Linux dành cho sinh viên và Linux dành cho … công an.

I. Linux dành cho công an: CAINE.

CAINE là từ viết tắt của Computer Aided INvestigative Environment (Môi trường điều tra pháp lý hỗ trợ bằng máy tính). CAINE là bản Linux dựng trên nền Ubuntu 8.04, tích hợp các công cụ phần mềm nguồn mở hiện có để điều tra các bằng chứng pháp lý số hóa trong một giao diện đồ họa thân thiện. CAINE xử lý được các dữ liệu trên các ổ cứng Windows và Unix.

Thiết kế của CAINE có các mục tiêu sau:

• 
  

  Tạo một môi trường tương tác hỗ trợ các nhà điều tra các bằng chứng số hóa trong bốn giai đoạn điều tra (Thu thập dữ liệu - Collection, Nghiên cứu - Examination, Phân tích - Analysis, Báo cáo - Reporting)

  
  


• 
  

  Có giao diện đồ họa thân thiện.

  
  


• 
  

  Soạn báo cáo cuối cùng bán tự động.

  
  

Ngành điều tra bằng chứng số hóa (Digital Forensics hoặc Computer Forensics) là một phân ngành trong khoa học pháp lý (forensic science). Nó thu thập dữ liệu từ các vật chứng số - digital artifact: máy tính, thiết bị lưu trữ (ổ cứng, đĩa CD, ...), tài liệu điện tử (file, email, ảnh jpeg,...) thậm chí một chuỗi các gói tin gửi đi trên mạng. Các dữ liệu sau đó phải được sao nguyên vẹn như trạng thái ban đầu, không thay đổi đến một bit sang một thiết bị lưu trữ của nhà điều tra. Việc nghiên cứu, phân tích nhằm tìm ra các thông tin (ví dụ lưu trong ảnh) hoặc các sự kiện đã diễn ra trước đó. Có nhiều bộ công cụ phần mềm khác nhau để hỗ trợ điều tra như Sleuth Kit hoặc SANS Investigative Forensic Toolkit (SIFT) .

Giao diện chính các công cụ của CAINE:

Mỗi tab trên hình chứa một bộ công cụ các PMNM khác nhau cho cùng một mục đích.

Ngành điều tra bằng chứng số trong các nước phát triển là một ngành khoa học chặt chẽ, có các quy tắc nghề nghiệp riêng, cán bộ điều tra phải có chứng chỉ chuyên môn (xem chi tiết tại đây). Một ví dụ: sao chép dữ liệu từ vật chứng sang thiết bị khác sao cho dữ liệu không bị thay đổi đến từng bit bằng lệnh dd để có độ tin cậy trình trước tòa đã là một vấn đề hay rồi. (Dùng lệnh copy là không có giá trị!).

II. Linux dành cho sinh viên và các nhà nghiên cứu ÜberStudent.

ÜberStudent là bản Linux dựa trên Ubuntu, mạnh nhưng dễ dùng, cài sẵn nhiều phần mềm hỗ trợ sinh viên và các nhà nghiên cứu. Các đặc điểm chính (theo giới thiệu trên site) :

• 
  

  Tương thích với hầu như mọi loại máy tính thương hiệu cũ và mới.

  
  

• 
  

  Hỗ trợ đầy đủ multimedia.

  
  

• 
  

  Hướng dẫn chi tiết, có ví dụ dùng các phần mềm và các bản mẫu (templates) cho việc học của sinh viên.

  
  

• 
  

  Nhanh: boot nhanh, khởi động chương trình nhanh, tìm kiếm nhanh,...

  
  

• 
  

  Giao diện đẹp, có các hiệu ứng động.

  
  

• 
  

  … và nhiều thứ nữa.

  
  

Một số phần mềm:

• 
  

  Zotero một extension của Firefox dùng tìm kiếm, lưu các nguồn trích dẫn, được cấu hình để làm việc với OpenOffice Writer.

  
  

• 
  

  Google Plus Search, một extension nữa của Firefox bổ xung tính năng tìm kiếm catalog thư viện, tạp chí,...

  
  

• 
  

  NoteCase Notes Manager, sổ tay ghi chép, tổ chức được các ghi chép theo hệ thống phân cấp dạng cây thư mục.

  
  

• 
  

  AutoKey, chương trình thiết lập các phím tắt để tăng năng suất gõ từ.

  
  

• 
  

  Semantik, công cụ tổ chức và quản lý suy nghĩ đặc biệt dành cho sinh viên.

