探討Linux集群運維平臺用戶權限管理及日志審計系統實現

張雪敏

摘 要：隨著互聯網時代的到來，傳統服務器運維管理的模式已經不能滿足互聯網公司的業務需求，因此Linux集群規模越來越大，并支撐著互聯網公司業務的不斷拓展，進而國內各個互聯網公司都開始逐漸使用自動化的運維平臺對Linux集群實施統一管理。Linux集群運維平臺包含的方面有自動化監控、任務調度監控、自動化部署、配置管理、機器管理、用戶訪問質量統計、集群用戶權限管理、日志平臺等，其中Linux集群運維平臺用戶權限管理與日志審計系統這兩者關系極為密切，同時也是運維平臺里特別關鍵的兩大模塊，因為它們都涉及信息上的安全問題，而信息安全又是運維平臺的核心。文章將主要闡述自動化運維平臺中用戶權限管理及日志審計系統實現的細節，并通過實際例子進行分析。

關鍵詞：Linux集群；運維平臺；用戶權限管理；日志審計系統

近年來，隨著社會的進步、科技的推進、互聯網的發展，如今互聯網已經成為人們生活、學習以及工作中不可或缺的一部分，互聯網公司為了適應如此高節奏的社會以及滿足自己的業務需求，Linux集群應運而生，Linux集群是由一系列低成本的電腦組成，相比于價格高昂、高性能、單個服務器而言，它具有低成本、可擴展性、穩定性好等特點，在互聯網公司中有著廣闊的應用前景[1]。但是，在這種高性能、高可靠性、可擴展性的背后存在著一個關鍵性的問題，即如何高效地調度整個任務，這樣就涉及Linux集群中用戶登錄的管理權限和日志審計系統兩部分功能，這兩部分功能的核心部分都是信息安全問題，在Linux集群中有著至關重要的地位，因此本文將從Linux集群運維平臺用戶權限管理及日志審計系統實現進行簡要探討分析。

一、Linux集群運維平臺實現中的問題及解決方案

Linux集群運維平臺用戶權限管理及日志審計系統主要面臨的問題有：用戶登錄權限在登錄系統中的安全性問題、集群中海量日志的實時性、集群中海量日志存儲的安全性審計等問題。

1.用戶登錄權限在登錄系統中的安全性問題

在傳統的系統認證方案中有LDAP/Kerberos認證[2]、Rsyslogd和數據庫結合認證等方案，但是都存在著一些問題，首先，LDAP/Kerberos認證方案中并沒有密切關注認證日志的統一搜集、統一分析、統一處理等問題，它只是將各自的認證結果存儲于本地服務器，雖然這種方案能夠達到快速存儲的效果，但是無法滿足Linux集群運維平臺對認證系統安全性的要求。其次，將存儲于本地的認證結果和日志記錄存儲于一個數據庫中可以達到要求。研究發現，可以在每個Linux系統中部署Rsyslogd服務，用于實時搜集LDAP/Kerberos認證信息和日志記錄，同時將其存入一個數據庫中，雖然Rsyslogd服務可以支持多種數據庫，但是從整個集群系統的配置要求來考慮，mysql是目前最為適用的數據庫。然而，由于數據量的龐大，mysql數據庫在數據的輸入輸出上會存在瓶頸問題，因此需要將數據庫部署在性能強大的機器上以滿足需求。

2.集群中海量日志的實時性

首先，日志分布在多臺機器上，考慮到各個機器本身硬件設備的不一致以及軟件設置的不一致，因此很難尋找到一種統一的方式進行日志數據采集。其次，日志的存儲依賴于本身機器，不同的機器存儲的格式存在差別，如何統一日志數據。然后，日志數據龐大，其中部分數據是無關緊要的，如何從海量數據中獲取實時有效的日志數據。最后，因為數據量的龐大，存入數據庫后查詢問題也是關系到實時性的問題之一[3]。

