【IT168 技术】近年来云计算业务发展迅速,尤其是基于IAAS的基础架构云,使得操作系统的创建颇为容易,只需要点一个按钮就可完成操作系统创建,这就使得机器数量的扩展极其容易。面对机器体量的迅速扩大,安全威胁也同样高速演进变化,这就促使防御技术也要快速改善。
IBM Bigfix配置和安全管理平台,可以帮助企业自动检查和明确公司之中有哪些个人电脑、服务器和虚机等不符合公司IT安全标准,并进行自动标识,提交给IT管理员。Bigfix可以在数分钟之内为50万台以上的终端修复安全漏洞和打补丁。可以帮助企业实现计算机安全性与合规性的管理与更新自动化,以更加智能的方式保障企业安全。
本文以IBM Bigfix9.5版本为例结合项目实践,为读者提供一套完整的在windows 2008环境中Bigfix的安装和部署方案仅供读者参考。主要包括以下内容:
1、 Bigfix简介
2、 Bigfix部署环境要求
3、 Bigfix安装配置
4、 Bigfix部署常见问题
5、 小结
1. Bigfix简介
IBM Bigfix是Bigfix管理员用来管理、维护和报告系统安全的一套应用程序,主要是基于系统和产品层面的解决方案,旨在帮助企业和政府机构实现更智能、更快速的终端安全与管理。它可以查看和管理物理和虚拟终端包括服务器、台式机、笔记本电脑、漫游的专用设备如销售终端设备、自助取款机、自助服务亭等。一旦威胁出现,Bigfix可以快速修复,保护终端安全,并出具实时的报告。通过在复杂的网络环境下,实现复杂的密集性任务,来控制成本,降低风险,同时遵守安全合规。
IBM Bigfix可以解决以下问题:
1、 更好的管理分布式终端
2、 确保投入的成本发挥到真实的效用
3、减少管理终端的人力、物力和财力成本
4、有效管理相当数量的多操作系统平台的终端
5、自动化管理服务器,如集群服务器补丁和顺序服务构建
6、 通过集成提高了智能化水平,集成了现有工具和流程和安全监控
7、通过对安全性策略的集中管理和实施实现了安全性的非常好的实践
8、报告、治理与合规功能,促进对安全状态和问题的沟通
IBM Bigfix包括但不仅仅局限于操作系统补丁和安全检查管理,对于补丁和安全检查的管理,目前Bigfix支持以下操作系统:
· RHEL-Autopatch+Healthcheck+Console
· Centos-Autopatch+ Healthcheck + Console
· SLES-Autopatch+ Healthcheck +Console
· AIX-Autopatch+ Healthcheck Console
· Solaris/Sun-Autopatch+ Healthcheck +Console
· Windows-Autopatch+ Healthcheck +Console
· Windows Server-Autopatch+ Healthcheck +Console
· Mac OS X –Console
· HPUX – Healthcheck +Console
· ESX - Healthcheck +Console
2. Bigfix部署环境要求
Bigfix虽然是很大的一个应用程序,所支持的终端也非常广泛,但是对环境要求其实并不高,通常我们使用的服务器、个人电脑等都能满足要求,下面给出的是详细的资源需求以供读者参考:
· 硬件要求:在安装Bigfix之前,请确保系统有足够CPU、内存和足够的磁盘空间来执行安装和存储数据库。对数据库磁盘空间要求的基本规则是要有最小存储空间的两倍空间,以满足数据库增长的需要,包括Bigfix数据库内的数据移动的临时空间分配。基于Windows部署,数据库的大小可以通过Microsoft SQL Server Management Studio 确定。详细的硬件要求如下:
最小CPU:1 Ghz
最小内存:512 MB
最小存储空间:2 GB
· 软件要求:必须安装在所支持的操作系统,操作系统和Bigfix版本的对应关系如下:
Windows Server 2008(x86/x64)--Bigfix7.0.9+
Windows Server 2008 R--Bigfix 8.0+
Windows 7(x86/x64)--Bigfix 8.0+
Solaris 10(x86/x64)--Bigfix 8.0+
RHEL 5(x86/x64)--Bigfix 8.0+
RHEL 6(x86/64)--Bigfix 8.2+
SUSE 11(x86/x64)--Bigfix 8.2+
