基于Linux名字空間的Web服務器動態防御方法

陳 剛，郭玉東，魏小鋒

(1.信息工程大學，鄭州 450001； 2.數學工程與先進計算國家重點實驗室，鄭州 450001)

基于Linux名字空間的Web服務器動態防御方法

陳 剛1,2*，郭玉東1,2，魏小鋒2

(1.信息工程大學，鄭州 450001； 2.數學工程與先進計算國家重點實驗室，鄭州 450001)

Web服務器廣泛部署在以Docker容器為代表的云計算平臺上，面臨著嚴峻的安全挑戰。為了提高此類Web服務器的安全防御能力，提出一種基于Linux名字空間的Web服務器動態防御方法。該方法能夠保證在Web服務正常工作的前提下，首先使用名字空間構建Web服務器運行環境;其次,通過多環境的交替運行來實現Web服務器的動態變換以迷惑入侵者，增加入侵者對Web服務器的攻擊難度；最后,通過定期主動清除并重建Web服務器的運行環境來消除入侵行為對Web服務器的影響，最終實現有效提高Web服務器的動態防御能力。實驗結果表明，所提方法能夠有效增強Web服務器的安全性，同時對系統性能影響很小，請求響應100 KB數據的時間損耗為0.02～0.07 ms。

容器；Linux名字空間；動態防御；虛擬化

0 引言

Web服務器作為信息存儲和發布的主站點，長期暴露在Internet上，是惡意攻擊者入侵的主要目標之一，特別是近年來越來越多的企業和個人將Web服務器部署到以Docker容器為代表的云平臺上[1]，Web服務器面臨著更嚴峻的安全挑戰。一旦Web服務器遭受入侵，極有可能出現用戶隱私泄露、網頁非法外鏈以及Web服務質量下降甚至終止等問題[2]；進一步地，若入侵者控制容器并發生提權、逃逸等行為，就會影響宿主機及其上的其他容器，造成更大的損失。

傳統Web服務器保護機制包括入侵隔離技術[3]、入侵檢測系統(Intrusion Detection System, IDS)[4]和入侵防御系統(Intrusion Prevention System, IPS)[5]等。這些防御機制依賴安全防御的先驗知識，不能防患由未知漏洞產生的安全威脅。為了改變這種防御上的被動性，出現了動態彈性防御技術，主要有入侵容忍技術[6]、移動目標防御技術[7-8]和擬態防御技術[9]等。其中，自清洗入侵容忍是移動目標防御的主要技術之一。Bangalore等[10]通過不斷變換和清洗Web服務器來清除入侵威脅，但該方法依賴傳統虛擬機的支持，無法保護部署在以Docker容器為代表的云平臺上的Web服務器的安全；文獻[3]使用AppArmor、SELinux等安全機制增強容器安全，但其無法主動清除入侵威脅；文獻[8]通過回滾清除容器安全威脅，但其依賴入侵檢測機制支持。針對這一情況，本文提出一種基于Linux名字空間構建Web服務動態運行環境的動態防御方法，該方法在保證Web服務正常的前提下，通過不斷地對容器進行變換和清洗來迷惑攻擊者，增加入侵者對Web服務器的攻擊難度，減小入侵者對Web服務器進行控制的時間窗口，從而進一步增強Web服務器的安全性。

本文的主要工作如下：

1) 提出一種基于Linux名字空間構建Web服務動態運行環境的動態防御方法，利用容器的輕量級、啟動速度快的特點，在提高資源利用率的同時，增強Web服務器安全性。

2) 將自清洗入侵容忍和移動目標防御的思想應用于容器，提高了基于容器的云平臺Web服務器的安全性。

本文基于Linux仿真平臺對所提方法進行了仿真實驗，實驗結果表明，該方法能有效增強Web服務器安全性。

1 Linux名字空間及容器

近些年來，Linux名字空間受到了廣泛的關注和研究，現已形成Mount、UTS、IPC、PID、Net、User、Cgroup共七種名字空間[11-13]。名字空間提供了一種資源虛擬化和隔離方案，使得PID、IPC、Network等系統資源不再是全局的，而是屬于某個特定的名字空間。如圖1所示，每個進程都與一個名字空間相關聯，且只能看到與該名字空間相關聯的資源；每個名字空間下的資源對其他名字空間而言都是透明的、不可見的。

