privaten Netzwerk. Diese Adresse gilt aber nur AWS-intern! Sie müssen in der AWS-Konsole ergründen, welche IP-Adresse nach außen gilt.
Ich gehe hier davon aus, dass Ihre WordPress-Installation unter den Adressen example.com und www.example.com zugänglich sein soll und dass Sie IPv4 und IPv6 unterstützen. Dann müssen Sie für Ihre Domain example.com vier DNS-Einträge definieren. Naturgemäß müssen Sie die Beispiel-IP-Adressen durch Ihre echten IP-Adressen ersetzen. Normalerweise dauert es eine Weile (fünf Minuten bis hin zu mehreren Stunden), bis diese DNS-Änderungen wirksam werden.
Typ Name Zieladresse
----- ------- -------------------
A @ 1.2.3.4
A www 1.2.3.4
AAAA @ 2345:1234:1234::1
AAAA www 2345:1234:1234::1
Software-Installation
Auf Ihrem Server müssen Sie nun einen Webserver, einen Datenbank-Server sowie PHP installieren. Ich gehe hier davon aus, dass Sie Apache und MySQL verwenden. Statt Apache wäre natürlich auch NGINX denkbar, statt MySQL auch MariaDB. (Beachten Sie aber, dass die mit RHEL 9 uralte MariaDB-Versionen ausgeliefert werden. Wenn Sie MariaDB einsetzen möchten, sollten Sie den Datenbank-Server aus dem Repository von MariaDB installieren, siehe https://mariadb.org/download/?t=repo-config.)
Bei Cloud-Instanzen entfällt dieser Schritt normalerweise: Die meisten Cloud-Anbieter haben in ihren Instanzen die RHEL-interne Firewall deaktiviert und verwenden stattdessen Firewalls auf Cloud-Ebene, die über die Web-Oberfläche des Cloud-Systems konfiguriert werden muss.
Apache ausprobieren
Um zu testen, dass Ihre Website im Internet zugänglich ist, schreiben Sie »Hello World« in eine Datei im Webverzeichnis /var/www/html:
echo "Hello World" > /var/www/html/index.html
Nun öffnen Sie im Webbrowser auf Ihrem Notebook die Adresse www.example.com oder example.com. Statt »Hello World« wird der Webbrowser eine Sicherheitswarnung anzeigen, weil Ihr Server noch über kein richtiges Zertifikat verfügt. Das ist ein gutes Zeichen: Der Web-Server an sich funktioniert. Ihr Webbrowser erkennt, dass Ihr Server HTTPS unterstützt und will dieses verwenden.
Let’s-Encrypt-Zertifikat für HTTPS einrichten
Es gibt verschiedene Tools, um Zertifikate von Let’s Encrypt zu installieren. Meiner Ansicht nach funktioniert acme.sh am besten. Zur Installation führen Sie die folgenden Kommandos aus:
dnf install tar socat
curl https://get.acme.sh -o acme-setup
less acme-setup (kurze Kontrolle)
sh acme-setup email=admin@example.com
An die E-Mail-Adresse werden Warnungen verschickt, sollte in Zukunft die automatische Erneuerung von Zertifikaten nicht funktionieren. Damit Sie das frisch installierte Script verwenden können, müssen Sie sich aus- und neu einloggen. Jetzt fordern Sie das gewünschte Zertifikat an, wobei Sie natürlich example.com wieder durch Ihren tatsächlichen Hostnamen ersetzen:
acme.sh --issue -d --server letsencrypt example.com -d www.example.com -w /var/www/html
Your cert is in
/root/.acme.sh/example.com/example.com.cer
...
acme.sh speichert das Zertifikat also vorerst in Ihrem Heimatverzeichnis. Sie könnten die Zertifikatsdateien einfach in das /etc-Verzeichnis kopieren, aber das wäre keine gute Idee: Das Zertifikat muss regelmäßig erneuert werden, und acme.sh muss wissen, wohin die neuen Zertifikate dann kopiert werden müssen. Daher weisen Sie acme.sh an, die Zertifikate in das Verzeichnis /etc/mycert zu kopieren:
acme.sh merkt sich den Installationsort und berücksichtigt ihn in Zukunft automatisch bei Updates der Zertifikate. Für diese Updates ist das Kommando acme.sh --cron zuständig, das automatisch einmal täglich durch /var/spool/cron/root ausgeführt wird.
