Red Hat Enterprise Linux: дистрибутив бизнес-класса

Сегодня мы поговорим про необычный Linux, далекий от многих уже привычных всем стереотипов в этой области, в котором сделана довольно смелая попытка совместить в одном продукте все, казалось бы, несовместимые свойства, - это плюсы платного и бесплатного программного продукта, в чем я и вижу основу успеха бизнеса компании Red Hat в целом. С одной стороны, вы получаете полный набор исходников, уже состоявшихся на рынке открытых технологий, с другой стороны – поддержку, в рамках которой вы сможете получать как оперативные и гарантированные обновления, так и консультации по всем возможным и невозможным ситуациям, которыми сопровождает всех нас насыщенная техническая жизнь любого мало-мальски сложного серверного продукта. Итак, сегодня речь пойдет об одной из последних версий популярного, можно даже сказать, центрального продукта известной компании из Северной Каролины - Red Hat Enterprise Linux 5 (RHEL5 сейчас интересен прежде всего тем, что становится центральным в такой родственной параллельной системе “дистрибуции для бедных”, как CentOS).

Так уж повелось, что в каждой очередной мажорной версии компания Red Hat всегда пытается реализовать некие инновационные и масштабные вещи, которые появились также и в пятой версии ее ведущего продукта. И если говорить о наиболее базовых особенностях, присущих новой Red Hat Enterprise Linux 5-й версии, то важно сразу отметить, что вся системная конструкция базируется на ядре 2.6.18, существенно доработанном компанией до уровня промышленного использования. Из других технических подробностей стоит отметить, что теперь система скомпилирована с использованием нового GCC 4.1 и Glibc 2.4, что, очевидно, должно благоприятно отразиться на общей стабильности и производительности работы. Есть важные изменения и в пользовательской части системы (userland), но чтобы рассказать обо всех нововведениях в этой существенной части системы более ясно и подробно, давайте последовательно пройдемся по всем самым заметным и значимым инновациям RHEL5, переводя наш рассказ об этом продукте сразу в более конкретную и прикладную плоскость.

Новая система обновлений

И раз уж мы упомянули о том, что это - бизнес-дистрибутив, то версия ядра на протяжении всей линейки обновлений и доработок в пределах этой мажорной версии, естественно, меняться не будет, демонстрируя всем предсказуемость и здоровый консерватизм. Но раз так, то наряду с постоянной работой службы поддержки выходит на сцену механизм обновлений ОС, и тут действительно произошли новые, очень приятные изменения. Если общая, уже стандартная методика обновлений в продуктах RHEL сохранилась прежняя - это выпуск заплаток, а также механизм обратного портирования возможностей из выходящих новых ядер, - то сам механизм установки всего этого великолепия подвергся модернизации.

Опытные пользователи RHEL сразу заметят исчезновение штатной утилиты Up2date, древнего средства мониторинга и загрузки обновлений, похоже, доставшегося нам в наследство еще от прошлых цивилизаций. Лично у меня пользователи Up2date видятся в воображении не иначе как бородатые бояре- сисадмины, как катакомбные старцы держащие глухую оборону супротив прогресса, пенсионный возраст которых совсем не мотивирует для переучивания на новые, более прогрессивные инструменты обновления.

Наконец-то, вслед за другими популярными дистрибутивами, инерция привычки сломлена и в недрах Red Hat, и выбор сделан в пользу новых современных стационарных средств обновления, таких как Yum. Тут сразу нужно пояснить: выбор в пользу Yum из длинного ряда почти аналогичных конкурентов сделан с дальним прицелом на возможности его модульного принципа работы, позволяющего RHEL 5 использовать новый rhn_plugin для доступа к содержимому питающей этот дистрибутив сети обновлений - Red Hat Network (сервисная сеть для администраторов Red Hat). Включение Yum в качестве дополнительного бонуса дает также доступ к хранилищу сторонних программ – но не забывайте, что ПО, установленное из любого стороннего хранилища, естественно, не поддерживается ни при каком варианте приобретения RHEL. И, наконец, завершающая причина выбора в пользу Yum - это очень мощная поддержка этого инструмента сообществом во время “обкатки” на родственном дистрибутиве Fedora. Разительная смена приоритетов, если сравнить с Up2date, которая впала в кому как технология еще в прошлом веке, никем не дорабатываемая и не обновляемая.

