Red Hat Enterprise Linux 5: дистрибутив бизнес-класса

Автор: Игорь Савчук
Опубликовано: 19.04.2011
Источник: SoftKey.info

Так уж повелось, что в каждой очередной мажорной версии компания Red Hat всегда пытается реализовать некие инновационные и масштабные вещи, которые появились и в пятой версии ее ведущего продукта. И если говорить о наиболее базовых особенностях, присущих новой Red Hat Enterprise Linux 5-й версии, то важно сразу отметить, что вся системная конструкция базируется на ядре 2.6.18, существенно доработанном компанией до уровня промышленного использования. Из других технических подробностей стоит отметить, что теперь система скомпилирована с использованием нового GCC 4.1 и Glibc 2.4, что, очевидно, должно благоприятно отразиться на общей стабильности и производительности работы. Есть важные изменения и в пользовательской части системы (userland), но, чтобы рассказать о всех нововведениях в этой существенной части системы более ясно и подробно, давайте последовательно пройдемся по всем самым заметным и значимым инновациям RHEL5, переводя наш рассказ об этом продукте сразу в более конкретную и прикладную плоскость.

Новая система обновлений

И раз уж мы упомянули о том, что это бизнес-дистрибутив, то версия ядра на протяжении всей линейки обновлений и доработок в пределах этой мажорной версии, естественно, меняться не будет, демонстрируя всем предсказуемость и здоровый консерватизм. Но раз так, то наряду с постоянной работой службы поддержки выходит на сцену механизм обновлений ОС, и тут действительно произошли новые, очень приятные изменения. Если общая, уже стандартная методика обновлений в продуктах RHEL сохранилась прежняя - это выпуск заплаток, а также механизм обратного портирования возможностей из выходящих новых ядер, - то сам механизм установки всего этого великолепия подвергся модернизации.

Опытные пользователи RHEL сразу заметят исчезновение штатной утилиты Up2date, древнего средства мониторинга и загрузки обновлений, похоже, доставшегося нам в наследство еще от прошлых цивилизаций. Наконец, вслед за другими популярными дистрибутивами инерция привычки сломлена и в Red Hat, и выбор сделан в пользу новых современных средств обновления, таких как Yum. Тут сразу нужно пояснить: выбор в пользу Yum из длинного ряда почти аналогичных конкурентов сделан с прицелом на возможности его модульного принципа работы, позволяющего RHEL 5 использовать новый rhn_plugin для доступа к содержимому питающей этот дистрибутив сети обновлений - Red Hat Network (сервисная сеть для администраторов Red Hat). Включение Yum в качестве дополнительного бонуса дает также доступ к хранилищу сторонних программ - но не забывайте, что ПО, установленное из любого стороннего хранилища, естественно, не поддерживается ни при каком варианте приобретения RHEL. И, наконец, завершающая причина выбора в пользу Yum - это очень мощная поддержка этого инструмента сообществом во время "обкатки" на родственном дистрибутиве Fedora.

Файловая система

Следующая очень важная инновация - RHEL 5 впервые использует относительно новую и перспективную файловую систему ext3, которая позволяет снять сразу множество ограничений уже отчасти реликтовой ext2, расширяя доступный объем дискового пространства до колоссальных 16 Tб. RHEL5 также несет на своем борту новую мощную утилиту resize2fs (заменившую ext2onliner), которая позволяет динамически изменять размеры смонтированных файловых систем. Эта возможность поддерживается ядром Linux версии 2.6. Важно обратить внимание на то, что эта утилита не изменяет размеры разделов, поэтому, прежде чем увеличивать файловую систему, убедитесь, что соответствующий раздел имеет достаточный для этого размер!

