从运维系统开发谈安全架构设计

2011/9/131从运维系统的开发谈安全架构设计段继刚duanjigang1983@gmail.com1SACC2011SACC2011想要说些什么？•系统架构师大会-应用系统安全专场•应用系统架构设计安全设计•1)系统工具cmtk和运维平台opslob介绍•2)opslob设计之旅•3)opslob中的安全设计2011/9/132SACC2011SACC2011前言•运维人员是一伙什么样的人？《运维人员之歌》2011/9/13在那山的那边海的那边有一群人搞数据中心，他们苦逼又艰辛，他们通宵接报警，他们衣冠不整满眼通红奔去IDC，但是回来他们还要做CASESTUDYOuSA伤不起，OuOP伤不起，他们齐心协力累死累活，上线了十万台机器，但是他们拿不到百万奖金3SACC2011SACC2011前言•运维人员的工作最大的特点：维护的机器数量多。。(一台随便折腾)•我的第一个运维工作：2008奥运会保障•运维工作通常的内容:批量执行命令或者脚本保持一批机器配置文件或者系统状态的一致大半夜，给一批机器同时去安装一个软件包，更新一个文件等等2011/9/134SACC2011SACC2011前言•运维人员的工作中不爽的地方:2011/9/13•1)每个机器都得账号登录，累死了•2)那么多机器要管却不能root访问•3)ssh功能很强大用起来总觉得不是那么爽•4)今天执行脚本，明天发布，后天软件升级。。烦得要死寻找一种方法或者一个利器来让人更轻松些:•第一版:cme_scanner到cmtk•第二版:cmtk到opslob5SACC2011SACC20111/3cmtk介绍•cmtk:运维工具:•1):类似ssh的网络工具:由cmtk命令行+cmtkd服务组成•2):无账户，基于源IP授权的访问控制策略•3):并发批量访问•4):日志审计2011/9/136SACC2011SACC20111/3cmtk用法•cmtk:功能:•1):执行命令•cmtk–pport–hhost–c“command”–ttimeout•cmtk–pport–fhostlist.conf–c“command”•2)传输小文件•cmtk–pport–hhost–usrc_file–ddst_file•cmtk–pport–fhostlist.conf–usrc_file–ddst_file•cmtk特点:•轻便，不依赖于外部组件•用法简单明了•输出结果多样(可读和程序分析格式)2011/9/137SACC2011SACC20111/3cmtk演示2011/9/138SACC2011SACC20111/3opslob介绍•opslob概况:•1):结构：封装于cmtk之上的运维开发平台•2):概念：策略,事务,应用，主机和群组•3):特点：灵活，功能采用可配置的插件方式•4):人机界面：web和命令行两种用户界面2011/9/13•opslob应用范畴:•1):主机配置文件刷新•2):定时软件发布•3):系统配置状态维护•4):日常系统管理•5):应用系统二次开发9SACC2011SACC20111/3opslob用法•以安装mysql服务器为例:•1)在控制中心使用命令行polctl创建多个策略•A:mysql-rpm策略：负责上传mysql安装包•B:install.sh负责安装mysql•C:config.txt负责生成my.cnf文件•D:Start.sh启动mysql服务•2)使用transctl命令行创建事务install_mysql,其中包含策略A-B-C-D•3）使用devctl把要操作的主机添加到群组group1中•4)使用appclt命令创建application把事务install_mysql应用到群组group1上2011/9/1310SACC2011SACC20112/3opslob设计之旅•结构设计可能并不好。。•讲述方式不一定清晰。。•你可能会听睡着，但是请不要离开。。•唯一目标:分享opslob设计时思维的过程2011/9/1311SACC2011SACC20112/3opslob设计-设计思路2011/9/13安全产品(防火墙或者IDS)的基本模型:检测规则网络报文实时响应告警效果应用管理规范管理对象响应1响应2效果应用一般化12SACC2011SACC20112/3opslob设计-设计思路2011/9/13opslob模型的产生（特殊-一般-特殊）管理规范管理对象响应1响应2效果应用实例化系统管理规则主机群组系统状态告警效果应用13SACC2011SACC20112/3opslob设计-设计理念2011/9/13opslob模型的进一步具体化管理规范管理对象响应1策略，事