（计算机应用技术专业论文）国产linux服务器的应用安全性研究.pdf

国产l i n u x 服务器的应用安全性研究 摘要 基于l i n u x 操作系统的网络服务器平台有很大的优越性，利用基于国产 l i n u x 架构的低成本、安全的公共信息平台实现电子政务及其它应用，可以切实 解决数字鸿沟问题。但是并非简单的系统集成和组合就能实现安全可靠的服务和 应用平台，而是存在许多技术问题和安全问题需要加以解决。 本论文以国产l i n u x 的服务器应用为出发点，重点对l i n u x 服务器应用的安 全性策略，配置管理、边界防护、病毒防范、安全管理以及各类型的网络攻击和 对应的修正措施作了相关研究。 本文分为6 个部分。第一部分论述了论文选题的意义、国内外现状和研究的 主要内容。第二部分介绍了主要相关技术的基础知识。第三部分在对平台架构设 计的基础进行简单描述后，就解决在应用中存在的一些安全问题，提出了实现安 全的体系架构，并重点论述了整体安全性策略和一些攻防措旅。第四部分论述了 防火墙和s n o r t 入侵检测系统的具体应用技术，尝试提出在实际应用中的入侵检 测技术的使用，以及与防火墙技术相结合，完善网络应用的安全性。第五部分描 述了应用效果的评测，结合前人的经验和自己的心得，通过设计具体的测试方案， 对系统安全性作了检测。第六部分是结论，总结了本论文的研究成果，并提出了 自己的建议。 关键词：l i n u x ，服务器，安全入侵检测，s n o r t 成都理工大学硕士学位论文 t h en e t w o r ks e r v e rp l a t f o r mw h i c hb a s e do nt h el i n u xo p e r a t i n gs y s t e mh a st h e v e r yf a m o u ss u p e r i o r i t y ，u s i n gt h ed o m e s t i cl i n u xc o n s t r u c tl o wc o s t ，t h es a f ep u b l i c i n f o r m a t i o np l a t f o r mr e a l i z a t i o ne l e c t r o ng o v e r n m e n ta f f a i r sa n do t h e ra p p l i c a t i o n s m a yp r a c t i c a l l ys o l v et h ed i g i t a lg a pp r o b l e m b u tb yn om e a n st h es i m p l es y s t e m i n t e g r a t i o na n dt h ec o m b i n a t i o nc a nr e a l i z et h es a f er e l i a b l es e r v i c ea n da p p l yt h e p l a t f o r m ，i th a sm a n yt e c h n i c a la n ds e c u r i t yp r o b l e mn e e d st ob es o l v e d t h et h e s i st a k et h ed o m e s t i cl i n u xs e r v e ra p p l i c a t i o na st h es t a r t i n gp o i n t ，h a s d o n et h ec o r r e l a t i o nr e s e a r c ho ft h el i n u xs e r v e ra p p l i c a t i o ns e c u r e s t r a t e g y ，i t i n c l u d et h ed i s p o s i t i o nm a n a g e m e n t , t h eb o u n d a r yp r o t e c t i o n ，t h ev i r a lg u a r d , t h e s a f e t yc o n t r o la n dv a r i o u st y p e sn e t w o r ka t t a c ka n dt h ec o r r e s p o n d i n gr e v i s i o n m e a s u r e t h i sa r t i c l ed i v i d e si n t os i xp a r t s t h ef i r s tp a r td i s c u s s e dt h et h e s i st o p i cs e l e c t e d s i g n i f i c a n c e ，t h ed o m e s t i ca n df o r e i g np r e s c n ls i t u a t i o n sa n dt h em a i nc o n t e n to f r e s e a r c h ，t h es e c o