SLES 10服务器提供的虚拟化,可用性
版本提供了两个新的功能,Novell公司抛光的边缘后,这将是有益的。
SLES 10 Novell提供虚拟化、盔甲和可用性。
总的来说,新版本在速度和两个新特性(Xen,它提供服务器)方面与之前的迭代相当虚拟化和AppArmor的,哪些产品网络应用程序- Novell公司擦亮他们的棱角之后将是有益的。
这个迭代的第一个显着的变化是,K个开发环境是有利的出来(虽然仍然可用)和Gnome是因为,它是默认的主要用户界面,将可能最好是由Novell公司的长远支持。
内核是SUSE版本的Linux 2.6.16,其速度可以与SLES 9媲美。基本进程处理稍微慢一些;例如,它需要长16%执行Unix”过程叉+退出”(一个基本执行度量),但是I / O和网络更快(见下图)。
| 跟踪SLES性能在我们的使用LMBench3开源基准测试工具测试电池,我们发现新的SLES 10平台运行非常看齐,与我们在同一硬件上与SLES 9实现的数字。该图表显示了整体基准测试结果的一个小样本。 | ||||||||||||||||||||||||
|
每个安装,该系统所进行的选择自动更新,这是无痛的,富有成果的,特别是当它与客户关怀计划,它发送了无数通知补丁可用性,有时每天几个协调。安全更新和数兆应用程序更新可以自动下载。在其他部件上这些更新的任何依赖关系进行了检查,并更新发生,无需人工帮助。这使Novell的护理相当的竞争地位红帽在服务和支持领域。
该操作系统作为一个整体,一般来说是很好的安全。影响安全的应用,如桑巴,PHP和其他系统应用程序配置文件,均达到最新的和安全的。但是,默认密码过于简单 - 即使是那些放弃root权限。这是最好有所有用户,超级用户或管理员帐户所需困难和/或硬化的密码。
认证的目的,Novell已经选择了麻省理工学院的Kerberos实现的,而不是在SUSE操作系统的早期版本中使用的Heimdal的实现。
在下行路上,一些由Novell对SLES 10的吹捧吹捧特点是令人失望的。Xen的,一个基于开放源代码的操作系统虚拟化服务器,是越野车和难以使用。AppArmor的,用于定义应用程序的执行性能的方法,但工作在某些方面不及,包括缺乏有用的仪表管理装甲和配置模板。
要获取
SLES 10发现,大多数我们的测试硬件组件的容易,老年康柏硬件上的ACPI接口怪事只有跳闸(见我们如何测试服务器)。USB设备支持现在是相当彻底和透明的,虽然在实验室中有一些基于USB的设备,它不能明确地识别,如USB 1.1 USB闪存驱动器适配器设备。
更稀疏的默认安装包交给我们,我们最需要的,而不需要我们做平常厨房水槽的方法。最新升级的又一系统工具(YaST中)管理用户界面往往通过提供不同的菜单相同的应用程序提供了多个路由到同一目的地。然而,YaST提供的仪器缺乏一些命令行功能。
Xen的:没有拍手
Novell公司吹捧的Xen作为使用通用硬件来运行操作系统在分区(因此一个隐含的安全)的方式的多个实例的廉价的方法。从表面上看,非SUSE客户操作系统可以在这类似于一些虚拟化方法(VMware的思考),都使得Linux的流行作为托管平台的方法来使用。在现实中,我们有很多的困难越来越Xen的是稳定的,因为有大量的例外处理和多配置更改需要建立虚拟化SLES 10届。Novell是了解我们的困难和产品发布的时间可能会修补的Xen。
Xen对宿主客户操作系统的影响非常小。Xen客户操作系统通过一种类似于命名管道的方法与主机操作系统对话,命名管道是OS/2和Windows NT使用的专用的物理到虚拟块模式设备方案。
Xen是通过创建一个作为微内核在机器上启动的hypervisor来激活的,而微内核又加载一个主机SLES 10操作系统,该操作系统带有一个经过修改的for Xen内核。这个组合充当后续操作系统会话的基础,这些会话在同一台机器上作为独立的SUSE Linux实例出现。反过来,这两个会话的权限也会减少,以便在类似的应用程序部署配置文件(Linux、Apache、MySQL、Perl、Python和PHP、Web、邮件或其他主机)中使用。SUSE Enterprise 10也可以作为虚拟化操作系统托管在VMware下。
Xen将硬件内存地址转换为客户操作系统及其内核和驱动程序,并对硬件可访问性进行虚拟化。这是Xen的致命弱点,因为可以修改的开放源码驱动程序比封闭源码硬件驱动程序工作得更好。其影响是用于显示、各种无线网络设备和其他设备的封闭源驱动程序不能工作或产生不希望的结果。