  
  

• 
  

  Parley, hỗ trợ việc nhớ các nội dung về một chủ đề.

  
  

• 
  

  Golden Dictionary, từ điển đầy đủ tính năng, đa ngôn ngữ.

  
  

• 
  

  … và nhiều phần mềm khác.

  
  

Đối với Việt nam, bản Linux này có hai nhược điểm:

• 
  

  Dung lượng lớn: 2,8GB nên thời gian tải về lâu và phải ghi vào DVD.

  
  


• 
  

  Xây dựng dành cho môi trường, phong cách học của sinh viên nước ngoài nên chưa chắc đã có ích cho sinh viên Việt nam!!!

  
  

BAE Systems dùng MontaVista Linux điều khiển các hệ thống súng.

BAE Systems dùng MontaVista Linux điều khiển các hệ thống súng.

By Colin Holland Embedded.com

(01/21/10, 04:26:00 AM EST)

(Trong một post trước có nói rằng “ Linux là vua trong lĩnh vực các thiết bị nhúng ”. Các thiết bị (hoặc hệ thống) nhúng – embedded devices - là những thiết bị điện tử điều khiển bằng phần mềm trong các phương tiện vận tải, đồ dùng gia dụng (máy giặt, tủ lạnh, đồ chơi, điều hòa nhiệt độ, ...), khí tài quân sự, … Dưới đây là một ví dụ).

LONDON — Hãng sản xuất vũ khí BAE Systems Bofors (Karlskoga, Sweden) đã chọn MontaVista Linux để điều khiển các hệ thống pháo mặt đất và pháo trên tàu chiến mới nhất của hãng. Việc chọn bộ phần mềm Linux nhúng thương mại này nhằm mục đích lập trình nhanh và có sự hỗ trợ dài hạn mà các ứng dụng quân sự yêu cầu.

Theo công ty MontaVista, khi BAE bắt đầu lựa chọn nền tảng phần mềm cho các hệ thống mới pháo mặt đất và pháo trên tàu của họ, họ xem xét cả các hệ điều hành thời gian thực (Real-time Operating System – RTOS) truyền thống và các giải pháp phần mềm nguồn mở như Linux.

Vì các hệ thống pháo mới dùng các bộ vi xử lý tiêu chuẩn, các phần cứng thương mại có sẵn và một số phần cứng riêng của hãng nên có rất nhiều phương án hệ điều hành và môi trường phát triển ứng dụng để chọn lựa. ( Hiện có gần 100 hệ điều hành thời gian thực, xem tại đây). Do bản chất sản phẩm, BAE cần một nền tảng tin cậy và có chất lượng cao nhất.

Cuối cùng BAE quyết định chọn Linux làm môi trường phát triển và dùng hệ điều hành MontaVista Linux Professional Edition. MontaVista nói họ được chọn vì chất lượng thương mại, sự hỗ trợ dài hạn và số các nền tảng phần cứng mà MontaVista Linux hỗ trợ. Chọn MontaVista, BAE có thể nhanh chóng nâng cao kỹ năng và tài năng đội chuyên gia Linux của họ và có cộng đồng Linux rộng lớn.

“ Các khách hàng quân sự cần hệ thống có chất lượng tốt nhất, hỗ trợ dài hạn. Đồng thời, BAE cũng cần một môi trường phát triển cho phép xây dựng nhanh các hệ thống mới thỏa mãn nhu cầu khách hàng,” Mikael Alfredsson, giám đốc thiết kế điện & điện tử của BAE nói. “Bằng cách chọn MontaVista chúng tôi có thể thực hiện các mục tiêu đó với một hệ điều hành nguồn mở chất lượng cao nhất, phát triển phần mềm nhanh và có sự hỗ trợ dài hạn từ các chuyên gia Linux.”

Chính phủ New Zealand bắt đầu thử Linux trên máy để bàn trong tháng hai.

Chính phủ New Zealand bắt đầu thử Linux trên máy để bàn trong tháng hai.

By Angus Kidman, ZDNet.com.au

21 January 2010 11:05 AM

Trong tháng 2/2010, ba cơ quan chính phủ New Zealand (Văn phòng Chính phủ, hội đồng vùng Horizons và cơ quan Bưu chính) bắt đầu dùng thử Linux và các phần mềm nguồn mở khác trên máy tính để bàn thay cho các phần mềm Windows hiện tại.

Tại hội nghị Linux 2010 Australia, Chủ tịch hội phần mềm nguồn mở New Zealand, Don Christie, tiết lộ còn có các kế hoạch thử nghiệm của các cơ quan chính phủ khác.