n dp a r ti n t r o d u c e de l e m e n t a r yk n o w l e d g eo ft h em a i nc o r r e l a t i o n t e c h n o l o g y t h et h i r dp a r ts i m p l ed e s c r i b e dt h ep l a t f o r mc o n s t r u c t i o nf o u n d a t i o n ，a n d t h e np r o p o s e dt h er e a l i z a t i o ns e c u r i t ys y s t e mc o n s t r u c t i o nf o rs o l u t i o n ss o m es e c u r i t y p r o b l e m sw h i c he x i s ti nt h ea p p l i c a t i o n ，a n de m p h a s i se l a b o r a t e dt h eo v e r a l ls e c u r e s t r a t e g ya n ds o m ea t t a c ka n dd e f e n s em e a s u r e s t h ef o u r t hp a r td i s c u s s e dt h ec o n c r e t e a p p l i c a t i o nt e c h n o l o g yo ff i r e w a l la n dt h es n o r ti n v a s i o nd e t e c ts y s t e m a t t e m p t p r o p o s e du s es n o r ti nt h ep r a c t i c a la p p l i c a t i o n a sw e l la sc o m b i n ew i t ht h ef i r e w a l l t e c h n o l o g y ，p e r f e c tn e t w o r ka p p l i c a t i o ns e c u r i t y t h ef i f t hp a r t d e s c r i b e dt h e e v a l u a t i o n o fa p p l i c a t i o ne f f e c t ，u n i f i e sp r e d e c e s s o ：se x p e r i e n c ea n da u t h o r s a t t a i n m e n t , t h r o u g ht h ed e s i g nc o n c r e t et e s tp l a n ，h a sm a d et h ee x a m i n a t i o nt ot h e s y s t e ms e c u r i t y t h es i x t hp a r ti sac o n c l u s i o n ，s u m m a r i z e dt h et h e s i sr e s e a r c hr e s u l t s o f t h i st h e s i sa n dp u tf o r w a r dm yo w n s u g g e s t i o n s k e y w o r d s ：l i n u x ，s e r v e r ，s e c u r i t y , i d s ，s n o r t 图表目录 图2 3 1s n o r t 数据处理流程图 图3 - 2 - 1 安全保障体系架构方式一， 图3 2 _ 2 安全保障体系架构方式二 图3 2 3 安全保障体系架构方式三 图3 - 3 1w e b 信息平台三层架构， 图3 3 2 安全的w e b 应用 图3 - 3 - 3 分布式网络防病毒体系 图5 2 1 网络渗透测试流程图一 1 l 1 7 1 8 1 9 2 6 2 7 3 2 6 9 袭1 2 1 事件报告表4 表1 - 2 2 攻击报告表4 表5 1 1 安全测试内容5 9 表5 2 1 测试主要服务器操作系统6 1 表5 - 2 2 系统漏洞扫描6 2 表5 2 3 测试与i n t e r n e t 互联安全，6 3 表5 2 4 测试网络安全设备6 3 表5 - 2 5 测试与外部可信网络的互联安全6 4 表5 2 6 测试安全隔离与交换6 4 表5 ，2 7 测试系统内部网络结构的互联安全6 5 表5 2 - 8 病毒防范功能测试6 5 表5 - 2 9 测试s n o r t 系统6 7 表5 2 10 组织安全策略评估6 8 表5 2 1 1 安全备份与恢复测试6 9 第一章绪论 引言 本论文的研究内容依托国家高技术研究发展计划( 8 6 3 计划) ，缩小数字鸿 沟西部行动重大专项，“基于国产l i n u x 的公众信息平台关键技术与应用研究” ( 2 0 0 3 a a i z 2 5 3 0 ) 课题，要求利用基于国产l i n u x 架构的公共信息平台，运行我 国自主研发的电子政务软件。 