简述磁盘阵列中毒案与解决方法

核心提示： 需要注意的是，机房环境对磁盘阵列的保护是非常有限的，简述磁盘阵列中毒案与解决方法(4)，几乎所有中高端磁盘阵列都支持提供远程管理维护，而且厂商或集成商也乐于通过远程管理端口进行定期巡检， 搞定！用户满意了，小胡也上了一课，如果可能，厂商和集成商都会力劝用户为磁盘阵列提供一个公网地址

需要注意的是，机房环境对磁盘阵列的保护是非常有限的。几乎所有中高端磁盘阵列都支持提供远程管理维护，而且厂商或集成商也乐于通过远程管理端口进行定期巡检。如果可能，厂商和集成商都会力劝用户为磁盘阵列提供一个公网地址，并将其置于可由外部访问的位置。也许集成商和用户大多没注意到，这种方便也使磁盘阵列的“脆弱性”暴露在危险的公网环境中。

另外，一旦机房内部感染病毒或出现恶意用户，磁盘阵列由于毫无防范，基本是在劫难逃。前面故事中，小胡的客户遭遇的便是这种情况。磁盘阵列虽然易于感染，但一旦出现这种情况，查杀病毒和恶意代码的工作却很困难。由于封装机制特殊，一般通用安全软件是无法在阵列控制器上安装的。而且，此类系统对管理员帐户及其他方面的改动，也妨碍了安全软件以网络方式清理系统。简单一句话，磁盘阵列易感染病毒却不易清除。

除磁盘阵列之外，其他的存储设备情况如何呢？我们知道，一些光纤交换设备和虚拟存储设备的核心操作系统也是以Linux为基础。但是总体而言，这些设备的安全机制要比磁盘阵列好很多。部分原因是因为大多数此类厂商，都或多或少的有传统以太网络技术基础，还有一部分原因是，这些系统与人们耳熟能详的RedHat、SuSe等Linux版本差异较大，对病毒和黑客而言“兼容性”比较差。

NAS和iSCSI设备中通用操作系统更为流行，微软公司还为此类设备开发了Windows Storage Server作为专业系统，其病毒“兼容性”自然非常“好”。然而幸运的是，一般NAS和iSCSI设备上都会附加有网络安全方面保护。几乎每个NAS产品都会预安装或以选项方式提供防病毒软件，并有良好的认证保护机制。iSCSI设备中则干脆将CHAP保护机制作为其标准配置之一，避免了系统裸露于不安全的网络之中。

由此可见，NAS和iSCSI设备在网络安全方面显然比传统FC磁盘阵列更具优势。因此，在性能和扩展性等要求都可以满足的前提下，选用NAS或iSCSI设备会使存储设备本身更安全。如果一定要选用FC磁盘阵列，则需要尽量避免通过控制器的网络接口进行管理，而尽量采用更为安全的带内（In-Band）管理模式。

我们还是看看小胡是如何为用户解决问题吧。其中关键的步骤无外乎前面提到的几点：

备份所有磁盘阵列中的数据和配置信息；

刷新阵列控制器固件（相当于重新安装操作系统）为最新版本；

手工恢复阵列配置信息；

去除用于管理的以太网连接，改为带内管理；

再次全网杀毒。

搞定！

用户满意了。小胡也上了一课，原来磁盘阵列也是可以染病毒的。