带你体验红帽RHEL 6中的管理新工具

原创
系统 Linux
红帽企业级Linux 6将目标主要放在了数据中心上,在企业级特性,尤其是安全、虚拟化方面下了很大的功夫。安全方面,RHEL 6和之前的5.4一样,具备了eCryptfs加密的支持,此外在防火墙配置工具、SELinux方面也进行了改善。网络工具和虚拟化工具也增加了不少功能。

【51CTO独家特稿】曹江华老师在上周跟我们分享了红帽企业级Linux 6在安装过程中的一些新亮点,接下来我们再看看整个系统的一些特性改善的情况。红帽企业级Linux 6(为了方便,以下以RHEL 6简称)将目标主要放在了数据中心上,在企业级特性,尤其是安全、虚拟化方面下了很大的功夫。

51CTO推荐专题:Ubuntu 11.04——敏捷的独角鲸

作者简介:曹江华,1999年开始从事构建网络、管理维护、数据库管理工作。1999年后开始接触LINUX,将工作中的经验总结后已出版《Linux服务器安全策略详解》,《Linux服务器安全策略详解》(第二版),《Red Hat Enterprise Linux 5.0服务器构建与故障排除》,《Linux系统最佳实践工具:命令行技术》四本堪称Linux系统管理员日常工具书的热销图书,目前关注开放系统和网络安全。

一 、安全管理方面

1 eCryptfs 加密

RHEL 5.4就开始支持 eCryptfs 加密。eCryptfs 是在 Linux 内核 2.6.19 版本中引入的一个功能强大的企业级加密文件系统,堆叠在其它文件系统之上(如 Ext2, Ext3, Ext,4 ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全的加密功能。本质上,eCryptfs 就像是一个内核版本的 Pretty Good Privacy(PGP)服务,插在 VFS(虚拟文件系统层)和 下层物理文件系统之间,充当一个“过滤器”的角色。用户应用程序对加密文件的写请求,经系统调用层到达 VFS 层,VFS 转给 eCryptfs 文件系统组件(后面会介绍)处理,处理完毕后,再转给下层物理文件系统;读请求(包括打开文件)流程则相反。eCryptfs 需要相应的内核模块和用户态的工具同时配合使用。用户态的工具可以从https://launchpad.net/ecryptfs 获得。

#mount -t ecryptfs real_path ecryptfs_mounted_path

推荐ecryptfs_mounted_path 和 真实目录 real_path 一致,这样非授权用户不能通过原路径访问加密文件。图1是挂载界面。

RHEL 6挂载界面
图1 挂载界面

不过RHEL 6没有提供一个 eCryptfs 加密图形化前端多少是个遗憾。

2 防火墙配置工具

虽然创建一个防火墙并不能保证系统100%安全,但却是绝对必要的。Linux 使用包过滤防火墙IPtables。RHEL 6 的防火墙配置工具相比之前版本已经有了很多改变。

RHEL 6 的防火墙配置工具
图2 RHEL 6 的防火墙配置工具

防火墙的服务设置更加细度化
图3 防火墙的服务设置更加细度化

笔者感觉RHEL 6 的防火墙配置工具和Firestater 相比不相上下,但是比之另外一个专业工具Firewall Builder(http://www.fwbuilder.com/ )功能上还有不足之处。

#p#

3 SElinux配置

RHEL 6 的SElinux策略生成工具非常实用,它可以生成:类型强制文件(te)、接口文件(if)、文件上下文(fc)、shell脚本(sh)-用来编译和安装策略。

RHEL 6 的SElinux策略生成工具
图4 RHEL 6 的SElinux策略生成工具

另外RHEL 6 的SElinux维护工具进行了汉化,这样操作更加方便。

RHEL 6 的SElinux维护工具进行了汉化
图5 RHEL 6 的SElinux维护工具进行了汉化

其他方面,SELinux 添加了对 Linux 内核的强制访问控制(MAC),并在RHEL 6 中默认启用。MAC 构架的一般目的需要对系统中的所有进程和文件执行强制管理设置安全性策略,根据包含各种与安全性相关信息的标签做决定。 通常,SELinux 用来定义和控制应用程序如何与系统互动。RHEL 6 中的 SELinux 引进了一组策略,可允许系统管理员控制什么特定用户可访问系统。

