RHEL5打出虚拟化、安全性双项组合重拳

  Red Hat公司发布了Red Hat Enterprise Linux 5.0(RHEL5)操作系统。在此前的测试中,《NetworkWord》曾经对Novell的SUSE 10和微软的Longhorn beta版做过测试。而红帽公司的RHEL 5在某些方面符合了Novell和微软操作系统的发展趋势,在另外一些方面又有一些独特的表现。

  按照Novell的SuSE 10和微软的Longhorn的套路,RHEL5引入了两种技术来提供用户会话控制,这两种技术就是:“增强的Security Enhanced Linux (SELinux)实现”和“基于Xen的服务器虚拟化技术”。在RHEL5中,管理员可以结合这两种技术,提供多个操作系统实例,并且每个实例都可运行安全会话。这就好像组合拳一样,不仅具有了可靠性,同时具备了将用户会话与“根访问”问题隔离的安全性。

  在独特的表现方面,微软当前的做法是为几乎每一种可以想象到的服务器开发不同的版本,而Red Hat在这次推出的产品中,将版本数量减少为两大类:服务器和客户机,此外还有对32位和64位CPU类型的进一步划分。不管是存储服务器、证书管理服务器,还是小企业服务器,Linux都是一种版本。

  尽管对GUI(图形界面)进行了一些小小的改进,但RHEL5没有像微软和苹果一样对GUI提供太多调整—微软和苹果在升级操作系统时不断对GUI进行调整,以吸引用户注意。

  安全控制
  在RHEL5中,SELinux访问控制直接可供使用,除非你在安装时选择不安装它们。虽然SELinux是在RHEL 4中首次提供的,但测试发现,Red Hat在新版操作系统中作了改进,使得管理员在设置用户访问控制策略时变得更加容易,其SELinux管理工具可用于设置用户策略和按模块为特定应用设置策略。不过一些管理任务,如改变应用组的策略特征,RHEL5中的SELinux应用工具还不能直接处理,仍需要进行其他方式的操作。值得表扬的是,Red Hat提供了一个非常好的SELinux Troubleshooter应用。

  SELinux Troubleshooter通过搜索系统日志寻找用户或应用错误行为造成的问题,可以很清楚地说明所发现的错误行为的种类。但遗憾的是,SELinux Troubleshooter需要的日志不能在“缺省位置”找到,用户必须手动给出正确的日志位置。此外,在用户告诉它正确的日志位置之后,SELinux Troubleshooter也不能保存这个位置供随后的打开缺省位置日志文件使用。

  由于日志可以记录同样的重复错误,一种便利的SETroubleShooter过滤器便可被用于将个别的错误实例与整个清单分开。但是,TroubleShooter所缺少的功能是一种自动报警机制,即在应用、用户会话或客户操作系统实例开始表现失常时,能够向syslog或直接向管理员自动发送消息的机制。

  虽然SELinux是在系统安装时设置的,但测试发现,用于整个操作系统的root账号和用户口令却没有什么约束条件。SELinux加强了对用户会话的保护,但口令的安全性并不是很强—除非有目的地加强,否则口令很容易受到字典攻击的影响,这是个有点自相矛盾的现象。

  Xen现在来了
  Red Hat在新版操作系统中首次大量采用Xen服务器虚拟化技术。不同的是Red Hat的Xen实现演进的程度大大超过了《NetworkWorld》在SUSE 10中看到的东西,尽管它还缺少全面的工具。

  我们可以很轻松地让Xen管理程序(hypervisor)运行起来,并且随后迅速构建修改的(所谓的“Xen化”主机)内核。客户操作会话可以迅速地在这些实例上建立,并且随后通过Virt-Manager监测。Virt-Manager是红帽公司在RHEL5中内置的开源Xen工具。不过,RHEL5利用Xen方式上存在的问题在于,它们没有从管理角度集成在一起,并且依赖于一种“经验主义的”Xen管理应用程序,而不是直观地、按顺序地使用不同的标准开源工具。

  当《NetworkWorld》对比SUSE 10测试RHEL5原生内核(native kernel)的性能时(一如既往,这里采用安装操作系统时选择的缺省设置),在LMBench测试结果(参阅链接文章“如何测试RHEL5”)中没有发现这两种操作系统最新版本之间存在什么显著差别。

  RHEL5能够支持多核CPU和多路服务器,这也提高了操作系统的性能。在《NetworkWorld》的测试中,RHEL5很轻松检测到了Polywell 2200S机器中的双Athlon CPU,并且同样很快检测出了4 路双核Athlon 64 CPU的HP 585。事实上,除了在Dell 的PowerEdge P280和HP DL140普通服务器上遇到的奇怪的显卡几何学问题外,没有出现其他的检测错误,而且前面提到的问题也属于微不足道的小问题。

  与原生RHEL5测试结果相比,将Xen的管理程序引入后的RHEL5内核受到的影响只是延时略有增加。

  《NetworkWorld》测试了Xen对性能的影响,发现管理程序层和“引入Xen的RHEL5内核”的“插入损失”微不足道的:性能没有受到多大影响。在测试中,这里生成了两个客户“domU”(客户机操作系统在Xen行话中的叫法)实例,并在每个OS客户实例中同时运行LMBench3。性能随添加的实例线性下降。

  为了向硬件厂商提供更加一致的编程实践,Red Hat修改了它的驱动程序模型。可能的成果之一是一种开源iSCSI驱动程序。这种驱动程序使OS实例可使用通过驱动程序连接外部存储设备(如iSCSI管理的SAN设备)的能力所提供的虚拟存储。驱动程序使外部iSCSI存储设备可以像“SAN”那样被操作系统所访问,从而减少了服务器硬件的数量。它还为系统设计人员提供了灵活的存储选择—如果他们必须以更条理的方式维护虚拟OS实例的话。

  与微软和苹果在他们的操作系统中增加了大量华丽的GUI改进不同,在RHEL5服务器和客户机版中没有获得重大改进的是GUI。Red Hat用户界面中确实没有什么新东西,它仍使用Gnome 7.1,不过,它增加了对高性能显卡的支持并增加AIGLX库。后者模仿了一些竞争性GUI特性的图形视觉效果,这些特性包括漂亮的最小化、透明/半透明、淡出和窗口操作特性。

  在其他显著的变化方面,安装时间支持选择增加了,RHEL5在检测和防火墙操作方面增加了对IPv6的更复杂、更全面的支持。

相关推荐