體驗 Novell SUSE Linux Enterprise Server 11
SUSE Linux Enterprise Server 11主要針對的是企業用戶,SUSE產品分為SUSE LinuxEnterprise Desktop(SLED)和SUSE Linux EnterpriseServer(SLES)兩個版本。筆者測試的版本為Server版本,主要面向SMB甚至是大型企業中的服務器系統了。SLED則是面向SMB中的計算機終端。
一 安全從安裝開始
SUSE Linux Enterprise Server 11 安裝過程在"用戶身份驗證方法"方面提供企業級的方式包括:本地(etc/password),LDAP ,NIS, Windows 域四種方式。如圖-1。
圖 -1 用戶身份驗證方法
相信在主流Linux 發行版本中是比較全面的 ,用戶可以根據 自己對安全 的需要選擇。對于安全性要求較高的用戶可以進行CA 管理和LDAP的設置,如圖 -2 。
圖 -2 進行CA 管理和LDAP的設置
其他安裝部分筆者感覺和上一個版本 以及其他競爭對手基本持平,沒有什么可以評論的。
二 解讀安全操作
安裝完成后筆者首先進入了SUSE Linux Enterprise Server 11的核心YasT2 ,對于多媒體以及辦公方面筆者感覺Linux 在最近兩三年已經做得相當不錯了可惜由于慣性原因還是不能占據桌面市場。還是看看筆者關心的企業級應用部分。
安全與用戶
安全與用戶包括七個部分:如圖-3
圖-3安全與用戶
除了和其他Linux 發行版本 共有的 用戶和組管理 ,防火墻外其他幾個都比較有特色:
CA管理如圖-4
圖-4 新建Root CA
我們以前在Linux 管理CA 使用命令行工具,這里 SUSE Linux Enterprise Server 11 提供一種新的選擇。當然筆者不反對使用命令行管理。不過編輯對于Linux 新用戶有些困難。
Sudo配置如圖-5 使用sudo可以讓用戶更加安全。
圖-5Sudo配置
sudo 規則,sudo 規則可基本確定將在指定的主機(也可指定用戶) 上用戶可以運行哪些命令。每個規則 是由用戶、主機及命令列表,以及可選的 RunAs 規范和其他標記構成的元組。在下表中對它們 進行了匯總。 用戶列表示本地用戶、系統用戶或用戶別名。主機列確定在主機別名所指的哪些主機或組上 用戶可以運行指定的命令。 RunAs 列是 可選參數,包含用戶名(或別名),其訪問特權將用于運行命令。NOPASSWD 是標記,用于確定用戶運行命令前是否 需要授權。 用戶可以在指定主機上運行的一組命令匯總在 命令列中。要添加新的規則,請單擊添加按鈕并填寫相應的 條目。用戶名、主機名和命令列表不能為空。 要編輯現有規則,請從表中選擇條目并單擊編輯按鈕。要刪除所選條目,請單擊刪除按鈕。
本地安全如圖-6 。
圖 -6 本地安全
本地安全實際包括一組工具:密碼設置 ,引導設置,登錄設置,用戶添加,雜項設置等等。
通用證書服務器如圖-7
圖-7 通用證書服務器
該普通服務器證書將由其它 YaST 模塊使用。可以通過從文件導入證書來交換此證書。可以使用 CA 管理模塊中證書部分中的導出到文件將證書寫到文件中。從磁盤導入的證書必須是以含 CA 鏈的 PKCS12 格式寫入的。也是一個比較有用的選項。
LAF審計框架如圖-8 。
圖-8 LAF審計框架
LAF審計框架即:Auditd 日志文件配置的前端界面。審計守護程序將所有相關審計事件記錄到默認日志文件/var/log/audit/audit.log 中。 事件可能來自 apparmor 內核模塊或者來自使用 libaudit(例如PAM)的應用程序或由規則(例如文件檢查)產生的事件。有關規則以及添加規則的可能性的更多信息組成了對話框 auditctl 的規則。有關日志文件設置的詳細信息,可從"man auditd.conf"中獲取。日志文件:輸入日志文件的完整路徑名 (或使用選擇文件。)格式:設置RAW 以記錄所有數據或設置 NOLOG 以丟棄所有審計信息(不影響發送到發送程序的數據)。清理:說明如何將數據寫入磁盤。如果設置為INCREMANTAL,Frequency 參數將在 發出一次明確的磁盤清理前指出要寫入的記錄數。
在大小和操作框架中配置日志文件最大大小以及達到 此值時要采取的操作。如果操作設置為 ROTATE,則日志文件數指定要保留的文件數。計算機名稱格式說明如何將計算機名稱寫入日志文件。 如果設置了用戶,則使用用戶定義的名稱。
