【51CTO.com 獨家特稿】紅帽企業版5.4正式版已于2009年9月發布，筆者在51CTO編輯幫助下拿到DVD安裝盤，下面介紹一下十天左右的使用感受，供廣大網友參考。

一   從安裝開始

下面介紹一下安裝過程的亮點，紅帽企業版5.4主要針對的是企業用戶安全是關注的重點，紅帽企業版5.4相比上個版本開始從安裝支持對分區文件系統加密，如圖-1 。

圖1

圖-1 對分區文件系統加密

加密的分區（/dev/sda2）會有符號顯示如圖-2 。

圖2

圖-2 加密的分區（/dev/sda2）會有符號顯示

當然還可以在安裝過程對引導配置進行加密如圖-3。

圖3

圖-3 對引導配置進行加密

另外安裝過程的結尾階段在“驗證配置”方面提供企業級的方式包括：本地（etc/password），LDAP ，NIS， Winbind、Hesiod多種方式。如圖－4。

圖4

圖 -4 用戶身份驗證方法

相信在主流Linux 發行版本中是比較全面的 ，用戶可以根據 自己對安全 的需要選擇。對于安全性要求較高的用戶可以進行Hesiod或者LDAP的網絡登錄。

啟用NIS支持：選擇該選項來把系統配置成連接 NIS 服務器來驗證用戶和口令的 NIS 客戶。點擊配置NIS按鈕來指定 NIS 域和 NIS 服務器。如果 NIS 服務器沒有被指定，守護進程會試圖通過廣播來尋找它。你必須安裝了ypbind 軟件包才能使這個選項奏效。如果啟用了 NIS 支持，portmap 和 ypbind 服務會被啟動，它們也會在引導時被啟用。

啟用LDAP支持：選擇這個選項來配置系統來通過 LDAP 檢索用戶信息。點擊“配置 LDAP”按鈕來指定“LDAP 搜索基準 DN”和“LDAP 服務器”。如果“使用 TLS 來加密連接”被選擇，傳輸層安全就會被用來加密發送給 LDAP 服務器的口令。你必須安裝 openldap-clients 軟件包才能使這個選項奏效。

啟用Hesiod支持：選擇這個選項來配置系統來從遠程 Hesiod 數據庫中檢索信息，包括用戶信息。你必須要安裝 hesiod 軟件包。

啟用Winbind支持：選擇這個選項使系統可以連接到Windows Active Directory或者Windows domain controller。

在驗證界面同樣有多種選擇包括智能卡登錄，如圖-5 。

圖5

圖-5 智能卡設置

智能卡登錄是利用電腦上的 usb 接口，將智能卡插入通過驗證智能卡內的用戶證書來登錄Linux的一整套過程，當系統啟動后，提示用戶插入智能卡，如果不插入智能卡，或者插入的智能卡不是保護當前用戶的，都會被提示說請插入有效的智能卡，當用戶將正確的智能卡插入 電腦的 usb 接口后，系統會開始自動驗證，并提示用戶輸入智能卡的密碼，如果輸入的智能卡密鑰有誤的話，用戶也無法登錄，這樣做的優點是，第一，用戶要插入有效的智能 卡才能登錄，第二，用戶還要輸入智能卡的密碼，此密碼只有用戶自己知道，這樣就確保了當用戶的智能卡丟失或者被復制后，其他人想利用智能卡登錄時還要輸入 智能卡登錄系統的密碼，這樣對系統起到了雙層保護。另外安裝的最后過程系統會極力推薦您建立紅帽的登錄帳號服務，其他安裝部分筆者感覺和上一個版本 以及其他競爭對手基本持平，沒有什么可以評論的。如果前面選擇了“對分區文件系統加密” 那么每次登陸系統過程中要輸入密碼才可以正常啟動如圖-6 。

