張雪敏

摘 要：隨著互聯(lián)網(wǎng)時(shí)代的到來(lái)，傳統(tǒng)服務(wù)器運(yùn)維管理的模式已經(jīng)不能滿足互聯(lián)網(wǎng)公司的業(yè)務(wù)需求，因此Linux集群規(guī)模越來(lái)越大，并支撐著互聯(lián)網(wǎng)公司業(yè)務(wù)的不斷拓展，進(jìn)而國(guó)內(nèi)各個(gè)互聯(lián)網(wǎng)公司都開(kāi)始逐漸使用自動(dòng)化的運(yùn)維平臺(tái)對(duì)Linux集群實(shí)施統(tǒng)一管理。Linux集群運(yùn)維平臺(tái)包含的方面有自動(dòng)化監(jiān)控、任務(wù)調(diào)度監(jiān)控、自動(dòng)化部署、配置管理、機(jī)器管理、用戶訪問(wèn)質(zhì)量統(tǒng)計(jì)、集群用戶權(quán)限管理、日志平臺(tái)等，其中Linux集群運(yùn)維平臺(tái)用戶權(quán)限管理與日志審計(jì)系統(tǒng)這兩者關(guān)系極為密切，同時(shí)也是運(yùn)維平臺(tái)里特別關(guān)鍵的兩大模塊，因?yàn)樗鼈兌忌婕靶畔⑸系陌踩珕?wèn)題，而信息安全又是運(yùn)維平臺(tái)的核心。文章將主要闡述自動(dòng)化運(yùn)維平臺(tái)中用戶權(quán)限管理及日志審計(jì)系統(tǒng)實(shí)現(xiàn)的細(xì)節(jié)，并通過(guò)實(shí)際例子進(jìn)行分析。

關(guān)鍵詞：Linux集群；運(yùn)維平臺(tái)；用戶權(quán)限管理；日志審計(jì)系統(tǒng)

近年來(lái)，隨著社會(huì)的進(jìn)步、科技的推進(jìn)、互聯(lián)網(wǎng)的發(fā)展，如今互聯(lián)網(wǎng)已經(jīng)成為人們生活、學(xué)習(xí)以及工作中不可或缺的一部分，互聯(lián)網(wǎng)公司為了適應(yīng)如此高節(jié)奏的社會(huì)以及滿足自己的業(yè)務(wù)需求，Linux集群應(yīng)運(yùn)而生，Linux集群是由一系列低成本的電腦組成，相比于價(jià)格高昂、高性能、單個(gè)服務(wù)器而言，它具有低成本、可擴(kuò)展性、穩(wěn)定性好等特點(diǎn)，在互聯(lián)網(wǎng)公司中有著廣闊的應(yīng)用前景[1]。但是，在這種高性能、高可靠性、可擴(kuò)展性的背后存在著一個(gè)關(guān)鍵性的問(wèn)題，即如何高效地調(diào)度整個(gè)任務(wù)，這樣就涉及Linux集群中用戶登錄的管理權(quán)限和日志審計(jì)系統(tǒng)兩部分功能，這兩部分功能的核心部分都是信息安全問(wèn)題，在Linux集群中有著至關(guān)重要的地位，因此本文將從Linux集群運(yùn)維平臺(tái)用戶權(quán)限管理及日志審計(jì)系統(tǒng)實(shí)現(xiàn)進(jìn)行簡(jiǎn)要探討分析。

一、Linux集群運(yùn)維平臺(tái)實(shí)現(xiàn)中的問(wèn)題及解決方案

Linux集群運(yùn)維平臺(tái)用戶權(quán)限管理及日志審計(jì)系統(tǒng)主要面臨的問(wèn)題有：用戶登錄權(quán)限在登錄系統(tǒng)中的安全性問(wèn)題、集群中海量日志的實(shí)時(shí)性、集群中海量日志存儲(chǔ)的安全性審計(jì)等問(wèn)題。

