首页 > 安全 > 关键词  > linux最新资讯  > 正文

让关闭的Linux操作系统实现防火墙

2009-02-09 17:09 · 稿源:it167

一次在网上闲逛,突然看到论坛有一条消息说有一种方法,可以让已经关闭的Linux机器继续运行ipchains,并且让这台机器继续实现防火墙的功能。当时我的第一反映是不屑一顾,难道一个防火墙还可以在关机的状态下工作?依照论坛中所指的链接,我找到了一个帖子,上面说在2.0.x内核中,使用Shutdown ?h(关机)命令可以使防火墙仍处于激活状态,而此时没有挂载驱动器,也没有进程在运行。也就是说防火墙将在Level 0下运行,但仍然可以进行包过滤。不过,贴子说该功能在2.2.x系统的内核中已经不具备了。

看到这儿,我有些坐不住了,我决定在内核为2.2.x的机器上也实现类似的功能,并且我希望不在内核中增加任何补丁。事实证明,我做到了。

安全的防火墙

我认为安全意味着这样一种可能性,也就是假设防火墙已经被完全关闭,并且已经清除了所有进程空间和文件系统,这样就不会有任何黑客可以对该系统进行访问。因为该机器上已经完全没有了进程空间,也没有挂载驱动器。因此,黑客就无法在系统外使代码运行在内核空间中。因为这需要写解释代码来产生所需要的结果,而这是一项非常艰苦的工作。

不过需要提请注意的是,该防火墙并不能避免“拒绝服务式”的攻击。事实上,对于“拒绝服务式”攻击以及其它的专门耗尽资源的攻击,该防火墙并不比任何其它的防火墙有效。当然,现实中,一般来说系统并不容易受到这种攻击。

因为这种方法可以确保没有一个用户可以控制该机器,因此可以使安全性大大的提高。这正好应了IT业安全领域常说的一句话,要想让一台机器绝对安全,就应该把它关机,然后将其锁在一间屋子里。

开始实施

我用于测试的是一台基于x86的Red Hat 6.2机器,它安装有两个网卡。整个过程无需特殊的系统或者对内核进行增改。开始,我尝试着在控制运行的脚本中搜索,希望能找到一点相关的线索。最后,我把焦点定格在rc0(该脚本在机器关闭时运行)脚本上。事实证明,这正是我要找的地方。于是我开始从中删除一些脚本,并且进行了一系列测试。

经过一段相对较短的时间,我得出结论,对于Red Hat Linux 6.2,删除以下脚本就可以实现上述的功能:

/etc/rc.d/rc0.d/S00killall

/etc/rc.d/rc0.d/K90network

/etc/rc.d/rc0.d/K92ipchains

删除这三个脚本以后,我们就可以使网络仍然可以工作,并且使ipchains仍然运行。切记,一定要把killall脚本删除,因为它的任务是寻找/etc/rc.d/rc0.d/中所有的目录,并且运行所有以K为开头的脚本。也就是说该脚本会运行K90网络和K92ipchains脚本,而这两个脚本会删除网络和ipchains。

一些解释

实际上,我们是把Linux设置成了一个内核子集。当机器暂停时,甚至是机器运行了Shutdown以后,这一部分内核仍驻留在内存中。这种方法可以避免在关机的过程中,机器会中止所有的进程,关闭所有网卡以及卸载所有的文件系统。此外,这种方法使得机器在关闭以后,不能再执行任何内部的任务。然而,内核仍然在运行,内存管理器也还在运行。

由于内核仍然在运行,所以在关机以后,所有我们运行的,基于内核的任务都可以被运行。当然,由于大部分的任务都需要进行一些I/O操作(正如本例一样)。因此,我们必须让机器关闭以后,仍然使这些端口存在。这是通过K90network来实现。它使得网卡在关机以后也不会停止工作。

