【51CTO獨(dú)家特稿】曹江華老師在上周跟我們分享了紅帽企業(yè)級(jí)Linux 6在安裝過程中的一些新亮點(diǎn)，接下來我們?cè)倏纯凑麄€(gè)系統(tǒng)的一些特性改善的情況。紅帽企業(yè)級(jí)Linux 6（為了方便，以下以RHEL 6簡(jiǎn)稱）將目標(biāo)主要放在了數(shù)據(jù)中心上，在企業(yè)級(jí)特性，尤其是安全、虛擬化方面下了很大的功夫。

51CTO推薦專題：Ubuntu 11.04——敏捷的獨(dú)角鯨

作者簡(jiǎn)介：曹江華，1999年開始從事構(gòu)建網(wǎng)絡(luò)、管理維護(hù)、數(shù)據(jù)庫管理工作。1999年后開始接觸LINUX，將工作中的經(jīng)驗(yàn)總結(jié)后已出版《Linux服務(wù)器安全策略詳解》，《Linux服務(wù)器安全策略詳解》（第二版），《Red Hat Enterprise Linux 5.0服務(wù)器構(gòu)建與故障排除》，《Linux系統(tǒng)最佳實(shí)踐工具：命令行技術(shù)》四本堪稱Linux系統(tǒng)管理員日常工具書的熱銷圖書，目前關(guān)注開放系統(tǒng)和網(wǎng)絡(luò)安全。

一 、安全管理方面

1 eCryptfs 加密

RHEL 5.4就開始支持 eCryptfs 加密。eCryptfs 是在 Linux 內(nèi)核 2.6.19 版本中引入的一個(gè)功能強(qiáng)大的企業(yè)級(jí)加密文件系統(tǒng)，堆疊在其它文件系統(tǒng)之上（如 Ext2, Ext3, Ext，4 ReiserFS, JFS 等），為應(yīng)用程序提供透明、動(dòng)態(tài)、高效和安全的加密功能。本質(zhì)上，eCryptfs 就像是一個(gè)內(nèi)核版本的 Pretty Good Privacy（PGP）服務(wù)，插在 VFS（虛擬文件系統(tǒng)層）和 下層物理文件系統(tǒng)之間，充當(dāng)一個(gè)“過濾器”的角色。用戶應(yīng)用程序?qū)用芪募膶懻?qǐng)求，經(jīng)系統(tǒng)調(diào)用層到達(dá) VFS 層，VFS 轉(zhuǎn)給 eCryptfs 文件系統(tǒng)組件（后面會(huì)介紹）處理，處理完畢后，再轉(zhuǎn)給下層物理文件系統(tǒng)；讀請(qǐng)求（包括打開文件）流程則相反。eCryptfs 需要相應(yīng)的內(nèi)核模塊和用戶態(tài)的工具同時(shí)配合使用。用戶態(tài)的工具可以從https://launchpad.net/ecryptfs 獲得。

#mount -t ecryptfs real_path ecryptfs_mounted_path

推薦ecryptfs_mounted_path 和 真實(shí)目錄 real_path 一致，這樣非授權(quán)用戶不能通過原路徑訪問加密文件。圖1是掛載界面。

圖1 掛載界面

不過RHEL 6沒有提供一個(gè) eCryptfs 加密圖形化前端多少是個(gè)遺憾。

2 防火墻配置工具

雖然創(chuàng)建一個(gè)防火墻并不能保證系統(tǒng)100％安全，但卻是絕對(duì)必要的。Linux 使用包過濾防火墻IPtables。RHEL 6 的防火墻配置工具相比之前版本已經(jīng)有了很多改變。

圖2 RHEL 6 的防火墻配置工具

圖3 防火墻的服務(wù)設(shè)置更加細(xì)度化

筆者感覺RHEL 6 的防火墻配置工具和Firestater 相比不相上下，但是比之另外一個(gè)專業(yè)工具Firewall Builder（http://www.fwbuilder.com/ ）功能上還有不足之處。

