鄧敏麗

Bastille在鐵路移動(dòng)數(shù)據(jù)傳輸統(tǒng)一平臺(tái)服務(wù)器安全防護(hù)中的應(yīng)用

鄧敏麗

簡(jiǎn)單介紹了Bastille相關(guān)知識(shí)，并介紹Bastille在鐵路移動(dòng)數(shù)據(jù)傳輸統(tǒng)一平臺(tái)服務(wù)器安全防護(hù)中的應(yīng)用情況。重點(diǎn)談了如何使用Bastille做好mtup系統(tǒng)外網(wǎng)通信服務(wù)器的安全防護(hù)工作，以及如何對(duì)其進(jìn)行配置和生效等。

信息技術(shù);安全防范;通信

隨著鐵路信息化的發(fā)展，移動(dòng)辦公、移動(dòng)數(shù)據(jù)傳輸在鐵路各關(guān)鍵業(yè)務(wù)系統(tǒng)中的應(yīng)用也越來(lái)越廣泛。把外部移動(dòng)數(shù)據(jù)實(shí)時(shí)接入到內(nèi)部生產(chǎn)網(wǎng)，讓相關(guān)責(zé)任單位能實(shí)時(shí)地監(jiān)測(cè)、查詢到各種行車安全信息，及時(shí)、有效地避免故障的發(fā)生，不但能更快、更好地保障安全生產(chǎn)需要，同時(shí)還節(jié)約了大量的人力、物力資源。目前，通過(guò)移動(dòng)設(shè)備和移動(dòng)數(shù)據(jù)統(tǒng)一傳輸平臺(tái)(mtup系統(tǒng))，接入到鐵路內(nèi)部生產(chǎn)網(wǎng)的數(shù)據(jù)有車輛、機(jī)務(wù)、工務(wù)等業(yè)務(wù)的安全告警信息、車輛行駛信息和軌道檢測(cè)信息，因此做好架設(shè)在鐵路外部網(wǎng)上的mtup系統(tǒng)外網(wǎng)通信服務(wù)器的安全防范至關(guān)重要。不僅要在防火墻上做好mtup系統(tǒng)外網(wǎng)服務(wù)器的安全防范，還要在mtup系統(tǒng)外網(wǎng)通信服務(wù)器上利用Bastille做好服務(wù)器自身的安全訪問(wèn)控制，減少系統(tǒng)遭受危險(xiǎn)的可能，增加系統(tǒng)的安全性也是非常必要的。

1 Bastille簡(jiǎn)介

Bastille是一個(gè)安全加固、鎖閉程序，可減少Linux、Unix、HP-Unix等操作系統(tǒng)遭受危險(xiǎn)的可能，增加了系統(tǒng)的安全性，還可以評(píng)估系統(tǒng)當(dāng)前的安全性，周期性的報(bào)告每一項(xiàng)安全設(shè)置及其工作情況。它通過(guò)編碼、加固和鎖閉清單來(lái)逐個(gè)地、系統(tǒng)地提供定制鎖閉系統(tǒng)的功能。Bastille是操作環(huán)境(OE)介質(zhì)中推薦安裝的軟件，mtup系統(tǒng)外網(wǎng)通信服務(wù)器是HP_Unix操作系統(tǒng)，可通過(guò)Ignite-UX或Update-UX進(jìn)行安裝。Bastille能提供下列功能。

1.能夠鎖閉系統(tǒng)。Bastille提供友好的用戶界面來(lái)配置系統(tǒng)設(shè)置和守護(hù)程序，使系統(tǒng)更加安全;關(guān)閉不需要的一些服務(wù)，如telnet、ftp;配置Software Assistant和Security Patch Check，使其自動(dòng)運(yùn)行;配置基于IPFilter的防火墻。

2.報(bào)告安全配置狀態(tài)功能。生成安全配置狀態(tài)報(bào)告，創(chuàng)建Bastille配置基準(zhǔn)，并將系統(tǒng)的當(dāng)前狀態(tài)與所保存的基準(zhǔn)進(jìn)行比較(偏差)。

3.與SIM集成功能。通過(guò)SIM鎖閉系統(tǒng)生成報(bào)告，提供SIM服務(wù)器鎖閉中使用的配置SIM.config，該配置已經(jīng)進(jìn)行了預(yù)先測(cè)試。