好消息是,如果正确的CPU(s)作为(目前只有英特尔的Vanderpool技术和AMD的SVM / AM2接口处理器是可以接受的),内核可以虚拟化和产卵CPU线程处理服务的客人。由于缺乏正确的CPU限制的虚拟机管理程序的SUSE客人2.6.16内核修改的单个实例 - 开发测试实用但不托管。
Xen也不能在多核系统中使用多个CPU,因为它仅限于它找到的第一个CPU,而不是所有后续的CPU。Xen在虚拟化方面有很大的潜力,但是它不稳定,并且需要大量的调优——而且调优需求会随着硬件主机的不同而变化。这些数字表明托管的Xen内核的性能受到了重大影响。例如,“处理器、fork +退出”测试在Xen-ified内核上的运行时间要比在原生的、未修改的内核上的运行时间长89%。另外,Xen-ified主机内核上的网络I/O处理总量大约是未修改的SLES 10内核的40%。
AppArmor的复杂性
的AppArmor的系统,该系统Novell已发布了作为开源软件,控制应用程序的行为,并且保护从暗中修改或替代应用程序。AppArmor的通过限制访问这些资源的具体网络端口或文件用来控制应用的基于策略的配置文件。AppArmor的是在默认情况下SUSE 10启用,但不针对在一开始就具体的应用。Novell公司提供预定义简档数量有限的应用中,包括安全外壳(SSH),半径和轻量级目录访问协议(LDAP)。
我们确实发现了一些额外的应用程序配置文件,Novell在文档中将其标记为“不成熟”。要为机器上运行的最小服务集打开AppArmor,我们必须使用这些额外的配置文件。
该文件表明,一个可以开发自定义配置文件,但是这似乎是一个涉及分析应用程序和监督它的使用,所以一般网站将想要去与这样的标准服务如SSH,RADIUS和LDAP预定义的轮廓复杂的过程。
总体而言,AppArmor的似乎有潜力作为一种安全工具,但它不会取代基于主机的入侵检测和-预防系统,因为有太少的应用仪器仪表/选择,AppArmor的组合(没有日志记录),并内置防火墙(日志记录差)产生足够的信息整合到一个企业的事件管理基础设施。
缺失的部分
这个新版本的SUSE Linux在默认级别上缺乏更高级别的安全控制。Syslog用于错误和控制消息的系统日志记录(通过Syslog -ng),但是它有一种全有或全无的方法。虽然可以使用不同的脚本从日志文件中提取特定的信息,但在系统错误和事件日志方面,我们要么收到雪崩,要么什么也没有收到。
默认配置也带来了安全问题。SLES 10使用Blowfish算法进行身份验证,虽然MD5可用,但默认情况下没有安装它。默认安装包括网络文件系统和procmail的,如果系统被认为是应被关断,以在默认配置中被硬化。
我们还发现难度与iSCSI启动器和目标的软件组件/在SLES 10分配驱动程序。我们可以通过iSCSI的文件系统安装容易虚拟化方案来连接到SLES 10台服务器。然而,我们很难寻找低于根级远程安装的文件系统,并探索下一个这样的系统中时,迎接总线错误。
结论
SLES 10现在是Novell公司的SUSE Linux战略的一个组成部分,而且改变了我们看到的是令人振奋的,但需要细化。好消息是,大部分的问题都可以通过配置和微调被克服。我们站在关心的是Xen的不稳定,但如果Novell公司能够稳定这个功能,我们的希望是很高的SLES 10在进军企业市场。
Henderson是ExtremeLabs的首席研究员。塞耶是一名独立的安全顾问。Szenes是ExtremeLabs的一名研究人员。可以联系到thenderson@extremelabs.com,rodney@canola_jones.com和laszlo@extremelabs.com, 分别。
亨德森,塞耶和Szenes也是网络世界实验室联盟成员合作在网络业界首屈一指的评审,每个带给熊多年的每个复习足球竞猜app软件的实践经验。欲了解更多实验室联盟的信息,包括如何才能成为会员,请m.banksfrench.com/alliance。
了解更多关于这个话题
Novell公司开放火灾投篮的SuSE Linux 1007/26/06
Novell公司PREPS客户迁移到Linux06年3月27日
虚拟化涉及到Novell公司的Linux06年2月6日
©2006足球竞彩网下载