國產操作系統(tǒng)遠程維護策略的部署

白英杰 趙正旭 吳曉進 張海龍

摘要：為了推動國產操作系統(tǒng)在國內的使用與普及，結合中標麒麟系統(tǒng)強大的Linux內核，對國產操作系統(tǒng)優(yōu)勢進行了分析，對發(fā)展現(xiàn)狀進行了總結。針對現(xiàn)有遠程維護管理的方法，經過對實驗數(shù)據(jù)的整理，將管理方式進行分類，在中標麒麟系統(tǒng)上進行部署和測試，驗證了中標麒麟系統(tǒng)遠程管理模式的適用性和實用性，為國產操作系統(tǒng)的使用提供了理論依據(jù)和技術支持。

關鍵詞：國產操作系統(tǒng)；中標麒麟；遠程維護

中圖分類號：TP368.5文獻標志碼：A文章編號：1008-1739（2019）05-56-4

0引言

操作系統(tǒng)是一種可以在裸機上運行，對計算機的硬件資源和系統(tǒng)上的軟件資源直接進行管理操作的計算機應用，是數(shù)據(jù)信息安全的保障。目前，國內公開發(fā)布的操作系統(tǒng)都是以Linux內核為基礎改進開發(fā)的。以開源Linux內核為基礎，國內桌面操作系統(tǒng)已經公開發(fā)布了諸多版本，主要有中科紅旗、銀河麒麟和深度操作系統(tǒng)等。其中，中標Linux和銀河麒麟在上海于2010年年底宣布合并，更名為中標麒麟，專注于安全性和兼容性。目前，中標麒麟研發(fā)的系列操作系統(tǒng)是國內計算機操作系統(tǒng)最優(yōu)秀的代表之一。

1國產操作系統(tǒng)

中標麒麟操作系統(tǒng)是一種采用Linux內核的操作系統(tǒng)，安全性、穩(wěn)定性、可靠性和免費性是Linux的優(yōu)點。作為一個開源操作系統(tǒng)，Linux的安全補丁可以及時出現(xiàn)。與此同時，優(yōu)秀的設備管理和多任務管理能力使得系統(tǒng)很少崩潰。同Windows比較，中標麒麟具有以下優(yōu)點：

①采用的架構不同，在Windows上運行的病毒在系統(tǒng)平臺上并不適用，因此系統(tǒng)受到病毒攻擊的幾率極低。

②由于Linux系統(tǒng)開源，當發(fā)現(xiàn)系統(tǒng)漏洞時會及時得到更新，安全風險得以降低。

③中標麒麟可以分享Linux的生態(tài)系統(tǒng)。有數(shù)以百萬計的應用程序可以替代Windows應用程序。一些應用程序是開源的，用戶可以根據(jù)自己的意愿修改這些應用程序。

④系統(tǒng)具有強大的設備管理和多任務管理能力，出現(xiàn)崩潰或宕機的情況極少。

⑤系統(tǒng)對硬件需求很低，在較低的設備上可以獲得較好的性能體驗。

從這些優(yōu)點考慮，在以日常辦公為主的桌面系統(tǒng)領域，如果使用以Linux內核為基礎的國產系統(tǒng)，將會降低現(xiàn)有Windows的一些缺點和不足。如在不安裝殺毒軟件占用系統(tǒng)資源的情況下系統(tǒng)受到病毒攻擊的幾率會極大地降低。這些優(yōu)勢使得中標麒麟成為國產操作系統(tǒng)的首選[1]。

2遠程維護模式

近年來，由于Linux操作系統(tǒng)安全性高、穩(wěn)定性強和成本低等特點，在全球范圍內備受歡迎。Linux不但普遍應用于嵌入式領域，而且也占領部分桌面應用市場。與此同時，Linux發(fā)行版本也呈上升趨勢，應用程序包的數(shù)量也越來越大，如何有效管理Linux系統(tǒng)尤為重要，遠程模式分為以下3種。

