SUSE Linux Enterprise Server 11主要針對的是企業(yè)用戶，SUSE產(chǎn)品分為SUSE LinuxEnterprise Desktop（SLED）和SUSE Linux EnterpriseServer（SLES）兩個版本。筆者測試的版本為Server版本，主要面向SMB甚至是大型企業(yè)中的服務(wù)器系統(tǒng)了。SLED則是面向SMB中的計算機(jī)終端。

一   安全從安裝開始
SUSE Linux Enterprise Server 11 安裝過程在"用戶身份驗(yàn)證方法"方面提供企業(yè)級的方式包括：本地（etc/password），LDAP ，NIS， Windows 域四種方式。如圖－１。

　圖 -1  用戶身份驗(yàn)證方法

相信在主流Linux 發(fā)行版本中是比較全面的 ，用戶可以根據(jù) 自己對安全 的需要選擇。對于安全性要求較高的用戶可以進(jìn)行CA 管理和LDAP的設(shè)置，如圖 -2 。

 圖 -2 進(jìn)行CA 管理和LDAP的設(shè)置

其他安裝部分筆者感覺和上一個版本 以及其他競爭對手基本持平，沒有什么可以評論的。

二  解讀安全操作
安裝完成后筆者首先進(jìn)入了SUSE Linux Enterprise Server 11的核心YasT2 ，對于多媒體以及辦公方面筆者感覺Linux 在最近兩三年已經(jīng)做得相當(dāng)不錯了可惜由于慣性原因還是不能占據(jù)桌面市場。還是看看筆者關(guān)心的企業(yè)級應(yīng)用部分。
安全與用戶
安全與用戶包括七個部分：如圖-3

 圖-3安全與用戶

除了和其他Linux 發(fā)行版本 共有的 用戶和組管理 ，防火墻外其他幾個都比較有特色：
CA管理如圖-4

　圖-4 新建Root CA

我們以前在Linux  管理CA 使用命令行工具，這里 SUSE Linux Enterprise Server 11 提供一種新的選擇。當(dāng)然筆者不反對使用命令行管理。不過編輯對于Linux 新用戶有些困難。
Sudo配置如圖-5 使用sudo可以讓用戶更加安全。

　圖-5Sudo配置

sudo 規(guī)則，sudo 規(guī)則可基本確定將在指定的主機(jī)（也可指定用戶） 上用戶可以運(yùn)行哪些命令。每個規(guī)則 是由用戶、主機(jī)及命令列表，以及可選的 RunAs 規(guī)范和其他標(biāo)記構(gòu)成的元組。在下表中對它們 進(jìn)行了匯總。 用戶列表示本地用戶、系統(tǒng)用戶或用戶別名。主機(jī)列確定在主機(jī)別名所指的哪些主機(jī)或組上 用戶可以運(yùn)行指定的命令。 RunAs 列是 可選參數(shù)，包含用戶名（或別名），其訪問特權(quán)將用于運(yùn)行命令。NOPASSWD 是標(biāo)記，用于確定用戶運(yùn)行命令前是否 需要授權(quán)。 用戶可以在指定主機(jī)上運(yùn)行的一組命令匯總在 命令列中。要添加新的規(guī)則，請單擊添加按鈕并填寫相應(yīng)的 條目。用戶名、主機(jī)名和命令列表不能為空。 要編輯現(xiàn)有規(guī)則，請從表中選擇條目并單擊編輯按鈕。要刪除所選條目，請單擊刪除按鈕。
本地安全如圖-6 。

 　圖 -6 本地安全

本地安全實(shí)際包括一組工具：密碼設(shè)置 ，引導(dǎo)設(shè)置，登錄設(shè)置，用戶添加，雜項(xiàng)設(shè)置等等。
通用證書服務(wù)器如圖-7

　圖-7 通用證書服務(wù)器

該普通服務(wù)器證書將由其它 YaST 模塊使用?？梢酝ㄟ^從文件導(dǎo)入證書來交換此證書。可以使用 CA 管理模塊中證書部分中的導(dǎo)出到文件將證書寫到文件中。從磁盤導(dǎo)入的證書必須是以含 CA 鏈的 PKCS12 格式寫入的。也是一個比較有用的選項(xiàng)。
LAF審計框架如圖-8 。