此外,任何需要使用到的基于内核的服务都必须要处于运行状态(比如ipchains)。在缺省情况下,当系统关闭时,会把所有的ipchains规则都中止。如果这样的话,在本例中,防火墙将无法工作,所以必须要把清除ipchains规则的脚本删除。在本例中即要删除K92ipchains脚本。

局限性

在关闭系统以后,只让部分程序运行,这显然会有一些局限性。在本例中,最明显的局限性就是如果客户端的IP地址是通过后台程序(比如PPP、DHCP)等获得的,那么就将无法实现该功能。这就限制了那些使用动态连接用户的使用。此外,由于在关系系统过程中,所有的用户代理空间(比如Socks5)都将被关闭,因此在本例的设置中,只能实现包过虑和NAT功能。

此外要考虑的一点是,由于所有的驱动器都被卸载了,所有的交换空间都从机器上被删除,所以如果机器的内存足够大的话,那么在处理的信息量很大时也不会有问题。但是如果使用的是一台性能比较差的老机器,那么在传输的信息量过大时就会出现一些问题。

总结

作为一个Linux爱好者,我觉得这一小发现很有意思。此外,在我们完成特定的安全任务时,这也给了我们一种特定的解决模式。目前,我最想知道的,是否其它的自由Unix(比如OpenBSD)也可以做成功类似的实验。此外,虽然我是在家中做的实验,但是如果将其用于中小型公司的话,我想可以为公司提供安全极高的数据包过滤功能。此外,也可以为一些大的商业任务提供一个非常安全的、高带宽的防火墙或者路由器。

举报

  • 相关推荐
  • 首超Win 10!Win 11成为第一大操作系统

    据媒体报道,StatCounter最新的统计数据显示,Windows 11在PC操作系统市场迎来重要里程碑:其市场份额已达51.77%,首次超越Windows 10(45.02%),成为全球使用率最高的Windows版本。 这一超越来之不易。Windows 11自2021年10月发布以来,初期因稳定性问题和兼容性质疑,遭遇了用户的谨慎观望,甚至出现预装新机降级”回Windows 10的现象。这导致其普及速度相对缓慢:2023年底,其份额仅�

  • 国内仅4家!山石网科入选Gartner®首次发布的云防火墙市场指南

    Gartner首次发布《云防火墙市场指南》,山石网科成为国内仅有的4家入选厂商之一。报告显示,云防火墙市场规模预计从2021年22.08亿美元以24.67%年复合增长率增长至2028年103.34亿美元。企业需具备深度云原生集成、细粒度访问控制等能力,部署模式需覆盖边界检测、分布式防护及混合架构。山石网科构建"全栈云原生+智能自适应"防护体系,支持主流公有云平台,实现混合架构下的安全防护。其方案具备TLS解密、弹性扩展等核心功能,通过统一策略管理提升安全效能。未来将持续加大云原生安全研发投入,助力企业数字化转型。

  • 与重庆结下“深厚情谊” 数禾科技“数盾计划”全力构建山城防范非法金融活动“防火墙”

    重庆市启动"2025年防范和打击非法金融活动宣传月",主题为"守住钱袋子 护好幸福家"。数耘科技积极参与,设立专门展台向市民讲解非法金融活动的危害性,并通过漫画海报和"三不"原则提醒公众防范诈 骗。去年12月,数耘科技推出"数盾计划",联合政府部门开展金融安全教育,已累计打击70起金融黑灰产案件,保护约8000名用户免受侵害。未来将持

  • 国内独家AI+操作系统TencentOS Server亮相2025中国国际金融展

    腾讯云TencentOS+Server历经15年技术积累,打造了国内独家AI+操作系统,已在农业银行、招商银行等金融机构核心系统落地应用。该系统具备性能提升、安全稳定等关键能力,支持国产CPU深度优化,实测性能提升9%-25%。其推出的TACO-LLM大模型推理加速器显著降低延迟,在金融信创生态实验室评测中获得权威认证。作为OpenCloudOS社区核心贡献者,TencentOS+Server已适配1697款硬件,覆盖四大架构,并孵化云原生OS"玄湾"等创新项目,成为国产操作系统规模化应用的标杆。

