確保Linux環(huán)境下文件共享的安全性

連接用戶的外部網(wǎng)為Internet/Intranet，服務(wù)器組由內(nèi)部網(wǎng)（通常是高速局域網(wǎng)或地理分布的廣域網(wǎng)）連接。負(fù)載平衡器有兩個(gè)IP地址，一個(gè)是外部網(wǎng)關(guān)，一個(gè)是內(nèi)部網(wǎng)關(guān)。外部網(wǎng)的用戶發(fā)出請求，負(fù)載調(diào)度器負(fù)責(zé)將用戶要求的任務(wù)，調(diào)度到服務(wù)器集群中的服務(wù)器上執(zhí)行，具體的調(diào)度策略現(xiàn)在主要有四種調(diào)度算法：輪轉(zhuǎn)調(diào)度算法（Round-RobinScheduling）、加權(quán)輪轉(zhuǎn)調(diào)度算法（Weighted Round-RobinScheduling）、最小連接調(diào)度算法（Least-ConnectionScheduing）、加權(quán)最小連接算法（Weighted Least- ConnectionScheduing）。LVS采用基于IP層負(fù)載平衡技術(shù)，通過IPVS軟件實(shí)現(xiàn)了三種IP負(fù)載均衡技術(shù)，在Linux操作系統(tǒng)下，將IP層的TCP和UDP請求均衡地轉(zhuǎn)移到不同的服務(wù)器上。當(dāng)用戶請求到達(dá)時(shí)，調(diào)度器從服務(wù)器組中選出一個(gè)服務(wù)器轉(zhuǎn)發(fā)該請求并由該服務(wù)器執(zhí)行，同時(shí)記錄此調(diào)度。這一切都在操作系統(tǒng)核心空間內(nèi)完成，且調(diào)度開銷很小，使得服務(wù)器集群中的節(jié)點(diǎn)數(shù)目可以達(dá)25甚至可以多達(dá)100。文件存儲(chǔ)系統(tǒng)基于容錯(cuò)式分布文件系統(tǒng)來實(shí)現(xiàn)，如Coda。

我們談到的LVS網(wǎng)絡(luò)服務(wù)的高可靠性主要體現(xiàn)在：

1．負(fù)載調(diào)度器上運(yùn)行了一個(gè)監(jiān)視進(jìn)程--mon，它負(fù)責(zé)監(jiān)控服務(wù)進(jìn)程和服務(wù)器集群中的各個(gè)服務(wù)器節(jié)點(diǎn)的狀況，通過配置fping 監(jiān)聽器，每隔一定時(shí)間檢測各個(gè)服務(wù)器節(jié)點(diǎn)。通過配置相應(yīng)的服務(wù)監(jiān)聽器來探查所有節(jié)點(diǎn)中不同的服務(wù)進(jìn)程，例如http monitor就用來探查http服務(wù)，一旦出現(xiàn)失敗，監(jiān)視進(jìn)程就發(fā)出警報(bào)通知調(diào)度器將該節(jié)點(diǎn)從調(diào)度列表中刪除，使調(diào)度器可以自動(dòng)屏蔽服務(wù)器節(jié)點(diǎn)的失效。當(dāng)此服務(wù)器節(jié)點(diǎn)恢復(fù)時(shí)，調(diào)度器將此節(jié)點(diǎn)添加到調(diào)度列表中，從而總是保持對(duì)系統(tǒng)重置的正確，并且服務(wù)器集群中節(jié)點(diǎn)的數(shù)目是可變的，由于節(jié)點(diǎn)的失效被屏蔽，系統(tǒng)管理員可以在任何時(shí)候加入或刪除一個(gè)或多個(gè)節(jié)點(diǎn)而不干擾對(duì)用戶提供的服務(wù)。這也就意味著LVS系統(tǒng)在超載時(shí)，我們可以通過增加服務(wù)集群的節(jié)點(diǎn)數(shù)目來滿足用戶的請求，當(dāng)服務(wù)器組中某臺(tái)實(shí)際服務(wù)器出現(xiàn)故障，可以刪除但不影響對(duì)用戶的服務(wù)，從而實(shí)現(xiàn)高效可靠的服務(wù)。

