讓關(guān)閉的Linux操作系統(tǒng)實現(xiàn)防火墻

一次在網(wǎng)上閑逛，突然看到論壇有一條消息說有一種方法，可以讓已經(jīng)關(guān)閉的Linux機器繼續(xù)運行ipchains，并且讓這臺機器繼續(xù)實現(xiàn)防火墻的功能。當時我的第一反映是不屑一顧，難道一個防火墻還可以在關(guān)機的狀態(tài)下工作?依照論壇中所指的鏈接，我找到了一個帖子，上面說在2.0.x內(nèi)核中，使用Shutdown ?h(關(guān)機)命令可以使防火墻仍處于激活狀態(tài)，而此時沒有掛載驅(qū)動器，也沒有進程在運行。也就是說防火墻將在Level 0下運行，但仍然可以進行包過濾。不過，貼子說該功能在2.2.x系統(tǒng)的內(nèi)核中已經(jīng)不具備了。

看到這兒，我有些坐不住了，我決定在內(nèi)核為2.2.x的機器上也實現(xiàn)類似的功能，并且我希望不在內(nèi)核中增加任何補丁。事實證明，我做到了。

安全的防火墻

我認為安全意味著這樣一種可能性，也就是假設(shè)防火墻已經(jīng)被完全關(guān)閉，并且已經(jīng)清除了所有進程空間和文件系統(tǒng)，這樣就不會有任何黑客可以對該系統(tǒng)進行訪問。因為該機器上已經(jīng)完全沒有了進程空間，也沒有掛載驅(qū)動器。因此，黑客就無法在系統(tǒng)外使代碼運行在內(nèi)核空間中。因為這需要寫解釋代碼來產(chǎn)生所需要的結(jié)果，而這是一項非常艱苦的工作。

不過需要提請注意的是，該防火墻并不能避免“拒絕服務(wù)式”的攻擊。事實上，對于“拒絕服務(wù)式”攻擊以及其它的專門耗盡資源的攻擊，該防火墻并不比任何其它的防火墻有效。當然，現(xiàn)實中，一般來說系統(tǒng)并不容易受到這種攻擊。

因為這種方法可以確保沒有一個用戶可以控制該機器，因此可以使安全性大大的提高。這正好應(yīng)了IT業(yè)安全領(lǐng)域常說的一句話，要想讓一臺機器絕對安全，就應(yīng)該把它關(guān)機，然后將其鎖在一間屋子里。

開始實施

我用于測試的是一臺基于x86的Red Hat 6.2機器，它安裝有兩個網(wǎng)卡。整個過程無需特殊的系統(tǒng)或者對內(nèi)核進行增改。開始，我嘗試著在控制運行的腳本中搜索，希望能找到一點相關(guān)的線索。最后，我把焦點定格在rc0(該腳本在機器關(guān)閉時運行)腳本上。事實證明，這正是我要找的地方。于是我開始從中刪除一些腳本，并且進行了一系列測試。

經(jīng)過一段相對較短的時間，我得出結(jié)論，對于Red Hat Linux 6.2，刪除以下腳本就可以實現(xiàn)上述的功能:

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]