2 配置Bastille

配置Bastille或新建符合mtup系統(tǒng)安全要求的配置文件，可實(shí)現(xiàn)對(duì)mtup系統(tǒng)外網(wǎng)通信服務(wù)器的安全加固。

2.1 用root用戶登錄m tup系統(tǒng)服務(wù)器

因?yàn)镠P_UX Bastille需要更改系統(tǒng)配置和設(shè)置，如果本地未運(yùn)行HP_UX Bastille，則可以選擇通過(guò)Secure Shell(ssh)或IPSec來(lái)傳輸X11通信以限制網(wǎng)絡(luò)公開(kāi)程度，或者使用更完整的桌面共享解決方案來(lái)防止本地或遠(yuǎn)程用戶攻擊。

2.2 創(chuàng)建配置文件config

創(chuàng)建配置文件config，以交互方式或非交互方式創(chuàng)建。

2.2.1 以交互方式創(chuàng)建配置文件

首次使用Bastille時(shí)，必須以交互方式運(yùn)行Bastille來(lái)創(chuàng)建配置文件，除非分發(fā)產(chǎn)品帶有預(yù)生成的配置文件(如DM.config)。具體步驟如下。

1.啟動(dòng)Bastille。Bastille在安裝時(shí)會(huì)更新PATH環(huán)境變量，因此，如果在安裝HP_UX Bastille后注銷重新登錄時(shí)，只要用以下命令來(lái)啟動(dòng)bastille:

#bastille

如果尚未更新PATH，則輸入以下命令來(lái)啟動(dòng)Bastille:

#/opt/sec_mgmt/bastille/bin/bastille(bastille實(shí)際安裝目錄)

2.啟動(dòng)Bastille后，系統(tǒng)會(huì)通過(guò)提問(wèn)的方式來(lái)進(jìn)行安全設(shè)置，問(wèn)題將按功能來(lái)劃分，要仔細(xì)閱讀和回答所有的問(wèn)題，因?yàn)檫@些回答將確定系統(tǒng)的加固程度。摘選部分問(wèn)題如下。

Should Bastille disable clear-text r-protocols that use IP-based authentication?Bastille是否應(yīng)該禁用基于IP進(jìn)行用戶認(rèn)證的明文r-協(xié)議?回答yes。這個(gè)選項(xiàng)針對(duì)rsh、rlogin、rcp和rdist，它們?cè)谒械臄?shù)據(jù)傳輸中都使用明文。無(wú)論如何都不應(yīng)該使用它們，因?yàn)樗鼈冊(cè)缇捅籹sh和scp替代了。

Would you like to password protect single-user mode?你是否想用密碼保護(hù)單用戶模式?回答yes。如果沒(méi)有密碼，任何人就都能通過(guò)重啟進(jìn)入單用戶模式來(lái)獲得root權(quán)限。

Should Bastille ensure the telnet service does not run on this system?Bastille是否應(yīng)該確保telnet服務(wù)不在本系統(tǒng)上運(yùn)行?不僅回答yes，而且一定得是yes，除非有十足的把握確信要運(yùn)行telnet服務(wù)。啟用telnet服務(wù)相當(dāng)不安全。選擇yes并不會(huì)禁用telnet客戶端程序，這對(duì)排除網(wǎng)絡(luò)故障是很有用的。

Would you like to disable the gcc compiler?選 no，禁止使用gcc編譯器。

Would you like to run the packet filtering script?選yes，利用iptables幫你建立一個(gè)小型的防火墻。

Would you like to put limits on system resource usage?是否要限制系統(tǒng)資源的使用?回答yes是相當(dāng)安全的。內(nèi)核轉(zhuǎn)儲(chǔ)(Core dump)對(duì)最終用戶并不是特別有用，文件可能變得非常大，因此設(shè)置對(duì)用戶進(jìn)程的限制通常是一個(gè)好主意?？梢允褂妹钏阋幌驴偣灿卸嗌賯€(gè)用戶進(jìn)程，就會(huì)知道Bastille默認(rèn)150的限制是否夠用。