在课题中对公共信息平台的核心基础，国产l i n u x 服务器的应用安全性进行 了研究。为发挥电子政务的真正作用，提供一个稳定、可靠的平台，来解决数字 鸿沟问题，为我国西部信息化建设的推广应用做出示范。 第一章绪论 1 1 课题的背景，来源和意义 近年来，我国i t 业高速发展，信息化浪潮日益高涨。随着网络技术的飞速 发展，网络环境变得越来越复杂，安全问题也越来越突出。各式各样的复杂的设 备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽 便有可能造成安全的重大隐患。 我国目前的网络安全状况也并不乐观，应该全面推进操作系统和应用软件的 国产化，而l i n u x 将在其中扮演极其重要的角色。特别是在一些涉及国家安全的 局域网络中推广和使用l i n u x 操作系统已刻不容缓。随着l i n u x 的不断发展、成 熟和广泛的应用，研究l i n u x 服务器在网络中的安全性，了解l i n u x 中造成不安 全的因素以及相关的攻防措施具有很现实的意义。 尽管基于l i n u x 操作系统的网络服务器平台有更大的优越性，但是在课题实 际进展中，我们仍然发现平台中还存在很多安全漏洞。而且随着计算机网络知识 的普及，攻击者越来越多，知识日趋成熟，攻击工具与手法日趋复杂多样，单纯 的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用 一种纵深的、多样的手段。 缩小数字鸿沟是一项长期的战略任务，目前只是开始，将对该项目进行长远 的规划，还需要加大对信息平台的安全性的研究力度，所以除去结合网络服务器 平台本身的一般安全性保护策略，防火墙技术，病毒检测和身份认证技术，以及 v p n 技术以外，有必要加强l i n u x 操作系统下的入侵检测这项主动技术的应用 以及改进，以及与其他技术的紧密结合。 网络安全是一项综合性的系统工作。因此，一套完善的，切实可行的、低成 本的针对l i n u x 网络服务器平台的安全保障策略有助于促进项目长远规划发展， 成都理工大学硕士学位论文 推广信息平台的应用。为项目的顺利实施提供先进的技术保障体系。 1 2 国内外研究现状 1 2 1 l i n u x 安全性研究与发展现状 经过十年的发展，l i n u x 的功能在不断增强，其安全机制亦在逐步完善。下 面是l i n u x 已有的安全机制，这些机制有些已被标准的l i n u x 所接纳，有些只是 提供了“补丁”程序。 p a m 机制：p a m 是一套共享库，其目的是提供一个框架和一套编程接口， 将认证工作由程序员交给管理员，p a m 允许管理员在多种认证方法之间做出选 择，它能够改变本地认证方法而不需要重新编译与认证相关的应用程序。p a m 的功能包括：加密口令( 包括d e s 以外的算法) ；对用户进行资源限制，防止 d o s 攻击；允许随意s h a d o w 口令；限制特定用户在指定时间从指定地点登录； p a m 为更有效的认证方法的开发提供了便利，在此基础上可以很容易地开发出 替代常规的用户名加口令的认证方法，如智能卡、指纹识别等认证方法。 加密技术：加密文件系统就是将加密服务引入文件系统，从而提高计算机系 统的安全性。有太多的理由需要加密文件系统，比如防止硬盘被偷窃、防止未经 授权的访问等。目前l i n u x 已有多种加密文件系统，如c f s 、t c f s 、c r y p t f s 等，较有代表性的是t c f s ( t r a n s p a r e n tc r y p t o g r a p h i cf i l es y s t e m ) 。它通过将 加密服务和文件系统紧密集成，使用户感觉不到文件的加密过程。t c f s 不修改 文件系统的数据结构，备份与修复以及用户访问保密文件的语义也不变。 安全审计：即使系统管理员十分精明地采取了各种安全措旌，但还会不幸她 发现一些新漏洞。攻击者在漏洞被修补之前会迅速抓住机会攻破尽可能多的机 器。虽然l i n u x 不能预测何时主机会受到攻击，但是它可以记录攻击者的行踪。 l i n u x 还可以进行检测、记录时间信息和网络连接情况。这些信息将被重定向到 日志中备查。日志是l i n u x 安全结构中的一个重要内容，它是提供攻击发生的唯 一真实证据。因为现在的攻击方法多种多样，所以l i n u x 提供网络、主机和用户 级的日志信息。 强制访问控制( m a n d a t o r ya c c e s sc o n t r 0 1 ) 是种由系统管理员从全系统的 角度定义和实施的访问控制，它通过标记系统中的主客体，强制性地限制信息的 共享和流动，使不同的用户只能访问到与其有关的、指定范围的信息，从根本上 防止信息的失泄密和访问混乱的现象。由于l i n u x 是一种自由操作系统，目前在 其上实现强制访问控制的就有好几家，其中比较典型的包括s e l i n u x 、r s b a c 、 m a c 等，采用的策略也各不相同。 第一章绪论 防火墙是在被保护网络和因特网之间，或者在其他网络之间限制访问的一种 部件或一系列部件。