基于UNIX的多功能服務(wù)器構(gòu)建的實(shí)現(xiàn)

唐友

哈爾濱德強(qiáng)商務(wù)學(xué)院 黑龍江 150025

0 引言

隨著時(shí)代的發(fā)展和國(guó)際一體化的加快，國(guó)內(nèi)和國(guó)外的各種行業(yè)都面臨著前所未有的挑戰(zhàn)。這些挑戰(zhàn)已經(jīng)不僅僅是某一個(gè)行業(yè)內(nèi)部的問題，也不僅僅是一個(gè)行業(yè)或區(qū)域的問題。為了能盡快地面對(duì)這種挑戰(zhàn)，從而立于不敗之地，各行業(yè)都在分析帶來這些挑戰(zhàn)的原因，并試圖找出解決的方法。這些研究對(duì)IT的發(fā)展帶來了許多影響，并推動(dòng)了對(duì)Linux的需求。

“隨需應(yīng)變”的商務(wù)有以下四個(gè)主要特點(diǎn)：實(shí)時(shí)響應(yīng)、靈活可變、聚焦核心、堅(jiān)固可靠。這些都要求在業(yè)務(wù)上有更快的響應(yīng)，更廣泛的集成，更高的安全性和更動(dòng)態(tài)的業(yè)務(wù)動(dòng)作。而作為支撐環(huán)境和手段，需要其IT提供更加統(tǒng)一，方便，可靠，安全的支持，這也是各行各業(yè)看好Linux以及眾多的IT商家投入Linux的原因。

本設(shè)計(jì)主要任務(wù)是建設(shè)一個(gè)擁有多功能的信息處理和交換的安全服務(wù)器平臺(tái)。該平臺(tái)將擔(dān)負(fù)多種服務(wù)所需的實(shí)時(shí)信息交互、資源共享的任務(wù)。

本系統(tǒng)針對(duì)操作系統(tǒng)，應(yīng)該充分考慮系統(tǒng)的安全、穩(wěn)定、高效、高可用、易于維護(hù)等特性，并且強(qiáng)調(diào)操作系統(tǒng)與硬件及第三方軟件產(chǎn)品的兼容特性。

針對(duì)數(shù)據(jù)庫、中間件等關(guān)鍵服務(wù)，要充分考慮服務(wù)的高可用性和可擴(kuò)展性，比如對(duì)于數(shù)據(jù)庫服務(wù)，需要采用高可用技術(shù)保證數(shù)據(jù)庫的365天正常運(yùn)轉(zhuǎn)；對(duì)于如中間件，采用負(fù)載均衡技術(shù)，提高系統(tǒng)的負(fù)載承擔(dān)能力。

1 總體設(shè)計(jì)

1.1 設(shè)計(jì)思路

操作系統(tǒng)使用ubuntu linux作為服務(wù)器，擁有眾多先進(jìn)的技術(shù)特性，是穩(wěn)定高效的通用服務(wù)器平臺(tái)。Ubuntu支持32路 SMP 架構(gòu)（包括Intel超線程技術(shù)的CPU）和最大64GB內(nèi)存的 IA32架構(gòu)服務(wù)器，兼容高可用、負(fù)載均衡集群以及備份等配套解決方案，支持業(yè)界主流的商業(yè)應(yīng)用，提供標(biāo)準(zhǔn)的Linux網(wǎng)絡(luò)服務(wù)功能，此外該產(chǎn)品還提供完整的軟件開發(fā)環(huán)境，完全可以滿足本項(xiàng)目對(duì)于操作系統(tǒng)的技術(shù)要求。體系結(jié)構(gòu)設(shè)計(jì)采用B/S與C/S架構(gòu)想結(jié)合，整個(gè)系統(tǒng)，以分為三層體系結(jié)構(gòu)：表現(xiàn)層、功能(業(yè)務(wù))層、數(shù)據(jù)層，如圖1所示。

圖1 三層體系結(jié)構(gòu)圖

1.2 設(shè)計(jì)難點(diǎn)及技術(shù)實(shí)現(xiàn)

利用linux技術(shù)可以實(shí)現(xiàn)多功能網(wǎng)絡(luò)服務(wù)器的架設(shè)，但是最大的難點(diǎn)在于服務(wù)器的安全性考慮。相應(yīng)的解決方案如下：

