|
【51CTO.com 独家特稿】红帽企业版5.4正式版已于2009年9月发布,笔者在51CTO编辑帮助下拿到DVD安装盘,下面介绍一下十天左右的使用感受,供广大网友参考。 一 从安装开始 下面介绍一下安装过程的亮点,红帽企业版5.4主要针对的是企业用户安全是关注的重点,红帽企业版5.4相比上个版本开始从安装支持对分区文件系统加密,如图-1 。
图-1 对分区文件系统加密 加密的分区(/dev/sda2)会有符号显示如图-2 。
图-2 加密的分区(/dev/sda2)会有符号显示 当然还可以在安装过程对引导配置进行加密如图-3。
图-3 对引导配置进行加密 另外安装过程的结尾阶段在“验证配置”方面提供企业级的方式包括:本地(etc/password),LDAP ,NIS, Winbind、Hesiod多种方式。如图-4。
图 -4 用户身份验证方法 相信在主流Linux 发行版本中是比较全面的 ,用户可以根据 自己对安全 的需要选择。对于安全性要求较高的用户可以进行Hesiod或者LDAP的网络登录。 启用NIS支持:选择该选项来把系统配置成连接 NIS 服务器来验证用户和口令的 NIS 客户。点击配置NIS按钮来指定 NIS 域和 NIS 服务器。如果 NIS 服务器没有被指定,守护进程会试图通过广播来寻找它。你必须安装了ypbind 软件包才能使这个选项奏效。如果启用了 NIS 支持,portmap 和 ypbind 服务会被启动,它们也会在引导时被启用。 启用LDAP支持:选择这个选项来配置系统来通过 LDAP 检索用户信息。点击“配置 LDAP”按钮来指定“LDAP 搜索基准 DN”和“LDAP 服务器”。如果“使用 TLS 来加密连接”被选择,传输层安全就会被用来加密发送给 LDAP 服务器的口令。你必须安装 openldap-clients 软件包才能使这个选项奏效。 启用Hesiod支持:选择这个选项来配置系统来从远程 Hesiod 数据库中检索信息,包括用户信息。你必须要安装 hesiod 软件包。 启用Winbind支持:选择这个选项使系统可以连接到Windows Active Directory或者Windows domain controller。 在验证界面同样有多种选择包括智能卡登录,如图-5 。
图-5 智能卡设置 智能卡登录是利用电脑上的 usb 接口,将智能卡插入通过验证智能卡内的用户证书来登录Linux的一整套过程,当系统启动后,提示用户插入智能卡,如果不插入智能卡,或者插入的智能卡不是保护当前用户的,都会被提示说请插入有效的智能卡,当用户将正确的智能卡插入 电脑的 usb 接口后,系统会开始自动验证,并提示用户输入智能卡的密码,如果输入的智能卡密钥有误的话,用户也无法登录,这样做的优点是,第一,用户要插入有效的智能 卡才能登录,第二,用户还要输入智能卡的密码,此密码只有用户自己知道,这样就确保了当用户的智能卡丢失或者被复制后,其他人想利用智能卡登录时还要输入 智能卡登录系统的密码,这样对系统起到了双层保护。另外安装的最后过程系统会极力推荐您建立红帽的登录账号服务,其他安装部分笔者感觉和上一个版本 以及其他竞争对手基本持平,没有什么可以评论的。如果前面选择了“对分区文件系统加密” 那么每次登陆系统过程中要输入密码才可以正常启动如图-6 。
图-6 每次登陆系统过程中要输入密码才可以正常启动 二 解读红帽企业版5.4操作 对于多媒体以及办公方面笔者感觉Linux 在最近两三年已经做得相当不错了可惜由于惯性原因还是不能占据桌面市场。还是看看笔者关心的企业级应用部分。 1 eCryptfs 加密 红帽企业版5.4开始支持eCryptfs 加密,eCryptfs 是在 Linux 内核 2.6.19 版本中引入的一个功能强大的企业级加密文件系统,堆叠在其它文件系统之上(如 Ext2, Ext3, Ext,4 ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全的加密功能。本质上,eCryptfs 就像是一个内核版本的 Pretty Good Privacy(PGP)[3] 服务,插在 VFS(虚拟文件系统层)和 下层物理文件系统之间,充当一个“过滤器”的角色。用户应用程序对加密文件的写请求,经系统调用层到达 VFS 层,VFS 转给 eCryptfs 文件系统组件(后面会介绍)处理,处理完毕后,再转给下层物理文件系统;读请求(包括打开文件)流程则相反。eCryptfs 的设计受到OpenPGP 规范的影响,使用了两种方法来加密单个文件: 1. eCryptfs 先使用一种对称密钥加密算法来加密文件的内容,推荐使用 AES-128 算法,密钥 FEK(File Encryption Key)随机产生。