Bundesamt für Sicherheit in der Informationstechnik

M 3.41 Einführung in Linux und z/VM für zSeries-Systeme

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Neben den unter z/OS laufenden Unix System Services (USS) steht auch Linux für die zSeries-Hardware zur Verfügung.

Linux für zSeries entspricht dem Linux für andere Plattformen, die Modifikationen im Kernel beziehen sich ausschließlich auf Anpassungen an die zSeries-Hardware (Systemumgebung, CPU-Architektur und Hardware-abhängige Treiber). Da das zSeries-Linux eine Portierung darstellt, arbeitet es mit dem ASCII -Zeichensatz (im Gegensatz zum USS HFS-Dateisystem, das im EBCDIC -Modus läuft). Derzeit sind zwei Linux-Versionen für diese Plattformfamilie erhältlich: eine 31 Bit-Version für S/390-Hardware und eine 64 Bit-Version für die zSeries-Hardware (das S/390-System ist zwar ein 32 Bit-System, die Software darauf läuft jedoch mit 31 Bit, da das erste Bit zur Umschaltung zwischen 24 Bit- und 31 Bit-Modus benötigt wird).

Betriebsarten von Linux unter zSeries

Es sind drei unterschiedliche Betriebsarten von Linux unter zSeries möglich:

  • Linux Native auf zSeries Hardware
  • Linux in einer zSeries LPAR
  • Linux unter dem Träger-System z/VM

Linux Native auf zSeries Hardware

In dieser Betriebsart wird Linux als Single-System auf der zSeries Hardware eingesetzt. Dies bedeutet, dass die gesamte zSeries Hardware vom Linux-System benutzt wird. Single-Systeme stellen in der Praxis derzeit eher eine Ausnahme dar.

Linux in einer zSeries LPAR

Bei dieser Variante erfolgt der Betrieb von Linux in einer LPAR (Logical Partition) auf der zSeries-Maschine. Der LPAR-Mode der zSeries-Hardware erlaubt den Betrieb von mehreren unabhängigen Betriebssystem-Installationen auf einer zSeries-Maschine. Jede einzelne Partition verhält sich wie eine unabhängige Hardware. Auf diesen LPARs können unter anderem z/OS oder Linux als Betriebssystem installiert werden.

Die Betriebsart Linux in einer zSeries LPAR kommt zum Beispiel in Betracht, wenn zusätzlich zu einem schon vorhandenen z/OS-Datenbank-Server Internet-Applikationen, wie z. B. Webserver, betrieben werden sollen.

Die Konsolidierung von Linux und z/OS auf einem physischen zSeries-System an Stelle zweier getrennter Systeme reduziert nicht selten den Aufwand für die Installation und den Betrieb.

Linux unter dem Träger-System z/VM

Es können mehrere Linux-Installationen auf einem zSeries-Rechner oder innerhalb einer LPAR unter dem Träger-System z/VM betrieben werden. Das z/VM stellt sogenannte virtuelle Maschinen zur Verfügung, unter denen die einzelnen Linux-Installationen unabhängig von einander betrieben werden können.

Die Betriebsart Linux unter dem Träger-System z/VM kommt zum Beispiel in Betracht, wenn die z/Series-Hardware im Rahmen eines Server-Konsolidierungsprojektes eingesetzt wird. Hierbei wird die Installation von Linux durch das System-Cloning erleichtert. Es können viele Linux-Systeme parallel auf einer Maschine betrieben werden. Darüber hinaus erleichtert diese Konstellation eine zentrale Kontrolle und Administration.

Communications Server for Linux on zSeries

Linux für zSeries unterstützt ohne zusätzliche Komponenten TCP/IP. Der Communications Server for Linux on zSeries als separates Produkt ermöglicht zusätzlich eine Kommunikation über SNA oder TCP/IP mit anderen Systemen in den folgenden Bereichen:

  • Advanced Peer to Peer Networking ( APPN )
  • High Performance Routing (HPR)
  • TN3270E Server
  • Telnet Redirector
  • SSL data encryption scalability
  • Client Authentication
  • Application Programming Support
  • Advanced Program to Program Communication ( APPC )
  • Common Programming Interface for Communications ( CPI-C )

Das Programm bietet den Administratoren und Bedienern Unterstützung bei der Installation, Konfiguration und Problemanalyse.

HiperSockets

HiperSockets erlauben eine LPAR-übergreifende Kommunikation. Mit dieser Funktion lässt sich innerhalb des Systems ohne eine zusätzliche physische Verbindung ein "systeminternes Netz" über TCP/IP aufbauen.

Ein von Linux abgesetzter TCP/IP-Auftrag wird auf Maschinenebene abgefangen und an die adressierte Partition umgeleitet. Dies ist mit Übertragungsraten von mehreren GByte/s möglich. Gegenüber dem Linux-Betriebssystem verhält sich diese Kommunikationsschnittstelle wie ein herkömmliches TCP/IP-Netz. Auch z/OS-Systeme in einer anderen LPAR lassen sich so mit Linux-Systemen verbinden.