1.用戶登錄權(quán)限在登錄系統(tǒng)中的安全性問(wèn)題

在傳統(tǒng)的系統(tǒng)認(rèn)證方案中有LDAP/Kerberos認(rèn)證[2]、Rsyslogd和數(shù)據(jù)庫(kù)結(jié)合認(rèn)證等方案，但是都存在著一些問(wèn)題，首先，LDAP/Kerberos認(rèn)證方案中并沒(méi)有密切關(guān)注認(rèn)證日志的統(tǒng)一搜集、統(tǒng)一分析、統(tǒng)一處理等問(wèn)題，它只是將各自的認(rèn)證結(jié)果存儲(chǔ)于本地服務(wù)器，雖然這種方案能夠達(dá)到快速存儲(chǔ)的效果，但是無(wú)法滿足Linux集群運(yùn)維平臺(tái)對(duì)認(rèn)證系統(tǒng)安全性的要求。其次，將存儲(chǔ)于本地的認(rèn)證結(jié)果和日志記錄存儲(chǔ)于一個(gè)數(shù)據(jù)庫(kù)中可以達(dá)到要求。研究發(fā)現(xiàn)，可以在每個(gè)Linux系統(tǒng)中部署Rsyslogd服務(wù)，用于實(shí)時(shí)搜集LDAP/Kerberos認(rèn)證信息和日志記錄，同時(shí)將其存入一個(gè)數(shù)據(jù)庫(kù)中，雖然Rsyslogd服務(wù)可以支持多種數(shù)據(jù)庫(kù)，但是從整個(gè)集群系統(tǒng)的配置要求來(lái)考慮，mysql是目前最為適用的數(shù)據(jù)庫(kù)。然而，由于數(shù)據(jù)量的龐大，mysql數(shù)據(jù)庫(kù)在數(shù)據(jù)的輸入輸出上會(huì)存在瓶頸問(wèn)題，因此需要將數(shù)據(jù)庫(kù)部署在性能強(qiáng)大的機(jī)器上以滿足需求。

2.集群中海量日志的實(shí)時(shí)性

首先，日志分布在多臺(tái)機(jī)器上，考慮到各個(gè)機(jī)器本身硬件設(shè)備的不一致以及軟件設(shè)置的不一致，因此很難尋找到一種統(tǒng)一的方式進(jìn)行日志數(shù)據(jù)采集。其次，日志的存儲(chǔ)依賴于本身機(jī)器，不同的機(jī)器存儲(chǔ)的格式存在差別，如何統(tǒng)一日志數(shù)據(jù)。然后，日志數(shù)據(jù)龐大，其中部分?jǐn)?shù)據(jù)是無(wú)關(guān)緊要的，如何從海量數(shù)據(jù)中獲取實(shí)時(shí)有效的日志數(shù)據(jù)。最后，因?yàn)閿?shù)據(jù)量的龐大，存入數(shù)據(jù)庫(kù)后查詢問(wèn)題也是關(guān)系到實(shí)時(shí)性的問(wèn)題之一[3]。

3.集群中海量日志存儲(chǔ)的安全性審計(jì)

Linux集群是由許多機(jī)器在多個(gè)機(jī)房中部署而成，機(jī)房與機(jī)房之間的網(wǎng)絡(luò)通信、數(shù)據(jù)規(guī)模的擴(kuò)大、運(yùn)維管理難度的增大等，對(duì)于日志操作都存在許多問(wèn)題，因此需要一個(gè)高度集中管理的日志審計(jì)系統(tǒng)，它需要滿足上述所有問(wèn)題的解決方案，同時(shí)需要保證實(shí)時(shí)查看整個(gè)Linux集群的網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維狀態(tài)，對(duì)于平臺(tái)系統(tǒng)存在安全漏洞或者受到攻擊時(shí)能夠及時(shí)發(fā)現(xiàn)。

二、Linux集群運(yùn)維平臺(tái)用戶權(quán)限管理系統(tǒng)實(shí)現(xiàn)

Linux集群運(yùn)維平臺(tái)用戶權(quán)限管理系統(tǒng)需要對(duì)整個(gè)Linux集群的用戶登錄進(jìn)行驗(yàn)證，如果該用戶具有登錄權(quán)限，那么需要對(duì)該用戶信息、登錄信息、登錄后的操作等進(jìn)行管理，因此，用戶權(quán)限管理系統(tǒng)的實(shí)現(xiàn)需要考慮到以下幾方面：認(rèn)證、授權(quán)、記錄。采用LDAP，按照目錄級(jí)進(jìn)行權(quán)限控制，比如對(duì)于互聯(lián)網(wǎng)公司，可以采用公司—部門(mén)—產(chǎn)品—角色—員工的層級(jí)關(guān)系建立認(rèn)證系統(tǒng)。基于Kerberos協(xié)議的KDC可以實(shí)現(xiàn)一個(gè)認(rèn)證密鑰數(shù)據(jù)庫(kù)，這樣一來(lái)，每個(gè)網(wǎng)絡(luò)實(shí)體和KDC知道一套用于驗(yàn)證自己實(shí)體身份的密鑰，當(dāng)兩個(gè)網(wǎng)絡(luò)實(shí)體之間需要通信時(shí)，KDC會(huì)生成一個(gè)臨時(shí)密鑰用于暫時(shí)性的通信保密需求。具體集群運(yùn)維平臺(tái)用戶權(quán)限管理系統(tǒng)的實(shí)現(xiàn)可以概括為用戶使用統(tǒng)一的認(rèn)證賬號(hào)登錄服務(wù)器，在登錄之后服務(wù)器會(huì)和KDC服務(wù)進(jìn)行通信來(lái)驗(yàn)證登錄賬號(hào)和密碼是否正確合法；如果KDC服務(wù)通過(guò)的登錄認(rèn)證，那么服務(wù)器就會(huì)連接到LDAP服務(wù)，并會(huì)根據(jù)用戶登錄信息進(jìn)行對(duì)應(yīng)組的授權(quán)；最后，服務(wù)器就根據(jù)KDC服務(wù)和LDAP服務(wù)的返回值進(jìn)行相應(yīng)的判定，然后采用sudo命令執(zhí)行相應(yīng)的操作處理。由此可知，整個(gè)Linux集群運(yùn)維平臺(tái)用戶權(quán)限管理模塊的實(shí)現(xiàn)需要進(jìn)行如下幾部分的部署：第一，在一臺(tái)Linux機(jī)器上安裝Kerbero軟件，配置KDC服務(wù)；第二，在另一臺(tái)相同的Linux機(jī)器上部署LDAP服務(wù)，并配置高可用性方案；第三，Linux服務(wù)器加入LDAP/Kerberos認(rèn)證配置。

