Điều khiển phạm vi cổng trong Grid

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu giải pháp an toàn thông tin cho hệ thống tính toán lưới Luận văn ThS. Công nghệ thông tin 60 48 05 (Trang 64 - 74)

2.1.3 .2Ủy quyền

3.7 Tường lửa trên Grid

3.7.2 Điều khiển phạm vi cổng trong Grid

- Cho GT chưa hỗ trợ Web cấu hình các bước sau: * Chọn phạm vi cổng có thể điều khiển được GLOBUS_TCP_PORT_RANGE * Cấu hình Gatekeeper/Job-Manager để sử dụng GLOBUS_TCP_PORT_RANGE * Cấu hình GridFTP để sử dụng GLOBUS_TCP_PORT_RANGE *Cấu hình MDS để sử dụng GLOBUS_TCP_PORT_RANGE

- Cho GT hỗ trợ Web sử dụng thư viện C và Java

- Trên cơ sở cổng dịch vụ đã xác định Globus Toolkit cho phép người sử dụng cấu hình bức tường cả hai phía máy khách và máy chủ.

Chương 4 - Mô hình thử nghiệm

4.1Hệ thống thử nghiệm

Mô hình: 3 máy tính

hosta.localgrid – vai trò CA, địa chỉ 172.16.2.30 hostb.localgrid, địa chỉ 172.16.2.31

hostc.localgrid, địa chỉ 172.16.2.32

4.2Các kịch bản thử nghiệm

- Tạo certificate

- Dùng firewall để chặn ứng dụng GridFTP

a. Demo tạo certificate

2 nội dung

- tạo host certificate (optional) - tạo user certificate

Nói chung là tạo 1 cặp key và cert_request, cert_request sau đó được gửi tới CA ký để tạo cert, sau đó gửi lại

Có thể tạo nhanh host certificate bằng cách copy 1 host đã có sẵn và đổi tên, đổi ip …, sau đó xóa file /etc/grid-security và xóa các user không cần thiết đi

Tạo host certificate mới Trên máy muốn tạo hostcert

[root@hostb]# scp root@hosta:~/.globus/simpleCA \ /globus_simple_ca_(ca_hash)_setup-0.18.tar.gz . # $GLOBUS_LOCATION/sbin/gpt-build \

globus_simple_ca_(ca_hash)_setup-0.18.tar.gz gcc32dbg # $GLOBUS_LOCATION/sbin/gpt-postinstall

# $GLOBUS_LOCATION/setup\

/globus_simple_ca_[ca_hash]_setup/setup-gsi -default

Chạy lệnh yêu cầu tạo host

# grid-cert-request -host `hostname`

Copy file /etc/grid-security/hostcert_request.pem đến CA

Trên CA tiến hành ký nhận

root@hosta# grid-ca-sign -in hostcert_request.pem -out hostcert.pem To sign the request

please enter the password for the CA key: (type ca passphrase) The new signed certificate is at:

/home/globus/.globus/simpleCA//newcerts/01.pem

Copy file hostcert vừa được tạo ra vào lại thư mục /etc/grid-secutiry. Tạo user certificate

login bằng tên người muốn tạo certificate

$ grid-cert-request

Copy file (userhome)/.globus/usercert_request.pem sang máy CA Ký nhận trên CA

# grid-ca-sign -in usercert_request.pem -out usercert.pem

Copy file usercert.pem vừa dc tạo ra vào /userhome/.globus Chạy grid-proxy-init để tạo proxy.

Muốn xem thông số của certificate, chạy grid-cert-info Muốn xem SN của certificate, grid-cert-info -subject So sánh

Certificate: Data:

Version: 3 (0x2)

Serial Number: 56 (0x38)

Signature Algorithm: sha1WithRSAEncryption Issuer: O=grid, O=pragma, CN=pragma-exp CA Validity

Not Before: Oct 7 19:21:55 2009 GMT Not After : Oct 7 19:21:55 2010 GMT

Subject: O=grid, O=pragma, OU=VN-IOIT-VAST, CN=Thuy Trieu Thu Subject Public Key Info:

Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit)