圖6

圖-6 每次登陸系統過程中要輸入密碼才可以正常啟動

二  解讀紅帽企業版5.4操作

對于多媒體以及辦公方面筆者感覺Linux 在最近兩三年已經做得相當不錯了可惜由于慣性原因還是不能占據桌面市場。還是看看筆者關心的企業級應用部分。

1 eCryptfs 加密

紅帽企業版5.4開始支持eCryptfs 加密，eCryptfs 是在 Linux 內核 2.6.19 版本中引入的一個功能強大的企業級加密文件系統，堆疊在其它文件系統之上（如 Ext2, Ext3, Ext，4 ReiserFS, JFS 等），為應用程序提供透明、動態、高效和安全的加密功能。本質上，eCryptfs 就像是一個內核版本的 Pretty Good Privacy（PGP）[3] 服務，插在 VFS（虛擬文件系統層）和 下層物理文件系統之間，充當一個“過濾器”的角色。用戶應用程序對加密文件的寫請求，經系統調用層到達 VFS 層，VFS 轉給 eCryptfs 文件系統組件（后面會介紹）處理，處理完畢后，再轉給下層物理文件系統；讀請求（包括打開文件）流程則相反。eCryptfs 的設計受到OpenPGP 規范的影響，使用了兩種方法來加密單個文件：

1. eCryptfs 先使用一種對稱密鑰加密算法來加密文件的內容，推薦使用 AES-128 算法，密鑰 FEK（File Encryption Key）隨機產生。有些加密文件系統為多個加密文件或整個系統使用同一個 FEK（甚至不是隨機產生的），這會損害系統安全性，因為：a. 如果 FEK 泄漏，多個或所有的加密文件將被輕松解密；b. 如果部分明文泄漏，攻擊者可能推測出其它加密文件的內容；c. 攻擊者可能從豐富的密文中推測 FEK。

2. 顯然 FEK 不能以明文的形式存放，因此 eCryptfs 使用用戶提供的口令（Passphrase）、公開密鑰算法（如 RSA 算法）或 TPM（Trusted Platform Module）的公鑰來加密保護剛才提及的 FEK。如果使用用戶口令，則口令先被散列函數處理，然后再使用一種對稱密鑰算法加密 FEK。口令/公鑰稱為 FEFEK（File Encryption Key Encryption Key），加密后的 FEK 則稱為 EFEK（Encrypted File Encryption Key）。由于允許多個授權用戶訪問同一個加密文件，因此 EFEK 可能有多份。 這種綜合的方式既保證了加密解密文件數據的速度，又極大地提高了安全性。雖然文件名沒有數據那么重要，但是入侵者可以通過文件名獲得有用的信息或者確定攻擊目標，因此，最新版的 eCryptfs 支持文件名的加密。

eCryptfs 使用方法

eCryptfs 需要相應的內核模塊和用戶態的工具同時配合使用。用戶態的工具可以從 https://launchpad.net/ecryptfs 獲得，使用Ubuntu 系統的用戶，用 apt-get 命令安裝 ecryptfs-utils 包即可。

mount -t ecryptfs real_path ecryptfs_mounted_path。推薦ecryptfs_mounted_path 和 真實目錄 real_path 一致，這樣非授權用戶不能通過原路徑訪問加密文件。圖-7 是掛載界面。

圖7

圖-7 掛載界面

另外紅帽企業版5.4 還提供了一個eCryptfs 加密圖形化前端如圖-8 。

圖8

eCryptfs 加密圖形化前端如圖-8

通過eCryptfs 加密圖形化前端您可以更加方便進行操作。

2 TrouSerS

除了和其他Linux 發行版本 共有的 用戶和組管理 、selinux和防火墻外TrouSerS功能比較有特色： TrouSerS支持TPM ，TPM（Trusted Platform Module)可信任安全平臺模組TCG（Trusted Computing Group)信賴運算集團所推廣的資訊安全防護技術規格，包括Intel、IBM、HP、AMD、Sony、Sun Micro及微軟等資訊大廠都是這個組織的支持廠商。簡單來說，TPM可以利用公開金鑰架構（PKI）產生無法復制讀數位簽章，以驗證存取資料平臺及硬碟的身份，提供個別平臺的資料防護；此外，有的TPM晶片還具有儲存密碼或使用者 資料的功能，或額外整合一些安全機制等。對使用者來說，TPM最直接的好處就是可以直接對檔案或資料匣進行加密，一旦被TPM加密過的檔案資料，基本上就具有雙重防護，一方面是開啟被加密檔案本身必須有一組密碼，另外，還需與TPM晶片搭配才能開啟檔案；也就是說即使被駭客竊取，由於少了TPM晶片，資料也無法被讀取。應當是為移動辦公的商務人士準備的。

