几百年后历史学家会把我们看作是“Super Size Me ”的一代。但是这不仅是因为有快餐的联合,我们需要更多的时间,快乐,金钱,挫折的共享和生活的奢侈品。 我们处在一个被索取所困扰的社会。当然商业界是超越了这种困扰。企业的生存和死亡和它在客户上面所取的能力来相关的,还有更多的来自它的资金和它自身IT的投资。
当提到更高的性能,可扩展性,可管理性,可靠性和安全性,Novell在提供这些特性时有很好的口碑。在商业领域最新发布的SUSE Linux 企业版 10 为世界级企业操作系统带来的巨大的飞跃。SUSE Linux企业服务器版作为服务器平台的组件比以往的系统有更多的新特性。这里有3个Novell花费了很大经历开发用来满足不断增长的客户需求的显著特性:
AppArmor应用程序安全性
存储基础架构
服务器虚拟化
更好的应用程序安全性
安全性一直以来被认为是Linux操作系统的优势所在,但是用户个人应用程序的漏洞为入侵者打开后门。在SUSE Linux企业版中集成的AppArmor特性为用户关闭了这些后门。实质上是在每个客户应用程序的外部包裹了一个安全层。
AppArmor不是SUSE Linux企业版的新特征。在版本9中就已经应用新的开源内核模块和安全仲裁模块,但是创建和解释策略的功能作为一个独立的部件存在。现在AppArmor是一个基于GUN完全开源的软件并且与SUSE Linux企业版架构完美的集成。
这里有一个很大的问题是:AppArmor怎么保护企业应用程序呢?最主要是通过白名单white listing的方法,通过定义应用程序可以允许采用那些动作来实现的。同样黑名单Black Listing是通过定义阻止应用程序所采用的动作来实现的。黑名单会工作的很好直到有新的漏洞出现但是你关心不用知道这一切,你的系统处于无保护状态直到商家发布新的补丁程序。
白名单是AppArmor中核心的策略,它用来仲裁应用程序对文件和目录的访问许可,以及这个程序的POSIX兼容。POSIX是IEEE标准来把根权限分成不同的集。换句话说就是即使用应用程序需要真正的根权限才能正确执行,AppArmor采取的措施是在内核级别管理应用程序对文件的访问和POISIX的兼容性来限制应用程序对资源集和根权限的使用而不允许应用程序直接访问未受保护的根权限。
对每个应用程序强制访问使用白名单概念已经有一段时间了,实际上National Security Agency(国家安全机构)已经建立了一个相似的解决方案叫做Security-Enhanced Linux安全增强型Linux,但是它对系统性能的影响和难于部署限制了它的发展。 另外一方面AppArmor对系统性能的影响很小同时它集成在SUSE Linux企业版中使得它更加容易部署。
即开即用的保护
内置在SUSE Linux企业版内部的AppArmor策略是一套预定的策略包括通常的操作系统服务和程序,包括Apache网页服务器,Postfix和Sendmai邮件服务器,Openssh,Squid,ntpd, nscd .这些策略是即开即用不用作修改的,除了Apache会需要人为指定它存放网页的目录和其它一些信息。
为应用程序建立AppArmor策略有四步可以通过在YaST管理控制台启动AppArmor程序实现。
服务器分析器
AppArmor提供了一个工具用来决定你的系统中那个应用程序是和它相关的。 在YaST下的AppArmor菜单中点击AppArmor 报表图标就会运行Application Audit Report 程序审计报表。 这个进程自动的扫描运行服务器上打开了端口而没有在AppArmor策略中定义的应用程序。当服务器分析器结束后它会提供给你一个可以从外部访问并且需要定义策略的应用程序列表。
策略模版生成器
启动Profile程序要在AppArmor 主菜单下点击添加Profile向导图标,选择你要建立Profile的程序,AppArmor 将会建立一个快速静态分析然后建立这个应用程序的模版。
学习模式
一旦策略模版建立,profile 向导将自动进入学习模式,大部分的策略将在这个模式中产生。 在这个阶段AppArmor 架构监视程序的运行,那些目录和文件需要访问,那些类型的访问是必须的。当然如果让学习模式工作必须要让你的应用程序处在正常运行的状态。 根据程序的复杂度这个过程持续几个小时到几天不等。
在学习模式期间没有策略规则被强制应用在程序上,因此确信你的系统运行在隔离的环境中。这个环境应能保证系统正在试图进行学习的时候将不会受到攻击。
