论文部分内容阅读
摘要:使用虚拟服务器可以加快企业的软件部署速度,但这也要求IT部门实施必要的控制和管理,并相应缩短时间框架。但虚拟服务器出现后,给网络安全带来了新的课题,本文谈谈虚拟服务器的架设方法和有效的安全性保障。仔细审核系统的实际配置对部署虚拟服务器至关重要,只有这样,才能确保在部署软件时符合企业的控制要求。
关键词:虚拟服务器架设;网络安全
中图分类号:TP311.1 文献标识码:A文章编号:1007-9599 (2011) 1-0000-02
Virtual Server setting and Safety Protection
Lin Yongjing
(Fujian Vocational College of Children Education,Fuzhou350007,China)
Abstract: The use of virtual server software companies can accelerate the speed of deployment,but it also requires IT departments to implement the necessary control and management,and accordingly shorten the time frame. However,the emergence of virtual servers,network security has brought new issues to talk about the virtual server set up this method and effective security safeguards.Carefully review the actual system configuration is essential to the deployment of virtual servers,the only way to ensure consistent deployment of software control of the business requirements.
Keywords:Virtual server setting;Network security
物理服务器我们已经接触了很久,它也是专业人士最喜欢的服务器。每台服务器上安装的应用服务和操作系统可能都不尽相同,但是为了维护这些物理服务器的安全,需要做的工作却没有太大区别。对于所有物理服务器来说,面对的主要安全问题无非以下几项:
控制物理访问
监控网络访问
限制管理特权
对于物理服务器来说,所有安全问题都已经是显而易见的了。与物理服务器相比,虚拟服务器又有哪些不同呢?
一、虚拟服务器安全性新课题
对于虚拟服务器或者物理服务器来说,不论它是运行Windows系统还是Unix系统,都仍然需要监控。服务器上运行的操作系统也需要进行安全升级,其上的软件也需要及时进行升级或者打补丁。这种状况一直都没有变过,而且Unix系统同样存在安全漏洞。在我看来,Unix系统的漏洞比Windows系统少一些,但是采用Windows系统的服务器数量要比采用Unix系统的服务器多很多,因此存在较大安全风险的服务器更多。
除了系统漏洞外,虚拟服务器还有很多自身的安全问题。整个虚拟服务器都包含在叫做虚拟硬盘的资源中,而整个虚拟硬盘实际上都是一堆文件而已。这种文件化的服务器问题实在太多了。同时需要进行安全保护的内容还包括服务器的配置文件,这些配置文件包含了与服务器名称,Ram配置,网络配置等重要内容相关的文件。在这种情况下,对于虚拟服务器来说,来自内部的威胁可能性变大了。这主要是由于作为文件的虚拟服务器远比物理服务器更容易被移动。另一个需要考虑的安全问题是如何控制对这些“文件”的访问。一旦存储虚拟服务器的物理服务器被入侵,那么受影响的决不仅仅是某一个虚拟服务器。
实际上,虚拟服务器要比文档更容易成为攻击目标。这一点,从虚拟服务器的架设上也可以看出来。
二、虚拟服务器的架设
其实所谓的“虚拟系统”,主要是利用chroot(Change Root)来达成,亦即改变根目录的位置,而使得系统对应到一新的系统设定中。要达到这个目的,大致上可分为两种方法,一是修改程式码,另外一个则是用系统本身的命令来达成。例如管理者键入ls -al /usr/bin/ls”的命令时,看到的档案大小为32767 bytes,而其他使用者键入”ls -al /usr/bin/ls”的命令时,看到的却为65535 bytes,表示为两个档案的路径虽然相同,但却为不同的档案。
