摘要:随着系统安全问题日益加剧,需要快速及时的对企业数据中心上百台服务器系统进行安全加固管理工作,将传统的分散、逐台、手工安全加固操作转为集中、批量、高效的安全管理操作,强有力的保证了企业数据、应用系统、关键业务不受病毒影响,保证业务应用连续性,提升了管理效率和管理质量。
键词:Linux系统安全、批量管理、Ansible
一、引言
近些年,网络安全恶性事件频发,其中不少是针对Linux系统组件如openssh等版本漏洞。面对五花八门的安全问题,系统运维人员需要对所有相关信息化系统服务器进行补丁更新、免疫文件放置等操作,还需要根据其他管理要求对所有系统进行如账户密码策略等相关配置工作。
而随着信息化业务系统的不断增多,数据中心服务器数量也在不断的快速增长中。
面对诸多安全问题,传统的服务器安全管理解决方式是,几名系统管理员分别打开一台服务器终端,查找密码表,输入用户名密码,进行相关安全管理操作。再对下一台服务器重复同样的操作,一直重复上百次。如图1所示:
.png)
图1 传统安全管理模式
这种解决安全问题的方式不仅工作量巨大,耗时长,需要大量的人力。而且不断的重复性操作也容易导致操作失误,造成遗漏。
二、研究思路
对于Linux/Unix系统来说,网络上有很多的开源产品可以满足我们的需求,且可以根据企业需求,定制出自己的安全自动化分发系统,更加灵活高效。其中最具有代表性的如Puppet、saltstack、ansible等。其中ansible相对较新,基于Python开发,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点,具有批量系统配置、批量程序部署、批量运行命令等功能。其优点是部署简单,只需在主控端部署?Ansible?环境,被控端无需像puppet和saltstack要安装代理。默认使用?SSH(Secure?Shell)协议对设备进行管理,?主从集中化管理,?配置简单、功能强大、扩展性强,支持?API?及自定义模块,可通过?Python?轻松扩展。通过?Playbooks?来定制强大的配置、状态管理。对云计算平台、大数据都有很好的支持,适用于今后的服务器大规模管理,?提供一个功能强大、操作性强的?Web?管理界面和?REST?API?接口?。
.png)
图2 Ansible架构拓扑图
三、企业信息化系统应用效果
(一)建立内网补丁系统,提升更新安全性和时效性
搭建Linux补丁仓库(图3)对Linux服务器进行批量系统组件补丁更新。
.png)
图3 Linux内网更新源
服务器系统通过内网获得补丁,一方面提升了服务器系统补丁下载速度,减少了网络出口带宽占用;另一方面减少系统补丁更新延时遗漏,降低感染风险,提升系统安全性。同时降低了管理人员的工作强度和操作风险,节约了大量时间。
(二)利用批量管理技术,提升系统安全管理质量
根据安全基线要求,自身管理需求,需要对全部或者部分服务器系统进行用户的批量锁定,服务停止等操作。管理人员利用批量管理技术,在集中管理服务器上调用不同的功能模块执行相应的命令,改变策略,减少繁琐的重复操作。
批量管理技术能实现免密登录,不再需要管理员在密码表里查询被管服务器的账户密码并逐个输入,大大减少了操作步骤及出错概率。
.png)
图4 批量关服务效果图
(三)结合任务模式,提升安全管理效率
服务器安全管理的内容不单单是一个独立操作能完成的,而是集成了多个操作步骤,多个配置内容。以任务形式批量执行,提升了安全运维能力,提高了安全管理效率。
Linux的任务管理是通过脚本实现的。管理人员根据需求将要在被管服务器上执行的多个操作或策略编写成YAML脚本,仅需在集中管理服务器上执行该脚本,即可将脚本中的多个操作或策略批量应用到各被管理服务器,而无须将任务脚本下发到各被管服务器。同时在集中管理服务器的操作界面上可以直观地看到执行流程及结果。如图5所示。
.png)
图5安全基线脚本
四、结论
将手工安全管理操作转为自动化安全管理操作,将分散安全管理转为集中安全管理,极大的提升了安全管理效率和安全管理质量。利用Linux系统安全管理技术的免密登陆,结合任务模式,减少了系统管理人员的重复性的步骤操作,同时降低误操作概率。针对企业多种信息化系统及多种管理需求,应用相应的安全管理方案,使得企业信息化系统的安全管理更加动态灵活高效。