2.1.3 .2Ủy quyền
3.7 Tường lửa trên Grid
3.7.2 Điều khiển phạm vi cổng trong Grid
- Cho GT chưa hỗ trợ Web cấu hình các bước sau: * Chọn phạm vi cổng có thể điều khiển được GLOBUS_TCP_PORT_RANGE * Cấu hình Gatekeeper/Job-Manager để sử dụng GLOBUS_TCP_PORT_RANGE * Cấu hình GridFTP để sử dụng GLOBUS_TCP_PORT_RANGE *Cấu hình MDS để sử dụng GLOBUS_TCP_PORT_RANGE
- Cho GT hỗ trợ Web sử dụng thư viện C và Java
- Trên cơ sở cổng dịch vụ đã xác định Globus Toolkit cho phép người sử dụng cấu hình bức tường cả hai phía máy khách và máy chủ.
Chương 4 - Mô hình thử nghiệm
4.1Hệ thống thử nghiệm
Mô hình: 3 máy tính
hosta.localgrid – vai trò CA, địa chỉ 172.16.2.30 hostb.localgrid, địa chỉ 172.16.2.31
hostc.localgrid, địa chỉ 172.16.2.32
4.2Các kịch bản thử nghiệm
- Tạo certificate
- Dùng firewall để chặn ứng dụng GridFTP
a. Demo tạo certificate
2 nội dung
- tạo host certificate (optional) - tạo user certificate
Nói chung là tạo 1 cặp key và cert_request, cert_request sau đó được gửi tới CA ký để tạo cert, sau đó gửi lại
Có thể tạo nhanh host certificate bằng cách copy 1 host đã có sẵn và đổi tên, đổi ip …, sau đó xóa file /etc/grid-security và xóa các user không cần thiết đi
Tạo host certificate mới Trên máy muốn tạo hostcert
[root@hostb]# scp root@hosta:~/.globus/simpleCA \ /globus_simple_ca_(ca_hash)_setup-0.18.tar.gz . # $GLOBUS_LOCATION/sbin/gpt-build \
globus_simple_ca_(ca_hash)_setup-0.18.tar.gz gcc32dbg # $GLOBUS_LOCATION/sbin/gpt-postinstall
# $GLOBUS_LOCATION/setup\
/globus_simple_ca_[ca_hash]_setup/setup-gsi -default
Chạy lệnh yêu cầu tạo host
# grid-cert-request -host `hostname`
Copy file /etc/grid-security/hostcert_request.pem đến CA
Trên CA tiến hành ký nhận
root@hosta# grid-ca-sign -in hostcert_request.pem -out hostcert.pem To sign the request
please enter the password for the CA key: (type ca passphrase) The new signed certificate is at:
/home/globus/.globus/simpleCA//newcerts/01.pem
Copy file hostcert vừa được tạo ra vào lại thư mục /etc/grid-secutiry. Tạo user certificate
login bằng tên người muốn tạo certificate
$ grid-cert-request
Copy file (userhome)/.globus/usercert_request.pem sang máy CA Ký nhận trên CA
# grid-ca-sign -in usercert_request.pem -out usercert.pem
Copy file usercert.pem vừa dc tạo ra vào /userhome/.globus Chạy grid-proxy-init để tạo proxy.