2.1終端方式的字符界面遠程管理

（1）Telnet管理方式

Telnet是TCP/IP協(xié)議族中一個應用范圍廣泛、簡單的遠程終端協(xié)議，是網(wǎng)絡設備最先支持的一種遠程管理協(xié)議，也是因特網(wǎng)遠程登陸實現(xiàn)網(wǎng)絡互連管理的主要方式之一。各類操作系統(tǒng)一般都默認安裝了Telnet協(xié)議，無需另外安裝，使用起來十分方便，Telnet能夠在任意終端、主機和各類系統(tǒng)之間工作。由于Telnet采用明文傳輸用戶名和口令，所以存在一定的安全風險，但是目前仍有眾多的網(wǎng)絡設備支持，例如華為、思科等公司的交換機、路由器等都支持Telnet。當使用Telnet登陸遠程計算機進行維護管理時，實質上啟動了2個應用：一個是本地計算機上的Telnet終端；另一個是在遠程計算機上的Telnet服務器。本地和遠程計算機之間是使用傳輸層中的TCP協(xié)議建立TCP連接并進行可靠的數(shù)據(jù)信息的傳輸，其中Telnet具體工作原理如圖1所示[2-3]。

（2）SSH管理方式

SSH（Secure Shell）是一種工作在應用層和傳輸層上的安全協(xié)議，可以對傳輸?shù)男畔⑦M行加密，有效地防止遠程過程中數(shù)據(jù)信息泄露。其目的是在公共網(wǎng)絡上提供一種安全的遠程服務和其他安全的網(wǎng)絡服務。同時，SSH對傳輸?shù)臄?shù)據(jù)信息進行壓縮處理，可以提高其傳輸?shù)乃俣取?/p>

SSH主要由傳輸協(xié)議、用戶登錄協(xié)議和連接協(xié)議3部分構成。①傳輸協(xié)議：提供服務器認證，確保數(shù)據(jù)安全和數(shù)據(jù)完整；②用戶登錄協(xié)議：提供終端身份驗證；③連接協(xié)議：加密信息隧道，為更高層提供協(xié)議。

各類高層應用協(xié)議能夠相對獨立于SSH協(xié)議之外，并依靠SSH協(xié)議框架，通過連接協(xié)議使用SSH的安全機制。同時，SSH協(xié)議也為多數(shù)高層的網(wǎng)絡安全應用協(xié)議提供拓展支持[4]，它們之間的層次關系如圖2所示。

2.2 C/S方式遠程桌面管理

VNC是C/S模式的一個典型代表，使用遠程服務圖形接口的RFB（Remote Frame Buffer）協(xié)議來實現(xiàn)圖形桌面共享。VNC由VNC服務器和VNC終端組成VNC服務器和VNC終端支持大多數(shù)操作系統(tǒng)，可以實現(xiàn)不同系統(tǒng)之間的控制[5-6]。VNC的工作原理如圖3所示。

2.3 B/S方式的遠程管理

Webmin是一個典型的B/S模式且功能強大的Unix/Linux系統(tǒng)應用管理工具。管理人員可以通過網(wǎng)絡在本地實現(xiàn)對遠程計算機的管理，而Webmin通過網(wǎng)絡HTTPS的協(xié)議進行傳輸，確保信息數(shù)據(jù)的安全，同時Webmin又提供圖形化的界面管理方式，對遠程計算機的管理簡單明了，給管理人員帶來極大的方便，極大地降低管理難度。Webmin擁有數(shù)據(jù)的“Web服務器”，不需要占用太多的資源，也不需要另外搭建Web服務器。Webmin也提供了不同管理權限的管理界面，管理人員對權限的分發(fā)更為便捷。同時Webmin也支持用戶根據(jù)自己的需求設計模塊進行模塊擴展[7-8]。

3遠程維護策略的實現(xiàn)

近年來，Linux系統(tǒng)在全球備受關注，不僅在嵌入式、服務器等領域應用廣泛，而且也占領了部分桌面市場。中標麒麟在桌面操作系統(tǒng)和服務器市場上有所發(fā)展，對于中標麒麟的管理也尤為重要，主要從以下3種模式實現(xiàn)對中標麒麟遠程管理的部署。

3.1終端方式的字符界面遠程管理

（1）Telnet方式

Telnet管理方式采用明文方式，雖然存在著一些不安全因素，但是這種方式仍在多數(shù)設備終端和系統(tǒng)上使用，中標麒麟操作系統(tǒng)上也可以部署實現(xiàn)這種方式進行管理。其部署過程如下。

