白英杰 趙正旭 吳曉進 張海龍
摘要:為了推動國產操作系統(tǒng)在國內的使用與普及,結合中標麒麟系統(tǒng)強大的Linux內核,對國產操作系統(tǒng)優(yōu)勢進行了分析,對發(fā)展現(xiàn)狀進行了總結。針對現(xiàn)有遠程維護管理的方法,經過對實驗數(shù)據(jù)的整理,將管理方式進行分類,在中標麒麟系統(tǒng)上進行部署和測試,驗證了中標麒麟系統(tǒng)遠程管理模式的適用性和實用性,為國產操作系統(tǒng)的使用提供了理論依據(jù)和技術支持。
關鍵詞:國產操作系統(tǒng);中標麒麟;遠程維護
中圖分類號:TP368.5文獻標志碼:A文章編號:1008-1739(2019)05-56-4
0引言
操作系統(tǒng)是一種可以在裸機上運行,對計算機的硬件資源和系統(tǒng)上的軟件資源直接進行管理操作的計算機應用,是數(shù)據(jù)信息安全的保障。目前,國內公開發(fā)布的操作系統(tǒng)都是以Linux內核為基礎改進開發(fā)的。以開源Linux內核為基礎,國內桌面操作系統(tǒng)已經公開發(fā)布了諸多版本,主要有中科紅旗、銀河麒麟和深度操作系統(tǒng)等。其中,中標Linux和銀河麒麟在上海于2010年年底宣布合并,更名為中標麒麟,專注于安全性和兼容性。目前,中標麒麟研發(fā)的系列操作系統(tǒng)是國內計算機操作系統(tǒng)最優(yōu)秀的代表之一。
1國產操作系統(tǒng)
中標麒麟操作系統(tǒng)是一種采用Linux內核的操作系統(tǒng),安全性、穩(wěn)定性、可靠性和免費性是Linux的優(yōu)點。作為一個開源操作系統(tǒng),Linux的安全補丁可以及時出現(xiàn)。與此同時,優(yōu)秀的設備管理和多任務管理能力使得系統(tǒng)很少崩潰。同Windows比較,中標麒麟具有以下優(yōu)點:
①采用的架構不同,在Windows上運行的病毒在系統(tǒng)平臺上并不適用,因此系統(tǒng)受到病毒攻擊的幾率極低。
②由于Linux系統(tǒng)開源,當發(fā)現(xiàn)系統(tǒng)漏洞時會及時得到更新,安全風險得以降低。
③中標麒麟可以分享Linux的生態(tài)系統(tǒng)。有數(shù)以百萬計的應用程序可以替代Windows應用程序。一些應用程序是開源的,用戶可以根據(jù)自己的意愿修改這些應用程序。
④系統(tǒng)具有強大的設備管理和多任務管理能力,出現(xiàn)崩潰或宕機的情況極少。
⑤系統(tǒng)對硬件需求很低,在較低的設備上可以獲得較好的性能體驗。
從這些優(yōu)點考慮,在以日常辦公為主的桌面系統(tǒng)領域,如果使用以Linux內核為基礎的國產系統(tǒng),將會降低現(xiàn)有Windows的一些缺點和不足。如在不安裝殺毒軟件占用系統(tǒng)資源的情況下系統(tǒng)受到病毒攻擊的幾率會極大地降低。這些優(yōu)勢使得中標麒麟成為國產操作系統(tǒng)的首選[1]。
2遠程維護模式
近年來,由于Linux操作系統(tǒng)安全性高、穩(wěn)定性強和成本低等特點,在全球范圍內備受歡迎。Linux不但普遍應用于嵌入式領域,而且也占領部分桌面應用市場。與此同時,Linux發(fā)行版本也呈上升趨勢,應用程序包的數(shù)量也越來越大,如何有效管理Linux系統(tǒng)尤為重要,遠程模式分為以下3種。
2.1終端方式的字符界面遠程管理
(1)Telnet管理方式
Telnet是TCP/IP協(xié)議族中一個應用范圍廣泛、簡單的遠程終端協(xié)議,是網(wǎng)絡設備最先支持的一種遠程管理協(xié)議,也是因特網(wǎng)遠程登陸實現(xiàn)網(wǎng)絡互連管理的主要方式之一。各類操作系統(tǒng)一般都默認安裝了Telnet協(xié)議,無需另外安裝,使用起來十分方便,Telnet能夠在任意終端、主機和各類系統(tǒng)之間工作。由于Telnet采用明文傳輸用戶名和口令,所以存在一定的安全風險,但是目前仍有眾多的網(wǎng)絡設備支持,例如華為、思科等公司的交換機、路由器等都支持Telnet。當使用Telnet登陸遠程計算機進行維護管理時,實質上啟動了2個應用:一個是本地計算機上的Telnet終端;另一個是在遠程計算機上的Telnet服務器。本地和遠程計算機之間是使用傳輸層中的TCP協(xié)議建立TCP連接并進行可靠的數(shù)據(jù)信息的傳輸,其中Telnet具體工作原理如圖1所示[2-3]。