Muốn xem thông số của certificate, chạy grid-cert-info Muốn xem SN của certificate, grid-cert-info -subject So sánh
Certificate: Data:
Version: 3 (0x2)
Serial Number: 56 (0x38)
Signature Algorithm: sha1WithRSAEncryption Issuer: O=grid, O=pragma, CN=pragma-exp CA Validity
Not Before: Oct 7 19:21:55 2009 GMT Not After : Oct 7 19:21:55 2010 GMT
Subject: O=grid, O=pragma, OU=VN-IOIT-VAST, CN=Thuy Trieu Thu Subject Public Key Info:
Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit)
Modulus (1024 bit): 00:e5:1e:a0:a0:fe:b2:a7:19:57:a9:c0:ad:1a:dd: ec:e8:a3:d6:e0:06:b0:c9:2a:29:db:ab:88:e2:9a: 46:8f:09:f1:5f:22:4b:7c:9e:2f:44:75:0e:b6:f7: f6:2f:5d:f6:9e:9e:1b:16:20:8c:35:1e:4f:09:2b: f1:83:2a:f4:4c:79:64:1f:35:55:f5:0d:2e:cf:1c: 2b:f6:de:7c:f4:1a:ab:13:78:3a:f7:ec:85:57:4c: 2d:49:47:fe:85:a4:82:7e:8a:bb:03:b2:3f:d5:46: 26:4c:fa:25:f2:fe:7b:5c:f7:6b:db:b1:3a:33:5a: 73:38:c2:eb:f3:c8:7b:54:33 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Certificate Policies: Policy: 1.3.6.1.4.1.13230.101.2.1.0
Policy: 1.2.840.113612.5.2.2.1 X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 CRL Distribution Points:
URI:http://ca.pragma-grid.net/ca-certs/5456d9ca.der X509v3 Key Usage: critical
Digital Signature, Key Encipherment, Data Encipherment X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Authority Key Identifier:
keyid:A0:FA:32:A3:E6:6A:B7:9E:A5:64:B7:AA:C2:DD:6C:A0:13:33:DA:A2 X509v3 Subject Key Identifier:
D4:C8:0F:A7:2F:DE:11:89:18:0E:16:E5:AB:B4:8A:25:90:18:64:93 Signature Algorithm: sha1WithRSAEncryption
03:3d:6d:00:ea:dd:78:2f:ea:f6:93:c1:94:0c:08:c5:8b:e0: f6:28:93:93:f0:dd:9a:88:94:5c:5c:51:7e:78:a2:43:97:8a: 43:6c:69:c5:38:97:91:5d:1f:c2:f6:2a:60:7d:cd:de:d7:40: b5:20:87:14:d6:c6:8b:af:00:38:f1:80:f5:4c:09:82:e5:32: a9:c8:ed:02:70:79:57:df:ef:97:d8:88:f2:ad:08:0f:31:d3: 15:a6:f4:53:aa:c6:7d:b5:15:e3:47:ee:41:e1:a1:74:a8:44: a7:56:cb:d8:ac:13:6f:f4:fd:27:e9:b1:22:ec:ea:a1:dc:a7: 4c:56:ec:50:c4:a7:a3:a0:73:39:56:bb:3d:f9:26:d9:4f:22: 14:76:49:75:3f:89:83:23:0a:8b:81:99:4e:07:30:99:09:c3: fa:21:43:9a:a5:ef:00:e8:e1:9b:44:a9:a5:bd:f5:74:5e:53: 24:fc:35:6c:5f:d1:1c:1f:f8:91:b3:43:da:ba:41:2c:e1:e5:
10:0d:86:00:8a:e1:ea:f4:ea:f2:73:c4:7a:6a:13:24:95:b4: 45:47:b1:d9:b5:ff:6a:74:f7:6b:07:4e:fd:09:7b:87:28:94: 21:9f:63:0b:b3:44:1b:4f:50:1e:1a:53:35:f9:82:d9:bc:d6: 4a:84:ce:71
Ánh xạ người dùng trên lưới thành người dùng hệ thống = cách edit vào trong /etc/grid- security/grid-mapfile
thuytt@hostc:/etc$ cat /etc/grid-security/grid-mapfile
"/O=Grid/OU=GlobusTest/OU=simpleCA-hosta.localgrid/OU=localgrid/CN=Thuy Trieu Thu" auser1
(dạng của file grid-mapfile như sau
“SN của người dùng lưới” tên người dùng local)
b. Thử nghiệm firewall
Thử nghiệm: kiểm tra GridFTP trước và sau khi chặn cổng 2811 Login bằng tên người dùng có certificate
Kiểm tra người dùng này đã được map trên máy đối tác chưa (trong file /etc/grid-mapfile của máy đối tác, SN của ng này đã được map vào 1 người dùng local chưa)
Tạo certificate: $ grid-proxy-init Tạo 1 file để thử copy
$ echo "ThirdParty GridFTP Test" > /tmp/thirdparty.txt Copy
$ globus-url-copy gsiftp://hosta/tmp/thirdparty.txt \ gsiftp://hostb/tmp/thirdparty.txt
Sau đó bật firewall trên hostc, lệnh copy sẽ 0 thể thành công Cách tạo firewall cấm cổng 2811
$ cat /etc/firewall.sh #!/bin/bash
….
iptables -A INPUT -p tcp --dport 2811 -j DROP iptables -A INPUT -p udp --dport 2811 -j DROP …..