笔者不赘述有关修改程式码的部份如何做,简单的说,程式部份主要是利用chroot()这个C函式来改变根目录的位置,较为麻烦的地方在於你可能要修改inetd程式或其它网路服务程式,当然你也可以自己写这些程式,不过不是每个管理者都对攒写程式有兴趣的。但不论你采用哪一种方法,有一件事是都需要做的,那就是创造一个虚拟的系统环境。以下简单列出如何在”/vs”这个目录下,创造一个新的系统环境,并且不修改程式来启动虚拟系统的服务:
tar -cf /system.tar /var /usr /etc /dev /devices
将系统中的/var, /usr, /etc, /dev, /devices压入system.tar这个档。
tar -xf /system.tar /vs
将system.tar这个档的资料解开放在/vs目录下。
以上两行指令便能系统的档案到”/vs”目录去,此时当你下达”chroot /vs/usr/bin/sh”指令时,将会得到和原本系统相似的环境。而在这样的环境中,使用者不结束目前的shell(chroot後所得的的 shell)是无法藉由任何指令返回原来的系统的。
然而事实上你不需要全部的系统档案到”虚拟系统”去,只要所需的档案即可。至於什麽是所需的档案,端看你安装了哪些服务。底下所列为在”/vs”中创造FTP的”虚拟系统”做法:
(1)”虚拟系统”中的”/etc”目录
创造”虚拟系统”中的”/etc”目录,以放置密码及设定档。
mkdir /vs/etc
设定”虚拟系统”中的”/etc/inetd.conf”档。
echo “ftp stream tcp nowait root /usr/sbin/in.ftpd
in.ftpd” > /vs/etc/inetd.conf
设定”虚拟系统”中的”/etc/passwd”档。
echo “root:x:0:1:Super-User:/:/usr/bin/tcsh” > /vs/etc/passwd
echo “ftp:x:60:60:Anonymous Ftp:/:/dev/null” >> /vs/etc/passwd
设定”虚拟系统”中的”/etc/shadow”档。
echo “root:NP:6445::::::” > /vs/etc/shadow
echo “ftp:NP:6445::::::” >> /vs/etc/shadow
(2) “虚拟系统”中的”/var”目录
创造”虚拟系统”中的”/var”目录,以放置系统记录档。
mkdir /vs/var
mkdir /vs/var/adm
(3) “虚拟系统”中的”/usr”目录
创造”虚拟系统”中的”/var”目录,以放置系统程式及程式库。
mkdir /vs/usr
mkdir /vs/usr/bin
mkdir /vs/usr/sbin
mkdir /vs/usr/lib
从”/usr/lib”拷贝下列档案至”/vs/usr/lib”
ld.so.1
libauth.so.1
libbsm.so.1
libc.so.1
libcmd.so.1
libcrypt_i.so.1
libdl.so.1
libgen.so.1
libmp.so.1
libmp.so.2
libnsl.so.1
libsocket.so.1
nss_files.so.1
从”/usr/bin”拷贝下列档案至”/vs/usr/bin”
*ls
从”/usr/sbin”拷贝下列档案至”/vs/usr/sbin”
*in.ftpd (FTP伺服器程式)
*inetd (Internet Super Daemon)
(4)”虚拟系统”中的”/dev”与”/devices”目录
作”/dev”、”/devices”的tar档。
tar -cf /dev.tar /dev /devices
将tar档解至”/vs”目录下。
tar -xf /dev.tar /vs
删除tar档
rm /dev.tar
(5)启动服务
chroot /vs /usr/sbin/inetd -s