3 遠程網絡安裝設置

系統管理員通常要批量或者遠程安裝Linux 系統，紅帽企業版5。4 提供了一個網絡安裝或者無盤站配置工具圖-9是首次配置向導 。

圖9

圖-9 首次配置向導

選擇網絡安裝即可進入相關界面如圖-10 。

圖10

圖-10 配置網絡安裝

網絡安裝協議類型支持：HTTP、NFS、FTP三種。如圖-11 。

圖11

圖-11網絡安裝協議類型支持

4 設置存儲管理

存儲管理是Linux 服務器管理員的重要工作。這里包括邏輯卷基本方面如圖 12 。

圖12

圖-12 邏輯卷界面

另外FCoE 驅動的加入，FCoE是使用基于以太網的光纖通道協議，而iSCSI則使用基于以太網的TCP/IP協議。前者讓你可以通過以太網建立鏈接，連接到光纖通道SAN；后者可以通過同樣的鏈接，連接到IP SAN。安裝過程就可以設置iscsi磁盤如圖-13 。

圖13

圖-13 設置iscsi磁盤參數

不過許多供應商認為，iSCSI是作為光纖通道SAN（IP-SAN）擴展產品來提供的。這是一個亮點。iSER支持使得ISCSI 管理更加方便。另外包括RAID 故障監控工具（dmraid 和 dmevent_tool）。

另外磁盤分析器可以掃描本地文件系統和遠程文件系統也是非常實用的如圖-14 。

圖14

圖-14 磁盤分析器可以掃描本地文件系統和遠程文件系統

 

#p#

三 虛擬化應用

虛擬化應用是Linux 企業級應用的重點，紅帽企業版5.4當然不會忽視主要包括兩個工具：Xen 和KVM。相比上個版本多出一個KVM ，不過紅帽還有Fedora Core項目其 Fedora Core 8 版本開始也在使用KVM。下面要看紅帽在企業級方面的動作了。紅帽企業版5.4虛擬化管理界面和紅帽企業版5.3 基本相同如圖-14 。雖然可在同一系統中安裝 Xen 和 KVM，但它們的默認聯網配置是不同的。強烈建議用戶在一個系統中只安裝一個監控程序。

圖15

圖-15 虛擬化安裝管理程序及工具

KVM即Kernel-based Virtual Machine，KVM所采用的方法是只需通過加載一個內核模塊就將Linux內核變成一個hypervisor（管理程序）。這個內核模塊導出一個稱為/dev/kvm的設備，此設備會啟動內核的一個客戶機模式（除傳統的內核和用戶模式之外的）。通過/dev/kvm,一個VM（虛擬機）擁有其自身的地址空間，這個地址空間與內核的地址空間相分離或與任何一個正運行著的VM相分離。設備樹（/dev）中的設備對所有的用戶空間程序都是公用的。但/dev/kvm與此不同，因為每一個打開它的過程都會看到一個不同的映像（用以支持VM的分離）。然后KVM簡單地將Linux內核變為hypervisor管理程序（在你安裝KVM內核時）。因為標準的Linux內核是hypervisor管理程序，它從對標準內核的改變中獲益（存儲支持、調度程序等等）。對這些Linux部件的優化（如在2.6內核中的新O(1)調度程序）既有利于hypervisor管理程序（主機操作系統）又有利于Linux客戶機操作系統。一個典型的 KVM 安裝包括以下部件：

