隨著性能、擴展性、管理性、可靠性、安全性、技術支持和投資回報要求的提高,Novell以其能夠滿足這種需求並超出預期水平而享有卓著聲譽。最新推出的SUSE Linux Enterprise 10大大超出了企業對於世界一流企業級操作系統的期待。與任何新版系統一樣,這個平台的服務器組件SUSE Linux Enterprise Server與其前身相比也增加了功能。該服務器三大新功能顯著提升了其滿足不斷增長需求的超前能力。
AppArmor安全應用程序
存儲架構
服務器虛擬化
◆ 增加安全應用程序
安全性一直是Linux操作系統的優勢之一。不過,有時個別應用程序的漏洞還是留下了安全隱患。SUSE Linux Enterprise全面集成AppArmor安全應用程序框架消除了這種隱患,為每個應用程序專門加了一層重要的安全保護。
AppArmor並不是SUSE Linux Enterprise Server(企業級服務器)的新功能。第9版系統包含開源內核模塊和執行安全管理的組件,並且能夠根據獨立專用組件創建並解釋策略。現在的AppArmor根據GNU通用公共授權完全公開提供,並且緊密集成在SUSE Linux Enterprise框架內。
因此,AppArmor如何保證企業級應用安全成為一個重要問題。這一功能實際采用白名單方法規定允許應用程序執行的動作。這與規定所有不允許應用程序執行的動作的黑名單技術相反。
黑名單在出現您不知道的新漏洞之前具有很好的保護作用,而出現新漏洞之後直到供應商為這些漏洞發布新補丁之前,卻不能為您提供保護。
AppArmor的白名單實際上是一種策略,用以管理應用的文件和目錄訪問,以及應用的POSIX功能。POSIX是IEEE將根特權分成不同組合的標准。換句話說,即使服務器應用需要根特權才能正常運行,與提供未加保護的根特權允許應用運行不同,AppArmor在內核層管理應用的文件訪問和POSIX功能,將應用限定在一組資源和根特權實際范圍之內。
這種管理每種應用訪問的白名單概念已經采用了一段時間。實際上,國家安全局開發了類似的解決方案,稱作“安全增強Linux”。但由於性能的負面影響和實施中的困難,妨礙了這個解決方案的部署。而AppArmor對性能的影響很小,並且由於集成在SUSE Linux Enterprise Server中,因此部署十分方便。
◆ 即開即用保護
SUSE Linux Enterprise Server中包含一組AppArmor為通用操作系統和應用軟件預定義的策略,包括Apache Web服務器、Postfix郵件服務器、Sendmail郵件服務器、OpenSSH、squid、ntpd、nscd等。除Apache外,這些策略即開即用,不必修改。對於Apache,您需要給出提示,如Web頁面中主目錄位置等信息。
點擊YaST管理控制台中的Novell AppArmor圖標,您可以通過四步流程制定AppArmor的應用策略。
◆ 服務器分析器
AppArmor為您確定系統中哪些應用需要配置AppArmor策略提供了相應的工具。在YaST的AppArmor菜單中,點擊AppArmor Reports(報告)圖標,運行Application Audit Report(應用審計報告)。這個自動化程序可掃描服務器中收聽開放式網絡端口,尚未定義AppArmor策略的應用。服務器分析器(Server Analyzer)掃描結束後,將列出可由網絡外部訪問需要定義策略的應用。
◆ 策略模板生成器
啟動分析流程時,點擊AppArmor主菜單的Add Profile Wizard(添加配置向導)圖標。選擇准備分析的應用,AppArmor將對選定的應用進行快速靜態分析,然後生成這個應用程序專用的策略模板。
◆ 學習模式
創建策略模板之後,配置向導自動進入學習模式,大部分策略開發都需要經過這個過程。在此期間,AppArmor框架監控應用的工作狀態,需要訪問的目錄及文件,以及訪問類型。當然,學習模式運行時,您需要在正常運行狀態下使用應用程序。根據應用的復雜程度,這個過程可能需要持續幾小時到幾天不等。
學習期間,應用程序不執行任何策略規則。因此,一定要保證在隔離的環境下運行應用程序,即保證學習良好行為期間,系統不會受到攻擊:
AppArmor在內核層管理應用的文件訪問和POSIX功能,將應用限定在一組資源和根特權實際范圍之內。
◆ 交互式優化器
學習期間,AppArmor創建應用正常及可接受行為相關活動的大型日志。AppArmor中的Interactive Optimizer(交互式優化器)分析所有活動,其方法是由分析向導向您提出一系列問題,以快速確定這個應用程序相應的策略。
例如,學習模式期間,應用可能訪問某個目錄中的某個文件。這時,分析向導將請您在以下選項中進行選擇,確定控制訪問的策略:
Allow:可以訪問這個目錄中指定的文件,允許根據需要運行應用。訪問可以包括也可以不包括讀取、寫入或執行模式。
Deny:不得訪問這個目錄中指定的文件,防止應用程序正常運行。
Glob:這個功能取路徑中最後一項,在這個位置加通配符,表明應用程序可采用規定的訪問模式訪問這個目錄中的所有文件。當您確信應用程序訪問目錄中其他文件不會造成安全問題,並且的確有必要訪問其他文件時,這個功能非常實用。創建這種通配符策略定義可以顯著縮短交互流程,因為交互式優化器可以自動確認,不需要再詢問是否允許訪問這個目錄中的其他文件。點擊兩次“全局”(Glob)按鈕可將全局范圍加倍。這樣,應用程序可以訪問這個目錄及其所有子目錄中的每個文件。
Glob w/Ext:這個功能與Glob相似,只是在路徑最後一項處不放置完整通配符,而是放置帶有擴展名的通配符。例如,您可以規定應用程序可訪問這個目錄中所有帶某種擴展名的文件。
Edit:這個彈出式對話框供您根據需要編輯目錄路徑及文件名。
上述情況下,每當您對應用活動日志中有關操作的問題給出答復後,配置向導便會生成這個活動的策略規則。如果這個規則適用於日志中的其他活動,訪問過程中向導會跳過這些活動。配置向導還可以確認其他應用程序的現有策略是否適用於您當前運行的應用程序。這樣,當出現與現有策略相類似的活動時,向導會詢問您是否對運行的應用程序采用這種策略。AppArmor配置向導的這種智能化功能可通過少量策略提問解決一千種,甚至更多活動相關的問題。
回答完問題之後,配置向導將以加色格式指導您查看編輯策略,需要關注的策略規則用黃色加亮,便於您快速分析策略)。
完成策略創建後(基本文本文件),您可以很方便地將這些策略發布給系統環境下采用同樣應用程序,要求執行同樣策略的其他服務器。同時,AppArmor還包含配置向導的更新功能,便於您輕松地更新現有應用策略,實施系統調整或加入新規則。應用策略生效後,AppArmor保存應用活動違背策略的日志。與配置向導一樣,更新配置向導將分析日志,詢問活動相關的問題,便於您完善現有策略。
◆ 全面提高存儲可靠性、擴展性和可用性
SUSE Linux Enterprise Server新型存儲架構致力於在企業級服務器同樣環境下具有更出色的表現。以更加可靠和可管理的架構支持小型文件系統或數百萬文件高達TB容量的存儲。從Web應用到數據庫,以更加靈活的架構為各種應用提供支持;以更高的可用性(HA)改善集群性能。提高存儲架構擴展能力以並行集群文件系統的方式進行擴展。
上述能力的提升全部基於全面集成的三大存儲架構組件:
HA集群資源管理器
集群卷管理器
集群並行文件系統
◆ HA集群資源管理器
存儲架構的HA集群資源管理器(HA Cluster Resource Manager)就是過去的高可用性故障恢復集群。換句話說,這個集群軟件可以識別發生故障的服務或服務器,並將相應的服務轉移到集群中仍在運行的節點,從而保證服務器或服務的正常運行。HA集群資源管理器的重要組件是集成了新推出的Heartbeat 2。
作為高可用性Linux開源項目,與之前的Heartbeat 1相比,Heartbeat 2顯著提高了集群的擴展能力。與限於兩個節點的集群不同,集群可以增加到六個節點。
Heartbeat 2還新增了高級資源監控功能。這樣,應用軟件供應商可在其應用軟件中加入小型監控代理,以便在應用軟件停止正常運行時通知HA集群資源管理器。這種功能在應用軟件不需要失效,但卻停止運行或不能做出應有響應時非常重要。資源監控代理可以檢測這種故障行為,通知HA集群資源管理器要麼對應用進行重啟,要麼將其切換到集群中的另一服務器上。
Heartbeat 2還與SUSE Linux Enterprise Server中的其他存儲構件緊密集成,彼此可以進行交互。例如,如果HA集群資源管理器恢復故障資源,也可以通過其恢復文件系統故障。如果卷上發生切換,集群卷管理器可以識別這種切換,並反映到整個集群。這種集成的另一個重要作用是使存儲架構具備管理功能。SUSE Linux Enterprise Server采用基於開放式標准的通用信息模型(CIM),顯著提高了存儲架構的管理能力。
應用軟件支持
SUSE Linux Enterprise Server 9環境中運行的,以及通常稱為高級LAMP棧(Linux, Apache, MySQL和PHP/Perl/Python)上運行的現有應用軟件,均可以在SUSE Linux Enterprise Server 10上運行。不能直接調用操作系統支持Java運行環境的Java應用軟件同樣可以在這一系統上運行,本次發布包括這種環境。