三、 Linux集群運(yùn)維平臺(tái)日志審計(jì)系統(tǒng)實(shí)現(xiàn)

Linux集群運(yùn)維平臺(tái)日志審計(jì)系統(tǒng)包括日志的收集、存儲(chǔ)和分析三部分。首先，日志收集模塊，經(jīng)研究發(fā)現(xiàn)，F(xiàn)luentd軟件可以有效用于構(gòu)架日志審計(jì)系統(tǒng)的日志收集模塊；其中日志存儲(chǔ)至數(shù)據(jù)庫(kù)的格式采用JSON格式文件。在Fluentd中，它接收來(lái)自各種類型的日志消息，通過(guò)Fluentd Input模塊進(jìn)行日志接收，在Fluentd Buffered Output模塊進(jìn)行緩存操作后在內(nèi)部進(jìn)行日志處理，因此，需要在Linux集群運(yùn)維平臺(tái)中安裝Fluentd軟件，并進(jìn)行相應(yīng)的配置。其次，日志存儲(chǔ)模塊，因?yàn)镕luentd輸出的文件格式為JSON，因此可以考慮采用MongoDB，因?yàn)槠洳捎肂inary JSON格式進(jìn)行數(shù)據(jù)存儲(chǔ)，這樣兩者的數(shù)據(jù)格式有一定的匹配規(guī)則。最后，日志分析模塊，日志分析采用特定的日志分析程序進(jìn)行，配置固定的時(shí)間間隔進(jìn)行日志分析，在日志分析過(guò)程中需要對(duì)具有安全性的日志進(jìn)行過(guò)濾提取，只有安全性高的日志才是我們需要統(tǒng)計(jì)分析的日志。對(duì)于存在安全漏洞的日志我們可以通過(guò)警報(bào)的方式通知管理員，如郵件、通訊工具、短信等。

如今，大量的互聯(lián)網(wǎng)公司采用Linux集群來(lái)滿足業(yè)務(wù)需求，但是其中存在著種種安全性問(wèn)題，本文針對(duì)這些安全性問(wèn)題提出了Linux集群運(yùn)維平臺(tái)存在的問(wèn)題以及對(duì)應(yīng)的解決方案，以及在其中兩個(gè)模塊用戶權(quán)限管理和日志審計(jì)系統(tǒng)中存在的安全問(wèn)題和對(duì)應(yīng)的解決措施。Linux集群運(yùn)維平臺(tái)用戶權(quán)限管理及日志審計(jì)系統(tǒng)可以有效地解決互聯(lián)網(wǎng)公司中的安全認(rèn)證問(wèn)題和海量日志數(shù)據(jù)挖掘分析問(wèn)題，具有較好的安全性以及良好的穩(wěn)定性。

參考文獻(xiàn)：

[1]周昕毅.Linux集群運(yùn)維平臺(tái)用戶權(quán)限管理及日志審計(jì)系統(tǒng)實(shí)現(xiàn)[D].上海：上海交通大學(xué)，2013.

[2]劉 耀，畢 麗.構(gòu)建信息化安全運(yùn)維管控平臺(tái)[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2014（19）：72-74.

[3]殷煜輝.Linux安全增強(qiáng)技術(shù)研究及實(shí)現(xiàn)[D].杭州：浙江大學(xué)，2002.

（作者單位：江蘇省吳中中等專業(yè)學(xué)校）