唐友

哈爾濱德強商務(wù)學院 黑龍江 150025

0 引言

隨著時代的發(fā)展和國際一體化的加快，國內(nèi)和國外的各種行業(yè)都面臨著前所未有的挑戰(zhàn)。這些挑戰(zhàn)已經(jīng)不僅僅是某一個行業(yè)內(nèi)部的問題，也不僅僅是一個行業(yè)或區(qū)域的問題。為了能盡快地面對這種挑戰(zhàn)，從而立于不敗之地，各行業(yè)都在分析帶來這些挑戰(zhàn)的原因，并試圖找出解決的方法。這些研究對IT的發(fā)展帶來了許多影響，并推動了對Linux的需求。

“隨需應(yīng)變”的商務(wù)有以下四個主要特點：實時響應(yīng)、靈活可變、聚焦核心、堅固可靠。這些都要求在業(yè)務(wù)上有更快的響應(yīng)，更廣泛的集成，更高的安全性和更動態(tài)的業(yè)務(wù)動作。而作為支撐環(huán)境和手段，需要其IT提供更加統(tǒng)一，方便，可靠，安全的支持，這也是各行各業(yè)看好Linux以及眾多的IT商家投入Linux的原因。

本設(shè)計主要任務(wù)是建設(shè)一個擁有多功能的信息處理和交換的安全服務(wù)器平臺。該平臺將擔負多種服務(wù)所需的實時信息交互、資源共享的任務(wù)。

本系統(tǒng)針對操作系統(tǒng)，應(yīng)該充分考慮系統(tǒng)的安全、穩(wěn)定、高效、高可用、易于維護等特性，并且強調(diào)操作系統(tǒng)與硬件及第三方軟件產(chǎn)品的兼容特性。

針對數(shù)據(jù)庫、中間件等關(guān)鍵服務(wù)，要充分考慮服務(wù)的高可用性和可擴展性，比如對于數(shù)據(jù)庫服務(wù)，需要采用高可用技術(shù)保證數(shù)據(jù)庫的365天正常運轉(zhuǎn)；對于如中間件，采用負載均衡技術(shù)，提高系統(tǒng)的負載承擔能力。

1 總體設(shè)計

1.1 設(shè)計思路

操作系統(tǒng)使用ubuntu linux作為服務(wù)器，擁有眾多先進的技術(shù)特性，是穩(wěn)定高效的通用服務(wù)器平臺。Ubuntu支持32路 SMP 架構(gòu)（包括Intel超線程技術(shù)的CPU）和最大64GB內(nèi)存的 IA32架構(gòu)服務(wù)器，兼容高可用、負載均衡集群以及備份等配套解決方案，支持業(yè)界主流的商業(yè)應(yīng)用，提供標準的Linux網(wǎng)絡(luò)服務(wù)功能，此外該產(chǎn)品還提供完整的軟件開發(fā)環(huán)境，完全可以滿足本項目對于操作系統(tǒng)的技術(shù)要求。體系結(jié)構(gòu)設(shè)計采用B/S與C/S架構(gòu)想結(jié)合，整個系統(tǒng)，以分為三層體系結(jié)構(gòu)：表現(xiàn)層、功能(業(yè)務(wù))層、數(shù)據(jù)層，如圖1所示。

圖1 三層體系結(jié)構(gòu)圖

1.2 設(shè)計難點及技術(shù)實現(xiàn)

利用linux技術(shù)可以實現(xiàn)多功能網(wǎng)絡(luò)服務(wù)器的架設(shè)，但是最大的難點在于服務(wù)器的安全性考慮。相應(yīng)的解決方案如下：

Cracker入侵之前做的第一件事情就是刺探目標主機的信息，利用各種方法得到目標主機所提供服務(wù)的版本信息，從而判斷其是否存有漏洞?？梢詫γ總€開放的端口進行相應(yīng)的連接，通常這些服務(wù)程序會顯示自己的‘banner’，這樣就能直接獲知版本號，如ftp、telnet、sendmail等系統(tǒng)服務(wù)。通過這些返回的banner，依靠經(jīng)驗或資料，判斷系統(tǒng)版本及服務(wù)的漏洞信息，從而發(fā)動入侵?，F(xiàn)在很多掃描器都具備了自動獲取 banner的功能，這樣大大減輕了入侵者的工作量如nmap、portready等。如果我們將Linux偽裝成Windows主機，有助于減小被入侵的風險。

