论文部分内容阅读
[摘 要]在对网络中的服务器进行安全管理时,一项重要的工作是对服务器账号及口令进行维护。通常情况下账号是建立在每台服务器上,如果服务器数量很多,当账号维护时会造成工作效率不高。一种比较有效的账号管理方式是将所有需要管理的账号放在单独的一台服务器上集中管理,本文介绍了如何构建账号管理服务器和客户端之间的体系结构以及如何验证。
[关键词]NIS;账号管理;服务器;验证;有效管理
中图分类号:P172 文献标识码:A 文章编号:1009-914X(2018)44-0243-01
1、引言
随着航空气象资料数据量的不断增加,承载资料的服务器的数量也在不断增加,并且目前基于民航气象数据库开发的应用大部分是基于linux的,例如与属地化机场相连的接口服务器、数据库资料管理系统、东北地区自动观测联网系统、气象数据库监控系统、亚洲危险天气资讯系统等。而信息安全的一个重要内容就是对网络中的账号进行有效管理。如果修改账户口令时,登录到每台服务器上进行管理,那是一种很低效的管理方式。为了改变这种管理方式,在网络中增加一台账号管理器来对网络中的基于linux的服务器进行集中管理。
2、利用NIS来管理网络中服务器的账号
网络信息系统(以下简称NIS)是目前管理LINUX服务器账号的一种有效管理方式。
NIS是把网络中要管理的服务器账号存放在网络中的一台NIS服务器中,当网络中的其它服务器要切换到要管理的账号时,这台服务器会首先在本机上查找的账号,如果没有,就到NIS服务器上找到合适的账号进行切换,或者其它终端远程登录到被管理服务器并使用被管理账号时也是先在被登录的服务器上查找登录用户,如果没有,就向预先定义好的被管理服务器和NIS服务器所在的域发广播,NIS服务器会将用户名、口令,主目录等相关信息返回给客户端。所以采用这种方式管理服务器账号时,被管理服务器账号的服务器就不存放被管理的账号。NIS主要提供其它服务器的账号、密码、用户主目录文件名、用户标识、用户组等信息。如果需要修改账号密码或则增加、删除、修改用户信息只需要到NIS服务器上进行集中管理即可。
3、NIS服务器的软件部署及配置
NIS服务端部署的软件有RPCBIND和YPSERVER。YPSERVER的功能是提供服务端的设置,并对客户端发起的请求进行响应。YPSERVER启动时会向RPCBIND注册自己所要提供服务的端口号。RPCBIND远程过程调用必须的软件,用来向客户端提供所要访问相关端口号。当有被管理账号向客户端发出登录请求时,RPCBIND会找到YPSERVER注册的端口号,并通知给客户端,客户端获得正确的端口号后,就可以与YPSERVER的服务进行连接了。
由于NIS服务器主要是提供用户的登录信息给客户端主机进行查询用,所以,NIS服务器所提供的数据当然就需要用到传输与读写比较快数据库文件系统,而不是传统的纯文本数据。为达到这个目的,NIS服务器必须将如下数据制作成为数据库文件。这些文件包括口令文件、用户组文件、主机文件、服务文件、协议文件、远程过程调用文件、数据库文件。
由于应用账号和对应的主目录均建立在NIS服务器上,当有其它终端登录客户端,或者在客户端上有应用账号的切换时,由于在客户端上找不到响应的主目录,会产生找不到主目录的报错信息。为了避免出现这种情况的发生,在NIS服务端端需要启动网络文件系统(NFS)。NFS的主要作用是进行文件系统的共享,NFS服务器在启动时需要向RPCBIND注册。此外,还需要对网络文件系统的主配置文件设置,主要是设置一些共享信息。这里是共享的是被管理用户的家目录及可以访问的主机名。
4、客户端部署的软件及配置
被管理的服务器账号端部署软件有YPBIND和YPTOOLS。YPBIND是与YPSERVER互相沟通的客户端软件,YPTOOLS是提供查询的软件。对客户端进行配置的文件如下:Network就是NIS的域名;hosts中有NIS服务器的IP与主机名的对应,主要用来规范NIS服务器;authconfig规范账号登录时的默认许可机制;nsswitch.conf这个文件可以规范账号密码与相关信息的查询顺序,默认是先找本地passwd再找NIS数据库。
前面提到为了避免登录客户端的被管理用户时出现找不到主目录的错误,需要将NIS服务端的用户主目录进行共享。在客户端需要将这些被共享的主目录挂载到本地目录,这里的本地目录是rhome,需要预先建立。操作如下:
此外,还需要在客户端启动rpcbind。这样就能在客户端获取用户所需要的环境变量及主目录。
5、验证
首先,在客户端上从root用户切换到被管理的用户是否能切换成功。
從显示结果看,客户端本地并不存在用户cluser1。可以从root用户切换到cluser1。
其次,验证远程登录客户端的被管理用户是否成功。
从显示结果看,从其它服务器可用cluser1远程登录到客户端。
最后用yptest测试相关的数据
在客户端用ytest命令能看到所有在服务端的新增加的用户。
