首页 > 安全 > 关键词 > linux最新资讯 > 正文

让关闭的Linux操作系统实现防火墙

2009-02-09 17:07 · 稿源:it167

一次在网上闲逛,突然看到论坛有一条消息说有一种方法,可以让已经关闭的Linux机器继续运行ipchains,并且让这台机器继续实现防火墙的功能。当时我的第一反映是不屑一顾,难道一个防火墙还可以在关机的状态下工作?依照论坛中所指的链接,我找到了一个帖子,上面说在2.0.x内核中,使用Shutdown ?h(关机)命令可以使防火墙仍处于激活状态,而此时没有挂载驱动器,也没有进程在运行。也就是说防火墙将在Level 0下运行,但仍然可以进行包过滤。不过,贴子说该功能在2.2.x系统的内核中已经不具备了。

看到这儿,我有些坐不住了,我决定在内核为2.2.x的机器上也实现类似的功能,并且我希望不在内核中增加任何补丁。事实证明,我做到了。

安全的防火墙

我认为安全意味着这样一种可能性,也就是假设防火墙已经被完全关闭,并且已经清除了所有进程空间和文件系统,这样就不会有任何黑客可以对该系统进行访问。因为该机器上已经完全没有了进程空间,也没有挂载驱动器。因此,黑客就无法在系统外使代码运行在内核空间中。因为这需要写解释代码来产生所需要的结果,而这是一项非常艰苦的工作。

不过需要提请注意的是,该防火墙并不能避免“拒绝服务式”的攻击。事实上,对于“拒绝服务式”攻击以及其它的专门耗尽资源的攻击,该防火墙并不比任何其它的防火墙有效。当然,现实中,一般来说系统并不容易受到这种攻击。

因为这种方法可以确保没有一个用户可以控制该机器,因此可以使安全性大大的提高。这正好应了IT业安全领域常说的一句话,要想让一台机器绝对安全,就应该把它关机,然后将其锁在一间屋子里。

开始实施

我用于测试的是一台基于x86的Red Hat 6.2机器,它安装有两个网卡。整个过程无需特殊的系统或者对内核进行增改。开始,我尝试着在控制运行的脚本中搜索,希望能找到一点相关的线索。最后,我把焦点定格在rc0(该脚本在机器关闭时运行)脚本上。事实证明,这正是我要找的地方。于是我开始从中删除一些脚本,并且进行了一系列测试。

经过一段相对较短的时间,我得出结论,对于Red Hat Linux 6.2,删除以下脚本就可以实现上述的功能:

/etc/rc.d/rc0.d/S00killall

/etc/rc.d/rc0.d/K90network

/etc/rc.d/rc0.d/K92ipchains

删除这三个脚本以后,我们就可以使网络仍然可以工作,并且使ipchains仍然运行。切记,一定要把killall脚本删除,因为它的任务是寻找/etc/rc.d/rc0.d/中所有的目录,并且运行所有以K为开头的脚本。也就是说该脚本会运行K90网络和K92ipchains脚本,而这两个脚本会删除网络和ipchains。

一些解释

实际上,我们是把Linux设置成了一个内核子集。当机器暂停时,甚至是机器运行了Shutdown以后,这一部分内核仍驻留在内存中。这种方法可以避免在关机的过程中,机器会中止所有的进程,关闭所有网卡以及卸载所有的文件系统。此外,这种方法使得机器在关闭以后,不能再执行任何内部的任务。然而,内核仍然在运行,内存管理器也还在运行。

由于内核仍然在运行,所以在关机以后,所有我们运行的,基于内核的任务都可以被运行。当然,由于大部分的任务都需要进行一些I/O操作(正如本例一样)。因此,我们必须让机器关闭以后,仍然使这些端口存在。这是通过K90network来实现。它使得网卡在关机以后也不会停止工作。

此外,任何需要使用到的基于内核的服务都必须要处于运行状态(比如ipchains)。在缺省情况下,当系统关闭时,会把所有的ipchains规则都中止。如果这样的话,在本例中,防火墙将无法工作,所以必须要把清除ipchains规则的脚本删除。在本例中即要删除K92ipchains脚本。

局限性

在关闭系统以后,只让部分程序运行,这显然会有一些局限性。在本例中,最明显的局限性就是如果客户端的IP地址是通过后台程序(比如PPP、DHCP)等获得的,那么就将无法实现该功能。这就限制了那些使用动态连接用户的使用。此外,由于在关系系统过程中,所有的用户代理空间(比如Socks5)都将被关闭,因此在本例的设置中,只能实现包过虑和NAT功能。