AIX 6.1--Bigfix 8.1+
AIX 7.1--Bigfix 8.2+
在实际的项目需求中,读者可以根据自己的实际需要选择硬件和软件配置,当然配置越高,Bigfix运行的性能越好。值得注意的是在选择配置的过程中,需要考虑到后续的可持续发展问题,Bigfix运行过程中会产生大量的数据和日志文件,所以需要充分的硬盘空间来存储这些数据。
· 部署模型
一个典型的Bigfix部署模型是必须要有一个Bigfix服务器,Bigfix服务器会从网上收集消息,我们称之为Fixlet,这些消息可以由控制台操作员查看并分发给中继服务器,再将数据转发到客户端,客户端检查其本地计算机的配置与Fixlet的匹配情况,并把报告汇总到中继服务器,中继服务器进行数据压缩并汇报给Bigfix服务器。
控制台可以监控整个活动执行过程,并连接到Bigfix服务器,定期更新视图和其他新的信息,当发现漏洞时,控制台操作员可以对目标客户端进行自动补丁更新和其他的修复操作,修复的执行情况可以实时监控跟踪,并逐一的消除漏洞和错误。
下图的部署模型可以比较清晰的反应出Bigfix部署结构和工作执行情况:
▲Bigfix部署模型
3. Bigfix安装配置
如果是在生产环境安装配置Bigfix,需要首先从IBM购买授权许可,当然如果是作为演示或者学习之用,您也可以选择安装评估版本,可以试用30天。
因为Bigfix是一个安全管理平台,所以自身的安全问题是需要首先考虑问题,它通过尽量减少可信任的访问人员数量和集中管理公有和私有秘钥来实现Bigfix自身的安全。Bigfix通过中央仓库集中管理公有和私有密钥,来防止非授权的访问,所以在开始安装之前需要先从IBM获取授权文件,名字类似于*.BESLicenseAuthorization的文件。安装程序会进一步收集部署信息,然后创建刊头文件,刊头文件通过公有密钥的方式把配置信息(如IP地址、端口等)和授权信息(如多少个授权和授权时间)编译在一起,用来验证数字签名。Bigfix安装工具可以用来创建和维护数字签名和刊头文件,安装文件可以从IBM官方下载。
3.1 安装程序下载
Bigfix的安装文件可以从http://support.bigfix.com/bes/install/downloadbes.html或者http://www.ibm.com/developerworks/downloads/tiv/endpoint/下载。用作演示的安装文件和生产环境的安装文件是同一个,只是在安装过程中做不同的选择即可,
可以下载表中所示的文件作为安装文件:
▲Bigfix安装文件
在windows环境下解压,即可得到BigFix_Pltfrm_Install_V95文件夹,在该文件夹里可以找到setup.exe.
3.2 创建刊头文件
在进行这个步骤之前,需要先IBM官方授权中心注册帐号并拿到授权许可文件,名字类似于:*.BESLicenseAuthorization的文件。有了该文件之后就可以创建刊头文件、安装和使用Bigfix。刊头文件是集中处理访问和授权的活动站点,下面就详细介绍如何创建和启用刊头文件:
1.执行安装文件,选择生产选项并接受软件安装许可协议然后执行下一步。
2.选择用IBM Bigfix授权许可文件安装,创建私有密钥和刊头文件。
▲安装类型
3.选择文件位置并点击下一步,前面提到过是一个*.BESLicenseAuthorization的文件。
4.输入DNS名字和IP地址并点击下一步,输入的信息会被记录在许可文件中,在安装客户端的时候,通过许可文件中记录的信息来识别Bigfix服务器。
5.为管理员创建密码,通过这种方式来管理所有的Bigfix用户,然后点击创建。
▲创建密码
6.保存生成的私有密钥文件(license.pvk)然后点击确定。值得注意的是,如果该文件丢失,只能通过重新安装来生成新的密钥文件,任何得到该文件和密码的人都具有对bigfix所管理的所有客户端的全部的控制权限,所以请一定确保文件和密码的安全。
7.需要向IBM提交许可验证请求来验证授权文件、DNS名字和公有密钥。
▲提交验证
8.验证向导会从bigfix许可服务器返回一个license.crt文件,把该文件导入到安装文件。
9.从许可请求对话框,点击创建,来创建刊头文件。
▲创建刊头文件
10.输入刊头文件的各项参数,默认端口是52311 ,然后点击确定会自动弹出Bigfix安装指南。该指南会创建Bigfix服务器、控制台和客户端的安装文件,但并不会自动执行安装,需要手动执行才能安装。
▲设置参数
