國產操作系統遠程維護策略的部署

白英杰 趙正旭 吳曉進 張海龍

摘要：為了推動國產操作系統在國內的使用與普及，結合中標麒麟系統強大的Linux內核，對國產操作系統優勢進行了分析，對發展現狀進行了總結。針對現有遠程維護管理的方法，經過對實驗數據的整理，將管理方式進行分類，在中標麒麟系統上進行部署和測試，驗證了中標麒麟系統遠程管理模式的適用性和實用性，為國產操作系統的使用提供了理論依據和技術支持。

關鍵詞：國產操作系統；中標麒麟；遠程維護

中圖分類號：TP368.5文獻標志碼：A文章編號：1008-1739（2019）05-56-4

0引言

操作系統是一種可以在裸機上運行，對計算機的硬件資源和系統上的軟件資源直接進行管理操作的計算機應用，是數據信息安全的保障。目前，國內公開發布的操作系統都是以Linux內核為基礎改進開發的。以開源Linux內核為基礎，國內桌面操作系統已經公開發布了諸多版本，主要有中科紅旗、銀河麒麟和深度操作系統等。其中，中標Linux和銀河麒麟在上海于2010年年底宣布合并，更名為中標麒麟，專注于安全性和兼容性。目前，中標麒麟研發的系列操作系統是國內計算機操作系統最優秀的代表之一。

1國產操作系統

中標麒麟操作系統是一種采用Linux內核的操作系統，安全性、穩定性、可靠性和免費性是Linux的優點。作為一個開源操作系統，Linux的安全補丁可以及時出現。與此同時，優秀的設備管理和多任務管理能力使得系統很少崩潰。同Windows比較，中標麒麟具有以下優點：

①采用的架構不同，在Windows上運行的病毒在系統平臺上并不適用，因此系統受到病毒攻擊的幾率極低。

②由于Linux系統開源，當發現系統漏洞時會及時得到更新，安全風險得以降低。

③中標麒麟可以分享Linux的生態系統。有數以百萬計的應用程序可以替代Windows應用程序。一些應用程序是開源的，用戶可以根據自己的意愿修改這些應用程序。

④系統具有強大的設備管理和多任務管理能力，出現崩潰或宕機的情況極少。

⑤系統對硬件需求很低，在較低的設備上可以獲得較好的性能體驗。

從這些優點考慮，在以日常辦公為主的桌面系統領域，如果使用以Linux內核為基礎的國產系統，將會降低現有Windows的一些缺點和不足。如在不安裝殺毒軟件占用系統資源的情況下系統受到病毒攻擊的幾率會極大地降低。這些優勢使得中標麒麟成為國產操作系統的首選[1]。

2遠程維護模式

近年來，由于Linux操作系統安全性高、穩定性強和成本低等特點，在全球范圍內備受歡迎。Linux不但普遍應用于嵌入式領域，而且也占領部分桌面應用市場。與此同時，Linux發行版本也呈上升趨勢，應用程序包的數量也越來越大，如何有效管理Linux系統尤為重要，遠程模式分為以下3種。

2.1終端方式的字符界面遠程管理

（1）Telnet管理方式

Telnet是TCP/IP協議族中一個應用范圍廣泛、簡單的遠程終端協議，是網絡設備最先支持的一種遠程管理協議，也是因特網遠程登陸實現網絡互連管理的主要方式之一。各類操作系統一般都默認安裝了Telnet協議，無需另外安裝，使用起來十分方便，Telnet能夠在任意終端、主機和各類系統之間工作。由于Telnet采用明文傳輸用戶名和口令，所以存在一定的安全風險，但是目前仍有眾多的網絡設備支持，例如華為、思科等公司的交換機、路由器等都支持Telnet。當使用Telnet登陸遠程計算機進行維護管理時，實質上啟動了2個應用：一個是本地計算機上的Telnet終端；另一個是在遠程計算機上的Telnet服務器。本地和遠程計算機之間是使用傳輸層中的TCP協議建立TCP連接并進行可靠的數據信息的傳輸，其中Telnet具體工作原理如圖1所示[2-3]。

（2）SSH管理方式

SSH（Secure Shell）是一種工作在應用層和傳輸層上的安全協議，可以對傳輸的信息進行加密，有效地防止遠程過程中數據信息泄露。其目的是在公共網絡上提供一種安全的遠程服務和其他安全的網絡服務。同時，SSH對傳輸的數據信息進行壓縮處理，可以提高其傳輸的速度。

SSH主要由傳輸協議、用戶登錄協議和連接協議3部分構成。①傳輸協議：提供服務器認證，確保數據安全和數據完整；②用戶登錄協議：提供終端身份驗證；③連接協議：加密信息隧道，為更高層提供協議。

