基于 Lnx 网络服务安全可靠性的一些探讨 i下

基于Linux下网络服务安全可靠性的一些探讨 刘 昆，凌 君，曾志平，李 洋 (国防科技大学计算机学院，长沙 410073) 摘 要:文章简要的介绍了在Linux操作系统下的网络服务的安全性问题，主要讲述 了Linux平台下虚拟服务器(Linux Virtual Server, LVS)及网络文件系统(Network File System,NFS)的基本原理，以及他4i 7在安全性方面的一些讨论。 关键词:Linux虚拟服务器;网络文件系统;安全;远程过程调用 Abstract:This paper analyzes some security problems in the environment of Linux Operating System，mainly describes the principles of Linux Virtual Server and Network File System。。well。。some discussions about the security of them. Key words: LVS;NFS;security;RPC 0 引言 Internet的飞速发展，对我们的生活产 生了深远的影响，人们在互联网上购物、休闲 和获取信息，企业通过网络可以建立联系和 完成交易。电子商务、电子政务和军事科技项 目等已在网络上得到了广泛的应用。互联网 的用户数量和网络流量以几何级数增长，因 此对网络服务的安全和可靠性提出了很高的 。试想某个在线游戏服务器上出现故障 而导致数据丢失，众多游戏玩家的心血将付 诸东流;某个网站服务器由于访问量增多而 导致访问者长时间等待;某个电子邮件系统 遭到黑客攻击而瘫痪，数百万用户将不能正 常地收发邮件。文件共享是网络服务中一个 非常重要的问题，我们将基于Linux操作系 统，从Linux虚拟服务器及网络文件系统 两方面来论述网络服务的安全可靠性 问题。 1 LVS原理及相关的安全性 I. 1 LVS基本原理 LVS系统是 由负载调 度器 (Load Balancer)、服务器集群(Server Cluster)和文 件存储服务(File Server)组成。通过Linux 的负载平衡，将若干服务器组成一个服务集 群。实际上服务器的前端是一台负载调度器， 负责将用户请求调度到实际服务器执行后将 结果返回用户，终端用户可见的只是一台服 务器。由于负载调度技术是在Linux内核中 实现的，因此我们称之为 Linux Virtual Server, 连接用户的外部网为 INTERNET/ INTERNAT，服务器组由内部网(通常是高 速局域网或地理分布的广域网)连接。负载平 衡器有两个IP地址，一个是外部网关，另一 个是内部网关。外部网的用户发出请求，负载 调度器负责将用户要求的任务调度到服务器 收稿日期:2002一08一29 作者简介:刘 昆(1981 -)，本科生，在PDI国家重点实验室进行Cache优化及网络安全方面的研究;凌 君(1981 -), 本科生，在PDI，国家重点实验室主要从事基因组图谱组装和功能分析的研究;曾志平(1981一)，本科生，在PDI国家重点实 验室主要从事基因组数据的序列与结构分析、图谱组装和功能分析工作;李 洋(1978-),硕士生，主要研究方向为网络安全 及Linux操作系统。 ·8· 《电脑与信息技术》2002年第6期 集群中的服务器上执行。具体的调度策略现 在主要有四种调度算法:轮转调度(Round - RobinScheduling )，加权轮转调度算法 (Weighted Round一RobinScheduling )，最小 连接调度(Least一ConnectionScheduling ) , 加权最小连接算法(Weighted Least - ConnectionScheduling) o LVS采用基于IP 层负载平衡技术，通过IPVS软件实现了三 种IP负载均衡技术，在Linux操作系统下， 将IP层的TCP和UDP请求均衡的转移到 不同的服务器上。当用户请求到达时，调度器 从服务器组中选出一个服务器转发该请求并 由该服务器执行，同时记录此调度。这一切都 在操作系统核心空间内完成，且调度开销很 小，使得服务器集群中的节点数目可达25甚 至可以多达1000 文件存储系统利用基于容错式分布文件 系统实现，如Coda，在这里不详细阐述。 