#p#

3 SElinux配置

RHEL 6 的SElinux策略生成工具非常實(shí)用，它可以生成：類型強(qiáng)制文件（te）、接口文件（if）、文件上下文（fc）、shell腳本（sh）-用來編譯和安裝策略。

圖4 RHEL 6 的SElinux策略生成工具

另外RHEL 6 的SElinux維護(hù)工具進(jìn)行了漢化，這樣操作更加方便。

圖5 RHEL 6 的SElinux維護(hù)工具進(jìn)行了漢化

其他方面，SELinux 添加了對(duì) Linux 內(nèi)核的強(qiáng)制訪問控制（MAC），并在RHEL 6 中默認(rèn)啟用。MAC 構(gòu)架的一般目的需要對(duì)系統(tǒng)中的所有進(jìn)程和文件執(zhí)行強(qiáng)制管理設(shè)置安全性策略，根據(jù)包含各種與安全性相關(guān)信息的標(biāo)簽做決定。 通常，SELinux 用來定義和控制應(yīng)用程序如何與系統(tǒng)互動(dòng)。RHEL 6 中的 SELinux 引進(jìn)了一組策略，可允許系統(tǒng)管理員控制什么特定用戶可訪問系統(tǒng)。

RHEL 6 中的 SELinux 還使用了新的安全性沙箱特性。安全性沙箱添加了一組可讓系統(tǒng)管理員在嚴(yán)格限制的 SELinux 域中運(yùn)行任意程序的 SELinux 策略。使用沙箱，系統(tǒng)管理員可在不損害系統(tǒng)的情況下測(cè)試包含不可信內(nèi)容的進(jìn)程。 X 窗口系統(tǒng)（通常指 "X"）為在RHEL 6 中顯示圖形用戶界面（GUI）提供基本框架。這個(gè)發(fā)行本使用新的 X 訪問控制擴(kuò)展（XACE），它可允許 SELinux 訪問在 X 中所做的決定，特別是它可控制窗口對(duì)象間的信息流。

4系統(tǒng)安全性服務(wù)守護(hù)進(jìn)程（SSSD）

系統(tǒng)安全性服務(wù)守護(hù)進(jìn)程（SSSD）是RHEL 6 中的新功能，它采用一組進(jìn)行識(shí)別和驗(yàn)證的集中管理服務(wù)。集中的識(shí)別和驗(yàn)證服務(wù)啟用本地識(shí)別緩存，允許用戶在到服務(wù)器的連接被中斷時(shí)仍可進(jìn)行識(shí)別。SSSD 支持很多類型的識(shí)別和驗(yàn)證服務(wù)，其中包括：紅帽目錄服務(wù)器、活躍目錄、OpenLDAP、389、Kerberos 和 LDAP。

#p#

二 網(wǎng)絡(luò)管理工具

RHEL 6網(wǎng)絡(luò)管理工具由system-config-network替換為NetworkManager，NetworkManager 是用來設(shè)定、配置和管理各種網(wǎng)絡(luò)連接類型的桌面工具。

圖 6  NetworkManager

在RHEL 6 中，NetworkManager 提供了對(duì)移動(dòng)寬帶設(shè)備、IPv6 提供改進(jìn)的支持，并添加對(duì)藍(lán)牙個(gè)人區(qū)域網(wǎng)（PAN）設(shè)備連接的支持。

另外，紅帽企業(yè)版 Linux 中的低級(jí)網(wǎng)絡(luò)部署采用通用接收卸載（GRO）支持。GRO 系統(tǒng)通過減少 CPU 處理的進(jìn)程數(shù)量增加進(jìn)入網(wǎng)絡(luò)連接的性能。GRO 采用同樣的技術(shù)作為大型接收卸載系統(tǒng)，但可用于更廣泛的傳輸層協(xié)議。 紅帽企業(yè)版 Linux 包含對(duì)無線聯(lián)網(wǎng)和設(shè)備改進(jìn)的支持。改進(jìn)了對(duì)使用 IEEE 802.11 組標(biāo)準(zhǔn)進(jìn)行無線局域聯(lián)網(wǎng)的支持，添加了使用 802.11n 的無線聯(lián)網(wǎng)。

