首页   

二十多年基础软件国产化之路
        ——华易数据库、中间件构架


易龙主机安全新方案
事件一:
   2022年6月21日,国家公安部举行网络安全攻防演习,易龙构建的主机应用系统,经绿盟科技(上市公司)检测,即绿盟科技“远程安全评估系统”安全评估如下:
   初看,好像问题很多,仔细看,全是22号端口的问题,如下:
   1. 主机中22号端口对应的是一款国外软件ssh Server,作为一款通用的并随服务器提供商提供的远程终端维护服务器的“基础”软件,居然出现这么多安全漏洞,威胁分值8.0;

图1 主机系统级端口风险评估(评估报告截图一)

   2. 8086和8088是web端口,在大量的攻击下,威胁分值依然是0.0,即最安全;因为他们是用市面上产品漏洞来攻击我们,是无效的。

图2 主机web服务端口风险评估及所有活跃端口服务信息描述(评估报告截图二)

   Web攻击记录展示如下:

图3 大型文本文件查看与编辑

   3. 2000和2001是数据库端口,安全要求更高,三次登录失败直接停止服务,且由于华易数据库管理系统的一些特殊性,所以本次攻击是门都没摸到(之前也有客户请高手对我司数据库进行安全攻击测试,结论是没有数据库,也是门都没摸到)。也就是说,用通常的数据库的攻击方法,在此无效。
   注释:这次事件中,接到客户通知要求打补丁,但我司认为:这次打了补丁,没准一转身又有新的漏洞需要打新补丁,这样的话为了安全是不是时常要查看是否有新的漏洞出现!而我司的解决方案就是直接关闭22号端口(类似功能实现说明如下)。更为重要的是,我司认为:本主机虽然高危,但并没有遭入侵,但是,客户在收到检测报告后,出于安全考虑,直接拔掉了网线,不肯接通网线几分钟给我司远程关闭22号端口,而是要求去客户现场操作,并使用了检测方电脑登录主机(匆忙中我司没带电脑),关闭22号端口。再检测端口时,就感觉怪怪的,怎么出现了一些系统不用的主机端口在活跃。回来一查,也正是在那段时间内,主机出现了多个目录被同时修改的操作,也就是说,现在本主机我司认为是真正被入侵了!如下图:

图4 超大文件传输

   由此说明:一些维护远程主机的终端软件是不安全的,是有问题的!也就是说,服务器及终端两端都有安全隐患!本次就是使用了一款免费的终端软件并以超级用户“合法”地登录主机,同时终端软件也做了一些非法处理,即入侵:或偷信息或做其它攻击用(为黑客服务)等等。就像今年西工大遭网络攻击的例子一样(报告中提到是以“合法用户”进入,我们认为很有可能就是通过终端软件泄露用户账号的!):https://m.sohu.com/a/588370194_123753/?pvid=000115_3w_a。
   重要提示:在与检测方交流时,他们说此电脑安装了两个防火墙及两套杀毒软件,我方说就是安装了一百套防火墙及杀毒软件也没用,首先,此终端软件是你主动下载下来的因此不存在防火墙问题,其次,此终端软件并没有带毒因此杀毒软件也就检测不出来,因为,此终端软件的重要目的就是“只是”要借一下“合法用户”帐号一用而已!又如:https://m.sohu.com/a/573985653_115565?spm=smwp.home%2F273_4.fd-it.5.1659603090619KmGwO8x,300亿个样本,反过来想,不是下一天而是下一秒就有可能产生新的几十个风险和漏洞,你能用原有的参照样本或方法识别并拦住所有新的风险和漏洞吗?总之,这些是相对被动且滞后的解决方法。主机安全还是要从正版及源码上进行掌控与解决!
事件二:
   2022年7月,我司从华为云购买了两台弹性云服务器,安装的也是基于华易数据库、中间件的易龙云应用,服务方在主机端也安装了SSH Server软件,22号端口出现安全预警,我司处理办法也是:直接关闭22号端口!
   22号端口关闭前,华为云提醒如下:

图5 华为云主机风险提醒(22号端口关闭前)

   22号端口关闭后,岁月静好,安全无忧:

图6 华为云主机风险统计(22号端口关闭后)

总结:
   以上两个安全事例,主机端都是Linux系统,服务器提供方都安装了国外软件SSH Server方便主机使用方远程安装软件,结果有安全漏洞,我司的应用方案为什么安全无忧?
   1. 关闭主机22号端口后,我司有相应维护终端软件及服务器端服务模块。如下:

图7 易龙命令执行终端

   2. 客户端:自主客户端。高安全要求应用建议不采用浏览器,因为现在的浏览器有留痕功能。
   3. 主机端:所有的端口(数据库、中间件)都在原创代码控制之下,安全有整套!数据库、中间件采用华易数据库、中间件构架,主机构架如下:


图8 华易数据库、中间件构架

   总之,易龙主机安全维护方案是通过以下三步来完成:
   1. 用类似Windows资源管理器的终端,实现超大文件(目录)传输管理,见图4;
   2. 用文件编辑终端,实现大型文本文件查看与编辑,见图3;
   3. 命令执行终端,实现命令执行,提供类似22端口的一些功能。见图7。

版权 © 2022 九江易龙技术有限公司