圖1 Linux名字空間資源隔離示意圖Fig. 1 Schematic diagram of Linux namespace resource isolation

用戶進程使用系統調用函數clone()、setns()和unshare()來創建名字空間，其系統調用參數、隔離內容和所需權限如表1所示。而容器就是通過不同的名字空間相互組合使用而構建的虛擬執行環境，容器內的進程直接使用主機CPU運行指令，沒有解釋、編譯、指令級模擬或轉換等中間環節，相比其他虛擬化技術，具有更快的執行速度和更低的性能損耗[14]。

利用名字空間的資源隔離機制，本文提出了基于名字空間的Web服務器動態防御方法。

2 方法框架

在目前的計算機系統中，Web服務器從啟動到終止要經過創建進程、加載程序、初始化、提供服務、釋放資源、銷毀進程等過程。如圖2所示，由于Web服務器提供服務過程運行時間很長，且主機IP地址、端口號、操作系統版本和Web服務器版本等屬性在運行過程中不再改變，給隱藏在正常訪問請求中的攻擊者提供了足夠的時間來探測和發現系統的構造和漏洞，而且一旦攻擊者入侵成功，在很長的一段時間內都很難發現和消除。

針對上述Web服務器提供服務過程運行時間很長和相關屬性不再改變等問題，本文提出基于Linux名字空間構建Web服務動態運行環境的防御方法，其基本思想如圖3所示，在保證服務連續的情況下，通過不斷重啟程序來縮短Web服務器進程的生命周期，減小漏洞被探測和利用的可能性；更進一步地，通過還原系統來清除入侵影響。基于名字空間的Web服務器動態防御方法的實現過程如圖4所示，首先使用Linux名字空間構建一個純凈的、無惡意軟件的環境來運行Web服務器；當Web服務器運行一段時間后，再次使用Linux名字空間構建一個新的純凈的、無惡意軟件的環境來運行Web服務器，并代替原來的Web服務器向用戶提供服務。原Web服務器處理完所有剩余請求后結束運行或因超時終止后進入后臺進行清洗，待清洗完成后進入候選隊列，在某個時刻會再次運行并為用戶服務。由于將進程包裹在名字空間中，Web服務器每次啟動時都可以有不同的系統名稱和版本號等；名字空間內的Web服務器進程不能在名字空間之外創建進程；當名字空間撤銷時，Web服務器進程及其創建的各類子進程都會隨之消失，不會留下惡意的守護進程，從而保證了Web服務器及宿主機的安全。

圖2 Web服務器服務過程Fig. 2 Service process of Web server

圖3 改進的Web服務器服務過程Fig. 3 Improved service process of Web server

圖4 基于名字空間的Web服務器動態防御方法框架Fig. 4 Framework of dynamic defense method for Web server based on namespace

3 設計與實現

傳統Web服務器暴露在Internet 的時間很長，容易遭受惡意攻擊。本文構建基于Linux名字空間的Web服務器運行環境，并通過運行環境的動態變換來減少Web服務器曝光在Internet上的單位時間，增加攻擊者的攻擊難度，減少入侵帶來的損失。

然而單純地通過啟動和終止Web服務器來實現動態變換，必然會出現服務不連續的問題。為解決以上問題，本文主要從Web服務器運行環境構建、Web服務器數據同步和Web服務器調度等三個方面展開工作。

3.1 Web服務器運行環境構建

在傳統的Web服務器上，攻擊者入侵成功后通常會篡改系統關鍵程序、置留后門，這些惡意行為難以及時發現和清除。要解決這個問題，最好的方式是創建一個Web服務器鏡像，每次啟動時都加載Web服務器鏡像的副本來運行。因此，本文首先創建包含Web服務器及其依賴項的根文件系統鏡像，再使用Linux名字空間來加載根文件系統鏡像副本，利用名字空間的資源隔離特性來創建一個安全的獨立運行環境。Web服務器運行環境構建過程具體如下。