Файловая система

Следующая очень важная инновация - RHEL 5 впервые использует относительно новую и перспективную файловую систему ext3, которая позволяет снять сразу множество ограничений уже отчасти реликтовой ext2, расширяя доступный объем дискового пространства до колоссальных 16 Tб. RHEL5 также несет на своем борту новую мощную утилиту resize2fs (заменившую ext2onliner), которая позволяет динамически изменять размеры смонтированных файловых систем. Эта возможность поддерживается ядром Linux версии 2.6. Важно обратить внимание на то, что эта утилита не изменяет размеры разделов, поэтому прежде чем увеличивать файловую систему, убедитесь, что соответствующий раздел имеет достаточный для этого размер! Обещают, что с последующими заплатками и доработками будут доделаны и в полной мере включены и другие “файловые возможности” данного ядра, так что впереди нас ожидают также очень приятные в хозяйстве мелочи.

Общая безопасность

Начнем наше рассмотрение новаций в безопасности с подсистемы SELinux, которая, напомню, впервые появилась в 4 версии. В 5 версии она была существенно переработана и пересмотрена. Для начала, для не знакомых с этим понятием, поясню: с помощью SELinux ядро ОС безопасно изолирует друг от друга работающие процессы. SELinux позволяет настроить каждому процессу сугубо положенные для него привилегии. Кроме того, теперь через SELinux Management Tool стало возможным настроить не только права доступа для модуля любого специфического приложения, но теперь доступна и настройка ACL, которая стала намного проще (о ней подробнее мы поговорим позже). Но все же, ради справедливости стоит отметить, что несмотря на многочисленные очевидные улучшения, остались и некоторые старые проблемы. Как пример можно привести невозможность через стандартный SELinux Management Tool изменить характеристики доступа для группы приложений, но для подобных сложных случаев в RHEL5 имеется особая утилита - SELinux Troubleshooter. Давайте немного остановимся и на ней, ибо без нее любая нестандартная настройка параметров безопасности будет если и не невозможна, то усложнена неимоверно.

SELinux Troubleshooter, главная задача которого – очищать и обрабатывать события в логах работы операционной системы и ее компонент, позволяет следить за проблемами, которые возникают в результате ошибок или некорректного поведения пользователей или приложений системы, которые он и призван оперативно обнаруживать. Но, несмотря на свое предназначение, SELinux Troubleshooter сам по себе не знает никаких путей по-умолчанию к логам этих системных приложений, за которыми он призван наблюдать. Более того, даже если вручную указать все эти пути, к сожалению, он забывает их уже при следующей загрузке. Есть еще несколько довольно неожиданных недоработок, подобных этой, но я привел для примера лишь одну, чтобы в очередной раз доказать уже банальную истину: каждая новая версия не только исправляет старые ошибки, но приносит с собой новые…

Что касается SELinux Troubleshooter, то он на самом деле очень полезен. Например, когда лог-файл накапливает однотипные ошибки в большом количестве (как это часто и бывает в жизни), встроенный механизм фильтров позволяет отсеять эти ошибки из общей массы разнородных сообщений, давая возможность сосредоточиться при анализах логов только на действительно важном.

Другая важная новая особенность системы – это Multi-Level Security (MLS), многоуровневая система безопасности. Теперь Red Hat соответствует уровню аккредитации по стандарту EAL4+/LSPP для работы в сверхсекретных правительственных и военных учреждениях США. Новые возможности настройки параметров безопасности через system-config-selinux открывает новый горизонт возможностей в этом нелегком, но важном деле.

