国产操作系统远程维护策略的部署 白英杰 赵正旭 吴晓进 张海龙Summary:为了推动国产操作系统在国内的使用与普及,结合中标麒麟系统强大的Linux内核,对国产操作系统优势进行了分析,对发展现状进行了总结针对现有远程维护管理的方法,经过对实验数据的整理,将管理方式进行分类,在中标麒麟系统上进行部署和测试,验证了中标麒麟系统远程管理模式的适用性和实用性,为国产操作系统的使用提供了理论依据和技术支持Key:国产操作系统;中标麒麟;远程维护:TP368.5文献标志码:A:1008-1739(2019)05-56-40引言操作系统是一种可以在裸机上运行,对计算机的硬件资源和系统上的软件资源直接进行管理操作的计算机应用,是数据信息安全的保障目前,国内公开发布的操作系统都是以Linux内核为基础改进开发的以开源Linux内核为基础,国内桌面操作系统已经公开发布了诸多版本,主要有中科红旗、银河麒麟和深度操作系统等其中,中标Linux和银河麒麟在上海于2010年年底宣布合并,更名为中标麒麟,专注于安全性和兼容性目前,中标麒麟研发的系列操作系统是国内计算机操作系统最优秀的代表之一1国产操作系统中标麒麟操作系统是一种采用Linux内核的操作系统,安全性、稳定性、可靠性和免费性是Linux的优点。
作为一个开源操作系统,Linux的安全补丁可以及时出现与此同时,优秀的设备管理和多任务管理能力使得系统很少崩溃同Windows比较,中标麒麟具有以下优点:①采用的架构不同,在Windows上运行的病毒在系统平台上并不适用,因此系统受到病毒攻击的几率极低②由于Linux系统开源,当发现系统漏洞时会及时得到更新,安全风险得以降低③中标麒麟可以分享Linux的生态系统有数以百万计的应用程序可以替代Windows应用程序一些应用程序是开源的,用户可以根据自己的意愿修改这些应用程序④系统具有强大的设备管理和多任务管理能力,出现崩溃或宕机的情况极少⑤系统对硬件需求很低,在较低的设备上可以获得较好的性能体验从这些优点考虑,在以日常办公为主的桌面系统领域,如果使用以Linux内核为基础的国产系统,将会降低现有Windows的一些缺点和不足如在不安装杀毒软件占用系统资源的情况下系统受到病毒攻击的几率会极大地降低这些优势使得中标麒麟成为国产操作系统的首选[1]2远程维护模式近年来,由于Linux操作系统安全性高、稳定性强和成本低等特点,在全球范围内备受欢迎Linux不但普遍应用于嵌入式领域,而且也占领部分桌面应用市场。
与此同时,Linux发行版本也呈上升趋势,应用程序包的数量也越来越大,如何有效管理Linux系统尤为重要,远程模式分为以下3种2.1终端方式的字符界面远程管理(1)Telnet管理方式Telnet是TCP/IP协议族中一个应用范围广泛、简单的远程终端协议,是网络设备最先支持的一种远程管理协议,也是因特网远程登陆实现网络互连管理的主要方式之一各类操作系统一般都默认安装了Telnet协议,无需另外安装,使用起来十分方便,Telnet能夠在任意终端、主机和各类系统之间工作由于Telnet采用明文传输用户名和口令,所以存在一定的安全风险,但是目前仍有众多的网络设备支持,例如华为、思科等公司的交换机、路由器等都支持Telnet当使用Telnet登陆远程计算机进行维护管理时,实质上启动了2个应用:一个是本地计算机上的Telnet终端;另一个是在远程计算机上的Telnet服务器本地和远程计算机之间是使用传输层中的TCP协议建立TCP连接并进行可靠的数据信息的传输,其中Telnet具体工作原理如图1所示[2-3]2)SSH管理方式SSH(Secure Shell)是一种工作在应用层和传输层上的安全协议,可以对传输的信息进行加密,有效地防止远程过程中数据信息泄露。
其目的是在公共网络上提供一种安全的远程服务和其他安全的网络服务同时,SSH对传输的数据信息进行压缩处理,可以提高其传输的速度SSH主要由传输协议、用户登录协议和连接协议3部分构成①传输协议:提供服务器认证,确保数据安全和数据完整;②用户登录协议:提供终端身份验证;③连接协议:加密信息隧道,为更高层提供协议各类高层应用协议能够相对独立于SSH协议之外,并依靠SSH协议框架,通过连接协议使用SSH的安全机制同时,SSH协议也为多数高层的网络安全应用协议提供拓展支持[4],它们之间的层次关系如图2所示2.2 C/S方式远程桌面管理VNC是C/S模式的一个典型代表,使用远程服务图形接口的RFB(Remote Frame Buffer)协议来实现图形桌面共享VNC由VNC服务器和VNC终端组成VNC服务器和VNC终端支持大多数操作系统,可以实现不同系统之间的控制[5-6]VNC的工作原理如图3所示2.3 B/S方式的远程管理Webmin是一个典型的B/S模式且功能强大的Unix/Linux系统应用管理工具管理人员可以通过网络在本地实现对远程计算机的管理,而Webmin通过网络HTTPS的协议进行传输,确保信息数据的安全,同时Webmin又提供图形化的界面管理方式,对远程计算机的管理简单明了,给管理人员带来极大的方便,极大地降低管理难度。
