Solaris 10 глазами Linux-администратора: сравнение систем безопасности и не только
Вопросы сравнения этих двух систем в последнее время стали подниматься все чаще. Конечно, без стараний самой Sun здесь не обошлось – им нужно продвигать свое детище – Solaris 10. Многие приверженцы Linux тоже начали задумываться: а вдруг Solaris действительно лучше, надежнее и быстрее, чем Linux? Может, стоит перейти на Solaris?
Что популярнее?
В Интернете есть проект top500, позволяющий судить о популярности того или иного явления в мире информационных технологий. Загляните на страничку www.top500.org/stats/list/29/os и вы узнаете, какая операционная система чаще встречается на серверах. Лидерство – за Linux. Solaris досталось всего лишь 0,8%. Почему? Возможно, Solaris действительно не так популярна. Но если Solaris действительно лучше, то положение дел может быстро измениться – на нее переведут очень много компьютеров. А может, Solaris слишком дорога? В общей сложности Linux установлена на 393 из 500 самых мощных компьютеров (78,6%).
Janus – технология, позволяющая в среде Solaris запускать Linux-приложения для x86.
Безопасность
Чем же хороша Solaris в плане безопасности? Она по праву считается одной из самых надежных UNIX-систем. В Solaris 10 используются решения, ранее применяемые в операционной системе Trusted Solaris, которая, как мы знаем, соответствует требованиям военных организаций. Благодаря контейнерам (о них мы поговорим чуть позже) Solaris может выполнять тысячи приложений и обслуживать огромное число одновременно работающих пользователей.
Вот некоторые особенности системы обеспечения безопасности Solaris 10:
- имеется система проверки целостности файлов и технология безопасного выполнения программ (Solaris Secure Execution);
- возможность расширенного управления правами пользователей и процессами;
- наличие межсетевого экрана Solaris IP Filter;
- есть криптографические сервисы и безопасные средства удаленного доступа;
- допускается поддержка NIS, LDAP и PAM.
Давайте рассмотрим все эти возможности подробнее.
Система проверки целостности файлов и технология Solaris Secure Execution
Практически все двоичные файлы в Solaris снабжены цифровыми подписями, что позволяет легко узнать, был ли изменен файл. Также в состав Solaris 10 входит утилита BART (Basic Audit and Reporting Tool), предназначенная для проверки целостности приложений и файлов данных.
Технология безопасного выполнения программ предотвращает прохождение измененного или неподписанного кода. Secure Execution тесно связана с системой проверки целостности и контролирует практически все приложения, драйверы и модули.
Теперь поговорим о контейнерах в Solaris 10. Данная технология позволяет создавать в пределах одного ядра несколько операционных окружений. Эти окружения и называются контейнерами. Контейнеру можно выделить аппаратные ресурсы (конечно, они ограничены), что позволяет изолировать одну виртуальную среду от других. Иными словами, контейнер – это ОС внутри ОС, но при этом используется ядро материнской ОС. Данная технология называется легковесной виртуализацией. В отличие от XEN или VMWare, где можно создать виртуальную машину, внутри которой запустить другую операционную систему, отличную от материнской, например в Linux запустить Windows и наоборот, в Solaris средства виртуализации используются не для экспериментов с другими гостевыми ОС, а для обеспечения надежности всей системы в целом.
Что нам известно о контейнерах?
- У контейнера собственный набор процессов, который изолирован от других контейнеров.
- Контейнер использует свою файловую систему, в том числе и корневую (понятно, что у контейнера собственные конфигурационные файлы).
- Имеются отдельные сетевые интерфейсы, устройства и свой набор сервисов SMF.
Есть ли подобные средства в Linux? Что касается целостности, то многим Linux-администраторам давно известны утилиты tripwire (www.tripwire.com), integrit и bsign (входят в состав Debian). Так что с целостностью файлов в Linux все в порядке.
Контейнеры, подобные контейнерам Solaris, есть и в Linux (рекомендую почитать http://heap.altlinux.ru/alt-docs/modules/ve_rationale.kirill/index.html), кроме этого Linux предлагает chroot-окружения (это не полноценные контейнеры, но тоже довольно эффективные).
Сделаем выводы: Linux ничем не уступает Solaris 10, точнее Trusted Solaris, поскольку технология контейнеров пришла именно из нее.
Расширенное управление правами пользователей и процессами
Все мы знаем, что традиционная система управления правами пользователей в UNIX/Linux не очень безопасна. Злоумышленник может завладеть всей системой, стоит ему только получить пароль пользователя root. Это, разумеется, неправильно, поэтому стали разрабатываться системы управления доступом на основе ролей. Данные системы позволяют назначить пользователям минимально необходимые для их работы права, например, зачем обычному пользователю возможность запуска gcc? Такое решение эффективно ограничивает права пользователей и повышает безопасность системы.
В Trusted Solaris как раз и использовалась собственная система управления доступом на основе ролей. Linux готова противопоставить ей свою SELinux, которая по праву считается самой безопасной системой ограничения доступа. Кроме SELinux можно применять GrSecurity и другие системы. Так что и тут Solaris ничем не лучше Linux.
Межсетевой экран Solaris IP Filter
Solaris IP Filter – это немного модифицированная версия свободно распространяемого IP Filter, о чем в открытую и заявляется на сайте Sun. Особо говорить о нем вряд ли стоит.
Криптографические сервисы и безопасные средства удаленного доступа
В Solaris используется так называемый корпоративный механизм аутентификации Sun (Sun Enterprise Authentication Mechanism). Пожалуй, и здесь нет ничего нового: механизм аутентификации представляет собой модифицированную компанией Sun технологию Kerberos, давно реализованную в Linux.
Также в Solaris 10 имеется поддержка LDAP, rsh, rcp, telnet, и при этом говорится, что раньше их можно было загрузить из интернета, а теперь все это есть в Solaris 10 по умолчанию. А в Linux это было очень давно, а кроме того, rsh и rcp были заменены на более безопасные решения на базе ssh... И это не говоря уже о telnet, который уже никто не использует!
Лично мое мнение : Solaris в этой категории даже проигрывает Linux. Во-первых, практически ничего нового не создано. Во-вторых, имеет место использование морально устаревших решений.
Поддержка NIS, LDAP и PAM
Данные технологии также хорошо знакомы администраторам Linux, поэтому и здесь Sun нас ничем не удивила. Кстати, насчет LDAP. Настоятельно советую посетить страничку www.symas.com/10k-solvlinux.shtml, где приводится сравнение производительности систем под управлением Solaris и Linux. При обращении одного клиента к Solaris-системе, последняя немного отстает от Linux, но при одновременном обращении десяти клиентов, разница, как говорится, налицо.
Выводы, сделанные в том тесте, следующие: платформа Linux/x86 превосходит Solaris во всех тестах. Раз мы уж затронули вопрос производительности, то самое время поговорить о ней подробнее.
Производительность
Надежная и безопасная ОС не всегда является быстрой. Что же касается Solaris 10, то есть теоретические сведения и практические. В теории все выглядит очень даже хорошо. Минимальные системные требования Solaris 10: минимум 120 (!) Мгц для x86, 256 Мб оперативной памяти и 2 Гб на жестком диске. Таким системным требованиям могут позавидовать даже современные дистрибутивы Linux, не говоря уже о продуктах Microsoft.
Официальные документы Sun говорят следующее:
В официальных бумагах Sun (Sun White Papers) все так замечательно, что многие готовы сразу же поверить всему, что там написано. Но посмотрим, как дела обстоят на самом деле. На практике получаем медленную загрузку: по сравнению с Solaris, Ubuntu 7 (не говоря уже о Ubuntu 6) настоящий спринтер. После загрузки нужно отдать должное Sun, все работает довольно шустро, во всяком случае быстрее, чем я ожидал.
Производительность Solaris очевидна при работе с Java-приложениями. Здесь Solaris на высоте. Вы можете ознакомиться с тестами производительности приложения WebReportCafe на страничке www.sun.com/software/customers/webreport_cafe.xml. Результаты теста производительности приводятся в количестве страниц PDF-файла, созданных за 1 мин (PPM). Так вот, Red Hat Enterprise Linux 4 за 1 мин успевает создать 28,7 стрю, а Solaris 10 – 40 стр. Если же тонко настроить JVM, то получится 51 стр! Конечно, сами понимаете, что JVM на RHEL никто тонко не настраивал. А жаль. Видно, это не выгодно Sun. Но в любом случае, если вам нужны Java-приложения, то платформа от Sun – это лучшее решение.
SUSE Linux Enterprise Server 10 vs Solaris 10
Давайте сравним десятую версию SUSE Linux Enterprise Server (далее просто SUSE) с десятой версией Solaris (10-я версия Solaris и 10-я версия SUSE – красиво получается!).
Сравнивать SUSE и Solaris будем по разным критериям – от наличия приложений до возможностей виртуализации.