各類高層應用協議能夠相對獨立于SSH協議之外，并依靠SSH協議框架，通過連接協議使用SSH的安全機制。同時，SSH協議也為多數高層的網絡安全應用協議提供拓展支持[4]，它們之間的層次關系如圖2所示。

2.2 C/S方式遠程桌面管理

VNC是C/S模式的一個典型代表，使用遠程服務圖形接口的RFB（Remote Frame Buffer）協議來實現圖形桌面共享。VNC由VNC服務器和VNC終端組成VNC服務器和VNC終端支持大多數操作系統，可以實現不同系統之間的控制[5-6]。VNC的工作原理如圖3所示。

2.3 B/S方式的遠程管理

Webmin是一個典型的B/S模式且功能強大的Unix/Linux系統應用管理工具。管理人員可以通過網絡在本地實現對遠程計算機的管理，而Webmin通過網絡HTTPS的協議進行傳輸，確保信息數據的安全，同時Webmin又提供圖形化的界面管理方式，對遠程計算機的管理簡單明了，給管理人員帶來極大的方便，極大地降低管理難度。Webmin擁有數據的“Web服務器”，不需要占用太多的資源，也不需要另外搭建Web服務器。Webmin也提供了不同管理權限的管理界面，管理人員對權限的分發更為便捷。同時Webmin也支持用戶根據自己的需求設計模塊進行模塊擴展[7-8]。

3遠程維護策略的實現

近年來，Linux系統在全球備受關注，不僅在嵌入式、服務器等領域應用廣泛，而且也占領了部分桌面市場。中標麒麟在桌面操作系統和服務器市場上有所發展，對于中標麒麟的管理也尤為重要，主要從以下3種模式實現對中標麒麟遠程管理的部署。

3.1終端方式的字符界面遠程管理

（1）Telnet方式

Telnet管理方式采用明文方式，雖然存在著一些不安全因素，但是這種方式仍在多數設備終端和系統上使用，中標麒麟操作系統上也可以部署實現這種方式進行管理。其部署過程如下。

Telnet服務部署需要安裝2個軟件包：Telnet-server和Telnet，而Telnet-server依賴于xinetd，所以在安裝之前也要安裝xinetd。

通過wget命令下載rpm軟件安裝包，其格式為：# wget +網址鏈接，其中xinetd和Telnet-server的網址分別為：

http：//vault.centos.org/5.11/os/x86_64/CentOS/xinetd-2.3.14-20.el5_10.x86_64.rpm；

ftp：//ftp.pbone.net/mirror/archive.download.redhat.com/pub/ redhat/linux/9/en/os/i386/RedHat/RPMS/telnet-server-0.17-25. i386.rpm。

完成后需要用chmod命令修改其權限，命令為：# chmod 777 telnet-server-0.17-25.i386.rpm，其中777為權限的數字表示，表示具有讀取、寫入和可執行的權限。

擁有可執行權限后就可以對軟件包進行安裝，采用yum命令進行，格式為：# yum install xinetd-2.3.14-20.el5_10.x86_64. rpm，Telnet-server依賴于xinetd，所以需要先安裝xinetd包。

安裝完成后就需要對Telnet服務進行配置，文件為目錄/ etc/xinetd.d/下的telnet，將文件中disable屬性值修改為no，重啟xinetd服務。將防火墻23端口開放，命令為# /sbin/iptables-I INPUT -p tcp --dport 23 -j ACCEPT，重啟防火墻便可通過Telnet進行登陸管理。

測試命令：telnet IP地址，測試結果如圖4所示，登陸后會提示系統版本號和登陸時間。

設計了一款網絡時間同步在線監測設備，并構建了實驗驗證環境對該設備時間監測不確定度及同步監測能力進行了實驗。實驗結果表明，該設備直連線監測不確定度優于 100μs，最大同步可監測數達到20臺。可有效針對網絡時間同步狀況進行在線監測，為故障定位、故障恢復提供監測手段及數據支撐。

（2）SSH方式

SSH方式相對于Telnet方式來說，在安全方面有所改進，確保了通信過程中數據信息安全。SSH協議是當前較為安全可靠的協議，也是專門為遠程而設計的安全協議。中標麒麟默認安裝了SSH服務，但仍需對其進行配置。

用rpm命令查看是否安裝SSH服務，命令為：

# rpm–qa|grep ssh

openssh-clients-6.2p2-3.nk.1.x86_64

openssh-server-6.2p2-3.nk.1.x86_64

openssh-6.2p2-3.nk.1.x86_64

libssh2-1.4.3-4.nk.1.x86_64

如果系統中沒有安裝這些服務則需先進行安裝。在配置文件中添加允許訪問的用戶，文件為/etc/ssh/下的sshd_config，在文件末尾添加訪問用戶的配置信息：AllowUsers test，此句將允許test用戶遠程登陸；將PermitRootLogin yes中的yes屬性改成no，表示禁止通過root用戶登陸系統。

