【51CTO獨家特稿】紅帽在11月10日發(fā)布了其企業(yè)級Linux，RHEL 6的正式版（51CTO編輯注：紅帽官方已經(jīng)不用RHEL這個簡稱了，其全稱叫做Red Hat Enterprise Linux）。新版帶來了將近1800個新特性，對于這些新特性我們第一時間找到了著名Linux專家——曹江華先生，為我們進行了紅帽RHEL 6的亮點體驗。

作者簡介：曹江華，1999年開始從事構(gòu)建網(wǎng)絡(luò)、管理維護、數(shù)據(jù)庫管理工作。1999年后開始接觸LINUX，將工作中的經(jīng)驗總結(jié)后已出版《Linux服務(wù)器安全策略詳解》，《Linux服務(wù)器安全策略詳解》（第二版），《Red Hat Enterprise Linux 5.0服務(wù)器構(gòu)建與故障排除》，《Linux系統(tǒng)最佳實踐工具：命令行技術(shù)》四本堪稱Linux系統(tǒng)管理員日常工具書的熱銷圖書，目前關(guān)注開放系統(tǒng)和網(wǎng)絡(luò)安全。

下面介紹一下十天左右的使用感受，供廣大網(wǎng)友參考。

發(fā)行介質(zhì)

紅帽企業(yè)級 Linux 6相比上個版本紅帽企業(yè)版5一樣同時提供32位和64位版本，不過紅帽企業(yè)級 Linux 6多了最小引導(dǎo)介質(zhì)（rhel-server-6.0-i386-boot.iso和 rhel-server-6.0-x86_64-boot.iso ）兩個文件，使用這兩個小文件可以實現(xiàn)本地硬盤、NFS、網(wǎng)絡(luò)安裝等選擇如圖1 。

圖1 可以實現(xiàn)本地硬盤、NFS、網(wǎng)絡(luò)安裝

當(dāng)然這不是什么新技術(shù)debian等發(fā)行版早就有了，不過多一種選擇總是好的，用戶可以直接使用互聯(lián)網(wǎng)安裝可以避免下載刻錄光盤的麻煩如圖2。

圖2 URL 設(shè)置界面

從安裝開始

開始安裝界面如圖3 。相比上個版本紅帽企業(yè)版5風(fēng)格有些改變。

圖3 安裝界面

安裝界面包括四個選擇：

◆安裝或者升級現(xiàn)有系統(tǒng)

這個選項是默認的。選擇這個選項在您的計算機系統(tǒng)中使用圖形安裝程序安裝紅帽企業(yè)版 Linux。

◆使用基本視頻驅(qū)動程序安裝系統(tǒng)

這個選項允許您在安裝程序無法為您的顯卡載入正確驅(qū)動程序時使用圖形模式安裝紅帽企業(yè)版Linux。如果您在使用「安裝或者升級現(xiàn)有系統(tǒng)」時屏幕出現(xiàn)扭曲或者成空白屏幕，重啟您的計算機并嘗試使用這個選項。

◆救援安裝的系統(tǒng)

選擇這個選項修復(fù)已安裝但無法正常引導(dǎo)的紅帽企業(yè)版 Linux 中的問題。雖然紅帽企業(yè)版 Linux 是非常穩(wěn)定的計算機平臺，但偶爾也會發(fā)生無法引導(dǎo)的問題。救援環(huán)境包含可讓您修復(fù)大量此類問題的工具程序。

◆使用本地驅(qū)動器引導(dǎo)

這個選項使用第一個安裝的磁盤引導(dǎo)。如果您誤用這個磁盤引導(dǎo)，請使用這個選項立刻從硬盤引導(dǎo)且不用啟動安裝程序。#p#

安裝過程的亮點

下面介紹一下安裝過程的亮點，紅帽企業(yè)級 Linux 6主要針對的是企業(yè)用戶，存儲管理是Linux 服務(wù)器管理的重要工作。相比上個版本紅帽企業(yè)版5，紅帽企業(yè)級 Linux 6除了支持iscsi磁盤，另外還可以直接支持多路徑設(shè)備、FcoE SAN磁盤、固件RAID等如圖4。一般來說，F(xiàn)CoE能很好地將光纖通道遷移到以太網(wǎng)中，而且不破壞現(xiàn)有的FC環(huán)境和技能清單。而iSCSI利用IP頂層協(xié)議TCP，F(xiàn)CoE和iSCSI都不能實現(xiàn)路由功能。ZFCP即光纖通道掛接式 SCSI 磁盤，zFCP 驅(qū)動程序是由它的設(shè)備地址來指定的。但是在 2.6 版本的內(nèi)核映像中，它的驅(qū)動程序是由 0.0.1600 來指定的。