不過,調用Linux線程的應用軟件需要做少量修改。在SUSE Linux Enterprise Server 10中,為有利於采用新型本機POSIX線程庫(NPTL),Novell取消了老的Linux線程模型。大部分開發商可能未注意到這種變化,因為SUSE Linux Enterprise Server 9在默認設置下采用NPTL。無論應用軟件采用NPTL還是Linux線程,一般都在設置LD_ASSUME_KERNEL環境變量時確定。這種情況只在應用軟件需要專門編程感知Linux線程時才會成為問題。
應用軟件支持方面,SUSE Linux Enterprise Server現在與桌面對等系統共享通用代碼庫。因此,Novell可為合作伙伴提供一套用於服務器和桌面系統的軟件開發工具包(SDK),可供他們在同一環境下編碼測試兩種平台,簡化開發工作。
重要的是,900多家軟件和硬件供應商承諾共同為這一平台提供支持,從而為SUSE Linux Enterprise Server提供了可靠保障並使其不斷發展。
◆ 集群卷管理器
SUSE Linux Enterprise Server所含的卷管理器與SUSE Linux Enterprise Server 9中的基本相同,包括多磁盤、設備映射器,邏輯卷管理器和邏輯卷管理器2。同時,還包括企業級卷管理系統2,這是一種可擴展的企業級卷管理器,具有插接功能和集群感知能力。新推了出的版本中,企業級卷管理系統2與HA集群資源管理器的Heartbeat 2和集群並行文件系統中的Oracle集群文件系統(OCFS 2)緊密集成。
◆ 集群並行文件系統
SUSE Linux Enterprise Server(企業級服務器)仍包括非並行,但采用集群保護的可靠文件系統ReiserFS v3、XFS和EXT3。而增加集群並行文件系統切實滿足了企業提高企業級文件系統擴展性和可靠性的要求。集群並行文件系統不僅形成集群保護,而且具有集群感知能力,允許多個節點同時訪問相同的卷和相同的數據。
SUSE Linux Enterprise Server在支持合作伙伴Polyserve和IBM解決方案的同時,還包含Oracle的OCFS 2成為頭條新聞。雖然第9版已配置了OCFS 2,但只能由Oracle的Real Application Clusters(真正應用集群,RAC)加以支持。今年1月開始,OCFS 2包含在標准內核中,從而可與整個存儲架構緊密集成,構成數據中心的管理基礎。SUSE Linux Enterprise Server的OCFS 2支持已擴展到對其他應用軟件和數據庫的支持。Linux、Apache、MySQL及Perl和PHP棧均可以在其上運行。OCFS 2集成還是這一版本中Xen虛擬化的重要組件,集群中所有節點可訪問同一虛擬圖像。
◆ 虛擬增加服務器
除SUSE Linux Enterprise Server發布外,最令人興奮的是推出服務器虛擬功能。由劍橋大學主持的基於Xen的開源項目“服務器虛擬化”從根本上消除了服務器應用軟件、服務及文件系統對特定設備的綁定。
新功能
Xen服務器虛擬化、存儲架構高可用性及AppArmor安全應用程序框架是SUSE Linux Enterprise Server 10目前推出的最新功能。不過,Novell最新推出的其他企業級服務器產品也豐富了新的增強功能。
在性能和可靠性方面,新推出的Linux Kernel 2.6.16最多可配置1024個 CPU。其他CPU和調度器改進包括增加了多核/超線程支持,可按執行區劃分多處理器機;機器可按CPU拆分,處理器可與某些CPU關聯;可插拔I/O調度器現在可根據特定的工作量進行優化,預裝的內核補丁支持英特爾今後推出的網絡加速技術。IPMI、電源管理、USB、固件、RAID、SAS、SATA、多徑及光纖通道等,也將采用先進的開源硬件驅動程序。同時,包括iSCSI發送器和目標器,可供您采用商品化服務器硬件建立全能SAN。
管理性增強功能包括新型Novell客戶中心,便於您管理預訂。Novell ZENworks Linux Management功能可幫助您管理所有Linux服務器和桌面系統。利用OpenLDAP,您可以管理大型用戶群及網絡訪問控制。您可以在Novell eDirectory環境下,以及Active Directory(活動目錄)架構中全面集成SUSE Linux Enterprise Server。
除AppArmor安全外,為強化安全性還增加了MIT Kerberos 1.4.3用於驗證,Snort 2.4.3版用於網絡入侵檢測及AIDE文件處理監控系統。在新增服務方面,SUSE Linux Enterprise Server推出SAMBA 3.0.21b, NFS v4, Cyrus IMAP Deamon Version 2.2, MySQL 5.0, PostgreSQL 8.1, Apache Web Server 2.2.0和PHP 5.1。
