一次在网上闲逛,突然看到论坛有一条消息说有一种方法,可以让已经关闭的Linux机器继续运行ipchains,并且让这台机器继续实现防火墙的功能。当时我的第一反映是不屑一顾,难道一个防火墙还可以在关机的状态下工作?依照论坛中所指的链接,我找到了一个帖子,上面说在2.0.x内核中,使用Shutdown ?h(关机)命令可以使防火墙仍处于激活状态,而此时没有挂载驱动器,也没有进程在运行。也就是说防火墙将在Level 0下运行,但仍然可以进行包过滤。不过,贴子说该功能在2.2.x系统的内核中已经不具备了。
看到这儿,我有些坐不住了,我决定在内核为2.2.x的机器上也实现类似的功能,并且我希望不在内核中增加任何补丁。事实证明,我做到了。
安全的防火墙
我认为安全意味着这样一种可能性,也就是假设防火墙已经被完全关闭,并且已经清除了所有进程空间和文件系统,这样就不会有任何黑客可以对该系统进行访问。因为该机器上已经完全没有了进程空间,也没有挂载驱动器。因此,黑客就无法在系统外使代码运行在内核空间中。因为这需要写解释代码来产生所需要的结果,而这是一项非常艰苦的工作。
不过需要提请注意的是,该防火墙并不能避免“拒绝服务式”的攻击。事实上,对于“拒绝服务式”攻击以及其它的专门耗尽资源的攻击,该防火墙并不比任何其它的防火墙有效。当然,现实中,一般来说系统并不容易受到这种攻击。
因为这种方法可以确保没有一个用户可以控制该机器,因此可以使安全性大大的提高。这正好应了IT业安全领域常说的一句话,要想让一台机器绝对安全,就应该把它关机,然后将其锁在一间屋子里。
开始实施
我用于测试的是一台基于x86的Red Hat 6.2机器,它安装有两个网卡。整个过程无需特殊的系统或者对内核进行增改。开始,我尝试着在控制运行的脚本中搜索,希望能找到一点相关的线索。最后,我把焦点定格在rc0(该脚本在机器关闭时运行)脚本上。事实证明,这正是我要找的地方。于是我开始从中删除一些脚本,并且进行了一系列测试。
经过一段相对较短的时间,我得出结论,对于Red Hat Linux 6.2,删除以下脚本就可以实现上述的功能:
/etc/rc.d/rc0.d/S00killall
/etc/rc.d/rc0.d/K90network
/etc/rc.d/rc0.d/K92ipchains
删除这三个脚本以后,我们就可以使网络仍然可以工作,并且使ipchains仍然运行。切记,一定要把killall脚本删除,因为它的任务是寻找/etc/rc.d/rc0.d/中所有的目录,并且运行所有以K为开头的脚本。也就是说该脚本会运行K90网络和K92ipchains脚本,而这两个脚本会删除网络和ipchains。
关注此文的读者还看过: