SUSE Linux Enterprise Server 11主要针对的是企业用户,SUSE产品分为SUSE LinuxEnterprise Desktop(SLED)和SUSE Linux EnterpriseServer(SLES)两个版本。笔者测试的版本为Server版本,主要面向SMB甚至是大型企业中的服务器系统了。SLED则是面向SMB中的计算机终端。
一 安全从安装开始
SUSE Linux Enterprise Server 11 安装过程在"用户身份验证方法"方面提供企业级的方式包括:本地(etc/password),LDAP ,NIS, Windows 域四种方式。如图-1。
图 -1 用户身份验证方法
相信在主流Linux 发行版本中是比较全面的 ,用户可以根据 自己对安全 的需要选择。对于安全性要求较高的用户可以进行CA 管理和LDAP的设置,如图 -2 。
图 -2 进行CA 管理和LDAP的设置
其他安装部分笔者感觉和上一个版本 以及其他竞争对手基本持平,没有什么可以评论的。
二 解读安全操作
安装完成后笔者首先进入了SUSE Linux Enterprise Server 11的核心YasT2 ,对于多媒体以及办公方面笔者感觉Linux 在最近两三年已经做得相当不错了可惜由于惯性原因还是不能占据桌面市场。还是看看笔者关心的企业级应用部分。
安全与用户
安全与用户包括七个部分:如图-3
图-3安全与用户
除了和其他Linux 发行版本 共有的 用户和组管理 ,防火墙外其他几个都比较有特色:
CA管理如图-4
图-4 新建Root CA
我们以前在Linux 管理CA 使用命令行工具,这里 SUSE Linux Enterprise Server 11 提供一种新的选择。当然笔者不反对使用命令行管理。不过编辑对于Linux 新用户有些困难。
Sudo配置如图-5 使用sudo可以让用户更加安全。
图-5Sudo配置
sudo 规则,sudo 规则可基本确定将在指定的主机(也可指定用户) 上用户可以运行哪些命令。每个规则 是由用户、主机及命令列表,以及可选的 RunAs 规范和其他标记构成的元组。在下表中对它们 进行了汇总。 用户列表示本地用户、系统用户或用户别名。主机列确定在主机别名所指的哪些主机或组上 用户可以运行指定的命令。 RunAs 列是 可选参数,包含用户名(或别名),其访问特权将用于运行命令。NOPASSWD 是标记,用于确定用户运行命令前是否 需要授权。 用户可以在指定主机上运行的一组命令汇总在 命令列中。要添加新的规则,请单击添加按钮并填写相应的 条目。用户名、主机名和命令列表不能为空。 要编辑现有规则,请从表中选择条目并单击编辑按钮。要删除所选条目,请单击删除按钮。
本地安全如图-6 。
图 -6 本地安全
本地安全实际包括一组工具:密码设置 ,引导设置,登录设置,用户添加,杂项设置等等。
通用证书服务器如图-7
图-7 通用证书服务器
该普通服务器证书将由其它 YaST 模块使用。可以通过从文件导入证书来交换此证书。可以使用 CA 管理模块中证书部分中的导出到文件将证书写到文件中。从磁盘导入的证书必须是以含 CA 链的 PKCS12 格式写入的。也是一个比较有用的选项。
LAF审计框架如图-8 。
图-8 LAF审计框架
LAF审计框架即:Auditd 日志文件配置的前端界面。审计守护程序将所有相关审计事件记录到默认日志文件/var/log/audit/audit.log 中。 事件可能来自 apparmor 内核模块或者来自使用 libaudit(例如PAM)的应用程序或由规则(例如文件检查)产生的事件。有关规则以及添加规则的可能性的更多信息组成了对话框 auditctl 的规则。有关日志文件设置的详细信息,可从"man auditd.conf"中获取。日志文件:输入日志文件的完整路径名 (或使用选择文件。)格式:设置RAW 以记录所有数据或设置 NOLOG 以丢弃所有审计信息(不影响发送到发送程序的数据)。清理:说明如何将数据写入磁盘。如果设置为INCREMANTAL,Frequency 参数将在 发出一次明确的磁盘清理前指出要写入的记录数。
在大小和操作框架中配置日志文件最大大小以及达到 此值时要采取的操作。如果操作设置为 ROTATE,则日志文件数指定要保留的文件数。计算机名称格式说明如何将计算机名称写入日志文件。 如果设置了用户,则使用用户定义的名称。
