SCO OpenServer 6

Gdy zabrakło w mediach doniesień o roszczeniach SCO Group względem Linuksa, niewiele słyszy się o dokonaniach tej firmy. Dlatego warto odnotować niedawne wydanie systemu operacyjnego OpenServer 6, uaktualnionego do poziomu nowego jądra Unix System V rel. 5. Test wykazał, że system jest wydajniejszy w środowisku 32-bitowym i obsługuje nowe mechanizmy ochronne. Niemniej SCO powinna poświęcić trochę czasu na wygładzenie szczegółów swych zabezpieczeń.

Gdy zabrakło w mediach doniesień o roszczeniach SCO Group względem Linuksa, niewiele słyszy się o dokonaniach tej firmy. Dlatego warto odnotować niedawne wydanie systemu operacyjnego OpenServer 6, uaktualnionego do poziomu nowego jądra Unix System V rel. 5. Test wykazał, że system jest wydajniejszy w środowisku 32-bitowym i obsługuje nowe mechanizmy ochronne. Niemniej SCO powinna poświęcić trochę czasu na wygładzenie szczegółów swych zabezpieczeń.

OpenServer różni się od SCO UnixWare tym, że jego wymagania pamięciowe i obsługa CPU są bliższe potrzebom małych i średnich przedsiębiorstw. Cena, jaką trzeba zapłacić za OpenServer 6, kalkulowana jest wg liczby użytkowników, CPU i pamięci, co odbiega od standardowego modelu opłat przyjętego przez branżę - za użytkownika lub CPU.

W teście OpenServer nie miał trudności w identyfikowaniu sprzętu na każdej użytej platformie serwerowej. Brak jest specjalnego wyposażenia dla procesorów 64-bitowych, ale OpenSever 6 zidentyfikował dwu- i wieloprocesorowe maszyny 64-bitowe, wykorzystując te procesory w trybie emulacji x86/32 bity. Niepoprawnie obsługiwane są drukarki USB, ale firma zapewniła, że prowadzi prace zmierzające do usunięcia tych usterek. Mankamentem tej wersji jest też brak pełnej obsługi ładowania pxE czy innej instalacji sieciowej.

Użytkownik może być dodany z hasłem dowolnej długości powyżej trzech znaków. Jeżeli zmienia on swoje hasło, to dla zapewnienia wysokich standardów ochrony przed atakami słownikowymi na hasła, wybór hasła może być profilowany przez ulility SCO Security Profile Manager. OpenServer 6 pozwala administratorom wymuszać hasła z dodatkowymi znakami, liczbami i losowe.

Jedyną istotną zmianą zawartą w OpenServer 6 w odniesieniu do standardowego pakietu open source (obejmującego zazwyczaj: Apache, Tomcat, Java, Java Server Pages, Mozilla, SAMBA, PostGreSQL i MySQL) jest instalowanie Apache 2.0.3 do obsługi plików pomocy, które są reprezentacją HTML dokumentacji systemowej OpenServer 6. Dokumentacja ta może być przeglądana jedynie lokalnie.

Środki ochrony

SCO OpenServer 6

OpenServer 6 używa utwardzonego jądra, ale brakuje dokumentacji na temat sposobu tego utwardzenia. Podczas testów stwierdzono, że jądro wykorzystuje ładowalne sterowniki wykonawcze, co może być furtką do wprowadzania szkodliwych sterowników.

Zintegrowana zapora ogniowa wykonuje translację adresów i kontrolę dostępu do specyficznych portów, a także kontrolę kontekstową (stateful inspection). Do tego celu używane są programy IP Filters - ipf (licencja BSD). Wszystkie komponenty IP Filters są składowymi modułu ipftest, który chociaż użyteczny, lepiej zastąpić inną, zewnętrzną aplikacją testowania penetracji.

Domyślne reguły zapory ogniowej OpenServer 6 są wystarczające. Podczas testów nie stwierdzono groźnych luk przy ustawieniach domyślnych.

Bezpieczeństwo aplikacji i procesów jest zapewniane przez implementacje wielowarstwowej hierarchii uprawnień dla użytkowników i procesów (trend ten można też zaobserwować w Red Hat Advanced Server, SuSE Linux Enterprise Server i innych, świeżych wydaniach systemów operacyjnych). Na przykład do poszczególnych użytkowników mogą być dodawane lub usuwane różne komendy (z listy dopuszczalnych), takie jak udostępnianie uprawnień do plików/katalogów (chmodset/cb). Niestety, nie można takiej operacji wykonać dla grupy, co znacznie utrudnia administrowanie dużymi systemami.

OpenServer 6

Zalety: obsługa głównych aplikacji open source; poprawione bezpieczeństwo; przyzwoita wydajność w trybie 32-bitowym

Wady: pracuje wyłącznie w trybie 32-bitowym; drobne usterki i ograniczenia

Cena: 1399 USD za wydanie Enterprise Edition (dla 10 użytkowników i do 4 CPU)

Istnieje wiele komend systemowych mających wpływ na bezpieczeństwo, ale podczas testów nie znaleziono metody dodania do OpenServer pełnej listy.

OpenServer obsługuje połączenia VPN IPSec. Ustawienie VPN nie sprawia kłopotów, a mechanizm jest łatwy w użyciu. Pozwala on zdalnym pracownikom nawiązywać szyfrowane sesje VPN, jeżeli zapora ogniowa dopuszcza takie połączenia.