RHEL 6 中的 SELinux 还使用了新的安全性沙箱特性。安全性沙箱添加了一组可让系统管理员在严格限制的 SELinux 域中运行任意程序的 SELinux 策略。使用沙箱,系统管理员可在不损害系统的情况下测试包含不可信内容的进程。 X 窗口系统(通常指 "X")为在RHEL 6 中显示图形用户界面(GUI)提供基本框架。这个发行本使用新的 X 访问控制扩展(XACE),它可允许 SELinux 访问在 X 中所做的决定,特别是它可控制窗口对象间的信息流。

4系统安全性服务守护进程(SSSD)

系统安全性服务守护进程(SSSD)是RHEL 6 中的新功能,它采用一组进行识别和验证的集中管理服务。集中的识别和验证服务启用本地识别缓存,允许用户在到服务器的连接被中断时仍可进行识别。SSSD 支持很多类型的识别和验证服务,其中包括:红帽目录服务器、活跃目录、OpenLDAP、389、Kerberos 和 LDAP。

#p#

二 网络管理工具

RHEL 6网络管理工具由system-config-network替换为NetworkManager,NetworkManager 是用来设定、配置和管理各种网络连接类型的桌面工具。

NetworkManager
图 6  NetworkManager

在RHEL 6 中,NetworkManager 提供了对移动宽带设备、IPv6 提供改进的支持,并添加对蓝牙个人区域网(PAN)设备连接的支持。

另外,红帽企业版 Linux 中的低级网络部署采用通用接收卸载(GRO)支持。GRO 系统通过减少 CPU 处理的进程数量增加进入网络连接的性能。GRO 采用同样的技术作为大型接收卸载系统,但可用于更广泛的传输层协议。 红帽企业版 Linux 包含对无线联网和设备改进的支持。改进了对使用 IEEE 802.11 组标准进行无线局域联网的支持,添加了使用 802.11n 的无线联网。

三 虚拟化管理工具

RHEL 6  提供了对 AMD64 和 Intel 64 构架中基于内核的虚拟机(KVM)管理程序的全面支持。KVM 是整合在 Linux 内核中,提供利用红帽企业版 Linux 原有的稳定性、特性和硬件支持的虚拟化平台。

RHEL 6  虚拟化管理工具相比上个版本有一定改变,多了一个网络接口界面。

RHEL 6虚拟化管理工具多了一个网络接口界面
图7 RHEL 6虚拟化管理工具多了一个网络接口界面

RHEL 6  虚拟化管理工具相比上个版本存储界面也有改变。

RHEL 6虚拟化管理工具
图8 RHEL 6虚拟化管理工具

#p#

四 、其他实用工具

1 自动 Bug 报告工具

RHEL 6 使用新的自动 Bug 报告工具(ABRT)。ABRT 日志详细记录在本地系统中的软件崩溃,并提供立即在红帽 Bugzilla bug 追踪网页中打开一个 ticket 的界面(可以是图形界面,也可以是命令行界面)。

自动 Bug 报告工具
图 9 自动 Bug 报告工具

2 powertop

RHEL 6 中引进的无空循环内核可允许 CPU 更频繁地进入闲置状态,降低能耗并改进电源管理。新的 PowerTOP 工具可识别具体是哪些内核组件和用户空间程序经常唤醒 CPU。PowerTOP 用于开发识别和调节这个发行本中很多应用程序,将不必要 CPU 唤醒减少了 10 倍。