Auditd 日志文件是2.6 内核重要安全保障,笔者也是第一次使用LAF审计进行配置感觉非常方便。其他两个模块笔者用户和组管理 ,防火墙基本和其他Linux 发行版本相比各有千秋。
#p#
三 设置存储管理
存储管理是Linux 服务器管理员的重要工作。这里包括RAID 和逻辑卷等基本方面如图 -9 。
图-9 RAID 和逻辑卷
除此之外还有一个磁盘文件加密选项:如图-10。
图-10 磁盘文件加密
相信许多系统管理员对它比较感兴趣。它可以在物理磁盘分区和文件映象中建立加密文件系统,并对文件系统进行管理,例如,对文件系统进行挂载、卸载、格式化等操作。其中左边设备栏中显示的加密设备列表,右边是显示的是加密设备的属性和状态。如果想显示加密设备的属性和状态,双击左边设备列表中的设备即可。
四 网络服务器管理
SUSE Linux Enterprise Server 11网络服务器管理非常详细如图-11 。
图-11网络服务器管理
SUSE Linux Enterprise Server 11网络服务器管理包括几乎所有局域网应用。笔者比较关注的是 三个项目:
iSCSI 启动程序如图-12
图-12 iSCSI 启动程序
说明:InitiatorName 是 /etc/initiatorname.iscsi 中的值。 如果有 iBFT,将添加 iBFT 中的值,并且您只能在 BIOS 设置中更改。
如果要使用 iSNS (Internet Storage Name Service) 来发现目标,而不使用默认的 SendTargets 方法, 请填写 iSNS 服务器的 IP 地址和端口。
默认端口是 3205。
iSCSI 目标如图-13
图-13 iSCSI 目标
提供的目标列表。单击添加创建新目标。 要删除或修改某个项目,请选择它并按修改或删除。
其实前两个在后门企业版也可以看到,只不过界面没有SUSE 友好更加易用。下面的ISNS服务器是SUSE Linux Enterprise Server 11
ISNS服务器如图-14
iSCSI(互联网小型计算机系统接口)是非常灵活且有用的,但是现在在企业中一个很让人头疼的问题就是如何管理iSCSI设备。iSNS协议(或称iSNSP)定义了iSNS客户端和服务器的通信方式。这也是可能会引起疑惑的地方。所有的iSCSI"客户端"(发起端)和"服务器"(目标端)实际上都是iSNS的客户端。即使是存储设备,在同iSNS服务器通信的时候,也都是客户端。iSNS协议提供了四个基本功能,可以简化并升级你的iSCSI架构管理。iSNS可以将iSCSI设备映射到代理全局名称(WWN),后者可以被iSCSI-FC网关所使用。因此,iSNS是这两种存储网络实现整合的"粘合剂"。市面上的iSNS服务器不多。微软的iSNS Server3.0产品可以免费下载。Linux也有一个iSNS服务器,但是大部分版本上没有这个功能。你必须自己下载源代码,然后进行编译。Linux上有关iSNS的文档很少。Sun的OpenSolaris自从版本77以后就完全支持iSNS服务器了。最新的OpenSolaris版本是101,这个版本包含了iSNS服务器。这也是市面上Unix类最早出现的的iSNS服务器,它甚至还包含一个图形界面(需要单独安装)。笔者使用过,不过其功能相比SUSE Linux Enterprise Server 11 ISNS服务器各有千秋。OpenSolaris的iSNS服务器是通过web页面控制的。笔者感觉是使用java必须的。
五 虚拟化应用
虚拟化应用是Linux 企业级应用的重点,SUSE Linux EnterpriseServer 11 当然不会忽视主要包括两个工具:Xen 和KVM。相比竞争对手RHEL 5.2多出一个KVM ,不过红帽还有FedoraCore项目其 Fedora Core 8 版本开始也在使用KVM。下面要看红帽在企业级方面的动作了。SUSE LinuxEnterprise Server 11管理界面和RHEL 5.2 基本相同 只不过多了一个虚拟化安装管理程序及工具,这个工具是用来自动配置网络接口和VM服务器(域)比较实用 如图-15 。
图-15 虚拟化安装管理程序及工具