有些加密文件系统为多个加密文件或整个系统使用同一个 FEK(甚至不是随机产生的),这会损害系统安全性,因为:a. 如果 FEK 泄漏,多个或所有的加密文件将被轻松解密;b. 如果部分明文泄漏,攻击者可能推测出其它加密文件的内容;c. 攻击者可能从丰富的密文中推测 FEK。 2. 显然 FEK 不能以明文的形式存放,因此 eCryptfs 使用用户提供的口令(Passphrase)、公开密钥算法(如 RSA 算法)或 TPM(Trusted Platform Module)的公钥来加密保护刚才提及的 FEK。如果使用用户口令,则口令先被散列函数处理,然后再使用一种对称密钥算法加密 FEK。口令/公钥称为 FEFEK(File Encryption Key Encryption Key),加密后的 FEK 则称为 EFEK(Encrypted File Encryption Key)。由于允许多个授权用户访问同一个加密文件,因此 EFEK 可能有多份。 这种综合的方式既保证了加密解密文件数据的速度,又极大地提高了安全性。虽然文件名没有数据那么重要,但是入侵者可以通过文件名获得有用的信息或者确定攻击目标,因此,最新版的 eCryptfs 支持文件名的加密。 eCryptfs 使用方法 eCryptfs 需要相应的内核模块和用户态的工具同时配合使用。用户态的工具可以从 https:///ecryptfs 获得,使用Ubuntu 系统的用户,用 apt-get 命令安装 ecryptfs-utils 包即可。 mount -t ecryptfs real_path ecryptfs_mounted_path。推荐ecryptfs_mounted_path 和 真实目录 real_path 一致,这样非授权用户不能通过原路径访问加密文件。图-7 是挂载界面。
图-7 挂载界面 另外红帽企业版5.4 还提供了一个eCryptfs 加密图形化前端如图-8 。
eCryptfs 加密图形化前端如图-8 通过eCryptfs 加密图形化前端您可以更加方便进行操作。 2 TrouSerS 除了和其他Linux 发行版本 共有的 用户和组管理 、selinux和防火墙外TrouSerS功能比较有特色: TrouSerS支持TPM ,TPM(Trusted Platform Module)可信任安全平台模组TCG(Trusted Computing Group)信赖运算集团所推广的资讯安全防护技术规格,包括Intel、IBM、HP、AMD、Sony、Sun Micro及微软等资讯大厂都是这个组织的支持厂商。简单来说,TPM可以利用公开金钥架构(PKI)产生无法复制读数位签章,以验证存取资料平台及硬碟的身份,提供个别平台的资料防护;此外,有的TPM晶片还具有储存密码或使用者 资料的功能,或额外整合一些安全机制等。对使用者来说,TPM最直接的好处就是可以直接对档案或资料匣进行加密,一旦被TPM加密过的档案资料,基本上就具有双重防护,一方面是开启被加密档案本身必须有一组密码,另外,还需与TPM晶片搭配才能开启档案;也就是说即使被骇客窃取,由於少了TPM晶片,资料也无法被读取。应当是为移动办公的商务人士准备的。 3 远程网络安装设置 系统管理员通常要批量或者远程安装Linux 系统,红帽企业版5。4 提供了一个网络安装或者无盘站配置工具图-9是首次配置向导 。
图-9 首次配置向导 选择网络安装即可进入相关界面如图-10 。
图-10 配置网络安装 网络安装协议类型支持:HTTP、NFS、FTP三种。如图-11 。
图-11网络安装协议类型支持 4 设置存储管理 存储管理是Linux 服务器管理员的重要工作。这里包括逻辑卷基本方面如图 12 。
图-12 逻辑卷界面 另外FCoE 驱动的加入,FCoE是使用基于以太网的光纤通道协议,而iSCSI则使用基于以太网的TCP/IP协议。前者让你可以通过以太网建立链接,连接到光纤通道SAN;后者可以通过同样的链接,连接到IP SAN。安装过程就可以设置iscsi磁盘如图-13 。
图-13 设置iscsi磁盘参数 不过许多供应商认为,iSCSI是作为光纤通道SAN(IP-SAN)扩展产品来提供的。这是一个亮点。iSER支持使得ISCSI 管理更加方便。另外包括RAID 故障监控工具(dmraid 和 dmevent_tool)。 另外磁盘分析器可以扫描本地文件系统和远程文件系统也是非常实用的如图-14 。
图-14 磁盘分析器可以扫描本地文件系统和远程文件系统
|
|
|