l i n u x 防火墙系统提供了如下功能：访问控制，可以执行基 于地址( 源和目标) 、用户和时间的访问控制策略，从而可以杜绝非授权的访问， 同时保护内部用户的合法访问不受影响。审计，对通过它的网络访问进行记录， 建立完备的日志、审计和追踪网络访问记录，并可以根据需要产生报表。抗攻击， 防火墙系统直接暴露在非信任网络中，对外界来说，受到防火墙保护的内部网络 如同一个点，所有的攻击都是直接针对它的，该点称为堡垒机，因此要求堡垒机 具有高度的安全性和抵御各种攻击的能力。其他附属功能，如与审计相关的报警 和入侵检测，与访问控制相关的身份验证、加密和认证，甚至v p n 等。 入侵检测技术是一项相对比较新的技术，很少有操作系统安装了入侵检测工 具，事实上，标准的l i n u x 发布版本也是最近才配备了这种工具。尽管入侵检测 系统的历史很短，但发展却很快，目前比较流行的入侵检测系统有s n o r t 、l i d s 、 p o r t s e n t r y 等。利用l i n u x 配备的工具和从因特网下载的工具，就可以使l i n u x 具备高级的入侵检测能力，记录入侵企图，当攻击发生时及时通知管理员；在规 定情况的攻击发生时，采取事先规定的措旄；发送些错误信息，比如伪装成其 他操作系统，这样攻击者会认为他们正在攻击一个w i n d o w sn t 或s o l a r i s 系统。 入侵检测技术，特别是防火墙技术与入侵检测技术的结合，国内外技术还不 成熟，还处于发展阶段。入侵检测系统作为一种主动的安全防护技术，提供了对 内部攻击、外部攻击和误操作的实时保护，在网络系统受至0 危害之前拦截和响应 入侵。随着网络通信技术安全性的要求越来越高，为给电子政务，电子商务等网 络应用提供可靠服务，而由于入侵检测系统能够从网络安全的立体纵深、多层次 防御的角度出发提供安全服务，必将进一步受到人们的高度重视。 利用基于国产l i n u x 架构的低成本、安全的公共信息平台实现电子政务及其 他应用，从而切实解决数字鸿沟问题。目前，在国内外尚没有比较理想的低成本 解决方案。并且在针对信息平台技术尚无一套完整的安全解决方案。 1 2 2 传统服务器安全技术的不足 服务器是当今电脑计算体系中的核心部分。无论是运行关键任务的应用程 序，还是诸如e m a i l 、文件、打印和数据库服务等核心i t 服务，服务器的性能和 安全性是决定这些业务能否顺利运行的重要因素。但异构分布式环境的内在复杂 性又使得服务器管理充满了必要性和挑战性。 对于任何一个网络操作系统，无论稳定性再好，网络功能再强大，只要机器 联网以后，就必须面对网络安全问题。特别是w i n d o w s 服务器系统易被攻击， 病毒泛滥，可靠性不高，性价比很低，信息安全很难得到根本保证。 由于自动化的攻击工具的广泛使用，国际互联网络系统被攻击成为越来越平 成都理工大学硕士学位论文 凡的事情，因此攻击事件的数量报告不能提供可评估攻击范围和影响的一些有意 义的信息。所以，到2 0 0 4 年c e r t ( 所有数据来自h t t p ：t w w w c e r t o r g s t a t s ) 就 不再作相关的事件数量报告的公布。不过参看1 9 8 8 到2 0 0 3 年的事件报告，我们 可以看到攻击事件的增加迅速。 1 9 8 8 1 9 8 9 。“1 。 y e a r ；1 9 8 81 9 8 9 l 一：一一j i n c i d e i l 协 61 3 2 ； ，一一h 一l 1 9 9 0 - 1 9 9 9 y b a r1 9 9 01 9 9 11 9 9 21 9 9 3 | = 1 9 9 4 1 9 9 51 1 9 9 6 i a c i d e n t s2 轮4 0 67 7 31 , 3 3 4 1 2 3 4 0 1 2 ，4 1 2 盘，5 7 3 2 o - 2 0 0 3 。t “_ = j r ”r ”一 ；y e a r 1 2 0 0 0 2 0 0 12 0 0 22 0 0 3 ， 1 【1 。 。“1 “ i i n c i d e n t s h l , 7 5 6 f i 2 ，6 5 8 1 8 2 ；0 9 4 1 1 3 7 ，5 2 9 表1 - 2 1 事件报告表 事件总数报告为( 1 9 8 8 2 0 0 3 ) ：3 1 9 ，9 9 2 。一个攻击事件可以涉及到一个站点或 数百个( 甚至数千个) 站点。 最新数据表明黑客攻击行为日益增加。 2 0 2 0 0 5 y e a r2 o 。2 0 0 1凇2 0 0 32 42 0 0 5 v u l n e m b i l i f i e s l i , 0 9 0 1 2 , 4 3 7 社；i 2 93 ，7 8 43 , 7 8 05 ，9 9 0 表1 2 - 2 攻击报告表 据报告的攻击总数为( 1 9 9 5 2 0 0 5 ) ：2 2 ，7 1 6 。 顺应这一趋势，涌现出了很多网络的安全技术，如网络防火墙，病毒检测， 密码技术，身份认证等。但是，既是如此，还是有很多的服务器在不能够及时检 测和预防的情况下被攻击，导致了巨大的经济损失。 