三 虛擬化管理工具

RHEL 6  提供了對(duì) AMD64 和 Intel 64 構(gòu)架中基于內(nèi)核的虛擬機(jī)（KVM）管理程序的全面支持。KVM 是整合在 Linux 內(nèi)核中，提供利用紅帽企業(yè)版 Linux 原有的穩(wěn)定性、特性和硬件支持的虛擬化平臺(tái)。

RHEL 6  虛擬化管理工具相比上個(gè)版本有一定改變，多了一個(gè)網(wǎng)絡(luò)接口界面。

圖7 RHEL 6虛擬化管理工具多了一個(gè)網(wǎng)絡(luò)接口界面

RHEL 6  虛擬化管理工具相比上個(gè)版本存儲(chǔ)界面也有改變。

圖8 RHEL 6虛擬化管理工具

#p#

四 、其他實(shí)用工具

1 自動(dòng) Bug 報(bào)告工具

RHEL 6 使用新的自動(dòng) Bug 報(bào)告工具（ABRT）。ABRT 日志詳細(xì)記錄在本地系統(tǒng)中的軟件崩潰，并提供立即在紅帽 Bugzilla bug 追蹤網(wǎng)頁中打開一個(gè) ticket 的界面（可以是圖形界面，也可以是命令行界面）。

圖 9 自動(dòng) Bug 報(bào)告工具

2 powertop

RHEL 6 中引進(jìn)的無空循環(huán)內(nèi)核可允許 CPU 更頻繁地進(jìn)入閑置狀態(tài)，降低能耗并改進(jìn)電源管理。新的 PowerTOP 工具可識(shí)別具體是哪些內(nèi)核組件和用戶空間程序經(jīng)常喚醒 CPU。PowerTOP 用于開發(fā)識(shí)別和調(diào)節(jié)這個(gè)發(fā)行本中很多應(yīng)用程序，將不必要 CPU 喚醒減少了 10 倍。

圖10 PowerTOP工作界面

3 LVM改進(jìn)

LVM 快照特性提供在不造成服務(wù)中斷的情況下，在特定時(shí)刻生成邏輯卷備份映像的功能。當(dāng)在提取快照后更改原始設(shè)備時(shí)，快照功能會(huì)生成更改數(shù)據(jù)區(qū)域未改動(dòng)前的的副本以便重建該設(shè)備狀態(tài)。RHEL 6 引進(jìn)了提取鏡像邏輯卷的能力。 RHEL 6 引進(jìn)了將邏輯卷快照合并到原始邏輯卷中的功能。這可讓系統(tǒng)管理員通過合并快照保留的點(diǎn)來恢復(fù)在邏輯卷中所做的任意修改。 RHEL 6 中的 LVM 支持生成最多可有四個(gè)鏡像的邏輯卷。 LVM 維護(hù)一個(gè)小日志（在獨(dú)立設(shè)備中），可使用該日志追蹤與一個(gè)或者多個(gè)鏡像同步的區(qū)域。RHEL 6 提供鏡像保存這個(gè)日志設(shè)備的能力。 RHEL 6 使用新的 LVM 應(yīng)用程序庫（lvm2app），可允許開發(fā)基于存儲(chǔ)管理程序的 LVM。 LVM工作界面沒有改變。

