體驗紅帽企業(yè)版55

1、體驗紅帽企業(yè)版5.5紅帽企業(yè)版5.5正式版已于2009年9月發(fā)布，筆者在51cto 的幫助下拿到DVD安裝盤，下面介紹一下十天左右的使用感受，供廣大網(wǎng)友參考。一 從安裝開始下面介紹一下安裝過程的亮點，紅帽企業(yè)版5.5主要針對的是企業(yè)用戶安全是關(guān)注的重點，紅帽企業(yè)版5.5相比上個版本開始從安裝支持對分區(qū)文件系統(tǒng)加密，如圖-1 。圖-1 對分區(qū)文件系統(tǒng)加密加密的分區(qū)（/dev/sda2）會有符號顯示如圖-2 。圖-2 加密的分區(qū)（/dev/sda2）會有符號顯示當(dāng)然還可以在安裝過程對引導(dǎo)配置進(jìn)行加密如圖-3。圖-3 對引導(dǎo)配置進(jìn)行加密另外安裝過程的結(jié)尾階段在“驗證配置”方面提供企業(yè)級的方式包括：本

2、地（etc/password），LDAP ，NIS， Winbind、Hesiod多種方式。如圖4。圖 -4 用戶身份驗證方法相信在主流Linux 發(fā)行版本中是比較全面的 ，用戶可以根據(jù) 自己對安全 的需要選擇。對于安全性要求較高的用戶可以進(jìn)行Hesiod或者LDAP的網(wǎng)絡(luò)登錄。l 啟用NIS支持：選擇該選項來把系統(tǒng)配置成連接 NIS 服務(wù)器來驗證用戶和口令的 NIS 客戶。點擊配置NIS按鈕來指定 NIS 域和 NIS 服務(wù)器。如果 NIS 服務(wù)器沒有被指定，守護(hù)進(jìn)程會試圖通過廣播來尋找它。你必須安裝了 ypbind 軟件包才能使這個選項奏效。如果啟用了 NIS 支持，portmap 和 y

3、pbind 服務(wù)會被啟動，它們也會在引導(dǎo)時被啟用。l 啟用LDAP支持：選擇這個選項來配置系統(tǒng)來通過 LDAP 檢索用戶信息。點擊“配置 LDAP”按鈕來指定“LDAP 搜索基準(zhǔn) DN”和“LDAP 服務(wù)器”。如果“使用 TLS 來加密連接”被選擇，傳輸層安全就會被用來加密發(fā)送給 LDAP 服務(wù)器的口令。你必須安裝 openldap-clients 軟件包才能使這個選項奏效。 l 啟用Hesiod支持：選擇這個選項來配置系統(tǒng)來從遠(yuǎn)程 Hesiod 數(shù)據(jù)庫中檢索信息，包括用戶信息。你必須要安裝 hesiod 軟件包。 l 啟用Winbind支持：選擇這個選項使系統(tǒng)可以連接到Windows Act

4、ive Directory或者Windows domain controller。在驗證界面同樣有多種選擇包括智能卡登錄，如圖-5 。圖-5 智能卡設(shè)置智能卡登錄是利用電腦上的 usb 接口，將智能卡插入通過驗證智能卡內(nèi)的用戶證書來登錄Linux的一整套過程，當(dāng)系統(tǒng)啟動后，提示用戶插入智能卡，如果不插入智能卡，或者插入的智能卡不是保護(hù)當(dāng)前用戶的，都會被提示說請插入有效的智能卡，當(dāng)用戶將正確的智能卡插入 電腦的 usb 接口后，系統(tǒng)會開始自動驗證，并提示用戶輸入智能卡的密碼，如果輸入的智能卡密鑰有誤的話，用戶也無法登錄，這樣做的優(yōu)點是，第一，用戶要插入有效的智能 卡才能登錄，第二，用戶還要輸入智

