訪問代理執行的服務器安全運維技術研究

王國峰，雷 琦，唐 云，代明臣

（1.中電科第三十研究所；2.中國電子科學研究院；3.中電科網絡空間安全研究院有限公司，北京 100041；4.日照市軍隊離退休干部休養所，山東 日照 276800）

0 引言

在云計算與大數據時代，大量服務器都部署在云端［1-3］，需要操作人員遠程對服務器執行運維操作，保障其正常運行。然而，操作人員可能會利用自身權限竊取隱私數據，損害用戶數據的完整性、保密性與可用性［4-6］。在操作人員具備偷窺與泄露用戶隱私數據條件的情況下，如何保障服務器遠程運維管控的安全性變得尤為重要，這也是近年來工業界與學術界共同研究的熱點問題［7-13］。

本文研究訪問代理執行的服務器運維管控技術方案，所有服務器操作行為均需經過訪問代理審計與管控，符合權限認證后才能單點登錄到對應服務器，從而做到統一管控，避免訪問認證上的混亂。操作人員經過訪問代理認證后，對服務器的所有操作都會被審計與管控，并基于操作角色的分級機制對越權操作和危險操作進行阻斷與預警。實驗結果表明，該方案可有效管控和審計服務器遠程運維操作，具有很高的效率和安全性，且不需要安裝額外的客戶端軟件。

1 國內外相關研究

國內外媒體報道過大量由內部人員導致的數據泄露事件。美國聯邦調查局（FBI）和計算機安全協會（CSI）在2008 年發布的《計算機犯罪和安全調查報告》中指出，由內部安全事件帶來的損失高于外部安全事件［14］。許多大型網站，如CSDN、LinkedIn 等出現過用戶數據泄漏事件［15］。對比傳統模式下內部威脅的防御技術［16-18］，云計算和大數據模式的引入帶來很多新的安全問題與挑戰［19-20］，需要給出切實有效的解決方案。在針對內部人員遠程管控運維服務器方面，Dusi 等［21］嘗試使用機器學習的方式分析與監控遠程服務器運行了何種類型的服務和應用；Emmert 等［22］監視在遠程服務器中使用的微軟辦公軟件，如Word、Ex?cel、PowerPoint。國內主要使用操作回放技術審計服務器遠程運維操作，即用戶在遠程服務器上執行的任何操作都會像屏幕錄制一樣被記錄下來，以供事后分析。Huang等［23］針對遠程服務器運維管控，設計了基于訪問代理的安全審計系統，能對主流桌面協議進行審計，如VNC、RDP、X-Window；Tan 等［24］設計實現了基于訪問代理的單點登錄與安全審計系統，以應對服務器遠程運維安全問題。上述研究主要集中在桌面服務器系統遠程操作的審計機制方面，沒有探討怎樣對運維操作進行實時攔截，即如何對越權和危險操作進行阻斷與預警。

在操作人員權限管控方面，SSC 自服務體系架構［25］通過設計用戶管理域和系統管理域保護用戶隱私數據，以避免被內部人員竊取。然而，該方法依賴特定的物理芯片，且需要修改服務器配置，不具有很好的通用性。本文以Linux 服務器為例，研究如何基于訪問代理對服務器的遠程運維操作進行實時持續地審計，并對越權和危險操作進行有效阻斷與預警。

2 訪問代理設計方案

2.1 系統架構

本文擬實現一個非侵入式訪問代理，其支持B/S 方式訪問。訪問該代理的客戶端僅需要一個支持HTML5 的瀏覽器，無需安裝其他軟件。被訪問的服務器也不需要安裝額外程序，僅需要安裝遠程連接必須的SSH 服務端程序（大多數Linux 操作系統已默認安裝該程序），就可以通過訪問代理連接該服務器。該訪問代理的系統架構如圖1 所示，由連接模塊、傳輸轉化模塊、顯示模塊與審計模塊構成。其中，顯示模塊通過瀏覽器將服務器桌面呈現給用戶，傳輸轉化模塊與顯示模塊之間使用HTTP 協議進行通信，連接模塊與傳輸轉化模塊之間使用TCP 協議進行通信，服務器與連接模塊之間通過SSH 協議進行通信，審計模塊與傳輸轉化模塊之間主要通過共享存儲的方式進行通信。