一個管理虛擬硬件的設備驅動，這個驅動通過一個字符設備 /dev/kvm 導出它的功能。通過 /dev/kvm 每一個客戶機擁有其自身的地址空間，這個地址空間與內核的地址空間相分離或與任何一個正運行著的客戶機相分離。

一個模擬硬件的用戶空間部件，它是一個稍微改動過的 QEMU 進程。從客戶機操作系統執行 I/O 會擁有 QEMU 。 QEMU 是一個平臺虛擬化方案，它允許整個 PC 環境（包括磁盤、顯示卡（圖形卡）、網絡設備）的虛擬化。任何客戶機操作系統所發出的 I/O 請求都被攔截，并被路由到用戶模式用以被 QEMU 過程模擬仿真。
紅帽企業版 Linux 5.4 現在包含對 x86_64 構架中基于內核的虛擬機（KVM）監控程序的全部支持。KVM 是整合到 Linux 內核中，可在紅帽企業版 Linux 中提供穩定、多種特性以及內嵌硬件支持的虛擬化平臺。在各種不同客戶端操作系統中都可支持使用 KVM 的虛擬化，其中包括：

紅帽企業版 Linux 3

紅帽企業版 Linux 4

紅帽企業版 Linux 5

Windows XP

Windows 服務器 2003

Windows 服務器 2008

運行 KVM，你需要一臺運行 2.6.20 以上 Linux 內核的 Intel 處理器（含 VT 虛擬化技術）或 AMD 處理器（含 SVM 安全虛擬機技術的 AMD 處理器）。

小貼士：如何確認處理器含有 Intel VT 或 AMD-V 技術

基于 Intel 處理器的系統，運行 grep vmx /proc/cpuinfo 查找 CPU flags 是否包括 vmx 關鍵詞# grep vmx /proc/cpuinfo

基于 AMD 處理器的系統，運行 grep svm /proc/cpuinfo 查找 CPU flags 是否包括 svm 關鍵詞# grep svm /proc/cpuinfo

一些廠商禁止了機器 BIOS 中的 VT 選項 , 這種方式下 VT 不能被重新打開。/proc/cpuinfo 僅從 Linux 2.6.15(Intel) 和 Linux 2.6.16(AMD) 開始顯示虛擬化方面的信息，請使用 uname -r 命令查詢您的內核版本。

四、文件系統和其他工具

文件系統方面是是ext4 文件系統的引入。針對 Linux 的擴展文件系統有著漫長而豐富的歷史 — 從 1992 年首次引入 ext1 到 2008 年引入 ext4。ext4 是首個專門為 Linux 設計的文件系統，并且事實證明它是高效、穩定、強大的文件系統。ext4 隨著文件系統研究的深入而不斷發展，并且借鑒其他新文件系統的先進思想（比如 XFS、JFS、Reiser 和 IRON 容錯文件系統技術）。最值得一提的是，ext4 支持 1 EB 的文件系統。ext4 是由 Theodore Tso（ext3 的維護者）領導的開發團隊實現的，并引入到 2.6.19 內核中。到底 ext4 文件系統的性能怎么樣呢？希望這篇來自于 Phoronix 的評測可以解答部分疑問，文章鏈接：http://www.phoronix.com/scan.php?page=article&item=ext4_benchmarks&num=1 。在 Bonnie++，IOzone, 和 Flexible IO Tester 三個純理論性能測試軟件中 EXT4 取得了八項測試中五項第一，XFS 取得了剩余三項的第一名。在 Nexuiz，World of Padman，和 Unreal Tournament 2004 這三個游戲的測試中，四個文件系統的表現十分相近，這意味著遷移文件系統到 EXT4 或者 XFS 上并不能獲得更高的游戲運行幀速。文件壓縮測試中，EXT4 和 XFS 一起分享了頭把交椅。而在多媒體編碼測試中，四個文件系統各有勝負，這意味著高清愛好者們并不需要立刻切換到新的文件系統上，老的 EXT3 依然不錯。這一點同樣體現在加密測試中，EXT3 摘得 GnuPG 加密測試冠軍，而 EXT4 則占據 Bork 加密測試的性能表現寶座。