Начнем с приложений. Для SUSE доступно более 2000 приложений: как свободные, так и проприетарные, например Oracle и WebSphere. Кроме этого существует более 1000 OpenSource-пакетов, которые не входят в состав дистрибутива. И у Solaris с приложениями нет никаких проблем, хотя и не так хорошо, как в SUSE: более 1500 приложений для x86 (но не все они сертифицированы) плюс всего 188 OpenSource-пакетов.
Теперь о «железе». SUSE выглядит более привлекательнее еще и потому, что Novell наладила отношения со многими независимыми производителями аппаратного обеспечения, включая HP и IBM, чем не может похвастаться Solaris. Что это дает? Конечно, лучшую поддержку «железа»! SUSE поддерживает аппаратные платформы x86, x64, PowerPC, Itanium 2, z9 (мэйнфрейм IBM), а Solaris лишь x86/x64 и SPARC.
Настал черед поговорить о производительности. Solaris выигрывает только в тесте SPECjbb2005 (www.spec.org/jbb2005/), во всех остальных, особенно для платформы x86 Solaris показывает не очень высокие результаты. У SUSE, согласно тестам, результаты выше. Именно поэтому ведущие производители «железа» – Dell, HP и IBM – выбрали SUSE.
Я обещал затронуть вопрос виртуализации. В SUSE используется Xen 3.0, а это означает параллельное выполнение виртуальных машин, в каждой из которых может быть запущена разная гостевая операционная система.
Механизм виртуализации в Solaris несколько иной. Там используется контейнерная технология, обеспечивающая базовые возможности виртуализации, но в этом плане Solaris далеко до SUSE/Xen. В Solaris просто изолируются окружения приложения и пользовательского стека друг от друга, но все работает в пределах одной ОС – Solaris. Другими словами, вы не можете установить гостевые операционные системы, как в Xen, и работать в них. Контейнерную технологию можно назвать технологией виртуализации с большой натяжкой. Но зато, нужно отметить, она позволяет существенно повысить надежность системы. Sun в своем механизме виртуализации сделала ставку на надежность, а не на возможность запуска гостевых ОС, которые на сервере предприятия не нужны.
Выводы
Подводя итоги, можно сказать, что у Solaris 10 (именно 10, потому как в предыдущих версиях многих возможностей 10-й версии нет) есть одно неоспоримое преимущество: все описанные средства безопасности уже встроены в дистрибутив Solaris! Если бы мы сравнивали Solaris с каким-то отдельным дистрибутивом Linux, вполне возможно, что тот, отдельный дистрибутив, и проиграл бы в плане безопасности. Ведь SELinux, tripware и средства виртуализации, хоть и созданы для Linux, далеко не всегда входят в состав дистрибутива.
В плане производительности Solaris значительно выигрывает только при работе с Java-приложениями. Хотя, учитывая высокопроизводительную файловую систему UDF, Solaris производит довольно приятное впечатление.
Окончательный вывод следующий. Solaris 10 – отличная операционная система, но все же по изложенным в статье причинам, предпочтение я бы отдал Linux. На мой взгляд, при правильной настройке Linux будет безопаснее, быстрее и удобнее, чем Solaris.
SPECjbb2005
Тест SPECjbb2005 предназначен для измерения производительности Java-приложений. Как и следовало ожидать, Sun вместе со своей Solaris в нем на высоте!
ZFS
Кроме UDF Solaris поддерживает относительно молодую файловую систему ZFS (Zettabyte File System), основными достоинствами которой являются:
- масштабируемость (ZFS – 128-битная ФС);
- * контроль целостности данных с помощью контрольных сумм;
- * использование модели транзакций.
Подробнее о ZFS можно прочитать по адресу: www.sun.com/2004-0914/feature/?biga=15
|
Обсуждение статьи
|
|
|
|
RE: Solaris 10 глазами Linux-администратора: сравнение систем безопасности и не только
Автор навичек видно сразу из поверхностного обзора нововедений.
1) По поводу контейнеров в Linux есть OpenVZ VServer аналоги Zone в Солярке а автор приводит не доделаный релиз какого то контейнера ve_rationale только.
2)Во вторых вытор наверно писал статью в 2006 году и только сейчас разместил её в Солярке кроме UDF файловой системы есть супер новинка ZFS, которой всем остальным долеко по функционалу и возможностям, да проиизводительности САН сейчас её вытягивает но и это уже дело соизмеримое с Лунухом EXT3.
3) Если автор тестирует систему он должен разбиратся в тонкостях настройки в Солярисе есть планировщики процессов которые при определённой настройки(для нужных задачь) оставят далеко Линухи.
