一种控制能够由操作系统的用户实施的系统关键改变的方法、可操作为执行该方法的计算机程序产品和操作系统。该方法包括:从用户接收进行系统关键改变的请求;评估该用户是否具有进行所述系统关键改变的适当权限;如果有,则向具有进行所述系统关键改变的适当权限的至少一个其他用户通知所接收的请求;以及在实施所请求的系统关键改变之前等待来自至少一个其他用户的批准。各方面和实施例通过消除单个用户直接发布和实施危险或破坏性的命令的能力来改进计算机系统的安全。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种控制能够由操作系统的用户实施的系统关键改变的方法、可操作为执行该方法的操作系统和计算机程序产品。
技术介绍
需要提供计算系统的更好的保护。系统管理员一般可以访问系统内的数据和代码。此外,不可信的、可能恶意的软件可能在系统上运行,并且可能获得对系统内的数据和代码的访问。从实际和实现的角度来看,对进行可能恶意或有害的改变更富有弹性的安全系统必须在技术上有效而且还能够负担。期望提供对可能恶意或有害的改变具有改善的弹性的操作系统。
技术实现思路
第一方面提供一种控制能够由操作系统的用户实施的系统关键改变的方法,该方法包括:从用户接收进行系统关键改变的请求;评估用户是否具有进行系统关键改变的适当权限;如果有,则向具有进行系统关键改变的适当权限的至少一个其它用户通知所接收的请求;以及在实施所请求的系统关键改变之前,等待来自至少一个其它用户的批准。由例如共置在数据中心中的服务器容纳的计算系统通常被很好地保护,因为物理进入服务器房间通常被严格限制。远程访问操作系统和在其上运行的应用一般也是受控的,例如,通过安全壳(SSH)或远程桌面会话。存在防止一般用户(不论该用户是人还是软件服务)具有对计算系统进行可能破坏性的改变的能力的方法。通常,存在具有对系统进行改变几乎不受限制的权力的特殊用户。该用户在很多操作系统中通常被成为“超级用户”。在UNIX和类UNIX系统中,超级用户(根(root))可操作以改变每个用户的权限。用户“根”可以不受限制地访问文件和命令。因此任何获得超级用户接入的恶意用户或恶意软件可在系统内执行任何动作,例如,删除敏感数据、关闭虚拟机或关闭整个系统。应当知道,真正的超级用户也可以执行相同的一组动作,包括上面提出的危险动作,虽然真正的超级用户可能无意或疏忽地执行这些操作。这种情况也可能发生在其它操作系统中,例如,微软的视窗操作系统。操作系统一般依照“最小权限”的原理来工作,依照该原理可以配置用户账户,以使得每个用户(除了超级用户以外)能够只管理平台上的一些可用服务。例如,用户可以被分配能够改变网络服务器的配置并重新启动它的权限,但是该用户可能不会被赋予或分配足以能够关闭其它服务或整个系统的权限。用户可能在配置服务时无意识地出错或出于个人目的有意识地错误地配置服务。典型操作系统的接入控制模型是为了允许用户来管理操作系统的每一个服务,使得查询被发送到接入控制子系统,从该接入控制子系统返回的答案采用二进制响应的形式返回。用户要么被授权要么不被授权来管理该服务。由授权用户采取的管理动作被批准,而不需要检查这些操作。在此描述的方面和实施例认识到,可能存在与对典型的操作系统接入控制模型的改变相关联的益处,以使得由授权用户采取的动作(例如关键动作)可能需要具有适当权限的一个或多个其他用户的批准,以使得新的配置在任何改变被系统应用之前被一个以上的其他用户同意。应当知道,这样的安排如果在数据中心和/或云计算服务器上实现是有用的,其中由于系统管理员的失误而产生的服务器的错误配置可导致破坏与客户之间的安全级别协议或者例如破坏客户的数据的安全和保密性。在典型的现代操作系统中,接入控制列表(ACL)用于授权用户执行所请求的操作。