LVS的基本结构如图1所示: Load Balancer Server Cluster File Servers 图1 LVS的基本结构 1. 2 LVS服务的安全性的实现 节点的失效被屏蔽，系统管理员可以在任何 正如上文所讲的，网络服务要求系统提 时候加入删除一个或多个节点。这也就意味 供高可靠性和可用性的服务，即要求系统在 着LVS系统在超载时，我们可以通过增加服 出现故障和遭到破坏时，数据不能丢失，而且 务集群的节点数目来满足用户的请求。当服 要在尽可能短的时间内恢复正常运行。我们 务器组中的某台实际服务器发生故障，可以 谈到的LVS网络服务的高安全可靠性主要 删除但不会影响对用户的服务 体现在: (2)此时的调度器就成为了单一的失效 (1)负载调度器上运行了一个监视进程 点，调度器的失效将导致整个系统的瘫痪。为 mon负责监控服务进程和服务器集群中的 了屏蔽主调度器可能出现的失效，:需要建立 各个服务器节点的状况。通过配置fping监 一个备份的从调度器。两个心跳进程分别在 听器定时检测各服务器节点;通过配置相应 主、从调度器上运行，定期互相汇报各自的健 的服务监听器来监听所有节点中的此服务进 康状况，一旦从调度器探测到主调度器失效， 程。例如httpmonitor就是用来探查http服 则激活fake程序接管Virtual IP Address来 务，一旦失败，监视进程会发出警报并通知调 提供负载平衡调度;当从调度器探测到主调 度器将该节点从调度列表中删除，使调度器 度器恢复时，将释放Virtual IP Address，由 可以自动屏蔽服务器节点的失效。当此服务 主调度器收回并提供负载调度服务。显然，主 器节点恢复时，调度器将此节点添加到调度 调度器的失效和接管将导致调度信息的丢 列表中，从而总是保持着系统重置的正确。服 失，需要用户重新发送请求，但也提高了系统 务器集群中节点的数目是可变的，这是由于 的安全性和可靠性。主调度器一旦出现故障， 《电脑与信息技术》2002年第6期 .9· 系统可以在很短的时间内恢复服务。 2 NFS简介及相关安全性问题 下面要提到的是在网站服务器上应用得 很广泛的网络文件系统(Network File System)。网络文件系统使得每个计算机节 点都能够通过网络像使用本地资源一样方便 的使用网上资源。也正是由于它的这种独有 的方便性，暴露出了一些安全问题，黑客可能 通过侵入服务器，篡改其中的共享资源，达到 侵入、破坏他人机器的目的。所以网络文件系 统的安全问题在Linux操作系统中受到了很 多人的重视。 2. 1 NFS的基本工作原理 NFS由服务器端和客户机端两部分组 成。每台机器都有自己的内核服务:外部数据 服务、远程过程调用、NFS客户机或服务器、 I/O监控程序和锁监控程序。此外，根据服务 器和客户机的不同，分别具有/etc/exports 和/etc/fstab配置文件。NFS是通过RPC即 远程过程调用来实现的，使得远程的计算机 节点执行文件的操作命令就像执行本地文件 的操作命令一样，他可以执行创建文件、创建 目录、删除文件、删除目录等文件操作命令。 2.2 NFS安全性的实现 Linux操作系统的安全性较Windows 有了很大的提高。由于RPC本身的安全缺 陷，使黑客可以利用IP地址欺骗等手段攻击 NFS服务器，使服务器瘫痪，而通常NFS服 务器也很难发现。Linux所做的第一个安全 任务就是启用防火墙。当系统启动时操作系 统会自动的启用防火墙，使得内部的和外部 的RPC无法正常的通讯，在一定程度上减少 了安全漏洞，阻止了非法数据。但是，应该看 到它还是阻碍了正常的数据传输。如果在没 注意的情况下，两台通讯的机器不能正常的 进行NFS文件共享，是因为防火墙阻止了 RPC调用。 Linux所做的第二个安全任务是服务器 的导出选项。这些选项很多，因为NFS服务 器最适合对NFS客户机进行安全限制。NFS 客户机更容易攻破，但服务器介于潜在的恶 意客户机之间，他要访问服务器本地盘中存 放的实际文件。相关的导出选项有如下几类: (1)读写服务器访问; (2)UID与GID挤压; (3)端口安全; (4)锁监控程序; (5)部分挂接与子挂接。 在第一项中，r。和rw是最常用的选项。 这两个选项的含义读者应该比较清楚，他与 文件的一些基本读写权限是一样的，所以不 多加解释。