Cracker入侵之前做的第一件事情就是刺探目標(biāo)主機(jī)的信息，利用各種方法得到目標(biāo)主機(jī)所提供服務(wù)的版本信息，從而判斷其是否存有漏洞?？梢詫?duì)每個(gè)開放的端口進(jìn)行相應(yīng)的連接，通常這些服務(wù)程序會(huì)顯示自己的‘banner’，這樣就能直接獲知版本號(hào)，如ftp、telnet、sendmail等系統(tǒng)服務(wù)。通過這些返回的banner，依靠經(jīng)驗(yàn)或資料，判斷系統(tǒng)版本及服務(wù)的漏洞信息，從而發(fā)動(dòng)入侵?，F(xiàn)在很多掃描器都具備了自動(dòng)獲取 banner的功能，這樣大大減輕了入侵者的工作量如nmap、portready等。如果我們將Linux偽裝成Windows主機(jī)，有助于減小被入侵的風(fēng)險(xiǎn)。

2 詳細(xì)設(shè)計(jì)

本文采用 Unbuntu linux系統(tǒng)作為服務(wù)器平臺(tái)。Ubuntu是一個(gè)完全以Linux為基礎(chǔ)的操作系統(tǒng)，可自由的獲得，并提供社區(qū)和專業(yè)的支持。Ubuntu對(duì)于桌面和服務(wù)器都是合適的。當(dāng)前 Ubuntu 發(fā)布版支持Intel x86(BM-compatible PC)，MD64(ammer)PowerPC(pple iBook和Powerbook,G4和G5)構(gòu)。Ubuntu 包含了超過16,000種軟件，但核心的桌面安裝系統(tǒng)合并到一張光盤上，Ubuntu覆蓋了所有的桌面應(yīng)用程序，包含了文字處理，電子表格，internet應(yīng)用程序，web server軟件，email軟件，開發(fā)設(shè)計(jì)工具，常用工具，當(dāng)然還有一些游戲?！癠buntu”是一個(gè)古非洲語單詞，意思是“樂于分享”。班圖精神也意味“我和他人緊緊相連，密不可分，我們都在同一種生活之中”。Ubuntu Linux 也將班圖精神帶到了軟件世界。

2.1 配置路由與防火墻服務(wù)

這里用Ubuntu默認(rèn)集成了iptables實(shí)現(xiàn)路由及防火墻服務(wù)。iptables是LINUX 2.4及其以上版本中所帶的一個(gè)防火墻規(guī)則管理程序。用戶可以使用它來建立、編輯、刪除系統(tǒng)的防火墻規(guī)則。但通常，需要自己創(chuàng)建一個(gè)防火墻規(guī)則腳本，并使系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行這個(gè)腳本。一個(gè) LINUX防火墻系統(tǒng)的安全機(jī)制是通過Input、Output、Forward這三個(gè)“防火鏈”來實(shí)現(xiàn)的。而用戶正是使用 iptables在這三個(gè)“鏈”上分別創(chuàng)建一套“防火規(guī)則”，完成對(duì)到來數(shù)據(jù)包層層限制的目的。

2.2 配置Web服務(wù)、Mysql數(shù)據(jù)庫服務(wù)

大多數(shù) Internet上的 Web服務(wù)器，都使用 Apache和MYSQL作為Web和數(shù)據(jù)庫服務(wù)器。Apache以免費(fèi)，可靠，快速和很好的擴(kuò)展性等優(yōu)點(diǎn)脫穎而出，PHP是一種類似ASP的腳本語言，目前的發(fā)展為主流的Web語言，而MySQL是一個(gè)輕量級(jí)的數(shù)據(jù)庫系統(tǒng)，特別是用于網(wǎng)站建設(shè)，這3個(gè)軟件均是自由軟件，是架設(shè)數(shù)據(jù)庫驅(qū)動(dòng)的動(dòng)態(tài)網(wǎng)站的最佳排檔。

2.3 配置Ftp文件傳輸服務(wù)