（1）連接模塊是訪問代理網關的重要組成部分，以守護進程的方式一直運行，監聽來自傳輸轉化模塊的TCP Socket 連接，主要負責以下功能：①該模塊實現了SSH 客戶端的功能，其接收來自傳輸轉化模塊的連接命令后，會根據連接命令中指定的地址向SSH 服務器發起SSH 連接，負責與SSH 服務器進行通信；②該模塊需要將SSH 服務器的輸出通過TCP Socket 發送給傳輸轉化模塊，并接收來自該模塊的指令，將其轉化為SSH 輸入事件，發送給SSH 服務器。

（2）傳輸轉化模塊是連接模塊與顯示模塊的中間樞紐，是訪問代理網關的核心部分，主要負責以下功能：①該模塊負責與連接模塊進行TCPSocket 通信，接收連接模塊從服務器傳回的SSH 輸出，經過協議轉換成顯示模塊可以處理的指令，即傳輸轉化模塊收到SSH 服務器的輸出后，需要將其轉化為與顯示模塊約定的協議指令，然后通過HTTP 的方式發送給顯示模塊。同時，該模塊需要將顯示模塊傳來的用戶輸入的指令，如鍵盤鼠標指令，轉化為SSH輸入指令發送給連接模塊；②該模塊需要對來自連接模塊的SSH 輸出與來自顯示模塊的用戶指令進行持久化存儲，供審計模塊使用。

（3）顯示模塊通過瀏覽器與用戶進行實時交互，主要負責以下功能：①該模塊對傳輸轉化模塊發來的協議指令進行解析，并在用戶瀏覽器上執行，通過瀏覽器渲染，將遠程服務器桌面圖像實時顯示給用戶；②該模塊對用戶的鍵盤/鼠標事件進行監聽，一旦觸發鍵盤或鼠標事件，就會將事件信息發送給傳輸轉化模塊進行處理。

（4）審計模塊主要對傳輸轉化模塊保存的協議指令數據進行處理與分析，同時基于服務器使用人員操作的分級機制對危險和越權操作進行預警與阻斷。

Fig.1 System architecture of access agent圖1 訪問代理系統架構

2.2 審計與管控運維命令

用戶運維服務器時會事先在權限數據庫存儲與用戶對應的合法命令集，當用戶經過訪問代理審核登錄服務器后，訪問代理會記錄用戶登錄了該服務器，并可以為審計模塊使用。傳輸轉化模塊在接收到用戶的可顯示鍵盤事件時，會將鍵盤事件所對應的字母值存儲到與審計模塊共享的緩存中。當傳輸轉化模塊接收到顯示模塊發往服務器的“Enter”特殊鍵盤事件時，會調用審計模塊對將要執行的命令進行權限判斷。審計模塊讀取傳輸轉化模塊存儲到緩存中的用戶命令，并與權限數據庫進行比對，若符合該用戶命令集規則則放行，不符合則阻斷。

審計模塊實時記錄操作人員對服務器的使用行為，并基于權限分級機制對危險與越權操作進行審計和管控。該模塊會阻斷此類行為并產生告警事件，具體流程如下：

（1）根據操作人員等級不同，訪問代理會預先為其設定權限，即操作人員可執行的正常操作、敏感操作和危險操作，分為正常、告警、禁止3 個級別，操作人員的權限劃分與對應命令集保存在數據庫中。

（2）操作人員發出命令時，訪問代理的審計模塊解析操作命令，并識別數據庫中的會話標志值，從而得知操作人員信息。審計模塊根據操作命令查詢數據庫，找到對應的操作危險等級并進行相應處理，然后將完整的行為記錄在操作人員日志數據庫中。

