[发明专利]一种通过单向隔离光闸远程操作Linux主机的系统和实现方法

说明书

本发明涉及Linux系统远程控制领域，具体涉及一种通过单向隔离光闸远程操作Linux主机的系统和实现方法。该系统包括WebConsole代理服务、WebConsole服务、光闸数据分发服务、远程控制服务器、两套单向隔离光闸服务器和若干业务服务器。该方法通过浏览器接入WebConsole代理服务，新建一个操作目标业务服务器的浏览器窗口，在该窗口中可输入用户名和密码进行登录，登录成功后可执行Linux操作指令，并在浏览器中显示指令的返回信息。本发明解决了无法通过Telnet、SSH等方式远程控制被单向隔离光闸隔离的业务服务器的问题，可应用在此类安全保护严格的环境中。

技术领域

本发明涉及Linux系统远程控制领域，具体涉及一种通过单向隔离光闸，远程控制被物 理隔离的Linux主机的系统和方法。

背景技术

传统的局域网、互联网或VPN网络环境下，操作员远程操作Linux主机时，可采用Telnet 协议、SSH协议、以及其他基于TCP的协议远程连接Linux主机，执行操作指令进行操作。 但在一些安全性要求较高的环境下，Linux主机被物理隔离，仅能通过单向隔离光闸与外部网 进行数据交互，TCP协议无法在受控的Linux主机和外部网主机中建立连接。因此传统的通 过Telnet、SSH等协议的远程操作无法实现。

发明内容

针对Telnet、SSH等协议无法远程操作被单向隔离光闸隔离的Linux主机这一问题，本 发明设计了一种通过单向隔离光闸远程操作Linux主机的系统和实现方法。

本发明采用的技术方案如下：

本发明的通过单向隔离光闸远程操作Linux主机的系统，包括有WebConsole代理服务、 WebConsole服务、光闸数据分发服务、远程控制服务器、两套单向隔离光闸服务器和若干业 务服务器，其中业务服务器即Linux主机。其中两套单向隔离光闸服务器包含第一单向隔离 光闸服务器和第二单向隔离光闸服务器，第一单向隔离光闸服务器的数据方向是从远程控制 服务器传输到业务服务器，第二单向隔离光闸服务器的数据方向是从业务服务器传输到远程 控制服务器。

若干业务服务器组成局域网，该局域网被两套单向隔离光闸隔离，与远程控制服务器无 法进行TCP通信。

受控的业务服务器上部署WebConsole服务，其中一台业务服务器部署光闸数据分发服务。

WebConsole服务配置了远程登录的用户名和密码，操作员远程登录时输入该用户名和密 码进行授权认证，该用户与业务服务器上的用户无关。WebConsole服务还配置了业务服务器 上的本地用户，WebConsole服务以该用户角色启动服务，运行的远程操作具有该用户的权限。 该用户不能为root用户，避免权限过高出现安全漏洞。WebConsole服务提供HTTP接口，接 收操作指令，打开本地系统的伪终端，在伪终端中执行指令，并将标准输出和标准错误输出 返回。

光闸数据分发服务不断检测从远程控制服务器传入隔离局域网的隔离光闸，收到操作指 令后，通过调用目标业务服务器上的WebConsole服务提供的HTTP接口，将指令发送到 WebConsole服务，并等待结果返回，将返回的结果写入从隔离局域网到远程控制服务器的隔 离光闸。

远程控制服务器中部署WebConsole代理服务，直接或通过交换机与两套单向隔离光闸连 接。

WebConsole代理服务为B/S架构(浏览器/服务器架构)，提供基于浏览器的图形化界面， 界面类似于Telnet或SSH客户端。操作员通过WebConsole代理服务的图形化界面输入指令 操作业务服务器。WebConsole代理服务从浏览器接收到操作员的指令后，写入从远程控制服 务器传入隔离局域网的隔离光闸，并检测从隔离局域网到远程控制服务器的隔离光闸上的返 回数据，将返回数据传回浏览器。

本发明设计的通过单向隔离光闸远程操作Linux主机的实现方法，包括如下步骤：