【51CTO独家特稿】红帽在11月10日发布了其企业级Linux,RHEL 6的正式版(51CTO编辑注:红帽官方已经不用RHEL这个简称了,其全称叫做Red Hat Enterprise Linux)。新版带来了将近1800个新特性,对于这些新特性我们第一时间找到了著名Linux专家——曹江华先生,为我们进行了红帽RHEL 6的亮点体验。
作者简介:曹江华,1999年开始从事构建网络、管理维护、数据库管理工作。1999年后开始接触LINUX,将工作中的经验总结后已出版《Linux服务器安全策略详解》,《Linux服务器安全策略详解》(第二版),《Red Hat Enterprise Linux 5.0服务器构建与故障排除》,《Linux系统最佳实践工具:命令行技术》四本堪称Linux系统管理员日常工具书的热销图书,目前关注开放系统和网络安全。
下面介绍一下十天左右的使用感受,供广大网友参考。
发行介质
红帽企业级 Linux 6相比上个版本红帽企业版5一样同时提供32位和64位版本,不过红帽企业级 Linux 6多了最小引导介质(rhel-server-6.0-i386-boot.iso和 rhel-server-6.0-x86_64-boot.iso )两个文件,使用这两个小文件可以实现本地硬盘、NFS、网络安装等选择如图1 。
图1 可以实现本地硬盘、NFS、网络安装
当然这不是什么新技术debian等发行版早就有了,不过多一种选择总是好的,用户可以直接使用互联网安装可以避免下载刻录光盘的麻烦如图2。
图2 URL 设置界面
从安装开始
开始安装界面如图3 。相比上个版本红帽企业版5风格有些改变。
图3 安装界面
安装界面包括四个选择:
◆安装或者升级现有系统
这个选项是默认的。选择这个选项在您的计算机系统中使用图形安装程序安装红帽企业版 Linux。
◆使用基本视频驱动程序安装系统
这个选项允许您在安装程序无法为您的显卡载入正确驱动程序时使用图形模式安装红帽企业版Linux。如果您在使用「安装或者升级现有系统」时屏幕出现扭曲或者成空白屏幕,重启您的计算机并尝试使用这个选项。
◆救援安装的系统
选择这个选项修复已安装但无法正常引导的红帽企业版 Linux 中的问题。虽然红帽企业版 Linux 是非常稳定的计算机平台,但偶尔也会发生无法引导的问题。救援环境包含可让您修复大量此类问题的工具程序。
◆使用本地驱动器引导
这个选项使用第一个安装的磁盘引导。如果您误用这个磁盘引导,请使用这个选项立刻从硬盘引导且不用启动安装程序。#p#
安装过程的亮点
下面介绍一下安装过程的亮点,红帽企业级 Linux 6主要针对的是企业用户,存储管理是Linux 服务器管理的重要工作。相比上个版本红帽企业版5,红帽企业级 Linux 6除了支持iscsi磁盘,另外还可以直接支持多路径设备、FcoE SAN磁盘、固件RAID等如图4。一般来说,FCoE能很好地将光纤通道迁移到以太网中,而且不破坏现有的FC环境和技能清单。而iSCSI利用IP顶层协议TCP,FCoE和iSCSI都不能实现路由功能。ZFCP即光纤通道挂接式 SCSI 磁盘,zFCP 驱动程序是由它的设备地址来指定的。但是在 2.6 版本的内核映像中,它的驱动程序是由 0.0.1600 来指定的。
图4 红帽企业级 Linux 6支持iscsi磁盘、多路径设备、FcoE SAN磁盘、固件RAID
图 4 说明如下:
◆基本设备
直接连接到本地系统的基本存储设备,比如硬盘驱动器和固定驱动器。
◆固件 RAID
附加到固件 RAID 控制程序的存储设备。
◆多路径设备
可通过一个以上的路径访问存储设备,比如通过多 SCSI 控制程序或者同一系统中的光纤端口。