Также в заключение обзора безопасности хочется посоветовать сменить все пароли, устанавливаемые по-умолчанию для root и системных пользователей при инсталляции RHEL5, так как они генерируются по определенным жестким шаблонам, которые делают их уязвимыми для обычной атаки “перебор по словарю”.

Списки контроля доступа

Невозможно закончить обзор безопасности системы, не остановившись на новых возможностях ACL. Списки контроля доступа (Access Control Lists, ACL) предоставляют дополнительные к традиционным правам возможности разграничения доступа к файлам и каталогам. Важно при этом помнить, что для того, чтобы начать использовать ACL, новая файловая система ext3 должна быть смонтирована с параметром acl, например вот так: mount -o acl /home. А для того, чтобы установить права доступа для пользователя или группы, используйте команду setfacl -m. В общем виде это будет выглядеть как setfacl -m u:[имя пользователя]:[права] /каталог/файл. Поскольку здесь не место для более детального введения в эту новую особенность файловой системы, отсылаю вас за более подробной информацией к страницам руководства по командам setfacl и getfacl.

Гипервизор Xen

Интенсивная интеграция и использование Xen – это еще одно значительное новшество в рассматриваемой нами RHEL5. И прежде чем продолжить рассмотрение нового пришествия Xen в рамках платформы RHEL5, сначала для непосвященных в сие таинство приведем краткую историческую справку о сути этой технологии. Итак, Xen – это кроссплатформенный гипервизор, разработанный в компьютерной лаборатории Кембриджского университета и распространяемый на условиях лицензии GPL. Основные его особенности: поддержка режима паравиртуализации помимо аппаратной виртуализации, а главная черта его системной архитектуры, сделавшая его столь популярным - минимальность кода самого гипервизора за счет выноса максимального количества компонент за пределы гипервизора.

Что примечательно — здесь Xen представлен даже в более развитой версии, чем, например, в конкурирующем дистрибутиве SUSE 10, где Xen появился даже ранее, чем в RHEL. Но несмотря на общую “продвинутость” версии поставки Xen, все же не хватает некоторых вспомогательных инструментов для его более удобного и последовательного применения. Но если говорить о плюсах, то теперь мы можем просто и самостоятельно запускать гипервизор, и даже собирать отдельное – специально модифицированное под него - ядро, называемое в документации “Xenified". Все гостевые сессии могут очень быстро стартовать под этой специализированной версией ядра и постоянно мониториться в Virt-Manager – специальном инструменте из комплекта Xen, который был включен в этот релиз RHEL. Если касаться минусов реализации Xen, то в RHEL все представленные административные инструменты не связаны воедино логически, что ведет к постижению искусства управления Xen скорее замысловатыми эмпирическими путями, нежели чем по некоторой заботливо предложенной четкой и прямой схеме, сводящей весь спектр возможностей и ситуаций воедино посредством некоторого общего интерфейса. И в заключение рассмотрения виртуализации хотя бы упомяну про еще один технологический аванс - системе Stateless Linux, позволяющей запускать и поддерживать несколько настольных RHEL из одного централизованного образа. Stateless Linux - совершенно новый метод реализации Linux на корпоративном уровне, и хотя в первоначальном выпуске RHEL 5 поддерживается не полностью, но определенно заслуживает внимания в среде разработчиков.

Позволю себе совсем чуть-чуть обмолвиться о рабочем столе – такую важную часть любой современной ОС было бы неправильно обойти вниманием. В состав RHEL 5 Desktop вошел долгожданный OpenOffice.org 2.0.4 (в RHEL 4 была гораздо более старая версия). Значительно улучшены фильтры для форматов Microsoft, а также поддержка набирающего популярность Open Document Format (ODF). Включены Gnome 2.16 и Compiz, с добавкой популярных эффектов (например, вездесущих крутящихся кубиков). Больше всех повезло владельцам ноутбуков, так как RHEL 5 Desktop безупречно работает с такими функциями, как ACPI и подключение по беспроводной сети с помощью очумелого NetworkManager.