对于第二项，在Linux操作系统 中，根用户是很危险的，因为它可以执行任何 命令和改变系统中的任何文件。在NFS客户 机/服务器模型当中，服务器要防止恶意的客 户机的破坏，因为客户机上的用户可以方便 的取得NFS客户机上的根访问权限。如果 NFS客户机允许对NFS服务器的根访问， 则可以方便的占有服务器，从而影响依赖于 NFS服务器文件的整个站点。为此，几个 NFS客户机可以改变某些用户与组的证明 信息，通常称之为挤压。这样，最重要的选项 是root_ squash，将根进程的权限设为最低 来做到这一点。至于端口安全指的是NFS服 务器缺省要求请求从1024以下端口到达，这 些端口号被叫做安全端口。后面两项不是重 点，不详细介绍。 3 NFS安全性配置实例分析 下面通过一个具体的例子来介绍NFS 的安全性配置。假设在某个网站上有某个目 录名为/popgame目录可以开放给NFS客户 机来进行下载共享等工作，而这台服务器的 IP地址为:202-168-10.8，它可以开放目录 给主机 的 IP地址 为 202-168-10-10, 202-168-10-13(当然可以提供给更多的服务 器，而且他们的IP地址也可以各式各样。现 在举的例子有点像局域网中的情况，不过原 理相同)。那么我们首先需要对服务器端的/ ·10· 《电脑与信息技术》2002年第6期 etc/exports文件进行编写: 首先进入目录/etc，然后vi exports，进 入该文件的编辑界面，输入下面的内容: /popgame 202. 168. 10. 10(ro) 202. 168. 10. 13 (ro ) 我们可以清楚的看到，目录/popgame只 能导出到IP地址为上述内容的客户机上，权 限是只能够读，因为他们只需要简单的共享 下载游戏的功能，并不需要具备创建目录、修 改文件的功能。如果提供了该功能，将会出现 安全隐患。下面接着配置客户机的//etc/fstab 文件。进入该文件需要加入下面的内容，原文 件上已有的内容不要随意更改，否则会影响 系统配置和文件系统: 202. 168. 10. 8:/popgame /mnt/game nfs ro 0 0 其中的/rnnt/game目录是你要将服务器上 的/popgame目录挂接到你的客户机上的本 地目录，也就是说，当共享了NFS文件系统 后，你可以通过访问本地目录/nant/game来 访问共享的文件。因为现在有两台客户机，所 以每一台都要如上配置。 配置完成以后，需要在客户机上将服务 器的NFS挂接到本地的客户机上，命令如 下: mount一t nfs 202. 168. 10. 8:/popgame /mnt / game 当然，在执行命令前，你必须先关掉本地 客户机上的防火墙，否则会挂接不成功。因为 防火墙会阻碍远程过程调用。 4 结束语 我们己经比较系统的分别阐述了Linux 操作系统中虚拟服务器及网络文件系统的安 全性间题，谈了Linux操作系统的一些基于 这两个方面的安全性举措，并举出了一个 NFS配置的实例。网络至始终存在着安全问 题，而对于当前的网络应用来说，文件共享的 安全性问题是重中之重。从整体性能和安全 性能上来说，Linux比Windows操作系统有 了很大的提高，可以用来构建安全操作系统。 本文所讲述的两个应用上的例子就是为了突 出这两点，希望有更多的Linux和网络安全 的爱好者投入到这方面的研究实践工作中 来。 参考文献: [1] Zhang Wensong, Jing Shiyao, Wu Quanyuan. Creating Linux Virtual Servers. http, //www. linuxvirtualserver. org/linuxexpo. html [2] 章文X，吴泉源.可伸缩网络服务的Linux集群.计 算机世界，2001. [3〕 耿 莉.Linux下的高可用性研究.中国计算机 报，2001. [4〕 邱仲潘. Linux网络文件系统管理指南 电子工业出 版社，2001. [s〕 陈莉君.Linux操作系统内核分析.人民邮电出版 社，2000. [6] NFS; Network File System proctocol Specification http, //www. cis. ohio一state. edu/cgi一bin/rfc/ rfc1094. html 《电脑与信息技术》2002年第6期 .11.