【ChinaByte 專欄】在Red Hat Network分析的第二部分,我將詳細地從技術的角度講一些系統管理員可能會感興趣的東西,其中包括Red Hat Network必須克服的一些可能的缺陷,以及終端用戶必須注意的一些問題。俗話說:“閃光的未必都是金子。”因此,即使是那些有經驗的用戶也必須注意使用Red Hat Network可能會牽涉到的一系列安全問題。
第一件你必須知道的事是,雖然Red Hat Linux6.2 很快就會支持Red Hat Network,但是目前僅有Red Hat Linux 7 支持Red Hat Network。因此,如果你的公司是運行在老式的5.2版本(我想是有這個可能性的,因為5.2版本是一個相當穩定的版本),那麼你就不要再想什麼Red Hat Network,因為它根本就不支持5.2版本。而我個人對目前有許多人正在放心地在服務器上運行Red Hat Linux 7 這一事實表示相當程度的懷疑。
第二,使用Red Hat Network還會牽涉到一些相應的郵件收發後台程序的問題。該郵件收發後台程序又稱之為'rhnsd' ,即Red Hat Network服務郵件收發後台程序。如果用戶要使用該郵件收發後台程序的話,機器就必須與互聯網相連接。但是,如果你的Linux 服務器上運行著一些十分保密的應用程序,如財務數據等,那麼我就不推薦你使用Red Hat Network。
Red Hat Network服務郵件收發後台程序每半個小時連接一次Red Hat Network。安全連接的途徑通常有兩種。第一種是所有的網絡交易都使用安全插口層 (SSL)完成,而SSL將對網絡數據進行加密。Red Hat使用的SSL版本是OpenSSL。第二種是雙方均通過數字認證確認系統。在你的GNU/Linux 內盒中,該認證文件通常都存在/etc/sysconfig/rhn/systemid下面。
總結起來,每個在Red Hat Network注冊的系統都在Red Hat 的服務器上有一個相應的文件。該文件將包括如下息:軟件包列表/簡單的配置文件以及那些竟過授權可以登錄Red Hat Network並修改機器文件的用戶的名稱和密碼。
如果在一個更為積極活躍的角色中,每一次有關新的安全事件、臭蟲或升級的軟件包的信息都是可以獲取的。這些信息將傳遞到Linux 內盒的管理員手中。管理員可以選擇是否接收這些關於升級的電子郵件,選擇是否自動下載和安裝這些軟件包。而這就是系統文件從中扮演的角色,因為並不是所有的機器都可以接收所有的有關系統升級的信息。如果你的Linux 機器中不包括任何打印軟件,那麼在新的打印軟件發布的時候你的機器是會忽略該信息的。
目前Red Hat Network支持的軟件包包括:
- the Red Hat Linux CD
- the Red Hat Powertools CD
- the Red Hat Linux Applications CD
另外,還有一個非常關鍵的問題你可能會問到,那就是:“一個安全事件或是臭蟲補丁是由誰去決定的呢?”事實上,臭蟲補丁可以有好幾種方式產生。大部分的臭蟲會先在Red Hat的臭蟲網絡上發布,然後傳到Red Hat工程小組,由他們來盡可能快地提出修補臭蟲的方案。在Red Hat Network中,這些臭蟲信息將隨之傳到所有相關的服務器上。
盡管這種服務目前還不能獲得,但是今後的Red Hat Network將包括這種進行遠端管理的能力。例如,如果你的機器出現了某個毛病,那麼你就可以即時地與Red Hat取得聯系。Red Hat可以查看你機器的系統文件,然後遠端登錄幫助你解決問題。雖然對於目前大多數的Unix銷售商來說,他們會留意他們所支持的機器的有關硬件信息,但是Red Hat目前關注的只有基本的軟件信息信息。
好了,現在我們來對Red Hat Network作一些總體評述。首先,我認為特別值得大家注意的是有關互聯網連接的問題。任何連接Red Hat Network的機器為了做到每半小時刷新一次就必須與互聯網保持動態連接的關系。因此,如果你的Red Hat機器上運行了一些特別需要保密的財務軟件,那麼你就決對不能讓這台機器與互聯網保持動態連接的關系。因為許多系統管理員已經發現任何這種連接最終都會給自己帶來被攻擊的危險。但是,如果連接Red Hat Network的機器只是一台郵件服務器,那就沒有任何關系了。
其次,另外一個問題就是你存儲在Red Hat服務器上的有關你機器的系統文件。一般來說這沒有什麼特別的,除非你認為把自己公司的服務器的信息存儲在他人的服務器上意味著潛在的安全問題。雖然我並不主張大家對此事掉以輕心,但是也不認為因此你就放棄了Red Hat Network。許多服務器都存在一定的安全風險,不過那又怎麼樣呢?事實上,你的密碼是對全世界公開的。
最後一個問題是,不要輕易選擇讓Red Hat自動更新升級你機器的軟件包。盡管擁有最新的安全修復補丁是一件很惬意的事,但是除非他們是很必要的、非進行更新不可,我就不太主張大家使用這種自動更新的辦法。就我個人而言,我是謹遵那句老話:“如果不是真得崩潰了,否則就不要輕易修補。”你依舊可以在Red Hat 5.2上收發電子郵件、打印、浏覽、下載或構建防火牆。你根本就不需要為了獲得一些簡單的服務而貿然更新最新的軟件包。
說了這麼多對Red Hat Network的負面評價,現在讓我們再來總結一下Red Hat Network的有用之處吧。
1. 可以得到有用的、高度相關的有關軟件包、安全問題以及臭蟲更新的信息,這些信息通過郵件方式每半個小時刷新一次。
2. 對於那些連接互聯網的非關鍵任務的機器來說,可以獲得Red Hat的遠端系統管理的信息。
3. Red Hat所支持的機器可以得到即使迅速的解決有關問題的方案。以後,提供的服務還包括快速的業績監視以及分析。
4. 隨之Red Hat Network的發展,還會提供更多的諸如自動操作某些管理過程的服務。
最後,如果你還想知道更多的關於Red Hat Network的信息,請查閱Red Hat Network白皮書或直接與 Bugzilla@Redhat聯系。
摘自:ChinaByte