　圖-8 LAF審計框架

LAF審計框架即：Auditd 日志文件配置的前端界面。審計守護(hù)程序?qū)⑺邢嚓P(guān)審計事件記錄到默認(rèn)日志文件/var/log/audit/audit.log 中。 事件可能來自 apparmor 內(nèi)核模塊或者來自使用 libaudit（例如PAM）的應(yīng)用程序或由規(guī)則（例如文件檢查）產(chǎn)生的事件。有關(guān)規(guī)則以及添加規(guī)則的可能性的更多信息組成了對話框 auditctl 的規(guī)則。有關(guān)日志文件設(shè)置的詳細(xì)信息，可從"man auditd.conf"中獲取。日志文件：輸入日志文件的完整路徑名 （或使用選擇文件。）格式：設(shè)置RAW 以記錄所有數(shù)據(jù)或設(shè)置 NOLOG 以丟棄所有審計信息（不影響發(fā)送到發(fā)送程序的數(shù)據(jù)）。清理：說明如何將數(shù)據(jù)寫入磁盤。如果設(shè)置為INCREMANTAL，F(xiàn)requency 參數(shù)將在 發(fā)出一次明確的磁盤清理前指出要寫入的記錄數(shù)。

在大小和操作框架中配置日志文件最大大小以及達(dá)到 此值時要采取的操作。如果操作設(shè)置為 ROTATE，則日志文件數(shù)指定要保留的文件數(shù)。計算機(jī)名稱格式說明如何將計算機(jī)名稱寫入日志文件。 如果設(shè)置了用戶，則使用用戶定義的名稱。
Auditd 日志文件是2.6 內(nèi)核重要安全保障，筆者也是第一次使用LAF審計進(jìn)行配置感覺非常方便。其他兩個模塊筆者用戶和組管理 ，防火墻基本和其他Linux 發(fā)行版本相比各有千秋。

#p#

三 設(shè)置存儲管理

存儲管理是Linux 服務(wù)器管理員的重要工作。這里包括RAID 和邏輯卷等基本方面如圖 -9 。

　圖-9 RAID 和邏輯卷

除此之外還有一個磁盤文件加密選項(xiàng)：如圖-10。

 圖-10 磁盤文件加密

相信許多系統(tǒng)管理員對它比較感興趣。它可以在物理磁盤分區(qū)和文件映象中建立加密文件系統(tǒng)，并對文件系統(tǒng)進(jìn)行管理，例如，對文件系統(tǒng)進(jìn)行掛載、卸載、格式化等操作。其中左邊設(shè)備欄中顯示的加密設(shè)備列表，右邊是顯示的是加密設(shè)備的屬性和狀態(tài)。如果想顯示加密設(shè)備的屬性和狀態(tài)，雙擊左邊設(shè)備列表中的設(shè)備即可。

四 網(wǎng)絡(luò)服務(wù)器管理

SUSE Linux Enterprise Server 11網(wǎng)絡(luò)服務(wù)器管理非常詳細(xì)如圖-11 。

　圖-11網(wǎng)絡(luò)服務(wù)器管理

SUSE Linux Enterprise Server 11網(wǎng)絡(luò)服務(wù)器管理包括幾乎所有局域網(wǎng)應(yīng)用。筆者比較關(guān)注的是 三個項(xiàng)目：
iSCSI 啟動程序如圖-12

　圖-12 iSCSI 啟動程序

說明：InitiatorName 是 /etc/initiatorname.iscsi 中的值。 如果有 iBFT，將添加 iBFT 中的值，并且您只能在 BIOS 設(shè)置中更改。
如果要使用 iSNS (Internet Storage Name Service) 來發(fā)現(xiàn)目標(biāo)，而不使用默認(rèn)的 SendTargets 方法， 請?zhí)顚?iSNS 服務(wù)器的 IP 地址和端口。
默認(rèn)端口是 3205。
iSCSI 目標(biāo)如圖-13

圖-13 iSCSI 目標(biāo)

提供的目標(biāo)列表。單擊添加創(chuàng)建新目標(biāo)。 要刪除或修改某個項(xiàng)目，請選擇它并按修改或刪除。
其實(shí)前兩個在后門企業(yè)版也可以看到，只不過界面沒有SUSE 友好更加易用。下面的ISNS服務(wù)器是SUSE Linux Enterprise Server 11
ISNS服務(wù)器如圖-14

