Bastille在鐵路移動數據傳輸統一平臺服務器安全防護中的應用

鄧敏麗

Bastille在鐵路移動數據傳輸統一平臺服務器安全防護中的應用

鄧敏麗

簡單介紹了Bastille相關知識，并介紹Bastille在鐵路移動數據傳輸統一平臺服務器安全防護中的應用情況。重點談了如何使用Bastille做好mtup系統外網通信服務器的安全防護工作，以及如何對其進行配置和生效等。

信息技術;安全防范;通信

隨著鐵路信息化的發展，移動辦公、移動數據傳輸在鐵路各關鍵業務系統中的應用也越來越廣泛。把外部移動數據實時接入到內部生產網，讓相關責任單位能實時地監測、查詢到各種行車安全信息，及時、有效地避免故障的發生，不但能更快、更好地保障安全生產需要，同時還節約了大量的人力、物力資源。目前，通過移動設備和移動數據統一傳輸平臺(mtup系統)，接入到鐵路內部生產網的數據有車輛、機務、工務等業務的安全告警信息、車輛行駛信息和軌道檢測信息，因此做好架設在鐵路外部網上的mtup系統外網通信服務器的安全防范至關重要。不僅要在防火墻上做好mtup系統外網服務器的安全防范，還要在mtup系統外網通信服務器上利用Bastille做好服務器自身的安全訪問控制，減少系統遭受危險的可能，增加系統的安全性也是非常必要的。

1 Bastille簡介

Bastille是一個安全加固、鎖閉程序，可減少Linux、Unix、HP-Unix等操作系統遭受危險的可能，增加了系統的安全性，還可以評估系統當前的安全性，周期性的報告每一項安全設置及其工作情況。它通過編碼、加固和鎖閉清單來逐個地、系統地提供定制鎖閉系統的功能。Bastille是操作環境(OE)介質中推薦安裝的軟件，mtup系統外網通信服務器是HP_Unix操作系統，可通過Ignite-UX或Update-UX進行安裝。Bastille能提供下列功能。

1.能夠鎖閉系統。Bastille提供友好的用戶界面來配置系統設置和守護程序，使系統更加安全;關閉不需要的一些服務，如telnet、ftp;配置Software Assistant和Security Patch Check，使其自動運行;配置基于IPFilter的防火墻。

2.報告安全配置狀態功能。生成安全配置狀態報告，創建Bastille配置基準，并將系統的當前狀態與所保存的基準進行比較(偏差)。

3.與SIM集成功能。通過SIM鎖閉系統生成報告，提供SIM服務器鎖閉中使用的配置SIM.config，該配置已經進行了預先測試。

2 配置Bastille

配置Bastille或新建符合mtup系統安全要求的配置文件，可實現對mtup系統外網通信服務器的安全加固。

2.1 用root用戶登錄m tup系統服務器

因為HP_UX Bastille需要更改系統配置和設置，如果本地未運行HP_UX Bastille，則可以選擇通過Secure Shell(ssh)或IPSec來傳輸X11通信以限制網絡公開程度，或者使用更完整的桌面共享解決方案來防止本地或遠程用戶攻擊。

2.2 創建配置文件config

創建配置文件config，以交互方式或非交互方式創建。

2.2.1 以交互方式創建配置文件

首次使用Bastille時，必須以交互方式運行Bastille來創建配置文件，除非分發產品帶有預生成的配置文件(如DM.config)。具體步驟如下。

1.啟動Bastille。Bastille在安裝時會更新PATH環境變量，因此，如果在安裝HP_UX Bastille后注銷重新登錄時，只要用以下命令來啟動bastille:

#bastille

如果尚未更新PATH，則輸入以下命令來啟動Bastille:

#/opt/sec_mgmt/bastille/bin/bastille(bastille實際安裝目錄)

2.啟動Bastille后，系統會通過提問的方式來進行安全設置，問題將按功能來劃分，要仔細閱讀和回答所有的問題，因為這些回答將確定系統的加固程度。摘選部分問題如下。

Should Bastille disable clear-text r-protocols that use IP-based authentication?Bastille是否應該禁用基于IP進行用戶認證的明文r-協議?回答yes。這個選項針對rsh、rlogin、rcp和rdist，它們在所有的數據傳輸中都使用明文。無論如何都不應該使用它們，因為它們早就被ssh和scp替代了。