Chạy script đó khi khởi động card mạng $ cat /etc/network/interfaces
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface auto eth1
iface eth1 inet static
address 172.16.2.32 netmask 255.255.255.0 network 172.16.2.0 broadcast 172.16.2.255 gateway 172.16.2.1 pre-up /etc/firewall.sh
Khởi động lại card mạng.
$ sudo /etc/init.d/networking restart
KẾT LUẬN
Luận văn đã đề cập đến Tổng quan về an toàn thông tin trong hệ thống tính toán lưới, giải pháp bảo mật kết hợp cả về nền tảng an ninh lưới GSI và an ninh hệ thống như bức tưởng lửa Iptables. Các vấn đề trong luận văn chủ yếu được giải quyết, và thử nghiệm dựa trên middleware: Globus Toolkit.Trong tương lai, với những kết quả có được trong quá trình làm luận văn, tôi định hướng phát triển luận văn của mình theo hướng:
- Nghiên cứu, so sánh giải pháp an toàn thông tin trên Điện toán đám mây
- Thử nghiệm cài đặt grid với công nghệ ảo hóa và mây hóa của Stratuslab và các vấn đề an toàn thông tin trên đó.
- Ứng dụng DIRAC middleware vào hệ thống đang thử nghiệm để gia tăng sự linh động kết nối, thân thiện với người dùng và sự thay đổi cách quản trị dữ liệu trên hệ thống mới này.
- Sử dụng những hiểu biết, sự làm chủ trong an toàn thông tin trên lưới áp dụng cho những bài toán đang triển khai trên Lưới tại Việt Nam:
o Đề tài khoa học và công nghệ cấp Viện Khoa học và Công nghệ Việt Nam: ”Ứng dụng lưới và đám mây điện toán để tính sẵn các kịch bản ứng phó sóng thần có thể xảy ra tại khu vực Biển Đông nhằm phục vụ công tác cảnh báo.” Thực hiện từ: tháng 01/2012 đến tháng 12/2013
o Thực hiện sàng lọc ảo trên tính toán lưới và điện toán đám mây với dữ liệu của Việt Nam- Nghiên cứu sinh Bùi Thế Quang- IFI
TÀI LIỆU THAM KHẢO Tiếng Việt
[1] PGS. TS. Vũ Đức Thi và các đồng nghiệp, Viện Công nghệ Thông tin, Viện khoa học và Công nghệ Việt Nam, Đề tài KC.01.04/06-10, “Nghiên cứu, phát triển hệ thống tính toán lưới để hỗ trợ giải quyết các bài toán có khối lượng tính toán lớn”
[2] Xơn xay, Nguyễn Tuấn Việt, Trầm Thế Phiên “Grid Computing Middleware”
Tiếng Anh
[3] Globus Toolkit: http://www.globus.org/toolkit/docs/5.0/5.0.4/security/
[4] Ian Foster,Carl Kesselman “The grid: blueprint for a new computing infrastructure”
[5] Ian Foster,Yong Zhao, Ioan Raicu, Shiyong Lu “Cloud Computing and Grid Computing 360-Degree Compared”
[6] European Grid Infrastructure (EGI), http://egi.edu/
[7] Von Welch1, Frank Siebenlist, Ian Foster, John Bresnahan “Security for Grid Services”
[8] Unicore, http://www.unicore.eu/
[9] gLite Consortium, gLite Middleware, http://glite.org
A watermark is added at the end of each output PDF file.
To remove the watermark, you need to purchase the software from
PDF Merger
Thank you for evaluating AnyBizSoft PDF Merger! To remove this page, please
register your program!
Go to Purchase Now>>
Merge multiple PDF files into one
Select page range of PDF to merge
Select specific page(s) to merge
Extract page(s) from different PDF