◆其它 SAN 设备
存储区域网络(SAN)中的其它可用设备。
◆搜索标签
它可允许您使用通用识别符(WWID)或者使用它们可访问的端口、目标或者逻辑单位数(LUN)过滤存储设备。该标签包含一个下拉菜单,其中包含根据端口、目标、WWID 或者 LUN 进行搜索的选项(使用对应文本复选框对应这些值)以及根据 WWID 的搜索(使用对应文本复选框对应这个值)每个标签显示 anaconda 探测到的一组设备列表,包含帮助您识别该设备的有关信息。栏标题的右侧有一个带图标的小下拉菜单。这个菜单可让您选择每个设备显示的数据类型。#p#
红帽企业级 Linux 6的用户安全
红帽企业级 Linux 6主要针对的是企业用户安全是关注的重点,红帽企业级 Linux 6从安装支持块设备加密,如图5 。
图5 对分区文件系统加密
块设备加密通过加密保护块设备中的数据。要访问设备中加密的内容,用户必须提供密码短语或者密钥供验证。这可提供现有操作系统安全性机制以外的安全性,这样可在从系统中物理删除该设备时仍可保护其内容。
块设备加密会有符号显示如图 6。
图6块设备加密会有符号显示#p#
当然还可以在安装过程对引导配置GRUB进行加密。在红帽企业6 发行注记中我们看到:包含了超过2000个包,相对之前的版本而言增加了85%的代码量,一共增添了1800个新特性,解决了14000多个bug。这一点可以在软件定制界面可以看到如图7 。
图7 关键的企业应用组件
红帽企业级 Linux 6的关键应用组件
除了和以前版本都具有的常规组件外,还包括一些关键的企业应用组件:
◆高可用性附加组件
红帽高可用性附加组件在集群内的节点间按需提供了故障切换服务,保证了应用 的高可用性。高可用性附加组件支持多达 16 个节点,而且可以针对大多数采用可 定制代理的应用以及虚拟客户机而配置。高可用性 附加组件还包括对一些现成应用的故障切换支持, 例如 Apache、MySQL 和 PostgreSQL。 在使用高可用性附加组件时,高度可用的服务可以 在出现故障时从一个节点切换到另一个节点,而不 会对集群内的客户机产生明显的中断。当一个集群节点接管另一个集群节点的服 务控制权时,高可用性附加组件还保证了数据的完整性。它采用叫做通过“隔离” 的方法防止数据损坏,通过将节点从被认为出现故障的集群中脱离出来而实现这 一点。
◆高弹性存储附加组件
红帽高弹性存储附加组件允许共享存储或集群文件系统访问一个网络上的相同存储设 备。通过在一个服务器集群中提供一致的存储,红帽高弹性存储附加组件创建了一个数 据池,可供群组内的每台服务器使用,但如果任何 一台服务器出现故障,该数据池也可受到保护。 高弹性存储附加组件提供了多项文件系统能力,可 在系统故障时实现更高的弹性。此附加组件包含支 持并行接入的全局文件系统 2 (GFS2);一个 UNIX 的便携操作系统接口(POSIX) 兼容的文件系统(跨 16 个节点);以及集群 Samba( 集群 方式的通用互联网文件系统)或 CIFS( 用于 Microsoft Windows 环境中的并行文件共享)。 在使用高弹性存储附加组件时,集群中的所有节点都可以看见集群中所有文件的一个统 一版本。集群中的每台服务器可以通过本地存储区域网络 (SAN) 直接访问共享的块设 备上高达 100TB 的数据。数据和缓存的一致性通过采用整个集群的锁定机制而得到保证, 该机制叫做分布式锁定管理器 (DLM) ,其作用是确定对存储的访问权限。因此,集群 中的每个成员可以直接访问同一个存储设备,而且所有集群节点可以访问同一组文件。
◆网络负载平衡器附加组件