iSCSI（互聯(lián)網(wǎng)小型計算機(jī)系統(tǒng)接口）是非常靈活且有用的，但是現(xiàn)在在企業(yè)中一個很讓人頭疼的問題就是如何管理iSCSI設(shè)備。iSNS協(xié)議（或稱iSNSP）定義了iSNS客戶端和服務(wù)器的通信方式。這也是可能會引起疑惑的地方。所有的iSCSI"客戶端"（發(fā)起端）和"服務(wù)器"（目標(biāo)端）實(shí)際上都是iSNS的客戶端。即使是存儲設(shè)備，在同iSNS服務(wù)器通信的時候，也都是客戶端。iSNS協(xié)議提供了四個基本功能，可以簡化并升級你的iSCSI架構(gòu)管理。iSNS可以將iSCSI設(shè)備映射到代理全局名稱（WWN），后者可以被iSCSI-FC網(wǎng)關(guān)所使用。因此，iSNS是這兩種存儲網(wǎng)絡(luò)實(shí)現(xiàn)整合的"粘合劑"。市面上的iSNS服務(wù)器不多。微軟的iSNS Server3.0產(chǎn)品可以免費(fèi)下載。Linux也有一個iSNS服務(wù)器，但是大部分版本上沒有這個功能。你必須自己下載源代碼，然后進(jìn)行編譯。Linux上有關(guān)iSNS的文檔很少。Sun的OpenSolaris自從版本77以后就完全支持iSNS服務(wù)器了。最新的OpenSolaris版本是101，這個版本包含了iSNS服務(wù)器。這也是市面上Unix類最早出現(xiàn)的的iSNS服務(wù)器，它甚至還包含一個圖形界面（需要單獨(dú)安裝）。筆者使用過，不過其功能相比SUSE Linux Enterprise Server 11 ISNS服務(wù)器各有千秋。OpenSolaris的iSNS服務(wù)器是通過web頁面控制的。筆者感覺是使用java必須的。

五 虛擬化應(yīng)用
虛擬化應(yīng)用是Linux 企業(yè)級應(yīng)用的重點(diǎn)，SUSE Linux EnterpriseServer 11 當(dāng)然不會忽視主要包括兩個工具：Xen 和KVM。相比競爭對手RHEL 5.2多出一個KVM ，不過紅帽還有FedoraCore項(xiàng)目其 Fedora Core 8 版本開始也在使用KVM。下面要看紅帽在企業(yè)級方面的動作了。SUSE LinuxEnterprise Server 11管理界面和RHEL 5.2 基本相同 只不過多了一個虛擬化安裝管理程序及工具，這個工具是用來自動配置網(wǎng)絡(luò)接口和VM服務(wù)器（域）比較實(shí)用 如圖-15 。

 圖-15 虛擬化安裝管理程序及工具

KVM即Kernel-based VirtualMachine，KVM所采用的方法是只需通過加載一個內(nèi)核模塊就將Linux內(nèi)核變成一個hypervisor（管理程序）。這個內(nèi)核模塊導(dǎo)出一個稱為/dev/kvm的設(shè)備，此設(shè)備會啟動內(nèi)核的一個客戶機(jī)模式（除傳統(tǒng)的內(nèi)核和用戶模式之外的）。通過/dev/kvm,一個VM（虛擬機(jī)）擁有其自身的地址空間，這個地址空間與內(nèi)核的地址空間相分離或與任何一個正運(yùn)行著的VM相分離。設(shè)備樹（/dev）中的設(shè)備對所有的用戶空間程序都是公用的。但/dev/kvm與此不同，因?yàn)槊恳粋€打開它的過程都會看到一個不同的映像（用以支持VM的分離）。然后KVM簡單地將Linux內(nèi)核變?yōu)閔ypervisor管理程序（在你安裝KVM內(nèi)核時）。因?yàn)闃?biāo)準(zhǔn)的Linux內(nèi)核是hypervisor管理程序，它從對標(biāo)準(zhǔn)內(nèi)核的改變中獲益（存儲支持、調(diào)度程序等等）。對這些Linux部件的優(yōu)化（如在2.6內(nèi)核中的新O(1)調(diào)度程序）既有利于hypervisor管理程序（主機(jī)操作系統(tǒng)）又有利于Linux客戶機(jī)操作系統(tǒng)。 虛擬化在和RHEL的競爭中，SUSE 基本在和RHEL在一個等級上，不過SUSE總是先于RHEL發(fā)布新版本。