(2)SSH管理方式
SSH(Secure Shell)是一種工作在應用層和傳輸層上的安全協(xié)議,可以對傳輸?shù)男畔⑦M行加密,有效地防止遠程過程中數(shù)據(jù)信息泄露。其目的是在公共網(wǎng)絡上提供一種安全的遠程服務和其他安全的網(wǎng)絡服務。同時,SSH對傳輸?shù)臄?shù)據(jù)信息進行壓縮處理,可以提高其傳輸?shù)乃俣取?/p>
SSH主要由傳輸協(xié)議、用戶登錄協(xié)議和連接協(xié)議3部分構成。①傳輸協(xié)議:提供服務器認證,確保數(shù)據(jù)安全和數(shù)據(jù)完整;②用戶登錄協(xié)議:提供終端身份驗證;③連接協(xié)議:加密信息隧道,為更高層提供協(xié)議。
各類高層應用協(xié)議能夠相對獨立于SSH協(xié)議之外,并依靠SSH協(xié)議框架,通過連接協(xié)議使用SSH的安全機制。同時,SSH協(xié)議也為多數(shù)高層的網(wǎng)絡安全應用協(xié)議提供拓展支持[4],它們之間的層次關系如圖2所示。
2.2 C/S方式遠程桌面管理
VNC是C/S模式的一個典型代表,使用遠程服務圖形接口的RFB(Remote Frame Buffer)協(xié)議來實現(xiàn)圖形桌面共享。VNC由VNC服務器和VNC終端組成VNC服務器和VNC終端支持大多數(shù)操作系統(tǒng),可以實現(xiàn)不同系統(tǒng)之間的控制[5-6]。VNC的工作原理如圖3所示。
2.3 B/S方式的遠程管理
Webmin是一個典型的B/S模式且功能強大的Unix/Linux系統(tǒng)應用管理工具。管理人員可以通過網(wǎng)絡在本地實現(xiàn)對遠程計算機的管理,而Webmin通過網(wǎng)絡HTTPS的協(xié)議進行傳輸,確保信息數(shù)據(jù)的安全,同時Webmin又提供圖形化的界面管理方式,對遠程計算機的管理簡單明了,給管理人員帶來極大的方便,極大地降低管理難度。Webmin擁有數(shù)據(jù)的“Web服務器”,不需要占用太多的資源,也不需要另外搭建Web服務器。Webmin也提供了不同管理權限的管理界面,管理人員對權限的分發(fā)更為便捷。同時Webmin也支持用戶根據(jù)自己的需求設計模塊進行模塊擴展[7-8]。
3遠程維護策略的實現(xiàn)
近年來,Linux系統(tǒng)在全球備受關注,不僅在嵌入式、服務器等領域應用廣泛,而且也占領了部分桌面市場。中標麒麟在桌面操作系統(tǒng)和服務器市場上有所發(fā)展,對于中標麒麟的管理也尤為重要,主要從以下3種模式實現(xiàn)對中標麒麟遠程管理的部署。
3.1終端方式的字符界面遠程管理
(1)Telnet方式
Telnet管理方式采用明文方式,雖然存在著一些不安全因素,但是這種方式仍在多數(shù)設備終端和系統(tǒng)上使用,中標麒麟操作系統(tǒng)上也可以部署實現(xiàn)這種方式進行管理。其部署過程如下。
Telnet服務部署需要安裝2個軟件包:Telnet-server和Telnet,而Telnet-server依賴于xinetd,所以在安裝之前也要安裝xinetd。
通過wget命令下載rpm軟件安裝包,其格式為:# wget +網(wǎng)址鏈接,其中xinetd和Telnet-server的網(wǎng)址分別為:
http://vault.centos.org/5.11/os/x86_64/CentOS/xinetd-2.3.14-20.el5_10.x86_64.rpm;
