鄧敏麗

Bastille在鐵路移動數(shù)據(jù)傳輸統(tǒng)一平臺服務(wù)器安全防護(hù)中的應(yīng)用

鄧敏麗

簡單介紹了Bastille相關(guān)知識，并介紹Bastille在鐵路移動數(shù)據(jù)傳輸統(tǒng)一平臺服務(wù)器安全防護(hù)中的應(yīng)用情況。重點(diǎn)談了如何使用Bastille做好mtup系統(tǒng)外網(wǎng)通信服務(wù)器的安全防護(hù)工作，以及如何對其進(jìn)行配置和生效等。

信息技術(shù);安全防范;通信

隨著鐵路信息化的發(fā)展，移動辦公、移動數(shù)據(jù)傳輸在鐵路各關(guān)鍵業(yè)務(wù)系統(tǒng)中的應(yīng)用也越來越廣泛。把外部移動數(shù)據(jù)實(shí)時(shí)接入到內(nèi)部生產(chǎn)網(wǎng)，讓相關(guān)責(zé)任單位能實(shí)時(shí)地監(jiān)測、查詢到各種行車安全信息，及時(shí)、有效地避免故障的發(fā)生，不但能更快、更好地保障安全生產(chǎn)需要，同時(shí)還節(jié)約了大量的人力、物力資源。目前，通過移動設(shè)備和移動數(shù)據(jù)統(tǒng)一傳輸平臺(mtup系統(tǒng))，接入到鐵路內(nèi)部生產(chǎn)網(wǎng)的數(shù)據(jù)有車輛、機(jī)務(wù)、工務(wù)等業(yè)務(wù)的安全告警信息、車輛行駛信息和軌道檢測信息，因此做好架設(shè)在鐵路外部網(wǎng)上的mtup系統(tǒng)外網(wǎng)通信服務(wù)器的安全防范至關(guān)重要。不僅要在防火墻上做好mtup系統(tǒng)外網(wǎng)服務(wù)器的安全防范，還要在mtup系統(tǒng)外網(wǎng)通信服務(wù)器上利用Bastille做好服務(wù)器自身的安全訪問控制，減少系統(tǒng)遭受危險(xiǎn)的可能，增加系統(tǒng)的安全性也是非常必要的。

1 Bastille簡介

Bastille是一個(gè)安全加固、鎖閉程序，可減少Linux、Unix、HP-Unix等操作系統(tǒng)遭受危險(xiǎn)的可能，增加了系統(tǒng)的安全性，還可以評估系統(tǒng)當(dāng)前的安全性，周期性的報(bào)告每一項(xiàng)安全設(shè)置及其工作情況。它通過編碼、加固和鎖閉清單來逐個(gè)地、系統(tǒng)地提供定制鎖閉系統(tǒng)的功能。Bastille是操作環(huán)境(OE)介質(zhì)中推薦安裝的軟件，mtup系統(tǒng)外網(wǎng)通信服務(wù)器是HP_Unix操作系統(tǒng)，可通過Ignite-UX或Update-UX進(jìn)行安裝。Bastille能提供下列功能。

1.能夠鎖閉系統(tǒng)。Bastille提供友好的用戶界面來配置系統(tǒng)設(shè)置和守護(hù)程序，使系統(tǒng)更加安全;關(guān)閉不需要的一些服務(wù)，如telnet、ftp;配置Software Assistant和Security Patch Check，使其自動運(yùn)行;配置基于IPFilter的防火墻。

2.報(bào)告安全配置狀態(tài)功能。生成安全配置狀態(tài)報(bào)告，創(chuàng)建Bastille配置基準(zhǔn)，并將系統(tǒng)的當(dāng)前狀態(tài)與所保存的基準(zhǔn)進(jìn)行比較(偏差)。

3.與SIM集成功能。通過SIM鎖閉系統(tǒng)生成報(bào)告，提供SIM服務(wù)器鎖閉中使用的配置SIM.config，該配置已經(jīng)進(jìn)行了預(yù)先測試。