Webmin拥有数据的“Web服务器”,不需要占用太多的资源,也不需要另外搭建Web服务器Webmin也提供了不同管理权限的管理界面,管理人员对权限的分发更为便捷同时Webmin也支持用户根据自己的需求设计模块进行模块扩展[7-8]3远程维护策略的实现近年来,Linux系统在全球备受关注,不仅在嵌入式、服务器等领域应用广泛,而且也占领了部分桌面市场中标麒麟在桌面操作系统和服务器市场上有所发展,对于中标麒麟的管理也尤为重要,主要从以下3种模式实现对中标麒麟远程管理的部署3.1终端方式的字符界面远程管理(1)Telnet方式Telnet管理方式采用明文方式,虽然存在着一些不安全因素,但是这种方式仍在多数设备终端和系统上使用,中标麒麟操作系统上也可以部署实现这种方式进行管理其部署过程如下Telnet服务部署需要安装2个软件包:Telnet-server和Telnet,而Telnet-server依赖于xinetd,所以在安装之前也要安装xinetd通过wget命令下载rpm软件安装包,其格式为:# wget +网址链接,其中xinetd和Telnet-server的网址分别为:http://vault.centos.org/5.11/os/x86_64/CentOS/xinetd-2.3.14-20.el5_10.x86_64.rpm;ftp:// redhat/linux/9/en/os/i386/RedHat/RPMS/telnet-server-0.17-25. i386.rpm。
完成后需要用chmod命令修改其权限,命令为:# chmod 777 telnet-server-0.17-25.i386.rpm,其中777为权限的数字表示,表示具有读取、写入和可执行的权限拥有可执行权限后就可以对软件包进行安装,采用yum命令进行,格式为:# yum install xinetd-2.3.14-20.el5_10.x86_64. rpm,Telnet-server依赖于xinetd,所以需要先安装xinetd包安装完成后就需要对Telnet服务进行配置,文件为目录/ etc/xinetd.d/下的telnet,将文件中disable属性值修改为no,重启xinetd服务将防火墙23端口开放,命令为# /sbin/iptables-I INPUT -p tcp --dport 23 -j ACCEPT,重启防火墙便可通过Telnet进行登陆管理测试命令:telnet IP地址,测试结果如图4所示,登陆后会提示系统版本号和登陆时间设计了一款网络时间同步监测设备,并构建了实验验证环境对该设备时间监测不确定度及同步监测能力进行了实验实验结果表明,该设备直连线监测不确定度优于 100μs,最大同步可监测数达到20台。
可有效针对网络时间同步状况进行监测,为故障定位、故障恢复提供监测手段及数据支撑2)SSH方式SSH方式相对于Telnet方式来说,在安全方面有所改进,确保了通信过程中数据信息安全SSH协议是当前较为安全可靠的协议,也是专门为远程而设计的安全协议中标麒麟默认安装了SSH服务,但仍需对其进行配置用rpm命令查看是否安装SSH服务,命令为:# rpm–qa|grep sshopenssh-clients-6.2p2-3.nk.1.x86_64openssh-server-6.2p2-3.nk.1.x86_64openssh-6.2p2-3.nk.1.x86_64libssh2-1.4.3-4.nk.1.x86_64如果系统中没有安装这些服务则需先进行安装在配置文件中添加允许访问的用户,文件为/etc/ssh/下的sshd_config,在文件末尾添加访问用户的配置信息:AllowUsers test,此句将允许test用户远程登陆;将PermitRootLogin yes中的yes属性改成no,表示禁止通过root用户登陆系统重启sshd服务进行测试,测试结果如图5所示测试test用户登录和root登录结果,test用户成功登陆后会提示登陆时间,root用户登陆会提示信息:拒絕登录(Permission denied)。
3.2 C/S方式远程桌面管理VNC支持Unix,Linux,Windows,Mac OS等多种操作系统,同样在中标麒麟系统上也适用,需要安装VNC,VNC-Server通过命令#yum research vnc查找软件源,需要安装tigervnc.x86_64,tigervnc-server.x86_64两个应用包安装适用#yum install tigervnc.x86_64的方式,此方式可以将软件包所依赖的关系自动安装,无需手动安装安装完成后需要用命令vncpasswd设置VNC登陆密码,如果没有进行设置,则将在启动服务器时会提示密码初始化,过程如下:# vncserverYou will require a password to access your desktops.Password:Verify:New ’localhost.localdomain:1(root)’ desktop is localhost. localdomain:1Creating default startup script /root/.vnc /xstartup_defaultCreating default startup script /root/.vnc /xstartupStarting applications specified in /root /.vnc/xstartupLog file is /root/.vnc /localhost.localdomain:1.logvncserver表示启动VNC服务,启动前提示设置密码,设置完成后建立了1号桌面,桌面的序号在登陆时使用。
VNC的监听端口从5900开始,1号桌面的端口为59001,此时需要设置防火墙,允许通过59001端口访问,命令为:#/sbin/iptables -I INPUT -p tcp --dport 5901 -j ACCEPT,如有多个桌面以此。