Общая безопасность

Начнем наше рассмотрение новаций в безопасности с подсистемы SELinux, которая, напомню, впервые появилась в 4-й версии. В 5-й версии она была существенно переработана и пересмотрена. Для начала, для незнакомых с этим понятием, поясню: с помощью SELinux ядро ОС безопасно изолирует друг от друга работающие процессы. SELinux позволяет настроить каждому процессу сугубо положенные для него привилегии. Кроме того, теперь через SELinux Management Tool не только стало возможным настроить права доступа для модуля любого специфического приложения, но и стала доступна настройка ACL, которая теперь стала намного проще (о ней подробнее мы поговорим позже). Но все же ради справедливости стоит отметить, что, несмотря на многочисленные очевидные улучшения, остались и некоторые старые проблемы. Как пример можно привести невозможность через стандартный SELinux Management Tool изменить характеристики доступа для группы приложений, но для подобных сложных случаев в RHEL5 имеется особая утилита - SELinux Troubleshooter. Давайте немного остановимся и на ней, ибо без нее любая нестандартная настройка параметров безопасности будет если и невозможна, то усложнена неимоверно.

SELinux Troubleshooter, главная задача которого - очищать и обрабатывать события в логах работы операционной системы и ее компонент, позволяет следить за проблемами, которые возникают в результате ошибок или некорректного поведения пользователей или приложений системы, которые он и призван оперативно обнаруживать. Но, несмотря на свое предназначение, SELinux Troubleshooter сам по себе не знает никаких путей по умолчанию к логам этих системных приложений, за которыми он призван наблюдать. Более того, даже если вручную указать все эти пути, к сожалению, он забывает их уже при следующей загрузке. Есть еще несколько довольно неожиданных недоработок, подобных этой, но я привел для примера лишь одну, чтобы в очередной раз доказать уже банальную истину: каждая новая версия не только исправляет старые ошибки, но и привносит с собой новые...

Что касается SELinux Troubleshooter, то он на самом деле очень полезен. Например, когда лог-файл накапливает однотипные ошибки в большом количестве (как это часто и бывает в жизни), встроенный механизм фильтров позволяет отсеять эти ошибки из общей массы разнородных сообщений, давая возможность сосредоточиться при анализах логов только на действительно важном.

Другая важная новая особенность системы - это Multi-Level Security (MLS), многоуровневая система безопасности. Теперь Red Hat соответствует уровню аккредитации по стандарту EAL4+/LSPP для работы в сверхсекретных правительственных и военных учреждениях США.

Списки контроля доступа

Невозможно закончить обзор безопасности системы, не остановившись на новых возможностях ACL. Списки контроля доступа (Access Control Lists, ACL) предоставляют дополнительные к традиционным правам возможности разграничения доступа к файлам и каталогам. Важно при этом помнить, что, для того чтобы начать использовать ACL, новая файловая система ext3 должна быть смонтирована с параметром acl, например вот так: mount -o acl /home. А для того чтобы установить права доступа для пользователя или группы, используйте команду setfacl -m. В общем виде это будет выглядеть как setfacl -m u:[имя пользователя]:[права] /каталог/файл. Поскольку здесь не место для более детального введения в эту новую особенность файловой системы, отсылаю вас за более подробной информацией к страницам руководства по командам setfacl и getfacl.

Гипервизор Xen

Интенсивная интеграция и использование Xen - это еще одно значительное новшество в рассматриваемой нами RHEL5. И прежде чем продолжить рассмотрение нового пришествия Xen в рамках платформы RHEL5, сначала для непосвященных в сие таинство приведем краткую историческую справку о сути этой технологии. Итак, Xen - это кросс-платформенный гипервизор, разработанный в компьютерной лаборатории Кембриджского университета и распространяемый на условиях лицензии GPL. Основные его особенности: поддержка режима паравиртуализации помимо аппаратной виртуализации, а главная черта его системной архитектуры, сделавшая его столь популярным, - минимальность кода самого гипервизора за счет выноса максимального количества компонент за пределы гипервизора.