对于网络安全来说，单纯的防火墙技术暴露出明显的不足和弱点，如无法解 决安全后门问题；不能阻止网络内部攻击，网络内部的误操作，资源滥用和恶意 行为，再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的滥 用做出反应。不能提供实时入侵检测能力；对于病毒等束手无策等。 1 2 3 国产l i n u x 服务器的优点 用国产l i n u x 操作系统搭建服务器，与国外的l i n u x 产品没有多大的差别， 4 第一章绪论 并且有很多地方比国外产品要好。目前国产的l i n u x 主要有红旗l i n u x 、中软 l i n u x 、联想h a p p y l i n u x 、电子科大的d p l i n u x 等。国产l i n u x 操作系统都对 开源l i n u x 做了一系列的改进，例如增强了对中文的支持，增加多种中文输入法， 增加了自主知识产权的防火墙软件可更好的防御各种黑客行为。 另外基于开源l i n u x 本身特点，l i n u x 具有如下特点：开放性、多用户、多 任务、良好的用户界面、设备独立性、提供了丰富的网络功能、可靠的系统安全、 良好的可移植性。l i n u x 操作系统十分稳定、可信、安全性较好、运行速度快、 病毒侵扰少、方便定制、高效管理c p u 电源、内存和磁盘空间等各种资源。 l i n u x 系统为网络提供强大而稳定的服务器操作系统平台。l i n u x 在网络安 全中的作用主要表现在它能最大限度地防止程序后门可能对网络系统构成的危 害，别是在关系我国国家安全的一些领域的内部办公网络中。 相对较低的购买成本、实施成本和维护成本可以方便地根据企业的需要定制 和修改软件的功能，强化或优化某方面的性能企业拥有软件的源代码，使得信息 系统建设的发展不依赖于一个厂商，增强了信息系统的安全性。 l i n u x 的成熟、稳定和高性价比，使l i n u x 成为我国信息化建设的良好的软 件基础平台，我国已有越来越多的l i n u x 上的应用解决方案可供选择，l i n u x 成 长极快，正在成为软件基础设施的标准，将会在我国信息化建设中起到越来越重 要的作用，l i n u x 已成为i n t e m e t 上的主要服务器操作系统。 从发展的背景看，l i n u x 与其他操作系统的区别是，l i n u x 是从一个比较成 熟的操作系统发展而来的，而其他操作系统，如w i n d o w s n t 等，都是自成体系， 无对应的相依托的操作系统。这一区别使得l i n u x 的用户能大大地从u n i x 团体 贡献中获利。因为u n i x 是世界上使用最普遍、发展最成熟的操作系统之一。 从使用费用上看，l i n u x 与其他操作系统的区别在于l i n u x 是一种开放、免 费的操作系统，而其他操作系统都是封闭的系统，需要有偿使用。这一区别使得 我们能够不用花钱就能得到很多l i n u x 的版本以及为其开发的应用软件。当我们 访问i n t e r n e t 时，会发现几乎所有可用的自由软件都能够运行在l i n u x 系统上。 采用l i n u x 总体拥有成本较低，虽然在大规模的平台迁移对培训的需求有些费 用，但考虑到今后系统的升级、扩展、维护等方面的开支，l i n u x 还是会占上风。 信息平台采用以自主知识产权为主的软硬件设备和技术，提高了系统的安全 性。l i n u x 的应用对我国电子政务的顺利实施意义重大，掌握了系统的源代码使 实现系统的可控性成为可能，l i n u x 的源代码是完全开放的，方便政府安全评测 部门审查，这在一定程度上能保证国家的安全。l i n u x 使用标准的、开放的格式， 保证创建兼容的软件。l i n u x 的开放性使得更多的人关注它，一旦有任何安全隐 患被发现，就能够在最短的时间内被纠正。政府为了保证公共数据的持续性，软 5 成都理工大学硕士学位论文 件的使用和维护不能被某家公司所垄断和控制，开放的l i n u x 不是任何一家公司 能垄断的。 1 3 本文研究内容 本论文主要就项目实践过程中以及后期的研究工作中的经验进行提炼，以期 对项目在“十一五”期间的发展提供一点技术支持。 本论文的主要研究内容如下： 服务器应用安全性配置管理 网络服务器建立初期，为防止系统漏洞被利用，要从系统的网络配置、系统 管理的安全等方面采取相应措施，达到保护服务器安全的目的。 常见入侵特征分析及修正 对网络安全进行了分析，内容包括网络安全隐患、主要的i n t e m e t 安全威胁、 安全漏洞以及如何采取积极的措旌避免系统遭受攻击。并对常见的日志文件格式 分析，关注在信息平台中可能流行的攻击方法，以及一些经典的攻击手段。 入侵检测系统应用 s n o r t 是一个高性能的入侵检测系统，适用于大中小型网络，管理员可以轻 易的将s n o r t 安装到网络中去，并且能够在很短的时间内完成配置，方便的集成 到网络安全的整体方案中，使其成为网络安全体系的有机组成部分。 防火墙和入侵检测的优势结合起来 提出种基于防火墙和入侵检测系统配合使用实现网络安全的观点，这样能 够很好的弥补防火墙和入侵检测的缺点。