1)創建包含Web服務器及其依賴項的根文件系統鏡像。

本文使用Docker工具來創建包含Web服務器及其依賴項的根文件系統鏡像。首先通過docker build命令下載原始文件系統鏡像；之后通過docker run命令進入容器系統，并通過相應系統的程序管理工具下載、編譯和安裝Web服務器及其依賴項；最后通過docker save命令將容器導出為新的根文件系統鏡像。

在創建鏡像過程中，本文遵循了設計多樣性原則，使用了Debian 8、Centos 7、Ubuntu 14.04等不同類型和版本的操作系統，并在其上安裝了不同版本的Web服務器和網頁腳本語言解釋器，其目的是增加攻擊者對Web服務器進行探測和攻擊的難度，從而降低攻擊成功的概率。

2)使用Linux名字空間封裝Web服務器運行環境。

使用Linux名字空間封裝Web服務器運行環境(即容器)的過程如圖5所示，其具體實現步驟如下。

圖5 使用名字空間封裝Web服務器運行環境過程Fig. 5 Process of packaging Web server running environment by using namespace

① 使用unshare函數將用戶進程移動到一個由User、IPC、PID和Net名字空間組成的隔離環境。在這個過程中只申請了一次root權限，用于完成相關的網絡配置，使得被隔離的用戶進程能夠連接外部網絡，此后用戶進程一直以宿主機上的普通用戶權限運行；而通過User名字空間的權限映射，這個普通用戶權限的進程在名字空間內具有root權限，這種方式避免了名字空間內進程的真實權限過高造成對宿主機系統的潛在危害。

② 使用fork()函數創建子進程，并使用unshare()函數將子進程移動到一個以PID、Mount和Net名字空間組成的隔離環境。再次使用fork()函數創建子進程，并掛載根文件系統，加載Web服務器程序。這里利用Mount名字空間限制 Web服務器進程不能查看宿主機文件系統信息；利用Net名字空間為進程提供隔離的網絡環境，使其需要路由和轉發才能訪問Internet，為Web服務器運行環境的動態變換作準備。

③ 父進程為子進程提供相關的網絡配置，并在合適的時機創建新的子進程來提供Web服務，并終止舊的子進程運行。

3.2 Web服務器數據同步

在典型的Web服務器系統中，存在兩種類型的持久化數據：一種是諸如用戶賬號信息的長期持久化數據，這類數據需要存儲在磁盤、磁帶等可長期保留的設備上；第二種是短期存在的會話數據session。由于session數據量較小、有效時間較短，且保存在磁盤上時讀寫速率較慢，因而主要存儲在內存中。

Web服務器停止服務后會進行清洗，原先存儲在該運行環境下的所有數據都會被刪除，存儲session的內存也會被回收，這會造成數據丟失問題，并會影響用戶訪問體驗。為解決這些問題，本文借鑒了分布式Web服務器設計方案[15]，使用網絡文件系統(Network File System, NFS)來存儲第一種類型的數據，使用開源工具Redis數據庫[16]來存儲第二種數據。NFS和Redis數據庫都在Web服務器運行環境之外獨立運行，這樣不管Web服務器如何變換，這些數據都不會丟失，Web服務器便可以通過網絡請求的方式在需要的時候對數據進行讀寫。NFS和Redis數據庫都在Linux名字空間隔離下運行，并通過IPtables限制其訪問外網的能力，入侵者難以感知其存在，并難以對其進行攻擊。

3.3 Web服務器調度

Web服務器調度控制器是實現基于Linux名字空間的動態防御的核心。控制器位于Web服務器運行環境之外，這樣做的目的是保證對容器的絕對控制，即使Web服務器被惡意入侵和控制，也不會影響控制器的正常運行。由于突然停止Web服務器的運行可能會導致一些用戶的訪問請求得不到正常的處理，為解決這個問題，本文將Web服務器調度的一個周期分為以下四個過程。

