让关闭的Linux操作系统实现防火墙
作者:佚名 来源:it167 发布时间:2009-02-10 18:11:00
一次在网上闲逛,突然看到论坛有一条消息说有一种方法,可以让已经关闭的Linux机器继续运行ipchains,并且让这台机器继续实现防火墙的功能。当时我的第一反映是不屑一顾,难道一个防火墙还可以在关机的状态下工作?依照论坛中所指的链接,我找到了一个帖子,上面说在2.0.x内核中,使用Shutdown ?h(关机)命令可以使防火墙仍处于激活状态,而此时没有挂载驱动器,也没有进程在运行。也就是说防火墙将在Level 0下运行,但仍然可以进行包过滤。不过,贴子说该功能在2.2.x系统的内核中已经不具备了。
看到这儿,我有些坐不住了,我决定在内核为2.2.x的机器上也实现类似的功能,并且我希望不在内核中增加任何补丁。事实证明,我做到了。
安全的防火墙
我认为安全意味着这样一种可能性,也就是假设防火墙已经被完全关闭,并且已经清除了所有进程空间和文件系统,这样就不会有任何黑客可以对该系统进行访问。因为该机器上已经完全没有了进程空间,也没有挂载驱动器。因此,黑客就无法在系统外使代码运行在内核空间中。因为这需要写解释代码来产生所需要的结果,而这是一项非常艰苦的工作。
不过需要提请注意的是,该防火墙并不能避免“拒绝服务式”的攻击。事实上,对于“拒绝服务式”攻击以及其它的专门耗尽资源的攻击,该防火墙并不比任何其它的防火墙有效。当然,现实中,一般来说系统并不容易受到这种攻击。
因为这种方法可以确保没有一个用户可以控制该机器,因此可以使安全性大大的提高。这正好应了IT业安全领域常说的一句话,要想让一台机器绝对安全,就应该把它关机,然后将其锁在一间屋子里。
开始实施
我用于测试的是一台基于x86的Red Hat 6.2机器,它安装有两个网卡。整个过程无需特殊的系统或者对内核进行增改。开始,我尝试着在控制运行的脚本中搜索,希望能找到一点相关的线索。最后,我把焦点定格在rc0(该脚本在机器关闭时运行)脚本上。事实证明,这正是我要找的地方。于是我开始从中删除一些脚本,并且进行了一系列测试。
经过一段相对较短的时间,我得出结论,对于Red Hat Linux 6.2,删除以下脚本就可以实现上述的功能:
/etc/rc.d/rc0.d/S00killall
/etc/rc.d/rc0.d/K90network
/etc/rc.d/rc0.d/K92ipchains
删除这三个脚本以后,我们就可以使网络仍然可以工作,并且使ipchains仍然运行。切记,一定要把killall脚本删除,因为它的任务是寻找/etc/rc.d/rc0.d/中所有的目录,并且运行所有以K为开头的脚本。也就是说该脚本会运行K90网络和K92ipchains脚本,而这两个脚本会删除网络和ipchains。
一些解释
实际上,我们是把Linux设置成了一个内核子集。当机器暂停时,甚至是机器运行了Shutdown以后,这一部分内核仍驻留在内存中。这种方法可以避免在关机的过程中,机器会中止所有的进程,关闭所有网卡以及卸载所有的文件系统。此外,这种方法使得机器在关闭以后,不能再执行任何内部的任务。然而,内核仍然在运行,内存管理器也还在运行。
由于内核仍然在运行,所以在关机以后,所有我们运行的,基于内核的任务都可以被运行。当然,由于大部分的任务都需要进行一些I/O操作(正如本例一样)。因此,我们必须让机器关闭以后,仍然使这些端口存在。这是通过K90network来实现。它使得网卡在关机以后也不会停止工作。
此外,任何需要使用到的基于内核的服务都必须要处于运行状态(比如ipchains)。在缺省情况下,当系统关闭时,会把所有的ipchains规则都中止。如果这样的话,在本例中,防火墙将无法工作,所以必须要把清除ipchains规则的脚本删除。在本例中即要删除K92ipchains脚本。
局限性
在关闭系统以后,只让部分程序运行,这显然会有一些局限性。在本例中,最明显的局限性就是如果客户端的IP地址是通过后台程序(比如PPP、DHCP)等获得的,那么就将无法实现该功能。这就限制了那些使用动态连接用户的使用。此外,由于在关系系统过程中,所有的用户代理空间(比如Socks5)都将被关闭,因此在本例的设置中,只能实现包过虑和NAT功能。