5、能卡的密碼，此密碼只有用戶自己知道，這樣就確保了當(dāng)用戶的智能卡丟失或者被復(fù)制后，其他人想利用智能卡登錄時還要輸入 智能卡登錄系統(tǒng)的密碼，這樣對系統(tǒng)起到了雙層保護(hù)。 另外安裝的最后過程系統(tǒng)會極力推薦您建立紅帽的登錄帳號服務(wù)，其他安裝部分筆者感覺和上一個版本 以及其他競爭對手基本持平，沒有什么可以評論的。如果前面選擇了“對分區(qū)文件系統(tǒng)加密” 那么每次登陸系統(tǒng)過程中要輸入密碼才可以正常啟動如圖-6 。圖-6 每次登陸系統(tǒng)過程中要輸入密碼才可以正常啟動二 解讀紅帽企業(yè)版5.5操作 對于多媒體以及辦公方面筆者感覺Linux 在最近兩三年已經(jīng)做得相當(dāng)不錯了可惜由于慣性原因還是不能占據(jù)桌面市場。還是看看筆者

6、關(guān)心的企業(yè)級應(yīng)用部分。1 eCryptfs 加密紅帽企業(yè)版5.5開始支持eCryptfs 加密，eCryptfs 是在 Linux 內(nèi)核 2.6.19 版本中引入的一個功能強大的企業(yè)級加密文件系統(tǒng)，堆疊在其它文件系統(tǒng)之上（如 Ext2, Ext3, Ext，4 ReiserFS, JFS 等），為應(yīng)用程序提供透明、動態(tài)、高效和安全的加密功能。本質(zhì)上，eCryptfs 就像是一個內(nèi)核版本的 Pretty Good Privacy（PGP）3 服務(wù)，插在 VFS（虛擬文件系統(tǒng)層）和 下層物理文件系統(tǒng)之間，充當(dāng)一個“過濾器”的角色。用戶應(yīng)用程序?qū)用芪募膶懻埱?，?jīng)系統(tǒng)調(diào)用層到達(dá) VFS 層，VFS

7、 轉(zhuǎn)給 eCryptfs 文件系統(tǒng)組件（后面會介紹）處理，處理完畢后，再轉(zhuǎn)給下層物理文件系統(tǒng)；讀請求（包括打開文件）流程則相反。eCryptfs 的設(shè)計受到OpenPGP 規(guī)范的影響，使用了兩種方法來加密單個文件： 1. eCryptfs 先使用一種對稱密鑰加密算法來加密文件的內(nèi)容，推薦使用 AES-128 算法，密鑰 FEK（File Encryption Key）隨機產(chǎn)生。有些加密文件系統(tǒng)為多個加密文件或整個系統(tǒng)使用同一個 FEK（甚至不是隨機產(chǎn)生的），這會損害系統(tǒng)安全性，因為：a. 如果 FEK 泄漏，多個或所有的加密文件將被輕松解密；b. 如果部分明文泄漏，攻擊者可能推測出其它加密文件

8、的內(nèi)容；c. 攻擊者可能從豐富的密文中推測 FEK。 2. 顯然 FEK 不能以明文的形式存放，因此 eCryptfs 使用用戶提供的口令（Passphrase）、公開密鑰算法（如 RSA 算法）或 TPM（Trusted Platform Module）的公鑰來加密保護(hù)剛才提及的 FEK。如果使用用戶口令，則口令先被散列函數(shù)處理，然后再使用一種對稱密鑰算法加密 FEK?？诹?公鑰稱為 FEFEK（File Encryption Key Encryption Key），加密后的 FEK 則稱為 EFEK（Encrypted File Encryption Key）。由于允許多個授權(quán)用戶訪問同一

9、個加密文件，因此 EFEK 可能有多份。 這種綜合的方式既保證了加密解密文件數(shù)據(jù)的速度，又極大地提高了安全性。雖然文件名沒有數(shù)據(jù)那么重要，但是入侵者可以通過文件名獲得有用的信息或者確定攻擊目標(biāo)，因此，最新版的 eCryptfs 支持文件名的加密。eCryptfs 使用方法eCryptfs 需要相應(yīng)的內(nèi)核模塊和用戶態(tài)的工具同時配合使用。用戶態(tài)的工具可以從 獲得，使用Ubuntu 系統(tǒng)的用戶，用 apt-get 命令安裝 ecryptfs-utils 包即可。mount -t ecryptfs real_path ecryptfs_mounted_path。推薦ecryptfs_mounted_p