軟件開發方面主要是Gcc 4.4 的加入。作為Linux平臺下最常用的編譯器，GCC提供了強大的編譯能力和良好的平臺通用性，其重要性不言而喻。編譯優化是它的一大特點，除了可以對軟件代碼進行不同程度的分析優化外，GCC還可以根據處理器的結構特性在編譯中對代碼進行有針對性的編排組合，以更加高效地運行于目標平臺。GCC 4.4 相對于 4.3 版最大的變化就是對 C++ 0x 標準支持有了大幅提升，已支持的 0x 特性中，thread 已經可用，api 方面基本上與 pthread 規范相一致，熟悉 pthread 的人能很快上手。因為 pthread 規范已經非常成熟，所以在 C++ 中支持 thread 只是標準方面的問題（看 4.4 的頭文件可知，在支持 pthread 的平臺上，mutex 和 condition_variable 等直接映射到 pthread 相應類型），不過，C++ 作用域之后變量被析構，使得程序員可以直接在臨界區的作用域內聲明 lock_guardlock(mutex)，而無需手動釋放互斥鎖。得益于 4.4 版中對于其他 C++ 新特性--變長模板參數的支持，也可以一次性在 std::lock(LockableType1&m1,LockableType2&m2...)中鎖定多個鎖。

FreeIPMI提供帶內和帶外的IPMI軟件基礎上的IPMI v1.5/2.0規范。它有許多有用的功能的大型高性能計算或集群環境。另外OpenAIS 目前提供除多播外的廣播網絡溝通。這個功能是作為單獨使用 OpenAIS 以及與群集套件一同使用的技術預覽出現的。請注意：將 OpenAIS 配置為使用廣播的功能還沒有整合到群集管理工具中，必須手動配置。

五、最后看看筆者眼中的紅帽企業版5.4不足之處

添加刪除程序問題：

紅帽企業版 5和紅帽企業版 4 其中一點不同就是添加或刪除程序所使用的軟件不同，一個顯著的改變就是一些軟件的管理和維護移動到了YUM。在先前版本的紅帽企業版 4中，up2date命令可以用于從Red Hat網絡中下載并安裝軟件更新。它已經被YUM命令替代，所有的up2date圖形化程序都已經被使用YUM的圖形化程序所替代。從紅帽5到5.3都發現瀏覽和列表都是空的，紅帽企業版 4 有所改進但是瀏覽欄目還是空的如圖-16 。

圖16

圖-16 紅帽企業版4 瀏覽欄目還是空

不過是一個小bug修改一下存儲管理器添加一個本地存儲庫即可修復。如圖-17 。

圖17

圖-17 添加一個本地存儲庫

另外筆者感覺紅帽企業版 5.4 的服務設置比較保守，筆者安裝后運行游戲ntsysv 發現isdn的守護進程還是設置為自動啟動，目前可能幾乎沒有多少人還在使用該網絡連接了。

筆者手中的紅帽企業版5.4版本中的藍牙管理軟件筆者沒有找到?？煽紤]到是筆者版本為Server版本，主要面向SMB甚至是大型企業中的服務器系統可能出于安全策略沒有配置藍牙無線設備。不知道Fedora Core版本是否包括。

綜合評價：

為了能使大家對紅帽企業版5.4有一個全面、客觀的認識，筆者從多個角度為紅帽企業版5.4打一個分值，供大家參考。說明筆者考量的是企業級應用 ，對于桌面/瀏覽器/辦公軟件方面筆者沒有涉及，以下僅供參考。

安裝：85分。安裝程序安全性能比較高。

硬件支持：85分。亮點是支持硬件較新\較全，更新i810，intel，mga，ATI和nv的驅動，另外一些集成網卡聲卡也可以自動安裝驅動。

中文支持：85分。

企業級應用：85分?；旧纤芯钟蚓W服務器都可以配置 ，但是在isns 方面落后于Suse 11。

系統功能：90分。

程序運行速度：85分。

總分：87分。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】