圖4 紅帽企業(yè)級 Linux 6支持iscsi磁盤、多路徑設(shè)備、FcoE SAN磁盤、固件RAID

圖 4 說明如下：

◆基本設(shè)備

直接連接到本地系統(tǒng)的基本存儲設(shè)備，比如硬盤驅(qū)動器和固定驅(qū)動器。

◆固件 RAID

附加到固件 RAID 控制程序的存儲設(shè)備。

◆多路徑設(shè)備

可通過一個以上的路徑訪問存儲設(shè)備，比如通過多 SCSI 控制程序或者同一系統(tǒng)中的光纖端口。

◆其它 SAN 設(shè)備

存儲區(qū)域網(wǎng)絡(luò)（SAN）中的其它可用設(shè)備。

◆搜索標(biāo)簽

它可允許您使用通用識別符（WWID）或者使用它們可訪問的端口、目標(biāo)或者邏輯單位數(shù)（LUN）過濾存儲設(shè)備。該標(biāo)簽包含一個下拉菜單，其中包含根據(jù)端口、目標(biāo)、WWID 或者 LUN 進行搜索的選項（使用對應(yīng)文本復(fù)選框?qū)?yīng)這些值）以及根據(jù) WWID 的搜索（使用對應(yīng)文本復(fù)選框?qū)?yīng)這個值）每個標(biāo)簽顯示 anaconda 探測到的一組設(shè)備列表，包含幫助您識別該設(shè)備的有關(guān)信息。欄標(biāo)題的右側(cè)有一個帶圖標(biāo)的小下拉菜單。這個菜單可讓您選擇每個設(shè)備顯示的數(shù)據(jù)類型。#p#

紅帽企業(yè)級 Linux 6的用戶安全

紅帽企業(yè)級 Linux 6主要針對的是企業(yè)用戶安全是關(guān)注的重點，紅帽企業(yè)級 Linux 6從安裝支持塊設(shè)備加密，如圖5 。

圖5 對分區(qū)文件系統(tǒng)加密

塊設(shè)備加密通過加密保護塊設(shè)備中的數(shù)據(jù)。要訪問設(shè)備中加密的內(nèi)容，用戶必須提供密碼短語或者密鑰供驗證。這可提供現(xiàn)有操作系統(tǒng)安全性機制以外的安全性，這樣可在從系統(tǒng)中物理刪除該設(shè)備時仍可保護其內(nèi)容。

塊設(shè)備加密會有符號顯示如圖 6。

圖6塊設(shè)備加密會有符號顯示#p#

當(dāng)然還可以在安裝過程對引導(dǎo)配置GRUB進行加密。在紅帽企業(yè)6 發(fā)行注記中我們看到：包含了超過2000個包，相對之前的版本而言增加了85%的代碼量，一共增添了1800個新特性，解決了14000多個bug。這一點可以在軟件定制界面可以看到如圖7 。

圖7 關(guān)鍵的企業(yè)應(yīng)用組件

紅帽企業(yè)級 Linux 6的關(guān)鍵應(yīng)用組件

除了和以前版本都具有的常規(guī)組件外，還包括一些關(guān)鍵的企業(yè)應(yīng)用組件：

◆高可用性附加組件

紅帽高可用性附加組件在集群內(nèi)的節(jié)點間按需提供了故障切換服務(wù)，保證了應(yīng)用 的高可用性。高可用性附加組件支持多達 16 個節(jié)點，而且可以針對大多數(shù)采用可 定制代理的應(yīng)用以及虛擬客戶機而配置。高可用性 附加組件還包括對一些現(xiàn)成應(yīng)用的故障切換支持， 例如 Apache、MySQL 和 PostgreSQL。 在使用高可用性附加組件時，高度可用的服務(wù)可以 在出現(xiàn)故障時從一個節(jié)點切換到另一個節(jié)點，而不 會對集群內(nèi)的客戶機產(chǎn)生明顯的中斷。當(dāng)一個集群節(jié)點接管另一個集群節(jié)點的服 務(wù)控制權(quán)時，高可用性附加組件還保證了數(shù)據(jù)的完整性。它采用叫做通過“隔離” 的方法防止數(shù)據(jù)損壞，通過將節(jié)點從被認為出現(xiàn)故障的集群中脫離出來而實現(xiàn)這 一點。