Trong khi nhiều cơ quan chính phủ New Zealand đã dùng PMNM trên các máy chủ, việc chuyển máy trạm còn ít mặc dù đã có chính sách khuyến khích dùng PMNM của chính phủ từ năm 2003.

“ Vấn đề của chính sách 2003 là nó chưa thừa nhận một thực tế có sự độc quyền phần mềm bao trùm, hành xử một cách thiếu cạnh tranh và đánh bạt mọi phương án khác,” Christie cho biết.

Sau khi hợp đồng dài hạn giữa chính phủ New Zealand và Microsoft kết thúc, từ tháng 8/2009 hội PMNM New Zealand bắt đầu dự án “ Public Sector Remix” nhắm thay đổi tình hình nói trên. Dự án đang xây dựng một bộ PMNM cho máy trạm có thể dùng được trong bất kỳ cơ quan chính phủ nào bằng cách bổ xung các gói phần mềm cần thiết.

“ Té ra là việc xác định một bộ PMNM tiêu chuẩn cho các cơ quan chính phủ rất đơn giản,” Christie nói. Bộ phần mềm tiêu chuẩn đó gồm hệ điều hành Ubuntu, trình duyệt Firefox, phần mềm văn phòng OpenOffice và phần mềm quản lý nội dung (Content Management System) Alfresco.

Ghi chép về an ninh trong Linux

Ghi chép về an ninh trong Linux

I. Khái niệm chung

Trong hoạt động của máy tính, một thực thể có thể cần phải truy cập đến một thực thể khác để thực hiện một hành động nào đó. Ví dụ: một user đọc một file, một chương trình chơi nhạc gọi một chương trình khác để phát âm ra loa, v.v..

Các thực thể thực hiện các hành động đối với các thực thể khác được gọi là chủ thể truy cập (subject). Các thực thể được truy cập gọi là đối tượng truy cập (object). Chủ thể thường là một tiến trình (process) hoặc một mạch tiến trình (thread), đối tượng là file, thư mục, các cổng TCP, các vùng bộ nhớ dùng chung, v.v...

Để đảm bảo an ninh cho hệ thống, việc truy cập không thể tự do, bừa bãi mà cần được kiểm soát. Hệ thống kiểm soát truy cập (Access control systems) thực hiện ba dịch vụ chính: nhận dạng và xác thực ( identification and authentication - I&A), cấp phép ( authorization), và theo dõi ( accountability)

I.1-Xác nhận (Nhận dạng và xác thực - Identification and authentication - I&A)

Một chủ thể truy cập trước hết phải cung cấp một dấu hiệu nhận dạng (identity) hợp lệ (vd: một cặp username và password tối thiểu 6 ký tự chẳng hạn. Nếu chỉ có username, hoặc chỉ có pasword hoặc có cả username và password nhưng password chỉ có 5 ký tự là không hợp lệ). Sau khi kiểm tra là chủ thể có dấu hiệu nhận dạng hợp lệ, quá trình xác thực sẽ so sánh dấu hiệu đó với dấu hiệu đã đăng ký để xác nhận chủ thể đó đúng là nó.

Quá trình đó tương tự như khi ta trình giấy mời vào một cuộc họp quan trọng: đầu tiên người gác cổng phải xem giấy mời có hợp lệ không (đúng mẫu giấy mời, có chữ ký và dấu v.v...) sau đó tra xem tên ghi trên giấy và tên trên chứng minh thư có trùng nhau không và thậm chí tên đó có trong danh sách khách mời không v.v.. Nếu tất cả đều đúng thì ta được xác nhận đúng là người được mời họp và được vào.

I.2- Cấp phép (Authorization)

Việc cấp phép xác định chủ thể được làm những hành động gì trên đối tượng.

Trong các hệ điều hành, quyền của chủ thể trên đối tượng là tổ hợp của ba loại quyền truy cập cơ bản sau:

• 
  

  Read (R): chủ thể có thể

  
  
  
  
  
  • 
    

    Đọc nội dung file

    
    
  
  
  • 
    

    Đọc (liệt kê) nội dung thư mục

    
    
  
  
  
  


• 
  

  Write (W): chủ thể có thể thay đổi nội dung file hoặc thư mục.

  
  


• 
  

  Execute (X): nếu file là một chương trình, chủ thể có thể chạy chương trình đó.

  
  

Cách cấp phép cụ thể tùy theo mô hình (kỹ thuật) kiểm soát truy cập (xem dưới đây).