  • 全场景智能操作系统再进化,鸿蒙6点亮2025华为开发者大会

    华为鸿蒙系统迎来重大升级,HarmonyOS 6开发者Beta版正式启动报名。该系统在互联、智能、安全、流畅等核心体验全面优化,已覆盖超10亿设备,Top5000应用适配率达100%。鸿蒙生态建设取得突破性进展:开源代码超1.3亿行,800万开发者加入,30000+应用及元服务加速开发;创新推出"碰一碰"跨设备交互、AI主动防诈等特色功能。通过星盾安全架构保障用户隐私,累计拦截86亿次不合理权限请求。此次升级标志着国产操作系统在万物互联时代的技术突破,正推动全场景智能生态发展。

  • 增量计算掀架构革命:云器定义新标准,Flink高成本遇挑战

    云器科技提出"通用增量计算"技术,解决大数据处理痛点。相比传统流计算框架Flink,该技术采用"按需增量"模式,仅计算数据变化部分,在保证分钟级时效的同时大幅降低资源消耗。云器还制定了行业首个增量计算标准SPOT,推动技术生态发展。该技术已在小红书等企业应用,实现流批一体化开发,支持标准SQL语法,开发效率提升显著。增量计算代表数据处理第四范式革命,为中小企业数字化转型提供新可能。

  • 2025 MWC 上海,IndoorLink无线讲解器在现场!

    6月18日,亚洲科技盛会MWC上海开幕。中国智能导览品牌IndoorLink携旗舰无线讲解器亮相,凭借500米超距抗干扰传输、智能多团队协作系统及全场景适配能力成为展会焦点。其搭载RangeBoost技术实现500米无障碍稳定传输,信号穿透力达普通设备2.6倍。创新智能信道管理系统支持999+无限频道和300+设备同步运行,毫秒级跳频规避干扰,确保多语种分组导览"零串频"。产品通过国际认证,已服务全球30国,在巴塞罗那MWC经5000人次极限考验。同时推出主副双讲+同声传译系统,支持12种语言实时翻译,助力跨国企业打破文化壁垒。安全方面通过本安防爆认证,成为业内首款可进入石化车间的讲解设备。这款承载30多项专利的中国声学方案,正重塑知识传播边界。

  • Neuralink实现渐冻患者语言功能重建,微美全息(WIMI.US)完善AI+脑机接口生态圈

    埃隆·马斯克旗下Neuralink公司利用脑机接口技术,帮助一名渐冻症患者通过植入设备重新"说话"。该技术结合xAI的人工智能,将患者脑信号转化为语音。目前全球已有3位患者接受植入,其中两位恢复部分生活能力。脑机接口技术分为侵入式、非侵入式和半侵入式三种,在医疗、教育、游戏等领域应用前景广阔。我国"十四五"规划已将其列为重点科技项目。微美全息等企业正推动"脑机接口+"生态建设,整合AI、量子计算等技术拓展应用场景。该技术虽处临床试验阶段,但已展现帮助失语、瘫痪患者康复的潜力。未来随着AI与神经科学结合,人机协同将带来更多可能性。

  • 胖东来“沉冤得雪”!网红“柴怼怼”账号已被依法关闭

    今日上午,据网信中国”推文:近期,国家网信办扎实组织开展清朗优化营商网络环境整治涉企网络黑嘴”专项行动,部署地方网信办积极受理处置涉企网络侵权不法行为,督促重点网站平台强化涉企信息内容管理,从严从快处置一批涉企违法违规账号。

  • 希腊法院对已关闭的BT下载站判下史无前例的监禁刑罚

    哪怕网站早已关闭、行为已成“旧账”,当局也愿意穷追到底……