◆高彈性存儲附加組件

紅帽高彈性存儲附加組件允許共享存儲或集群文件系統(tǒng)訪問一個網(wǎng)絡(luò)上的相同存儲設(shè) 備。通過在一個服務(wù)器集群中提供一致的存儲，紅帽高彈性存儲附加組件創(chuàng)建了一個數(shù) 據(jù)池，可供群組內(nèi)的每臺服務(wù)器使用，但如果任何 一臺服務(wù)器出現(xiàn)故障，該數(shù)據(jù)池也可受到保護。 高彈性存儲附加組件提供了多項文件系統(tǒng)能力，可 在系統(tǒng)故障時實現(xiàn)更高的彈性。此附加組件包含支 持并行接入的全局文件系統(tǒng) 2 (GFS2)；一個 UNIX 的便攜操作系統(tǒng)接口(POSIX) 兼容的文件系統(tǒng)(跨 16 個節(jié)點)；以及集群 Samba( 集群 方式的通用互聯(lián)網(wǎng)文件系統(tǒng))或 CIFS( 用于 Microsoft Windows 環(huán)境中的并行文件共享)。 在使用高彈性存儲附加組件時，集群中的所有節(jié)點都可以看見集群中所有文件的一個統(tǒng) 一版本。集群中的每臺服務(wù)器可以通過本地存儲區(qū)域網(wǎng)絡(luò) (SAN) 直接訪問共享的塊設(shè) 備上高達 100TB 的數(shù)據(jù)。數(shù)據(jù)和緩存的一致性通過采用整個集群的鎖定機制而得到保證， 該機制叫做分布式鎖定管理器 (DLM) ，其作用是確定對存儲的訪問權(quán)限。因此，集群 中的每個成員可以直接訪問同一個存儲設(shè)備，而且所有集群節(jié)點可以訪問同一組文件。

◆網(wǎng)絡(luò)負載平衡器附加組件

紅帽的網(wǎng)絡(luò)負載平衡器附加組件為 Web 服務(wù)、數(shù)據(jù)庫、網(wǎng)絡(luò)和存儲提供了冗余。通過創(chuàng) 建一個可定向到實際服務(wù)器的虛擬地址而進行負載平衡或者流量整型，紅帽網(wǎng)絡(luò)負載平 衡器附加組件允許您使用基于瀏覽器的圖形用戶界 面 (GUI) 而快速地添加或移除服務(wù)器，或者更改平 衡算法。 網(wǎng)絡(luò)負載平衡器附加組件提供了獨立于應(yīng)用的，對 傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報協(xié)議 (UDP) 負 載平衡的支持。它包含兩個主要組件：Linux 虛擬服務(wù)器 (LVS) 和 Piranha 配置工具 (一 種基于 GUI 的管理工具)。網(wǎng)絡(luò)負載平衡器附加組件可以采用主備模式在兩個節(jié)點間配 置，以提供冗余的流量管理服務(wù)。

◆可擴展的文件系統(tǒng)附加組件

紅帽可擴展的文件系統(tǒng)附加組件支持容量為 16TB 到 100TB 之間的文件系統(tǒng)。您可以使 用多種先進的特性，例如 64 位日志和高級鎖定算法，來管理這些大型數(shù)據(jù)存儲。 可擴展的文件系統(tǒng)附加組件采用 XFS® 文件系統(tǒng)， 還可以在單個主機上支持極大的文件和文件系統(tǒng)， 而且在運行多現(xiàn)場并行 I/O 工作負荷的小系統(tǒng)上也 可以良好地運行。

