美国《Network World》在SuSE Linux Enterprise Server 10发布后对其进行了测试,结论是:新版系统提供了两项新特性,但新特性需要优化后才会实用。报告称,Xen带来的虚拟化新特性稳定性不好,AppArmor安全工具也很复杂。
刚刚发货不久的Novell SLES(SuSE Linux Enteiprise Server) 10是SuSE Enterprise Linux大家庭的成员之一。这个家庭还包括SuSE Linux Enterprise Desktop 10和Novell Customer Care,以及专为解决本次发行的软件包出现问题而准备的在线与7×24技术支持组成的支持机制。
从总体上看,新版本系统软件在运行速度上与前几个版本相当,而两种新特性——提供服务器虚拟化的Xen和保护网络应用程序的AppArmor将在优化后才会实用。
SLES 10第一个值得注意的变化是KDE(K Development Environment)不再受宠(尽管仍可供使用),Gnome成为主要用户界面,而且是缺省界面,并将长期得到Novell的全力支持。内核为Linux
在每一次安装后,新系统执行选择的自动更新。自动更新在不知不觉中进行,并且卓有成效,尤其在与Customer Care计划配合使用时。系统检查这些更新对其他组件的依赖性,更新无须人工协助就可完成。因此在服务与支持方面,Novell的客户关怀让测试人员倍感亲切。
在认证方面,Novell选择了麻省理工的Kerberos实现代替了以前版本的SuSE操作系统中使用的Heimdal实现。
SLES 10的一些被Novell大加吹捧的特性有些令人失望。基于开源的操作系统虚拟化服务器Xen隐患多多而且难于使用。定义应用程序执行特征的工具AppArmor还算成功,但在一些方面存在欠缺,包括缺少管理保护外壳(armor)和配置模板的实用工具。
缺省安装包为测试提供了大多数东西,并且不要求采取通常的那种包罗万象的安装方法。新加强的Yet another System Tool (YaST)管理用户界面提供到达同一目的地的多条路线:在不同的菜单中提供同样的应用程序。不过,YaST提供的工具缺少某些命令行功能。
Xen得不到掌声
测试中,让Xen保持稳定非常困难,因此有大量的异常事件需要处理,并且建立虚拟化SLES 10会话需要进行很多配置修改。Novell可能会就这些对Xen进行修补。
Xen客户操作系统通过一种类似于Named Pipes的方法与主机操作系统通信。Named Pipes是OS/2和Windows NT使用的专用物理到虚拟块模式设备方案。Xen通过创建hypervisor被激活。Hypervisor作为微内核在机器上引导启动。然后,微内核为主机SLES 10操作系统加载一种为Xen修改的内核。这种组合成为以后的操作系统会话的基础(这些操作系统会话就像是运行在同一台机器上的SuSE Linux的独立实例)。为了在类似的应用部署配置文件(Linux、Apache、MySQL、Perl、Python以及PHP、Web、邮件等)中使用,两个会话(指Hypervisor和为Xen修改的内核)的特权依次减少。SLES 10还可以作为虚拟化的操作系统运行在VMware下。
Xen为客户操作系统以及其内核和驱动程序翻译硬件内存地址,并虚拟化硬件可访问性。不过,可以被修改的开源驱动程序比非开源硬件驱动程序运行得更好,其影响是显示器、不同的无线网络设备以及其他设备的非开源驱动程序不能运行。
好消息是如果使用恰当的CPU(目前只能使用Intel Vanderpool Technology和AMD的SVM/Socket AM2处理器),内核可以虚拟化和生成CPU线程来满足服务客户操作系统的需要。
Xen也不能使用多内核系统中的多个CPU,因为它局限于发现的第一个CPU而不是随后所有的CPU。Xen在虚拟化上大有希望,但它不稳定而且需要进行大量的调整,而调整要求随硬件主机的不同而变化。
AppArmor的复杂性
作为开源软件发布的AppArmor系统控制应用程序(+本站微信networkworldweixin),保护应用程序不被悄悄地修改或代替。AppArmor利用基于策略的配置文件,通过将访问限制在特定网络端口或文件等资源上来控制应用程序。AppArmor在SLES 10上被缺省设置为开启,但在开始时不将特定的应用程序作为保护目标。Novell提供了用于有限数量的应用程序的预定义的配置文件,包括Secure Shell (SSH)、RADIUS、轻型目录访问控制协议(LDAP)。
Novell的文献建议用户可以开发定制的配置文件,但这似乎是个涉及分析应用性能并监测应用使用的复杂过程。
总的来说,AppArmor似乎具有成为一种安全工具的潜力,但它没有取代基于主机的入侵检测和防御系统,因为它提供的应用工具和选择太少,AppArmor(没有日志功能)与内置防火墙(具有简单的日志功能)的组合不能提供集成到企业事件管理基础设施中的足够信息。
SLES 10在缺省配置上缺少高度的安全控制。Syslog被用于记录错误和控制消息的系统日志(通过syslog-ng),它采用一种要么全有,要么全无的实现方式。尽管可以使用不同的脚本从日志文件提取特定的信息,但测试中要么收到了大量的系统错误和事件记录,要么什么都收不到。
测试还在使用SLES 10中的iSCCI发起端程序和目标软件组件/驱动程序上遇到了困难。虽然能够很容易通过iSCSI文件系统安装虚拟化方案连接在SLES 10服务器上,但是在搜索根级以下远程安装的文件系统上遇到了困难,当搜索这类系统时,总是遇到总线错误。
相关链接
Linux操作系统
SuSE Linux
Novell
■ 价格
349美元(一年的Web支持)到1,500美元(7x24支持和无限的事件)
■ 优点
对CPU/主板组合和外设驱动程序有很好的支持;良好的企业特性集合;改进的服务与支持。
■ 缺点
一些新特性配置起来略显麻烦;一些特性存在缺陷。