Что примечательно, что здесь Xen представлен даже в более развитой версии, чем, например, в конкурирующем дистрибутиве SUSE 10, где Xen появился даже ранее, чем в RHEL. Но, несмотря на общую продвинутость версии поставки Xen, все же не хватает некоторых вспомогательных инструментов для его более удобного и последовательного применения. Но если говорить о плюсах, то теперь мы можем просто и самостоятельно запускать гипервизор и даже собирать отдельное - специально модифицированное под него - ядро, называемое в документации как Xenified. Все гостевые сессии могут очень быстро стартовать под этой специализированной версией ядра и постоянно контролироваться в Virt-Manager - специальном инструменте из комплекта Xen, который был включен в этот релиз RHEL. Если касаться минусов реализации Xen, то в RHEL все представленные административные инструменты не связаны воедино логически, что ведет к постижению искусства управления Xen скорее замысловатыми эмпирическими путями, нежели чем по некоторой заботливо предложенной четкой и прямой схеме, сводящей весь спектр возможностей и ситуаций воедино посредством некоторого общего интерфейса.

Редакции RHEL 5

И, наконец, рассмотрев все основные технические новшества, мы уже готовы заглянуть и на витрину магазина, чтобы понять, собственно, что предлагает Red Hat конечному покупателю. В RHEL5 было решено поменять маркетинговую политику и сменить тактику продвижения. Вместо уже привычных по прошлым версиям четырех вариантов дистрибутивов теперь представлено уже шесть различных версий RHEL5. Вот они:

Red Hat Enterprise Linux Advanced Platform (бывшая версия AS);
Red Hat Enterprise Linux (бывшая ES) (ограничено двумя ЦПУ);
Red Hat Enterprise Linux Desktop with Workstation and Multi-OS option;
Red Hat Enterprise Linux Desktop with Workstation option (бывшая WS);
Red Hat Enterprise Linux Desktop with Multi-OS option;
Red Hat Enterprise Linux Desktop (бывшая Desktop).

Давайте хотя бы кратко прокомментируем их назначение и отличия, чтобы понять об эволюции и специализации этих разных версий дистрибутивов. Начнем с того, что прежние версии Red Hat Enterprise Linux очень четко делились на четыре логичные группы. В RHEL 5 теперь все по-другому - ныне существует только два варианта: версия Server - для серверов и версия Desktop - извините за банальность, для настольных компьютеров. Подобное упрощение явно пошло на пользу великому делу продвижения: но это еще не все - ведь это же маркетинг, поэтому без дополнительной "загогулины" маркетологи обойтись, конечно же, никак не могли. Вместо класса инсталляции в RHEL 4 теперь появилось новое понятие - "инсталляционный ключ". И вот уже из "скрытого в этом ключе послания" инсталлятор динамически в процессе установки и развертывания системы генерирует из двух версий продуктов готовый преднастроенный набор аж из шести возможных пакетов. Минуточку терпения, для понимания всей этой мудреной маркетинговой схемы с доставанием зайчика из черного цилиндра в полном объеме осталось уже совсем немного...

Здесь нужно исходить из того, что у RHEL 5 Server таких разновидностей "серверных" ключей две: во-первых, это базовый сервер с ограничением до четырех виртуальных машин (limited to 2 CPU-s server version); во-вторых, продвинутый сервер с расширенными возможностями по виртуализации и памяти (Advanced Platform). Настольный же вариант (Desktop) предлагает уже целых четыре(!) предопределенных набора пакетов, которые оптимизированы для четырех типичных случаев, в частности: обычного ПК, технической рабочей станции, ну и также для двух крайних по режиму работы вариантов виртуализации. Если внимательно посчитать, то в этой расшифровке мы и описали кратко все шесть перечисленных выше доступных разновидностей поставки RHEL 5. В завершение к обсуждению различных редакций хочется добавить, что все шесть версий доступны в двух вариантах: для 32- и 64-битовых процессорных архитектур.

Надеюсь, теперь вы способны сделать осознанный и взвешенный выбор нужного вам варианта поставки, чтобы решать поставленные задачи максимально эффективно и специализированно. И, пожалуй, даже не стоит напоминать, что каждую из этих разновидностей RHEL5 вы можете свободно приобрести в известном интернет-магазине softkey.ru.

Краткое содержание главных новшеств