重啟sshd服務進行測試，測試結果如圖5所示。測試test用戶登錄和root登錄結果，test用戶成功登陸后會提示登陸時間，root用戶登陸會提示信息：拒絕登錄（Permission denied）。

3.2 C/S方式遠程桌面管理

VNC支持Unix，Linux，Windows，Mac OS等多種操作系統，同樣在中標麒麟系統上也適用，需要安裝VNC，VNC-Server。

通過命令#yum research vnc查找軟件源，需要安裝tigervnc.x86_64，tigervnc-server.x86_64兩個應用包。安裝適用#yum install tigervnc.x86_64的方式，此方式可以將軟件包所依賴的關系自動安裝，無需手動安裝。

安裝完成后需要用命令vncpasswd設置VNC登陸密碼，如果沒有進行設置，則將在啟動服務器時會提示密碼初始化，過程如下：

# vncserver

You will require a password to access your desktops.

Password：

Verify：

New ’localhost.localdomain：1（root）’ desktop is localhost. localdomain：1

Creating default startup script /root/.vnc /xstartup_default

Creating default startup script /root/.vnc /xstartup

Starting applications specified in /root /.vnc/xstartup

Log file is /root/.vnc /localhost.localdomain：1.log

vncserver表示啟動VNC服務，啟動前提示設置密碼，設置完成后建立了1號桌面，桌面的序號在登陸時使用。

VNC的監聽端口從5900開始，1號桌面的端口為59001，此時需要設置防火墻，允許通過59001端口訪問，命令為：#/sbin/iptables -I INPUT -p tcp --dport 5901 -j ACCEPT，如有多個桌面以此類推。設置好后重啟防火墻服務進行測試。在VNC終端輸入IP地址：1，登陸1號桌面后的結果如圖6所示。

3.3 B/S方式的遠程管理

Webmin是基于網絡的Unix/Linux管理應用工具。通過瀏覽器訪問Webmin的各類管理功能并實現相應的管理動作。到目前為止，絕大多數的Unix，Linux系統均支持，同樣在中標麒麟上也適用。配置過程如下。

wget命令獲取軟件安裝包，格式為：#wgethttp：//prdownloads. sourceforge.net/webadmin/webmin-1.740-1.noarch.rpm；完成后執行：# chmod 777 webmin-1.740-1.noarch.rpm修改可執行權限；采用yum方式安裝軟件包，# yum install webmin-1.740-1. noarch.rpm；webmin采用的端口號是TCP/10000，需要設置端口# firewall-cmd --zone=public --add-port=10000/tcp permanent，重啟防火墻之后在瀏覽器訪問http：//IP：10000，輸入用戶名密碼即可實現遠程管理，測試結果如圖7所示。

4結束語

通過實驗在中標麒麟操作系統上部署實現了3種模式4種方式的遠程管理方式。經過測試，C/S模式的VNC方法提供一種圖形界面的管理方法，但受網絡速度制約，存在鼠標卡頓等同步不及時的現象；B/S模式采用http協議，占用資源少；依靠網絡實現遠程計算機的管理，提供圖形化的Web界面，給管理人員帶來極大的方便，是初學者的最佳選擇；雖然，B/S模式采用加密安全機制，但是，建立在公開、開放的標準技術之上，仍存在一定的安全隱患。終端方式的字符界面管理方式，具有占用資源少、功能強大、響應及時和效率高等特點，可以更好地使用遠程系統。Telnet采用明文傳輸數據，且穩定性不高；SSH是改善了Telnet方式的明文傳遞數據的缺點，是一個安全級別更高、穩定性強的遠程管理方式。

參考文獻

[1]陶智.國產操作系統應用軟件部署對策的探討[D].石家莊：石家莊鐵道大學，2017.

[2]閆海英，龔聲蓉，應文豪.Telnet遠程登錄實驗的設計與實踐[J].實驗室研究與探索，2017，36（3）：231-234，298.

[3]張國防.基于Telnet協議的Linux遠程管理[J].網絡安全技術與應用，2014（10）：53-54.

[4]胡家芬.基于SSH的Linux遠程管理機制研究[J].福建電腦，2012，28（10）：78-79.

[5]陳虹.基于Linux平臺下的VNC遠程控制實現方法[J].萍鄉高等專科學校學報，2007（3）：25-26，35.

[6]鐘少丹.利用LINUX圖形界面工具VNC進行遠程管理[J].電腦知識與技術，2005（26）：71-72.

[7]劉文.使用Webmin搭建Linux下的虛擬主機[J].電腦知識與技術，2015，11（16）：19-21.

[8]張旭華.用Webmin遠程管理Linux系統服務器[J].計算機與現代化，2006（9）：47-49.