讓關閉的Linux操作系統實現防火墻

一次在網上閑逛，突然看到論壇有一條消息說有一種方法，可以讓已經關閉的Linux機器繼續(xù)運行ipchains，并且讓這臺機器繼續(xù)實現防火墻的功能。當時我的第一反映是不屑一顧，難道一個防火墻還可以在關機的狀態(tài)下工作?依照論壇中所指的鏈接，我找到了一個帖子，上面說在2.0.x內核中，使用Shutdown ?h(關機)命令可以使防火墻仍處于激活狀態(tài)，而此時沒有掛載驅動器，也沒有進程在運行。也就是說防火墻將在Level 0下運行，但仍然可以進行包過濾。不過，貼子說該功能在2.2.x系統的內核中已經不具備了。

看到這兒，我有些坐不住了，我決定在內核為2.2.x的機器上也實現類似的功能，并且我希望不在內核中增加任何補丁。事實證明，我做到了。

安全的防火墻

我認為安全意味著這樣一種可能性，也就是假設防火墻已經被完全關閉，并且已經清除了所有進程空間和文件系統，這樣就不會有任何黑客可以對該系統進行訪問。因為該機器上已經完全沒有了進程空間，也沒有掛載驅動器。因此，黑客就無法在系統外使代碼運行在內核空間中。因為這需要寫解釋代碼來產生所需要的結果，而這是一項非常艱苦的工作。

不過需要提請注意的是，該防火墻并不能避免“拒絕服務式”的攻擊。事實上，對于“拒絕服務式”攻擊以及其它的專門耗盡資源的攻擊，該防火墻并不比任何其它的防火墻有效。當然，現實中，一般來說系統并不容易受到這種攻擊。

因為這種方法可以確保沒有一個用戶可以控制該機器，因此可以使安全性大大的提高。這正好應了IT業(yè)安全領域常說的一句話，要想讓一臺機器絕對安全，就應該把它關機，然后將其鎖在一間屋子里。

開始實施

我用于測試的是一臺基于x86的Red Hat 6.2機器，它安裝有兩個網卡。整個過程無需特殊的系統或者對內核進行增改。開始，我嘗試著在控制運行的腳本中搜索，希望能找到一點相關的線索。最后，我把焦點定格在rc0(該腳本在機器關閉時運行)腳本上。事實證明，這正是我要找的地方。于是我開始從中刪除一些腳本，并且進行了一系列測試。

經過一段相對較短的時間，我得出結論，對于Red Hat Linux 6.2，刪除以下腳本就可以實現上述的功能:

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]