2 配置Bastille

配置Bastille或新建符合mtup系統(tǒng)安全要求的配置文件，可實(shí)現(xiàn)對mtup系統(tǒng)外網(wǎng)通信服務(wù)器的安全加固。

2.1 用root用戶登錄m tup系統(tǒng)服務(wù)器

因?yàn)镠P_UX Bastille需要更改系統(tǒng)配置和設(shè)置，如果本地未運(yùn)行HP_UX Bastille，則可以選擇通過Secure Shell(ssh)或IPSec來傳輸X11通信以限制網(wǎng)絡(luò)公開程度，或者使用更完整的桌面共享解決方案來防止本地或遠(yuǎn)程用戶攻擊。

2.2 創(chuàng)建配置文件config

創(chuàng)建配置文件config，以交互方式或非交互方式創(chuàng)建。

2.2.1 以交互方式創(chuàng)建配置文件

首次使用Bastille時(shí)，必須以交互方式運(yùn)行Bastille來創(chuàng)建配置文件，除非分發(fā)產(chǎn)品帶有預(yù)生成的配置文件(如DM.config)。具體步驟如下。

1.啟動Bastille。Bastille在安裝時(shí)會更新PATH環(huán)境變量，因此，如果在安裝HP_UX Bastille后注銷重新登錄時(shí)，只要用以下命令來啟動bastille:

#bastille

如果尚未更新PATH，則輸入以下命令來啟動Bastille:

#/opt/sec_mgmt/bastille/bin/bastille(bastille實(shí)際安裝目錄)

2.啟動Bastille后，系統(tǒng)會通過提問的方式來進(jìn)行安全設(shè)置，問題將按功能來劃分，要仔細(xì)閱讀和回答所有的問題，因?yàn)檫@些回答將確定系統(tǒng)的加固程度。摘選部分問題如下。

Should Bastille disable clear-text r-protocols that use IP-based authentication?Bastille是否應(yīng)該禁用基于IP進(jìn)行用戶認(rèn)證的明文r-協(xié)議?回答yes。這個(gè)選項(xiàng)針對rsh、rlogin、rcp和rdist，它們在所有的數(shù)據(jù)傳輸中都使用明文。無論如何都不應(yīng)該使用它們，因?yàn)樗鼈冊缇捅籹sh和scp替代了。

Would you like to password protect single-user mode?你是否想用密碼保護(hù)單用戶模式?回答yes。如果沒有密碼，任何人就都能通過重啟進(jìn)入單用戶模式來獲得root權(quán)限。

Should Bastille ensure the telnet service does not run on this system?Bastille是否應(yīng)該確保telnet服務(wù)不在本系統(tǒng)上運(yùn)行?不僅回答yes，而且一定得是yes，除非有十足的把握確信要運(yùn)行telnet服務(wù)。啟用telnet服務(wù)相當(dāng)不安全。選擇yes并不會禁用telnet客戶端程序，這對排除網(wǎng)絡(luò)故障是很有用的。

Would you like to disable the gcc compiler?選 no，禁止使用gcc編譯器。

Would you like to run the packet filtering script?選yes，利用iptables幫你建立一個(gè)小型的防火墻。

Would you like to put limits on system resource usage?是否要限制系統(tǒng)資源的使用?回答yes是相當(dāng)安全的。內(nèi)核轉(zhuǎn)儲(Core dump)對最終用戶并不是特別有用，文件可能變得非常大，因此設(shè)置對用戶進(jìn)程的限制通常是一個(gè)好主意。可以使用命令算一下總共有多少個(gè)用戶進(jìn)程，就會知道Bastille默認(rèn)150的限制是否夠用。