2.3 特權用戶執行腳本審計與管控

上述審計與管控方案僅對用戶手敲輸入的命令有效，若用戶將命令嵌入到可執行腳本中，以上方案就會失去效果。針對特權用戶執行腳本審計與管控，設計以下方案：

（1）在服務器開機自啟動目錄下放置可執行腳本，每個用戶登入服務器時都會訪問此腳本。

（2）編輯可執行腳本，使用戶使用受限模式，不加載系統默認的profile 文件，而是加載自定義的profile 文件。

（3）編輯自定義的profile 文件，內容為“PATH=$｛HOME｝/bin；export PATH”。

（4）加入想讓該用戶使用的命令，如ifconfig，內容為“mkdir$HOME/bin；ln-s/sbin/ifconfig $HOME/bin/”，其中“/sbin/ifconfig”為系統實際可執行的ifconfig 命令。

使用以上方案，當用戶登陸該服務器時，除了被允許的可執行命令可用外，不能使用其他命令。此外，為防止特權用戶修改可執行文件，可在系統啟動中使用文件屬性設置命令對可執行腳本加鎖，防止文件被修改或刪除。移動并重命名文件屬性設置命令，以隱藏該命令，使特權用戶登錄后無法使用該命令再次修改文件屬性。

3 仿真實驗

3.1 性能測試

在保證訪問代理正常運行的前提下，對其進行壓力性能測試，測試指標包括用戶通過代理遠程運維服務器資源的最大并發數等。用戶通過代理登錄服務器（如Linux、Windows 虛擬機），訪問代理可支持的最大用戶并發數，具體可通過代理所在主機的內存使用率、CPU 使用率、響應時間與吞吐量等性能參數判斷得出。

代理和測試服務器被部署在同一可連通網絡內，使用性能測試工具JMeter［26］模擬用戶訪問服務器資源。在代理可正常運行的前提下，通過逐步增加資源的并發訪問數，并記錄訪問代理所在主機性能參數（CPU、內存占用率等）的變化情況對資源訪問最大并發數進行測試。

仿真實驗中代理所處的虛擬機配置為CPU 2.5GHz 雙核，內存4G。測試結果表明，隨著用戶遠程訪問服務器資源并發數的增加，代理所在主機的內存消耗和CPU 利用率不斷提升，網絡吞吐率明顯下降，系統響應時間也隨之增加。在訪問代理處接受一個對Linux 服務器字符型協議的連接訪問平均消耗約10MB 內存，代理可支持Linux 協議遠程連接的最大并發數約為235。

3.2 有效性測試

在針對一般運維命令審計與管控的有效性實驗中，分別選取敏感指令和非敏感指令，測試訪問代理能否阻斷敏感指令，放行非敏感指令。以ifconfig 命令為例，實驗結果如圖2、圖3 所示。當將ifconfig 設置為敏感指令時，訪問代理自動阻斷，在用戶界面顯示阻斷信息，并將用戶信息和命令記錄到審計日志中；當將ifconfig 設置為非敏感指令時，訪問代理則放行命令，同時將用戶信息和操作命令記錄到日志中。

Fig.3 Execution result of non-sensitive instruction圖3 非敏感指令執行結果

在針對特權用戶腳本命令審計與管控的有效性實驗中，分別選取含有敏感指令和非敏感指令的shell 腳本，測試訪問代理能否阻斷敏感指令，并放行非敏感指令。實驗結果如圖4、圖5 所示，當服務器設置ifconfig 為敏感指令時，訪問代理雖然執行含有敏感指令的腳本，但后臺云服務器會阻斷敏感指令的執行；當服務器設置ifconfig 為非敏感指令時，訪問代理則放行命令，同時云服務器也執行非敏感指令。

Fig.4 Execute scripts containing sensitive commands圖4 執行含有敏感指令的腳本

4 結語

針對云服務器遠程運維管控問題，本文提出一種訪問代理執行的服務器遠程運維管控技術方案，并設計了原型系統，對其性能和有效性進行了測試。實驗結果表明，該方案通過訪問代理對所有服務器遠程運維操作進行審計與管控，且不改變用戶的使用習慣和服務器配置。但是，該方案對角色權限的細粒度分級管控機制沒有作詳細闡述，還需進一步研究。

Fig.5 Execute scripts containing non-sensitive commands圖5 執行含有非敏感指令的腳本