Możliwe jest także montowanie szyfrowanego systemu plików dla aplikacji lub do osobistego użytku (nie dla grup). Podczas testów utworzono szyfrowany system plików, zamontowano go i wypełniono plikami. Stwierdzono, że na najszybszych platformach, jakie użyto w testach, szyfrowany system plików nie miał większego wpływu na wydajność systemu nawet wtedy, gdy zainicjowano ponad 100 współbieżnych akcji czytaj/pisz.

Poza nową metodą szyfrowania plików domyślnym systemem głównym plików stała się skomercjalizowana wersja Veritas File System o nazwie VxFS 5 (znana także jako Journal File System). VxFS obsługuje pliki bardzo dużych rozmiarów. Można zamontować NFS V3, AFS (system plików Acer Fast), a także FAT, FAT 16 i NTFS.

Osiągi

SCO OpenServer 6

Ocena OpenServer 6

OpenServer 6 obsługuje OpenSSL i OpenSSH. Testowano więc wydajność serwera w operacjach OpenSSL z nieoptymalizowanym serwerem Apache, używając testera Avalanche firmy Spirent Communications. Test polegał na budowaniu szczątkowych transakcji SSL i pobieraniu stron w przedziałach dziesięciominutowych. W ten sposób sprawdzano wykorzystanie przez system CPU, zarządzanie pamięcią podręczną i zdolność do budowania oraz utrzymywania bezpiecznych transakcji HTTP.

W porównaniu z innymi 32-bitowymi systemami wydajność SCO OpenServer 6 była dobra. Utrzymywał on 54 208 transakcji na minutę w ciągu 10 minut, w porównaniu z 57 961 transakcjami na minutę (w tym samym czasie), jakie zarejestrowano podczas testów SLES 9.0.

Jednak, jak można było się spodziewać, OpenServer był znacznie gorszy od systemów operacyjnych z 64-bitowym jądrem: Sun Solaris, Novell/Suse Linux Enterprise Server i Red Hat Advanced serwer, które osiągały w testach wydajność od 59 do 133% lepszą niż OpenServer 6.

OpenServer 6 testowano także na 64-bitowej platformie Polywell 2200 z dwoma procesorami AMD64 (w trybie 32-bitowym), wykonując dwa inne testy wydajności, które mierzyły zdolność do budowania i utrzymania połączeń sieciowych. W testach tych OpenServer 6 niemal dorównywał Red Hat Enterprise Linux 4 (32-bity), odstając niewiele w obu kategoriach: maksymalnej liczbie otwartych połączeń TCP (OpenServer - 89 519, RHEL 4 - 90 745), jak również maksymalnej liczbie połączeń TCP na sekundę (OpenServer - 1664, RHEL 4 - 1890). W porównaniu z RHEL 9 w trybie 64-bitowym, OpenServer 6 był jednak daleko w tyle.

OpenServer 6 oferuje wiele przydatnych funkcjonalności, dostępnych w konkurencyjnych edycjach Linuksa. Również to, co system dziedziczy po Uniksie, jest niebagatelną zaletą dla użytkowników przyzwyczajonych do tego systemu. Jednak brak jądra 64-bitowego i pewne osobliwości (w tym model licencjonowania) mogą być przeszkodą w decyzji o wyborze tego systemu.

Jak testowano

OpenServer 6.0 testowano na kilku platformach, począwszy od serwera HP-DL140 z dwoma CPU Intel Xenon 3,06 MHz i 1 GB RAM, a skończywszy na Polywell 2200s/2 zawierającej dwa procesory AMD Althon 64, 2,8 MHz, 4 GB RAM.

Testowano komponent SAMBA 3.0.13 OpenServer 6 metodą połączeń SMB z klientami Windows XP, 2000 i 98SE, jak również MacOS X10.3 i 10.4.

Testowano VxFS w celu porównania szybkości działania tego systemu plików z NFS V3 oraz NTFS, stwierdzając, że jest on najszybszy z tej trójki. Testowano też szyfrowany system plików, stwierdzając, że szyfrowanie ma bardzo mały wpływ na wydajność systemu, nawet przy zainicjowaniu wielu równoległych transakcji wejścia/wyjścia.

Testowano też transakcje SSL, używając OpenSSL obsługiwanego przez serwer Apache dostarczany w pakiecie przez SCO. W teście urządzenie Spirent Web Avalanche generowało duże grupy użytkowników i następnie wydawało żądania stron SSL (zleceniem get http) w celu sprawdzenia budowy strony w czasie, gdy wydawane są nowe sesje ze strony użytkowników z utworzonej listy. W ten sposób testowano szyfrowanie: budując dużą liczbę współbieżnych instancji sesji SSL obciążających bufory pamięci i CPU. Wszystkie te emulacje oparte były na webowej funkcjonalności serwera. W celu wskazania poprawnych lokalizacji plików zmodyfikowano niektóre reguły konfiguracyjne, ale nie modyfikowano ustawień związanych z wydajnością Apache.

Dodatkowo, w celu zmierzenia zdolności systemu operacyjnego do budowania i utrzymywania połączeń sieciowych, wykonano testy określające maksymalną liczbę transakcji, jaką system może przetworzyć w ciągu sekundy, jak również maksymalną liczbę połączeń TCP na sekundę, jaką system może utrzymać.


TOP 200