Ubuntu Project最近发布了其下一个基于Linux的操作系统版本的测试版,该版本被称为Ubuntu 9.10,甚至被古怪地称为Karmic Koala。我已经在开发中测试了这个Ubuntu版本几个星期了,但这个beta里程碑似乎是挑选一些吸引我的新功能或增强功能的好时机。
Karmic将提供一长串增强功能和附加功能,包括核心开源应用程序更新,您可以通过任何Linux发行版更新(火狐、OpenOffice.org和GNOME桌面环境的新版本)看到这些更新。除了这些典型的更新,我还特别关注了磁盘加密、增强系统权限和云服务集成方面的变化。
总而言之,我希望9.10版本能够巩固Ubuntu作为桌面和移动设备实现中最受欢迎的Linux选项的地位。在发行版的服务器端,Ubuntu project在这个发行版中涵盖了许多私有云和公共云部署选项,eWEEK Labs将在接下来的故事中研究这些增强。
磁盘加密
鉴于笔记本电脑和上网本很容易丢失或被盗,以及未经授权的人很容易从未加密的磁盘中提取敏感数据,任何人都不应该随身携带没有硬盘加密保护的便携式计算机。过去的几个Ubuntu版本都为用户提供了使用块级加密对除引导分区以外的所有分区进行加密的选项,但是这个功能仅限于基于文本的备用安装盘,大多数用户都切换到默认的基于LiveCD的安装盘。此外,UNR(Ubuntu Netbook Remix)安装程序根本没有提供加密硬盘的明确方法。
Ubuntu团队没有将这种块级加密选项构建到其默认安装程序中,而是一直在寻求一种位于文件系统上并针对特定系统文件夹的加密方案,而不是加密磁盘上的所有内容。
在8.10版中,为每个用户添加了一个加密的专用目录。但是,为了利用目录保护,用户必须将文件复制到目录中,并为应用程序配置文件夹创建从该文件夹到应用程序希望找到这些文件夹的主目录位置的符号链接。在9.04版本中,团队扩展了这种保护以覆盖整个主目录,但触发这种保护的选项仅在备用安装程序中公开。
在Ubuntu 9.10中,这个主目录加密选项终于进入了默认的LiveCD安装程序。在安装过程中,Ubuntu安装程序问我是否愿意将系统配置为自动登录、密码保护登录或使用主目录加密的密码保护登录。选择主目录加密选项还会为加密配置交换分区,这一点很重要,因为即使在具有大量RAM的系统上,敏感数据也会在交换中逗留。
与备用安装程序中仍然可用的块级加密选项相比,Ubuntu的主目录加密应该可以通过忽略主目录或在目录外交换数据来提高性能。Ubuntu根目录下的大部分内容都不是特别敏感。毕竟,你会在里面找到的大部分内容的二进制文件和源文件都可以免费公开下载。
此外,这种主目录加密方案允许无人值守引导(块级方法在引导时需要密码)和多个主目录,每个主目录都用自己的密钥加密。
但是,由于加密交换分区的方法,目前,以这种方式加密的系统缺乏睡眠支持。说到这里,Ubuntu project正在研究重新启用休眠的解决方案。
Firefox AppArmor政策
Ubuntu从7.10版本开始就一直使用AppArmor的增强访问控制框架,从未像红帽的Fedora和RHEL发行版的SELinux那样向用户显著宣传或公开Ubuntu的AppArmor实现,但框架一直在稳步发展。过去的Ubuntu版本。
与Linux默认的自由访问控制方案相比,AppArmor使管理员能够更精细地授予或拒绝系统特权,从而增强了现有的Linux访问控制。Ubuntu 9.10包含一个将这些控件应用到Firefox Web浏览器的策略。在我测试的beta版本中,这个策略默认是无效的;我通过发出命令“sudo aa-enforce firefox”激活它,然后重启firefox。
我浏览了Firefox AppArmor策略,它被存储为一个相当可读的文本文件,并注意到该策略拒绝Firefox访问我存储SSH密钥的主目录中的文件夹。默认情况下,该目录是允许自由查看和编辑的目录。使用典型的Linux访问控制,我运行的应用程序享有和我一样的权限,这意味着我(控制我的浏览器的人)可以从Firefox读取和修改这个目录中的敏感SSH配置文件。然而,在Firefox的AppArmor策略启用后,我将无法访问或修改我的个人文件夹中的SSH目录。
我希望看到Ubuntu项目围绕AppArmor加强它的工作,可能通过使用AppArmor策略生成工具来扩展项目的个人包存档构建服务。AppArmor附带的另一个主要Linux发行版SUSE有自己的构建服务,这两个项目可能有机会合作将该功能引入各自的构建服务中。
人的本质
去年5月,赞助Ubuntu的Canonical公司发布了一个名为Ubuntu One的网络存储和同步服务的封闭测试版。这项服务提供2GB的免费在线存储空间或10GB的空间,每月收费10美元。该服务提供运行Ubuntu的计算机和运行Canonical的Web服务之间的存储同步,Canonical使用亚马逊S3进行存储。此后,测试版向公众发布,付费订阅的存储限制提高到50GB,服务扩展到文件同步之外,承担特定Ubuntu桌面应用的数据同步责任。
比如Ubuntu 9.10中包含的Tomboy笔记应用版本,其笔记同步目标列表中包含了Ubuntu One,使得使用Canonical service最终保持一个人的笔记在多台机器上同步成为可能。到目前为止,我还没有在我的测试系统上使用这个特性。类似的同步选项出现在分布式Evolution邮件客户端使用的联系人记录和Firefox书签中,这两者都依赖于CouchDB(一个面向文档的数据库项目)来与Ubuntu One同步。
Ubuntu One服务及其相关的客户端组件肯定还很粗糙——尤其是基于网络的查看笔记和浏览文件的界面,可能需要彻底检修。然而,给我留下深刻印象的是,这些功能有望弥合在Linux桌面上本地运行的应用程序和基于Web的应用程序之间的差距。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!