帶你走進紅帽企業級 Linux 6體驗之旅(安裝篇)
原創【51CTO獨家特稿】紅帽在11月10日發布了其企業級Linux,RHEL 6的正式版(51CTO編輯注:紅帽官方已經不用RHEL這個簡稱了,其全稱叫做Red Hat Enterprise Linux)。新版帶來了將近1800個新特性,對于這些新特性我們第一時間找到了著名Linux專家——曹江華先生,為我們進行了紅帽RHEL 6的亮點體驗。
作者簡介:曹江華,1999年開始從事構建網絡、管理維護、數據庫管理工作。1999年后開始接觸LINUX,將工作中的經驗總結后已出版《Linux服務器安全策略詳解》,《Linux服務器安全策略詳解》(第二版),《Red Hat Enterprise Linux 5.0服務器構建與故障排除》,《Linux系統最佳實踐工具:命令行技術》四本堪稱Linux系統管理員日常工具書的熱銷圖書,目前關注開放系統和網絡安全。
下面介紹一下十天左右的使用感受,供廣大網友參考。
發行介質
紅帽企業級 Linux 6相比上個版本紅帽企業版5一樣同時提供32位和64位版本,不過紅帽企業級 Linux 6多了最小引導介質(rhel-server-6.0-i386-boot.iso和 rhel-server-6.0-x86_64-boot.iso )兩個文件,使用這兩個小文件可以實現本地硬盤、NFS、網絡安裝等選擇如圖1 。
圖1 可以實現本地硬盤、NFS、網絡安裝
當然這不是什么新技術debian等發行版早就有了,不過多一種選擇總是好的,用戶可以直接使用互聯網安裝可以避免下載刻錄光盤的麻煩如圖2。
圖2 URL 設置界面
從安裝開始
開始安裝界面如圖3 。相比上個版本紅帽企業版5風格有些改變。
圖3 安裝界面
安裝界面包括四個選擇:
◆安裝或者升級現有系統
這個選項是默認的。選擇這個選項在您的計算機系統中使用圖形安裝程序安裝紅帽企業版 Linux。
◆使用基本視頻驅動程序安裝系統
這個選項允許您在安裝程序無法為您的顯卡載入正確驅動程序時使用圖形模式安裝紅帽企業版Linux。如果您在使用「安裝或者升級現有系統」時屏幕出現扭曲或者成空白屏幕,重啟您的計算機并嘗試使用這個選項。
◆救援安裝的系統
選擇這個選項修復已安裝但無法正常引導的紅帽企業版 Linux 中的問題。雖然紅帽企業版 Linux 是非常穩定的計算機平臺,但偶爾也會發生無法引導的問題。救援環境包含可讓您修復大量此類問題的工具程序。
◆使用本地驅動器引導
這個選項使用第一個安裝的磁盤引導。如果您誤用這個磁盤引導,請使用這個選項立刻從硬盤引導且不用啟動安裝程序。#p#
安裝過程的亮點
下面介紹一下安裝過程的亮點,紅帽企業級 Linux 6主要針對的是企業用戶,存儲管理是Linux 服務器管理的重要工作。相比上個版本紅帽企業版5,紅帽企業級 Linux 6除了支持iscsi磁盤,另外還可以直接支持多路徑設備、FcoE SAN磁盤、固件RAID等如圖4。一般來說,FCoE能很好地將光纖通道遷移到以太網中,而且不破壞現有的FC環境和技能清單。而iSCSI利用IP頂層協議TCP,FCoE和iSCSI都不能實現路由功能。ZFCP即光纖通道掛接式 SCSI 磁盤,zFCP 驅動程序是由它的設備地址來指定的。但是在 2.6 版本的內核映像中,它的驅動程序是由 0.0.1600 來指定的。
圖4 紅帽企業級 Linux 6支持iscsi磁盤、多路徑設備、FcoE SAN磁盤、固件RAID
圖 4 說明如下:
◆基本設備
直接連接到本地系統的基本存儲設備,比如硬盤驅動器和固定驅動器。
◆固件 RAID
附加到固件 RAID 控制程序的存儲設備。
◆多路徑設備
可通過一個以上的路徑訪問存儲設備,比如通過多 SCSI 控制程序或者同一系統中的光纖端口。