10、ath 和 真實目錄 real_path 一致，這樣非授權(quán)用戶不能通過原路徑訪問加密文件。圖-7 是掛載界面。圖-7 掛載界面l 另外紅帽企業(yè)版5.5 還提供了一個eCryptfs 加密圖形化前端如圖-8 。eCryptfs 加密圖形化前端如圖-8通過eCryptfs 加密圖形化前端您可以更加方便進(jìn)行操作。2 TrouSerS 除了和其他Linux 發(fā)行版本 共有的 用戶和組管理 、selinux和防火墻外TrouSerS功能比較有特色： TrouSerS支持TPM ，TPM（Trusted Platform Module)可信任安全平臺模組TCG（Trusted Computing Grou

11、p)信賴運算集團所推廣的資訊安全防護(hù)技術(shù)規(guī)格，包括Intel、IBM、HP、AMD、Sony、Sun Micro及微軟等資訊大廠都是這個組織的支持廠商。簡單來說，TPM可以利用公開金鑰架構(gòu)（PKI）產(chǎn)生無法復(fù)制讀數(shù)位簽章，以驗證存取資料平臺及硬碟的身份，提供個別平臺的資料防護(hù)；此外，有的TPM晶片還具有儲存密碼或使用者 資料的功能，或額外整合一些安全機制等。對使用者來說，TPM最直接的好處就是可以直接對檔案或資料匣進(jìn)行加密，一旦被TPM加密過的檔案資料，基本上就具有雙重防護(hù)，一方面是開啟被加密檔案本身必須有一組密碼，另外，還需與TPM晶片搭配才能開啟檔案；也就是說即使被駭客竊取，由於少了TPM

12、晶片，資料也無法被讀取。應(yīng)當(dāng)是為移動辦公的商務(wù)人士準(zhǔn)備的。3 遠(yuǎn)程網(wǎng)絡(luò)安裝設(shè)置系統(tǒng)管理員通常要批量或者遠(yuǎn)程安裝Linux 系統(tǒng)，紅帽企業(yè)版5。4 提供了一個網(wǎng)絡(luò)安裝或者無盤站配置工具圖-9是首次配置向?qū)?。圖-9 首次配置向?qū)нx擇網(wǎng)絡(luò)安裝即可進(jìn)入相關(guān)界面如圖-10 。圖-10 配置網(wǎng)絡(luò)安裝網(wǎng)絡(luò)安裝協(xié)議類型支持：HTTP、NFS、FTP三種。如圖-11 。圖-11網(wǎng)絡(luò)安裝協(xié)議類型支持4 設(shè)置存儲管理存儲管理是Linux 服務(wù)器管理員的重要工作。這里包括邏輯卷基本方面如圖 12 。 圖-12 邏輯卷界面另外FCoE 驅(qū)動的加入，F(xiàn)CoE是使用基于以太網(wǎng)的光纖通道協(xié)議，而iSCSI則使用基于以太網(wǎng)的

13、TCP/IP協(xié)議。前者讓你可以通過以太網(wǎng)建立鏈接，連接到光纖通道SAN；后者可以通過同樣的鏈接，連接到IP SAN。安裝過程就可以設(shè)置iscsi磁盤如圖-13 。圖-13 設(shè)置iscsi磁盤參數(shù)不過許多供應(yīng)商認(rèn)為，iSCSI是作為光纖通道SAN（IP-SAN）擴展產(chǎn)品來提供的。這是一個亮點。iSER支持使得ISCSI 管理更加方便。另外包括RAID 故障監(jiān)控工具（dmraid 和 dmevent_tool）。另外磁盤分析器可以掃描本地文件系統(tǒng)和遠(yuǎn)程文件系統(tǒng)也是非常實用的如圖-14 。圖-14 磁盤分析器可以掃描本地文件系統(tǒng)和遠(yuǎn)程文件系統(tǒng)三 虛擬化應(yīng)用虛擬化應(yīng)用是Linux 企業(yè)級應(yīng)用的重點，紅

14、帽企業(yè)版5.5當(dāng)然不會忽視主要包括兩個工具：Xen 和KVM。相比上個版本多出一個KVM ，不過紅帽還有Fedora Core項目其 Fedora Core 8 版本開始也在使用KVM。下面要看紅帽在企業(yè)級方面的動作了。紅帽企業(yè)版5.5虛擬化管理界面和紅帽企業(yè)版5.3 基本相同如圖-14 。雖然可在同一系統(tǒng)中安裝 Xen 和 KVM，但它們的默認(rèn)聯(lián)網(wǎng)配置是不同的。強烈建議用戶在一個系統(tǒng)中只安裝一個監(jiān)控程序。圖-15 虛擬化安裝管理程序及工具KVM即Kernel-based Virtual Machine，KVM所采用的方法是只需通過加載一個內(nèi)核模塊就將Linux內(nèi)核變成一個hypervisor

