Чергова версія Fedora, яка веде Linux-системи компанії Red Hat, вийшла на етап бета-тестування. Аналогічно системі Ubuntu Linux, в якої також нещодавно почалося бета-тестування, Fedora 12 укомплектована самими останніми версіями популярних програм з відкритим кодом, таких як пакет офісних програм OpenOffice.org, веб-браузер Firefox і настільні інтерфейси GNOME та KDE.

Крім цих типових поліпшень нова версія виділяється ще й тим, що зміцнює позиції не тільки самої Fedora, але і Linux-дистрибутивів в цілому, тому що компанія Red Hat почала переносити останні досягнення технології Open Source у свої настільні Linux-системи. Зокрема, у Fedora 12 вдосконалені засоби для керування системними привілеями та інструменти віртуалізації.
Системні привілеї

Одним з перших поліпшень Fedora 12, яке привернуло мою увагу, є новий засіб для переміщення потенційно небезпечних графічних додатків у "пісочницю" (sandbox) на базі платформи SELinux. Нова функція під назвою sandbox-X дозволяє запускати графічні додатки в тимчасовій середовищі ізольовано від іншої системи.

Наприклад, я створив на своїй тестовій машині сценарій для Adobe Reader (типова мета вірусописьменників), який запускає для цієї програми в "пісочниці" SELinux. Я зміг нормально переглядати свій документ (правда, лише більш-менш, тому що під час тестування Reader періодично давав збої, як в "пісочниці", так і поза нею), але не міг звертатися до файлової системи або до мережі. Якщо мені потрібно було отримати доступ до "пісочниці" через Інтернет, щоб, наприклад, перевірити веб-браузер, я просто додавав у своїй команді рядок "-t sandbox_web_t".

Зараз програми з "пісочниці" запускаються у вікні, розміри якого не можна змінювати, і не кожен додаток нормально працює в "пісочниці". Наприклад, браузер Firefox виконувався без проблем, а Chromium компанії Google зависав відразу після запуску.

У майбутньому мені хотілося б дізнатися, як розробники Fedora інтегрують sandbox-X з іншим дистрибутивом. В усякому разі ця функція є хорошим прикладом того, що можна зробити за допомогою SELinux.

SELinux забезпечує систему Linux засобом обов'язкового контролю доступу, в якому користувачі та процеси мають тільки права, надані їм в явному вигляді. У системах Red Hat і Fedora платформа SELinux зазвичай використовується під управлінням спеціальних правил, за якими тільки певна частина систем контролюється так суворо. В іншій системі застосовується традиційний інструмент Linux DAC (discretionary access control).

У Fedora 12 інструментарій Linux DAC став більш деталізованим: з'явилася можливість обмежувати привілеї процесів, що раніше володіли повним правом кореневого доступу. Концепція capabilities (можливості) дозволяє виконувати програми, яким потрібні деякі кореневі привілеї, але тільки з цими правами.

Таким чином, SELinux служить для обмеження того, що дозволено робити додатків, а capabilities дозволяє додаткам запросити деякі права. При цьому capabilities звертається до бібліотеки під назвою libcap-ng, яка спрощує розробникам додатків процес надання "можливостей".

Третьою новинкою в галузі управління привілеями у Fedora 12 є переписана середу PolicyKit, призначена для надання користувачам деяких розширених прав, наприклад, права змінювати інформацію про дату і час, створювати та змінювати установки окремих користувачів і груп або встановлювати на машині програмні пакети.

Поточна версія PolicyKit, яка поставляється разом з дистрибутивами Red Hat і Fedora, а також Ubuntu, SUSE та іншими, не інтегрується з мережевими ресурсами, такими як сервери каталогів, що значно обмежує її використання в керованої середовищі.

Але хоча версія PolicyKit, що поставляється з Fedora 12, все ще зберігає політики локально, вона забезпечена деякими можливостями, спрямованими на майбутню інтеграцію з каталогами, що стане великим досягненням не лише для Fedora, але і для дистрибутивів Linux в цілому.
Віртуалізація

До цих пір ніякі версії Fedora не виходили без нових засобів віртуалізації, і Fedora 12 - не виняток.

У цій версії одна з найбільш цікавих новинок - це підтримка кошти Kernel Shared Memory (KSM), яке нещодавно було додано до ядра Linux для того, щоб програми могли ідентифікувати і спільно використовувати дубльовані сторінки пам'яті. Разом з гіпервізор Fedora KVM засіб KSM дозволить підвищити щільність віртуальних машин на одному хості, давши адміністраторам можливість перерозподіляти пам'ять без свопінгу віртуальних машин на диск.

Я протестував KSM, створивши пару віртуальних машин Ubuntu 9.04, кожна з 1 Гб оперативної пам'яті, і одну віртуальну машину Windows 7 з 2 Гб пам'яті. Ці віртуальні машини разом використовували 4 Гб пам'яті на моїй тестовій системі під управлінням Fedora 12.

Коли я включив KSM, я помітив, що споживання пам'яті на моїй машині досить швидко скоротилася з 3,1 до 2,1 Гб, тому що моя система почала розпізнавати і об'єднувати дубльовані сторінки пам'яті. Мені хотілося б випробувати KSM на більш реальній системі, але й те, що я побачив, справило на мене велике враження.

Крім цього мені сподобалося, що в Fedora 12 гіпервізор KVM підтримує "гаряче" підключення віртуальних мережевих адаптерів і забезпечує гостьові машини емуляцією апаратних платформ, яка не змінюється при оновленні гіпервізора. Як правило, системи на базі Linux не залежать від зміни апаратної платформи, на якій виконуються, однак такі зміни можуть викликати проблеми в Windows. Я спостерігав відмову віртуальної машини Windows після оновлення KVM і тому вітаю дане удосконалення.