红帽的网络负载平衡器附加组件为 Web 服务、数据库、网络和存储提供了冗余。通过创 建一个可定向到实际服务器的虚拟地址而进行负载平衡或者流量整型,红帽网络负载平 衡器附加组件允许您使用基于浏览器的图形用户界 面 (GUI) 而快速地添加或移除服务器,或者更改平 衡算法。 网络负载平衡器附加组件提供了独立于应用的,对 传输控制协议 (TCP) 和用户数据报协议 (UDP) 负 载平衡的支持。它包含两个主要组件:Linux 虚拟服务器 (LVS) 和 Piranha 配置工具 (一 种基于 GUI 的管理工具)。网络负载平衡器附加组件可以采用主备模式在两个节点间配 置,以提供冗余的流量管理服务。
◆可扩展的文件系统附加组件
红帽可扩展的文件系统附加组件支持容量为 16TB 到 100TB 之间的文件系统。您可以使 用多种先进的特性,例如 64 位日志和高级锁定算法,来管理这些大型数据存储。 可扩展的文件系统附加组件采用 XFS® 文件系统, 还可以在单个主机上支持极大的文件和文件系统, 而且在运行多现场并行 I/O 工作负荷的小系统上也 可以良好地运行。
◆高性能网络附加组件
红帽的高性能网络附加组件适用于当低网络延时和高容量比较重要的情况。它通过融合 的以太网 (ROCE) 提供了远程直接内存访问能力。由于 RoCE 旁路系统和内核调用,将 数据直接放置于 CPU 开销较低的远程系统内存中,因此,高性能网络附加组件对于高 速数据处理应用、加快集群锁定或者在不投资专用 网络技术的情况下扩展分布式系统是理想产品。 高性能网络附加组件将系统和内核调用旁路到 TCP (iWARP) 或 Infi niband( 传统 RdMA),并将数据直 接放置在 CPU 开销较低的远程系统内存中。客户可 以利用融合的以太网设计方法整合数据和存储网络, 同时减少客户的布线基础设施、端口数量并降低相关的成本。
另外在软件配置界面可以看到相比上个版本红帽企业版5更多的软件包如图8 。
图8软件配置界面
选择服务和软件的时候可以选择桌面的。要不然就进不了Gnome桌面和KDE桌面环境。另外要说明是红帽企业级 Linux 6相比上个版本红帽企业版5不需要安装序列号。下面开始安装时间从10-30 分钟不等。如果前面选择了“对块设备加密” 那么每次登陆系统过程中要输入密码才可以正常启动如图9。
图9 每次登陆系统过程中要输入密码才可以正常启动
图9 中的LUKS它为数据建立了一个非磁盘格式以及密码短语/密钥管理策略。LUKS 通过 dm-crypt 模块使用内核设备映射器子系统。这个协议提供处理设备数据加密和解密底层映射。用户级别操作,比如生成和访问加密的设备,是通过使用 cryptsetup 程序完成的。
LUKS加密整个块设备,LUKS因此非常适合保护移动设备的内容,比如:可移动存储介质、笔记本磁盘驱动器。加密块设备的基本内容是随机的。这可使其用于加密swap设备。这还对使用特殊格式块设备进行数据存储的某些数据库有用。LUKS提供密码短语增强。这可以防止字典攻击。LUKS不适用于需要很多(超过8个)用户对同一设备有不同访问密钥的程序。LUKS不适用于需要文件级别加密的程序。有关 LUKS 详情可参考其项目网站,地址为:http://code.google.com/p/cryptsetup/。
另外安装过程的结尾阶段在“验证配置”方面提供企业级的方式包括:本地(etc/password),LDAP ,NIS, Winbind多种方式。如图10。
图10 用户身份验证方法#p#
红帽企业级 Linux 6的网络登录
相信在主流Linux 发行版本中是比较全面的 ,用户可以根据 自己对安全 的需要选择。对于安全性要求较高的用户可以进行Hesiod或者LDAP的网络登录。