1)活躍期：Web服務器在線，接收和處理任何請求；

2)收尾期：Web服務器處理已存在的請求，但不再接收新的請求；

3)離線期：Web服務器已下線，隔離互聯網，可以清洗；

4)等待期：Web服務器被重置到原始狀態，等待再次上線。

這四種狀態的轉換關系如圖6所示，每次變換中只有處于活躍期的Web服務器接受請求，在任意時刻網絡入口都指向處于活躍期的Web服務器。圖7表示了某時刻Web服務器狀態，其中某些Web服務器正在提供服務，而某些Web服務器正在被清洗。在每一種情況下，至少有一個Web服務器正在被清洗，最終每個Web服務器都會被離線、清洗和恢復到其原始狀態。

圖7中Web服務器可分為兩類：

1) 獨立Web服務器。對于獨立Web服務器，任意時刻，至少有一個Web服務器在線(圖7中黑圓)，接收來自用戶的請求，處理并返回結果；其他Web服務器(圖7中白圓)不再接收新來的消息，但是要在離線前完成未處理的請求。離線的Web服務器要進行清洗(圖7中白框)，完成清洗后會等待某個時刻再次上線(圖7中黑框)。

2) 非獨立Web服務器。對于非獨立Web服務器，每個子Web服務器運行著一個功能，所有子Web服務器相互配合實現完整的功能。在進行離線和清洗時需要采用一定的算法對子Web服務器進行選擇，以保證Web服務的正常。

圖6 控制器調度下的Web服務器狀態Fig. 6 Web server states under controller scheduling

圖7 某時刻Web服務器狀態Fig. 7 Web server state at some point

4 實驗結果與分析

實驗主要測試Web服務器的功能連續性和安全性。實驗主機型號為Lenovo G480，處理器為Intel i5- 2450M，主頻為2.5 GHz，內存為12 GB，操作系統為Ubuntu 16.04。仿真系統結構如圖8所示，其中容器1、2、3提供Web服務，Web服務器為Apache+PHP；容器Redis提供Session持久化服務，其版本為 2.8.4；容器Gate是網絡數據的出入口，數據轉發規則由IPtables配置。容器Gate有兩個網卡，其中eth0連接Internet，eth1連接由容器1、2、3組建的內部局域網。在任意時間，Internet用戶的請求都會通過容器Gate轉發給控制器指定的Web服務器。

圖8 基于Linux名字空間的Web服務器仿真系統組成結構Fig. 8 Composition structure of Web server simulation system based on Linux namespace

4.1 功能連續性測試

用戶訪問Web服務器的行為可分為請求包含會話的網頁和請求不包含會話的網頁兩類。對于第一類行為，為驗證Web服務器切換對Web服務器數據一致性的影響，設計了統計一次Session會話中用戶訪問頁面次數的實驗，驗證了Web服務器切換可以保持會話的數據一致性；對于第二類行為，實驗通過性能測試工具Apache Bench模擬用戶訪問行為進行測試。假設Web服務器曝光(活躍期)時間為E，請求并發度(每秒的并發請求數)為U，請求頁面大小為M，為使測試覆蓋各個Web服務器，測試時間為D=3*E。令：E=10 s，30 s，60 s；U=50，100，125；M=100 KB。表2記錄了實驗所得數據，其中曝光時間為Long表示沒有采用本防御方法的Web服務器，用來作為基準值參考。因為請求響應平均時間與請求數據大小、并發度正相關，所以合理設置收尾期時間，就可以保證Web服務器能夠正常響應用戶請求。圖9展示了不同并發度下Web服務器響應用戶請求的平均時間與曝光時間的關系，可知曝光時間對Web服務器性能影響很小，在0.02～0.07 ms范圍內。

表2 Web服務器響應用戶請求結果Tab. 2 Results of responding to user request for Web server

圖9 Web服務器請求響應平均時間與曝光時間Fig. 9 Average response time and exposure time of Web server requests

4.2 安全性測試

對Web服務器進行入侵的一般流程包括目標信息探測、漏洞利用、權限提升、后門放置等過程。實驗模擬入侵過程的各個環節，驗證本防御方法對Web服務器安全性的提高。

在目標信息探測和漏洞利用階段，通過nmap工具探測操作系統類型和Web服務器版本結果如表3所示，在不同的活躍期，Web服務器具有不同的操作系統類型和Web服務器版本，這使得入侵者對Web服務器的真實信息感到迷惑，加大了其選擇可利用漏洞并實施攻擊的難度。