4 服務(wù)管理

保證您的系統(tǒng)安全是件非常重要的事情，而其中首要的就是要謹(jǐn)慎管理系統(tǒng)服務(wù)。管理系統(tǒng)服務(wù)有多種方法，可以根據(jù)服務(wù)本身，您的系統(tǒng)設(shè)置以及您的Linux水平來選擇合適的管理方法。在服務(wù)配置工具下，要立即啟動(dòng)，停止或重啟某個(gè)服務(wù)，請(qǐng)?jiān)诹斜碇羞x擇服務(wù)然后在工具欄上點(diǎn)對(duì)應(yīng)的按鈕(或者從服務(wù)下拉菜單中選擇操作)。如果是xinetd的服務(wù)，操作按鈕會(huì)被禁用，因?yàn)檫@些服務(wù)無法單獨(dú)啟動(dòng)或停止。注意當(dāng)保存xinetd服務(wù)后，xinetd重新加載，更改會(huì)立即生效。而保存其它服務(wù)時(shí)，只是重新設(shè)置了運(yùn)行級(jí)別，更改并不會(huì)立即生效。可以在列表內(nèi)選擇服務(wù)然后點(diǎn)工具欄上的啟用, 禁用或(在默認(rèn)運(yùn)行級(jí)別外啟用SysV服務(wù))自定義按鈕之一來啟用服務(wù)。也可以從服務(wù)菜單中選等效操作來啟用。對(duì)于SysV服務(wù)而言，雖然更改了它的運(yùn)行級(jí)別，但系統(tǒng)當(dāng)前運(yùn)行級(jí)別沒有變化，因此更改不會(huì)立即生效。RHEL 6服務(wù)管理界面和上個(gè)版本略有改進(jìn)設(shè)置更加細(xì)度化。

圖11 RHEL 6服務(wù)管理界面和上個(gè)版本略有改進(jìn)設(shè)置更加細(xì)度化

5 ISNS支持

iSCSI（互聯(lián)網(wǎng)小型計(jì)算機(jī)系統(tǒng)接口）是非常靈活且有用的，但是現(xiàn)在在企業(yè)中一個(gè)很讓人頭疼的問題就是如何管理iSCSI設(shè)備。iSNS協(xié)議（或稱iSNSP）定義了iSNS客戶端和服務(wù)器的通信方式。這也是可能會(huì)引起疑惑的地方。所有的iSCSI"客戶端"（發(fā)起端）和"服務(wù)器"（目標(biāo)端）實(shí)際上都是iSNS的客戶端。即使是存儲(chǔ)設(shè)備，在同iSNS服務(wù)器通信的時(shí)候，也都是客戶端。iSNS協(xié)議提供了四個(gè)基本功能，可以簡(jiǎn)化并升級(jí)你的iSCSI架構(gòu)管理。iSNS可以將iSCSI設(shè)備映射到代理全局名稱（WWN），后者可以被iSCSI-FC網(wǎng)關(guān)所使用。因此，iSNS是這兩種存儲(chǔ)網(wǎng)絡(luò)實(shí)現(xiàn)整合的"粘合劑"。市面上的iSNS服務(wù)器不多。微軟的iSNS Server 3.0產(chǎn)品可以免費(fèi)下載。RHEL 6開始內(nèi)置一個(gè)客戶端，Linux也有一個(gè)iSNS服務(wù)器，但是大部分版本上沒有這個(gè)功能。你必須自己下載源代碼，然后進(jìn)行編譯。只不過界面沒有SUSE 友好和易用。

6 Linux急救包Firstaidkit

Firstaidkit是一個(gè)自動(dòng)化的恢復(fù)工具，它匯集了常見的復(fù)蘇進(jìn)程，并將它們應(yīng)用到系統(tǒng)中。它基本上是一個(gè)插件 系統(tǒng) ，其中每個(gè)插件rpmdatabase負(fù)責(zé)保證救援過程。 Firstaidkit的方式處理回收過程是通過插件方式。 這樣可以讓一個(gè)插件將集中于一個(gè)系統(tǒng)中，如grub、init腳本或Xserver的具體問題。 Firstaidkit設(shè)計(jì)為自動(dòng)修復(fù)的問題的同時(shí)保持用戶數(shù)據(jù)的完整性為重點(diǎn)。 換句話說，F(xiàn)irstaidkit將盡力解決您的系統(tǒng)，同時(shí)給你的可能性，恢復(fù)變更。firstaidkit執(zhí)行以自動(dòng)方式簡(jiǎn)單和常見的恢復(fù)任務(wù)。長(zhǎng)期以來，人們都要求基于任務(wù)的方法來拯救他們的系統(tǒng)。 救援模式也是一個(gè)不錯(cuò)的選擇，我們可以通過簡(jiǎn)單的自動(dòng)化進(jìn)行。共同恢復(fù)任務(wù)包括：