Auditd 日志文件是2.6 內核重要安全保障,筆者也是第一次使用LAF審計進行配置感覺非常方便。其他兩個模塊筆者用戶和組管理 ,防火墻基本和其他Linux 發行版本相比各有千秋。
#p#
三 設置存儲管理
存儲管理是Linux 服務器管理員的重要工作。這里包括RAID 和邏輯卷等基本方面如圖 -9 。
圖-9 RAID 和邏輯卷
除此之外還有一個磁盤文件加密選項:如圖-10。
圖-10 磁盤文件加密
相信許多系統管理員對它比較感興趣。它可以在物理磁盤分區和文件映象中建立加密文件系統,并對文件系統進行管理,例如,對文件系統進行掛載、卸載、格式化等操作。其中左邊設備欄中顯示的加密設備列表,右邊是顯示的是加密設備的屬性和狀態。如果想顯示加密設備的屬性和狀態,雙擊左邊設備列表中的設備即可。
四 網絡服務器管理
SUSE Linux Enterprise Server 11網絡服務器管理非常詳細如圖-11 。
圖-11網絡服務器管理
SUSE Linux Enterprise Server 11網絡服務器管理包括幾乎所有局域網應用。筆者比較關注的是 三個項目:
iSCSI 啟動程序如圖-12
圖-12 iSCSI 啟動程序
說明:InitiatorName 是 /etc/initiatorname.iscsi 中的值。 如果有 iBFT,將添加 iBFT 中的值,并且您只能在 BIOS 設置中更改。
如果要使用 iSNS (Internet Storage Name Service) 來發現目標,而不使用默認的 SendTargets 方法, 請填寫 iSNS 服務器的 IP 地址和端口。
默認端口是 3205。
iSCSI 目標如圖-13
圖-13 iSCSI 目標
提供的目標列表。單擊添加創建新目標。 要刪除或修改某個項目,請選擇它并按修改或刪除。
其實前兩個在后門企業版也可以看到,只不過界面沒有SUSE 友好更加易用。下面的ISNS服務器是SUSE Linux Enterprise Server 11
ISNS服務器如圖-14
iSCSI(互聯網小型計算機系統接口)是非常靈活且有用的,但是現在在企業中一個很讓人頭疼的問題就是如何管理iSCSI設備。iSNS協議(或稱iSNSP)定義了iSNS客戶端和服務器的通信方式。這也是可能會引起疑惑的地方。所有的iSCSI"客戶端"(發起端)和"服務器"(目標端)實際上都是iSNS的客戶端。即使是存儲設備,在同iSNS服務器通信的時候,也都是客戶端。iSNS協議提供了四個基本功能,可以簡化并升級你的iSCSI架構管理。iSNS可以將iSCSI設備映射到代理全局名稱(WWN),后者可以被iSCSI-FC網關所使用。因此,iSNS是這兩種存儲網絡實現整合的"粘合劑"。市面上的iSNS服務器不多。微軟的iSNS Server3.0產品可以免費下載。Linux也有一個iSNS服務器,但是大部分版本上沒有這個功能。你必須自己下載源代碼,然后進行編譯。Linux上有關iSNS的文檔很少。Sun的OpenSolaris自從版本77以后就完全支持iSNS服務器了。最新的OpenSolaris版本是101,這個版本包含了iSNS服務器。這也是市面上Unix類最早出現的的iSNS服務器,它甚至還包含一個圖形界面(需要單獨安裝)。筆者使用過,不過其功能相比SUSE Linux Enterprise Server 11 ISNS服務器各有千秋。OpenSolaris的iSNS服務器是通過web頁面控制的。筆者感覺是使用java必須的。
五 虛擬化應用
虛擬化應用是Linux 企業級應用的重點,SUSE Linux EnterpriseServer 11 當然不會忽視主要包括兩個工具:Xen 和KVM。相比競爭對手RHEL 5.2多出一個KVM ,不過紅帽還有FedoraCore項目其 Fedora Core 8 版本開始也在使用KVM。下面要看紅帽在企業級方面的動作了。SUSE LinuxEnterprise Server 11管理界面和RHEL 5.2 基本相同 只不過多了一個虛擬化安裝管理程序及工具,這個工具是用來自動配置網絡接口和VM服務器(域)比較實用 如圖-15 。
圖-15 虛擬化安裝管理程序及工具