表3 nmap探測Web服務器信息Tab. 3 Web server information of nmap detection

在權限提升階段，實驗假設入侵者發現其中一個Web服務器具有任意命令執行漏洞，由于Web服務器是以www-data用戶權限運行的，入侵者需要利用該漏洞并通過其他方式獲取root權限。為簡化實驗，在Web服務器目錄下放置了一個屬主為root的具有setuid(0)代碼的C程序，并為其設置setuid位，通過執行該程序，入侵者可以獲得一個具有root權限的Web shell。實驗驗證入侵者的確可以獲取容器中的root權限，但該root權限是由宿主機上的普通用戶通過Linux User名字空間映射而得的，并不是宿主機的root權限。用Linux User名字空間以普通用戶權限創建容器，并在容器中以低權限用戶身份運行Web服務器，這種二次降權的方式，可進一步保護宿主機的安全。

在后門放置階段，利用在權限提升階段的工作進行了三組測試，包括向Web服務器容器中添加新用戶、修改ps等系統關鍵程序、上傳惡意守護進程程序。實驗驗證本方法雖然不能阻止入侵者在處于活躍期的容器內創建后門等惡意行為，但能夠在容器處于離線期時將這些惡意行為清洗和消除。這是因為原Linux名字空間撤銷后，容器中的包括入侵者駐留的守護進程在內的所有進程都會被殺死；新容器的文件系統是由原始鏡像和經過清洗的Web服務器數據文件組成，入侵者對原系統的修改，例如添加新用戶、篡改關鍵程序等都會被清除。實驗過程中通過連接守護進程開放的5555端口的方式對入侵者控制容器的有效時間進行記錄，結果如表4所示。

表4 入侵者控制容器時間 sTab. 4 Time of controlling container by intruder s

由表4可知，入侵者控制Web服務器的有效時間為入侵者控制Web服務器時的容器活躍期剩余時間和收尾期時間之和，因此在保證Web服務器正常工作的前提下，通過調整容器活躍器和收尾器時間，增加Web服務器容器種類等方式，可增加入侵者攻擊Web服務器的難度，并定期自動清除入侵對Web服務器的影響，從而提高Web服務器的安全性。

5 結語

本文使用Linux名字空間為Web服務器構建了一種動態防御機制，這種機制不依賴于入侵檢測過程，而是通過不斷的變換和清洗來消除入侵威脅。仿真實驗驗證了本文方法在提供Web服務器安全性的同時，對系統性能影響很小，對于100 KB的數據，其時間損耗為0.02～0.07 ms。接下來研究將本文方法與入侵檢測、預防等方法相結合，增加對入侵行為的感知和記錄，增加對Web服務器的彈性調度以及拓寬本方法適用性等。

References)

[1] 中國信息通信研究院.2016年云計算白皮書[R].北京:中國信息通信研究院,2016.(China Academy of Information and Communications Technology. 2016 Cloud Computing White Paper [R]. Beijing: China Academy of Information and Communications Technology, 2016.)

[2] SINGER P W, FRIEDMAN A. Cybersecurity and Cyberwar: What Everyone Needs to Know [M]. Oxford: Oxford University Press, 2014: 12-45.

[3] BUI T. Analysis of docker security [EB/OL]. [2017- 04- 20]. https://www.researchgate.net/publication/270906436_Analysis_of_Docker_Security.

[4] CHUNG C J, KHATKAR P, XING T Y, et al. NICE: network intrusion detection and countermeasure selection in virtual network systems [J]. IEEE Transactions on Dependable and Secure Computing, 2013, 10(4): 198-211.

[5] XU H, CHEN X, ZHOU J M, et al. Research on basic problems of cognitive network intrusion prevention [C]// Proceedings of the 2013 Ninth International Conference on Computational Intelligence and Security. Washington, DC: IEEE Computer Society, 2013: 514-517.

[6] MADAN B B, GOEVA-POPSTOJANOVA K, VAIDYANATHAN K, et al. A method for modeling and quantifying the security attributes of intrusion tolerant systems [J]. Performance Evaluation, 2004, 56(1/2/3/4): 167-186.