PowerTOP工作界面
图10 PowerTOP工作界面

3 LVM改进

LVM 快照特性提供在不造成服务中断的情况下,在特定时刻生成逻辑卷备份映像的功能。当在提取快照后更改原始设备时,快照功能会生成更改数据区域未改动前的的副本以便重建该设备状态。RHEL 6 引进了提取镜像逻辑卷的能力。 RHEL 6 引进了将逻辑卷快照合并到原始逻辑卷中的功能。这可让系统管理员通过合并快照保留的点来恢复在逻辑卷中所做的任意修改。 RHEL 6 中的 LVM 支持生成最多可有四个镜像的逻辑卷。 LVM 维护一个小日志(在独立设备中),可使用该日志追踪与一个或者多个镜像同步的区域。RHEL 6 提供镜像保存这个日志设备的能力。 RHEL 6 使用新的 LVM 应用程序库(lvm2app),可允许开发基于存储管理程序的 LVM。 LVM工作界面没有改变。

4 服务管理

保证您的系统安全是件非常重要的事情,而其中首要的就是要谨慎管理系统服务。管理系统服务有多种方法,可以根据服务本身,您的系统设置以及您的Linux水平来选择合适的管理方法。在服务配置工具下,要立即启动,停止或重启某个服务,请在列表中选择服务然后在工具栏上点对应的按钮(或者从服务下拉菜单中选择操作)。如果是xinetd的服务,操作按钮会被禁用,因为这些服务无法单独启动或停止。注意当保存xinetd服务后,xinetd重新加载,更改会立即生效。而保存其它服务时,只是重新设置了运行级别,更改并不会立即生效。可以在列表内选择服务然后点工具栏上的启用, 禁用或(在默认运行级别外启用SysV服务)自定义按钮之一来启用服务。也可以从服务菜单中选等效操作来启用。对于SysV服务而言,虽然更改了它的运行级别,但系统当前运行级别没有变化,因此更改不会立即生效。RHEL 6服务管理界面和上个版本略有改进设置更加细度化。

RHEL 6服务管理界面和上个版本略有改进设置更加细度化
图11 RHEL 6服务管理界面和上个版本略有改进设置更加细度化

5 ISNS支持

iSCSI(互联网小型计算机系统接口)是非常灵活且有用的,但是现在在企业中一个很让人头疼的问题就是如何管理iSCSI设备。iSNS协议(或称iSNSP)定义了iSNS客户端和服务器的通信方式。这也是可能会引起疑惑的地方。所有的iSCSI"客户端"(发起端)和"服务器"(目标端)实际上都是iSNS的客户端。即使是存储设备,在同iSNS服务器通信的时候,也都是客户端。iSNS协议提供了四个基本功能,可以简化并升级你的iSCSI架构管理。iSNS可以将iSCSI设备映射到代理全局名称(WWN),后者可以被iSCSI-FC网关所使用。因此,iSNS是这两种存储网络实现整合的"粘合剂"。市面上的iSNS服务器不多。微软的iSNS Server 3.0产品可以免费下载。RHEL 6开始内置一个客户端,Linux也有一个iSNS服务器,但是大部分版本上没有这个功能。你必须自己下载源代码,然后进行编译。只不过界面没有SUSE 友好和易用。

6 Linux急救包Firstaidkit

Firstaidkit是一个自动化的恢复工具,它汇集了常见的复苏进程,并将它们应用到系统中。它基本上是一个插件 系统 ,其中每个插件rpmdatabase负责保证救援过程。 Firstaidkit的方式处理回收过程是通过插件方式。 这样可以让一个插件将集中于一个系统中,如grub、init脚本或Xserver的具体问题。 Firstaidkit设计为自动修复的问题的同时保持用户数据的完整性为重点。 换句话说,Firstaidkit将尽力解决您的系统,同时给你的可能性,恢复变更。firstaidkit执行以自动方式简单和常见的恢复任务。长期以来,人们都要求基于任务的方法来拯救他们的系统。 救援模式也是一个不错的选择,我们可以通过简单的自动化进行。共同恢复任务包括:

  1. dmraid的重建和恢复
  2. 重新安装引导程序
  3. 重新创建的initrd
  4. 重新安装一些软件包

实施这些作为单独的工作,而不是完全依赖anaconda的方式去做。然后我们可以一起配合以相对简单的“修复系统”菜单。

Firstaidkit工作界面
图12 Firstaidkit工作界面

#p#

五 不足之处

红帽提供 PackageKit 来浏览、管理、更新、安装和取消安装与您的系统兼容的软件包和软件包组群,并在 Yum 库中启用。PackageKit 由一些可使用 GNOME 控制面板菜单或者从通知区域打开的图形界面组成,PackageKit 会提醒您有可用的更新。另外,PackageKit 允许快速库启用和禁用,图形和可搜索的事务日志以及PolicyKit 整合。安装了RHEL 6后我发现,系统里面没自带的.repo文件了,所以做本地源比较麻烦。不过也有解决办法:

看看RHEL6的镜像盘的文件结构——Packages文件夹下有YUM源所需要的所有rpm包,而Server文件夹下只有Packages的链接,所以我们首先要将Server文件夹(不要复制Package链接文件,没有意义,要用真实的Packages文件来替换)复制到/mnt文件夹下作为本地的yum source。

利用vim /etc/yum.repos.d/local.repo  建立一个.repo的应答文件,内容如下:

[local]
name=local
baseurl=file:///mnt/Server
enabled=1
gpgcheck=0 

然后:wq保存退出,执行下面三道命令:

yum clean all
yum list
yum grouplist

这样就可以用自己的yum源进行软件包安装和更新了。

六、总结

为了能使大家有一个全面、客观的认识,笔者从多个角度为RHEL 6打一个分值,供大家参考。笔者在此考量的是企业级应用 ,对于桌面/浏览器/办公软件方面笔者没有涉及。

安装:87分。安装程序安全性能比较高。

硬件支持:85分。亮点是支持硬件较新\较全,另外一些集成网卡、 显卡也可以自动安装驱动。但是不支持安腾处理器。

中文支持:86分。许多程序进行了汉化

企业级应用:85分。基本上所有局域网服务器都可以配置 ,特别是虚拟化、存储方面领先其他版本。

系统功能:90分。虽然新增的许多功能还有许多不尽如人意的地方,但无意是RHEL 61历史上最多的。

开机启动速度:80分。比较慢。

总分:85分。

【编辑推荐】

  1. 带你走进红帽企业级 Linux 6体验之旅(安装篇)
  2. 红帽企业级Linux RHEL 6:数据中心的下一个霸主
  3. RHEL 6五大新特性 效率提升明显
  4. RHEL 6教程:使用本地光盘做yum源
责任编辑:yangsai 来源: 51CTO.com
相关推荐

2010-11-24 09:35:56

2009-10-13 22:04:51

2010-08-13 09:30:45

RHEL 6

2012-02-01 14:35:04

红帽RHEL5RHEL 6

2010-04-28 09:15:53

红帽RHEL 6 Be

2011-09-15 09:10:13

RHEL 6SAP

2011-01-20 08:47:26

RHEL 6

2010-12-15 10:33:16

RHEL 6无人值守

2009-09-03 14:12:03

红帽RHELIPv6

2012-05-16 18:09:31

Google

2012-07-10 10:08:32

红帽RHEL 7

2010-11-16 17:40:52

RHEL 6

2011-10-26 09:06:54

Windows管理工具

2010-05-11 09:23:34

RHEL 6 Beta

2019-12-09 08:00:00

GraphQLAPI架构

2011-12-01 19:57:57

iOS

2013-12-12 11:22:42

红帽RHEL 7Linux

2012-08-01 16:41:31

红帽RHELOpenShift

2010-11-11 09:40:26

RHEL 6红帽企业级Linux

2009-09-03 15:39:15

红帽集成虚拟化RHEL Linux
点赞
收藏

51CTO技术栈公众号