KVM即Kernel-based VirtualMachine,KVM所采用的方法是只需通過加載一個內核模塊就將Linux內核變成一個hypervisor(管理程序)。這個內核模塊導出一個稱為/dev/kvm的設備,此設備會啟動內核的一個客戶機模式(除傳統的內核和用戶模式之外的)。通過/dev/kvm,一個VM(虛擬機)擁有其自身的地址空間,這個地址空間與內核的地址空間相分離或與任何一個正運行著的VM相分離。設備樹(/dev)中的設備對所有的用戶空間程序都是公用的。但/dev/kvm與此不同,因為每一個打開它的過程都會看到一個不同的映像(用以支持VM的分離)。然后KVM簡單地將Linux內核變為hypervisor管理程序(在你安裝KVM內核時)。因為標準的Linux內核是hypervisor管理程序,它從對標準內核的改變中獲益(存儲支持、調度程序等等)。對這些Linux部件的優化(如在2.6內核中的新O(1)調度程序)既有利于hypervisor管理程序(主機操作系統)又有利于Linux客戶機操作系統。 虛擬化在和RHEL的競爭中,SUSE 基本在和RHEL在一個等級上,不過SUSE總是先于RHEL發布新版本。
六 AppArmor
AppArmor 是SUSE Linux 獨有安全工具。AppArmor 旨在為服務器和工作站提供簡單易用的應用程序安全。AppArmor 是一個訪問控制系統,該系統使您能夠為每個程序指定程序可以讀取、寫入和執行的文件。AppArmor不依賴攻擊簽名,而是以強制方式使應用程序行為良好,從而確保應用程序的安全,因此即使是對以前未知漏洞的攻擊也能防止。NovellAppArmor 的組成部分如下:
常用 Linux* 應用程序的 AppArmor 配置文件庫,描述程序需要訪問的文件。
常用的應用程序活動(如 DNS 查詢和用戶鑒定)所需的 AppArmor 配置文件基礎類(配置文件組建模塊)庫。
用于開發和增強 AppArmor 配置文件的工具套件,使用它可以對現有配置文件進行更改以適應您的需要,還可以為您的本地和自定義應用程序創建新的配置文件。
若干經過特別修改的應用程序,這些應用程序啟用了 AppArmor,能夠以獨特的子進程限制形式來提升安全性,包括Apache。
可轉載 Novell AppArmor 的內核模塊及關聯的控制腳本,用于在 SUSE Linux 系統上強制實施 AppArmor 策略
AppArmor配置界面如圖 -16 。
圖 -16 AppArmor配置界面
個人感覺是類似Selinux 的控制工具。另外SUSE Linux Enterprise Server 11 還有一個指紋讀取程序應當是為移動辦公的商務人士準備的。
七 看看SUSE Linux Enterprise Server 11 尚待改進之處
筆者手中的SUSE Linux Enterprise Server 11 和上一個版本中的藍牙控制裝置筆者沒有找到。可考慮到是筆者測試的版本為Server版本,主要面向SMB甚至是大型企業中的服務器系統可能出于安全策略沒有配置無線設備。不知道SUSE Linux Enterprise Desktop是否包括。
SUSE Linux Enterprise Server 11 支持 Selinux 不過相比RHEL 5 ,SUSE沒有提供專門的管理工具。可以通過15 個 Selinux 相關命令操作,對于linux 新用戶有些困難。相比RHEL 5 有差距。
另外感覺SUSE Linux Enterprise Server 11 輸入法使用起來不太方便。
筆者目前沒有看到集群管理工具,相比RHEL 5有差距。
另外前個版本廣受歡迎的桌面搜索引擎:beagle ,筆者也沒有發現。
綜合評價:在系統管理方面,SUSE也充分展現了人性化的一面,控制中心當中共有個人、外觀、硬件、系統等四大類共三十余項管理功能,而用戶還可以利用SUSE系統中著名的YaST管理套件對系統進行細致的調整。為了能使大家對SUSE Linux Enterprise Server11
有一個全面、客觀的認識,筆者從多個角度為SUSE Linux Enterprise Server11打一個分值,供大家參考。說明筆者考量的是企業級應用 ,對于桌面/瀏覽器/辦公軟件方面筆者沒有涉及,以下僅供參考(僅為筆者個人觀點)。
安裝:85分。安裝程序安全性能比較高。
硬件支持:85分。亮點是支持硬件較新\較全,尤其是采用了ALSA,使聲卡支持有較大提高。另外一些集成網卡 顯卡也可以自動安裝驅動。
中文支持:80分。對中文輸入法支持不夠完善。
企業級應用:85分。基本上所有局域網服務器都可以配置 ,特別是ISCSI 方面領先其他版本。
系統功能:90分。雖然新增的許多功能還仍有些不盡如人意的地方,但無疑是SUSE Linux Enterprise Server 11歷史上功能最多最強的。
程序運行速度:85分。
【編輯推薦】