◆启用NIS支持:选择该选项来把系统配置成连接 NIS 服务器来验证用户和口令的 NIS 客户。点击配置NIS按钮来指定 NIS 域和 NIS 服务器。如果 NIS 服务器没有被指定,守护进程会试图通过广播来寻找它。你必须安装了 ypbind 软件包才能使这个选项奏效。如果启用了 NIS 支持,portmap 和 ypbind 服务会被启动,它们也会在引导时被启用。
◆启用LDAP支持:选择这个选项来配置系统来通过 LDAP 检索用户信息。点击“配置 LDAP”按钮来指定“LDAP 搜索基准 DN”和“LDAP 服务器”。如果“使用 TLS 来加密连接”被选择,传输层安全就会被用来加密发送给 LDAP 服务器的口令。你必须安装 openldap-clients 软件包才能使这个选项奏效。
◆启用Winbind支持:选择这个选项使系统可以连接到Windows Active Directory或者Windows domain controller。
密码散列算法如图10 。
图11 密码散列算法
可选的密码散列算法包括:
MD5(Message Digest Algorithm 5):是RSA数据安全公司开发的一种单向散列算法,MD5被广泛使用,可以用来把不同长度的数据块进行暗码运算成一个128位的数值;
SHA安全散列算法(Secure Hash Algorithm):能计算出一个数字讯息所对应到的,长度固定的字符串(又称讯息摘要)。且若输入的讯息不同,它们对应到不同字符串的机率很高;而SHA是FIPS所认证的五种安全杂凑算法。SHA家族的五个算法,分别是SHA-1、SHA-224、SHA-256、SHA-384,和SHA-512,由美国国家安全局(NSA)所设计,并由美国国家标准与技术研究院(NIST)发布;是美国的政府标准。后四者有时并称为SHA-2。SHA-1在许多安全协议中广为使用,包括TLS和SSL、PGP、SSH、S/MIME和IPsec,被视为是MD5(更早之前被广为使用的杂凑函数)的后继者。
DESCRYPT:由美国政府和IBM研制。所有的Linux版本和几乎所有的Unix系统都支持DES.DES实际上为一个加密算法,但是crypt(3)将之做为散列算法。普通的DES算法容许的原始口令长度为8个字符,多余的口令也接受,但是多余部分会被系统自动摒弃。但有些系统(例如HP-UX)使用DES的多次迭代来解决此问题,这样就可以使用任意长度的密码。但是使用DES加密后的口令为13个字符长。
BIGCRYPT:BitCrypt是一个情报机构以及像优雅的伪装加密。该计划允许用户以加密存储任何一种形式,在用户指定的图像隐藏的文本信息。该文本是加密算法的加密一个最强的,以加强安全级别。
在验证界面同样有多种选择包括智能卡登录。另外安装的最后过程系统会极力推荐您建立红帽的登录帐号服务。最后是登录界面如图12 。
图12 红帽企业6登录界面
这里可以首次看到智能卡认证,智能卡认证是利用电脑上的 usb 接口,将智能卡插入通过验证智能卡内的用户证书来登录Linux的一整套过程,当系统启动后,提示用户插入智能卡,如果不插入智能卡,或者插入的智能卡不是保护当前用户的,都会被提示说请插入有效的智能卡,当用户将正确的智能卡插入 电脑的 usb 接口后,系统会开始自动验证,并提示用户输入智能卡的密码,如果输入的智能卡密钥有误的话,用户也无法登录,这样做的优点是,第一,用户要插入有效的智能 卡才能登录,第二,用户还要输入智能卡的密码,此密码只有用户自己知道,这样就确保了当用户的智能卡丢失或者被复制后,其他人想利用智能卡登录时还要输入 智能卡登录系统的密码,这样对系统起到了双层保护。
本文续篇:红帽RHEL 6中的管理新工具
【编辑推荐】