身為企業級Linux作業系統主要供應商之一的Red Hat,8月針對Red Hat Enterprise Linux(RHEL)推出了7.4版,距離前一版只花了9個月,比起先前幾個版本的速度快上一些(費時將近1年)。

整體而言,RHEL 7.4的特色在於增加新的自動化功能,試圖藉由功能強大、使用彈性的作業系統平臺,強化各種應用系統工作負載的安全性與效能,一併降低IT作業的複雜度,可同時橫跨實體伺服器、虛擬機器,或是在混合雲、公有雲、多雲等環境當中使用,而且,無論RHEL承載的是傳統應用系統,或是雲端原生應用系統,均可受惠。

添加更多安全性管理與防護機制

以安全性的特色而言,RHEL 7.4更新了系統本身的稽核功能,能簡化相關的管理工作——系統管理者可透過條件篩選的方式,快速過濾所要查看的事件記錄,並從重大事件裡面找到更多資訊,進而詮釋這些記錄背後所代表的意義。

另一項系統防護的新功能,則跟周邊裝置的連接有關,Red Hat稱為USB Guard。透過這項機制,RHEL現在可以針對隨插即用的USB裝置,進行更多安全性控管,像是限制只能由特定帳號來使用,藉以預防資料遭到外洩(data leaks),或是擅自注入資料(data injection)的狀況。

而對於container應用的安全性,RHEL新版也有所著墨。例如,若要在container環境裡面,使用SELinux(Security Enhanced Linux)的安全強化作業系統,同時搭配OverlayFS檔案系統來使用,Red Hat將提供完整支援,如此能在一起運用docker與命名空間時,提供更細緻的存取控制能力。

此外,RHEL 7.4針對網際網路新興的協定,像是HTTPS/2,也將提供更多相關支援。例如,藉由OpenSSL 1.0.2的引進,這套作業系統開始支援應用層協定協商(Application Layer Protocol Negotiation,ALPN),藉由這個TLS協定延伸應用機制,補足了本身的基本加密技術堆疊。由於這種作法可以透過應用層協定與其交握過程中的不同版本,進行商議,因此,能夠減少TLS交握的往返作業,從而降低TLS連線建立之後的額外來回需求,讓應用程式能通知HTTP/2進行支援。這種作法也可以結合其他系統核心層級的特色,像是TCP快速開啟(TCP fast open) ,針對調校TLS連線階段的建立來提供調校。

有了OpenSSL 1.0.2的另一個好處,是促使RHEL在OpenSSL的應用當中,開始支援資料包傳輸層安全協定(Datagram TLS,DLTS)的1.2版,將作業系統對於TLS的技術堆疊變得更完善。應用程式若能採用DLTS協定,將可以善用當中的相關資料驗證的安全加密(Authenticated Encryption with Associated Data,AEAD),而不像現行的DLTS,因為需仰賴傳統加密區塊鍊(CBC)的加密套件,而產生許多問題。

版本 6.0 – 6.3 6.3 – 6.7 6.8+ 7.0 – 7.1 7.2 7.3 7.4
智慧卡類型 CAC, coolkey CAC, coolkey, PIV CAC, coolkey, PIV CAC, coolkey, PIV CAC, coolkey, PIV, PKCS#15 CAC, coolkey, PIV, PKCS#15 CAC, coolkey, PIV, PKCS#15
驅動程式
Coolkey Coolkey Coolkey Coolkey Coolkey Coolkey Coolkey/OpenSC
PAM認證模組 Pam_pkcs11
Pam_krb5
Pam_pkcs11
Pam_krb5
Pam_pkcs11
Pam_krb5
SSSD
Pam_pkcs11
Pam_krb5
Pam_pkcs11
Pam_krb5
SSSD
Pam_pkcs11
Pam_krb5
SSSD
Pam_pkcs11
Pam_krb5
SSSD

此外,在智慧卡的使用上,RHEL先前提供的是一套名為CoolKey的驅動程式,但是支援的裝置較少,而在7.4版之後,RHEL也開始提供由社群所推動的OpenSC驅動程式,紅帽公司先前是在社群版Linux作業系統Fedora當中提供,而現在他們也承諾將在RHEL 7的生命週期當中,持續支援兩者。

而在container的應用上,RHEL 7.4整合了SELinux與OverlayFS的支援,同時支援overlay2 storage graph driver,因而改善了安全性,且無需犧牲效能。此外,這裡也運用了rpm-ostree來支援套件分層(package layering),如此可提供額外擴增套件的方法,像是針對主機作業系統的監控代理程式與驅動程式。

值得注意的是,RHEL新版也隨附了一些功能的技術預覽版,例如:無需重新開機,就能安裝安全修補程式與層疊套件的LiveFS,透過Ansible而能提供自動化工作流程執行的System Roles。此外,RHEL也將支援64位元ARM處理器平臺,目前是以開發預覽版的形式提供,而在IBM Power處理器平臺當中,RHEL也將支援高可用性、快速回復儲存的擴充應用,以及container通用標準——OCI(Open Container Initiative)執行環境與映像檔格式。

支援更多新規格,改善網路存取效能

改良安全性之餘,系統效能的提升也是這次RHEL改版重點,主要對象是在網路與儲存部分的應用。舉例來說,7.4版開始支援NVMe Over Fabric(NVMeF),若伺服器需透過乙太網路或InfiniBand網路互連架構,存取資料中心環境的NVMe儲存設備時,將可獲得更多使用彈性,並減少例行處理的負擔。

RHEL對於部署在公有雲環境的使用效能,也提供了幾個加速存取的特色,像是作業系統本身的開機時間現在變得更短,關鍵應用系統因此可以更快啟動;RHEL也支援AWS公有雲服務環境特有的網路組態——Elastic Network Adapter(ENA),而使得作業系統本身能獲得新的網路功能。

產品資訊

Red Hat Enterprise Linux 7.4
●原廠:Red Hat(02)7743-2972
●建議售價:廠商未提供
●支援伺服器平臺與支援的處理器顆數上限:x86-64為384顆、Power為192顆、System z為256顆
●記憶體需求:512MB以上,x86-64最大為12TB,Power 最大為2TB,System z最大為10TB
●硬碟需求:2個分割區,需10GB以上
●系統基礎核心版本:3.10版

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容