I.3- Theo dõi (Accountability)

Việc theo dõi các hành động của chủ thể được thực hiện tự động bằng các audit trails (records) và các file log. Dựa vào đó có thể:

• 
  

  Phát hiện các vi phạm quy tắc an ninh.

  
  


• 
  

  Tái tạo lại các sự cố về an ninh.

  
  

II. Các kỹ thuật kiểm soát truy cập (Access control techniques)

II.1-Kiểm soát truy cập tùy ý (Discretionary access control - DAC)

Trong kỹ thuật này, mỗi đối tượng đều có một chủ nhân (owner). Chủ nhân của đối tượng có toàn quyền quyết định chính sách truy cập đối tượng: cho chủ thể nào được truy cập và được làm những hành động gì trên đối tượng. Vì thế mới có tên là “Kiểm soát truy cập tùy ý”, theo ý muốn của chủ nhân đối tượng, không có một chính sách truy cập thống nhất trong toàn hệ thống.

Ví dụ khi một user tạo ra một file thì user đó là owner của file và có toàn quyền cho phép các user khác được truy cập vào file đó theo các mức độ khác nhau hoặc cấm hoàn toàn không cho ai ngoài mình được truy cập file.

Đây là kỹ thuật (hoặc còn gọi là mô hinh) kiểm soát truy cập phổ biến của các hệ thống file Linux hiện nay.

II.2-Kiểm soát truy cập bắt buộc (Mandatory access control - MAC)

Trong kỹ thuật MAC, chính sách truy cập các đối tượng được thiết lập chung, thống nhất, bắt buộc cho toàn hệ thống bởi người quản trị an ninh hệ thống ( security policy administrator), không phải theo ý thích của các chủ nhân các đối tượng. Kỹ thuật này thường được dùng trong các hệ thống phân cấp có các dữ liệu cần bảo mật cao như các hệ thống mật của chính phủ hoặc quân đội. Có hai đặc điểm quan trọng sau:

• 
  

  Nhãn bảo mật (Security label): trong hệ thống MAC, tất cả các chủ thể và đối tượng truy cập đều có nhãn bảo mật gán cho chúng. Để truy cập vào một đối tượng, chủ thể phải có nhãn với cấp bảo mật bằng hoặc cao hơn cấp bảo mật của đối tượng.

  
  


• 
  

  Kiểm soát xuất nhập dữ liệu: một trong các chức năng tối quan trọng của hệ MAC là kiểm soát việc nhập dữ liệu từ các máy khác vào và xuất dữ liệu ra các thiết bị bên ngoài (kể cả máy in). Trong quá trình xuất nhập, nhãn bảo mật phải luôn luôn được thiết lập và bảo trì một cách thích hợp sao cho các dữ liệu mật luôn luôn được bảo vệ.

  
  

Trong kỹ thuật DAC, chủ thể truy cập thừa kế các quyền của user khi truy cập đối tượng. Các quyền đó có thể quá rộng (ví dụ khi user là root, chương trình do root chạy sẽ có quyền truy cập như root) nên nếu chủ thể bị hacker điều khiển, tác hại sẽ lớn. MAC cho phép giới hạn quyền của chủ thể ở mức tối thiểu cần thiết, hạn chế được tác hại nói trên.

II.3-Kiểm soát truy cập dựa trên chức danh (Role-based access control - RBAC)

Trong kỹ thuật RBAC, hệ thống gồm nhiều chức danh khác nhau, tương tự như chức danh trong một tổ chức. Mỗi chức danh đó có quyền thực hiện các hành động khác nhau. Khác với MAC có hành động chỉ giới hạn ở các quyền đọc, viết, hành động trong RBAC từ mức đơn giản đọc, viết đến mức phức tạp là một chuỗi các hành động tạo thành một giao dịch (transaction) hoàn chỉnh. RBAC cũng giống MAC là chính sách truy cập được thiết lập tập trung bởi người quản trị an ninh mà không tùy thuộc vào chủ nhân các đối tượng như với DAC.

Ba quy tắc cơ bản của RBAC:

1. Gán chức danh: một chủ thể truy cập chỉ có thể thực hiện hành động nếu nó được gán một chức danh nhất định trong hệ thống.

2. Cho phép đảm nhiệm chức danh: một chủ thể chỉ có thể được gán một số chức danh nhất định. (tương tự như một nhân viên chưa có bằng đại học thì không thể làm trưởng phòng).

3. Cho phép thực hiện giao dịch: một chủ thể đã được gán một chức danh chỉ được thực hiện các giao dịch mà chức danh đó được phép làm.