◆高性能網(wǎng)絡(luò)附加組件

紅帽的高性能網(wǎng)絡(luò)附加組件適用于當(dāng)?shù)途W(wǎng)絡(luò)延時和高容量比較重要的情況。它通過融合 的以太網(wǎng) (ROCE) 提供了遠程直接內(nèi)存訪問能力。由于 RoCE 旁路系統(tǒng)和內(nèi)核調(diào)用，將 數(shù)據(jù)直接放置于 CPU 開銷較低的遠程系統(tǒng)內(nèi)存中，因此，高性能網(wǎng)絡(luò)附加組件對于高 速數(shù)據(jù)處理應(yīng)用、加快集群鎖定或者在不投資專用 網(wǎng)絡(luò)技術(shù)的情況下擴展分布式系統(tǒng)是理想產(chǎn)品。 高性能網(wǎng)絡(luò)附加組件將系統(tǒng)和內(nèi)核調(diào)用旁路到 TCP (iWARP) 或 Infi niband( 傳統(tǒng) RdMA)，并將數(shù)據(jù)直 接放置在 CPU 開銷較低的遠程系統(tǒng)內(nèi)存中?？蛻艨?以利用融合的以太網(wǎng)設(shè)計方法整合數(shù)據(jù)和存儲網(wǎng)絡(luò)， 同時減少客戶的布線基礎(chǔ)設(shè)施、端口數(shù)量并降低相關(guān)的成本。

另外在軟件配置界面可以看到相比上個版本紅帽企業(yè)版5更多的軟件包如圖8 。

圖8軟件配置界面

選擇服務(wù)和軟件的時候可以選擇桌面的。要不然就進不了Gnome桌面和KDE桌面環(huán)境。另外要說明是紅帽企業(yè)級 Linux 6相比上個版本紅帽企業(yè)版5不需要安裝序列號。下面開始安裝時間從10-30 分鐘不等。如果前面選擇了“對塊設(shè)備加密” 那么每次登陸系統(tǒng)過程中要輸入密碼才可以正常啟動如圖9。

圖9 每次登陸系統(tǒng)過程中要輸入密碼才可以正常啟動

圖9 中的LUKS它為數(shù)據(jù)建立了一個非磁盤格式以及密碼短語/密鑰管理策略。LUKS 通過 dm-crypt 模塊使用內(nèi)核設(shè)備映射器子系統(tǒng)。這個協(xié)議提供處理設(shè)備數(shù)據(jù)加密和解密底層映射。用戶級別操作，比如生成和訪問加密的設(shè)備，是通過使用 cryptsetup 程序完成的。

LUKS加密整個塊設(shè)備，LUKS因此非常適合保護移動設(shè)備的內(nèi)容，比如：可移動存儲介質(zhì)、筆記本磁盤驅(qū)動器。加密塊設(shè)備的基本內(nèi)容是隨機的。這可使其用于加密swap設(shè)備。這還對使用特殊格式塊設(shè)備進行數(shù)據(jù)存儲的某些數(shù)據(jù)庫有用。LUKS提供密碼短語增強。這可以防止字典攻擊。LUKS不適用于需要很多（超過8個）用戶對同一設(shè)備有不同訪問密鑰的程序。LUKS不適用于需要文件級別加密的程序。有關(guān) LUKS 詳情可參考其項目網(wǎng)站，地址為：http://code.google.com/p/cryptsetup/。

另外安裝過程的結(jié)尾階段在“驗證配置”方面提供企業(yè)級的方式包括：本地（etc/password），LDAP ，NIS， Winbind多種方式。如圖10。

圖10 用戶身份驗證方法#p#

紅帽企業(yè)級 Linux 6的網(wǎng)絡(luò)登錄

相信在主流Linux 發(fā)行版本中是比較全面的 ，用戶可以根據(jù) 自己對安全 的需要選擇。對于安全性要求較高的用戶可以進行Hesiod或者LDAP的網(wǎng)絡(luò)登錄。

◆啟用NIS支持：選擇該選項來把系統(tǒng)配置成連接 NIS 服務(wù)器來驗證用戶和口令的 NIS 客戶。點擊配置NIS按鈕來指定 NIS 域和 NIS 服務(wù)器。如果 NIS 服務(wù)器沒有被指定，守護進程會試圖通過廣播來尋找它。你必須安裝了 ypbind 軟件包才能使這個選項奏效。如果啟用了 NIS 支持，portmap 和 ypbind 服務(wù)會被啟動，它們也會在引導(dǎo)時被啟用。