此外要考虑的一点是,由于所有的驱动器都被卸载了,所有的交换空间都从机器上被删除,所以如果机器的内存足够大的话,那么在处理的信息量很大时也不会有问题。但是如果使用的是一台性能比较差的老机器,那么在传输的信息量过大时就会出现一些问题。
总结
作为一个Linux爱好者,我觉得这一小发现很有意思。此外,在我们完成特定的安全任务时,这也给了我们一种特定的解决模式。目前,我最想知道的,是否其它的自由Unix(比如OpenBSD)也可以做成功类似的实验。此外,虽然我是在家中做的实验,但是如果将其用于中小型公司的话,我想可以为公司提供安全极高的数据包过滤功能。此外,也可以为一些大的商业任务提供一个非常安全的、高带宽的防火墙或者路由器。
0
投稿猜你喜欢
- 很多企业都架设了多个Web站点来满足员工的工作需要,为了节省费用,这些网站通常采用虚拟主机技术,即在同一个服务器上架设多个网站,员工使用二级
- 国外著名英文搜索引擎大全1、Google http://www.google.com2、Yahoo http://www.yah
- 你的计算机上是否存在有至关重要的数据,并且不希望它们落入恶人之手呢?当然,它们完全有这种可能 。而且,近些年来,服务器遭受的风险也比以前更大
- 老谢作为软文写作中的先行者,相信在我之后还有更多的站长投身到软文写作的浪潮中来,站长的路是坎坷的,但前途是光明的,相信会飞得更高,更远!1、
一,删除所有无价值的插件以下为引用的内容:插件是致使WordPress博客访问速度变慢的主要杀手之一,当你的博客访问速度逐渐变慢的时候,问问- DoS (Denial of Service)攻击其中文含义是拒绝服务攻击,这种攻击行动使网站服务器充斥大量要求回复的 信息,消耗网络带宽或
- 众所周知,在七八年前炒域名是一种赚钱的手段,在三四年前炒域名是一种时尚的潮流,然而现在炒域名似乎没多大意义,显得有些老土了,最重要的是好域名
- B2B电子商务网站优化已经成为B2B网站网络营销策略中最基本的内容,一个整体优化状况不好的B2B电子商务平台,不仅用户发布的供求信息难为潜在
- 本文针对使用杰奇程序做书站的新人,高手可以略过了。很多朋友都说杰奇自带的论坛不好看,功能设置也很少,想用其它类型的论坛比如DISCUZ这种类
- 本文是谷歌(Google)网络分析大师Avinash Kaushik在“测量的威力”系列讲座中的第一
- “朝阳反盗版的时候我正在住院,要不然我也会去支持他!”在版权问题上,赵本山绝对力挺。2月7日,《乡村爱情故事》在搜狐高清网络的独播首映礼上,
- GoDaddy Backorder域名抢注据说机率还是比较大的,我没搞过抢注,一个很好的米农朋友给我介绍了不少经验,呵呵,看他们的
- ModSecurity 是一个强大的包过滤工具,将检查每一个进入web服务器的包。它将根据内部规则,比较每一个包,并且确定是否需要禁止这个包
- lighttpd(发音为lighty)是一套开放源代码的网页服务器,以BSD许可证发布。相较于其他的网页服务器,lighttpd仅需少量的存
- 一、Polysh简介Polysh 是一个交互式命令,可以在一台服务器上批量的对一批服务器进行处理,运行交互式命令。Polysh可以同时登录多
- 从个人角度来解析下网络广告中产生的广告主,网站主,广告联盟。联盟包括三要素: 广告主、网站主和广告联盟平台。广告主按照网络广告的实际效果(如
- 12月21日消息,英特尔(博客)今日宣布推出新一代凌动处理器。据悉,该款处理器功能集成显卡内直接嵌入到CPU里,从而改进操作,让上网本和凌动
- 随着Office用户的不断增多,微软对下一代办公软件Office 2010进行了诸多创新,除了一些功能改进外,微软为消费者购买和在现有及新机
- 酷我音乐盒作为国内领先的网络音乐播放器,除了提供给用户完美的音乐视听享受外,在歌词方面也是精益求精,力求带给用户独一无二的全新歌词体验。经过
- 北京时间10月24日消息,据国外媒体报道,上网本销售强劲及微软Office销售疲软累及其2010财年第一财季业绩。至少有一位分析师预计,即使