回答問題時(shí)，可使用Explanation-Detail菜單在詳細(xì)解釋或簡短解釋之間切換，但并非所有問題都同時(shí)有詳細(xì)答案和簡短答案?？筛鶕?jù)用戶對問題不同的回答選擇不同的應(yīng)對策略，在其評估模式下生成一份報(bào)告，告訴用戶有哪些安全設(shè)置可用，同時(shí)也提示用戶哪些設(shè)置被加固了。所有問題及回答將會被保存在/etc/opt/sec_mgmt/bastille/目錄下的config配置文件中。

2.2.2 以非交互方式創(chuàng)建配置文件

這種方式多用于更改bastille設(shè)置或相同的bastille配置引擎復(fù)用的情況。將/etc/opt/sec_mgmt/bastille/下的配置文件(如config)復(fù)制到安裝了相同操作系統(tǒng)和應(yīng)用程序的多臺計(jì)算機(jī)上，配置引擎采用預(yù)定義好的配置文件?？墒褂糜山换ナ綍捲谌笔∥恢脛?chuàng)建的文件，也可以使用通過－f選項(xiàng)指定的備用文件。

#bastille-b-f配置文件

2.3 ipf.custom rules配置

在ipf.customrules文件中配置對mtup系統(tǒng)各應(yīng)用需要開放的tcp、udp端口信息，同時(shí)開放mtup系統(tǒng)外網(wǎng)通信服務(wù)器cluster雙機(jī)間的相互訪問，而其他未定義的端口則處于關(guān)閉狀態(tài)。ipf.customrules配置文件中配置規(guī)則如下:

pass out quick proto icmp all keep state

pass out quick proto tcp all keep state

pass out quick proto udp all keep state

pass in quick proto tcp from外網(wǎng)通信服務(wù)器主機(jī)心跳地址to any

pass in quick proto udp from外網(wǎng)通信服務(wù)器主機(jī)心跳地址to any

pass in quick proto udp from any to any port=需開放的udp端口1

pass in quick proto tcp from any to any port=需開放的tcp端口1

使用Bastille不但關(guān)閉了系統(tǒng)的某些默認(rèn)服務(wù)功能，如telnet、ftp等，加強(qiáng)了系統(tǒng)的安全性，而且還對mtup外網(wǎng)通信服務(wù)器上需開放的端口及其連接類型都做了限制，增加了連接的安全性。

3 Bastille生效和取消Bastille

1.配置好bastille后，bastille不會自動生效，要使bastille設(shè)置生效，運(yùn)行命令:#bastille-b

2.鎖閉系統(tǒng):#bastille-x

3.要將安全配置恢復(fù)到運(yùn)行Bastille之前的狀態(tài)，取消Bastille，輸入:#bastille-r

4 結(jié)束語

隨著鐵路信息化建設(shè)的推進(jìn)，mtup系統(tǒng)接入的應(yīng)用數(shù)據(jù)和信息也越來越多，就目前已接入的LAIS、TCDS、晃車等行車安全應(yīng)用數(shù)據(jù)的情況看，mtup系統(tǒng)運(yùn)行安全、穩(wěn)定。使用Bastille對mtup外網(wǎng)通信服務(wù)器系統(tǒng)進(jìn)行安全加固防護(hù)，進(jìn)一步避免了mtup系統(tǒng)外網(wǎng)通信服務(wù)器遭受非法入侵和攻擊的可能，提高了系統(tǒng)的安全性，有力地保障了鐵路各關(guān)鍵應(yīng)用移動數(shù)據(jù)的安全可靠傳輸。

［1］陳彬．互聯(lián)網(wǎng)服務(wù)器攻防秘笈［M］．北京:化學(xué)工業(yè)出版社，2011．

［2］HP公司．HP-UX系統(tǒng)管理員指南．2009．

Brief explanation of relevant knowledge about Bastille is given and the application of Bastille in the server security protection of railway mobile data transmission platform is introduced．It is focused on how to use Bastille to protectmtup extranet Communications Server and how to configure the Bastille and make itwork effectively．

Information technology;Security;Communication

鄧敏麗:中國鐵路總公司信息技術(shù)中心工程師100844北京

2014-01-02

(責(zé)任編輯:諸紅)