RBAC thường được dùng trong các phần mềm thương mại hoặc quân sự, nơi cần bảo mật các giao dịch.

III. SELinux

SELinux là một công nghệ tăng cường an ninh cho nhân Linux. SELinux là sản phẩm chung của cục An ninh Quốc gia Mỹ và một số công ty tin học, đã được tích hợp vào nhân Linux (Linux kernel) từ phiên bản 2.6 trở đi.

Các bản Linux trước 2.6 chỉ dùng phương pháp quản lý truy cập tùy ý (DAC). SELinux thông qua cơ chế mô đun an ninh ( Linux Security Modules - LSM) bổ xung thêm hai phương pháp quản lý truy cập MAC và RBAC vào nhân Linux.

Hình 1: Chính sách an ninh và các module an ninh tăng cường độc lập với nhau trong SELinux.

Trong hình 1, người quản trị an ninh hệ thống dùng các công cụ chính sách (Policy utilities) để thiết lập chính sách an ninh (Security policy) chung cho hệ thống. Mỗi khi nhân Linux cần truy cập một đối tượng nào đó, trước tiên nó sẽ gọi (Request) hàm an ninh trong Security module, hàm này kiểm tra các điều kiện truy cập theo Security policy đã thiết lập rồi cho phép (Response) thực hiện truy cập.

IV. AppArmor

SELinux tuy tốt về mặt an ninh nhưng phức tạp, khó sử dụng. AppArmor là bộ phần mềm được xem là một giải pháp thay thế thân thiện, dễ sử dụng hơn. Các đặc điểm chính:

• 
  

  Cũng dựa trên cơ chế mô đun an ninh LSM như SELinux.

  
  


• 
  

  Mỗi chương trình có một security profile giới hạn quyền truy cập của chương trình ở mức tối thiểu đủ để thực hiện công việc của mình. Các profile này do người quản trị an ninh lập và như vậy áp dụng kỹ thuật MAC vào Linux. Chương trình chỉ được hoạt động trong giới hạn mà security profile của nó cho phép.

  
  


• 
  

  Ngoài các profile lập bằng tay, AppArmor còn có mode tự học: các hoạt động của chương trình được lưu lại trong log, các log này có thể chuyển thành profile.

  
  


• 
  

  SELinux dùng secutity label do đó đòi hỏi hệ thống file phải hỗ trợ dạng label đó. AppArmor không dùng secutity label nên áp dụng với hệ thống file nào cũng được.

  
  


• 
  

  SELinux truy cập file dựa trên số inode (inode number), AppArmor truy cập file bằng đường dẫn (path). Cách nào hay hơn thì còn đang cãi nhau. Một trong những phần mềm an ninh mới nhất dùng kỹ thuật MAC nhưng truy cập file bằng đường dẫn là Tomoyo.

  
  

V. Ứng dụng

Các máy để bàn thường chỉ kiểm soát truy cập theo kỹ thuật DAC. Vì vậy các bản Linux desktop không cài sẵn SELinux hoặc AppArmor. OpenSUSE là bản Linux desktop có đầy đủ giao diện đồ họa nhất để thiết lập và quản trị AppArmor (có cả wizard) nhưng mặc định cũng không kích hoạt (enable) AppArmor. Mandriva có các gói phần mềm SELinux và AppArmor trong kho nhưng không cài có lẽ vì đã có Msec. Linux Mint có cài một vài thư viện của hai phần mềm trên nhưng không đầy đủ.

Trong một thế giới kết nối Internet, các máy để bàn đều bị nhòm ngó và có nguy cơ bị biến thành máy tính âm binh (zombie) trong một mạng máy tính ma (botnet) thì có lẽ tăng cường an ninh bằng SELinux hoặc AppArmor vẫn tốt hơn mặc dù như vậy sẽ gây phức tạp hơn cho việc cài thêm các phần mềm mới.

Còn với các máy chủ thì tăng cường an ninh bằng SELinux hoặc AppArmor là đương nhiên.

VI. Ảo hóa hệ điều hành

Một trong những giải pháp nữa để tăng cường an ninh là dùng các máy chủ ảo. Trên một máy chủ vật lý chạy một hệ điều hành chủ, trong hệ điều hành chủ dùng phần mềm ảo hóa để tạo nên một số máy chủ ảo. Mỗi máy chủ ảo chạy một hệ điều hành và chương trình ứng dụng riêng. Các máy chủ ảo cô lập so với nhau và với máy chủ chính. Như vậy khi một máy ảo bị tấn công không ảnh hưởng tới các máy khác.