2．在第一點(diǎn)的基礎(chǔ)上，現(xiàn)在調(diào)度器就成為了單一的失效點(diǎn)，調(diào)度器的失效將導(dǎo)致整個(gè)系統(tǒng)的癱瘓。為了屏蔽主調(diào)度器可能出現(xiàn)的失效，需要建立一個(gè)備份的從調(diào)度器。兩個(gè)心跳進(jìn)程分別在主、從調(diào)度器上運(yùn)行，定期互相匯報(bào)各自的健康狀況，一旦從調(diào)度器探測到主調(diào)度器失效，則激活fake程序接管Virtual IP Address來提供負(fù)載平衡調(diào)度；當(dāng)從調(diào)度器探測到主調(diào)度器恢復(fù)時(shí)，將釋放Virtual IP Address，由主調(diào)度器收回并提供負(fù)載調(diào)度服務(wù)。雖然，主調(diào)度器的失效和接管將導(dǎo)致調(diào)度信息的丟失，需要用戶重新發(fā)送請求。但是，這大大的提高了系統(tǒng)的安全性和可靠性，使得一旦主調(diào)度器出現(xiàn)故障，系統(tǒng)可以在很短的時(shí)間內(nèi)恢復(fù)服務(wù)。

NFS簡介以及相關(guān)安全性問題

下面要提到的是在網(wǎng)站服務(wù)器上應(yīng)用得很廣泛的網(wǎng)絡(luò)文件系統(tǒng)(Network File System)。網(wǎng)絡(luò)文件系統(tǒng)提供了多個(gè)計(jì)算機(jī)節(jié)點(diǎn)通過網(wǎng)絡(luò)共享計(jì)算機(jī)文件資源的功能，使得每個(gè)計(jì)算機(jī)的節(jié)點(diǎn)能夠像使用本地資源一樣方便地使用網(wǎng)上資源。不難想象，正是由于它的這種獨(dú)有的方便性，也暴露了一些安全問題，黑客們可能通過侵入服務(wù)器，篡改其中的共享資源，達(dá)到入侵、破壞他人機(jī)器的目的，所以網(wǎng)絡(luò)文件系統(tǒng)的安全問題在Linux操作系統(tǒng)中受到很多人的重視。下面將從Linux操作系統(tǒng)中的NFS的工作原理及一些相關(guān)安全問題作一些探討。
 
NFS由服務(wù)器端和客戶機(jī)端兩部分組成。每臺(tái)機(jī)器都具有自己的內(nèi)核級(jí)服務(wù)：外部數(shù)據(jù)服務(wù)、遠(yuǎn)程過程調(diào)用、NFS客戶機(jī)或服務(wù)器、I/O監(jiān)控程序和鎖監(jiān)控程序。此外，根據(jù)服務(wù)器和客戶機(jī)的不同，分別具有/etc/exports和/etc/fstab配置文件。

NFS是通過RPC，即遠(yuǎn)程過程調(diào)用來實(shí)現(xiàn)的，使得遠(yuǎn)程的計(jì)算機(jī)節(jié)點(diǎn)執(zhí)行文件操作命令就像執(zhí)行本地的文件操作命令一樣。它可以執(zhí)行創(chuàng)建文件、創(chuàng)建目錄、刪除文件、刪除目錄等等文件操作命令。
在Linux操作系統(tǒng)當(dāng)中，安全性能較Windows有了很大的提高，由于RPC本身的一些安全缺陷，惡意的黑客可以利用IP地址欺騙等手段來攻擊NFS服務(wù)器，使得服務(wù)器癱瘓而無法工作，而通常NFS服務(wù)器卻很難發(fā)現(xiàn)。而Linux所作的第一個(gè)安全任務(wù)就是啟用防火墻，當(dāng)系統(tǒng)啟動(dòng)的時(shí)候這個(gè)操作系統(tǒng)會(huì)自動(dòng)啟用防火墻，使得內(nèi)部的和外部的RPC無法正常地通信，這從一定程度上減少了安全漏洞，使得非法的或者是有害的數(shù)據(jù)不能進(jìn)來。但是，應(yīng)該看到的是，它還是阻礙了正常的數(shù)據(jù)傳輸。如果在沒注意的情況之下，兩臺(tái)互相通信的機(jī)器便不能正常的進(jìn)行NFS文件共享，因?yàn)榉阑饓ψ柚沽薘PC調(diào)用。