Modulus (1024 bit): 00:e5:1e:a0:a0:fe:b2:a7:19:57:a9:c0:ad:1a:dd: ec:e8:a3:d6:e0:06:b0:c9:2a:29:db:ab:88:e2:9a: 46:8f:09:f1:5f:22:4b:7c:9e:2f:44:75:0e:b6:f7: f6:2f:5d:f6:9e:9e:1b:16:20:8c:35:1e:4f:09:2b: f1:83:2a:f4:4c:79:64:1f:35:55:f5:0d:2e:cf:1c: 2b:f6:de:7c:f4:1a:ab:13:78:3a:f7:ec:85:57:4c: 2d:49:47:fe:85:a4:82:7e:8a:bb:03:b2:3f:d5:46: 26:4c:fa:25:f2:fe:7b:5c:f7:6b:db:b1:3a:33:5a: 73:38:c2:eb:f3:c8:7b:54:33 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Certificate Policies: Policy: 1.3.6.1.4.1.13230.101.2.1.0

Policy: 1.2.840.113612.5.2.2.1 X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 CRL Distribution Points:

URI:http://ca.pragma-grid.net/ca-certs/5456d9ca.der X509v3 Key Usage: critical

Digital Signature, Key Encipherment, Data Encipherment X509v3 Basic Constraints: critical

CA:FALSE

X509v3 Authority Key Identifier:

keyid:A0:FA:32:A3:E6:6A:B7:9E:A5:64:B7:AA:C2:DD:6C:A0:13:33:DA:A2 X509v3 Subject Key Identifier:

D4:C8:0F:A7:2F:DE:11:89:18:0E:16:E5:AB:B4:8A:25:90:18:64:93 Signature Algorithm: sha1WithRSAEncryption

03:3d:6d:00:ea:dd:78:2f:ea:f6:93:c1:94:0c:08:c5:8b:e0: f6:28:93:93:f0:dd:9a:88:94:5c:5c:51:7e:78:a2:43:97:8a: 43:6c:69:c5:38:97:91:5d:1f:c2:f6:2a:60:7d:cd:de:d7:40: b5:20:87:14:d6:c6:8b:af:00:38:f1:80:f5:4c:09:82:e5:32: a9:c8:ed:02:70:79:57:df:ef:97:d8:88:f2:ad:08:0f:31:d3: 15:a6:f4:53:aa:c6:7d:b5:15:e3:47:ee:41:e1:a1:74:a8:44: a7:56:cb:d8:ac:13:6f:f4:fd:27:e9:b1:22:ec:ea:a1:dc:a7: 4c:56:ec:50:c4:a7:a3:a0:73:39:56:bb:3d:f9:26:d9:4f:22: 14:76:49:75:3f:89:83:23:0a:8b:81:99:4e:07:30:99:09:c3: fa:21:43:9a:a5:ef:00:e8:e1:9b:44:a9:a5:bd:f5:74:5e:53: 24:fc:35:6c:5f:d1:1c:1f:f8:91:b3:43:da:ba:41:2c:e1:e5:

10:0d:86:00:8a:e1:ea:f4:ea:f2:73:c4:7a:6a:13:24:95:b4: 45:47:b1:d9:b5:ff:6a:74:f7:6b:07:4e:fd:09:7b:87:28:94: 21:9f:63:0b:b3:44:1b:4f:50:1e:1a:53:35:f9:82:d9:bc:d6: 4a:84:ce:71

Ánh xạ người dùng trên lưới thành người dùng hệ thống = cách edit vào trong /etc/grid- security/grid-mapfile

thuytt@hostc:/etc$ cat /etc/grid-security/grid-mapfile

"/O=Grid/OU=GlobusTest/OU=simpleCA-hosta.localgrid/OU=localgrid/CN=Thuy Trieu Thu" auser1

(dạng của file grid-mapfile như sau

“SN của người dùng lưới” tên người dùng local)

b. Thử nghiệm firewall

Thử nghiệm: kiểm tra GridFTP trước và sau khi chặn cổng 2811 Login bằng tên người dùng có certificate

Kiểm tra người dùng này đã được map trên máy đối tác chưa (trong file /etc/grid-mapfile của máy đối tác, SN của ng này đã được map vào 1 người dùng local chưa)

Tạo certificate: $ grid-proxy-init Tạo 1 file để thử copy

$ echo "ThirdParty GridFTP Test" > /tmp/thirdparty.txt Copy

$ globus-url-copy gsiftp://hosta/tmp/thirdparty.txt \ gsiftp://hostb/tmp/thirdparty.txt

Sau đó bật firewall trên hostc, lệnh copy sẽ 0 thể thành công Cách tạo firewall cấm cổng 2811

$ cat /etc/firewall.sh #!/bin/bash

….

iptables -A INPUT -p tcp --dport 2811 -j DROP iptables -A INPUT -p udp --dport 2811 -j DROP …..