15、（管理程序）。這個內(nèi)核模塊導(dǎo)出一個稱為/dev/kvm的設(shè)備，此設(shè)備會啟動內(nèi)核的一個客戶機模式（除傳統(tǒng)的內(nèi)核和用戶模式之外的）。通過/dev/kvm,一個VM（虛擬機）擁有其自身的地址空間，這個地址空間與內(nèi)核的地址空間相分離或與任何一個正運行著的VM相分離。設(shè)備樹（/dev）中的設(shè)備對所有的用戶空間程序都是公用的。但/dev/kvm與此不同，因為每一個打開它的過程都會看到一個不同的映像（用以支持VM的分離）。然后KVM簡單地將Linux內(nèi)核變?yōu)閔ypervisor管理程序（在你安裝KVM內(nèi)核時）。因為標(biāo)準(zhǔn)的Linux內(nèi)核是hypervisor管理程序，它從對標(biāo)準(zhǔn)內(nèi)核的改變中獲益（存儲支持、調(diào)度

16、程序等等）。對這些Linux部件的優(yōu)化（如在2.6內(nèi)核中的新O(1)調(diào)度程序）既有利于hypervisor管理程序（主機操作系統(tǒng)）又有利于Linux客戶機操作系統(tǒng)。一個典型的 KVM 安裝包括以下部件：l 一個管理虛擬硬件的設(shè)備驅(qū)動，這個驅(qū)動通過一個字符設(shè)備 /dev/kvm 導(dǎo)出它的功能。通過 /dev/kvm 每一個客戶機擁有其自身的地址空間，這個地址空間與內(nèi)核的地址空間相分離或與任何一個正運行著的客戶機相分離。l 一個模擬硬件的用戶空間部件，它是一個稍微改動過的 QEMU 進(jìn)程。從客戶機操作系統(tǒng)執(zhí)行 I/O 會擁有 QEMU 。 QEMU 是一個平臺虛擬化方案，它允許整個 PC 環(huán)境（包

17、括磁盤、顯示卡（圖形卡）、網(wǎng)絡(luò)設(shè)備）的虛擬化。任何客戶機操作系統(tǒng)所發(fā)出的 I/O 請求都被攔截，并被路由到用戶模式用以被 QEMU 過程模擬仿真。紅帽企業(yè)版 Linux 5.5 現(xiàn)在包含對 x86_64 構(gòu)架中基于內(nèi)核的虛擬機（KVM）監(jiān)控程序的全部支持。KVM 是整合到 Linux 內(nèi)核中，可在紅帽企業(yè)版 Linux 中提供穩(wěn)定、多種特性以及內(nèi)嵌硬件支持的虛擬化平臺。在各種不同客戶端操作系統(tǒng)中都可支持使用 KVM 的虛擬化，其中包括： l 紅帽企業(yè)版 Linux 3 l 紅帽企業(yè)版 Linux 4 l 紅帽企業(yè)版 Linux 5 l Windows XP l Windows 服務(wù)器 2003

18、 l Windows 服務(wù)器 2008運行 KVM，你需要一臺運行 2.6.20 以上 Linux 內(nèi)核的 Intel 處理器（含 VT 虛擬化技術(shù)）或 AMD 處理器（含 SVM 安全虛擬機技術(shù)的 AMD 處理器）。小貼士：如何確認(rèn)處理器含有 Intel VT 或 AMD-V 技術(shù)基于 Intel 處理器的系統(tǒng)，運行 grep vmx /proc/cpuinfo 查找 CPU flags 是否包括 vmx 關(guān)鍵詞# grep vmx /proc/cpuinfo 基于 AMD 處理器的系統(tǒng)，運行 grep svm /proc/cpuinfo 查找 CPU flags 是否包括 svm 關(guān)鍵詞#