而第二個(gè)Linux所作的安全任務(wù)也就是服務(wù)器的導(dǎo)出選項(xiàng)，這些選項(xiàng)很多，因?yàn)镹FS服務(wù)器最適合對(duì)NFS客戶機(jī)進(jìn)行安全限制。NFS客戶機(jī)更容易攻破，但服務(wù)器介于潛在的惡意客戶機(jī)之間，它要訪問服務(wù)器本地盤中存放的實(shí)際文件。相關(guān)的導(dǎo)出選項(xiàng)有如下幾類：讀寫服務(wù)器訪問、UID與GID擠壓、端口安全、鎖監(jiān)控程序、部分掛接與子掛接等。在讀寫服務(wù)器訪問中，ro和rw是最常用的選項(xiàng)。這兩個(gè)選項(xiàng)的含義讀者應(yīng)該比較清楚，他與文件的一些基本讀寫權(quán)限是一樣的。對(duì)于UID與GID擠壓，在Linux操作系統(tǒng)當(dāng)中，根用戶（root）是很危險(xiǎn)的，因?yàn)樗梢詧?zhí)行任何命令和改變系統(tǒng)中的任何文件。在NFS客戶機(jī)/服務(wù)器模型當(dāng)中，服務(wù)器要防止惡意的客戶機(jī)的破壞，因?yàn)榭蛻魴C(jī)上的用戶可以方便地取得NFS客戶機(jī)上的根訪問權(quán)限。如果NFS客戶機(jī)允許對(duì)NFS服務(wù)器的根訪問，則可以方便地占有服務(wù)器，從而影響依賴于NFS服務(wù)器文件的整個(gè)站點(diǎn)。為此，幾個(gè)NFS客戶機(jī)可以改變某些用戶與組的證明信息，改變用戶與組的證明信息稱為擠壓。這樣，最重要的選項(xiàng)就是root_squash，將根進(jìn)程的權(quán)限設(shè)為最低來做到這一點(diǎn)。至于端口安全指的是NFS服務(wù)器缺省要求請求從1024以下端口到達(dá)，這些端口號(hào)被叫做安全端口。因?yàn)楹竺鎯身?xiàng)不是重點(diǎn)，所以不再不詳細(xì)介紹。

NFS安全配置實(shí)例分析

下面通過一個(gè)具體的例子來介紹NFS的安全性配置。假設(shè)在某個(gè)網(wǎng)站上有某個(gè)目錄名為/popgame的目錄可以開放給NFS客戶機(jī)來進(jìn)行下載共享等工作，而這臺(tái)服務(wù)器的IP地址為：202.168.0.8。它可以開放目錄給IP地址為202.168.10.10、202.168.10.13（當(dāng)然可以提供給更多的服務(wù)器，而且他們的IP地址也可以各式各樣，現(xiàn)在舉的例子有點(diǎn)像局域網(wǎng)中的情況，不過原理相同）的主機(jī)。那么我們首先就需要對(duì)服務(wù)器端的/etc/exports文件進(jìn)行編寫。

我們先進(jìn)入目錄/etc，然后執(zhí)行命令：vi exports，那么就會(huì)進(jìn)入到該文件的編輯界面，我們輸入如下的內(nèi)容：/popgame 202.168.10.10(ro) 202.168.10.13（ro）。我們可以清楚地看到，目錄/popgame只能導(dǎo)出到IP地址為上述值的客戶機(jī)上，而且它們的權(quán)限也只能是只讀，因?yàn)樗鼈冎皇切枰唵蔚毓蚕硐螺d游戲的功能，并不需要具備創(chuàng)建目錄、修改文件的功能，而且如果提供了這些功能的話，將會(huì)出現(xiàn)安全隱患。

下面接著配置客戶機(jī)的/etc/fstab文件，進(jìn)入該文件，并且加入如下內(nèi)容：202.168.10.8：/popgame  /mnt/game nfs  ro   0   0。不過，原文件上已經(jīng)有的內(nèi)容不要隨意更改，否則會(huì)影響系統(tǒng)配置，影響文件系統(tǒng)。其中的/mnt/game目錄是要將服務(wù)器上的/popgame目錄掛接到客戶機(jī)上的本地目錄，也就是說，當(dāng)共享了NFS文件系統(tǒng)以后，可以通過訪問本地目錄/mnt/game來訪問共享的文件。因?yàn)楝F(xiàn)在有兩臺(tái)客戶機(jī)，所以每一臺(tái)上都要如上配置。
 
配置完成以后，就需要在客戶機(jī)上將服務(wù)器的NFS掛接到本地客戶機(jī)上了，命令如下所示：mount -t nfs 202.168.10.8：/popgame /mnt/game。當(dāng)然，在執(zhí)行命令之前，必須先要關(guān)掉本地客戶機(jī)上的防火墻，否則也不會(huì)掛接成功。原因是防火墻會(huì)阻礙遠(yuǎn)程過程調(diào)用?，F(xiàn)在就可以放心地使用遠(yuǎn)程的網(wǎng)絡(luò)資源了。

來源：CCW