Telnet服務部署需要安裝2個軟件包：Telnet-server和Telnet，而Telnet-server依賴于xinetd，所以在安裝之前也要安裝xinetd。

通過wget命令下載rpm軟件安裝包，其格式為：# wget +網(wǎng)址鏈接，其中xinetd和Telnet-server的網(wǎng)址分別為：

http：//vault.centos.org/5.11/os/x86_64/CentOS/xinetd-2.3.14-20.el5_10.x86_64.rpm；

ftp：//ftp.pbone.net/mirror/archive.download.redhat.com/pub/ redhat/linux/9/en/os/i386/RedHat/RPMS/telnet-server-0.17-25. i386.rpm。

完成后需要用chmod命令修改其權限，命令為：# chmod 777 telnet-server-0.17-25.i386.rpm，其中777為權限的數(shù)字表示，表示具有讀取、寫入和可執(zhí)行的權限。

擁有可執(zhí)行權限后就可以對軟件包進行安裝，采用yum命令進行，格式為：# yum install xinetd-2.3.14-20.el5_10.x86_64. rpm，Telnet-server依賴于xinetd，所以需要先安裝xinetd包。

安裝完成后就需要對Telnet服務進行配置，文件為目錄/ etc/xinetd.d/下的telnet，將文件中disable屬性值修改為no，重啟xinetd服務。將防火墻23端口開放，命令為# /sbin/iptables-I INPUT -p tcp --dport 23 -j ACCEPT，重啟防火墻便可通過Telnet進行登陸管理。

測試命令：telnet IP地址，測試結果如圖4所示，登陸后會提示系統(tǒng)版本號和登陸時間。

設計了一款網(wǎng)絡時間同步在線監(jiān)測設備，并構建了實驗驗證環(huán)境對該設備時間監(jiān)測不確定度及同步監(jiān)測能力進行了實驗。實驗結果表明，該設備直連線監(jiān)測不確定度優(yōu)于 100μs，最大同步可監(jiān)測數(shù)達到20臺?？捎行п槍W(wǎng)絡時間同步狀況進行在線監(jiān)測，為故障定位、故障恢復提供監(jiān)測手段及數(shù)據(jù)支撐。

（2）SSH方式

SSH方式相對于Telnet方式來說，在安全方面有所改進，確保了通信過程中數(shù)據(jù)信息安全。SSH協(xié)議是當前較為安全可靠的協(xié)議，也是專門為遠程而設計的安全協(xié)議。中標麒麟默認安裝了SSH服務，但仍需對其進行配置。

用rpm命令查看是否安裝SSH服務，命令為：

# rpm–qa|grep ssh

openssh-clients-6.2p2-3.nk.1.x86_64

openssh-server-6.2p2-3.nk.1.x86_64

openssh-6.2p2-3.nk.1.x86_64

libssh2-1.4.3-4.nk.1.x86_64

如果系統(tǒng)中沒有安裝這些服務則需先進行安裝。在配置文件中添加允許訪問的用戶，文件為/etc/ssh/下的sshd_config，在文件末尾添加訪問用戶的配置信息：AllowUsers test，此句將允許test用戶遠程登陸；將PermitRootLogin yes中的yes屬性改成no，表示禁止通過root用戶登陸系統(tǒng)。

重啟sshd服務進行測試，測試結果如圖5所示。測試test用戶登錄和root登錄結果，test用戶成功登陸后會提示登陸時間，root用戶登陸會提示信息：拒絕登錄（Permission denied）。

3.2 C/S方式遠程桌面管理

VNC支持Unix，Linux，Windows，Mac OS等多種操作系統(tǒng)，同樣在中標麒麟系統(tǒng)上也適用，需要安裝VNC，VNC-Server。

通過命令#yum research vnc查找軟件源，需要安裝tigervnc.x86_64，tigervnc-server.x86_64兩個應用包。安裝適用#yum install tigervnc.x86_64的方式，此方式可以將軟件包所依賴的關系自動安裝，無需手動安裝。

安裝完成后需要用命令vncpasswd設置VNC登陸密碼，如果沒有進行設置，則將在啟動服務器時會提示密碼初始化，過程如下：

# vncserver

You will require a password to access your desktops.