19、 grep svm /proc/cpuinfo 一些廠商禁止了機器 BIOS 中的 VT 選項 , 這種方式下 VT 不能被重新打開。/proc/cpuinfo 僅從 Linux 2.6.15(Intel) 和 Linux 2.6.16(AMD) 開始顯示虛擬化方面的信息，請使用 uname -r 命令查詢您的內(nèi)核版本。四、文件系統(tǒng)和其他工具文件系統(tǒng)方面是是ext4 文件系統(tǒng)的引入。針對 Linux 的擴展文件系統(tǒng)有著漫長而豐富的歷史 從 1992 年首次引入 ext1 到 2008 年引入 ext4。ext4 是首個專門為 Linux 設(shè)計的文件系統(tǒng)，并且事實證明它是高效、穩(wěn)定、強大的文件系

20、統(tǒng)。ext4 隨著文件系統(tǒng)研究的深入而不斷發(fā)展，并且借鑒其他新文件系統(tǒng)的先進(jìn)思想（比如 XFS、JFS、Reiser 和 IRON 容錯文件系統(tǒng)技術(shù)）。最值得一提的是，ext4 支持 1 EB 的文件系統(tǒng)。ext4 是由 Theodore Tso（ext3 的維護(hù)者）領(lǐng)導(dǎo)的開發(fā)團隊實現(xiàn)的，并引入到 2.6.19 內(nèi)核中。到底 ext4 文件系統(tǒng)的性能怎么樣呢？希望這篇來自于 Phoronix 的評測可以解答部分疑問，文章鏈接： 。在 Bonnie+，IOzone, 和 Flexible IO Tester 三個純理論性能測試軟件中 EXT4 取得了八項測試中五項第一，XFS 取得了剩余三項的第

21、一名。在 Nexuiz，World of Padman，和 Unreal Tournament 2004 這三個游戲的測試中，四個文件系統(tǒng)的表現(xiàn)十分相近，這意味著遷移文件系統(tǒng)到 EXT4 或者 XFS 上并不能獲得更高的游戲運行幀速。文件壓縮測試中，EXT4 和 XFS 一起分享了頭把交椅。而在多媒體編碼測試中，四個文件系統(tǒng)各有勝負(fù)，這意味著高清愛好者們并不需要立刻切換到新的文件系統(tǒng)上，老的 EXT3 依然不錯。這一點同樣體現(xiàn)在加密測試中，EXT3 摘得 GnuPG 加密測試冠軍，而 EXT4 則占據(jù) Bork 加密測試的性能表現(xiàn)寶座。 軟件開發(fā)方面主要是Gcc 4.4 的加入。作為Linux

22、平臺下最常用的編譯器，GCC提供了強大的編譯能力和良好的平臺通用性，其重要性不言而喻。編譯優(yōu)化是它的一大特點，除了可以對軟件代碼進(jìn)行不同程度的分析優(yōu)化外，GCC還可以根據(jù)處理器的結(jié)構(gòu)特性在編譯中對代碼進(jìn)行有針對性的編排組合，以更加高效地運行于目標(biāo)平臺。GCC 4.4 相對于 4.3 版最大的變化就是對 C+ 0x 標(biāo)準(zhǔn)支持有了大幅提升，已支持的 0x 特性中，thread 已經(jīng)可用，api 方面基本上與 pthread 規(guī)范相一致，熟悉 pthread 的人能很快上手。因為 pthread 規(guī)范已經(jīng)非常成熟，所以在 C+ 中支持 thread 只是標(biāo)準(zhǔn)方面的問題（看 4.4 的頭文件可知，在支

23、持 pthread 的平臺上，mutex 和 condition_variable 等直接映射到 pthread 相應(yīng)類型），不過，C+ 作用域之后變量被析構(gòu)，使得程序員可以直接在臨界區(qū)的作用域內(nèi)聲明 lock_guard<mutex>lock(mutex)，而無需手動釋放互斥鎖。得益于 4.4 版中對于其他 C+ 新特性-變長模板參數(shù)的支持，也可以一次性在 std:lock(LockableType1&m1,LockableType2&m2.)中鎖定多個鎖。FreeIPMI提供帶內(nèi)和帶外的IPMI軟件基礎(chǔ)上的IPMI v1.5/2.0規(guī)范。它有許多有用的功能的大型高性能計算或集群環(huán)境。另外OpenAIS 目前提供除多播外的廣播網(wǎng)絡(luò)溝通。這個功能是作為單獨使用 OpenAIS 以及與群集套件一同使用的技術(shù)預(yù)覽出現(xiàn)的。請注意：將 OpenAIS 配置為使用廣播的功能還沒有整合到群集管理工具中，必須手動配置。七 最后看看筆者眼中的紅帽