国产操作系统远程维护策略的部署

白英杰 赵正旭 吴晓进 张海龙

摘要：为了推动国产操作系统在国内的使用与普及，结合中标麒麟系统强大的Linux内核，对国产操作系统优势进行了分析，对发展现状进行了总结。针对现有远程维护管理的方法，经过对实验数据的整理，将管理方式进行分类，在中标麒麟系统上进行部署和测试，验证了中标麒麟系统远程管理模式的适用性和实用性，为国产操作系统的使用提供了理论依据和技术支持。

关键词：国产操作系统；中标麒麟；远程维护

中图分类号：TP368.5文献标志码：A文章编号：1008-1739（2019）05-56-4

0引言

操作系统是一种可以在裸机上运行，对计算机的硬件资源和系统上的软件资源直接进行管理操作的计算机应用，是数据信息安全的保障。目前，国内公开发布的操作系统都是以Linux内核为基础改进开发的。以开源Linux内核为基础，国内桌面操作系统已经公开发布了诸多版本，主要有中科红旗、银河麒麟和深度操作系统等。其中，中标Linux和银河麒麟在上海于2010年年底宣布合并，更名为中标麒麟，专注于安全性和兼容性。目前，中标麒麟研发的系列操作系统是国内计算机操作系统最优秀的代表之一。

1国产操作系统

中标麒麟操作系统是一种采用Linux内核的操作系统，安全性、稳定性、可靠性和免费性是Linux的优点。作为一个开源操作系统，Linux的安全补丁可以及时出现。与此同时，优秀的设备管理和多任务管理能力使得系统很少崩溃。同Windows比较，中标麒麟具有以下优点：

①采用的架构不同，在Windows上运行的病毒在系统平台上并不适用，因此系统受到病毒攻击的几率极低。

②由于Linux系统开源，当发现系统漏洞时会及时得到更新，安全风险得以降低。

③中标麒麟可以分享Linux的生态系统。有数以百万计的应用程序可以替代Windows应用程序。一些应用程序是开源的，用户可以根据自己的意愿修改这些应用程序。

④系统具有强大的设备管理和多任务管理能力，出现崩溃或宕机的情况极少。

⑤系统对硬件需求很低，在较低的设备上可以获得较好的性能体验。

从这些优点考虑，在以日常办公为主的桌面系统领域，如果使用以Linux内核为基础的国产系统，将会降低现有Windows的一些缺点和不足。如在不安装杀毒软件占用系统资源的情况下系统受到病毒攻击的几率会极大地降低。这些优势使得中标麒麟成为国产操作系统的首选[1]。

2远程维护模式

近年来，由于Linux操作系统安全性高、稳定性强和成本低等特点，在全球范围内备受欢迎。Linux不但普遍应用于嵌入式领域，而且也占领部分桌面应用市场。与此同时，Linux发行版本也呈上升趋势，应用程序包的数量也越来越大，如何有效管理Linux系统尤为重要，远程模式分为以下3种。

2.1终端方式的字符界面远程管理

（1）Telnet管理方式

Telnet是TCP/IP协议族中一个应用范围广泛、简单的远程终端协议，是网络设备最先支持的一种远程管理协议，也是因特网远程登陆实现网络互连管理的主要方式之一。各类操作系统一般都默认安装了Telnet协议，无需另外安装，使用起来十分方便，Telnet能夠在任意终端、主机和各类系统之间工作。由于Telnet采用明文传输用户名和口令，所以存在一定的安全风险，但是目前仍有众多的网络设备支持，例如华为、思科等公司的交换机、路由器等都支持Telnet。当使用Telnet登陆远程计算机进行维护管理时，实质上启动了2个应用：一个是本地计算机上的Telnet终端；另一个是在远程计算机上的Telnet服务器。本地和远程计算机之间是使用传输层中的TCP协议建立TCP连接并进行可靠的数据信息的传输，其中Telnet具体工作原理如图1所示[2-3]。

（2）SSH管理方式

SSH（Secure Shell）是一种工作在应用层和传输层上的安全协议，可以对传输的信息进行加密，有效地防止远程过程中数据信息泄露。其目的是在公共网络上提供一种安全的远程服务和其他安全的网络服务。同时，SSH对传输的数据信息进行压缩处理，可以提高其传输的速度。

SSH主要由传输协议、用户登录协议和连接协议3部分构成。①传输协议：提供服务器认证，确保数据安全和数据完整；②用户登录协议：提供终端身份验证；③连接协议：加密信息隧道，为更高层提供协议。