结论:通过以上的体系结构搭建,可以完成用户账号集中管理的基本功能。在客户端不但能检查服务端的数据库数量和读取数据库的内容,而且还可以用相关的管理命令直接实现对服务端上的账号的集中管理,而不需要远程登录。
[关键词]NIS;账号管理;服务器;验证;有效管理
中图分类号:P172 文献标识码:A 文章编号:1009-914X(2018)44-0243-01
1、引言
随着航空气象资料数据量的不断增加,承载资料的服务器的数量也在不断增加,并且目前基于民航气象数据库开发的应用大部分是基于linux的,例如与属地化机场相连的接口服务器、数据库资料管理系统、东北地区自动观测联网系统、气象数据库监控系统、亚洲危险天气资讯系统等。而信息安全的一个重要内容就是对网络中的账号进行有效管理。如果修改账户口令时,登录到每台服务器上进行管理,那是一种很低效的管理方式。为了改变这种管理方式,在网络中增加一台账号管理器来对网络中的基于linux的服务器进行集中管理。
2、利用NIS来管理网络中服务器的账号
网络信息系统(以下简称NIS)是目前管理LINUX服务器账号的一种有效管理方式。
NIS是把网络中要管理的服务器账号存放在网络中的一台NIS服务器中,当网络中的其它服务器要切换到要管理的账号时,这台服务器会首先在本机上查找的账号,如果没有,就到NIS服务器上找到合适的账号进行切换,或者其它终端远程登录到被管理服务器并使用被管理账号时也是先在被登录的服务器上查找登录用户,如果没有,就向预先定义好的被管理服务器和NIS服务器所在的域发广播,NIS服务器会将用户名、口令,主目录等相关信息返回给客户端。所以采用这种方式管理服务器账号时,被管理服务器账号的服务器就不存放被管理的账号。NIS主要提供其它服务器的账号、密码、用户主目录文件名、用户标识、用户组等信息。如果需要修改账号密码或则增加、删除、修改用户信息只需要到NIS服务器上进行集中管理即可。
3、NIS服务器的软件部署及配置
NIS服务端部署的软件有RPCBIND和YPSERVER。YPSERVER的功能是提供服务端的设置,并对客户端发起的请求进行响应。YPSERVER启动时会向RPCBIND注册自己所要提供服务的端口号。RPCBIND远程过程调用必须的软件,用来向客户端提供所要访问相关端口号。当有被管理账号向客户端发出登录请求时,RPCBIND会找到YPSERVER注册的端口号,并通知给客户端,客户端获得正确的端口号后,就可以与YPSERVER的服务进行连接了。
由于NIS服务器主要是提供用户的登录信息给客户端主机进行查询用,所以,NIS服务器所提供的数据当然就需要用到传输与读写比较快数据库文件系统,而不是传统的纯文本数据。为达到这个目的,NIS服务器必须将如下数据制作成为数据库文件。这些文件包括口令文件、用户组文件、主机文件、服务文件、协议文件、远程过程调用文件、数据库文件。
由于应用账号和对应的主目录均建立在NIS服务器上,当有其它终端登录客户端,或者在客户端上有应用账号的切换时,由于在客户端上找不到响应的主目录,会产生找不到主目录的报错信息。为了避免出现这种情况的发生,在NIS服务端端需要启动网络文件系统(NFS)。NFS的主要作用是进行文件系统的共享,NFS服务器在启动时需要向RPCBIND注册。此外,还需要对网络文件系统的主配置文件设置,主要是设置一些共享信息。这里是共享的是被管理用户的家目录及可以访问的主机名。
4、客户端部署的软件及配置
被管理的服务器账号端部署软件有YPBIND和YPTOOLS。YPBIND是与YPSERVER互相沟通的客户端软件,YPTOOLS是提供查询的软件。对客户端进行配置的文件如下:Network就是NIS的域名;hosts中有NIS服务器的IP与主机名的对应,主要用来规范NIS服务器;authconfig规范账号登录时的默认许可机制;nsswitch.conf这个文件可以规范账号密码与相关信息的查询顺序,默认是先找本地passwd再找NIS数据库。
前面提到为了避免登录客户端的被管理用户时出现找不到主目录的错误,需要将NIS服务端的用户主目录进行共享。在客户端需要将这些被共享的主目录挂载到本地目录,这里的本地目录是rhome,需要预先建立。操作如下:
此外,还需要在客户端启动rpcbind。这样就能在客户端获取用户所需要的环境变量及主目录。
5、验证
首先,在客户端上从root用户切换到被管理的用户是否能切换成功。
從显示结果看,客户端本地并不存在用户cluser1。可以从root用户切换到cluser1。
其次,验证远程登录客户端的被管理用户是否成功。
从显示结果看,从其它服务器可用cluser1远程登录到客户端。
最后用yptest测试相关的数据
在客户端用ytest命令能看到所有在服务端的新增加的用户。
结论:通过以上的体系结构搭建,可以完成用户账号集中管理的基本功能。在客户端不但能检查服务端的数据库数量和读取数据库的内容,而且还可以用相关的管理命令直接实现对服务端上的账号的集中管理,而不需要远程登录。