當您利用虛擬技術在單個計算服務器上運行多個獨立虛擬機時,可以充分體會虛擬化的強大功能。(計算服務器是一種沒有I/O功能的並行處理器,而是通過總線或其他前端處理器連接線路處理磁盤、終端、網絡等設備的I/O。)這樣可以隔離工作量,不必在同一胖操作系統(fat OS)上運行多個應用軟件,而是將每一應用軟件分開來在各自的虛擬機上運行。如果某個應用軟件失效,由於采取隔離方式,因此不會影響計算服務器各自虛擬機上運行的其他服務和應用。而且,由於虛擬機僅運行單個應用或服務,因此您只需要安裝這個應用所需的操作系統服務和組件。同時,獨立軟件開發商和集成商可以自己提供的解決方案開發高度定制的虛擬機。
服務器虛擬化將高可用性提高到一個新的水平,發生故障的服務可以自動重啟。這意味著,縮短了應用或服務因故障停止運行的時間,盡管持續時間一般不足以造成生產問題。虛擬機移植功能可將虛擬機上運行的應用或服務,由集群中的一個物理機轉移到另一物理機,不需要進行重啟。移植過程中不會造成停機,保持應用完整的運行狀態。這對於生產期間系統例行維護十分有利。
超虛擬化(Paravirtualization)是一種采用軟件連接虛擬機的虛擬技術,類似於底層硬件連接,但又不完全相同。
在服務器合並方面,由於單個計算服務器可運行多個虛擬機,虛擬機也可運行不同客戶機操作系統,從而減輕了合並的工作量。盡管SUSE Linux Enterprise Server是服務器虛擬的主機操作系統,但虛擬機也可運行不同的超虛擬化客戶機操作系統。(超虛擬化是一種采用軟件連接虛擬機的虛擬技術,類似於底層硬件連接,但又不完全相同。)因此,需要在原有操作系統上運行的應用軟件可包含在虛擬機中,合並到單個計算服務器上。采用AMD和英特爾即將推出的硬件技術,SUSE Linux Enterprise Server可支持全虛擬。
域:域(Domain)是獨立虛擬機的容器。
管理程序:管理程序(Hypervisor)是Xen的核心,在物理層最高特權級硬件保護環路上運行,負責為域分配資源, 以域的本機架構虛擬視圖表示域。
域0:作為特權級域,域0(Domain 0)安裝Xen虛擬化管理框架。這是管理程序導入時啟動的第一個域。這個域管理所有其他域。域0可安裝其他虛擬機所需的所有物理驅動器。SUSE Linux Enterprise Server可以作為主機OS在域0中運行,也可以作為客戶機在同一物理硬件上運行。
非特權域:非特權域(Unprivileged Domain)指除域0之外的任何域,有時稱作DomU。
驅動域:可授權域0之外的域訪問特定硬件I/O設備,這種訪問不需要域0調度。這些驅動域(Driver Domain)選裝時,可減輕域0的工作量,提高系統性能。
超虛擬化:經過超虛擬化(paravirtualized)的客戶機操作系統是一種經過修改能夠識別其在管理序之上運行的操作系統,以提高系統性能。
全虛擬化:全虛擬化(Fully virtualized)操作系統不知道已被虛擬化,因此管理程序需要俘獲和仿真每個I/O及硬件指令。
在即開即用方面,SUSE Linux Enterprise Server將提供全虛擬化和超虛擬化客戶機操作系統為其本身提供支持。今年晚些時候,Novell計劃為SUSE Linux Enterprise Server 9 SP3增加超虛擬化支持,並支持NetWare在“開放式企業級服務器”環境下運行。
雖然已正式宣布支持,但開源社區已配置的內核仍以超虛擬客戶機的形式基於Xen運行,包括Linux 2.4、Linux 2.6、NetWare 6.5、NetBSD、FreeBSD、Plan9和OpenSolaris。即使對客戶機宣布的支持有限,但Novell使基於Xen的SUSE Linux Enterprise Server成為最佳虛擬化平台的堅定承諾十分明確,因此未來將值得您更多的期待。
◆ 更多,更多,更多
如果您要的就是炸薯條、飲料加漢堡,那麼到汽車窗口對售貨員說來份套餐好了。但是,如果要求水平提高了,要的是汽車或房子超出了您想象的現有企業服務器的支持能力, SUSE Linux Enterprise Server可以滿足您的需求。
AppArmor社區
為進一步方便組織利用AppArmor安全應用程序從中受益,Novell發起了一個開源項目,邀請您及其他社區成員共同推動AppArmor今後的發展,並提交您根據自己的應用所開發的AppArmor方案。這個項目的目標是建立安全應用程序預定策略大型知識庫,幫助您及開源社區中的其他成員快速方便地實際應用AppArmor,保護IT投資。