此步骤须注意是否关闭原始系统中inetd.conf的ftp选项,否则无法正常启动。
三、虚拟服务器的安全性软件和技术保障
事实上可以通过技术手段让某个服务器与网络连接隔离,这可以降低通过网络入侵虚拟服务器的可能性。但是对于内部威胁来说这种技术手段毫无用处。我们采用和物理服务器一样的手段来保护虚拟服务器的访问安全,比如采用最小特权访问,NTFS安全性,ACL许可,活动目录组成员等技术手段,除此之外,笔者认为要多使用互联网管理软件。
现代化的网络管理越来越受到各个企业老板的重视,网络安全问题正威胁着很多高校的内网安全,一个不安全的内网很有可能导致机密的泄漏,导致高校网络的瘫痪,现在的学生在学习的同时进行其他网络操作已经是司空见惯的事了。由于他们的行为具有隐蔽性。因此很难察觉,这些都构成了高校网络潜在的威胁。使用现代化的网络管理软件能够防止高校网络因为学生的不当操作而带来的损失,并且能够提高学生的学习效率。网络管理软件是计算机安全策略的重中之重。市场上的各种虚拟安全工具也能助一臂之力,建议在购买新的、针对虚拟服务器而特别设计的产品之前,应先考虑挖掘在用产品的潜力。
此外,从措施上来讲,保障虚拟服务器的安全应从以下几个方面进行:
进行全面的风险评估,掌握资源的分配及整合情况。充分利用原本所掌握的风险管理与配置知识,结合虚拟机自身的配置,像评估其它环境那样去评估审核虚拟环境,虚拟环境的审核流程没有什么本质上的不同。验证创建、部署、管理、更改虚拟机的流程。如今像硬件、操作系统等的安装调试,机架空间布置及测试已不再是最重要的任务。虚拟机不只是属于一个部门。从安全角度看,与系统管理员和网络小组进行双向沟通,从中了解虚拟环境的变化对保障虚拟服务器的安全大有帮助。安全配置虚拟层,保持补丁更新。可以参照厂商和有关机构的安全指导方式来制定自己的基准,然后以此为标准进行审核,确保虚拟层的安全。虚拟化厂商所提供的工具可以有效协助完成配置工作。保障虚拟服务器内虚拟交换机的安全。应评估是否需要增加额外的控制,比如虚拟防火墙或虚拟入侵保护系统。可通过物理服务器内的虚拟交换设备来密切留意用户是如何使用虚拟机的,比如那些交换机的配置、流量情况,以及虚拟机自身之间、虚拟机与外部设备之间的可访性。对服务控制台与管理工具的访问实施严格控制。应对服务控制台与管理工具的访问实行严格的控制,并利用管理工具来支持一个独立的网络。这能确保虚拟机不会干扰到管理控制台对其它服务器的控制。一个虚拟环境下的大部分安全问题都来自于管理不当或一些耳熟能详的错误。这是因为在物理环境中所使用的工具要比虚拟环境下杂得多。
四、结束语
虚拟化是一项能让客户端服务器应用软件与多核大容量中央处理器完美融合的技术,也是能为当下的服务器和应用软件提供丰富的处理能力和内存的理想解决方案,同时还能实现应用软件与服务器之间完美的隔离。管理程序和虚拟机已经成为网络应用软件时代的大型机。就像大型机推动了由内部IT部门所有和掌控的私有系统向可供任何人使用的公共分时服务迁移那样,虚拟机也跨越了私有和公有资源的鸿沟,另外,以云为基础的基础架构即服务提供商还可以根据使用时间计费来出租服务器。
总之,使用虚拟服务器可以加快企业的软件部署速度,但这也要求IT部门实施必要的控制和管理,并相应缩短时间框架。但虚拟服务器出现后,给网络安全带来了新的课题,本文结合虚拟服务器的架设方法谈了虚拟服务器有效的安全性保障,一起与大家商讨。其中,仔细审核系统的实际配置对部署虚拟服务器至关重要,只有这样,才能确保在部署软件时符合高校的控制要求,确保高校网络虚拟服务器的安全性。
参考资料:
[1]Kim,Bentley.Immune Memory and Gene Library Evolutionin the Dynamic Clonal Selection Algorithm[J].Journal of Genetic Programming and Evolvable Machines.2004.
[2]蒋盛益,李庆华.基于引力的入侵检测方法[J].系统仿真学报..2005.
[3]曹元大.入侵检测技术[M]第1版.北京:人民邮电出版社.2007.
[4]Zengyou He,Xiaofei Xu,Shengchun Deng.Discovering Cluster Based Local Outliers[J].Pattern Recognition Letters.2003.