各类高层应用协议能够相对独立于SSH协议之外，并依靠SSH协议框架，通过连接协议使用SSH的安全机制。同时，SSH协议也为多数高层的网络安全应用协议提供拓展支持[4]，它们之间的层次关系如图2所示。

2.2 C/S方式远程桌面管理

VNC是C/S模式的一个典型代表，使用远程服务图形接口的RFB（Remote Frame Buffer）协议来实现图形桌面共享。VNC由VNC服务器和VNC终端组成VNC服务器和VNC终端支持大多数操作系统，可以实现不同系统之间的控制[5-6]。VNC的工作原理如图3所示。

2.3 B/S方式的远程管理

Webmin是一个典型的B/S模式且功能强大的Unix/Linux系统应用管理工具。管理人员可以通过网络在本地实现对远程计算机的管理，而Webmin通过网络HTTPS的协议进行传输，确保信息数据的安全，同时Webmin又提供图形化的界面管理方式，对远程计算机的管理简单明了，给管理人员带来极大的方便，极大地降低管理难度。Webmin拥有数据的“Web服务器”，不需要占用太多的资源，也不需要另外搭建Web服务器。Webmin也提供了不同管理权限的管理界面，管理人员对权限的分发更为便捷。同时Webmin也支持用户根据自己的需求设计模块进行模块扩展[7-8]。

3远程维护策略的实现

近年来，Linux系统在全球备受关注，不仅在嵌入式、服务器等领域应用广泛，而且也占领了部分桌面市场。中标麒麟在桌面操作系统和服务器市场上有所发展，对于中标麒麟的管理也尤为重要，主要从以下3种模式实现对中标麒麟远程管理的部署。

3.1终端方式的字符界面远程管理

（1）Telnet方式

Telnet管理方式采用明文方式，虽然存在着一些不安全因素，但是这种方式仍在多数设备终端和系统上使用，中标麒麟操作系统上也可以部署实现这种方式进行管理。其部署过程如下。

Telnet服务部署需要安装2个软件包：Telnet-server和Telnet，而Telnet-server依赖于xinetd，所以在安装之前也要安装xinetd。

通过wget命令下载rpm软件安装包，其格式为：# wget +网址链接，其中xinetd和Telnet-server的网址分别为：

http：//vault.centos.org/5.11/os/x86_64/CentOS/xinetd-2.3.14-20.el5_10.x86_64.rpm；

ftp：//ftp.pbone.net/mirror/archive.download.redhat.com/pub/ redhat/linux/9/en/os/i386/RedHat/RPMS/telnet-server-0.17-25. i386.rpm。

完成后需要用chmod命令修改其权限，命令为：# chmod 777 telnet-server-0.17-25.i386.rpm，其中777为权限的数字表示，表示具有读取、写入和可执行的权限。

拥有可执行权限后就可以对软件包进行安装，采用yum命令进行，格式为：# yum install xinetd-2.3.14-20.el5_10.x86_64. rpm，Telnet-server依赖于xinetd，所以需要先安装xinetd包。

安装完成后就需要对Telnet服务进行配置，文件为目录/ etc/xinetd.d/下的telnet，将文件中disable属性值修改为no，重启xinetd服务。将防火墙23端口开放，命令为# /sbin/iptables-I INPUT -p tcp --dport 23 -j ACCEPT，重启防火墙便可通过Telnet进行登陆管理。

测试命令：telnet IP地址，测试结果如图4所示，登陆后会提示系统版本号和登陆时间。

设计了一款网络时间同步在线监测设备，并构建了实验验证环境对该设备时间监测不确定度及同步监测能力进行了实验。实验结果表明，该设备直连线监测不确定度优于 100μs，最大同步可监测数达到20台。可有效针对网络时间同步状况进行在线监测，为故障定位、故障恢复提供监测手段及数据支撑。

（2）SSH方式

SSH方式相对于Telnet方式来说，在安全方面有所改进，确保了通信过程中数据信息安全。SSH协议是当前较为安全可靠的协议，也是专门为远程而设计的安全协议。中标麒麟默认安装了SSH服务，但仍需对其进行配置。

用rpm命令查看是否安装SSH服务，命令为：

# rpm–qa|grep ssh

openssh-clients-6.2p2-3.nk.1.x86_64

openssh-server-6.2p2-3.nk.1.x86_64

openssh-6.2p2-3.nk.1.x86_64

libssh2-1.4.3-4.nk.1.x86_64

如果系统中没有安装这些服务则需先进行安装。在配置文件中添加允许访问的用户，文件为/etc/ssh/下的sshd_config，在文件末尾添加访问用户的配置信息：AllowUsers test，此句将允许test用户远程登陆；将PermitRootLogin yes中的yes属性改成no，表示禁止通过root用户登陆系统。

