刘晓鸣　王玉玲

[摘要]本文介绍72消息中心系统的安全防护经验，通过在主机系统开启SSH的白名单、限制防问ORACLE主机的IP地址、启用主机防火墙iptables进行端口防问控制方式增加短消息中心系统的安全性。

[关键词]短消息中心 安全 防护

一、背景

随着信息安全工作的重视，某通信运营商的短消息中心系统是上级公司和工信部信息安全检查的重点系统，其网络结构如图1所示。

在公司组织的安全自查中，共发现系统安全漏洞544个，经过升级操作系统，打软件补丁等方式解决512个，但有32个漏洞由于系统冲突，操作系统厂商停止服务和业务限制等原因无法进行根本性修复，给系统运行带来一定的安全风险。对于此类安全问题，可采取的其它方式进行规避。

通常的规避方法为采用防火墙的方式在边界进行控制，即EDM300防火墙上做防问策略，只允许其它网段特定的主机防问短消息中心特定的服务器。通过防火墙的限制，可以消除绝大部分的安全威胁，但当安全威胁来自短消息中心系统内部时，防火墙就无能为力，特别上级部门检查，要求避开防火墙接入内网进行漏洞扫描，因此，防火墙对系统的保护对于安全检查时无法发挥作用。因此需要从其它的途径寻找方法，消除漏洞给信息安全带来的风险。

经过对残存的系统漏洞进行统计，可以归纳为三类：

1.SSH远程登录

2.ORACLE数据库系统方面

3.Apache Tomcat JSP应用服务器程序

二、解决方案

2.1SSH远程登录方面解决方案

SSH是目前较可靠，专为远程登录会话的协议工具，以加密方式传送数据，在短消息中心系统中，用于远程登录维护服务器使用，短消息的业务实现本身不使用SSH协议。因此，短消息中心的SSH服务使用者仅限于系统维护人员。因为SSH为本身的服务，可以通过系统服务白名单的方式将允许登录的主机限定于系统维护人员的主机，拒绝其它主机的连接请求。

具体做法如下：

1、修改/etc/hosts.allow文件，添加如下内容：

sshd：192.168.1.2：allow

表示允许192.168.1.2地址连接系统的SSH服务。

2、修改/etc/hosts.deny文件，添加如下内容：

sshd：all：deny

此文件是拒绝服务列表，修改后文件内容表示拒绝了所有sshd远程连接。当hosts.allow和host.deny相冲突时，以hosts.allow设置为准，这样就通过IP地址精确的指定了可以防问短消息系统的主机。

3、重启系统的SSH服务

/etc/init.d/sshd restart

以此步骤，将系统维护人员机器的IP加入到短消息系统的各个主机，使之只允许维护人员远程登录，拒绝其它任何主机的SSH连接。

2.2ORACLE数据库系统方面漏洞的解决方案

经过向短消息中心厂商了解，短消息中心的Oracle数据主要在业务实现时各个服务器之间的相互调用，并不需要对其它外界的主机提供的服务。因此对Oracle的连接仅限于短消息中心各个服务器之间，对于其它的IP址，完全可以禁止连接。

由于Oracle数据库系统服务并非linux系统本身自带服务，因此不能通过操作系统黑白名单方式进行解决。Oracle提供限制与允许特定的IP或主机名通过Oracle Net来访问数据库。这个功能由sqlnet.ora配置文件来实现。该文件通常$ORACLE_HOME/network/admin/目录下，与tnsnames.ora以及listener.ora位于同一路径。通过监听器的限制，实现轻量级访问限制，比在数据库内部通过触发器进行限制效率要高。

根据安全服务厂商绿盟的提供的其它运营商的经验，并经过短消息中心厂商研发确认，决定采用配置sqlnet.ora的方法限制IP访问数据库。具体做法如下：

1、统计短消息中心服务的所有地址，包括服务地址、私网地址及双机浮动地址，并制成列表，避免遗漏以免造成系统之间的数据库访问失败从而影响短消息业务。

2、在数据库的主机上修改tnsnames.ora文件，将统计到地址全部加入到tnsnames.ora文件：

tcp.validnode_cheching=yes

tcp.invited_nodes=（172.50.XXX.1，172.50.XXX.2，172.50.XXX.3，ip4，ip5）

通过设置tnsnames.ora文件invited_nodes值，所有没有包含在invited_nodes值中的IP或主机将无法通过Oracel Net连接到数据库，不能使用数据库的服务。

3、重启监听器使之生效。

Isnrctl reload listener SMC11

2.3 Apache Tomcat应用服务器程序程序漏洞的解方案

Apache Tomcat提供一个动态网页服务和程序，在短消息中心中主要提供报表服务器的查询与浏览，给维护人员提供一个简单、友好的使用界面。此类程序因不是服务器系统的自身服务，无法通过系统黑名单进行访问控制。一般采用在边界防火墙进行限制，但如此不能解决在内网扫描出现漏洞的问题。经过查询资料，与安全厂商与短消息中心厂商沟通，通过启用主机防火墙iptables进行端口防问限制的方式进行解决。

iptables是与最新的3.5版本Linux内核集成的IP信息包过滤系统。netfiher/iptables IP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在Linux内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。根据主机在网络所起的作用不同，有三种包过滤包方式分别是INPUT，OUTPUT及FORWARD，对应下图A，C，B三个路径。

具体到我们的要求，需要的INPUT路径的过滤器添加规则，限制访问HTYP服务的地址。具体操作步骤如下：

1.清除原有规则.

#iptables-F

#iptables-X

2.在INPUT链中添加规则

iptables-A INPUT-s 1 92.168.1.2-p tcp-dport 8080-jACCEPT

iptables-A INPUT-s 192.168.1.3-p tcp-dport 8080-jACCEPT

iptables-A INPUT-P tcp-dport 8080-j DROP

通过设置规则，允许特定的IP地址的主机访问短消息中心8080端口，未设置的IP则不能访问。

3.保存规则

/etc/rc.d/init.d/iptables save

三、实施效果

方案实施后，再用绿盟扫描工具对短消息中心的主机进行漏洞扫描，原来的漏洞已经不再显示。经过对SSH、ORACLE、Apache进行了白名黑控制后，杜绝了非相关人员登录系统，连接数据库，提高了系统的安全性。在工信部组织的信息安全检查中，短消息中心也没有被检测出有信息安全问题。