◆啟用LDAP支持：選擇這個選項來配置系統(tǒng)來通過 LDAP 檢索用戶信息。點擊“配置 LDAP”按鈕來指定“LDAP 搜索基準(zhǔn) DN”和“LDAP 服務(wù)器”。如果“使用 TLS 來加密連接”被選擇，傳輸層安全就會被用來加密發(fā)送給 LDAP 服務(wù)器的口令。你必須安裝 openldap-clients 軟件包才能使這個選項奏效。

◆啟用Winbind支持：選擇這個選項使系統(tǒng)可以連接到Windows Active Directory或者Windows domain controller。

密碼散列算法如圖10 。

圖11 密碼散列算法

可選的密碼散列算法包括：

MD5（Message Digest Algorithm 5）：是RSA數(shù)據(jù)安全公司開發(fā)的一種單向散列算法，MD5被廣泛使用，可以用來把不同長度的數(shù)據(jù)塊進行暗碼運算成一個128位的數(shù)值；

SHA安全散列算法（Secure Hash Algorithm）：能計算出一個數(shù)字訊息所對應(yīng)到的，長度固定的字符串（又稱訊息摘要）。且若輸入的訊息不同，它們對應(yīng)到不同字符串的機率很高；而SHA是FIPS所認證的五種安全雜湊算法。SHA家族的五個算法，分別是SHA-1、SHA-224、SHA-256、SHA-384，和SHA-512，由美國國家安全局（NSA）所設(shè)計，并由美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布；是美國的政府標(biāo)準(zhǔn)。后四者有時并稱為SHA-2。SHA-1在許多安全協(xié)議中廣為使用，包括TLS和SSL、PGP、SSH、S/MIME和IPsec，被視為是MD5（更早之前被廣為使用的雜湊函數(shù)）的后繼者。

DESCRYPT：由美國政府和IBM研制。所有的Linux版本和幾乎所有的Unix系統(tǒng)都支持DES.DES實際上為一個加密算法，但是crypt(3）將之做為散列算法。普通的DES算法容許的原始口令長度為8個字符，多余的口令也接受，但是多余部分會被系統(tǒng)自動摒棄。但有些系統(tǒng)（例如HP-UX)使用DES的多次迭代來解決此問題,這樣就可以使用任意長度的密碼。但是使用DES加密后的口令為13個字符長。

BIGCRYPT：BitCrypt是一個情報機構(gòu)以及像優(yōu)雅的偽裝加密。該計劃允許用戶以加密存儲任何一種形式，在用戶指定的圖像隱藏的文本信息。該文本是加密算法的加密一個最強的，以加強安全級別。

在驗證界面同樣有多種選擇包括智能卡登錄。另外安裝的最后過程系統(tǒng)會極力推薦您建立紅帽的登錄帳號服務(wù)。最后是登錄界面如圖12 。

圖12 紅帽企業(yè)6登錄界面

這里可以首次看到智能卡認證，智能卡認證是利用電腦上的 usb 接口，將智能卡插入通過驗證智能卡內(nèi)的用戶證書來登錄Linux的一整套過程，當(dāng)系統(tǒng)啟動后，提示用戶插入智能卡，如果不插入智能卡，或者插入的智能卡不是保護當(dāng)前用戶的，都會被提示說請插入有效的智能卡，當(dāng)用戶將正確的智能卡插入 電腦的 usb 接口后，系統(tǒng)會開始自動驗證，并提示用戶輸入智能卡的密碼，如果輸入的智能卡密鑰有誤的話，用戶也無法登錄，這樣做的優(yōu)點是，第一，用戶要插入有效的智能 卡才能登錄，第二，用戶還要輸入智能卡的密碼，此密碼只有用戶自己知道，這樣就確保了當(dāng)用戶的智能卡丟失或者被復(fù)制后，其他人想利用智能卡登錄時還要輸入 智能卡登錄系統(tǒng)的密碼，這樣對系統(tǒng)起到了雙層保護。

本文續(xù)篇：紅帽RHEL 6中的管理新工具

【編輯推薦】

1. RHEL 6五大新特性 效率提升明顯
2. RHEL 6初體驗：桌面性能出色 省電效率明顯
3. RHEL 6教程：使用本地光盤做yum源
4. 紅帽企業(yè)級Linux RHEL 6發(fā)布 新增1800個新特性
5. 紅帽RHEL 6內(nèi)核優(yōu)化方面改進概覽