[5]Minho Kim,R.S.Ramakrishna.Projected Clustering for Categorical Datasets[J].Pattern Recognition Letters.2006.
作者简介:林永菁(1963.3-),男,籍贯:福建省福州市,副教授,研究方向:计算机网络、网络安全
关键词:虚拟服务器架设;网络安全
中图分类号:TP311.1 文献标识码:A文章编号:1007-9599 (2011) 1-0000-02
Virtual Server setting and Safety Protection
Lin Yongjing
(Fujian Vocational College of Children Education,Fuzhou350007,China)
Abstract: The use of virtual server software companies can accelerate the speed of deployment,but it also requires IT departments to implement the necessary control and management,and accordingly shorten the time frame. However,the emergence of virtual servers,network security has brought new issues to talk about the virtual server set up this method and effective security safeguards.Carefully review the actual system configuration is essential to the deployment of virtual servers,the only way to ensure consistent deployment of software control of the business requirements.
Keywords:Virtual server setting;Network security
物理服务器我们已经接触了很久,它也是专业人士最喜欢的服务器。每台服务器上安装的应用服务和操作系统可能都不尽相同,但是为了维护这些物理服务器的安全,需要做的工作却没有太大区别。对于所有物理服务器来说,面对的主要安全问题无非以下几项:
控制物理访问
监控网络访问
限制管理特权
对于物理服务器来说,所有安全问题都已经是显而易见的了。与物理服务器相比,虚拟服务器又有哪些不同呢?
一、虚拟服务器安全性新课题
对于虚拟服务器或者物理服务器来说,不论它是运行Windows系统还是Unix系统,都仍然需要监控。服务器上运行的操作系统也需要进行安全升级,其上的软件也需要及时进行升级或者打补丁。这种状况一直都没有变过,而且Unix系统同样存在安全漏洞。在我看来,Unix系统的漏洞比Windows系统少一些,但是采用Windows系统的服务器数量要比采用Unix系统的服务器多很多,因此存在较大安全风险的服务器更多。
除了系统漏洞外,虚拟服务器还有很多自身的安全问题。整个虚拟服务器都包含在叫做虚拟硬盘的资源中,而整个虚拟硬盘实际上都是一堆文件而已。这种文件化的服务器问题实在太多了。同时需要进行安全保护的内容还包括服务器的配置文件,这些配置文件包含了与服务器名称,Ram配置,网络配置等重要内容相关的文件。在这种情况下,对于虚拟服务器来说,来自内部的威胁可能性变大了。这主要是由于作为文件的虚拟服务器远比物理服务器更容易被移动。另一个需要考虑的安全问题是如何控制对这些“文件”的访问。一旦存储虚拟服务器的物理服务器被入侵,那么受影响的决不仅仅是某一个虚拟服务器。
实际上,虚拟服务器要比文档更容易成为攻击目标。这一点,从虚拟服务器的架设上也可以看出来。
二、虚拟服务器的架设
其实所谓的“虚拟系统”,主要是利用chroot(Change Root)来达成,亦即改变根目录的位置,而使得系统对应到一新的系统设定中。要达到这个目的,大致上可分为两种方法,一是修改程式码,另外一个则是用系统本身的命令来达成。例如管理者键入ls -al /usr/bin/ls”的命令时,看到的档案大小为32767 bytes,而其他使用者键入”ls -al /usr/bin/ls”的命令时,看到的却为65535 bytes,表示为两个档案的路径虽然相同,但却为不同的档案。
