帶你體驗紅帽RHEL 6中的管理新工具
原創【51CTO獨家特稿】曹江華老師在上周跟我們分享了紅帽企業級Linux 6在安裝過程中的一些新亮點,接下來我們再看看整個系統的一些特性改善的情況。紅帽企業級Linux 6(為了方便,以下以RHEL 6簡稱)將目標主要放在了數據中心上,在企業級特性,尤其是安全、虛擬化方面下了很大的功夫。
51CTO推薦專題:Ubuntu 11.04——敏捷的獨角鯨
作者簡介:曹江華,1999年開始從事構建網絡、管理維護、數據庫管理工作。1999年后開始接觸LINUX,將工作中的經驗總結后已出版《Linux服務器安全策略詳解》,《Linux服務器安全策略詳解》(第二版),《Red Hat Enterprise Linux 5.0服務器構建與故障排除》,《Linux系統最佳實踐工具:命令行技術》四本堪稱Linux系統管理員日常工具書的熱銷圖書,目前關注開放系統和網絡安全。
一 、安全管理方面
1 eCryptfs 加密
RHEL 5.4就開始支持 eCryptfs 加密。eCryptfs 是在 Linux 內核 2.6.19 版本中引入的一個功能強大的企業級加密文件系統,堆疊在其它文件系統之上(如 Ext2, Ext3, Ext,4 ReiserFS, JFS 等),為應用程序提供透明、動態、高效和安全的加密功能。本質上,eCryptfs 就像是一個內核版本的 Pretty Good Privacy(PGP)服務,插在 VFS(虛擬文件系統層)和 下層物理文件系統之間,充當一個“過濾器”的角色。用戶應用程序對加密文件的寫請求,經系統調用層到達 VFS 層,VFS 轉給 eCryptfs 文件系統組件(后面會介紹)處理,處理完畢后,再轉給下層物理文件系統;讀請求(包括打開文件)流程則相反。eCryptfs 需要相應的內核模塊和用戶態的工具同時配合使用。用戶態的工具可以從https://launchpad.net/ecryptfs 獲得。
#mount -t ecryptfs real_path ecryptfs_mounted_path
推薦ecryptfs_mounted_path 和 真實目錄 real_path 一致,這樣非授權用戶不能通過原路徑訪問加密文件。圖1是掛載界面。
圖1 掛載界面
不過RHEL 6沒有提供一個 eCryptfs 加密圖形化前端多少是個遺憾。
2 防火墻配置工具
雖然創建一個防火墻并不能保證系統100%安全,但卻是絕對必要的。Linux 使用包過濾防火墻IPtables。RHEL 6 的防火墻配置工具相比之前版本已經有了很多改變。
圖2 RHEL 6 的防火墻配置工具
圖3 防火墻的服務設置更加細度化
筆者感覺RHEL 6 的防火墻配置工具和Firestater 相比不相上下,但是比之另外一個專業工具Firewall Builder(http://www.fwbuilder.com/ )功能上還有不足之處。
#p#
3 SElinux配置
RHEL 6 的SElinux策略生成工具非常實用,它可以生成:類型強制文件(te)、接口文件(if)、文件上下文(fc)、shell腳本(sh)-用來編譯和安裝策略。
圖4 RHEL 6 的SElinux策略生成工具
另外RHEL 6 的SElinux維護工具進行了漢化,這樣操作更加方便。
圖5 RHEL 6 的SElinux維護工具進行了漢化
其他方面,SELinux 添加了對 Linux 內核的強制訪問控制(MAC),并在RHEL 6 中默認啟用。MAC 構架的一般目的需要對系統中的所有進程和文件執行強制管理設置安全性策略,根據包含各種與安全性相關信息的標簽做決定。 通常,SELinux 用來定義和控制應用程序如何與系統互動。RHEL 6 中的 SELinux 引進了一組策略,可允許系統管理員控制什么特定用戶可訪問系統。
RHEL 6 中的 SELinux 還使用了新的安全性沙箱特性。安全性沙箱添加了一組可讓系統管理員在嚴格限制的 SELinux 域中運行任意程序的 SELinux 策略。使用沙箱,系統管理員可在不損害系統的情況下測試包含不可信內容的進程。 X 窗口系統(通常指 "X")為在RHEL 6 中顯示圖形用戶界面(GUI)提供基本框架。這個發行本使用新的 X 訪問控制擴展(XACE),它可允許 SELinux 訪問在 X 中所做的決定,特別是它可控制窗口對象間的信息流。
