[周报全文]SuSE Linux Enterprise Server 10 缺少喝彩的创新

2006年09月06日 15:49:43　|　作者：佚名　|　来源：$page.getBroMedia()　|　查看本文手机版

摘要：美国《Network World》在SuSE Linux Enterprise Server 10发布后对其进行了测试，结论是：新版系统提供了两项新特性，但新特性需要优化后才会实用。报告称，Xen带来的虚拟化新特性稳定性不好，AppArmor安全工具也很复杂。

标签: Linux; Novell

美国《Network World》在SuSE Linux Enterprise Server 10发布后对其进行了测试，结论是：新版系统提供了两项新特性，但新特性需要优化后才会实用。报告称，Xen带来的虚拟化新特性稳定性不好，AppArmor安全工具也很复杂。

刚刚发货不久的Novell SLES（SuSE Linux Enteiprise Server） 10是SuSE Enterprise Linux大家庭的成员之一。这个家庭还包括SuSE Linux Enterprise Desktop 10和Novell Customer Care，以及专为解决本次发行的软件包出现问题而准备的在线与7×24技术支持组成的支持机制。

从总体上看，新版本系统软件在运行速度上与前几个版本相当，而两种新特性——提供服务器虚拟化的Xen和保护网络应用程序的AppArmor将在优化后才会实用。

SLES 10第一个值得注意的变化是KDE（K Development Environment）不再受宠（尽管仍可供使用），Gnome成为主要用户界面，而且是缺省界面，并将长期得到Novell的全力支持。内核为Linux 2.6.16版本，其速度与SLES 9相当。基础进程处理显得略慢，例如，执行Unix“process fork + exit”（一种基本执行指标）耗时比以前的版本多16%，但I/O和网络功能速度更快。

在每一次安装后，新系统执行选择的自动更新。自动更新在不知不觉中进行，并且卓有成效，尤其在与Customer Care计划配合使用时。系统检查这些更新对其他组件的依赖性，更新无须人工协助就可完成。因此在服务与支持方面，Novell的客户关怀让测试人员倍感亲切。

在认证方面，Novell选择了麻省理工的Kerberos实现代替了以前版本的SuSE操作系统中使用的Heimdal实现。

SLES 10的一些被Novell大加吹捧的特性有些令人失望。基于开源的操作系统虚拟化服务器Xen隐患多多而且难于使用。定义应用程序执行特征的工具AppArmor还算成功，但在一些方面存在欠缺，包括缺少管理保护外壳（armor）和配置模板的实用工具。

缺省安装包为测试提供了大多数东西，并且不要求采取通常的那种包罗万象的安装方法。新加强的Yet another System Tool (YaST)管理用户界面提供到达同一目的地的多条路线：在不同的菜单中提供同样的应用程序。不过，YaST提供的工具缺少某些命令行功能。

Xen得不到掌声

测试中，让Xen保持稳定非常困难，因此有大量的异常事件需要处理，并且建立虚拟化SLES 10会话需要进行很多配置修改。Novell可能会就这些对Xen进行修补。

Xen客户操作系统通过一种类似于Named Pipes的方法与主机操作系统通信。Named Pipes是OS/2和Windows NT使用的专用物理到虚拟块模式设备方案。Xen通过创建hypervisor被激活。Hypervisor作为微内核在机器上引导启动。然后，微内核为主机SLES 10操作系统加载一种为Xen修改的内核。这种组合成为以后的操作系统会话的基础（这些操作系统会话就像是运行在同一台机器上的SuSE Linux的独立实例）。为了在类似的应用部署配置文件（Linux、Apache、MySQL、Perl、Python以及PHP、Web、邮件等）中使用，两个会话（指Hypervisor和为Xen修改的内核）的特权依次减少。SLES 10还可以作为虚拟化的操作系统运行在VMware下。

Xen为客户操作系统以及其内核和驱动程序翻译硬件内存地址，并虚拟化硬件可访问性。不过，可以被修改的开源驱动程序比非开源硬件驱动程序运行得更好，其影响是显示器、不同的无线网络设备以及其他设备的非开源驱动程序不能运行。

好消息是如果使用恰当的CPU（目前只能使用Intel Vanderpool Technology和AMD的SVM/Socket AM2处理器），内核可以虚拟化和生成CPU线程来满足服务客户操作系统的需要。

Xen也不能使用多内核系统中的多个CPU，因为它局限于发现的第一个CPU而不是随后所有的CPU。Xen在虚拟化上大有希望，但它不稳定而且需要进行大量的调整，而调整要求随硬件主机的不同而变化。

AppArmor的复杂性

作为开源软件发布的AppArmor系统控制应用程序(+本站微信networkworldweixin)，保护应用程序不被悄悄地修改或代替。AppArmor利用基于策略的配置文件，通过将访问限制在特定网络端口或文件等资源上来控制应用程序。AppArmor在SLES 10上被缺省设置为开启，但在开始时不将特定的应用程序作为保护目标。Novell提供了用于有限数量的应用程序的预定义的配置文件，包括Secure Shell (SSH)、RADIUS、轻型目录访问控制协议（LDAP）。

Novell的文献建议用户可以开发定制的配置文件，但这似乎是个涉及分析应用性能并监测应用使用的复杂过程。

总的来说，AppArmor似乎具有成为一种安全工具的潜力，但它没有取代基于主机的入侵检测和防御系统，因为它提供的应用工具和选择太少，AppArmor（没有日志功能）与内置防火墙（具有简单的日志功能）的组合不能提供集成到企业事件管理基础设施中的足够信息。

SLES 10在缺省配置上缺少高度的安全控制。Syslog被用于记录错误和控制消息的系统日志（通过syslog-ng），它采用一种要么全有，要么全无的实现方式。尽管可以使用不同的脚本从日志文件提取特定的信息，但测试中要么收到了大量的系统错误和事件记录，要么什么都收不到。

测试还在使用SLES 10中的iSCCI发起端程序和目标软件组件/驱动程序上遇到了困难。虽然能够很容易通过iSCSI文件系统安装虚拟化方案连接在SLES 10服务器上，但是在搜索根级以下远程安装的文件系统上遇到了困难，当搜索这类系统时，总是遇到总线错误。

25表.gif