笔者不赘述有关修改程式码的部份如何做,简单的说,程式部份主要是利用chroot()这个C函式来改变根目录的位置,较为麻烦的地方在於你可能要修改inetd程式或其它网路服务程式,当然你也可以自己写这些程式,不过不是每个管理者都对攒写程式有兴趣的。但不论你采用哪一种方法,有一件事是都需要做的,那就是创造一个虚拟的系统环境。以下简单列出如何在”/vs”这个目录下,创造一个新的系统环境,并且不修改程式来启动虚拟系统的服务:
tar -cf /system.tar /var /usr /etc /dev /devices
将系统中的/var, /usr, /etc, /dev, /devices压入system.tar这个档。
tar -xf /system.tar /vs
将system.tar这个档的资料解开放在/vs目录下。
以上两行指令便能系统的档案到”/vs”目录去,此时当你下达”chroot /vs/usr/bin/sh”指令时,将会得到和原本系统相似的环境。而在这样的环境中,使用者不结束目前的shell(chroot後所得的的 shell)是无法藉由任何指令返回原来的系统的。
然而事实上你不需要全部的系统档案到”虚拟系统”去,只要所需的档案即可。至於什麽是所需的档案,端看你安装了哪些服务。底下所列为在”/vs”中创造FTP的”虚拟系统”做法:
(1)”虚拟系统”中的”/etc”目录
创造”虚拟系统”中的”/etc”目录,以放置密码及设定档。
mkdir /vs/etc
设定”虚拟系统”中的”/etc/inetd.conf”档。
echo “ftp stream tcp nowait root /usr/sbin/in.ftpd
in.ftpd” > /vs/etc/inetd.conf
设定”虚拟系统”中的”/etc/passwd”档。
echo “root:x:0:1:Super-User:/:/usr/bin/tcsh” > /vs/etc/passwd
echo “ftp:x:60:60:Anonymous Ftp:/:/dev/null” >> /vs/etc/passwd
设定”虚拟系统”中的”/etc/shadow”档。
echo “root:NP:6445::::::” > /vs/etc/shadow
echo “ftp:NP:6445::::::” >> /vs/etc/shadow
(2) “虚拟系统”中的”/var”目录
创造”虚拟系统”中的”/var”目录,以放置系统记录档。
mkdir /vs/var
mkdir /vs/var/adm
(3) “虚拟系统”中的”/usr”目录
创造”虚拟系统”中的”/var”目录,以放置系统程式及程式库。
mkdir /vs/usr
mkdir /vs/usr/bin
mkdir /vs/usr/sbin
mkdir /vs/usr/lib
从”/usr/lib”拷贝下列档案至”/vs/usr/lib”
ld.so.1
libauth.so.1
libbsm.so.1
libc.so.1
libcmd.so.1
libcrypt_i.so.1
libdl.so.1
libgen.so.1
libmp.so.1
libmp.so.2
libnsl.so.1
libsocket.so.1
nss_files.so.1
从”/usr/bin”拷贝下列档案至”/vs/usr/bin”
*ls
从”/usr/sbin”拷贝下列档案至”/vs/usr/sbin”
*in.ftpd (FTP伺服器程式)
*inetd (Internet Super Daemon)
(4)”虚拟系统”中的”/dev”与”/devices”目录
作”/dev”、”/devices”的tar档。
tar -cf /dev.tar /dev /devices
将tar档解至”/vs”目录下。
tar -xf /dev.tar /vs
删除tar档
rm /dev.tar
(5)启动服务
chroot /vs /usr/sbin/inetd -s
此步骤须注意是否关闭原始系统中inetd.conf的ftp选项,否则无法正常启动。
三、虚拟服务器的安全性软件和技术保障