重启sshd服务进行测试，测试结果如图5所示。测试test用户登录和root登录结果，test用户成功登陆后会提示登陆时间，root用户登陆会提示信息：拒絕登录（Permission denied）。

3.2 C/S方式远程桌面管理

VNC支持Unix，Linux，Windows，Mac OS等多种操作系统，同样在中标麒麟系统上也适用，需要安装VNC，VNC-Server。

通过命令#yum research vnc查找软件源，需要安装tigervnc.x86_64，tigervnc-server.x86_64两个应用包。安装适用#yum install tigervnc.x86_64的方式，此方式可以将软件包所依赖的关系自动安装，无需手动安装。

安装完成后需要用命令vncpasswd设置VNC登陆密码，如果没有进行设置，则将在启动服务器时会提示密码初始化，过程如下：

# vncserver

You will require a password to access your desktops.

Password：

Verify：

New ’localhost.localdomain：1（root）’ desktop is localhost. localdomain：1

Creating default startup script /root/.vnc /xstartup_default

Creating default startup script /root/.vnc /xstartup

Starting applications specified in /root /.vnc/xstartup

Log file is /root/.vnc /localhost.localdomain：1.log

vncserver表示启动VNC服务，启动前提示设置密码，设置完成后建立了1号桌面，桌面的序号在登陆时使用。

VNC的监听端口从5900开始，1号桌面的端口为59001，此时需要设置防火墙，允许通过59001端口访问，命令为：#/sbin/iptables -I INPUT -p tcp --dport 5901 -j ACCEPT，如有多个桌面以此类推。设置好后重启防火墙服务进行测试。在VNC终端输入IP地址：1，登陆1号桌面后的结果如图6所示。

3.3 B/S方式的远程管理

Webmin是基于网络的Unix/Linux管理应用工具。通过浏览器访问Webmin的各类管理功能并实现相应的管理动作。到目前为止，绝大多数的Unix，Linux系统均支持，同样在中标麒麟上也适用。配置过程如下。

wget命令获取软件安装包，格式为：#wgethttp：//prdownloads. sourceforge.net/webadmin/webmin-1.740-1.noarch.rpm；完成后执行：# chmod 777 webmin-1.740-1.noarch.rpm修改可执行权限；采用yum方式安装软件包，# yum install webmin-1.740-1. noarch.rpm；webmin采用的端口号是TCP/10000，需要设置端口# firewall-cmd --zone=public --add-port=10000/tcp permanent，重启防火墙之后在浏览器访问http：//IP：10000，输入用户名密码即可实现远程管理，测试结果如图7所示。

4结束语

通过实验在中标麒麟操作系统上部署实现了3种模式4种方式的远程管理方式。经过测试，C/S模式的VNC方法提供一种图形界面的管理方法，但受网络速度制约，存在鼠标卡顿等同步不及时的现象；B/S模式采用http协议，占用资源少；依靠网络实现远程计算机的管理，提供图形化的Web界面，给管理人员带来极大的方便，是初学者的最佳选择；虽然，B/S模式采用加密安全机制，但是，建立在公开、开放的标准技术之上，仍存在一定的安全隐患。终端方式的字符界面管理方式，具有占用资源少、功能强大、响应及时和效率高等特点，可以更好地使用远程系统。Telnet采用明文传输数据，且稳定性不高；SSH是改善了Telnet方式的明文传递数据的缺点，是一个安全级别更高、稳定性强的远程管理方式。

参考文献

[1]陶智.国产操作系统应用软件部署对策的探讨[D].石家庄：石家庄铁道大学，2017.

[2]闫海英，龚声蓉，应文豪.Telnet远程登录实验的设计与实践[J].实验室研究与探索，2017，36（3）：231-234，298.

[3]张国防.基于Telnet协议的Linux远程管理[J].网络安全技术与应用，2014（10）：53-54.

[4]胡家芬.基于SSH的Linux远程管理机制研究[J].福建电脑，2012，28（10）：78-79.

[5]陈虹.基于Linux平台下的VNC远程控制实现方法[J].萍乡高等专科学校学报，2007（3）：25-26，35.

[6]钟少丹.利用LINUX图形界面工具VNC进行远程管理[J].电脑知识与技术，2005（26）：71-72.

[7]刘文.使用Webmin搭建Linux下的虛拟主机[J].电脑知识与技术，2015，11（16）：19-21.

[8]张旭华.用Webmin远程管理Linux系统服务器[J].计算机与现代化，2006（9）：47-49.