4系統安全性服務守護進程(SSSD)
系統安全性服務守護進程(SSSD)是RHEL 6 中的新功能,它采用一組進行識別和驗證的集中管理服務。集中的識別和驗證服務啟用本地識別緩存,允許用戶在到服務器的連接被中斷時仍可進行識別。SSSD 支持很多類型的識別和驗證服務,其中包括:紅帽目錄服務器、活躍目錄、OpenLDAP、389、Kerberos 和 LDAP。
#p#
二 網絡管理工具
RHEL 6網絡管理工具由system-config-network替換為NetworkManager,NetworkManager 是用來設定、配置和管理各種網絡連接類型的桌面工具。
圖 6 NetworkManager
在RHEL 6 中,NetworkManager 提供了對移動寬帶設備、IPv6 提供改進的支持,并添加對藍牙個人區域網(PAN)設備連接的支持。
另外,紅帽企業版 Linux 中的低級網絡部署采用通用接收卸載(GRO)支持。GRO 系統通過減少 CPU 處理的進程數量增加進入網絡連接的性能。GRO 采用同樣的技術作為大型接收卸載系統,但可用于更廣泛的傳輸層協議。 紅帽企業版 Linux 包含對無線聯網和設備改進的支持。改進了對使用 IEEE 802.11 組標準進行無線局域聯網的支持,添加了使用 802.11n 的無線聯網。
三 虛擬化管理工具
RHEL 6 提供了對 AMD64 和 Intel 64 構架中基于內核的虛擬機(KVM)管理程序的全面支持。KVM 是整合在 Linux 內核中,提供利用紅帽企業版 Linux 原有的穩定性、特性和硬件支持的虛擬化平臺。
RHEL 6 虛擬化管理工具相比上個版本有一定改變,多了一個網絡接口界面。
圖7 RHEL 6虛擬化管理工具多了一個網絡接口界面
RHEL 6 虛擬化管理工具相比上個版本存儲界面也有改變。
圖8 RHEL 6虛擬化管理工具
#p#
四 、其他實用工具
1 自動 Bug 報告工具
RHEL 6 使用新的自動 Bug 報告工具(ABRT)。ABRT 日志詳細記錄在本地系統中的軟件崩潰,并提供立即在紅帽 Bugzilla bug 追蹤網頁中打開一個 ticket 的界面(可以是圖形界面,也可以是命令行界面)。
圖 9 自動 Bug 報告工具
2 powertop
RHEL 6 中引進的無空循環內核可允許 CPU 更頻繁地進入閑置狀態,降低能耗并改進電源管理。新的 PowerTOP 工具可識別具體是哪些內核組件和用戶空間程序經常喚醒 CPU。PowerTOP 用于開發識別和調節這個發行本中很多應用程序,將不必要 CPU 喚醒減少了 10 倍。
圖10 PowerTOP工作界面
3 LVM改進
LVM 快照特性提供在不造成服務中斷的情況下,在特定時刻生成邏輯卷備份映像的功能。當在提取快照后更改原始設備時,快照功能會生成更改數據區域未改動前的的副本以便重建該設備狀態。RHEL 6 引進了提取鏡像邏輯卷的能力。 RHEL 6 引進了將邏輯卷快照合并到原始邏輯卷中的功能。這可讓系統管理員通過合并快照保留的點來恢復在邏輯卷中所做的任意修改。 RHEL 6 中的 LVM 支持生成最多可有四個鏡像的邏輯卷。 LVM 維護一個小日志(在獨立設備中),可使用該日志追蹤與一個或者多個鏡像同步的區域。RHEL 6 提供鏡像保存這個日志設備的能力。 RHEL 6 使用新的 LVM 應用程序庫(lvm2app),可允許開發基于存儲管理程序的 LVM。 LVM工作界面沒有改變。
4 服務管理
保證您的系統安全是件非常重要的事情,而其中首要的就是要謹慎管理系統服務。管理系統服務有多種方法,可以根據服務本身,您的系統設置以及您的Linux水平來選擇合適的管理方法。在服務配置工具下,要立即啟動,停止或重啟某個服務,請在列表中選擇服務然后在工具欄上點對應的按鈕(或者從服務下拉菜單中選擇操作)。如果是xinetd的服務,操作按鈕會被禁用,因為這些服務無法單獨啟動或停止。注意當保存xinetd服務后,xinetd重新加載,更改會立即生效。而保存其它服務時,只是重新設置了運行級別,更改并不會立即生效。可以在列表內選擇服務然后點工具欄上的啟用, 禁用或(在默認運行級別外啟用SysV服務)自定義按鈕之一來啟用服務。也可以從服務菜單中選等效操作來啟用。對于SysV服務而言,雖然更改了它的運行級別,但系統當前運行級別沒有變化,因此更改不會立即生效。RHEL 6服務管理界面和上個版本略有改進設置更加細度化。