Die Zertifikatsdateien sind nun im /etc-Verzeichnis, aber Apache weiß noch nichts davon. Sie müssen also in der Webserver-Konfiguration angeben, wo sich die Verzeichnisse befinden. Dazu verändern Sie zwei Zeilen in ssl.conf:
# in /etc/httpd./conf.d/ssl.conf zwei Zeilen ändern
SSLCertificateFile /etc/mycert/example.com.fullchain
SSLCertificateKeyFile /etc/mycert/example.com.key
Jetzt starten Sie Apache neu:
systemctl restart httpd
Danach versuchen Sie nochmals, die Seite example.com im Webbrowser zu öffnen. Jetzt sollte alles klappen, d.h. »Hello World« wird verschlüsselt vom Webserver zum Webbrowser übertragen und der Webbrowser ist mit dem Zertifikat zufrieden.
MySQL absichern
Unbegreiflicherweise ist die MySQL-Installation von RHEL 9 und all seinen Klonen offen wie ein Scheunentor. Jeder Benutzer, der sich auf dem Linux-System anmelden kann, erhält mit mysql -u root ohne Passwort Root-Rechte für MySQL. Abhilfe schafft das Kommando mysql_secure_installation. Die folgenden Zeilen fassen stark gekürzt die wichtigsten Eingaben zusammen:
mysql_secure_installation
Would you like to setup VALIDATE PASSWORD component? n
New password: xxxxxx
Re-enter new password: xxxxxx
Remove anonymous users? y
Disallow root login remotely? y
Remove test database and access to it? y
Reload privilege tables now? y
MySQL-Datenbank einrichten
WordPress braucht eine Datenbank, in der Ihre Einstellungen, den HTML-Code Ihrer Blog-Beiträge, die Kommentare anderer Benutzer usw. speichern kann. Diese Datenbank sowie ein Datenbank-Nutzer, der darauf zugreifen darf, wird jetzt eingerichtet. Ich habe für die Datenbank und den Benutzer jeweils den Namen wp verwendet, aber natürlich sind Sie bei der Namenswahl frei.
mysql -u root -p
Password: xxxxxxx (gleiches Passwort wie bei mysql_secure_installation)
mysql> CREATE DATABASE wp;
mysql> CREATE USER wp@localhost IDENTIFIED BY 'strengGeheim';
mysql> GRANT ALL ON wp.* TO wp@localhost;
mysql> exit
WordPress-Dateien installieren
WordPress steht nicht als Paket zur Verfügung, sondern muss manuell installiert werden. Dazu laden Sie die Dateien herunter, packen Sie aus und weisen Ihnen die richtigen Zugriffsrechte samt SELinux-Kontext zu.
cd /var/www/html
rm index.html
wget https://de.wordpress.org/latest-de_DE.tar.gz
tar xzf latest-de_DE.tar.gz
chown -R apache wordpress
chcon -R system_u:object_r:httpd_sys_content_rw_t:s0 wordpress
rm latest-de_DE.tar.gz
Mit der Installation der WordPress-Dateien in /var/www/html/wordpress soll dieses Verzeichnis der Startpunkt für die Dateien in Apache sein. Daher mussdie Variable DocumentRoot von /var/www/html auf /var/www/html/wordpress umgestellt werden. Bei der Gelegenheit können Sie auch gleich den Server-Namen einstellen:
# in /etc/httpd/conf/httpd.conf zwei Zeilen ändern
DocumentRoot "/var/www/html/wordpress"
ServerName example.com
Damit die Einstellungen wirksam werden, ist das folgende Kommando notwendig:
systemctl reload httpd
WordPress konfigurieren
Damit ist es endlich soweit. Sie können nun mit der WordPress-Konfiguration beginnen. Dazu öffnen Sie die Seite example.com/wp-admin/setup-config.php. Im ersten Schritt müssen Sie den Namen der Datenbank, den Datenbank-User sowie dessen Passwort angeben.
Konfiguration des Datenbankzugriffs für WordPress
Im nächsten Schritt legen Sie den Namen Ihrer Website sowie einen Benutzernamen und ein Passwort für die WordPress-Administration fest. Mit diesen Daten können Sie sich danach bei Ihrer neuen Seite anmelden und die mit Inhalten füllen.
Fine Tuning
Wenn alles funktioniert, sollten Sie sich noch um die folgenden Details kümmern:
Anmelden