与s n o r t 入侵检测系统的联动实现了更 好的网络保护功能，提供完整的网络安全保障。 虚拟测试环境搭建 由于试验阶段电脑数量的限制，要组建一个自己的局域网或者是做个小规模 的实验就显得捉襟见肘了，在课题研究的过程中，想测试一下l i n u x 下的一些漏 洞，可是如果安装了多操作系统，需要切换系统时候只能重新启动，这里提出 个很好的解决办法，即通过v m w a r e 建立虚拟测试平台。 系统安全性能测评 设计通用的测试方案、评估方法在虚拟测试平台上测试，实现对防火墙和入 侵检测结合后系统安全的检测。最终评价系统的安全性可从检测范围、系统资源 占用、自身的可靠性等方面进行。 第二章相关技术介绍 第二章相关技术简介 2 1 国产l i n u x 操作系统 l m u x 是一种u m x 操作系统的克隆，l m u x 的目标是保持和p o s i x 的兼容。 具有b s d 和s y s v 扩展特性。l m u x 具备现代一切功能完整的u m x 系统所具备 的全部特征，其中包括真正的多任务、虚拟内存、共享库、需求装载、共享的写 时复制程序执行、优秀的内存管理以及t c p i p 网络支持等。在历史上，还没有 任何一种操作系统像l m u x 这样迅速地实现跨平台发展。其迅猛发展的态势极 大地改变了应用程序开发的状况以及实现应用程序的经济因素，并且其对硬件配 置的要求不高。 l i n u x 不断应用于w e b 和w e b 应用程序服务器的开发平台，并推动无线网 络设备和互联网应用。l m u x 操作系统十分稳定、运行速度快、方便定制、高效 管理c p u 电源、内存和磁盘空间等各种资源。利用l i n l l ) 【的开放源代码和信息 平台软件开发利用的特性，可以开发成千上万的应用程序，如个人工效管理、办 公软件、电子商务、开发软件和游戏软件。开发的软件可以在任何支持l m u x 的 系统架构平台上运行。 l i n u x 的版本分为两部分：内核( k e r n e l ) 与发行套件( d i s t r i b u f i o n ) 版本。其中 内核版本指在l i n l l s 领导下的开发小组开发出来的系统内核的版本号。由“n u s 控制，统一。发行套件版本指一些厂家或组织将l m u x 系统内核与应用软件和文 档包装起来，并提供安装界面、系统设定及管理工具，这样就构成了发行套件。 常见的有s l a c k w a r e ，r e d h a t ，d e b i a l l ，红旗，中软等，实际上就是l m u x 的一 个大软件包而已。随着发布者的不同而不同，与内核版本相对独立。 现在，l i n t t x 凭借优秀的设计，不凡的性能，加上i b m 、i n t e l 、c a 、c o r e 、 o r a c l e 等国际知名企业的大力支持，市场份额逐步扩大，逐渐成为主流操作 系统之一。 2 1 1 红旗l m u x 操作系统 红旗l m u x 服务器系列产品包括红旗l i i m x 服务器、红旗多功能服务器以及 红旗数据库服务器，其中l m u x 服务器是标准版本，其它两种类型的服务器是以 l m u x 服务器为基础经过性能优化定制而来的，以适应用户越来越普及的需要而 定制的服务器产品。 红旗l i n u x 安装功能便捷，图形安装，过程清晰明了。安装过程中自动检测 并配置网卡、显卡、显示器等。红旗l m u x 具有强大稳定的操作系统平台，稳定 7 成都理工大学硕士学位论文 优化的核心，增强的s m p ( s y m m e t r i c a lm u l t i - p r o c e s s i n g ) 支持，硬件支持能力 和网络通信能力大幅度增强，支持磁盘冗余阵列r a i d ，支持定时备份功能。 红旗l i n u x 具有功能强大的网络服务平台，包括a p a c h ew e b 服务器，u f t d 文件传输服务，d h c p 服务器，d n s 域名服务器，多用户、多线程的m y s q l 数 据库服务器等等。红旗l i n u x 还提供了基于w e b 的中文化远程配置工具，一套 基于w e b 界面的服务器系统管理工具，通过浏览器用户可以轻松地管理自己的 l i n u x 系统。对于d n s 、d h c p 、w w w 等服务器软件，提供了快速配置功能， 方便实用。 红旗l i n u x 安全可靠，性能出众，在w e b 服务器里内置了s s l 模块，支持 浏览器和网站之间加密传输，支持超时退出系统。i p c h a i n s 防火墙，用来安装、 维护、检查l i n u x 内核的防火墙规则。集成了s n o r t ，以及简便易用的s n o n 日志 分析工具。最后红旗l i n u x 采用了先进的日志型文件系统，比一般l i n u x 传统上 实用的e x t 2 文件系统要更加安全，可靠，快速。目志机制记录每个对文件数据 结构的修改，使得系统的意外崩溃不会破坏整个文件系统的完整性，也节省了系 统启动时检查文件系统的漫长时间。同时也保证了在断电和电源被意外关闭的情 况下服务器操作系统和用户数据的安全，大大提高了服务器的可用性。 