Đám mây đen trên đầu dân IT

Trong một post trước về Điện toán đám mây tôi có dự báo:

"Nhưng lúc đó, dân tin học làm gì? Máy tính chỉ còn như cái TV, ít hỏng và cũng chẳng cần cài đặt. Phần mềm “tây” đầy trên Internet, mua thẻ rồi dùng như học ngoại ngữ online bây giờ, học sử dụng cũng qua web. Cái thị trường rộng lớn mà vố số “kỹ sư tin học” với trình độ cao nhất là biết cài Windows, MS Office hiện đang lĩnh lương sống được sẽ không còn nữa.

Nhưng có nhanh chắc cũng phải 10-20 năm nữa. Khi nào thấy Internet wifi cao tốc miễn phí khắp hang cùng ngõ hẻm lo cũng vừa."

Nhưng đám mây đen với dân tin học có vẻ đã bắt đầu xuất hiện sớm hơn dự kiến:

"20% các công ty sẽ đóng cửa bộ phận IT

Trung bình cứ 5 doanh nghiệp sẽ có một quyết định xóa bỏ bộ phận CNTT do sự phổ biến của điện toán đám mây vào năm 2012, theo dự đoán của hãng nghiên cứu Gartner."

Nguồn: VnExpress.

Đó là thông tin ở Tây. Còn ở Việt nam thì sao? và bao giờ?

ClearOS, bộ phần mềm thay thế cho Microsoft Small Business Server

The Small Business Server Replacement is Clear(OS)

Christopher Smart

Wednesday, January 6th, 2010

( Trong bài trước đã giới thiệu eBox, một bộ phần mềm máy chủ tổng hợp. Bài lược dịch này giới thiệu thêm một bộ nữa. Bộ này tôi chưa thử. Các chữ nghiêng là lời người dịch - Zxc232).

Trên Internet, Linux là người chiến thắng lớn.

Các máy chủ mail và web (mail and web servers), cơ sở dữ liệu (database), cụm máy chủ tính toán (computational clusters) và siêu máy tính (supercomputers) tất cả đều là sân của phần mềm tự do. Linux cũng là vua trong lĩnh vực các thiết bị nhúng (embedded devices).

Tuy nhiên có hai lĩnh vực chính mà Linux còn chưa xâm nhập được là máy chủ và máy để bàn của doanh nghiệp nhỏ. Nhiều doanh nghiệp vừa và nhỏ đang là các quầy hàng của Microsoft vì các máy desktop chạy Windows. Để xâm nhập vào đó, Linux cần tìm được một khe hở không gây ồn ào.

Một số đám mây điện toán hiện đang là một giải pháp cho vấn đề đó ( cung cấp các ứng dụng Linux đám mây) nhưng không phải tất cả các công ty đều muốn đưa các dữ liệu nhậy cảm của họ lên Internet và phó thác cho người khác. Vì vậy thị trường các máy chủ riêng của từng công ty vẫn còn đang sôi động và màu mỡ.

Các yêu cầu.

Một trong những lý do làm bộ phần mềm Microsoft Small Business Server (SBS) hấp dẫn là vì nó bao gồm sẵn nhiều tính năng cốt lõi cần cho một công ty. Các dịch vụ như xác thực trung tâm (central authentication), thư điện tử, chia sẻ file và máy in, máy chủ web đều rất quan trọng. Và có lẽ quan trọng nhất là lịch công tác. Đó là những thứ sống còn đối với doanh nghiệp mà các giải pháp Linux thay thế còn khó đáp ứng.

Dưới đây là một số tính năng chính của SBS:

Xác thực người dùng tập trung (Active Directory)
Thư điện tử, lịch công tác và tin nhắn (Exchange)
Máy chủ web (IIS)
Tường lửa (ISA)
Hệ thống quản lý nội dung (Sharepoint)
Chống virus (Forefront)
Cơ sở dữ liệu (MS-SQL)
Truy cập máy để bàn từ xa
Mạng riêng ảo (VPN)

Không tính đến các vấn đề về văn hóa công ty và bản quyền, nếu Linux muốn cạnh tranh được với SBS tối thiểu phải có được các tính năng nói trên, làm việc trơn tru và sử dụng đơn giản.

Thay máy chủ bằng Linux là một chuyện, nhưng các máy để bàn thì không thay dễ như thế. Máy chủ Linux vì vậy phải làm việc được như một máy chủ quản lý vùng chính (Primary Domain Controller – PDC) cho một mạng các máy Windows. Các máy Windows có thể gia nhập mạng và dùng được các tính năng như roaming profiles.

