摘要： 石油石化行業(yè)地區(qū)公司普遍存在物理位置分散的特點(diǎn)，傳統(tǒng)人工運(yùn)維方式面臨效率低下、重復(fù)勞動(dòng)等問題。現(xiàn)有運(yùn)維方案主要針對(duì)Linux服務(wù)器設(shè)計(jì)，在適配信創(chuàng)服務(wù)器時(shí)存在兼容性不足的缺陷。為此，該文提出基于Python的信創(chuàng)服務(wù)器自動(dòng)化運(yùn)維方案，通過paramiko實(shí)現(xiàn)遠(yuǎn)程連接，對(duì)賬戶口令、遠(yuǎn)程管理、日志審計(jì)及時(shí)間同步策略進(jìn)行自動(dòng)化巡檢與安全加固。實(shí)驗(yàn)表明，該方案針對(duì)性顯著，在提升信創(chuàng)服務(wù)器運(yùn)維效率的同時(shí)有效增強(qiáng)了系統(tǒng)安全性。

關(guān)鍵詞：信創(chuàng)服務(wù)器；麒麟操作系統(tǒng)；python；網(wǎng)絡(luò)安全；基線檢查

中圖分類號(hào)：TP311.56" " " " 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2025）21-0070-04

開放科學(xué)（資源服務(wù)） 標(biāo)識(shí)碼（OSID）

0 引言

當(dāng)今數(shù)字化時(shí)代，網(wǎng)絡(luò)攻擊事件層出不窮。為實(shí)現(xiàn)信息技術(shù)領(lǐng)域的自主可控，保障國家信息安全，國資委 79 號(hào)文件明確要求，到 2027 年央企國企須100%完成信創(chuàng)替代[1]。這意味著信創(chuàng)產(chǎn)業(yè)將從“關(guān)鍵環(huán)節(jié)、部分市場”走向“全產(chǎn)業(yè)鏈、全行業(yè)”，全面構(gòu)建國產(chǎn)自主的 IT 標(biāo)準(zhǔn)與服務(wù)生態(tài)。

當(dāng)前，企業(yè) Linux 集群規(guī)模日益擴(kuò)大，部署方式涵蓋本地部署、云部署或混合部署等。然而，傳統(tǒng)的人工運(yùn)維模式存在顯著弊端。當(dāng)出現(xiàn)問題時(shí)，工程師需要親赴各個(gè)數(shù)據(jù)機(jī)房進(jìn)行處理，這種被動(dòng)應(yīng)對(duì)問題的方式，無法實(shí)現(xiàn)主動(dòng)維護(hù)的目標(biāo)，而且工作效率低下，難以滿足日益增長的業(yè)務(wù)需求。此外，為切實(shí)保障網(wǎng)絡(luò)安全，防護(hù)作為網(wǎng)絡(luò)安全的首道防線，其重要性不言而喻[2]。防護(hù)工作涉及對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行配置以防止攻擊，它要求正確配置計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)，以抵御攻擊。僅通過邊界防火墻是不夠的，這就要求我們必須加強(qiáng)主機(jī)安全加固措施，主要包括設(shè)置密碼復(fù)雜度策略、限制密碼嘗試次數(shù)、限制 root 用戶直接登錄、限制 IP 訪問、最小化端口開放等[3]。

目前，國外知名合規(guī)檢查軟件主要有 Tenable 和 OpenSCAP。其中，Tenable 遵循 PCI 11.2.2 要求，定期運(yùn)行掃描、進(jìn)行問題整改并輸出合規(guī)掃描報(bào)告。開源軟件 OpenSCAP 通過讀取 SCAP（Security Content Automation Protocol，SCAP） 安全策略來檢查操作系統(tǒng)是否合規(guī)，主要為 Linux 提供安全合規(guī)檢查和漏洞評(píng)估。