VSFTPD是一種在Linux中非常安全且快速的FTP服務(wù)器，目前已經(jīng)被許多大型站點(diǎn)所采用。VSFTPD支持將用戶名和口令保存在數(shù)據(jù)庫文件或數(shù)據(jù)庫服務(wù)器中。VSFTPD稱這種形式的用戶為虛擬用戶。相對(duì)于FTP的本地(系統(tǒng))用戶來說，虛擬用戶只是FTP服務(wù)器的專有用戶，虛擬用戶只能訪問FTP服務(wù)器所提供的資源，這大大增強(qiáng)系統(tǒng)本身的安全性。相對(duì)于匿名用戶而言，虛擬用戶需要用戶名和密碼才能獲取FTP服務(wù)器中的文件，增加了對(duì)用戶和下載的可管理性。對(duì)于需要提供下載服務(wù)，但又不希望所有人都可以匿名下載；既需要對(duì)下載用戶進(jìn)行管理，又考慮到主機(jī)安全和管理方便的FTP站點(diǎn)來說，虛擬用戶是一種極好的解決方案。

2.4 配置Mail郵件服務(wù)

postfix是Wietse Venema在IBM的GPL協(xié)議之下開發(fā)的MTA(郵件傳輸代理)軟件。postfix想要作用的范圍是廣大的Internet用戶，試圖影響大多數(shù)Internet上的電子郵件系統(tǒng)，因此它是免費(fèi)的。postfix在性能上大約比sendmail快三倍。一部運(yùn)行 postfix的臺(tái)式 PC每天可以收發(fā)上百萬封郵件。postfix具有多層防御結(jié)構(gòu)，可以有效地抵御惡意入侵者。如大多數(shù)的postfix程序可以運(yùn)行在較低的權(quán)限之下，不可以通過網(wǎng)絡(luò)訪問安全性相關(guān)的本地投遞程序等等。

2.5 配置Samba共享服務(wù)

Samba是一種通過實(shí)現(xiàn)Unix的SMB/CIFS協(xié)議，可以讓Unix/linux系統(tǒng)與標(biāo)準(zhǔn) Windows客戶機(jī)一起共享資源的工具。一個(gè)運(yùn)行 SAMBA配置恰當(dāng)?shù)?Linux服務(wù)器可以替代Windows server服務(wù)器，它一般能共享目錄，提供活動(dòng)目錄服務(wù)(active directory service,ADS)但是它可以做為主域控制器(Primary Domain Controller, PDC)，進(jìn)行Windows系統(tǒng)作為客戶機(jī)的用戶認(rèn)證，共享資源(目錄和打印機(jī))和定制用戶會(huì)話。

3 安全維護(hù)與監(jiān)控

由于Linux操作系統(tǒng)使用廣泛，又公開了源碼，因此是被廣大計(jì)算機(jī)用戶研究得最徹底的操作系統(tǒng)，而Linux本身的配置又相當(dāng)?shù)膹?fù)雜，按照下面的安全策略和保護(hù)機(jī)制，可以將系統(tǒng)的風(fēng)險(xiǎn)降到最低，但不可能徹底消除安全漏洞，作為L(zhǎng)inux系統(tǒng)的管理員，頭腦中一定要有安全防范意識(shí)，定期對(duì)系統(tǒng)進(jìn)行安全檢查，發(fā)現(xiàn)漏洞要立即采取措施，以確保linux系統(tǒng)服務(wù)器安全、穩(wěn)定地運(yùn)轉(zhuǎn)。

3.1 用戶級(jí)進(jìn)程監(jiān)控

Linux系統(tǒng)提供了who、w、ps和top等察看進(jìn)程信息的系統(tǒng)調(diào)用，通過結(jié)合使用這些系統(tǒng)調(diào)用，我們可以清晰地了解進(jìn)程的運(yùn)行狀態(tài)以及存活情況，從而采取相應(yīng)的措施，來確保Linux系統(tǒng)的安全。它們是目前在Linux下最常見的進(jìn)程狀況查看工具，它們是隨Linux套件發(fā)行的，安裝好系統(tǒng)之后，用戶就可以使用。

Linux提供的這些命令都能提供關(guān)于進(jìn)程的一些信息，可以通過它們查看系統(tǒng)當(dāng)前的進(jìn)程狀況，也可以找出那些占用了過多系統(tǒng)資源的進(jìn)程并結(jié)束該進(jìn)程。它們的優(yōu)點(diǎn)在于速度快，透明性好，直觀明了。上面給出了Linux系統(tǒng)中較為常見的重要的進(jìn)程，可以采用上述工具來實(shí)時(shí)的監(jiān)測(cè)這些重要進(jìn)程的情況，并采取相應(yīng)的防護(hù)措施。

