强化安全、效能与容器支援红帽2017新版企业级Linux 登场

社会动态2021-03-05 06:05:45
最佳答案

身为企业级Linux作业系统主要供应商之一的Red Hat,8月针对Red Hat Enterprise Linux(RHEL)推出了7.4版,距离前一版只花了9个月,比起先前几个版本的速度快上一些(费时将近1年)。

整体而言,RHEL 7.4的特色在于增加新的自动化功能,试图藉由功能强大、使用弹性的作业系统平台,强化各种应用系统工作负载的安全性与效能,一併降低IT作业的複杂度,可同时横跨实体伺服器、虚拟机器,或是在混合云、公有云、多云等环境当中使用,而且,无论RHEL承载的是传统应用系统,或是云端原生应用系统,均可受惠。

添加更多安全性管理与防护机制

以安全性的特色而言,RHEL 7.4更新了系统本身的稽核功能,能简化相关的管理工作——系统管理者可透过条件筛选的方式,快速过滤所要查看的事件记录,并从重大事件里面找到更多资讯,进而诠释这些记录背后所代表的意义。

另一项系统防护的新功能,则跟周边装置的连接有关,Red Hat称为USB Guard。透过这项机制,RHEL现在可以针对随插即用的USB装置,进行更多安全性控管,像是限制只能由特定帐号来使用,藉以预防资料遭到外洩(data leaks),或是擅自注入资料(data injection)的状况。

而对于container应用的安全性,RHEL新版也有所着墨。例如,若要在container环境里面,使用SELinux(Security Enhanced Linux)的安全强化作业系统,同时搭配OverlayFS档案系统来使用,Red Hat将提供完整支援,如此能在一起运用docker与命名空间时,提供更细緻的存取控制能力。

此外,RHEL 7.4针对网际网路新兴的协定,像是HTTPS/2,也将提供更多相关支援。例如,藉由OpenSSL 1.0.2的引进,这套作业系统开始支援应用层协定协商(Application Layer Protocol Negotiation,ALPN),藉由这个TLS协定延伸应用机制,补足了本身的基本加密技术堆叠。由于这种作法可以透过应用层协定与其交握过程中的不同版本,进行商议,因此,能够减少TLS交握的往返作业,从而降低TLS连线建立之后的额外来回需求,让应用程式能通知HTTP/2进行支援。这种作法也可以结合其他系统核心层级的特色,像是TCP快速开启(TCP fast open) ,针对调校TLS连线阶段的建立来提供调校。

有了OpenSSL 1.0.2的另一个好处,是促使RHEL在OpenSSL的应用当中,开始支援资料包传输层安全协定(Datagram TLS,DLTS)的1.2版,将作业系统对于TLS的技术堆叠变得更完善。应用程式若能採用DLTS协定,将可以善用当中的相关资料验证的安全加密(Authenticated Encryption with Associated Data,AEAD),而不像现行的DLTS,因为需仰赖传统加密区块鍊(CBC)的加密套件,而产生许多问题。

版本6.0 – 6.36.3 – 6.76.8+7.0 – 7.17.27.37.4智慧卡类型CAC, coolkeyCAC, coolkey, PIVCAC, coolkey, PIVCAC, coolkey, PIVCAC, coolkey, PIV, PKCS#15 CAC, coolkey, PIV, PKCS#15CAC, coolkey, PIV, PKCS#15驱动程式CoolkeyCoolkeyCoolkeyCoolkeyCoolkeyCoolkeyCoolkey/OpenSCPAM认证模组Pam_pkcs11
Pam_krb5Pam_pkcs11
Pam_krb5Pam_pkcs11
Pam_krb5
SSSDPam_pkcs11
Pam_krb5Pam_pkcs11
Pam_krb5
SSSDPam_pkcs11
Pam_krb5
SSSDPam_pkcs11
Pam_krb5
SSSD

此外,在智慧卡的使用上,RHEL先前提供的是一套名为CoolKey的驱动程式,但是支援的装置较少,而在7.4版之后,RHEL也开始提供由社群所推动的OpenSC驱动程式,红帽公司先前是在社群版Linux作业系统Fedora当中提供,而现在他们也承诺将在RHEL 7的生命週期当中,持续支援两者。

而在container的应用上,RHEL 7.4整合了SELinux与OverlayFS的支援,同时支援overlay2 storage graph driver,因而改善了安全性,且无需牺牲效能。此外,这里也运用了rpm-ostree来支援套件分层(package layering),如此可提供额外扩增套件的方法,像是针对主机作业系统的监控代理程式与驱动程式。

值得注意的是,RHEL新版也随附了一些功能的技术预览版,例如:无需重新开机,就能安装安全修补程式与层叠套件的LiveFS,透过Ansible而能提供自动化工作流程执行的System Roles。此外,RHEL也将支援64位元ARM处理器平台,目前是以开发预览版的形式提供,而在IBM Power处理器平台当中,RHEL也将支援高可用性、快速回复储存的扩充应用,以及container通用标準——OCI(Open Container Initiative)执行环境与映像档格式。

支援更多新规格,改善网路存取效能

改良安全性之余,系统效能的提升也是这次RHEL改版重点,主要对象是在网路与储存部分的应用。举例来说,7.4版开始支援NVMe Over Fabric(NVMeF),若伺服器需透过乙太网路或InfiniBand网路互连架构,存取资料中心环境的NVMe储存设备时,将可获得更多使用弹性,并减少例行处理的负担。

RHEL对于部署在公有云环境的使用效能,也提供了几个加速存取的特色,像是作业系统本身的开机时间现在变得更短,关键应用系统因此可以更快启动;RHEL也支援AWS公有云服务环境特有的网路组态——Elastic Network Adapter(ENA),而使得作业系统本身能获得新的网路功能。

产品资讯

Red Hat Enterprise Linux 7.4
●原厂:Red Hat(02)7743-2972
●建议售价:厂商未提供
●支援伺服器平台与支援的处理器颗数上限:x86-64为384颗、Power为192颗、System z为256颗
●记忆体需求:512MB以上,x86-64最大为12TB,Power 最大为2TB,System z最大为10TB
●硬碟需求:2个分割区,需10GB以上
●系统基础核心版本:3.10版

【注:规格与价格由厂商提供,因时有异动,正确资讯请洽厂商】

免责声明:本文由用户上传,如有侵权请联系删除!