◆其它 SAN 設備
存儲區域網絡(SAN)中的其它可用設備。
◆搜索標簽
它可允許您使用通用識別符(WWID)或者使用它們可訪問的端口、目標或者邏輯單位數(LUN)過濾存儲設備。該標簽包含一個下拉菜單,其中包含根據端口、目標、WWID 或者 LUN 進行搜索的選項(使用對應文本復選框對應這些值)以及根據 WWID 的搜索(使用對應文本復選框對應這個值)每個標簽顯示 anaconda 探測到的一組設備列表,包含幫助您識別該設備的有關信息。欄標題的右側有一個帶圖標的小下拉菜單。這個菜單可讓您選擇每個設備顯示的數據類型。#p#
紅帽企業級 Linux 6的用戶安全
紅帽企業級 Linux 6主要針對的是企業用戶安全是關注的重點,紅帽企業級 Linux 6從安裝支持塊設備加密,如圖5 。
圖5 對分區文件系統加密
塊設備加密通過加密保護塊設備中的數據。要訪問設備中加密的內容,用戶必須提供密碼短語或者密鑰供驗證。這可提供現有操作系統安全性機制以外的安全性,這樣可在從系統中物理刪除該設備時仍可保護其內容。
塊設備加密會有符號顯示如圖 6。
圖6塊設備加密會有符號顯示#p#
當然還可以在安裝過程對引導配置GRUB進行加密。在紅帽企業6 發行注記中我們看到:包含了超過2000個包,相對之前的版本而言增加了85%的代碼量,一共增添了1800個新特性,解決了14000多個bug。這一點可以在軟件定制界面可以看到如圖7 。
圖7 關鍵的企業應用組件
紅帽企業級 Linux 6的關鍵應用組件
除了和以前版本都具有的常規組件外,還包括一些關鍵的企業應用組件:
◆高可用性附加組件
紅帽高可用性附加組件在集群內的節點間按需提供了故障切換服務,保證了應用 的高可用性。高可用性附加組件支持多達 16 個節點,而且可以針對大多數采用可 定制代理的應用以及虛擬客戶機而配置。高可用性 附加組件還包括對一些現成應用的故障切換支持, 例如 Apache、MySQL 和 PostgreSQL。 在使用高可用性附加組件時,高度可用的服務可以 在出現故障時從一個節點切換到另一個節點,而不 會對集群內的客戶機產生明顯的中斷。當一個集群節點接管另一個集群節點的服 務控制權時,高可用性附加組件還保證了數據的完整性。它采用叫做通過“隔離” 的方法防止數據損壞,通過將節點從被認為出現故障的集群中脫離出來而實現這 一點。
◆高彈性存儲附加組件
紅帽高彈性存儲附加組件允許共享存儲或集群文件系統訪問一個網絡上的相同存儲設 備。通過在一個服務器集群中提供一致的存儲,紅帽高彈性存儲附加組件創建了一個數 據池,可供群組內的每臺服務器使用,但如果任何 一臺服務器出現故障,該數據池也可受到保護。 高彈性存儲附加組件提供了多項文件系統能力,可 在系統故障時實現更高的彈性。此附加組件包含支 持并行接入的全局文件系統 2 (GFS2);一個 UNIX 的便攜操作系統接口(POSIX) 兼容的文件系統(跨 16 個節點);以及集群 Samba( 集群 方式的通用互聯網文件系統)或 CIFS( 用于 Microsoft Windows 環境中的并行文件共享)。 在使用高彈性存儲附加組件時,集群中的所有節點都可以看見集群中所有文件的一個統 一版本。集群中的每臺服務器可以通過本地存儲區域網絡 (SAN) 直接訪問共享的塊設 備上高達 100TB 的數據。數據和緩存的一致性通過采用整個集群的鎖定機制而得到保證, 該機制叫做分布式鎖定管理器 (DLM) ,其作用是確定對存儲的訪問權限。因此,集群 中的每個成員可以直接訪問同一個存儲設備,而且所有集群節點可以訪問同一組文件。
◆網絡負載平衡器附加組件