[7] OKHRAVI H, HOBSON T, BIGELOW D, et al. Finding focus in the blur of moving-target techniques [J]. IEEE Security & Privacy, 2014, 12(2): 16-26.

[8] AZAB M, MOKHTAR B, ABED A S, et al. Toward smart moving target defense for Linux container resiliency [C]// Proceedings of the 2016 IEEE 41st Conference on Local Computer Networks. Piscataway, NJ: IEEE, 2016: 619-622.

[9] 仝青,張錚,張為華,等.擬態防御Web服務器設計與實現[J].軟件學報,2017,28(4):883-897.(TONG Q, ZHANG Z, ZHANG W H, et al. Design and implementation of mimic defense Web server [J]. Journal of Software, 2017, 28(4): 883-897.)

[10] BANGALORE A K, SOOD A K. Securing Web servers using Self Cleansing Intrusion Tolerance (SCIT) [C]// Proceedings of the 2009 Second International Conference on Dependability. Piscataway, NJ: IEEE, 2009: 60-65.

[11] BIEDERMAN E W. Multiple instances of the global Linux namespaces [EB/OL]. [2017- 05- 06]. http://www.landley.net/kdocs/ols/2006/ols2006v1-pages-101-112.pdf.

[12] ROSEN R. Linux containers and the future cloud [J]. Linux Journal, 2014, 2014(240): Article No. 3.

[13] BABAR M A, RAMSEY B. Understanding container isolation mechanisms for building security-sensitive private cloud [R]. Adelaide, Australia: University of Adelaide, Centre for Research on Engineering Software Technologies, 2017.

[14] DUA R, RAJA A R, KAKADIA D. Virtualization vs containerization to support PaaS [C]// Proceedings of the 2014 IEEE International Conference on Cloud Engineering. Piscataway, NJ: IEEE, 2014: 610-614.

[15] TANENBAUM A S, VAN STEEN M. Distributed Systems: Principles and Paradigms [M]. 2nd ed. Upper Saddle River, NJ: Prentice-Hall, 2007: 545-585.

[16] CARLSON J L. Redis in Action [M]. Greenwich, CT: Manning Publications, 2013: 90-110.

CHENGang, born in 1992, M. S. candidate. His research interests include system security, cloud computing.

GUOYudong, born in 1964, M. S. , professor. His research interests include operating system, virtualization.

WEIXiaofeng, born in 1985, M. S. His research interests include information security.

DynamicdefensemethodofWebserverbasedonLinuxnamespace

CHEN Gang1,2*, GUO Yudong1,2, WEI Xiaofeng2

(1.InformationEngineeringUniversity,ZhengzhouHenan450001,China;2.StateKeyLaboratoryofMathematicalEngineeringandAdvancedComputing,ZhengzhouHenan450001,China)

Web servers are widely deployed on cloud computing platform represented by Docker containers and face serious security challenges. In order to improve the security and defense capability of such Web servers, a dynamic defense method of Web server based on Linux namespace was proposed. Firstly, the running environment of Web server was built by using namespace on the premise to ensure Web service working normally. Then, the dynamic transformation of Web server was realized by the alternate running of multiple environments to confuse intruder, which increased the difficulty of attacking Web server by the intruder. Finally, the running environment of Web server was periodically deleted and rebuilt to eliminate the impact of intrusion behavior on the Web server, and ultimately the dynamic defense capability of Web server was effectively improved. The experimental results show that, the proposed method can effectively enhance the security of Web server while it has little affect on system performance, and its response time of requesting 100 KB data is 0.02-0.07 ms.

container; Linux namespace; dynamic defense; virtualization

2017- 06- 12;

2017- 08- 02。

陳剛(1992—)，男，河南民權人，碩士研究生，主要研究方向：系統安全、云計算； 郭玉東(1964—)，男，河南太康人，教授，碩士，主要研究方向：操作系統、虛擬化； 魏小鋒(1985—)，男，山東棗莊人，碩士，主要研究方向：信息安全。

1001- 9081(2017)12- 3442- 05

10.11772/j.issn.1001- 9081.2017.12.3442

(*通信作者電子郵箱467784592@qq.com)

TP393.08

A