事实上可以通过技术手段让某个服务器与网络连接隔离,这可以降低通过网络入侵虚拟服务器的可能性。但是对于内部威胁来说这种技术手段毫无用处。我们采用和物理服务器一样的手段来保护虚拟服务器的访问安全,比如采用最小特权访问,NTFS安全性,ACL许可,活动目录组成员等技术手段,除此之外,笔者认为要多使用互联网管理软件。
现代化的网络管理越来越受到各个企业老板的重视,网络安全问题正威胁着很多高校的内网安全,一个不安全的内网很有可能导致机密的泄漏,导致高校网络的瘫痪,现在的学生在学习的同时进行其他网络操作已经是司空见惯的事了。由于他们的行为具有隐蔽性。因此很难察觉,这些都构成了高校网络潜在的威胁。使用现代化的网络管理软件能够防止高校网络因为学生的不当操作而带来的损失,并且能够提高学生的学习效率。网络管理软件是计算机安全策略的重中之重。市场上的各种虚拟安全工具也能助一臂之力,建议在购买新的、针对虚拟服务器而特别设计的产品之前,应先考虑挖掘在用产品的潜力。
此外,从措施上来讲,保障虚拟服务器的安全应从以下几个方面进行:
进行全面的风险评估,掌握资源的分配及整合情况。充分利用原本所掌握的风险管理与配置知识,结合虚拟机自身的配置,像评估其它环境那样去评估审核虚拟环境,虚拟环境的审核流程没有什么本质上的不同。验证创建、部署、管理、更改虚拟机的流程。如今像硬件、操作系统等的安装调试,机架空间布置及测试已不再是最重要的任务。虚拟机不只是属于一个部门。从安全角度看,与系统管理员和网络小组进行双向沟通,从中了解虚拟环境的变化对保障虚拟服务器的安全大有帮助。安全配置虚拟层,保持补丁更新。可以参照厂商和有关机构的安全指导方式来制定自己的基准,然后以此为标准进行审核,确保虚拟层的安全。虚拟化厂商所提供的工具可以有效协助完成配置工作。保障虚拟服务器内虚拟交换机的安全。应评估是否需要增加额外的控制,比如虚拟防火墙或虚拟入侵保护系统。可通过物理服务器内的虚拟交换设备来密切留意用户是如何使用虚拟机的,比如那些交换机的配置、流量情况,以及虚拟机自身之间、虚拟机与外部设备之间的可访性。对服务控制台与管理工具的访问实施严格控制。应对服务控制台与管理工具的访问实行严格的控制,并利用管理工具来支持一个独立的网络。这能确保虚拟机不会干扰到管理控制台对其它服务器的控制。一个虚拟环境下的大部分安全问题都来自于管理不当或一些耳熟能详的错误。这是因为在物理环境中所使用的工具要比虚拟环境下杂得多。
四、结束语
虚拟化是一项能让客户端服务器应用软件与多核大容量中央处理器完美融合的技术,也是能为当下的服务器和应用软件提供丰富的处理能力和内存的理想解决方案,同时还能实现应用软件与服务器之间完美的隔离。管理程序和虚拟机已经成为网络应用软件时代的大型机。就像大型机推动了由内部IT部门所有和掌控的私有系统向可供任何人使用的公共分时服务迁移那样,虚拟机也跨越了私有和公有资源的鸿沟,另外,以云为基础的基础架构即服务提供商还可以根据使用时间计费来出租服务器。
总之,使用虚拟服务器可以加快企业的软件部署速度,但这也要求IT部门实施必要的控制和管理,并相应缩短时间框架。但虚拟服务器出现后,给网络安全带来了新的课题,本文结合虚拟服务器的架设方法谈了虚拟服务器有效的安全性保障,一起与大家商讨。其中,仔细审核系统的实际配置对部署虚拟服务器至关重要,只有这样,才能确保在部署软件时符合高校的控制要求,确保高校网络虚拟服务器的安全性。
参考资料:
[1]Kim,Bentley.Immune Memory and Gene Library Evolutionin the Dynamic Clonal Selection Algorithm[J].Journal of Genetic Programming and Evolvable Machines.2004.
[2]蒋盛益,李庆华.基于引力的入侵检测方法[J].系统仿真学报..2005.
[3]曹元大.入侵检测技术[M]第1版.北京:人民邮电出版社.2007.
[4]Zengyou He,Xiaofei Xu,Shengchun Deng.Discovering Cluster Based Local Outliers[J].Pattern Recognition Letters.2003.
[5]Minho Kim,R.S.Ramakrishna.Projected Clustering for Categorical Datasets[J].Pattern Recognition Letters.2006.
作者简介:林永菁(1963.3-),男,籍贯:福建省福州市,副教授,研究方向:计算机网络、网络安全