务主机，群组执行结果，配置文件内容应用应用生效解释插件14SACC2011SACC20112/3opslob设计-基本元素2011/9/13策略(policy)-一个操作的最小定义原语事务(transaction)-若干个策略组成的有序链表，各个节点之间存在依赖关系应用(application)-将一个事务应用到若干个群组上去执行设备(device)-设备，待管理的主机群组(group)-待管理的主机组成的集合15SACC2011SACC20112/3opslob设计-策略与事务关系2011/9/13策略集合停止服务更新配置更新软件启动服务启动后检查事务(软件更新)事务定义停止服务更新软件更新配置启动服务启动后检查YYYY16SACC2011SACC20112/3opslob设计-设备与群组关系2011/9/13dev1dev2dev3devmdevngroup1group217SACC2011SACC20112/3opslob设计-应用构建与执行2011/9/13application群组group1group2…事务(transaction)执行条件应用(application)执行流程应用主机列表cmtk通道文件服务器策略下载响应服务器filekepper插件管理器进行执行，反馈18SACC2011SACC20113/3opslob设计中的安全•cmtk中存在的安全隐患？•opslob中的安全隐患？2011/9/1319SACC2011SACC20113/3安全的系统设计-cmtk安全解决2011/9/13cmtk操作用户验证服务器命令/文件验证授权执行，返回结果返回错误信息通过未通过网络验证授权文件本地验证控制中心被管理机器20SACC2011SACC20113/3安全的系统设计-cmtk安全解决2011/9/13cmtk已经是一个安全的工具了吗？还遗忘了哪些？传输内容上并不能保证安全(从更高层面)期待opslob能够解决此问题21SACC2011SACC20113/3安全的系统设计-opslob2011/9/13•opslob构成•1)控制中心命令行:•polclt,transctl,devctl和appctl:•2)控制中心web界面:•提供和命令行相同的功能•3)cmdserver:•控制中心负责应用消息的分发•4)cmtkd:•控制中心和各个被管理机器上的通讯工具•5)filekeepd:•客户端插件管理程序，负责策略的解释和执行22SACC2011SACC20113/3安全的系统设计-opslob2011/9/13客户端执行网络传输业务构建过程•opslob存在的安全隐患1）策略的安全-恶意，不安全策略2）事务的安全-恶意，不安全事务3）应用的安全-错误，不合理应用4）传输过程的安全-报文劫持，数据修改5）执行过程的安全-策略内容校验23SACC2011SACC20113/3安全的系统设计-opslob2011/9/13业务构建过程安全解决方案:通过流程控制来实现安全控制polctl创建策略transctl创建事务appctl创建事务polctl创建策略transctl创建事务appctl创建事务reviewreviewreview24SACC2011SACC20113/3安全的系统设计-opslob2011/9/13网络传输过程安全解决方案:自定义协议和加密1)采用ICE通讯中间件传输数据，自定义协议不易解析2)ICE支持ssl加密传输，能达到更高级别的安全传输25SACC2011SACC20113/3安全的系统设计-opslob2011/9/13客户端执行过程安全解决方案:签名与MD5校验1)从任务列表中提取transaction和policylist信息2)按照transaction中policy的顺序从文件服务器下载policy3)每下载一个policy，核对该policy的MD5SUM和签名与任务列表中的是否一致。4)下载完policylist并核对无误后，按照条件执行，并返回结果26SACC2011SACC20113/3安全的系统设计-opslob2011/9/13•总结•1):从上层业务-网络传输-执行过程•不同层面保障安全•2):opslob对cmtk的调用只采用了文件传输功能•3):业务层安全解决方案保障了传输文件的安全•4):解决了自身的安全隐患，也解决了cmtk在使用时产生的隐患27SACC2011SACC2011结束:请提问?2011/9/13email:duanjigang1983@gmail.commsn:duanjigang@hotmail.com请关注chinaunix架构设计版:cmtk测试版在架构设计板块已经提供下载SACC2011SACC2011