2 1 2 中软l i n u x 操作系统 中软n c 服务器集n c 服务器、应用服务器、文件服务器、n i s 服务器等功 能于一身，实现对1 3 套n c 网络计算机的集中式管理。中软l i n u x 4 0n c 服务 器安装后，服务器端无需进行配置即可直接实现n c 的远程连接。n c 端中文显 示及输入法使用正常。 2 1 3 d p l i n u x 操作系统 d p l i n u x 是基于最新的l i n u x 内核研发的新一代搡作系统。d p l i n u x 通过对 l i n u x 内核和数据库系统的改造，使该信息平台具有分布式并行处理能力、性能 动态可扩充、高稳定性、高可靠性和灾难恢复能力等。它可将大量服务器构成一 个有机接体为用户提供服务。从而达到超级计算机的性能，同时能够使运行在该 系统上的应用软件具有分布、并行处理的特征。 d p l i n u x 支持企业级应用和大型软件开发环境，可运行丰富的应用软件，是 政府及企业关键业务的最佳操作系统平台，在电子政务、视频点播等领域已经得 到广泛应用。 2 2 防火墙概述 防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手 8 第二章相关技术介绍 段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特 殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来 实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。 防火墙根据数据包中的口地址、类型、t c p u d p 端口进行数据过滤，以控 制通过防火墙的数据包的流向，并具有日志功能，可记录试图通过防火墙的非法( 违 反了用户制定的过滤规则) 数据包。防止源妒地址欺骗，即防止通过修改p 地址 的方法对网络资源进行非授权访问。 随着技术的不断发展，防火墙也处于不断的变化之中。根据防火墙所采用的 技术不同，可以将它分为四种基本类型：包过滤型、网络地址转换_ n a t 、代理 型和监测型。 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。 包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下， 能够以较小的代价在一定程度上保证系统的安全。它通常直接转发报文，它对用 户完全透明，速度较快。 i p c h a i m 是典型的包过滤型防火墙，是由l i n u x 内核直接支持的简单易用并 且有效的防火墙，i p c h a i n s 能够依据网络上传输的每个i p 封包所含的来源地址、 目的地址、端口、封包形态以及协议等信息，对封包进行过滤，来控制封包的流 通与否。并且i p c h a i m 可实现p 伪装，实现i n t e m e t 计算机安全透明访问外部的 i n t e m e t 资源。 网络地址转换是一种用于把i p 地址转换成临时的、外部的、注册的i p 地址 标准。它允许具有私有i p 地址的内部网络访问因特网。 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品， 并已经开始向应用层发展。代理型防火墙的优点是安全性较高，可以针对应用层 进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。它有更强的身份验 证和注册功能。其缺点是对系统的整体性能有较大的影响，基于p r o x ys e r v i c e 的防火墙常常会使网络性能明显下降。而且代理服务器必须针对客户机可能产生 的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。 监测型防火墙是新一代的产品，状态检测是比较先进的防火墙技术，它摒弃 了包过滤防火墙仅考查数据包的i p 地址等几个参数，而不关心数据包连接状态 变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一 个个的会话，利用状态表跟踪每一个会话状态。能够对各层的数据进行主动的、 实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出 各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这 些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络 9 成都理工大学硕士学位论文 外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。 状态检测技术在大力提高安全防范能力的同时也改进了流量处理速度。其中 状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类 网络环境中，尤其是在一些规则复杂的大型网络上。深度包检测技术将为防火墙 的发展提升到一个新的阶段。监测型防火墙在安全性上已超越了包过滤型和代理 服务器型防火墙，但其实现成本较高。