2 詳細設(shè)計

本文采用 Unbuntu linux系統(tǒng)作為服務(wù)器平臺。Ubuntu是一個完全以Linux為基礎(chǔ)的操作系統(tǒng)，可自由的獲得，并提供社區(qū)和專業(yè)的支持。Ubuntu對于桌面和服務(wù)器都是合適的。當前 Ubuntu 發(fā)布版支持Intel x86(BM-compatible PC)，MD64(ammer)PowerPC(pple iBook和Powerbook,G4和G5)構(gòu)。Ubuntu 包含了超過16,000種軟件，但核心的桌面安裝系統(tǒng)合并到一張光盤上，Ubuntu覆蓋了所有的桌面應(yīng)用程序，包含了文字處理，電子表格，internet應(yīng)用程序，web server軟件，email軟件，開發(fā)設(shè)計工具，常用工具，當然還有一些游戲?！癠buntu”是一個古非洲語單詞，意思是“樂于分享”。班圖精神也意味“我和他人緊緊相連，密不可分，我們都在同一種生活之中”。Ubuntu Linux 也將班圖精神帶到了軟件世界。

2.1 配置路由與防火墻服務(wù)

這里用Ubuntu默認集成了iptables實現(xiàn)路由及防火墻服務(wù)。iptables是LINUX 2.4及其以上版本中所帶的一個防火墻規(guī)則管理程序。用戶可以使用它來建立、編輯、刪除系統(tǒng)的防火墻規(guī)則。但通常，需要自己創(chuàng)建一個防火墻規(guī)則腳本，并使系統(tǒng)啟動時自動運行這個腳本。一個 LINUX防火墻系統(tǒng)的安全機制是通過Input、Output、Forward這三個“防火鏈”來實現(xiàn)的。而用戶正是使用 iptables在這三個“鏈”上分別創(chuàng)建一套“防火規(guī)則”，完成對到來數(shù)據(jù)包層層限制的目的。

2.2 配置Web服務(wù)、Mysql數(shù)據(jù)庫服務(wù)

大多數(shù) Internet上的 Web服務(wù)器，都使用 Apache和MYSQL作為Web和數(shù)據(jù)庫服務(wù)器。Apache以免費，可靠，快速和很好的擴展性等優(yōu)點脫穎而出，PHP是一種類似ASP的腳本語言，目前的發(fā)展為主流的Web語言，而MySQL是一個輕量級的數(shù)據(jù)庫系統(tǒng)，特別是用于網(wǎng)站建設(shè)，這3個軟件均是自由軟件，是架設(shè)數(shù)據(jù)庫驅(qū)動的動態(tài)網(wǎng)站的最佳排檔。

2.3 配置Ftp文件傳輸服務(wù)

VSFTPD是一種在Linux中非常安全且快速的FTP服務(wù)器，目前已經(jīng)被許多大型站點所采用。VSFTPD支持將用戶名和口令保存在數(shù)據(jù)庫文件或數(shù)據(jù)庫服務(wù)器中。VSFTPD稱這種形式的用戶為虛擬用戶。相對于FTP的本地(系統(tǒng))用戶來說，虛擬用戶只是FTP服務(wù)器的專有用戶，虛擬用戶只能訪問FTP服務(wù)器所提供的資源，這大大增強系統(tǒng)本身的安全性。相對于匿名用戶而言，虛擬用戶需要用戶名和密碼才能獲取FTP服務(wù)器中的文件，增加了對用戶和下載的可管理性。對于需要提供下載服務(wù)，但又不希望所有人都可以匿名下載；既需要對下載用戶進行管理，又考慮到主機安全和管理方便的FTP站點來說，虛擬用戶是一種極好的解決方案。

2.4 配置Mail郵件服務(wù)

postfix是Wietse Venema在IBM的GPL協(xié)議之下開發(fā)的MTA(郵件傳輸代理)軟件。postfix想要作用的范圍是廣大的Internet用戶，試圖影響大多數(shù)Internet上的電子郵件系統(tǒng)，因此它是免費的。postfix在性能上大約比sendmail快三倍。一部運行 postfix的臺式 PC每天可以收發(fā)上百萬封郵件。postfix具有多層防御結(jié)構(gòu)，可以有效地抵御惡意入侵者。如大多數(shù)的postfix程序可以運行在較低的權(quán)限之下，不可以通過網(wǎng)絡(luò)訪問安全性相關(guān)的本地投遞程序等等。

2.5 配置Samba共享服務(wù)

Samba是一種通過實現(xiàn)Unix的SMB/CIFS協(xié)議，可以讓Unix/linux系統(tǒng)與標準 Windows客戶機一起共享資源的工具。一個運行 SAMBA配置恰當?shù)?Linux服務(wù)器可以替代Windows server服務(wù)器，它一般能共享目錄，提供活動目錄服務(wù)(active directory service,ADS)但是它可以做為主域控制器(Primary Domain Controller, PDC)，進行Windows系統(tǒng)作為客戶機的用戶認證，共享資源(目錄和打印機)和定制用戶會話。

3 安全維護與監(jiān)控

由于Linux操作系統(tǒng)使用廣泛，又公開了源碼，因此是被廣大計算機用戶研究得最徹底的操作系統(tǒng)，而Linux本身的配置又相當?shù)膹?fù)雜，按照下面的安全策略和保護機制，可以將系統(tǒng)的風險降到最低，但不可能徹底消除安全漏洞，作為Linux系統(tǒng)的管理員，頭腦中一定要有安全防范意識，定期對系統(tǒng)進行安全檢查，發(fā)現(xiàn)漏洞要立即采取措施，以確保linux系統(tǒng)服務(wù)器安全、穩(wěn)定地運轉(zhuǎn)。

