小心你的數據 磁盤陣列中毒與解決方法

很多資深的存儲工程師可能也沒碰到過磁盤陣列染病毒的說法。傳統上磁盤陣列在系統的位置僅僅是一個外部設備，很多用戶甚至直接稱呼其為“大硬盤”。這種設備自身雖然也有固件(Firmware)部分，但基本都是諸如VxWorks甚至更小的嵌入式系統，極少有病毒能夠感染這種系統。自然也就沒人見過磁盤陣列染病毒這種事情。

但是，近年來隨著磁盤陣列功能的豐富和處理要求的提高，越來越多的中高端磁盤陣列開始選用更大型的操作系統作為固件平臺。

NetApp存儲設備控制器中運行的是定制后的FreeBSD;

Engineo磁盤陣列(即IBMDS4000系列)控制器采用IntelCeleron芯片，運行的是Linux(DS4100和DS4300仍然沿襲Mylex技術，采用XscaleCPU及VxWorks系統);

EMCCLARiiON系列陣列控制器采用IntelPentium芯片，曾經以Windows2000作為操作系，現在升級為WindowsXP;

Sun新推出的6920磁盤陣列中心處理單元(稱為DSP)是一臺Sparc服務器，運行標準的Solaris和VeritasVolumeManager;

IBM企業級產品DS8000陣列控制器是RS6000架構，運行AIX系統。

傳統服務器操作系統在磁盤陣列控制器中的盛行，自然為這些產品的功能和處理能力提供了強大動力支持，但是同時也為病毒傳播和黑客攻擊提供了機會。

毋需諱言Windows、Linux、Solaris和AIX這些開放系統平臺由于用戶眾多，自然成了病毒和黑客們的重點攻擊對象。筆者的筆記本上安裝了預警系統，可以報告一些嗅探器的掃描和非法請求。雖然這個預警系統不能監測到所有的攻擊和掃描，但既便如此，每周累計上百條的事件已經足以說明 Internet中的各類攻擊和掃描其數量何等驚人。如果這些攻擊中只有哪怕1‰的成功率，也將意味著系統平均每2～3個月就會被非法入侵一次。對絕大多數中高端系統而言，這樣的安全性是完全無法忍受的。更何況，對沒有任何保護的“裸系統”，攻擊的成功率會比1‰高很多。筆者曾經嘗試將僅安裝有 WindowsXP的筆記本電腦徹夜連接在Internet上，次日早上MSN的口令已經被更改，桌面設置也面目全非。

針對Windows、Linux和開放Unix系統的病毒和攻擊每天都在更新，而這些系統本身，也是依靠頻繁的補丁和第三方安全軟件來保護的。因此，對安裝在陣列控制器中的系統而言，情況便很棘手。目前還沒有第三方安全軟件廠商為陣列控制器提供安全防護軟件，用戶只能像頻繁的為主機打補丁一樣，頻 繁的為陣列控制器升級固件。事實上，各磁盤陣列廠商也是這樣提倡的，這些廠商一邊向用戶聲稱“升級為最新版本的固件才能保證系統最為可靠”，一邊以平均每周一次的速度更新其固件版本。然而升級陣列固件對在線的磁盤陣列來說是非常危險的操作，頻繁的升級固件無疑會嚴重影響數據安全。既便廠商可以保證100% 安全的固件升級，大多數中高端系統也無法忍受如此頻繁的當機窗口。每周停機1～2小時，每年就要50～100小時!這哪里還是廠商們所宣稱的“四個九”、 “五個九” 的高可用?

也許廠商們也意識到了這個尷尬，一些還算有責任感的廠商在新推出的產品中引入了一個特殊的功能—-在線升級固件。這下問題似乎解決了。筆者曾多次親耳聆聽過幾家知名廠商的工程師們對此功能的溢美之辭，稱其可以實現“不間斷的系統維護”云云。事實果真如此嗎?很遺憾，實際情況完全沒有那么完美。翻開任何一款支持“在線固件升級”產品的用戶手冊，都會發現其操作規程中大同小異的赫然提示： “雖然本產品可以支持在線固件升級，但要求升級過程中停止任何外部I/O操作。”這是什么意思?磁盤陣列可以不停機，但是主機讀寫需要停止。這跟系統停機有什么區別?!所謂“不間斷維護”，豈不成了文字游戲。

退一萬步說，既便用戶完全按照廠商的要求，以最快的速度更新固件，磁盤陣列就安全了嗎?把WindowsXP的補丁升級到最新版本，就可以免受病毒 和黑客威脅了嗎?一樣的道理嘛。也許有人會懷疑， “并沒有聽說很多磁盤陣列染病毒和被攻擊的事件啊。”其實道理也很簡單。想想中高端磁盤陣列一般應用的環境，電信公司的中心機房哪個不是層層的軟硬防火墻 保護?銀行的中心機房更甚，干脆就隔離了接駁Internet的物理連接。這些客觀因素減少了磁盤陣列這種“脆弱系統”遭受侵擾的機會，但是這并不等于減 少了磁盤陣列的“脆弱性”。

需要注意的是，機房環境對磁盤陣列的保護是非常有限的。幾乎所有中高端磁盤陣列都支持提供遠程管理維護，而且廠商或集成商也樂于通過遠程管理端口進 行定期巡檢。如果可能，廠商和集成商都會力勸用戶為磁盤陣列提供一個公網地址，并將其置于可由外部訪問的位置。也許集成商和用戶大多沒注意到，這種方便也使磁盤陣列的“脆弱性”暴露在危險的公網環境中。

另外，一旦機房內部感染病毒或出現惡意用戶，磁盤陣列由于毫無防范，基本是在劫難逃。磁盤陣列雖然易于感染，但一旦出現這種情況，查殺病毒和惡意代 碼的工作卻很困難。由于封裝機制特殊，一般通用安全軟件是無法在陣列控制器上安裝的。而且，此類系統對管理員帳戶及其他方面的改動，也妨礙了安全軟件以網 絡方式清理系統。簡單一句話，磁盤陣列易感染病毒卻不易清除。

除磁盤陣列之外，其他的存儲設備情況如何呢?我們知道，一些光纖交換設備和虛擬存儲設備的核心操作系統也是以Linux為基礎。但是總體而言，這些 設備的安全機制要比磁盤陣列好很多。部分原因是因為大多數此類廠商，都或多或少的有傳統以太網絡技術基礎，還有一部分原因是，這些系統與人們耳熟能詳的 RedHat、SuSe等Linux版本差異較大，對病毒和黑客而言“兼容性”比較差。

NAS和iSCSI設備中通用操作系統更為流行，微軟公司還為此類設備開發了WindowsStorageServer作為專業系統，其病毒“兼容 性”自然非常“好”。然而幸運的是，一般NAS和iSCSI設備上都會附加有網絡安全方面保護。幾乎每個NAS產品都會預安裝或以選項方式提供防病毒軟 件，并有良好的認證保護機制。iSCSI設備中則干脆將CHAP保護機制作為其標準配置之一，避免了系統裸露于不安全的網絡之中。

由此可見，NAS和iSCSI設備在網絡安全方面顯然比傳統FC磁盤陣列更具優勢。因此，在性能和擴展性等要求都可以滿足的前提下，選用NAS或 iSCSI設備會使存儲設備本身更安全。如果一定要選用FC磁盤陣列，則需要盡量避免通過控制器的網絡接口進行管理，而盡量采用更為安全的帶內(In- Band)管理模式。

原文章地址：http://blog.chinaunix.net/uid-26584327-id-3250504.html