3.2 日志管理

日志文件大多位于公用目錄，通常是/var/log，或/usr/adm,/var/adm，有些日志位于禁止訪問的/etc目錄。具體請(qǐng)參考當(dāng)前操作體系統(tǒng)文檔。其中 syslogd守護(hù)進(jìn)程提供非常強(qiáng)大的日志功能，比如裝載一個(gè)內(nèi)核模塊的登記，其配置文件為/etc/syslog.conf，通常它提供的最有用的日志是：messages,secure,syslog.在syslog.conf中每一行含有三個(gè)字段：facility字段表示產(chǎn)生該日志文件的子系統(tǒng)；priority字段表明事件的嚴(yán)重級(jí)別；action字段表明如何記錄日志，它提供了遠(yuǎn)程網(wǎng)絡(luò)記錄的能力。

TCP wrapper日志也利用 syslog記錄，其中可能會(huì)有telnet,ssh,ftp等遠(yuǎn)程登錄的信息。這些日志中有很多有價(jià)值的條目：嘗試登錄的時(shí)間日期，主機(jī)名稱，訪問的服務(wù)類型，以及源IP地址。

3.3 流量監(jiān)控

整個(gè)ubuntu linux 多功能服務(wù)器網(wǎng)絡(luò)的流量監(jiān)控用專業(yè)流量監(jiān)控軟件NTOP進(jìn)行網(wǎng)絡(luò)維護(hù)。在互動(dòng)模式下，ntop會(huì)將網(wǎng)絡(luò)的使用狀況顯示在使用者的終端機(jī)畫面上。在Web模式中，ntop會(huì)像Web Server一樣產(chǎn)生出內(nèi)含網(wǎng)絡(luò)使用狀況的網(wǎng)頁傳回到使用者的瀏覽器上。它可以通過分析網(wǎng)絡(luò)流量來確定網(wǎng)絡(luò)上存在的各種問題；也可以用來判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)；還可以很方便地顯示出特定的網(wǎng)絡(luò)協(xié)議、占用大量帶寬的主機(jī)、每次通信的目標(biāo)主機(jī)、數(shù)據(jù)包的發(fā)送時(shí)間、傳遞數(shù)據(jù)包的延時(shí)等詳細(xì)信息。通過了解這些信息，網(wǎng)管員可以對(duì)故障做出及時(shí)的響應(yīng)，對(duì)網(wǎng)絡(luò)進(jìn)行相應(yīng)的優(yōu)化調(diào)整，以保證網(wǎng)絡(luò)運(yùn)行的效率和安全。

4 總結(jié)

基于Unbuntu Linux的“網(wǎng)上多功能服務(wù)器”項(xiàng)目順利實(shí)施滿足了網(wǎng)上各種類型服務(wù)的要求；整個(gè)系統(tǒng)構(gòu)建在穩(wěn)定的技術(shù)架構(gòu)的基礎(chǔ)上，逐步引入和融合新的軟硬件，保持了技術(shù)先進(jìn)性，增強(qiáng)了功能，提高了效率。通過系統(tǒng)配置擴(kuò)展要求，提高了系統(tǒng)性能的縮整體放能力，滿足了接入點(diǎn)和數(shù)據(jù)分中心在數(shù)據(jù)庫和應(yīng)用服務(wù)器等方面的性能擴(kuò)展需求。

[1](美])Michael jang著,邱仲潘等譯.紅帽Linux 9 從入門到精通.電子工業(yè)出版社.2007.

[2]m.f.komarinski,c.collet著,曉冬,馬丁譯.linux系統(tǒng)管理指南.清華大學(xué)出版社.2009.

[3](美)Kirk Bauer譯,馬孝榮.UNIX和Linux自動(dòng)化管理.清華大學(xué)出版社.2004.

[4](美)Martin Fink.Linux及開發(fā)放源代碼在商業(yè)經(jīng)濟(jì)中的應(yīng)用.電子工業(yè)出版社.2006.

[5](美)Scott Mann.Linux系統(tǒng)安全——開放源碼安全工具管理員指南(第二版).電子工業(yè)出版社.2004.

[6]前導(dǎo)工作室.Linux安全入侵防范、檢測(cè)和恢復(fù).機(jī)械工業(yè)出版社.2008.