探讨Linux集群运维平台用户权限管理及日志审计系统实现

张雪敏

摘 要：随着互联网时代的到来，传统服务器运维管理的模式已经不能满足互联网公司的业务需求，因此Linux集群规模越来越大，并支撑着互联网公司业务的不断拓展，进而国内各个互联网公司都开始逐渐使用自动化的运维平台对Linux集群实施统一管理。Linux集群运维平台包含的方面有自动化监控、任务调度监控、自动化部署、配置管理、机器管理、用户访问质量统计、集群用户权限管理、日志平台等，其中Linux集群运维平台用户权限管理与日志审计系统这两者关系极为密切，同时也是运维平台里特别关键的两大模块，因为它们都涉及信息上的安全问题，而信息安全又是运维平台的核心。文章将主要阐述自动化运维平台中用户权限管理及日志审计系统实现的细节，并通过实际例子进行分析。

关键词：Linux集群；运维平台；用户权限管理；日志审计系统

近年来，随着社会的进步、科技的推进、互联网的发展，如今互联网已经成为人们生活、学习以及工作中不可或缺的一部分，互联网公司为了适应如此高节奏的社会以及满足自己的业务需求，Linux集群应运而生，Linux集群是由一系列低成本的电脑组成，相比于价格高昂、高性能、单个服务器而言，它具有低成本、可扩展性、稳定性好等特点，在互联网公司中有着广阔的应用前景[1]。但是，在这种高性能、高可靠性、可扩展性的背后存在着一个关键性的问题，即如何高效地调度整个任务，这样就涉及Linux集群中用户登录的管理权限和日志审计系统两部分功能，这两部分功能的核心部分都是信息安全问题，在Linux集群中有着至关重要的地位，因此本文将从Linux集群运维平台用户权限管理及日志审计系统实现进行简要探讨分析。

一、Linux集群运维平台实现中的问题及解决方案

Linux集群运维平台用户权限管理及日志审计系统主要面临的问题有：用户登录权限在登录系统中的安全性问题、集群中海量日志的实时性、集群中海量日志存储的安全性审计等问题。

1.用户登录权限在登录系统中的安全性问题

在传统的系统认证方案中有LDAP/Kerberos认证[2]、Rsyslogd和数据库结合认证等方案，但是都存在着一些问题，首先，LDAP/Kerberos认证方案中并没有密切关注认证日志的统一搜集、统一分析、统一处理等问题，它只是将各自的认证结果存储于本地服务器，虽然这种方案能够达到快速存储的效果，但是无法满足Linux集群运维平台对认证系统安全性的要求。其次，将存储于本地的认证结果和日志记录存储于一个数据库中可以达到要求。研究发现，可以在每个Linux系统中部署Rsyslogd服务，用于实时搜集LDAP/Kerberos认证信息和日志记录，同时将其存入一个数据库中，虽然Rsyslogd服务可以支持多种数据库，但是从整个集群系统的配置要求来考虑，mysql是目前最为适用的数据库。然而，由于数据量的庞大，mysql数据库在数据的输入输出上会存在瓶颈问题，因此需要将数据库部署在性能强大的机器上以满足需求。

2.集群中海量日志的实时性

首先，日志分布在多台机器上，考虑到各个机器本身硬件设备的不一致以及软件设置的不一致，因此很难寻找到一种统一的方式进行日志数据采集。其次，日志的存储依赖于本身机器，不同的机器存储的格式存在差别，如何统一日志数据。然后，日志数据庞大，其中部分数据是无关紧要的，如何从海量数据中获取实时有效的日志数据。最后，因为数据量的庞大，存入数据库后查询问题也是关系到实时性的问题之一[3]。

3.集群中海量日志存储的安全性审计

Linux集群是由许多机器在多个机房中部署而成，机房与机房之间的网络通信、数据规模的扩大、运维管理难度的增大等，对于日志操作都存在许多问题，因此需要一个高度集中管理的日志审计系统，它需要满足上述所有问题的解决方案，同时需要保证实时查看整个Linux集群的网络和系统的运维状态，对于平台系统存在安全漏洞或者受到攻击时能够及时发现。

二、Linux集群運维平台用户权限管理系统实现

Linux集群运维平台用户权限管理系统需要对整个Linux集群的用户登录进行验证，如果该用户具有登录权限，那么需要对该用户信息、登录信息、登录后的操作等进行管理，因此，用户权限管理系统的实现需要考虑到以下几方面：认证、授权、记录。采用LDAP，按照目录级进行权限控制，比如对于互联网公司，可以采用公司—部门—产品—角色—员工的层级关系建立认证系统。基于Kerberos协议的KDC可以实现一个认证密钥数据库，这样一来，每个网络实体和KDC知道一套用于验证自己实体身份的密钥，当两个网络实体之间需要通信时，KDC会生成一个临时密钥用于暂时性的通信保密需求。具体集群运维平台用户权限管理系统的实现可以概括为用户使用统一的认证账号登录服务器，在登录之后服务器会和KDC服务进行通信来验证登录账号和密码是否正确合法；如果KDC服务通过的登录认证，那么服务器就会连接到LDAP服务，并会根据用户登录信息进行对应组的授权；最后，服务器就根据KDC服务和LDAP服务的返回值进行相应的判定，然后采用sudo命令执行相应的操作处理。由此可知，整个Linux集群运维平台用户权限管理模块的实现需要进行如下几部分的部署：第一，在一台Linux机器上安装Kerbero软件，配置KDC服务；第二，在另一台相同的Linux机器上部署LDAP服务，并配置高可用性方案；第三，Linux服务器加入LDAP/Kerberos认证配置。

三、 Linux集群运维平台日志审计系统实现

Linux集群运维平台日志审计系统包括日志的收集、存储和分析三部分。首先，日志收集模块，经研究发现，Fluentd软件可以有效用于构架日志审计系统的日志收集模块；其中日志存储至数据库的格式采用JSON格式文件。在Fluentd中，它接收来自各种类型的日志消息，通过Fluentd Input模块进行日志接收，在Fluentd Buffered Output模块进行缓存操作后在内部进行日志处理，因此，需要在Linux集群运维平台中安装Fluentd软件，并进行相应的配置。其次，日志存储模块，因为Fluentd输出的文件格式为JSON，因此可以考虑采用MongoDB，因为其采用Binary JSON格式进行数据存储，这样两者的数据格式有一定的匹配规则。最后，日志分析模块，日志分析采用特定的日志分析程序进行，配置固定的时间间隔进行日志分析，在日志分析过程中需要对具有安全性的日志进行过滤提取，只有安全性高的日志才是我们需要统计分析的日志。对于存在安全漏洞的日志我们可以通过警报的方式通知管理员，如邮件、通讯工具、短信等。

如今，大量的互联网公司采用Linux集群来满足业务需求，但是其中存在着种种安全性问题，本文针对这些安全性问题提出了Linux集群运维平台存在的问题以及对应的解决方案，以及在其中两个模块用户权限管理和日志审计系统中存在的安全问题和对应的解决措施。Linux集群运维平台用户权限管理及日志审计系统可以有效地解决互联网公司中的安全认证问题和海量日志数据挖掘分析问题，具有较好的安全性以及良好的稳定性。

参考文献：

[1]周昕毅.Linux集群运维平台用户权限管理及日志审计系统实现[D].上海：上海交通大学，2013.

[2]刘 耀，毕 丽.构建信息化安全运维管控平台[J].内蒙古科技与经济，2014（19）：72-74.

[3]殷煜辉.Linux安全增强技术研究及实现[D].杭州：浙江大学，2002.

（作者单位：江苏省吴中中等专业学校）