此外要考虑的一点是,由于所有的驱动器都被卸载了,所有的交换空间都从机器上被删除,所以如果机器的内存足够大的话,那么在处理的信息量很大时也不会有问题。但是如果使用的是一台性能比较差的老机器,那么在传输的信息量过大时就会出现一些问题。

总结

作为一个Linux爱好者,我觉得这一小发现很有意思。此外,在我们完成特定的安全任务时,这也给了我们一种特定的解决模式。目前,我最想知道的,是否其它的自由Unix(比如OpenBSD)也可以做成功类似的实验。此外,虽然我是在家中做的实验,但是如果将其用于中小型公司的话,我想可以为公司提供安全极高的数据包过滤功能。此外,也可以为一些大的商业任务提供一个非常安全的、高带宽的防火墙或者路由器。

  • 相关推荐
  • 大家在看
  • linux系统入门用什么书好

    有朋友问我为何学习Linux,其实我刚开始学习时也有这个疑问,不知道它的用处何在,它的优点何在,就会有这样的疑问,只是看到好多人都在学习,很好奇,自己也想学一下,但又不知道为何要学它。后来我就在网上和图书馆找Linux相关的知识和书籍,对其知识有了全面的了解后决定是不是要学习,就不会盲目跟风,明白自己为何要学习是很重要的。言归正传,为何要学习Linux呢,首先了解一下Linux,它是一套可以供大家免费使用的类Unix操作

  • linux系统入门用什么书好

    有朋友问我为何学习Linux,其实我刚开始学习时也有这个疑问,不知道它的用处何在,它的优点何在,就会有这样的疑问,只是看到好多人都在学习,很好奇,自己也想学一下,但又不知道为何要学它。后来我就在网上和图书馆找Linux相关的知识和书籍,对其知识有了全面的了解后决定是不是要学习,就不会盲目跟风,明白自己为何要学习是很重要的。言归正传,为何要学习Linux呢,首先了解一下Linux,它是一套可以供大家免费使用的类Unix操作

  • 腾讯安全推战略新品,SaaS化云防火墙打造云上第一道防线

    伴随企业核心业务大量上云,在云端混合环境、移动访问及在线应用程序迅速发展的趋势下,上云企业亟需更具细粒度的安全技术来替代传统防火墙。 6 月 16 日,腾讯安全举办线上新品发布会,宣布推出战略级新品——新一代SaaS化云防火墙,即开即用,助力企业解决云上业务隔离、统一访问管控等基础安全问题,为企业打造上云的第一道安全防线。企业上云后,面临四大基础网络安全挑战企业上云后,应用程序和数据可以在云端和混合环境中处?

  • 京东数科中标江苏智慧园博项目,将打造智能文旅操作系统

    DoNews 6月4日消息(记者 向密) 京东数字科技集团宣布中标江苏园博园(一期)项目,京东数科将作为技术总牵头方负责智慧园博的项目建设工作。根据介绍,未来在云计算、5G、IoT、人工智能等新基建相关技术的支持下,京东数科将整合京东集团资源,以智能城市操作系统为数字技术底座,为江苏园博园打造智能文旅操作系统——园博超脑,与合作伙伴一起构建起一整套服务景区管理者、企业和游园旅客的智慧园博生态体系。与常规智慧景区平

  • 微软高调回归安卓!为Surface Duo打造基于Android 11操作系统

    去年十月份的微软发布会上,登场的Surface Duo可以说给不少人留下了很深的印象。而此后微软一直保持着相当低调的姿态。6月19日,据外媒报道,Surface Duo或最快于8月上市,并且微软已经开始为

  • 360浏览器正式通过数字认证入根申请 完美兼容10+操作系统

    近日,360浏览器宣布通过了北京数字认证股份有限公司(以下简称:数字认证)的入根申请,将正式信任数字认证请求预置的数字证书,并安排入根,随360浏览器正式版本发布。数字认证是国内权威的

  • Win10新预览版19645推送:修复中文输入法无法切换、Linux内核从镜像剥离

    今晨,微软面向快速通道(Fast Ring)的Insider会员推送新预览版,操作系统版本号Build 19645。经查,Build 19645属于mn_release分支,在微软切换到rs_prerelease之前,我们的确很难看到新功能

  • iOS14怎么降级到iOS13?iOS14系统降级操作流程

    iOS14系统在苹果6月底的WWDC开发者大会上正式公布,随后也公布了测试版,不少用户开始升级该系统尝鲜,但想要降级回iOS13想要进行什么样的操作呢,这里我们来看下iOS14降级至iOS13的降级步骤

  • 苹果推iOS 13.6测试版:用户终于能关闭系统更新自动下载

    iOS 14即将在本月底亮相,不过苹果还在继续为iOS 13完善一些功能,当然说它是提前测试新功能也不为过。今天早些时候,苹果推送了iOS和iPadOS 13.6第二个测试版。在最新测试版中,苹果调整了自