Chạy script đó khi khởi động card mạng $ cat /etc/network/interfaces

# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface

auto lo

iface lo inet loopback

# The primary network interface auto eth1

iface eth1 inet static

address 172.16.2.32 netmask 255.255.255.0 network 172.16.2.0 broadcast 172.16.2.255 gateway 172.16.2.1 pre-up /etc/firewall.sh

Khởi động lại card mạng.

$ sudo /etc/init.d/networking restart

KẾT LUẬN

Luận văn đã đề cập đến Tổng quan về an toàn thông tin trong hệ thống tính toán lưới, giải pháp bảo mật kết hợp cả về nền tảng an ninh lưới GSI và an ninh hệ thống như bức tưởng lửa Iptables. Các vấn đề trong luận văn chủ yếu được giải quyết, và thử nghiệm dựa trên middleware: Globus Toolkit.Trong tương lai, với những kết quả có được trong quá trình làm luận văn, tôi định hướng phát triển luận văn của mình theo hướng:

- Nghiên cứu, so sánh giải pháp an toàn thông tin trên Điện toán đám mây

- Thử nghiệm cài đặt grid với công nghệ ảo hóa và mây hóa của Stratuslab và các vấn đề an toàn thông tin trên đó.

- Ứng dụng DIRAC middleware vào hệ thống đang thử nghiệm để gia tăng sự linh động kết nối, thân thiện với người dùng và sự thay đổi cách quản trị dữ liệu trên hệ thống mới này.

- Sử dụng những hiểu biết, sự làm chủ trong an toàn thông tin trên lưới áp dụng cho những bài toán đang triển khai trên Lưới tại Việt Nam:

o Đề tài khoa học và công nghệ cấp Viện Khoa học và Công nghệ Việt Nam: ”Ứng dụng lưới và đám mây điện toán để tính sẵn các kịch bản ứng phó sóng thần có thể xảy ra tại khu vực Biển Đông nhằm phục vụ công tác cảnh báo.” Thực hiện từ: tháng 01/2012 đến tháng 12/2013

o Thực hiện sàng lọc ảo trên tính toán lưới và điện toán đám mây với dữ liệu của Việt Nam- Nghiên cứu sinh Bùi Thế Quang- IFI

TÀI LIỆU THAM KHẢO Tiếng Việt

[1] PGS. TS. Vũ Đức Thi và các đồng nghiệp, Viện Công nghệ Thông tin, Viện khoa học và Công nghệ Việt Nam, Đề tài KC.01.04/06-10, “Nghiên cứu, phát triển hệ thống tính toán lưới để hỗ trợ giải quyết các bài toán có khối lượng tính toán lớn”

[2] Xơn xay, Nguyễn Tuấn Việt, Trầm Thế Phiên “Grid Computing Middleware”

Tiếng Anh

[3] Globus Toolkit: http://www.globus.org/toolkit/docs/5.0/5.0.4/security/

[4] Ian Foster,Carl Kesselman “The grid: blueprint for a new computing infrastructure”

[5] Ian Foster,Yong Zhao, Ioan Raicu, Shiyong Lu “Cloud Computing and Grid Computing 360-Degree Compared”

[6] European Grid Infrastructure (EGI), http://egi.edu/

[7] Von Welch1, Frank Siebenlist, Ian Foster, John Bresnahan “Security for Grid Services”

[8] Unicore, http://www.unicore.eu/

[9] gLite Consortium, gLite Middleware, http://glite.org

A watermark is added at the end of each output PDF file.

To remove the watermark, you need to purchase the software from

PDF Merger

Thank you for evaluating AnyBizSoft PDF Merger! To remove this page, please

register your program!

Go to Purchase Now>>

 Merge multiple PDF files into one

 Select page range of PDF to merge

 Select specific page(s) to merge

 Extract page(s) from different PDF

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu giải pháp an toàn thông tin cho hệ thống tính toán lưới Luận văn ThS. Công nghệ thông tin 60 48 05 (Trang 64 - 74)

Tải bản đầy đủ (PDF)

(74 trang)