紅帽的網絡負載平衡器附加組件為 Web 服務、數據庫、網絡和存儲提供了冗余。通過創 建一個可定向到實際服務器的虛擬地址而進行負載平衡或者流量整型,紅帽網絡負載平 衡器附加組件允許您使用基于瀏覽器的圖形用戶界 面 (GUI) 而快速地添加或移除服務器,或者更改平 衡算法。 網絡負載平衡器附加組件提供了獨立于應用的,對 傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 負 載平衡的支持。它包含兩個主要組件:Linux 虛擬服務器 (LVS) 和 Piranha 配置工具 (一 種基于 GUI 的管理工具)。網絡負載平衡器附加組件可以采用主備模式在兩個節點間配 置,以提供冗余的流量管理服務。
◆可擴展的文件系統附加組件
紅帽可擴展的文件系統附加組件支持容量為 16TB 到 100TB 之間的文件系統。您可以使 用多種先進的特性,例如 64 位日志和高級鎖定算法,來管理這些大型數據存儲。 可擴展的文件系統附加組件采用 XFS® 文件系統, 還可以在單個主機上支持極大的文件和文件系統, 而且在運行多現場并行 I/O 工作負荷的小系統上也 可以良好地運行。
◆高性能網絡附加組件
紅帽的高性能網絡附加組件適用于當低網絡延時和高容量比較重要的情況。它通過融合 的以太網 (ROCE) 提供了遠程直接內存訪問能力。由于 RoCE 旁路系統和內核調用,將 數據直接放置于 CPU 開銷較低的遠程系統內存中,因此,高性能網絡附加組件對于高 速數據處理應用、加快集群鎖定或者在不投資專用 網絡技術的情況下擴展分布式系統是理想產品。 高性能網絡附加組件將系統和內核調用旁路到 TCP (iWARP) 或 Infi niband( 傳統 RdMA),并將數據直 接放置在 CPU 開銷較低的遠程系統內存中。客戶可 以利用融合的以太網設計方法整合數據和存儲網絡, 同時減少客戶的布線基礎設施、端口數量并降低相關的成本。
另外在軟件配置界面可以看到相比上個版本紅帽企業版5更多的軟件包如圖8 。
圖8軟件配置界面
選擇服務和軟件的時候可以選擇桌面的。要不然就進不了Gnome桌面和KDE桌面環境。另外要說明是紅帽企業級 Linux 6相比上個版本紅帽企業版5不需要安裝序列號。下面開始安裝時間從10-30 分鐘不等。如果前面選擇了“對塊設備加密” 那么每次登陸系統過程中要輸入密碼才可以正常啟動如圖9。
圖9 每次登陸系統過程中要輸入密碼才可以正常啟動
圖9 中的LUKS它為數據建立了一個非磁盤格式以及密碼短語/密鑰管理策略。LUKS 通過 dm-crypt 模塊使用內核設備映射器子系統。這個協議提供處理設備數據加密和解密底層映射。用戶級別操作,比如生成和訪問加密的設備,是通過使用 cryptsetup 程序完成的。
LUKS加密整個塊設備,LUKS因此非常適合保護移動設備的內容,比如:可移動存儲介質、筆記本磁盤驅動器。加密塊設備的基本內容是隨機的。這可使其用于加密swap設備。這還對使用特殊格式塊設備進行數據存儲的某些數據庫有用。LUKS提供密碼短語增強。這可以防止字典攻擊。LUKS不適用于需要很多(超過8個)用戶對同一設備有不同訪問密鑰的程序。LUKS不適用于需要文件級別加密的程序。有關 LUKS 詳情可參考其項目網站,地址為:http://code.google.com/p/cryptsetup/。
另外安裝過程的結尾階段在“驗證配置”方面提供企業級的方式包括:本地(etc/password),LDAP ,NIS, Winbind多種方式。如圖10。
圖10 用戶身份驗證方法#p#
紅帽企業級 Linux 6的網絡登錄
相信在主流Linux 發行版本中是比較全面的 ,用戶可以根據 自己對安全 的需要選擇。對于安全性要求較高的用戶可以進行Hesiod或者LDAP的網絡登錄。
