AIX 安全性Role Based Access Control 中的域支持在当今日益复杂的数据中心和云计算环境中,资源的隔离是关键的安全需求。对域的支持提供这个关键特性,以此补充 Role Based Access Control (RBAC) 提供的功能。RBAC 能够允许具有适当授权的非根用户执行特定的系统管理任务。可以使用域为以下资源提供隔离:网络接口和端口、LVM(包括卷组和文件系统)、文件和设备(有 /dev 条目的设备)。
启用对 Encrypted File Systems、IPSec 和 Trusted Execution 的硬件加速支持在以前的 AIX 版本中实现了创新的安全技术 Encrypted File Systems (EFS)、IP security (IPSec) 和 Trusted Execution,它们使用基于软件的密码学算法。AIX Cryptographic Framework (ACF) 是 AIX 操作系统中的密码计算提供者。此特性让这三种关键的安全技术能够利用 ACF 提供的硬件密码计算加速设施。
AIX 为新的 XLC Compiler V11 启用 ProPoliceAIX V7.1 使用 XLC Compiler V11 启用 IBM ProPolice 提供的 stack-smashing 保护。可以使用这个选项尽可能降低 AIX 操作系统中的安全风险。在 AIX V7.1 中,所有设置用户 ID (SUID) 位命令和程序都自动地启用此特性,不需要最终用户进一步配置。
ODM 目录权限的变动和一般性安全更新 AIX V7.1 提供用户组扩展能力,以及新的密码策略和对 ODM 目录的访问限制等安全改进。
增加了组的最大数量在 AIX V7.1 之前,每个用户的最大组数量限制为 128 个。现在,这一限制提高到了 2,048,而且最终用户可以配置它。
为符合 Common Criteria CAPP/EAL4+ 安全认证而设计AIX 7 使用 Operating Systems Protection Profile (OSPP) for AIX V7.1 满足 Common Criteria EAL4+ 安全认证的要求。
IBM Compliance Expert Express EditionIBM Compliance Expert Express Edition (5765-G82) 已经更新,包含有助于满足 Sarbanes Oxley (SOX) 和 COBIT 标准的新的安全概要文件。
可管理性AIX Profile Manager作为 AIX 的特性提供 IBM Systems Director 6.2 插件 AIX Profile Manager,Standard Edition 和 Enterprise Edition 附带此插件。AIX Profile Manager 为连网的系统组提供 “指示板” 视图和运行时配置概要文件管理。概要文件管理功能包括捕捉运行时配置、应用新的运行时控制值以及针对指定的概要文件或在系统之间对比运行时配置。AIX Profile Manager 使用 AIX Runtime Expert 技术管理客户机 AIX 系统。它还提供像 “复制机器” 一样的简单性,可以方便地把操作系统属性分发到许多系统上。
Profile Manager 可以安装在 Systems Director 支持的所有服务器平台上(Microsoft® Windows®、Linux® 和 AIX)。Profile Manager 使用在 AIX 6 Technology Level 4 中首次引入的 AIX Runtime Expert 基础设施。AIX Runtime Expert 为管理一个或多个 AIX 实例的运行时属性提供简化的解决方案。在 AIX V7.1 中,它提供几项改进,包括性能改进、能够通过设置配置概要文件的版本维护多个版本以及能够为概要文件设置定制的描述符。还可以使用 AIX Profile Manager 从 IBM Systems Director 管理 AIX Runtime Expert。
AIX Event InfrastructureAIX V7.1 引入了 AIX Event Infrastructure。AIX Event Infrastructure 作为伪文件系统实现,它使用现有的 API(open()、read() 和 write() 等文件系统调用)监视许多类型的事件,这会简化事件监视。应用程序可以使用这个基础设施监视预定义的系统事件,比如文件系统使用量、对可调系统参数的修改或者页面换入或换出活动的平均等待时间。客户还可以通过此接口定义自己的事件。AIX Event Infrastructure 提供一个简单的 API,可以立即发出事件通知而不需要不断地轮询,还提供扩展能力,可以监视客户自己的事件和第三方事件。
Network Installation Manager (NIM) Thin Server 支持NIM Thin Server 有助于在瘦服务器(无磁盘和无数据计算机)的 NIM 中添加对 NFS4 和 IPv6 的支持。NIM 当前对于单独的机器支持 NFS4 和 IPv6。尽管可以把资源分配给使用 NFS4 的无磁盘或无数据客户机,但是客户机无法启动,因为无磁盘或无数据启动脚本在启动期间不知道如何处理 NFS4 文件系统。同样,用 IPv6 地址定义的无磁盘或无数据客户机无法启动。