六 AppArmor
AppArmor 是SUSE Linux 獨(dú)有安全工具。AppArmor 旨在為服務(wù)器和工作站提供簡單易用的應(yīng)用程序安全。AppArmor 是一個訪問控制系統(tǒng)，該系統(tǒng)使您能夠?yàn)槊總€程序指定程序可以讀取、寫入和執(zhí)行的文件。AppArmor不依賴攻擊簽名，而是以強(qiáng)制方式使應(yīng)用程序行為良好，從而確保應(yīng)用程序的安全，因此即使是對以前未知漏洞的攻擊也能防止。NovellAppArmor 的組成部分如下：
常用 Linux* 應(yīng)用程序的 AppArmor 配置文件庫，描述程序需要訪問的文件。
常用的應(yīng)用程序活動（如 DNS 查詢和用戶鑒定）所需的 AppArmor 配置文件基礎(chǔ)類（配置文件組建模塊）庫。
用于開發(fā)和增強(qiáng) AppArmor 配置文件的工具套件，使用它可以對現(xiàn)有配置文件進(jìn)行更改以適應(yīng)您的需要，還可以為您的本地和自定義應(yīng)用程序創(chuàng)建新的配置文件。
若干經(jīng)過特別修改的應(yīng)用程序，這些應(yīng)用程序啟用了 AppArmor，能夠以獨(dú)特的子進(jìn)程限制形式來提升安全性，包括Apache。
可轉(zhuǎn)載 Novell AppArmor 的內(nèi)核模塊及關(guān)聯(lián)的控制腳本，用于在 SUSE Linux 系統(tǒng)上強(qiáng)制實(shí)施 AppArmor 策略
AppArmor配置界面如圖 -16 。

 圖 -16 AppArmor配置界面

個人感覺是類似Selinux 的控制工具。另外SUSE Linux Enterprise Server 11 還有一個指紋讀取程序應(yīng)當(dāng)是為移動辦公的商務(wù)人士準(zhǔn)備的。

七  看看SUSE Linux Enterprise Server 11 尚待改進(jìn)之處
筆者手中的SUSE Linux Enterprise Server 11 和上一個版本中的藍(lán)牙控制裝置筆者沒有找到?？煽紤]到是筆者測試的版本為Server版本，主要面向SMB甚至是大型企業(yè)中的服務(wù)器系統(tǒng)可能出于安全策略沒有配置無線設(shè)備。不知道SUSE Linux Enterprise Desktop是否包括。

SUSE Linux Enterprise Server 11 支持 Selinux 不過相比RHEL 5 ，SUSE沒有提供專門的管理工具。可以通過15 個 Selinux 相關(guān)命令操作，對于linux 新用戶有些困難。相比RHEL 5 有差距。

另外感覺SUSE Linux Enterprise Server 11 輸入法使用起來不太方便。

筆者目前沒有看到集群管理工具，相比RHEL 5有差距。

另外前個版本廣受歡迎的桌面搜索引擎：beagle ，筆者也沒有發(fā)現(xiàn)。

綜合評價：在系統(tǒng)管理方面，SUSE也充分展現(xiàn)了人性化的一面，控制中心當(dāng)中共有個人、外觀、硬件、系統(tǒng)等四大類共三十余項(xiàng)管理功能，而用戶還可以利用SUSE系統(tǒng)中著名的YaST管理套件對系統(tǒng)進(jìn)行細(xì)致的調(diào)整。為了能使大家對SUSE Linux Enterprise Server11

有一個全面、客觀的認(rèn)識，筆者從多個角度為SUSE Linux Enterprise Server11打一個分值，供大家參考。說明筆者考量的是企業(yè)級應(yīng)用 ，對于桌面/瀏覽器/辦公軟件方面筆者沒有涉及，以下僅供參考（僅為筆者個人觀點(diǎn)）。

安裝：85分。安裝程序安全性能比較高。

硬件支持：85分。亮點(diǎn)是支持硬件較新\較全，尤其是采用了ALSA，使聲卡支持有較大提高。另外一些集成網(wǎng)卡 顯卡也可以自動安裝驅(qū)動。

中文支持：80分。對中文輸入法支持不夠完善。

企業(yè)級應(yīng)用：85分。基本上所有局域網(wǎng)服務(wù)器都可以配置 ，特別是ISCSI 方面領(lǐng)先其他版本。

系統(tǒng)功能：90分。雖然新增的許多功能還仍有些不盡如人意的地方，但無疑是SUSE Linux Enterprise Server 11歷史上功能最多最強(qiáng)的。

程序運(yùn)行速度：85分。

【編輯推薦】

1. Linux系統(tǒng)下配置Netware服務(wù)器方法
2. 嵌入式設(shè)備上的 Linux 系統(tǒng)開發(fā)
3. 深度介紹Linux內(nèi)核是如何工作的(1)