ftp://ftp.pbone.net/mirror/archive.download.redhat.com/pub/ redhat/linux/9/en/os/i386/RedHat/RPMS/telnet-server-0.17-25. i386.rpm。
完成后需要用chmod命令修改其權限,命令為:# chmod 777 telnet-server-0.17-25.i386.rpm,其中777為權限的數(shù)字表示,表示具有讀取、寫入和可執(zhí)行的權限。
擁有可執(zhí)行權限后就可以對軟件包進行安裝,采用yum命令進行,格式為:# yum install xinetd-2.3.14-20.el5_10.x86_64. rpm,Telnet-server依賴于xinetd,所以需要先安裝xinetd包。
安裝完成后就需要對Telnet服務進行配置,文件為目錄/ etc/xinetd.d/下的telnet,將文件中disable屬性值修改為no,重啟xinetd服務。將防火墻23端口開放,命令為# /sbin/iptables-I INPUT -p tcp --dport 23 -j ACCEPT,重啟防火墻便可通過Telnet進行登陸管理。
測試命令:telnet IP地址,測試結果如圖4所示,登陸后會提示系統(tǒng)版本號和登陸時間。
設計了一款網(wǎng)絡時間同步在線監(jiān)測設備,并構建了實驗驗證環(huán)境對該設備時間監(jiān)測不確定度及同步監(jiān)測能力進行了實驗。實驗結果表明,該設備直連線監(jiān)測不確定度優(yōu)于 100μs,最大同步可監(jiān)測數(shù)達到20臺??捎行п槍W(wǎng)絡時間同步狀況進行在線監(jiān)測,為故障定位、故障恢復提供監(jiān)測手段及數(shù)據(jù)支撐。
(2)SSH方式
SSH方式相對于Telnet方式來說,在安全方面有所改進,確保了通信過程中數(shù)據(jù)信息安全。SSH協(xié)議是當前較為安全可靠的協(xié)議,也是專門為遠程而設計的安全協(xié)議。中標麒麟默認安裝了SSH服務,但仍需對其進行配置。
用rpm命令查看是否安裝SSH服務,命令為:
# rpm–qa|grep ssh
openssh-clients-6.2p2-3.nk.1.x86_64
openssh-server-6.2p2-3.nk.1.x86_64
openssh-6.2p2-3.nk.1.x86_64
libssh2-1.4.3-4.nk.1.x86_64
如果系統(tǒng)中沒有安裝這些服務則需先進行安裝。在配置文件中添加允許訪問的用戶,文件為/etc/ssh/下的sshd_config,在文件末尾添加訪問用戶的配置信息:AllowUsers test,此句將允許test用戶遠程登陸;將PermitRootLogin yes中的yes屬性改成no,表示禁止通過root用戶登陸系統(tǒng)。
重啟sshd服務進行測試,測試結果如圖5所示。測試test用戶登錄和root登錄結果,test用戶成功登陸后會提示登陸時間,root用戶登陸會提示信息:拒絕登錄(Permission denied)。
3.2 C/S方式遠程桌面管理
VNC支持Unix,Linux,Windows,Mac OS等多種操作系統(tǒng),同樣在中標麒麟系統(tǒng)上也適用,需要安裝VNC,VNC-Server。
通過命令#yum research vnc查找軟件源,需要安裝tigervnc.x86_64,tigervnc-server.x86_64兩個應用包。安裝適用#yum install tigervnc.x86_64的方式,此方式可以將軟件包所依賴的關系自動安裝,無需手動安裝。
安裝完成后需要用命令vncpasswd設置VNC登陸密碼,如果沒有進行設置,則將在啟動服務器時會提示密碼初始化,過程如下:
# vncserver
You will require a password to access your desktops.
