Bastille在铁路移动数据传输统一平台服务器安全防护中的应用
2014-08-15邓敏丽
邓敏丽
Bastille在铁路移动数据传输统一平台服务器安全防护中的应用
邓敏丽
简单介绍了Bastille相关知识,并介绍Bastille在铁路移动数据传输统一平台服务器安全防护中的应用情况。重点谈了如何使用Bastille做好mtup系统外网通信服务器的安全防护工作,以及如何对其进行配置和生效等。
信息技术;安全防范;通信
随着铁路信息化的发展,移动办公、移动数据传输在铁路各关键业务系统中的应用也越来越广泛。把外部移动数据实时接入到内部生产网,让相关责任单位能实时地监测、查询到各种行车安全信息,及时、有效地避免故障的发生,不但能更快、更好地保障安全生产需要,同时还节约了大量的人力、物力资源。目前,通过移动设备和移动数据统一传输平台(mtup系统),接入到铁路内部生产网的数据有车辆、机务、工务等业务的安全告警信息、车辆行驶信息和轨道检测信息,因此做好架设在铁路外部网上的mtup系统外网通信服务器的安全防范至关重要。不仅要在防火墙上做好mtup系统外网服务器的安全防范,还要在mtup系统外网通信服务器上利用Bastille做好服务器自身的安全访问控制,减少系统遭受危险的可能,增加系统的安全性也是非常必要的。
1 Bastille简介
Bastille是一个安全加固、锁闭程序,可减少Linux、Unix、HP-Unix等操作系统遭受危险的可能,增加了系统的安全性,还可以评估系统当前的安全性,周期性的报告每一项安全设置及其工作情况。它通过编码、加固和锁闭清单来逐个地、系统地提供定制锁闭系统的功能。Bastille是操作环境(OE)介质中推荐安装的软件,mtup系统外网通信服务器是HP_Unix操作系统,可通过Ignite-UX或Update-UX进行安装。Bastille能提供下列功能。
1.能够锁闭系统。Bastille提供友好的用户界面来配置系统设置和守护程序,使系统更加安全;关闭不需要的一些服务,如telnet、ftp;配置Software Assistant和Security Patch Check,使其自动运行;配置基于IPFilter的防火墙。
2.报告安全配置状态功能。生成安全配置状态报告,创建Bastille配置基准,并将系统的当前状态与所保存的基准进行比较(偏差)。
3.与SIM集成功能。通过SIM锁闭系统生成报告,提供SIM服务器锁闭中使用的配置SIM.config,该配置已经进行了预先测试。
2 配置Bastille
配置Bastille或新建符合mtup系统安全要求的配置文件,可实现对mtup系统外网通信服务器的安全加固。
2.1 用root用户登录m tup系统服务器
因为HP_UX Bastille需要更改系统配置和设置,如果本地未运行HP_UX Bastille,则可以选择通过Secure Shell(ssh)或IPSec来传输X11通信以限制网络公开程度,或者使用更完整的桌面共享解决方案来防止本地或远程用户攻击。
2.2 创建配置文件config
创建配置文件config,以交互方式或非交互方式创建。
2.2.1 以交互方式创建配置文件
首次使用Bastille时,必须以交互方式运行Bastille来创建配置文件,除非分发产品带有预生成的配置文件(如DM.config)。具体步骤如下。
1.启动Bastille。Bastille在安装时会更新PATH环境变量,因此,如果在安装HP_UX Bastille后注销重新登录时,只要用以下命令来启动bastille:
#bastille
如果尚未更新PATH,则输入以下命令来启动Bastille:
#/opt/sec_mgmt/bastille/bin/bastille(bastille实际安装目录)
2.启动Bastille后,系统会通过提问的方式来进行安全设置,问题将按功能来划分,要仔细阅读和回答所有的问题,因为这些回答将确定系统的加固程度。摘选部分问题如下。
Should Bastille disable clear-text r-protocols that use IP-based authentication?Bastille是否应该禁用基于IP进行用户认证的明文r-协议?回答yes。这个选项针对rsh、rlogin、rcp和rdist,它们在所有的数据传输中都使用明文。无论如何都不应该使用它们,因为它们早就被ssh和scp替代了。
Would you like to password protect single-user mode?你是否想用密码保护单用户模式?回答yes。如果没有密码,任何人就都能通过重启进入单用户模式来获得root权限。
Should Bastille ensure the telnet service does not run on this system?Bastille是否应该确保telnet服务不在本系统上运行?不仅回答yes,而且一定得是yes,除非有十足的把握确信要运行telnet服务。启用telnet服务相当不安全。选择yes并不会禁用telnet客户端程序,这对排除网络故障是很有用的。