在國內(nèi)研究中，周利榮[4]提出采用 Python 語言解決服務(wù)器常見問題，但未說明具體服務(wù)器安全項(xiàng)目。李沁蔓[5]提出將 Ansible 框架與數(shù)組抽取方法相結(jié)合，自動(dòng)生成并修改密碼，但該方法僅單一提高了服務(wù)器的賬戶口令策略。姚娜[6]提出基于 Django 的 Web 界面自動(dòng)化運(yùn)維，進(jìn)行服務(wù)器資產(chǎn)信息收集和批量文件分發(fā)，但未提出針對(duì)服務(wù)器的安全檢查方法。此外，國內(nèi)廠商阿里云安全中心的基線檢查功能可以對(duì)服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫、軟件和容器的配置進(jìn)行安全檢測，并提供檢測結(jié)果說明和加固建議?；€檢查功能可以幫助用戶進(jìn)行系統(tǒng)安全加固，降低入侵風(fēng)險(xiǎn)并滿足安全合規(guī)要求。針對(duì)第三方資產(chǎn)接入，需要手動(dòng)安裝 agent，且檢測標(biāo)準(zhǔn)為阿里云標(biāo)準(zhǔn)，與石化標(biāo)準(zhǔn)有一定差異。青藤萬相通過 agent 白盒發(fā)現(xiàn)機(jī)制，一鍵自動(dòng)化進(jìn)行檢測，支持等保，檢查結(jié)果以可視化形式顯示，用戶可根據(jù)類別提供的修復(fù)建議進(jìn)行修復(fù)，以滿足企業(yè)監(jiān)管要求。對(duì)于信創(chuàng)服務(wù)器，目前只有等保三級(jí)合規(guī)檢查，具有一定的局限性。

考慮到目前企業(yè)需要大規(guī)模更換信創(chuàng)服務(wù)器，結(jié)合石油石化行業(yè)特點(diǎn)，提出相應(yīng)的檢查與加固方法。

1 自動(dòng)化運(yùn)維

1.1 Python

本文以麒麟 V10SP3 服務(wù)器為例進(jìn)行研究[7]。信創(chuàng)服務(wù)器默認(rèn)自帶 Python 2.7.5 與 Python 3.8.5，如圖 1 所示。因此，利用該特性結(jié)合 Anaconda Python 3.7 運(yùn)維組件庫，對(duì)信創(chuàng)服務(wù)器進(jìn)行自動(dòng)化運(yùn)維檢查。為方便函數(shù)庫使用，通過 Anaconda 安裝 Python 3.7，并下載 paramiko 2.7.1 與 fabric3 函數(shù)庫。

1.2 賬戶與口令安全

為了方便記憶，企業(yè)中很多用戶會(huì)將口令設(shè)置為極為簡單的純數(shù)字或純字母組合。這種弱口令是典型的網(wǎng)絡(luò)與信息安全問題，會(huì)引起信息泄露、非法訪問、權(quán)限盜取等嚴(yán)重后果[8]。為杜絕此類問題，需要強(qiáng)制設(shè)置復(fù)雜密碼。

（1） 是否存在無用賬號(hào)

通過命令：

stdin， stdout， stderr = ssh.exec_command（'cat /etc/passwd | grep -v /sbin/nologin | cut -d： -f 1'）

print（stdout.read（）.decode（））

可以查找當(dāng)前服務(wù)器有登錄權(quán)限的賬號(hào)，如圖2所示。

該服務(wù)器可以登錄5個(gè)賬號(hào)，針對(duì)這5個(gè)可以登錄的賬號(hào)，需要核實(shí)使用人員和使用目的，做好權(quán)限最小化。

（2） 口令定期變更

通過命令

stdin， stdout， stderr = ssh.exec_command（'cat /etc/login.defs | grep PASS_MAX_DAYS'）

print（stdout.read（）.decode（））

查看口令定期更新時(shí)間。根據(jù)等保二級(jí)要求，口令有效期為 180 天，如圖 3 所示。

（3） 密碼復(fù)雜度

麒麟服務(wù)器與CentOS服務(wù)器在密碼復(fù)雜度檢查方面的主要區(qū)別在于：麒麟服務(wù)器已默認(rèn)配置高優(yōu)先級(jí)的password-auth文件，管理員只需檢查pwquality.conf文件中的密碼最小長度和復(fù)雜度設(shè)置即可。對(duì)于等保二級(jí)服務(wù)器，密碼策略要求：1） 最小長度8個(gè)字符；2） 必須包含數(shù)字、大小寫字母和特殊符號(hào)（dcredit、ucredit、lcredit、ocredit四個(gè)參數(shù)中至少有三個(gè)需設(shè)置為-1） 。使用以下命令：