Password:
Verify:
New ’localhost.localdomain:1(root)’ desktop is localhost. localdomain:1
Creating default startup script /root/.vnc /xstartup_default
Creating default startup script /root/.vnc /xstartup
Starting applications specified in /root /.vnc/xstartup
Log file is /root/.vnc /localhost.localdomain:1.log
vncserver表示啟動VNC服務,啟動前提示設置密碼,設置完成后建立了1號桌面,桌面的序號在登陸時使用。
VNC的監(jiān)聽端口從5900開始,1號桌面的端口為59001,此時需要設置防火墻,允許通過59001端口訪問,命令為:#/sbin/iptables -I INPUT -p tcp --dport 5901 -j ACCEPT,如有多個桌面以此類推。設置好后重啟防火墻服務進行測試。在VNC終端輸入IP地址:1,登陸1號桌面后的結果如圖6所示。
3.3 B/S方式的遠程管理
Webmin是基于網(wǎng)絡的Unix/Linux管理應用工具。通過瀏覽器訪問Webmin的各類管理功能并實現(xiàn)相應的管理動作。到目前為止,絕大多數(shù)的Unix,Linux系統(tǒng)均支持,同樣在中標麒麟上也適用。配置過程如下。
wget命令獲取軟件安裝包,格式為:#wgethttp://prdownloads. sourceforge.net/webadmin/webmin-1.740-1.noarch.rpm;完成后執(zhí)行:# chmod 777 webmin-1.740-1.noarch.rpm修改可執(zhí)行權限;采用yum方式安裝軟件包,# yum install webmin-1.740-1. noarch.rpm;webmin采用的端口號是TCP/10000,需要設置端口# firewall-cmd --zone=public --add-port=10000/tcp permanent,重啟防火墻之后在瀏覽器訪問http://IP:10000,輸入用戶名密碼即可實現(xiàn)遠程管理,測試結果如圖7所示。
4結束語
通過實驗在中標麒麟操作系統(tǒng)上部署實現(xiàn)了3種模式4種方式的遠程管理方式。經過測試,C/S模式的VNC方法提供一種圖形界面的管理方法,但受網(wǎng)絡速度制約,存在鼠標卡頓等同步不及時的現(xiàn)象;B/S模式采用http協(xié)議,占用資源少;依靠網(wǎng)絡實現(xiàn)遠程計算機的管理,提供圖形化的Web界面,給管理人員帶來極大的方便,是初學者的最佳選擇;雖然,B/S模式采用加密安全機制,但是,建立在公開、開放的標準技術之上,仍存在一定的安全隱患。終端方式的字符界面管理方式,具有占用資源少、功能強大、響應及時和效率高等特點,可以更好地使用遠程系統(tǒng)。Telnet采用明文傳輸數(shù)據(jù),且穩(wěn)定性不高;SSH是改善了Telnet方式的明文傳遞數(shù)據(jù)的缺點,是一個安全級別更高、穩(wěn)定性強的遠程管理方式。
參考文獻
[1]陶智.國產操作系統(tǒng)應用軟件部署對策的探討[D].石家莊:石家莊鐵道大學,2017.
[2]閆海英,龔聲蓉,應文豪.Telnet遠程登錄實驗的設計與實踐[J].實驗室研究與探索,2017,36(3):231-234,298.
[3]張國防.基于Telnet協(xié)議的Linux遠程管理[J].網(wǎng)絡安全技術與應用,2014(10):53-54.
[4]胡家芬.基于SSH的Linux遠程管理機制研究[J].福建電腦,2012,28(10):78-79.
[5]陳虹.基于Linux平臺下的VNC遠程控制實現(xiàn)方法[J].萍鄉(xiāng)高等??茖W校學報,2007(3):25-26,35.
[6]鐘少丹.利用LINUX圖形界面工具VNC進行遠程管理[J].電腦知識與技術,2005(26):71-72.
[7]劉文.使用Webmin搭建Linux下的虛擬主機[J].電腦知識與技術,2015,11(16):19-21.
[8]張旭華.用Webmin遠程管理Linux系統(tǒng)服務器[J].計算機與現(xiàn)代化,2006(9):47-49.