仓酷云
标题:
来一发让封闭的Linux操纵体系完成防火墙
[打印本页]
作者:
只想知道
时间:
2015-1-16 13:37
标题:
来一发让封闭的Linux操纵体系完成防火墙
每一个开发团队都对他的发行版做过测试后放出的.那些国际知名的大品牌更是如此。
一次在网上闲逛,俄然看到论坛有一条动静说有一种办法,可让已封闭的Linux呆板持续运转ipchains,而且让这台呆板持续完成防火墙的功效。事先我的第一反应是嗤之以鼻,岂非一个防火墙还能够在关机的形态下事情?按照论坛中所指的链接,我找到了一个帖子,下面说在2.0.x内核中,利用Shutdown?h(关机)命令可使防火墙仍处于激活形态,而此时没有挂载驱动器,也没有历程在运转。也就是说防火墙将在Level0下运转,但仍旧能够举行包过滤。不外,贴子说该功效在2.2.x体系的内核中已不具有了。
看到这儿,我有些坐不住了,我决意在内核为2.2.x的呆板上也完成相似的功效,而且我但愿不在内核中增添任何补钉。现实证实,我做到了。
平安的防火墙
我以为平安意味着如许一种大概性,也就是假定防火墙已被完整封闭,而且已扫除了一切历程空间和文件体系,如许就不会有任何黑客能够对该体系举行会见。由于该呆板上已完整没有了历程空间,也没有挂载驱动器。因而,黑客就没法在体系外使代码运转在内核空间中。由于这必要写注释代码来发生所必要的了局,而这是一项十分艰辛的事情。
不外必要提请注重的是,该防火墙其实不能制止“回绝服务式”的打击。现实上,关于“回绝服务式”打击和别的的专门耗尽资本的打击,该防火墙其实不比任何别的的防火墙无效。固然,实际中,一样平常来讲体系其实不简单遭到这类打击。
由于这类办法能够确保没有一个用户能够把持该呆板,因而可使平安性年夜年夜的进步。这恰好应了IT业平安范畴常说的一句话,要想让一台呆板相对平安,就应当把它关机,然后将其锁在一间房子里。
入手下手实行
我用于测试的是一台基于x86的RedHat6.2呆板,它安装有两个网卡。全部历程无需特别的体系大概对内核举行增改。入手下手,我实验着在把持运转的剧本中搜刮,但愿能找到一点相干的线索。最初,我把核心定格在rc0(该剧本在呆板封闭时运转)剧本上。现实证实,这恰是我要找的中央。因而我入手下手从中删除一些剧本,而且举行了一系列测试。
经由一段绝对较短的工夫,我得出结论,关于RedHatLinux6.2,删除以下剧本就能够完成上述的功效:
/etc/rc.d/rc0.d/S00killall
/etc/rc.d/rc0.d/K90network
/etc/rc.d/rc0.d/K92ipchains
删除这三个剧本今后,我们就能够使收集仍旧能够事情,而且使ipchains仍旧运转。牢记,必定要把killall剧本删除,由于它的义务是寻觅/etc/rc.d/rc0.d/中一切的目次,而且运转一切以K为开首的剧本。也就是说该剧本会运转K90收集和K92ipchains剧本,而这两个剧本会删除收集和ipchains。
一些注释
实践上,我们是把Linux设置成了一个内核子集。当呆板停息时,乃至是呆板运转了Shutdown今后,这一部份内核仍驻留在内存中。这类办法能够制止在关机的过程当中,呆板会中断一切的历程,封闭一切网卡和卸载一切的文件体系。别的,这类办法使得呆板在封闭今后,不克不及再实行任何外部的义务。但是,内核仍旧在运转,内存办理器也还在运转。
因为内核仍旧在运转,以是在关机今后,一切我们运转的,基于内核的义务都能够被运转。固然,因为年夜部分的义务都必要举行一些I/O操纵(正如本例一样)。因而,我们必需让呆板封闭今后,仍旧使这些端口存在。这是经由过程K90network来完成。它使得网卡在关机今后也不会中断事情。
别的,任何必要利用到的基于内核的服务都必需要处于运转形态(好比ipchains)。在缺省情形下,当体系封闭时,会把一切的ipchains划定规矩都中断。假如如许的话,在本例中,防火墙将没法事情,以是必需要把扫除ipchains划定规矩的剧本删除。在本例中即要删除K92ipchains剧本。
范围性
在封闭体系今后,只让部分程序运转,这明显会有一些范围性。在本例中,最分明的范围性就是假如客户真个IP地点是经由过程背景程序(好比PPP、DHCP)等取得的,那末就将没法完成该功效。这就限定了那些利用静态毗连用户的利用。别的,因为在干系体系过程当中,一切的用户代办署理空间(好比Socks5)都将被封闭,因而在本例的设置中,只能完成包过虑和NAT功效。
别的要思索的一点是,因为一切的驱动器都被卸载了,一切的互换空间都从呆板上被删除,以是假如呆板的内存充足年夜的话,那末在处置的信息量很年夜时也不会有成绩。可是假如利用的是一台功能对照差的老呆板,那末在传输的信息量过年夜时就会呈现一些成绩。
总结
作为一个Linux喜好者,我以为这一小发明很成心思。别的,在我们完成特定的平安义务时,这也给了我们一种特定的办理形式。今朝,我最想晓得的,是不是别的的自在Unix(好比OpenBSD)也能够做乐成相似的实行。别的,固然我是在家中做的实行,可是假如将其用于中小型公司的话,我想能够为公司供应平安极高的数据包过滤功效。别的,也能够为一些年夜的贸易义务供应一个十分平安的、高带宽的防火墙大概路由器。
</p>
买一本命令参考手册是必要的,遇到不知道怎么用的命令可以随时查询,这要比查man文档快.特别适合英语不好。
作者:
只想知道
时间:
2015-1-17 16:30
选择一些适于初学者的Linux社区。
作者:
老尸
时间:
2015-1-21 06:23
熟读写基础知识,学得会不如学得牢。
作者:
飘灵儿
时间:
2015-1-30 09:45
就这样,我们一边上OS理论课,一边上这个实验,这样挺互补的,老师讲课,一步一步地布置任务
作者:
深爱那片海
时间:
2015-2-6 09:56
另外Linux上也有很多的应用软件,安装运行了这些软件后,你就可以在Linux上编辑文档、图?片,玩游戏、上网、播放多媒体文件等。
作者:
若相依
时间:
2015-2-15 22:39
即便是非英语国家的人发布技术文档,Linux也都首先翻译成英语在国际学术杂志和网络上发表。
作者:
愤怒的大鸟
时间:
2015-3-4 16:37
Linux高手更具有鼓励新手的文化精神。如何在Linux社区获得帮助,需要说明的是你要有周全的思考,准备好你的问题,不要草率的发问。
作者:
小妖女
时间:
2015-3-11 20:29
熟读Linux系统有关知识,如系统目录树,有关内容可购书阅读或搜索论坛。
作者:
柔情似水
时间:
2015-3-19 12:24
为了更好的学习这门课程,我不仅课上认真听讲,课下也努力学习,为此还在自己的电脑上安装了Ubuntu系统。
作者:
仓酷云
时间:
2015-3-28 04:19
众所周知,目前windows操作系统是主流,在以后相当长的时间内不会有太大的改变,其方便友好的图形界面吸引了众多的用户。
欢迎光临 仓酷云 (http://ckuyun.com/)
Powered by Discuz! X3.2