◆啟用NIS支持:選擇該選項來把系統配置成連接 NIS 服務器來驗證用戶和口令的 NIS 客戶。點擊配置NIS按鈕來指定 NIS 域和 NIS 服務器。如果 NIS 服務器沒有被指定,守護進程會試圖通過廣播來尋找它。你必須安裝了 ypbind 軟件包才能使這個選項奏效。如果啟用了 NIS 支持,portmap 和 ypbind 服務會被啟動,它們也會在引導時被啟用。
◆啟用LDAP支持:選擇這個選項來配置系統來通過 LDAP 檢索用戶信息。點擊“配置 LDAP”按鈕來指定“LDAP 搜索基準 DN”和“LDAP 服務器”。如果“使用 TLS 來加密連接”被選擇,傳輸層安全就會被用來加密發送給 LDAP 服務器的口令。你必須安裝 openldap-clients 軟件包才能使這個選項奏效。
◆啟用Winbind支持:選擇這個選項使系統可以連接到Windows Active Directory或者Windows domain controller。
密碼散列算法如圖10 。
圖11 密碼散列算法
可選的密碼散列算法包括:
MD5(Message Digest Algorithm 5):是RSA數據安全公司開發的一種單向散列算法,MD5被廣泛使用,可以用來把不同長度的數據塊進行暗碼運算成一個128位的數值;
SHA安全散列算法(Secure Hash Algorithm):能計算出一個數字訊息所對應到的,長度固定的字符串(又稱訊息摘要)。且若輸入的訊息不同,它們對應到不同字符串的機率很高;而SHA是FIPS所認證的五種安全雜湊算法。SHA家族的五個算法,分別是SHA-1、SHA-224、SHA-256、SHA-384,和SHA-512,由美國國家安全局(NSA)所設計,并由美國國家標準與技術研究院(NIST)發布;是美國的政府標準。后四者有時并稱為SHA-2。SHA-1在許多安全協議中廣為使用,包括TLS和SSL、PGP、SSH、S/MIME和IPsec,被視為是MD5(更早之前被廣為使用的雜湊函數)的后繼者。
DESCRYPT:由美國政府和IBM研制。所有的Linux版本和幾乎所有的Unix系統都支持DES.DES實際上為一個加密算法,但是crypt(3)將之做為散列算法。普通的DES算法容許的原始口令長度為8個字符,多余的口令也接受,但是多余部分會被系統自動摒棄。但有些系統(例如HP-UX)使用DES的多次迭代來解決此問題,這樣就可以使用任意長度的密碼。但是使用DES加密后的口令為13個字符長。
BIGCRYPT:BitCrypt是一個情報機構以及像優雅的偽裝加密。該計劃允許用戶以加密存儲任何一種形式,在用戶指定的圖像隱藏的文本信息。該文本是加密算法的加密一個最強的,以加強安全級別。
在驗證界面同樣有多種選擇包括智能卡登錄。另外安裝的最后過程系統會極力推薦您建立紅帽的登錄帳號服務。最后是登錄界面如圖12 。
圖12 紅帽企業6登錄界面
這里可以首次看到智能卡認證,智能卡認證是利用電腦上的 usb 接口,將智能卡插入通過驗證智能卡內的用戶證書來登錄Linux的一整套過程,當系統啟動后,提示用戶插入智能卡,如果不插入智能卡,或者插入的智能卡不是保護當前用戶的,都會被提示說請插入有效的智能卡,當用戶將正確的智能卡插入 電腦的 usb 接口后,系統會開始自動驗證,并提示用戶輸入智能卡的密碼,如果輸入的智能卡密鑰有誤的話,用戶也無法登錄,這樣做的優點是,第一,用戶要插入有效的智能 卡才能登錄,第二,用戶還要輸入智能卡的密碼,此密碼只有用戶自己知道,這樣就確保了當用戶的智能卡丟失或者被復制后,其他人想利用智能卡登錄時還要輸入 智能卡登錄系統的密碼,這樣對系統起到了雙層保護。
本文續篇:紅帽RHEL 6中的管理新工具
【編輯推薦】