4) Безопасность В Сане на уровне Мандатного доступа так называемого SELinux была реализована ещё в Solaris 7 а это ещё прошлое тысечелетие, SELinux появился сравнительно не давно 5 лет назад. Что качается сравнения сложности настройки SELinux и системы безопасности Солярис то в солярке это настроить и использовать на парядок легче.
5) А Вот если сравнивать по Файрволам которые автор не сравнил То IPTables по возможностям в разы лучше чем IP-Filter тут даже спорить не с чем.
Статья не как поверхностная и для спецов как быкварь для Академиков.... |
|
RE: Solaris 10 глазами Linux-администратора: сравнение систем безопасности и не только
Красиво обосрал статью, при этом недав никаких конкретных данных... покажы сравнительные графики ZFS в солярке и линухе? а то на словах все можна сказать =) |
|
RE: Solaris 10 глазами Linux-администратора: сравнение систем безопасности и не только
Прочитал статью и комменты....ушел ставить Solaris 10 на сервер ;-) |
|
RE: Solaris 10 глазами Linux-администратора: сравнение систем безопасности и не только
Попытка скрытого продвижения RHEL, плохо спрятаная за обощающим термином Линукс. Из статьи сразу ясно - бог сотворил Линукс и через тысячу лет противные коммерческие юниксы начинают оттуда копировать технологии.
Все подобные статьи - расчет на широкие массы начинающих. А борьба за них это будущие деньги и особенно в мире свободного и открытого ПО. |
|
RE: Solaris 10 глазами Linux-администратора: сравнение систем безопасности и не только
В Solaris 10 - trusted extensions.
Да и за Java приходиться расплачиваться - оперативка должна быть 1Gb (миннимум), тут уж деваться не куда. Вот пример из личного опыта. Сервер: CPU - 2 core (2*3.0 MHz), RAM - 2Gb.
Solaris 10 (squid+samba+ipfilter(NAT)+apache2+SSH) - это то активно использую(24*7).Solaris RAM грузит на 70%, Fedora 12 (на этом же железе) - 40%. Выигрыш очевидет, но мне надо другое - НАДЕЖНОСТЬ. И поэтому выбираю - Solaris. Да, еще знаком с админами из МТС и Мегафона и почему то у них под биллинг операционка Solaris, говорят нужна надежность как в военной огранизации (наверно ошибаются :) ).
В ГАЗПРОМе диспетчерская служба (и не только) на Solaris-e, а там умею считать деньги. |
|
RE: Solaris 10 глазами Linux-администратора: сравнение систем безопасности и не только
Не знаю за Солярку, не работал с ней не разу, но могу точно сказать за RHL системы: CentOS, Fedora, RHEL - в работе надежны как танки, даже BSD им уступает. Делаем выводы сами. Ничего нового в Солярке по сравнению с RHL/Linux не нашел. |
|
RE: Solaris 10 глазами Linux-администратора: сравнение систем безопасности и не только
Прочитал статью и коменты, для меня как для новичка предельно ясно только одно, цитирую:"На мой взгляд, при правильной настройке Linux будет безопаснее, быстрее и удобнее, чем Solaris.
"- а что это значит. Можно за 2 часа усановить и настроить соляру, или 2 месяца мучится с линуксом |
|
RE: Solaris 10 глазами Linux-администратора: сравнение систем безопасности и не только
The printing machinery network (www.yja.com.cn), founded in 2001, is now the largest domestic printing machinery industry vertical B2B e-commerce websites. Value-added telecommunication business license Numbers for: hubei B2-20050125. For printing and china printing machine related enterprise products trade and information exchange interaction bridge erection. It has comprehensive application foreground and spread value for label printing machine,flexo printing machine.And it is the biggest online printing machinery display platform. The printing machinery network make full use of the advantages of the Internet, distinctive "Network + publications" , facing the whole country and the world, to provide professional enterprise online, offline various forms of professional trade service. |
|
RE: Solaris 10 глазами Linux-администратора: сравнение систем безопасности и не только
а при чем тут Solaris и UDF (Universal Disk Format, используемый на носителях cd-RW и dvd/RW)? Исторически устоявшейся файловой системой в Солярис всех версий является UFS (Unix File System)... Кроме того в приведенном автором графике лично я нифига не понял... ни откудаграфик, ни что он показывает (опять-таки там про UDF да еще и на Солярис 9, а не 10 если уж на то пошло) |
|
|
Keywords: zPOSTz zSECURITYz z10129z
Для Авторов: edit  delete
Автор: Денис Колисниченко
web site
Дата: 02.09.2009 15:11:15©
|
Архив номеров