AppArmor管理应用程序在内核级别的文件访问和POSIX兼容性来限制应用程序所需要的资源和根权限。
交互的优化器
在学习期间AppArmor 建立了大量与正常和可接受的行为相关联的事件日志。AppArmor中的交互优化器解释所有这些事件,通过Profile向导询问一系列问题的方式使得用户可以快速的定义合理的策略。
例如:在学习的模式下应用程序会访问某些目录或文件,因此Profile向导将让客户从以下的选项中选择来决定策略是如何管理访问的。
允许:它将给应用程序完全的目录文件访问控制,就像程序所期望的那样。访问能够包括和排除读写和执行模式。
拒绝:它拒绝对目录文件的访问也许会阻止程序的正常运行。
全局Glob:它应用通配符到路径的最后一个条目,使得此目录的应用程序访问遵循定义好的访问模式。当你确切知道应用程序访问在目录中的其它文件并不是我们所关心的主要问题的时候是很有意义的。建立通配符策略定义使得大大减少交互的进程因为交互优化器将识别那些不用询问你就可以访问其它文件,,,,你通过两次点击Glob按钮来建立两个全局访问策略。这样就可以使得在目录下的所有文件和子文件夹的文件访问应用程序。
图1
全局扩展Glob w/Ext:与全局Glob相似它不是把普通的通配符应用到路径的最后一个条目,而是应用一个带有扩展的通配符。例如:你可以指定所有带有扩展的文件。这样在这个目录就能就能被应用程序访问。(图1)
Edit:弹出的对话框窗口将允许根据你的需要来改变目录路径和文件名。
正像前面提到的那样,每次你回答完关于程序事件日志问题的时候,Profile向导为这个事件建立一个策略规则。如果这个规则符合其它的日志事件向导在交互的过程中将会跳过这些事件。Profile向导。
当你回答完这些问题,Profile向导将以彩色的方式允许你浏览和修改它,策略以高亮的黄色显示引起你高度关注同时使得你能够快速分析策略。(图2)
一旦你完成基于文本文件的策略,你就可以很容易的把它部署到也能够用应用相同程序并且需要相同策略的其它服务器。同时AppArmor包括Profile向导可以使你轻松升级已经存在的程序策略这样就可以应用你的策略变化或者增加新的规则。 一旦实施了程序的策略AppArmor将会记录被测率拒绝事件的日志。就像Profile向导一样,升级Profile向导解释日志并且通过询问你关于事件的行为取代已存在的策略。(参看 AppArmor 社区)。
更加健壮,更容易扩展,更有价值的存储系统
全新SUSE Linux 企业版的存储基础架构将会为企业服务器成立处理的更多。它的健壮的和可管理的系统基础架构支持小文件系统和TB级别的存储。它拥有更加灵活的基础架构支持从Web应用服务器到数据库应用。它还拥有增强的集群高可用性。它将是一个支持并行集群文件系统的扩展性基础架构。
所有这些功能都基于3个紧密集成在存储基础架构平台中的特性:HA 集群资源管理器、集群卷管理器、集群并行文件系统。
HA集群资源管理器
存储基础架构的HA集群资源管理器就是我们经常所说的高可用性故障转移集群。 换句话说就是集群软件识别服务或服务器故障,然后切换服务到另外一个存活节点使得继续提供服务的高可用性。HA集群资源管理器的主要部件是集成的全新eartbeat2。
Heatbeat2,一个高可用性Linux项目,比它的以前版本Heartbeat1在集群的可扩展性上有很大的提升。不在局限于2个节点的集群,集群节点可以增加到16个。实际上支持节点的数目是没有限制的,在超过16节点的环境中也曾经测试过。
新的资源监控功能也已经被加入到Heartbeat2中,这就允许应用程序开发商在其程序中加入监控代理,它可以当程序工作不正常的时候通知HA集群资源管理器。这对那些没有真正崩溃而是停止响应或者延迟的时间是很重要的。资源监测代理能发现这些不正常的行为然后通知HA集群资源管理器这些程序需要重新启动或者把它切换到集群中其它的服务器上。
Heartbeat2和其它的存储基础架构组件的集成也是很紧密的,这样它就可以更好的交互。例如:如果HA集群资源管理器故障转移了一个资源它也同时会转移其中的文件系统。如果变化发生在卷上集群卷管理将识别这个变化并且确认在集群之间应用。另外一个关于集成的主要方面是可管理性已经包括在存储基础架构中。SUSE Linux企业版应用基于标准的通用信息模型CIM使得存储基础架构的管理更加方便。
未经允许不得转载:DOIT » 强大的后端支持:SUSE虚拟化更多的服务器