Thứ hai, nếu giao diện và cách dùng khác nhau, người dùng sẽ kêu ca. Phần lớn các công ty dùng Microsoft Outlook làm phần mềm thư điện tử và lập lịch cá nhân. Vì vậy điều lý tưởng là các máy chủ Linux nên làm việc được với Outlook.

Câu trả lời là rõ ràng

Tại sao Linux vẫn chưa thâm nhập được vào thị trường đó giống như nó đã làm với các hạ tầng máy chủ cỡ lớn khác? Đó không phải vì các công cụ của các tính năng đó không có. Ngược lại, trong từng tính năng riêng biệt, Linux là vượt trội. Linux hoàn toàn có thể làm việc như Windows PDC, chia sẻ file, máy in, làm máy chủ web và máy chủ database!

Trước đây, điểm yếu nhất của Linux là chia sẻ danh bạ và lịch công tác. Nay thì có đến hàng chục phần mềm làm việc nhóm khác nhau. Lý do chính để SBS còn được dùng rộng rãi chính là tính năng lập và chia sẻ lịch, danh bạ này, và khi Linux đã làm tốt thì đó không còn là một cản trở nữa ( Riêng các tính năng đó trong bộ Zimbra mà tôi đã thử thì rất tốt)

Như vậy các công cụ cần thiết đều có và mỗi người dùng Linux có kinh nghiệm đều có thể cài một bộ phần mềm thay thế SBS. Nhưng nếu người quản trị hệ thống không có kinh nghiệm về Linux, họ sẽ yêu cầu một hệ điều hành có sẵn các tính năng nói trên với một giao diện dễ sử dụng. Nếu Linux khó dùng, họ sẽ tiếp tục dùng Windows.

ClearOS , một bản Linux tự do, nguồn mở được xây dựng nhằm mục tiêu đó. Tổ chức ClearFoundation công bố phiên bản ClearOS 5.1 đúng trước lễ Giáng sinh và hiện có để download.

Nghe thì có vẻ mới nhưng thực ra ClearOS đã có một lịch sử lâu đời. Trước đây nó có tên là ClarkConnect, một bản Linux rất phổ biến để cài đặt một máy chủ Linux nhanh chóng và thuận tiện. ClearOS xây dựng trên nền bản Linux CentOS, bản này lại dùng mã nguồn của Red Hat Enterprise Linux, một trong những bản Linux máy chủ nổi tiếng nhất hiện nay. Vì vậy, nền tảng của ClearOS là vững chắc và đáng tin cậy.

Tính năng phong phú

ClearOS tích hợp tất cả các tính năng yêu cầu thành một gói nhỏ, dễ cài đặt và sử dụng. Nó biến bất kỳ một máy tính nào thành một máy chủ tinh vi, tin cậy và mạnh cho bất kỳ một mạng nào.

Nó cung cấp những gì? Đây là danh sách:

Xác thực người dùng tập trung (LDAP)
Máy chủ quản lý vùng chính (Samba)
Các dịch vụ chia sẻ file và máy in (Samba and CUPS)
Máy chủ thư điện tử (SMTP, POP, IMAP, Webmail)
Lập và chia sẻ lịch công tác (Kolab groupware)
Máy chủ web (Apache)
Tường lửa và chống xâm nhập (iptables, Snort)
Chống malware (Clam Antivirus, Antiphishing, Antispyware)
Chống spam (Spamassassin)
Máy chủ cơ sở dữ liệu (MySQL)
Mạng riêng ảo (IPSec, OpenVPN, PPTP)
Web Proxy (Squid)

( Trong danh sách trên không có phần mềm quản lý nội dung, nhưng có thể bổ xung Joomla, Drupal, … vào. Cũng không có tổng đài VoIP Asterik như eBOX.)

Tính phức tạp của từng thành phần được giấu đằng sau một giao diện quản trị hệ thống dạng web (web based), qua đó người dùng có thể bật, tắt từng module theo yêu cầu.

Hệ thống cũng được thiết kế mở rộng được. Các thành phần đằng sau không bị giấu đi hẳn mà cho phép người quản trị có thể thâm nhập trực tiếp, thay đổi mọi thứ theo ý muốn. Có nhiều hướng dẫn dạng how-to để thực hiện các tính năng phụ.