Would you like to password protect single-user mode?你是否想用密碼保護單用戶模式?回答yes。如果沒有密碼，任何人就都能通過重啟進入單用戶模式來獲得root權限。

Should Bastille ensure the telnet service does not run on this system?Bastille是否應該確保telnet服務不在本系統上運行?不僅回答yes，而且一定得是yes，除非有十足的把握確信要運行telnet服務。啟用telnet服務相當不安全。選擇yes并不會禁用telnet客戶端程序，這對排除網絡故障是很有用的。

Would you like to disable the gcc compiler?選 no，禁止使用gcc編譯器。

Would you like to run the packet filtering script?選yes，利用iptables幫你建立一個小型的防火墻。

Would you like to put limits on system resource usage?是否要限制系統資源的使用?回答yes是相當安全的。內核轉儲(Core dump)對最終用戶并不是特別有用，文件可能變得非常大，因此設置對用戶進程的限制通常是一個好主意。可以使用命令算一下總共有多少個用戶進程，就會知道Bastille默認150的限制是否夠用。

回答問題時，可使用Explanation-Detail菜單在詳細解釋或簡短解釋之間切換，但并非所有問題都同時有詳細答案和簡短答案。可根據用戶對問題不同的回答選擇不同的應對策略，在其評估模式下生成一份報告，告訴用戶有哪些安全設置可用，同時也提示用戶哪些設置被加固了。所有問題及回答將會被保存在/etc/opt/sec_mgmt/bastille/目錄下的config配置文件中。

2.2.2 以非交互方式創建配置文件

這種方式多用于更改bastille設置或相同的bastille配置引擎復用的情況。將/etc/opt/sec_mgmt/bastille/下的配置文件(如config)復制到安裝了相同操作系統和應用程序的多臺計算機上，配置引擎采用預定義好的配置文件。可使用由交互式會話在缺省位置創建的文件，也可以使用通過－f選項指定的備用文件。

#bastille-b-f配置文件

2.3 ipf.custom rules配置

在ipf.customrules文件中配置對mtup系統各應用需要開放的tcp、udp端口信息，同時開放mtup系統外網通信服務器cluster雙機間的相互訪問，而其他未定義的端口則處于關閉狀態。ipf.customrules配置文件中配置規則如下:

pass out quick proto icmp all keep state

pass out quick proto tcp all keep state

pass out quick proto udp all keep state

pass in quick proto tcp from外網通信服務器主機心跳地址to any

pass in quick proto udp from外網通信服務器主機心跳地址to any

pass in quick proto udp from any to any port=需開放的udp端口1

pass in quick proto tcp from any to any port=需開放的tcp端口1

使用Bastille不但關閉了系統的某些默認服務功能，如telnet、ftp等，加強了系統的安全性，而且還對mtup外網通信服務器上需開放的端口及其連接類型都做了限制，增加了連接的安全性。

3 Bastille生效和取消Bastille

1.配置好bastille后，bastille不會自動生效，要使bastille設置生效，運行命令:#bastille-b

2.鎖閉系統:#bastille-x

3.要將安全配置恢復到運行Bastille之前的狀態，取消Bastille，輸入:#bastille-r

4 結束語

隨著鐵路信息化建設的推進，mtup系統接入的應用數據和信息也越來越多，就目前已接入的LAIS、TCDS、晃車等行車安全應用數據的情況看，mtup系統運行安全、穩定。使用Bastille對mtup外網通信服務器系統進行安全加固防護，進一步避免了mtup系統外網通信服務器遭受非法入侵和攻擊的可能，提高了系統的安全性，有力地保障了鐵路各關鍵應用移動數據的安全可靠傳輸。

［1］陳彬．互聯網服務器攻防秘笈［M］．北京:化學工業出版社，2011．

［2］HP公司．HP-UX系統管理員指南．2009．

Brief explanation of relevant knowledge about Bastille is given and the application of Bastille in the server security protection of railway mobile data transmission platform is introduced．It is focused on how to use Bastille to protectmtup extranet Communications Server and how to configure the Bastille and make itwork effectively．

Information technology;Security;Communication

鄧敏麗:中國鐵路總公司信息技術中心工程師100844北京

2014-01-02

(責任編輯:諸紅)