stdin， stdout， stderr = ssh.exec_command（'cat /etc/security/pwquality.conf'）

print（stdout.read（）.decode（））

（4） 登錄失敗鎖定

檢查賬戶登錄失敗鎖定策略，根據(jù)等保二級(jí)要求，需要賬戶符合，連續(xù)登錄失敗次數(shù)小于等于5次，鎖定時(shí)間大于等于10分鐘。

檢查命令如下：

stdin， stdout， stderr = ssh.exec_command（'cat /etc/pam.d/system-auth'）

print（stdout.read（）.decode（））

stdin， stdout， stderr = ssh.exec_command（'cat /etc/pam.d/password-auth'）

print（stdout.read（）.decode（））

1.3 遠(yuǎn)程管理安全

通過相關(guān)設(shè)定，控制外網(wǎng)對(duì)內(nèi)網(wǎng)的訪問。比如發(fā)生重大網(wǎng)絡(luò)安全事件時(shí)，可以對(duì)外部網(wǎng)絡(luò)進(jìn)行有效的屏蔽，防止其進(jìn)行訪問，起到良好的保護(hù)作用[9]。

（1） 是否開啟非加密遠(yuǎn)程管理

由于 telnet 與 http 為明文傳輸且該協(xié)議古老，安全漏洞多，因此該項(xiàng)服務(wù)應(yīng)禁用。使用以下命令檢查 telnet 禁用情況：

stdin， stdout， stderr = ssh.exec_command（'systemctl status telnet.socket'）

print（stdout.read（）.decode（））

檢查 httpd 禁用情況：

stdin， stdout， stderr = ssh.exec_command（'systemctl status httpd'）

print（stdout.read（）.decode（））

如圖6所示，telnet與http服務(wù)均已關(guān)停。

（2） 系統(tǒng)遠(yuǎn)程管理的地址范圍進(jìn)行限制

麒麟與 CentOS 對(duì)于 IP 地址限制有很大不同。CentOS 服務(wù)器只需在 hosts.allow 文件中填寫允許訪問該服務(wù)器的 IP 地址即可。麒麟服務(wù)器如允許 10.55.1.8 訪問本服務(wù)器，則需在 sshd_config 文件下增加

AllowUsers root@10.55.24.183（表示允許 10.55.24.183 這個(gè)IP通過 root 賬號(hào)登錄這臺(tái)服務(wù)器） ，如圖 7 所示。

stdin， stdout， stderr = ssh.exec_command（'cat /etc/ssh/sshd_config'）

print（stdout.read（）.decode（））

（3） 檢查登錄超時(shí)時(shí)間設(shè)置情況，確認(rèn)登錄超時(shí)時(shí)間設(shè)置是否大于 0，小于等于 30 分鐘。

通過以下命令：

stdin， stdout， stderr = ssh.exec_command（'cat /etc/bashrc | grep \"export TMOUT\"'）

print（stdout.read（）.decode（））

stdin， stdout， stderr = ssh.exec_command（'cat /etc/profile | grep \"export TMOUT\"'）

print（stdout.read（）.decode（））

如圖 8 所示，檢查 TMOUT 是否根據(jù)等保二級(jí)要求設(shè)置為 600。

1.4 系統(tǒng)日志審計(jì)

服務(wù)器運(yùn)行時(shí)會(huì)產(chǎn)生大量日志，這些日志客觀地記錄網(wǎng)絡(luò)和系統(tǒng)中的各類事件。因此，日志數(shù)據(jù)對(duì)于網(wǎng)絡(luò)安全事件起著重要作用[10]。審計(jì)日志配置策略如圖9所示。

（1） 審計(jì)日志策略配置

通過以下命令：

stdin， stdout， stderr = ssh.exec_command（'cat /etc/audit/auditd.conf'）

print（stdout.read（）.decode（））

檢查審計(jì)策略是否配置，其中 conf 文件需要包含以下內(nèi)容：

max_log_file = 8：審計(jì)日志文件的最大大小為 8MB

num_logs = 5：當(dāng)進(jìn)行日志文件輪換操作時(shí)，最多保留 5 個(gè)舊的審計(jì)日志文件

priority_boost = 4：優(yōu)先級(jí)

disp_qos = lossy：允許在某些情況下丟失審計(jì)事件，這樣做是為了保持系統(tǒng)的響應(yīng)性能

dispatcher = /sbin/audispd：程序?qū)⒇?fù)責(zé)將審計(jì)事件進(jìn)行分發(fā)處理

（2） 服務(wù)器日志轉(zhuǎn)發(fā)

通常日志轉(zhuǎn)發(fā)使用對(duì)應(yīng)日志廠商的日志轉(zhuǎn)發(fā) agent 或者服務(wù)器自帶 rsyslog 模塊。信創(chuàng)服務(wù)器通過 rsyslog 配置日志轉(zhuǎn)發(fā)是在 rsyslog.conf 文件的最下面寫入 *.* @ x.x.x.x：514，并啟用 rsyslog 服務(wù)。