  • 拼多多拼小圈怎么关闭 详细关闭步骤图文教程

    拼多多可以自由的添加好友组成一个拼小圈,很多人都开通了拼小圈,但是不知道想关闭的时候怎么进行操作,下面就来为大家分享一下拼多多拼小圈关闭步骤图文教程。

  • 微信拍一拍怎么关闭

    微信拍一拍功能在上线之后获得不少网友的喜欢,但也有人不太想用这个功能,向关闭拍一拍的提示信息,那么微信拍一拍功能可以被关闭吗,怎么样关闭拍一拍呢,这里我们来看下微信拍一拍功能关闭的方法。

  • 微信拍一拍关闭方法

    微信拍一拍可以关闭吗?​6 月 17 日,微信发布了最新的版本更新,其中微信在iOS和安卓版本均新增了一项名为「拍一拍」的彩蛋功能,拍一拍功能支持用户在群聊和个人对话中提醒对方。但也有人不太喜欢使用微信拍一拍,如果要关闭微信拍一拍要如何操作呢,以下是关闭微信拍一拍的相关介绍。

  • 微信拍一拍怎么样关闭

    微信拍一拍功能上线之后就获得了很多用户的关注,一时间变成了大家的乐趣来源,但也有人不太喜欢使用拍一拍功能,想要关闭拍一拍,那么在哪里可以关闭拍一拍功能,具体关闭的方法步骤是什么样的呢,我们来一起了解下。

  • 微信拍一拍怎么操作

    微信拍一拍怎么操作?微信日前上线了「微信拍一拍」功能,相信很多网友已经收到很多好友的拍一拍。微信拍一拍功能是在微信最新的 7.0.13 及以上版本中的一个彩蛋小功能,默认开启,目前用户还不能手动关闭。那么微信拍一拍怎么操作呢?以下是关于微信拍一拍怎么操作的详细解答。

  • 中国电信将逐步关闭3G网络业务 关闭原因是什么

    近日中国电信发布消息,为了响应国家加快5G网络部署和网络升级的要求,中国电信云南公司自 2020 年 6 月 1 日起,逐步关闭3G-EVDO数据业务,建议还在使用3G-EVDO数据业务的用户选择服务更优的4G、5G数据业务。

  • 连咖啡关闭北京多家门店

    DoNews 6月4日消息(记者 吴丽)近日,连咖啡北京地区此前还显示正常营业和暂停营业的门店,部分已经撤店。据悉,被连咖啡视为全国首家形象店的连咖啡望京SOHO,已被替换成新品牌。目前,连咖啡小程序上显示,望京SOHO门店正在升级中。不过,据望京SOHO物业工作人员称,该店很早之前就已撤店,具体原因不清楚。天眼查数据显示,上海连享商务咨询有限公司成立于2014年5月,注册资本约4149万人民币,法定代表人为连咖啡CEO张晓高,公

  • AppClips是什么功能 AppClips怎么使用

    苹果iOS14系统中加入了一个全新的AppClips功能,这个功能是可以让用户不下载全部应用的情况下就可以使用该应用的功能,那么AppClips是怎么使用,这里我们来了解下AppClips功能的介绍。

  • 喜茶道歉:门店操作不规范造成,将进行整改

    近日,南京抽检 16 批次果茶、 6 批次食用冰,其中就包含了市场上比较热门的茶饮品牌喜茶、奈雪、一点点等。结果显示:喜茶的一款食用冰菌落总数超标; 4 款果茶/奶茶中菌落总数高于同类标准, 3 款被检出大肠菌群,存在微生物污染。市场监管部门已约谈相关负责人。

  • 微软宣布永久关闭全球几乎所有门店

    DoNews 6月27日消息(记者 刘文轩)微软6月26日宣布,它打算永久关闭美国和全球几乎所有微软商店,仅留下四个地点将继续开放,分别位于纽约(第五大街店)、伦敦(牛津马戏团店)、悉尼(雪梨西田店)和雷德蒙德校园店。伦敦店大约一年前才开业,该公司尚未具体说明是否会因广泛关店而裁员。微软表示,以后它将专注于其在线商店Microsoft.com,用户可以在那里获得支持、销售和培训等。微软零售团队成员将在网站上继续为用户提供帮?

  • 好看视频怎么关闭快放调倍速

    好看视频中跟绝大多数的视频软件也是可以调倍速的,很多人不小心的就开了快放,但是不清楚怎么关闭快放,所以今天就来为大家分享一下好看视频怎么关闭快放调倍速。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天