Distributed Systems ManagementDistributed Systems Management (DSM) 是在 AIX V6.1 TL 3 中引入的。DSM 是指一组用来增强 AIX Network Installation Manager 功能的程序。管理员可以使用这些程序收集网络适配器信息并监视 NIM 客户机的安装进度,还可以在以前没有安装过操作系统的客户机上执行 AIX 操作系统的裸机安装。
系统管理控制台支持以前可以通过基于 web 的 System Manager (WebSM) 应用程序使用系统管理功能,现在可以通过 IBM Systems Director Console for AIX 访问它们。IBM Systems Director Console for AIX 是基于 web 的管理控制台,它向系统管理员提供集中的访问能力。系统管理员可以通过这个界面查看、监视和管理分布式环境中的系统。管理员可以访问聚合的视图、分组功能、分布式命令执行、健康状态和状态信息,还可以通过 System Management Interface Tool (SMIT) 等熟悉的界面管理各个系统。
可靠性、可用性和可服务性AIX 7.1(Standard Edition 和 Enterprise Edition)支持内置的集群功能。管理员可以使用操作系统提供的基本功能把一组 AIX 节点组成集群并利用集群功能。Cluster Aware AIX 的其他功能包括:
- 用于跨一组 AIX 系统创建集群的命令 — 基于内核的心跳和消息提供健壮的集群基础设施,在默认情况下使用网络和 SAN 物理链路在节点之间进行多通道通信。
- 整个集群范围的高级事件管理 — AIX 事件管理已经增强,对于某些事件(例如网络或磁盘错误),支持整个集群范围的事件通知。
- Global Device View 支持 — 当由 Cluster Aware AIX 管理时,与跨集群节点共享的磁盘相关联的设备文件对于访问磁盘的所有集群节点具有统一的名称。
- 整个集群范围的命令操作 — 许多与安全性和存储相关的 AIX 命令已经增强,支持跨集群操作。
用户密钥增强AIX V7.1 允许有足够特权的用户修改用户密钥可用的硬件密钥数量。这允许把用户内存分割为更多的段。它提供 smitty 形式,可以用适当的选项集调用此特性。更新用户密钥数量需要 bosboot 和重新启动系统才能生效。
多节点 First Failure Data CaptureAIX V7.1 提供一个称为 Clustering Data Aggregation Tool 的框架,用于对在跨多个操作系统实例的工作负载中发生的问题进行快速分析和原因识别。可以通过它启动可靠性、可用性和安全性 (RAS) 调试和监视活动,收集节点集的问题诊断数据。它把 RAS 数据整合到单一节点上,支持把数据收集工具 “推” 到节点上,可以减少在每个远程节点上执行系统管理、调试和安装准备的工作量。还为 First Failure Data Capture (FFDC) 用户提供可扩展的插件特性,用户可以定义要收集的数据类型。它具有简单的配置和安全的通信,并通过集成 RBAC 允许非根用户收集 FFDC 数据。可以使用命令行和 SMIT 面板控制它。
由固件辅助的转储 AIX V7.1 扩展了由固件辅助的转储,让它成为默认的系统转储方法(如果平台支持的话)。在安装之后,用户可以把转储类型改回传统的系统转储。由固件辅助的转储还支持任意的非引导 iSCSI 磁盘。这允许从另一个 iSCSI 磁盘启动系统,或者使用 BOOTP/TFTP 装载内核映像并使用 NFS 挂载根文件系统。主转储设备是整个 iSCSI 物理卷。
增强的 ProbeVue 功能 在 AIX V7.1 中,可以使用 ProbeVue 探测函数出口、特定模块中的函数和 Fortran 可执行程序。ProbeVue 还可以以一定的时间间隔探测特定进程。可以访问进程、线程、用户和 mst 结构中的特定字段。ProbeVue 还提供关联数组,可以存储和分析脚本语言中的数据。
全球化Unicode 5.2 支持AIX V7.1 现在为存储服务器提供强大的多语种环境,基于最新的 Unicode 技术支持 61 种语言和超过 250 个地区。AIX 系统中的内部和外部通信使用 Unicode 编码和算法。最新版本 (Unicode 5.2) 为超过 6,648 个额外字形和 107,156 个字形提供标准的字符位置。AIX 7 增强了现有的语言和地区,使它们符合 Unicode V5.2。
别名编码集名称支持AIX V7.1 在 libiconv 中添加了编码集别名映射函数以增强编码集转换。编码集转换是大多数平台上基本的全球化服务之一。作为多语种存储服务器,AIX 为编码集转换服务提供超过 1,600 个模块。在云计算环境中,编码集名称不相容会导致数据损坏、应用程序异常、系统崩溃、可移植性差和转换失败。别名编码集名称支持有助于减少编码集名称不相容问题,提高编码集转换的质量。当 AIX 编码集转换函数收到包含非 AIX 编码集名称的请求时,别名映射函数尝试为请求映射适当的 AIX 编码集名称。 |