1. dmraid的重建和恢復(fù)
2. 重新安裝引導(dǎo)程序
3. 重新創(chuàng)建的initrd
4. 重新安裝一些軟件包

實(shí)施這些作為單獨(dú)的工作，而不是完全依賴anaconda的方式去做。然后我們可以一起配合以相對(duì)簡(jiǎn)單的“修復(fù)系統(tǒng)”菜單。

圖12 Firstaidkit工作界面

#p#

五 不足之處

紅帽提供 PackageKit 來瀏覽、管理、更新、安裝和取消安裝與您的系統(tǒng)兼容的軟件包和軟件包組群，并在 Yum 庫中啟用。PackageKit 由一些可使用 GNOME 控制面板菜單或者從通知區(qū)域打開的圖形界面組成，PackageKit 會(huì)提醒您有可用的更新。另外，PackageKit 允許快速庫啟用和禁用，圖形和可搜索的事務(wù)日志以及PolicyKit 整合。安裝了RHEL 6后我發(fā)現(xiàn)，系統(tǒng)里面沒自帶的.repo文件了，所以做本地源比較麻煩。不過也有解決辦法：

看看RHEL6的鏡像盤的文件結(jié)構(gòu)——Packages文件夾下有YUM源所需要的所有rpm包，而Server文件夾下只有Packages的鏈接，所以我們首先要將Server文件夾（不要復(fù)制Package鏈接文件，沒有意義，要用真實(shí)的Packages文件來替換）復(fù)制到/mnt文件夾下作為本地的yum source。

利用vim /etc/yum.repos.d/local.repo  建立一個(gè).repo的應(yīng)答文件，內(nèi)容如下：

[local]
name=local
baseurl=file:///mnt/Server
enabled=1
gpgcheck=0 

然后:wq保存退出，執(zhí)行下面三道命令：

yum clean all
yum list
yum grouplist

這樣就可以用自己的yum源進(jìn)行軟件包安裝和更新了。

六、總結(jié)

為了能使大家有一個(gè)全面、客觀的認(rèn)識(shí)，筆者從多個(gè)角度為RHEL 6打一個(gè)分值，供大家參考。筆者在此考量的是企業(yè)級(jí)應(yīng)用 ，對(duì)于桌面/瀏覽器/辦公軟件方面筆者沒有涉及。

安裝：87分。安裝程序安全性能比較高。

硬件支持：85分。亮點(diǎn)是支持硬件較新\較全，另外一些集成網(wǎng)卡、 顯卡也可以自動(dòng)安裝驅(qū)動(dòng)。但是不支持安騰處理器。

中文支持：86分。許多程序進(jìn)行了漢化

企業(yè)級(jí)應(yīng)用：85分?；旧纤芯钟蚓W(wǎng)服務(wù)器都可以配置 ，特別是虛擬化、存儲(chǔ)方面領(lǐng)先其他版本。

系統(tǒng)功能：90分。雖然新增的許多功能還有許多不盡如人意的地方，但無意是RHEL 61歷史上最多的。

開機(jī)啟動(dòng)速度：80分。比較慢。

總分：85分。

【編輯推薦】

1. 帶你走進(jìn)紅帽企業(yè)級(jí) Linux 6體驗(yàn)之旅(安裝篇)
2. 紅帽企業(yè)級(jí)Linux RHEL 6：數(shù)據(jù)中心的下一個(gè)霸主
3. RHEL 6五大新特性 效率提升明顯
4. RHEL 6教程：使用本地光盤做yum源