ClearOS hỗ trợ các module ngoài, cung cấp các tính năng bổ xung không có sẵn mặc định. Có thể thay thế phần mềm máy chủ groupware bằng một phần mềm khác hoặc thậm chí tạo hẳn một module mới.

Bộ phần mềm groupware Kolab cũng được nhưng phần kết nối với Outlook phải mua riêng, ví dụ từ Toltec hoặc KONSEC. Có sẵn phần mềm clien dạng web Horde nhiều tính năng nhưng không đẹp lắm. Người dùng Linux có thể dùng ứng dụng Kontact hoặc Thunderbird với addon Sync Kolab.

Giao diện quản trị hệ thống

Quá trình cài đặt trơn tru, hỗ trợ cả RAID cứng và mềm. Trong quá trình cài, người dùng có thể chọn các dịch vụ muốn dùng hoặc cấu hình sau qua giao diện quản trị web based.

Giao diện quản trị dạng web khá trực quan và dễ dùng. Các tính năng máy chủ được nhóm thành các nhóm như Thư mục, Mạng, Hệ thống, Gateway, trong đó các admin có thể cấu hình các thành phần. Mọi thứ từ bổ xung user đến cấu hình IPSec VPN đều qua một vài bước đơn giản. Trong 5 phút, một admin có thể có một máy chủ quản lý Windows domain đầy đủ chức năng.

Trong giao diện quản trị cũng có các loại report khác nhau về trạng thái tài nguyên hệ thống, lưu lượng mạng, thống kê mail và web và các bản log hệ thống cổ điển.

Có một số cải tiến trong giao diện, cung cấp nhiều feedback hơn. Hiện tại ClearOS còn chưa có phiên bản 64bit nhưng hy vọng rồi sẽ có.

Mặc dù vậy, ClearOS thực sự là một giải pháp thay thế nghiêm chỉnh cho SBS. Nó có mọi tính năng cần thiết, quản trị đơn giản và có đầy đủ sức mạnh của Linux và phần mềm nguồn mở.

Các phương thức hỗ trợ người dùng

Tất nhiên một trong những thành phần cơ bản của bất kỳ mạng máy tính nào là hỗ trợ thương mại (có thu phí) mà ClearFoundation cung cấp qua ClearCenter.

Trung tâm của ClearCenter là Clear Service Delivery Network, viết tắt ClearSDN. Đăng ký vào ClearSDN là miễn phí và bắt buộc để có thể cập nhật phần mềm.

ClearSDN cũng có các dịch vụ trả phí, bao gồm:

“Cập nhật các phần mềm antimalware, các module tính năng mới, hỗ trợ kỹ thuật và các ứng dụng đám mây điện toán như backup server từ xa.”

Trong khi bản thân ClearOS là phần mềm nguồn mở, cũng có vài lắt léo. Cập nhật phần mềm hệ thống thì miễn phí nhưng cập nhật các định nghĩa virus, malware lại có phí.

ClearFoundation cũng bán các máy chủ cài sẵn (hardware appliance) gọi là ClearBOX. Các máy chủ này được cài sẵn ClearOS, cấu hình sẵn, đã test và xác nhận là tương thích hoàn toàn. Người dùng có thể tải ClearOS về cài lên máy chủ riêng của mình, cũng có thể mua ClearBOX có độ tin cậy cao hơn.

ClearCenter cũng có dịch vụ hỗ trợ thương mại (trả phí) gọi là ClearCare:

“ ClearCARE là phương pháp đổi mới để người dùng được hỗ trợ kỹ thuật cho ClearOS, ClearSDN và ClearBOX.”

Cuối cùng, ClearFoundation lập một cổng điện tử cho cộng đồng người sử dụng. Đây là nơi duy nhất người dùng có thể tìm kiếm sự hỗ trợ, trao đổi với những người dùng khác qua một giao diện thân thiện.

Nhìn chung lại thì hướng xây dựng ClearOS cũng giống như eBOX: tích hợp các phần mềm nguồn mở cần thiết tạo thành một bộ phần mềm máy chủ đủ các tính năng cần thiết cho doanh nghiệp vừa và nhỏ, cài đặt đơn giản và có một giao diện đồ họa để quản trị tập trung, tự động hóa các thao tác quản trị. Cách làm này khắc phục được nhược điểm cài đặt, cấu hình phức tạp bằng tay, phải học hỏi nhiều của các phần mềm Linux máy chủ. Một người quản trị hệ thống không có kinh nghiệm về Linux cũng có thể nhanh chóng làm chủ được các bộ phần mềm kiểu này như với các bộ phần mềm máy chủ của Microsoft.