基于对系统成本与安全技术成本的综合考 虑，用户可以选择性地使用某些监测型技术。 2 3 开源的入侵检测工具s n o r t 2 3 1 s n o r t 技术简介 n i d s 用来监视网络数据流动情况，当入侵发生时能够提供报警。现在已经 出现了很多商业的n i d s ，但是它们大多比较复杂，比较难以掌握，而且比较昂 贵。而s n o r t 是一个功能强大、跨平台网络入侵检测系统，它遵循公共通用许可 证g p l ，任何企业、个人、组织都可以免费使用它作为自己的n i d s 。 s n o r t 具有实时数据流量分析和日志i p 网络数据包的能力，能够进行协议分 析，对内容进行搜索匹配。现在s n o r t 能够分析的协议有t c p 、u d p 和i c m p 。 将来，可能提供对a r p 、i c r p 、g r e 、o s p f 、r i p 、i p x 等协议的支持。它能 够检测多种方式的攻击和探测，例如：缓冲区溢出、秘密端口扫描、c g i 攻击、 s m b 探测、探测操作系统指纹特征的企图等等。 s n o r t 能够检测各种不同的攻击方式，对攻击进行实时报警。它是基于 l i b p c a p 的网络数据包嗅探器和日志记录工具。它的跨平台性能极佳，可以支持 l i n u x ，s o l a r i s ，b s d ，i r i x ，h p - u x ，w m d o w s 等系统。对系统的影响小，并 可轻易的集成到网络中，完成配置。此外，s n o r t 具有很好的扩展性和可移植性。 s n o r t 通过这几年的快速进步，已经成为一个相当稳定和高效的i d s 。 s n o r t 有很多种记录或告警的方法，例如，s y s l o g 、写入文件、使用s a m b a 协议向w i n d o w s 客户程序发出w mp o p u p 消息、利用x m l 插件，s n o r t 可以使 用s n m l 把日志存放到一个文件或者适时报警。s n o r t 的日志格式既可以是 t c p d u m p 式的二进制格式，也可以解码成a s c i i 字符形式。此外，还提供了s n o r t 日志分析能力，可以帮助系统管理员分析可能的入侵。 s n o r t 的代码极为简洁、短小。s n o r t 的创始人m a r r yr o e s c h 把s n o r t 定位为 轻量级的入侵检测系统。其实，这个定位是不妥当的。无论对小的家庭用户还是 繁忙的公司网络，s n o r t 都有能力实时分析和记录i p 数据包，其基于规则的检测 引擎能够检测多种变种攻击，包括c g i 扫描，缓存区溢出攻击，s m b 探测等。 还能为确定网络中一些莫名其妙的服务都是做什么的提供帮助。s n o r t 能运行在 1 0 第二章相关技术介绍 众多的硬件平台和操作系统上。因为其可扩展的体系结构和开放源码的发布模 式，s n o r t 成为入侵检测软件中非常流行的选择。经常有已经花费了数千美元购 买入侵检测系统的管理员还使用s n o r t 来填补网络中的一些缺口。 s n o r t 支持的插件功能可以将新的功能以插件的形式添加调用，有很好的扩 展性能。可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。 s n o n 当前支持的插件包括：数据库日志输出插件、碎数据包检测插件、端口扫 描检测插件、h t t pu r in o r m a l i z a t i o n 插件、x m l 插件等。 使用s p a d e ( s t a t i s t i c a lp a c k e t a n o m a l yd e t e c t i o ne n g i n e ) 插件，s n o r t 能够报告 非正常的可疑包，从而对端口扫描进行有效的检测。s n o r t 还有很强的系统防护 能力。使用f l e x r e s p 功能，s n o f t 能够主动断开恶意连接。 使用数据库输出插件，s n o r t 可以把日志记入数据库，当前支持的数据库包 括：p o s t g r e s q l 、m y s q l 、任何u n i x o d b c 数据库等。 当有了新的攻击手段时，只要简单加入新的规则就可以升级s n o r t 。尽管s n o r t 设计得很简洁，但它并不是一个能够即安即用的方案。要想把s n o r t 用好，用户 必须对s n o r t 的原理非常熟悉。在分析和定位恶意的网络流量时，s n o r t 会做得更 好。秘诀就是s n o n 能让使用者完全定制自己的规则。 2 3 2 s n o r t 系统概述 s n o r t 系统的数据处理流程如下图所示： 围2 - 3 - 1s n o r t 数据处理流程图 由上图可知每个被捕获的网络数据包，将按照下面的流程进行处理： ( 1 ) 数据包捕获库 数据包捕获函数库是一个独立的软件工具，s n o r t 就是通过调用该库函数从 网络设备上捕获数据包。它工作在o s l 模型的第二层数据链路层。在l i n u x 下使用需要安装l