3.集群中海量日志存儲的安全性審計

Linux集群是由許多機器在多個機房中部署而成，機房與機房之間的網絡通信、數據規模的擴大、運維管理難度的增大等，對于日志操作都存在許多問題，因此需要一個高度集中管理的日志審計系統，它需要滿足上述所有問題的解決方案，同時需要保證實時查看整個Linux集群的網絡和系統的運維狀態，對于平臺系統存在安全漏洞或者受到攻擊時能夠及時發現。

二、Linux集群運維平臺用戶權限管理系統實現

Linux集群運維平臺用戶權限管理系統需要對整個Linux集群的用戶登錄進行驗證，如果該用戶具有登錄權限，那么需要對該用戶信息、登錄信息、登錄后的操作等進行管理，因此，用戶權限管理系統的實現需要考慮到以下幾方面：認證、授權、記錄。采用LDAP，按照目錄級進行權限控制，比如對于互聯網公司，可以采用公司—部門—產品—角色—員工的層級關系建立認證系統?；贙erberos協議的KDC可以實現一個認證密鑰數據庫，這樣一來，每個網絡實體和KDC知道一套用于驗證自己實體身份的密鑰，當兩個網絡實體之間需要通信時，KDC會生成一個臨時密鑰用于暫時性的通信保密需求。具體集群運維平臺用戶權限管理系統的實現可以概括為用戶使用統一的認證賬號登錄服務器，在登錄之后服務器會和KDC服務進行通信來驗證登錄賬號和密碼是否正確合法；如果KDC服務通過的登錄認證，那么服務器就會連接到LDAP服務，并會根據用戶登錄信息進行對應組的授權；最后，服務器就根據KDC服務和LDAP服務的返回值進行相應的判定，然后采用sudo命令執行相應的操作處理。由此可知，整個Linux集群運維平臺用戶權限管理模塊的實現需要進行如下幾部分的部署：第一，在一臺Linux機器上安裝Kerbero軟件，配置KDC服務；第二，在另一臺相同的Linux機器上部署LDAP服務，并配置高可用性方案；第三，Linux服務器加入LDAP/Kerberos認證配置。

三、 Linux集群運維平臺日志審計系統實現

Linux集群運維平臺日志審計系統包括日志的收集、存儲和分析三部分。首先，日志收集模塊，經研究發現，Fluentd軟件可以有效用于構架日志審計系統的日志收集模塊；其中日志存儲至數據庫的格式采用JSON格式文件。在Fluentd中，它接收來自各種類型的日志消息，通過Fluentd Input模塊進行日志接收，在Fluentd Buffered Output模塊進行緩存操作后在內部進行日志處理，因此，需要在Linux集群運維平臺中安裝Fluentd軟件，并進行相應的配置。其次，日志存儲模塊，因為Fluentd輸出的文件格式為JSON，因此可以考慮采用MongoDB，因為其采用Binary JSON格式進行數據存儲，這樣兩者的數據格式有一定的匹配規則。最后，日志分析模塊，日志分析采用特定的日志分析程序進行，配置固定的時間間隔進行日志分析，在日志分析過程中需要對具有安全性的日志進行過濾提取，只有安全性高的日志才是我們需要統計分析的日志。對于存在安全漏洞的日志我們可以通過警報的方式通知管理員，如郵件、通訊工具、短信等。

如今，大量的互聯網公司采用Linux集群來滿足業務需求，但是其中存在著種種安全性問題，本文針對這些安全性問題提出了Linux集群運維平臺存在的問題以及對應的解決方案，以及在其中兩個模塊用戶權限管理和日志審計系統中存在的安全問題和對應的解決措施。Linux集群運維平臺用戶權限管理及日志審計系統可以有效地解決互聯網公司中的安全認證問題和海量日志數據挖掘分析問題，具有較好的安全性以及良好的穩定性。

參考文獻：

[1]周昕毅.Linux集群運維平臺用戶權限管理及日志審計系統實現[D].上海：上海交通大學，2013.

[2]劉 耀，畢 麗.構建信息化安全運維管控平臺[J].內蒙古科技與經濟，2014（19）：72-74.

[3]殷煜輝.Linux安全增強技術研究及實現[D].杭州：浙江大學，2002.

（作者單位：江蘇省吳中中等專業學校）