强化安全、效能与容器支援红帽2017新版企业级Linux 登场

身为企业级Linux作业系统主要供应商之一的Red Hat，8月针对Red Hat Enterprise Linux（RHEL）推出了7.4版，距离前一版只花了9个月，比起先前几个版本的速度快上一些（费时将近1年）。

整体而言，RHEL 7.4的特色在于增加新的自动化功能，试图藉由功能强大、使用弹性的作业系统平台，强化各种应用系统工作负载的安全性与效能，一併降低IT作业的複杂度，可同时横跨实体伺服器、虚拟机器，或是在混合云、公有云、多云等环境当中使用，而且，无论RHEL承载的是传统应用系统，或是云端原生应用系统，均可受惠。

添加更多安全性管理与防护机制

以安全性的特色而言，RHEL 7.4更新了系统本身的稽核功能，能简化相关的管理工作——系统管理者可透过条件筛选的方式，快速过滤所要查看的事件记录，并从重大事件里面找到更多资讯，进而诠释这些记录背后所代表的意义。

另一项系统防护的新功能，则跟周边装置的连接有关，Red Hat称为USB Guard。透过这项机制，RHEL现在可以针对随插即用的USB装置，进行更多安全性控管，像是限制只能由特定帐号来使用，藉以预防资料遭到外洩（data leaks），或是擅自注入资料（data injection）的状况。

而对于container应用的安全性，RHEL新版也有所着墨。例如，若要在container环境里面，使用SELinux（Security Enhanced Linux）的安全强化作业系统，同时搭配OverlayFS档案系统来使用，Red Hat将提供完整支援，如此能在一起运用docker与命名空间时，提供更细緻的存取控制能力。

此外，RHEL 7.4针对网际网路新兴的协定，像是HTTPS/2，也将提供更多相关支援。例如，藉由OpenSSL 1.0.2的引进，这套作业系统开始支援应用层协定协商（Application Layer Protocol Negotiation，ALPN），藉由这个TLS协定延伸应用机制，补足了本身的基本加密技术堆叠。由于这种作法可以透过应用层协定与其交握过程中的不同版本，进行商议，因此，能够减少TLS交握的往返作业，从而降低TLS连线建立之后的额外来回需求，让应用程式能通知HTTP/2进行支援。这种作法也可以结合其他系统核心层级的特色，像是TCP快速开启（TCP fast open） ，针对调校TLS连线阶段的建立来提供调校。

有了OpenSSL 1.0.2的另一个好处，是促使RHEL在OpenSSL的应用当中，开始支援资料包传输层安全协定（Datagram TLS，DLTS）的1.2版，将作业系统对于TLS的技术堆叠变得更完善。应用程式若能採用DLTS协定，将可以善用当中的相关资料验证的安全加密（Authenticated Encryption with Associated Data，AEAD），而不像现行的DLTS，因为需仰赖传统加密区块鍊（CBC）的加密套件，而产生许多问题。

版本6.0 – 6.36.3 – 6.76.8+7.0 – 7.17.27.37.4智慧卡类型CAC, coolkeyCAC, coolkey, PIVCAC, coolkey, PIVCAC, coolkey, PIVCAC, coolkey, PIV, PKCS#15 CAC, coolkey, PIV, PKCS#15CAC, coolkey, PIV, PKCS#15驱动程式CoolkeyCoolkeyCoolkeyCoolkeyCoolkeyCoolkeyCoolkey/OpenSCPAM认证模组Pam_pkcs11
Pam_krb5Pam_pkcs11
Pam_krb5Pam_pkcs11
Pam_krb5
SSSDPam_pkcs11
Pam_krb5Pam_pkcs11
Pam_krb5
SSSDPam_pkcs11
Pam_krb5
SSSDPam_pkcs11
Pam_krb5
SSSD

此外，在智慧卡的使用上，RHEL先前提供的是一套名为CoolKey的驱动程式，但是支援的装置较少，而在7.4版之后，RHEL也开始提供由社群所推动的OpenSC驱动程式，红帽公司先前是在社群版Linux作业系统Fedora当中提供，而现在他们也承诺将在RHEL 7的生命週期当中，持续支援两者。

而在container的应用上，RHEL 7.4整合了SELinux与OverlayFS的支援，同时支援overlay2 storage graph driver，因而改善了安全性，且无需牺牲效能。此外，这里也运用了rpm-ostree来支援套件分层（package layering），如此可提供额外扩增套件的方法，像是针对主机作业系统的监控代理程式与驱动程式。

值得注意的是，RHEL新版也随附了一些功能的技术预览版，例如：无需重新开机，就能安装安全修补程式与层叠套件的LiveFS，透过Ansible而能提供自动化工作流程执行的System Roles。此外，RHEL也将支援64位元ARM处理器平台，目前是以开发预览版的形式提供，而在IBM Power处理器平台当中，RHEL也将支援高可用性、快速回复储存的扩充应用，以及container通用标準——OCI（Open Container Initiative）执行环境与映像档格式。

支援更多新规格，改善网路存取效能

改良安全性之余，系统效能的提升也是这次RHEL改版重点，主要对象是在网路与储存部分的应用。举例来说，7.4版开始支援NVMe Over Fabric（NVMeF），若伺服器需透过乙太网路或InfiniBand网路互连架构，存取资料中心环境的NVMe储存设备时，将可获得更多使用弹性，并减少例行处理的负担。

RHEL对于部署在公有云环境的使用效能，也提供了几个加速存取的特色，像是作业系统本身的开机时间现在变得更短，关键应用系统因此可以更快启动；RHEL也支援AWS公有云服务环境特有的网路组态——Elastic Network Adapter（ENA），而使得作业系统本身能获得新的网路功能。

产品资讯

Red Hat Enterprise Linux 7.4
●原厂：Red Hat(02)7743-2972
●建议售价：厂商未提供
●支援伺服器平台与支援的处理器颗数上限：x86-64为384颗、Power为192颗、System z为256颗
●记忆体需求：512MB以上，x86-64最大为12TB，Power 最大为2TB，System z最大为10TB
●硬碟需求：2个分割区，需10GB以上
●系统基础核心版本：3.10版

【注：规格与价格由厂商提供，因时有异动，正确资讯请洽厂商】