Integrated Facility for Linux (IFL)

Diese Hardware-Funktion gestattet den zusätzlichen Einsatz von Linux auf einem System. Die speziellen IFL-Prozessoren bringen zusätzliche Rechenkapazität.

IFL wird von PR/SM wie eine separate LPAR verwaltet, die jedoch nur Linux-Betriebssysteme (oder z/VM mit Linux-Betriebssystemen) unterstützen kann.

z/VM

Das Betriebssystem z/VM ermöglicht eine - Software-basierte - Aufteilung des Rechners in mehrere parallele Virtual Machines. z/VM verwaltet mit dem Control Program (CP) die Hardware der Partition und stellt den Gast-Betriebssystemen die Virtual Machines zur Verfügung.

Die Hardware-Zugriffe erfolgen über das CP, das dem aufrufenden Betriebssystem das Ergebnis in seiner gewünschten Form präsentiert.

Darüber hinaus stellt z/VM das Conversational Monitoring System (CMS) zur Verfügung, in dem z. B. Scripts ablaufen können, um korrektive Maßnahmen durchzuführen oder neue Systeme zu aktivieren.

Linux-Sicherheitsaspekte

Hardware

Die Verbindung zwischen den Linux Betriebssystemen oder zwischen Linux und z/OS-Systemen kann über HiperSockets erfolgen. Diese sind integraler Bestandteil der Hardware und ermöglichen eine schnelle und - bei korrekter Konfiguration - sichere TCP/IP-Verbindung.

Durch den z/VM-Einsatz wird die Bereitstellung und Absicherung der Hardware zu einem Teil durch eine Software-Lösung ersetzt. Die Ressourcen sind deshalb nicht als reale Hardware verfügbar, sondern werden virtuell in der Software (z/VM) abgebildet. Dem entsprechend müssen die Ressourcen mit Software-Mitteln abgesichert werden.

RACF/VM

Die Resource Access Control Facility for z/VM (RACF/VM) erweitert die Standard-Security des z/VM um eine Zugriffskontrolle für die Ressourcen des z/VM-System. Daneben überprüft es die Zugriffe auf die Systemressourcen und die Virtual Machine.

DIRMAINT

Die zentrale Konfigurationsdatei von z/VM ist das z/VM-System-Directory. Die Verwaltung dieser Datei wird von DIRMAINT unterstützt, wobei die DIRMAINT-Funktion die folgenden Aufgabenbereiche abdeckt:

  • Distributed Virtual Machine Management
  • automatische Minidisk-Administration (Allokieren, Löschen, usw.)
  • Unterstützung der Benutzer
  • Auditing
  • Backup/Recovery des Directory

Auch wenn das Directory mit einem herkömmlichen Editor bearbeitet werden kann, ist DIRMAINT für alle Installationen mit größeren User-Anzahlen empfehlenswert, da die dialoggestützte DIRMAINT-Funktion die Verwaltung vereinfacht. Dies hilft bei der Vermeidung von Eingabefehlern.

Access Control

Die Steuerung der Zugriffskontrolle ist bei Linux im Wesentlichen über drei Mechanismen möglich:

  • Permission Bits wie bei anderen Unix-Betriebssystemen
  • Mandatory Access Control (MAC)
  • Access Control Lists ( ACL s)

Während die erste Methode in der Regel für normale Sicherheitsanforderungen ausreicht, sollten MAC und ACLs bei höheren Sicherheitsanforderungen in Betracht gezogen werden. Für MAC und ACLs sind zusätzliche Software-Komponenten erforderlich.

Pluggable Authentication Module (PAM)

Zur Zentralisierung der Benutzerverwaltung bietet es sich für Linux auf LPARs an, die Verwaltung der Userids über ein z/OS-RACF abzuwickeln. Dazu muss das Linux-System über ein Pluggable Authentication Module (PAM) verfügen und mit dem vorgeschalteten LDAP -Server des z/OS-RACF-Systems über die HiperSockets Verbindung aufnehmen.

Ist die Kennung im RACF administriert und sind User-ID und Passwort korrekt, so wird der Zugang zu dem Linux-System freigegeben. Dateizugriffe lassen sich jedoch nach wie vor nur über die Sicherheitsmechanismen von Linux (Permisson Bit) realisieren.

Transaction Processing Facility (TPF)

TPF ist ein weiteres Betriebssystem für die zSeries-Plattform und stellt eine Sonderform dar. Es handelt sich dabei um ein transaktionsorientiertes System, das speziell im Bereich Flugzeugbuchung eingesetzt wird, wo es besonders auf hohe Performance ankommt. Transaktionen laufen hierbei direkt im Kernel-Modus.

TPF wird an dieser Stelle aus Gründen der Vollständigkeit erwähnt und ist nicht Gegenstand des Bausteins S/390- und zSeries-Mainframe.

Stand: 13. EL Stand 2013