KVM即Kernel-based VirtualMachine,KVM所采用的方法是只需通过加载一个内核模块就将Linux内核变成一个hypervisor(管理程序)。这个内核模块导出一个称为/dev/kvm的设备,此设备会启动内核的一个客户机模式(除传统的内核和用户模式之外的)。通过/dev/kvm,一个VM(虚拟机)拥有其自身的地址空间,这个地址空间与内核的地址空间相分离或与任何一个正运行着的VM相分离。设备树(/dev)中的设备对所有的用户空间程序都是公用的。但/dev/kvm与此不同,因为每一个打开它的过程都会看到一个不同的映像(用以支持VM的分离)。然后KVM简单地将Linux内核变为hypervisor管理程序(在你安装KVM内核时)。因为标准的Linux内核是hypervisor管理程序,它从对标准内核的改变中获益(存储支持、调度程序等等)。对这些Linux部件的优化(如在2.6内核中的新O(1)调度程序)既有利于hypervisor管理程序(主机操作系统)又有利于Linux客户机操作系统。 虚拟化在和RHEL的竞争中,SUSE 基本在和RHEL在一个等级上,不过SUSE总是先于RHEL发布新版本。
六 AppArmor
AppArmor 是SUSE Linux 独有安全工具。AppArmor 旨在为服务器和工作站提供简单易用的应用程序安全。AppArmor 是一个访问控制系统,该系统使您能够为每个程序指定程序可以读取、写入和执行的文件。AppArmor不依赖攻击签名,而是以强制方式使应用程序行为良好,从而确保应用程序的安全,因此即使是对以前未知漏洞的攻击也能防止。NovellAppArmor 的组成部分如下:
常用 Linux* 应用程序的 AppArmor 配置文件库,描述程序需要访问的文件。
常用的应用程序活动(如 DNS 查询和用户鉴定)所需的 AppArmor 配置文件基础类(配置文件组建模块)库。
用于开发和增强 AppArmor 配置文件的工具套件,使用它可以对现有配置文件进行更改以适应您的需要,还可以为您的本地和自定义应用程序创建新的配置文件。
若干经过特别修改的应用程序,这些应用程序启用了 AppArmor,能够以独特的子进程限制形式来提升安全性,包括Apache。
可转载 Novell AppArmor 的内核模块及关联的控制脚本,用于在 SUSE Linux 系统上强制实施 AppArmor 策略
AppArmor配置界面如图 -16 。
图 -16 AppArmor配置界面
个人感觉是类似Selinux 的控制工具。另外SUSE Linux Enterprise Server 11 还有一个指纹读取程序应当是为移动办公的商务人士准备的。
七 看看SUSE Linux Enterprise Server 11 尚待改进之处
笔者手中的SUSE Linux Enterprise Server 11 和上一个版本中的蓝牙控制装置笔者没有找到。可考虑到是笔者测试的版本为Server版本,主要面向SMB甚至是大型企业中的服务器系统可能出于安全策略没有配置无线设备。不知道SUSE Linux Enterprise Desktop是否包括。
SUSE Linux Enterprise Server 11 支持 Selinux 不过相比RHEL 5 ,SUSE没有提供专门的管理工具。可以通过15 个 Selinux 相关命令操作,对于linux 新用户有些困难。相比RHEL 5 有差距。
另外感觉SUSE Linux Enterprise Server 11 输入法使用起来不太方便。
笔者目前没有看到集群管理工具,相比RHEL 5有差距。
另外前个版本广受欢迎的桌面搜索引擎:beagle ,笔者也没有发现。
综合评价:在系统管理方面,SUSE也充分展现了人性化的一面,控制中心当中共有个人、外观、硬件、系统等四大类共三十余项管理功能,而用户还可以利用SUSE系统中著名的YaST管理套件对系统进行细致的调整。为了能使大家对SUSE Linux Enterprise Server11
有一个全面、客观的认识,笔者从多个角度为SUSE Linux Enterprise Server11打一个分值,供大家参考。说明笔者考量的是企业级应用 ,对于桌面/浏览器/办公软件方面笔者没有涉及,以下仅供参考(仅为笔者个人观点)。
安装:85分。安装程序安全性能比较高。
硬件支持:85分。亮点是支持硬件较新\较全,尤其是采用了ALSA,使声卡支持有较大提高。另外一些集成网卡 显卡也可以自动安装驱动。
中文支持:80分。对中文输入法支持不够完善。
企业级应用:85分。基本上所有局域网服务器都可以配置 ,特别是ISCSI 方面领先其他版本。
系统功能:90分。虽然新增的许多功能还仍有些不尽如人意的地方,但无疑是SUSE Linux Enterprise Server 11历史上功能最多最强的。
程序运行速度:85分。
【编辑推荐】