Would you like to disable the gcc compiler?选 no,禁止使用gcc编译器。
Would you like to run the packet filtering script?选yes,利用iptables帮你建立一个小型的防火墙。
Would you like to put limits on system resource usage?是否要限制系统资源的使用?回答yes是相当安全的。内核转储(Core dump)对最终用户并不是特别有用,文件可能变得非常大,因此设置对用户进程的限制通常是一个好主意。可以使用命令算一下总共有多少个用户进程,就会知道Bastille默认150的限制是否够用。
回答问题时,可使用Explanation-Detail菜单在详细解释或简短解释之间切换,但并非所有问题都同时有详细答案和简短答案。可根据用户对问题不同的回答选择不同的应对策略,在其评估模式下生成一份报告,告诉用户有哪些安全设置可用,同时也提示用户哪些设置被加固了。所有问题及回答将会被保存在/etc/opt/sec_mgmt/bastille/目录下的config配置文件中。
2.2.2 以非交互方式创建配置文件
这种方式多用于更改bastille设置或相同的bastille配置引擎复用的情况。将/etc/opt/sec_mgmt/bastille/下的配置文件(如config)复制到安装了相同操作系统和应用程序的多台计算机上,配置引擎采用预定义好的配置文件。可使用由交互式会话在缺省位置创建的文件,也可以使用通过-f选项指定的备用文件。
#bastille-b-f配置文件
2.3 ipf.custom rules配置
在ipf.customrules文件中配置对mtup系统各应用需要开放的tcp、udp端口信息,同时开放mtup系统外网通信服务器cluster双机间的相互访问,而其他未定义的端口则处于关闭状态。ipf.customrules配置文件中配置规则如下:
pass out quick proto icmp all keep state
pass out quick proto tcp all keep state
pass out quick proto udp all keep state
pass in quick proto tcp from外网通信服务器主机心跳地址to any
pass in quick proto udp from外网通信服务器主机心跳地址to any
pass in quick proto udp from any to any port=需开放的udp端口1
pass in quick proto tcp from any to any port=需开放的tcp端口1
使用Bastille不但关闭了系统的某些默认服务功能,如telnet、ftp等,加强了系统的安全性,而且还对mtup外网通信服务器上需开放的端口及其连接类型都做了限制,增加了连接的安全性。
3 Bastille生效和取消Bastille
1.配置好bastille后,bastille不会自动生效,要使bastille设置生效,运行命令:#bastille-b
2.锁闭系统:#bastille-x
3.要将安全配置恢复到运行Bastille之前的状态,取消Bastille,输入:#bastille-r
4 结束语
随着铁路信息化建设的推进,mtup系统接入的应用数据和信息也越来越多,就目前已接入的LAIS、TCDS、晃车等行车安全应用数据的情况看,mtup系统运行安全、稳定。使用Bastille对mtup外网通信服务器系统进行安全加固防护,进一步避免了mtup系统外网通信服务器遭受非法入侵和攻击的可能,提高了系统的安全性,有力地保障了铁路各关键应用移动数据的安全可靠传输。
[1]陈彬.互联网服务器攻防秘笈[M].北京:化学工业出版社,2011.
[2]HP公司.HP-UX系统管理员指南.2009.
Brief explanation of relevant knowledge about Bastille is given and the application of Bastille in the server security protection of railway mobile data transmission platform is introduced.It is focused on how to use Bastille to protectmtup extranet Communications Server and how to configure the Bastille and make itwork effectively.
Information technology;Security;Communication
邓敏丽:中国铁路总公司信息技术中心工程师100844北京
2014-01-02
(责任编辑:诸红)