Редакции RHEL 5

И, наконец, рассмотрев все основные технические новшества, мы уже готовы заглянуть и на витрину магазина, чтобы понять, собственно, что предлагает Red Hat конечному покупателю. В RHEL5 было решено поменять маркетинговую политику и сменить тактику продвижения. Вместо уже привычных по прошлым версиям 4 вариантов дистрибутивов, теперь представлено уже 6 различных версий RHEL5.

Вот они:
. Red Hat Enterprise Linux Advanced Platform (бывшая редакция AS);
. Red Hat Enterprise Linux (бывшая ES) (limited to 2 CPU-s);
. Red Hat Enterprise Linux Desktop with Workstation and Multi-OS option;
. Red Hat Enterprise Linux Desktop with Workstation option (бывшая WS);
. Red Hat Enterprise Linux Desktop with Multi-OS option;
. Red Hat Enterprise Linux Desktop (бывшая Desktop).

Давайте хотя бы кратко прокомментируем их назначение и отличия, чтобы понять эволюцию и специализации этих разных версий дистрибутивов. Начнем с того, что прежние версии Red Hat Enterprise Linux очень четко делились на четыре логичных группы, это: ES (Enterprise Server), AS (Advanced Server), WS (Workstation) и Desktop, каждая из которых была с особым, своим собственным, тщательно отобранным набором пакетов и областью специализации. В RHEL 5 теперь все по-другому - ныне существует только два варианта: версия Server - для серверов, и версия Desktop, извините за банальность — для настольных компьютеров. Подобное упрощение явно пошло на пользу великому делу продвижения… но это еще не все – ведь это же маркетинг, поэтому без дополнительной “загогулины” маркетологи обойтись, конечно же, никак не могли. Вместо класса инсталляции в RHEL 4 теперь появилось новое понятие - “инсталляционный ключ”. И вот уже из “скрытого в этом ключе послания” инсталлятор динамически в процессе установки и развертывания системы генерирует из двух версий продуктов готовый преднастроенный набор аж из 6 возможных пакетов. Минуточку терпения, для понимания всей этой мудреной маркетинговой схемы с доставанием зайчика из черного цилиндра в полном объеме осталось уже совсем немного… Здесь нужно исходить из того, что у RHEL 5 Server таких разновидностей “серверных” ключей два: во-первых, это базовый сервер, с ограничением до четырех виртуальных машин (limited to 2 CPU-s server version); во-вторых, продвинутый сервер с расширенными возможностями по виртуализации и памяти (Advanced Platform). Настольный же вариант (Desktop) предлагает уже целых четыре(!) предопределенных набора пакетов, которые оптимизированы для 4 типичных случаев, в частности: обычного ПК, технической рабочей станции, ну и также для двух крайних по режиму работы вариантов виртуализации. Если внимательно посчитать – то в этой расшифровке мы и описали кратко все 6 перечисленных выше доступных разновидностей поставки RHEL 5. В завершение к обсуждению различных редакций хочется добавить, что все 6 версий доступны в двух вариантах: для 32- и 64-битных процессорных архитектур.

Надеюсь, после данного подробного обзора теперь каждый заинтересованный линуксоид сможет самостоятельно сделать осознанный и взвешенный выбор нужного варианта поставки, чтобы решать поставленные задачи максимально эффективно и специализированно.

Краткое содержание главных новшеств
. Миграция с ядра Linux версии 2.6.9 на 2.6.18.
. Появление расширенной поддержки системы виртуализации Xen.
. Интеграция ПО для организации кластера Red Hat Cluster Suite.
. Поддержка дисковых массивов iSCSI.
. Поддержка технологий InfiniBand с Remote Direct Memory Access (RDMA).
. Появление утилит сбора информации о системе SystemTap и Frysk.
. Поддержка современных 4-ядерных процессоров X86-64.
. Последнее доступное крупное обновление - 5.6 (Update 6) от 2011.01.12.

Игорь Савчук Softkey.info


Компьютерная газета. Статья была опубликована в номере 16 за 2011 год в рубрике soft

©1997-2024 Компьютерная газета