圖11 RHEL 6服務管理界面和上個版本略有改進設置更加細度化
5 ISNS支持
iSCSI(互聯網小型計算機系統接口)是非常靈活且有用的,但是現在在企業中一個很讓人頭疼的問題就是如何管理iSCSI設備。iSNS協議(或稱iSNSP)定義了iSNS客戶端和服務器的通信方式。這也是可能會引起疑惑的地方。所有的iSCSI"客戶端"(發起端)和"服務器"(目標端)實際上都是iSNS的客戶端。即使是存儲設備,在同iSNS服務器通信的時候,也都是客戶端。iSNS協議提供了四個基本功能,可以簡化并升級你的iSCSI架構管理。iSNS可以將iSCSI設備映射到代理全局名稱(WWN),后者可以被iSCSI-FC網關所使用。因此,iSNS是這兩種存儲網絡實現整合的"粘合劑"。市面上的iSNS服務器不多。微軟的iSNS Server 3.0產品可以免費下載。RHEL 6開始內置一個客戶端,Linux也有一個iSNS服務器,但是大部分版本上沒有這個功能。你必須自己下載源代碼,然后進行編譯。只不過界面沒有SUSE 友好和易用。
6 Linux急救包Firstaidkit
Firstaidkit是一個自動化的恢復工具,它匯集了常見的復蘇進程,并將它們應用到系統中。它基本上是一個插件 系統 ,其中每個插件rpmdatabase負責保證救援過程。 Firstaidkit的方式處理回收過程是通過插件方式。 這樣可以讓一個插件將集中于一個系統中,如grub、init腳本或Xserver的具體問題。 Firstaidkit設計為自動修復的問題的同時保持用戶數據的完整性為重點。 換句話說,Firstaidkit將盡力解決您的系統,同時給你的可能性,恢復變更。firstaidkit執行以自動方式簡單和常見的恢復任務。長期以來,人們都要求基于任務的方法來拯救他們的系統。 救援模式也是一個不錯的選擇,我們可以通過簡單的自動化進行。共同恢復任務包括:
- dmraid的重建和恢復
- 重新安裝引導程序
- 重新創建的initrd
- 重新安裝一些軟件包
實施這些作為單獨的工作,而不是完全依賴anaconda的方式去做。然后我們可以一起配合以相對簡單的“修復系統”菜單。
圖12 Firstaidkit工作界面
#p#
五 不足之處
紅帽提供 PackageKit 來瀏覽、管理、更新、安裝和取消安裝與您的系統兼容的軟件包和軟件包組群,并在 Yum 庫中啟用。PackageKit 由一些可使用 GNOME 控制面板菜單或者從通知區域打開的圖形界面組成,PackageKit 會提醒您有可用的更新。另外,PackageKit 允許快速庫啟用和禁用,圖形和可搜索的事務日志以及PolicyKit 整合。安裝了RHEL 6后我發現,系統里面沒自帶的.repo文件了,所以做本地源比較麻煩。不過也有解決辦法:
看看RHEL6的鏡像盤的文件結構——Packages文件夾下有YUM源所需要的所有rpm包,而Server文件夾下只有Packages的鏈接,所以我們首先要將Server文件夾(不要復制Package鏈接文件,沒有意義,要用真實的Packages文件來替換)復制到/mnt文件夾下作為本地的yum source。
利用vim /etc/yum.repos.d/local.repo 建立一個.repo的應答文件,內容如下:
[local] name=local baseurl=file:///mnt/Server enabled=1 gpgcheck=0
然后:wq保存退出,執行下面三道命令:
yum clean all yum list yum grouplist
這樣就可以用自己的yum源進行軟件包安裝和更新了。
六、總結
為了能使大家有一個全面、客觀的認識,筆者從多個角度為RHEL 6打一個分值,供大家參考。筆者在此考量的是企業級應用 ,對于桌面/瀏覽器/辦公軟件方面筆者沒有涉及。
安裝:87分。安裝程序安全性能比較高。
硬件支持:85分。亮點是支持硬件較新\較全,另外一些集成網卡、 顯卡也可以自動安裝驅動。但是不支持安騰處理器。
中文支持:86分。許多程序進行了漢化
企業級應用:85分。基本上所有局域網服務器都可以配置 ,特別是虛擬化、存儲方面領先其他版本。
系統功能:90分。雖然新增的許多功能還有許多不盡如人意的地方,但無意是RHEL 61歷史上最多的。
開機啟動速度:80分。比較慢。
總分:85分。
【編輯推薦】