回答問(wèn)題時(shí)，可使用Explanation-Detail菜單在詳細(xì)解釋或簡(jiǎn)短解釋之間切換，但并非所有問(wèn)題都同時(shí)有詳細(xì)答案和簡(jiǎn)短答案?？筛鶕?jù)用戶對(duì)問(wèn)題不同的回答選擇不同的應(yīng)對(duì)策略，在其評(píng)估模式下生成一份報(bào)告，告訴用戶有哪些安全設(shè)置可用，同時(shí)也提示用戶哪些設(shè)置被加固了。所有問(wèn)題及回答將會(huì)被保存在/etc/opt/sec_mgmt/bastille/目錄下的config配置文件中。

2.2.2 以非交互方式創(chuàng)建配置文件

這種方式多用于更改bastille設(shè)置或相同的bastille配置引擎復(fù)用的情況。將/etc/opt/sec_mgmt/bastille/下的配置文件(如config)復(fù)制到安裝了相同操作系統(tǒng)和應(yīng)用程序的多臺(tái)計(jì)算機(jī)上，配置引擎采用預(yù)定義好的配置文件。可使用由交互式會(huì)話在缺省位置創(chuàng)建的文件，也可以使用通過(guò)－f選項(xiàng)指定的備用文件。

#bastille-b-f配置文件

2.3 ipf.custom rules配置

在ipf.customrules文件中配置對(duì)mtup系統(tǒng)各應(yīng)用需要開(kāi)放的tcp、udp端口信息，同時(shí)開(kāi)放mtup系統(tǒng)外網(wǎng)通信服務(wù)器cluster雙機(jī)間的相互訪問(wèn)，而其他未定義的端口則處于關(guān)閉狀態(tài)。ipf.customrules配置文件中配置規(guī)則如下:

pass out quick proto icmp all keep state

pass out quick proto tcp all keep state

pass out quick proto udp all keep state

pass in quick proto tcp from外網(wǎng)通信服務(wù)器主機(jī)心跳地址to any

pass in quick proto udp from外網(wǎng)通信服務(wù)器主機(jī)心跳地址to any

pass in quick proto udp from any to any port=需開(kāi)放的udp端口1

pass in quick proto tcp from any to any port=需開(kāi)放的tcp端口1

使用Bastille不但關(guān)閉了系統(tǒng)的某些默認(rèn)服務(wù)功能，如telnet、ftp等，加強(qiáng)了系統(tǒng)的安全性，而且還對(duì)mtup外網(wǎng)通信服務(wù)器上需開(kāi)放的端口及其連接類型都做了限制，增加了連接的安全性。

3 Bastille生效和取消Bastille

1.配置好bastille后，bastille不會(huì)自動(dòng)生效，要使bastille設(shè)置生效，運(yùn)行命令:#bastille-b

2.鎖閉系統(tǒng):#bastille-x

3.要將安全配置恢復(fù)到運(yùn)行Bastille之前的狀態(tài)，取消Bastille，輸入:#bastille-r

4 結(jié)束語(yǔ)

隨著鐵路信息化建設(shè)的推進(jìn)，mtup系統(tǒng)接入的應(yīng)用數(shù)據(jù)和信息也越來(lái)越多，就目前已接入的LAIS、TCDS、晃車等行車安全應(yīng)用數(shù)據(jù)的情況看，mtup系統(tǒng)運(yùn)行安全、穩(wěn)定。使用Bastille對(duì)mtup外網(wǎng)通信服務(wù)器系統(tǒng)進(jìn)行安全加固防護(hù)，進(jìn)一步避免了mtup系統(tǒng)外網(wǎng)通信服務(wù)器遭受非法入侵和攻擊的可能，提高了系統(tǒng)的安全性，有力地保障了鐵路各關(guān)鍵應(yīng)用移動(dòng)數(shù)據(jù)的安全可靠傳輸。

［1］陳彬．互聯(lián)網(wǎng)服務(wù)器攻防秘笈［M］．北京:化學(xué)工業(yè)出版社，2011．

［2］HP公司．HP-UX系統(tǒng)管理員指南．2009．

Brief explanation of relevant knowledge about Bastille is given and the application of Bastille in the server security protection of railway mobile data transmission platform is introduced．It is focused on how to use Bastille to protectmtup extranet Communications Server and how to configure the Bastille and make itwork effectively．

Information technology;Security;Communication

鄧敏麗:中國(guó)鐵路總公司信息技術(shù)中心工程師100844北京

2014-01-02

(責(zé)任編輯:諸紅)