通過以下命令：

stdin， stdout， stderr = ssh.exec_command（'systemctl status rsyslog'）

print（stdout.read（）.decode（））

stdin， stdout， stderr = ssh.exec_command（'cat /etc/rsyslog.conf'）

print（stdout.read（）.decode（））

如圖10所示，該服務(wù)器配置了日志主機(jī)10.55.*.*（日志主機(jī)IP地址） ，系統(tǒng)采用SYSLOG的方式，通過UDP514端口，實(shí)時(shí)向日志備份主機(jī)發(fā)送全部類型的日志。

1.5 時(shí)間同步

為避免因日志時(shí)間混亂造成事件分析困難，且防止攻擊者通過修改時(shí)間來欺騙系統(tǒng)，需要對(duì)服務(wù)器進(jìn)行時(shí)間同步檢查，檢查服務(wù)器是否與北斗時(shí)間進(jìn)行同步。檢查命令如下：

stdin， stdout， stderr = ssh.exec_command（'cat /etc/chrony.conf'）

print（stdout.read（）.decode（））

2 結(jié)束語

本文梳理總結(jié)了信創(chuàng)服務(wù)器的基線標(biāo)準(zhǔn)，并深入剖析當(dāng)前石油石化行業(yè)所面臨的運(yùn)維挑戰(zhàn)。該行業(yè)地區(qū)分公司眾多，且物理位置分散，導(dǎo)致響應(yīng)時(shí)間較長，同時(shí)運(yùn)維人員專業(yè)水平參差不齊。針對(duì)這些問題，本文提出了基于 Python 的信創(chuàng)服務(wù)器自動(dòng)化運(yùn)維方案。通過賬戶口令、遠(yuǎn)程管理、系統(tǒng)日志審計(jì)、時(shí)間同步、系統(tǒng)防病毒5個(gè)方面的探討分析，總結(jié)了安全加固的方法，減少系統(tǒng)存在的安全漏洞和安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全運(yùn)維人員處置網(wǎng)絡(luò)漏洞的能力，增強(qiáng)石油石化行業(yè)網(wǎng)絡(luò)的安全防護(hù)能力。

參考文獻(xiàn)：

[1] 國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì).關(guān)于開展對(duì)標(biāo)世界一流企業(yè)價(jià)值創(chuàng)造行動(dòng)的通知 [EB/OL].（ 2023-04-27）[ 2025-01-10].http：//www.sasac.gov.cn/n2588020/n2588072/n2591064/ n2591066/c27783654/content.html？eqid=90ac9ba4000105dd00000006648a734a.

[2] VARUN C P， AGARWAL R. Automation of server security assessment[C]//2022 4th International Conference on Circuits， Control， Communication and Computing （I4C）. Piscataway： IEEE， 2022： 515-518.

[3] AROGUNDADE O R.Network security concepts， dangers， and defense best practical[J].Computer Engineering and Intelligent Systems，2023，14（2）：25-38.

[4] 周利榮.基于Python的服務(wù)器自動(dòng)化運(yùn)維系統(tǒng)設(shè)計(jì)[J].電腦編程技巧與維護(hù)，2022（5）：65-68.

[5] 李沁蔓.基于Ansible的服務(wù)器自動(dòng)化運(yùn)維技術(shù)研究與實(shí)現(xiàn)[J].電子設(shè)計(jì)工程，2020，28（13）： 56-60.

[6] 姚娜.基于Django的自動(dòng)化運(yùn)維管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].西安：西安電子科技大學(xué)，2015.

[7] 陽歲紅，于英濤，方鐳.基于信創(chuàng)環(huán)境的運(yùn)維管理系統(tǒng)設(shè)計(jì)與實(shí)踐[J].電子技術(shù)與軟件工程，2022（8）：248-252.

[8] 李昕炘.關(guān)于電力信息系統(tǒng)中弱口令整治的研究[J].信息記錄材料，2019，20（11）：72-73.

[9] 李大勇.操作系統(tǒng)防火墻白名單技術(shù)的應(yīng)用[J].信息系統(tǒng)工程，2019（1）：108-110.

[10] 李勛章.網(wǎng)絡(luò)日志監(jiān)控及安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2012.

【通聯(lián)編輯：代影】