Password：

Verify：

New ’localhost.localdomain：1（root）’ desktop is localhost. localdomain：1

Creating default startup script /root/.vnc /xstartup_default

Creating default startup script /root/.vnc /xstartup

Starting applications specified in /root /.vnc/xstartup

Log file is /root/.vnc /localhost.localdomain：1.log

vncserver表示啟動VNC服務，啟動前提示設置密碼，設置完成后建立了1號桌面，桌面的序號在登陸時使用。

VNC的監(jiān)聽端口從5900開始，1號桌面的端口為59001，此時需要設置防火墻，允許通過59001端口訪問，命令為：#/sbin/iptables -I INPUT -p tcp --dport 5901 -j ACCEPT，如有多個桌面以此類推。設置好后重啟防火墻服務進行測試。在VNC終端輸入IP地址：1，登陸1號桌面后的結果如圖6所示。

3.3 B/S方式的遠程管理

Webmin是基于網(wǎng)絡的Unix/Linux管理應用工具。通過瀏覽器訪問Webmin的各類管理功能并實現(xiàn)相應的管理動作。到目前為止，絕大多數(shù)的Unix，Linux系統(tǒng)均支持，同樣在中標麒麟上也適用。配置過程如下。

wget命令獲取軟件安裝包，格式為：#wgethttp：//prdownloads. sourceforge.net/webadmin/webmin-1.740-1.noarch.rpm；完成后執(zhí)行：# chmod 777 webmin-1.740-1.noarch.rpm修改可執(zhí)行權限；采用yum方式安裝軟件包，# yum install webmin-1.740-1. noarch.rpm；webmin采用的端口號是TCP/10000，需要設置端口# firewall-cmd --zone=public --add-port=10000/tcp permanent，重啟防火墻之后在瀏覽器訪問http：//IP：10000，輸入用戶名密碼即可實現(xiàn)遠程管理，測試結果如圖7所示。

4結束語

通過實驗在中標麒麟操作系統(tǒng)上部署實現(xiàn)了3種模式4種方式的遠程管理方式。經過測試，C/S模式的VNC方法提供一種圖形界面的管理方法，但受網(wǎng)絡速度制約，存在鼠標卡頓等同步不及時的現(xiàn)象；B/S模式采用http協(xié)議，占用資源少；依靠網(wǎng)絡實現(xiàn)遠程計算機的管理，提供圖形化的Web界面，給管理人員帶來極大的方便，是初學者的最佳選擇；雖然，B/S模式采用加密安全機制，但是，建立在公開、開放的標準技術之上，仍存在一定的安全隱患。終端方式的字符界面管理方式，具有占用資源少、功能強大、響應及時和效率高等特點，可以更好地使用遠程系統(tǒng)。Telnet采用明文傳輸數(shù)據(jù)，且穩(wěn)定性不高；SSH是改善了Telnet方式的明文傳遞數(shù)據(jù)的缺點，是一個安全級別更高、穩(wěn)定性強的遠程管理方式。

參考文獻

[1]陶智.國產操作系統(tǒng)應用軟件部署對策的探討[D].石家莊：石家莊鐵道大學，2017.

[2]閆海英，龔聲蓉，應文豪.Telnet遠程登錄實驗的設計與實踐[J].實驗室研究與探索，2017，36（3）：231-234，298.

[3]張國防.基于Telnet協(xié)議的Linux遠程管理[J].網(wǎng)絡安全技術與應用，2014（10）：53-54.

[4]胡家芬.基于SSH的Linux遠程管理機制研究[J].福建電腦，2012，28（10）：78-79.

[5]陳虹.基于Linux平臺下的VNC遠程控制實現(xiàn)方法[J].萍鄉(xiāng)高等?？茖W校學報，2007（3）：25-26，35.

[6]鐘少丹.利用LINUX圖形界面工具VNC進行遠程管理[J].電腦知識與技術，2005（26）：71-72.

[7]劉文.使用Webmin搭建Linux下的虛擬主機[J].電腦知識與技術，2015，11（16）：19-21.

[8]張旭華.用Webmin遠程管理Linux系統(tǒng)服務器[J].計算機與現(xiàn)代化，2006（9）：47-49.