讓關(guān)閉的Linux操作系統(tǒng)實(shí)現(xiàn)防火墻

一次在網(wǎng)上閑逛，突然看到論壇有一條消息說(shuō)有一種方法，可以讓已經(jīng)關(guān)閉的Linux機(jī)器繼續(xù)運(yùn)行ipchains，并且讓這臺(tái)機(jī)器繼續(xù)實(shí)現(xiàn)防火墻的功能。當(dāng)時(shí)我的第一反映是不屑一顧，難道一個(gè)防火墻還可以在關(guān)機(jī)的狀態(tài)下工作?依照論壇中所指的鏈接，我找到了一個(gè)帖子，上面說(shuō)在2.0.x內(nèi)核中，使用Shutdown ?h(關(guān)機(jī))命令可以使防火墻仍處于激活狀態(tài)，而此時(shí)沒(méi)有掛載驅(qū)動(dòng)器，也沒(méi)有進(jìn)程在運(yùn)行。也就是說(shuō)防火墻將在Level 0下運(yùn)行，但仍然可以進(jìn)行包過(guò)濾。不過(guò)，貼子說(shuō)該功能在2.2.x系統(tǒng)的內(nèi)核中已經(jīng)不具備了。

看到這兒，我有些坐不住了，我決定在內(nèi)核為2.2.x的機(jī)器上也實(shí)現(xiàn)類似的功能，并且我希望不在內(nèi)核中增加任何補(bǔ)丁。事實(shí)證明，我做到了。

安全的防火墻

我認(rèn)為安全意味著這樣一種可能性，也就是假設(shè)防火墻已經(jīng)被完全關(guān)閉，并且已經(jīng)清除了所有進(jìn)程空間和文件系統(tǒng)，這樣就不會(huì)有任何黑客可以對(duì)該系統(tǒng)進(jìn)行訪問(wèn)。因?yàn)樵摍C(jī)器上已經(jīng)完全沒(méi)有了進(jìn)程空間，也沒(méi)有掛載驅(qū)動(dòng)器。因此，黑客就無(wú)法在系統(tǒng)外使代碼運(yùn)行在內(nèi)核空間中。因?yàn)檫@需要寫解釋代碼來(lái)產(chǎn)生所需要的結(jié)果，而這是一項(xiàng)非常艱苦的工作。

不過(guò)需要提請(qǐng)注意的是，該防火墻并不能避免“拒絕服務(wù)式”的攻擊。事實(shí)上，對(duì)于“拒絕服務(wù)式”攻擊以及其它的專門耗盡資源的攻擊，該防火墻并不比任何其它的防火墻有效。當(dāng)然，現(xiàn)實(shí)中，一般來(lái)說(shuō)系統(tǒng)并不容易受到這種攻擊。

因?yàn)檫@種方法可以確保沒(méi)有一個(gè)用戶可以控制該機(jī)器，因此可以使安全性大大的提高。這正好應(yīng)了IT業(yè)安全領(lǐng)域常說(shuō)的一句話，要想讓一臺(tái)機(jī)器絕對(duì)安全，就應(yīng)該把它關(guān)機(jī)，然后將其鎖在一間屋子里。

開始實(shí)施

我用于測(cè)試的是一臺(tái)基于x86的Red Hat 6.2機(jī)器，它安裝有兩個(gè)網(wǎng)卡。整個(gè)過(guò)程無(wú)需特殊的系統(tǒng)或者對(duì)內(nèi)核進(jìn)行增改。開始，我嘗試著在控制運(yùn)行的腳本中搜索，希望能找到一點(diǎn)相關(guān)的線索。最后，我把焦點(diǎn)定格在rc0(該腳本在機(jī)器關(guān)閉時(shí)運(yùn)行)腳本上。事實(shí)證明，這正是我要找的地方。于是我開始從中刪除一些腳本，并且進(jìn)行了一系列測(cè)試。

經(jīng)過(guò)一段相對(duì)較短的時(shí)間，我得出結(jié)論，對(duì)于Red Hat Linux 6.2，刪除以下腳本就可以實(shí)現(xiàn)上述的功能:

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]