3.1 用戶級進程監(jiān)控

Linux系統(tǒng)提供了who、w、ps和top等察看進程信息的系統(tǒng)調(diào)用，通過結(jié)合使用這些系統(tǒng)調(diào)用，我們可以清晰地了解進程的運行狀態(tài)以及存活情況，從而采取相應(yīng)的措施，來確保Linux系統(tǒng)的安全。它們是目前在Linux下最常見的進程狀況查看工具，它們是隨Linux套件發(fā)行的，安裝好系統(tǒng)之后，用戶就可以使用。

Linux提供的這些命令都能提供關(guān)于進程的一些信息，可以通過它們查看系統(tǒng)當前的進程狀況，也可以找出那些占用了過多系統(tǒng)資源的進程并結(jié)束該進程。它們的優(yōu)點在于速度快，透明性好，直觀明了。上面給出了Linux系統(tǒng)中較為常見的重要的進程，可以采用上述工具來實時的監(jiān)測這些重要進程的情況，并采取相應(yīng)的防護措施。

3.2 日志管理

日志文件大多位于公用目錄，通常是/var/log，或/usr/adm,/var/adm，有些日志位于禁止訪問的/etc目錄。具體請參考當前操作體系統(tǒng)文檔。其中 syslogd守護進程提供非常強大的日志功能，比如裝載一個內(nèi)核模塊的登記，其配置文件為/etc/syslog.conf，通常它提供的最有用的日志是：messages,secure,syslog.在syslog.conf中每一行含有三個字段：facility字段表示產(chǎn)生該日志文件的子系統(tǒng)；priority字段表明事件的嚴重級別；action字段表明如何記錄日志，它提供了遠程網(wǎng)絡(luò)記錄的能力。

TCP wrapper日志也利用 syslog記錄，其中可能會有telnet,ssh,ftp等遠程登錄的信息。這些日志中有很多有價值的條目：嘗試登錄的時間日期，主機名稱，訪問的服務(wù)類型，以及源IP地址。

3.3 流量監(jiān)控

整個ubuntu linux 多功能服務(wù)器網(wǎng)絡(luò)的流量監(jiān)控用專業(yè)流量監(jiān)控軟件NTOP進行網(wǎng)絡(luò)維護。在互動模式下，ntop會將網(wǎng)絡(luò)的使用狀況顯示在使用者的終端機畫面上。在Web模式中，ntop會像Web Server一樣產(chǎn)生出內(nèi)含網(wǎng)絡(luò)使用狀況的網(wǎng)頁傳回到使用者的瀏覽器上。它可以通過分析網(wǎng)絡(luò)流量來確定網(wǎng)絡(luò)上存在的各種問題；也可以用來判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)；還可以很方便地顯示出特定的網(wǎng)絡(luò)協(xié)議、占用大量帶寬的主機、每次通信的目標主機、數(shù)據(jù)包的發(fā)送時間、傳遞數(shù)據(jù)包的延時等詳細信息。通過了解這些信息，網(wǎng)管員可以對故障做出及時的響應(yīng)，對網(wǎng)絡(luò)進行相應(yīng)的優(yōu)化調(diào)整，以保證網(wǎng)絡(luò)運行的效率和安全。

4 總結(jié)

基于Unbuntu Linux的“網(wǎng)上多功能服務(wù)器”項目順利實施滿足了網(wǎng)上各種類型服務(wù)的要求；整個系統(tǒng)構(gòu)建在穩(wěn)定的技術(shù)架構(gòu)的基礎(chǔ)上，逐步引入和融合新的軟硬件，保持了技術(shù)先進性，增強了功能，提高了效率。通過系統(tǒng)配置擴展要求，提高了系統(tǒng)性能的縮整體放能力，滿足了接入點和數(shù)據(jù)分中心在數(shù)據(jù)庫和應(yīng)用服務(wù)器等方面的性能擴展需求。

[1](美])Michael jang著,邱仲潘等譯.紅帽Linux 9 從入門到精通.電子工業(yè)出版社.2007.

[2]m.f.komarinski,c.collet著,曉冬,馬丁譯.linux系統(tǒng)管理指南.清華大學出版社.2009.

[3](美)Kirk Bauer譯,馬孝榮.UNIX和Linux自動化管理.清華大學出版社.2004.

[4](美)Martin Fink.Linux及開發(fā)放源代碼在商業(yè)經(jīng)濟中的應(yīng)用.電子工業(yè)出版社.2006.

[5](美)Scott Mann.Linux系統(tǒng)安全——開放源碼安全工具管理員指南(第二版).電子工業(yè)出版社.2004.

[6]前導(dǎo)工作室.Linux安全入侵防范、檢測和恢復(fù).機械工業(yè)出版社.2008.