例如,被赋予读和/或写和/或执行特定文件的能力的用户通常在与该特定文件相关联的ACL中定义。文件系统可支持可移植操作系统接口(POSIX) ACL,根据该POSIX ACL,用于个人用户和组的多个接入规则对于系统中的每个文件可以是特定的。在已知的ACL实现中,存在超级用户,并且该超级用户在整个系统中具有不受限制的权限,因此,能够采取任何动作,例如,添加、编辑或删除任何文件或者启动、停止、或重新启动任何在系统上运行的应用。超级用户通常是受过训练的技术人员,并且该超级用户也通常被称为系统管理员。这种系统管理员通常负责支持和维护计算机系统。系统管理员通常具备可有助于维持低故障率和低数据丢失率的训练和经验。但是,人为错误仍然可能发生,并且恶意用户或恶意软件仍然可能在系统上破坏性地运行。为了应对人为错误,系统或应用可操作以自动检查任何发布的“关键”命令。系统或应用可以向超级用户发送适当的警告消息。关于关键命令的最后决定可以由超级用户做出,其可以主动或无意地忽略任何这种警告消息,关键命令可被提交。应当知道,已经例如通过权限提升技术获得对系统的超级用户接入的恶意用户或软件的活动是不可控制的。可以使用一些重新授权对策,但是这通常发生得太迟。基于工作流的交互模型有时候仅在配置改变需要在被提交前经过其他用户批准的单独应用或服务上可用。例如,多种支持在因特网上发布网页的内容管理系统(CMS)具有这种功能,通常以基于网络的编辑系统的形式可用,据此,用户可准备一些对网站的改变,并且这些改变在直到某些其他用户批准后才变得确定。然而,这种工作流一般在操作系统的最深处的功能级处不可用,如在此描述的各方面和实施例所提出的。第一方面提供操作系统和/或由该操作系统提供的服务的多重授权或多重批准管理。因此,各方面可以提供一种方式以避免对真实或虚拟的计算系统的可能破坏性的改变。各方面和实施例对操作系统(OS)进行扩展以提供执行两个或更多个管理者需要在改变被提交前同意“关键”动作的接入控制模型。关键动作可根据具体实现进行配置,但一般是与在操作系统或由该操作系统提供的一个或多个服务的配置上进行可能破坏性的改变相关联的动作。根据一个实施例,用户和至少一个其他用户中的至少一个具有系统管理员权限。那些管理员权限可以基本上与超级用户权限同义。在实施例中,用户和至少一个其他用户具有相同的特权。因此,对等批准可发生。根据一个实施例,用户和至少一个其他用户两者都具有系统管理员权限。因此,多重批准对等批准方式对于提交系统关键改变是必需的。如果所提出或请求的改变特别重要,则大量的对等用户可被要求批准该改变。根据一个实施例,批准和实现与请求的接收异步发生。因此,在某些实施例中,所请求的操作或改变被推迟到稍后被至少一个其他用户批准,该第二用户能够在所提出的系统级改变被实施之前对该改变进行双重检查。因此,为了认证或批准所请求的改变,不需要请求用户和至少一个其他用户的同步操作。应当了解,根据一些实施例,对于每一个所请求的关键改变,批准过程必须发生,并且交叉检查在每次由用户请求系统关键改变时都发生。因此,单个用户不能实现系统关键改变,无论用户是否已经针对先前所请求的系统关键改变而被交叉检查过。实施例可以提供异步操作模式,根据该模式,用户可执行或请求管理动作或系统关键动作,该动作的应用被推迟直到另一个具有适当权限的用户可检查和批准该动作。每一个用户可以单独登录,使用他们自己的凭证以执行系统关键改变和/或批准并应用由其他等待批准的用户所请求的改变。根据一个实施例,接收、评估和通知在内核空间中实施。各方面和实施例可以在内核空间中实现,例如,作为接入控制列表的扩展,或者在用户空间中实现,例如,利用持续运行的不能修改的守护进程的实现。根据一个实施例,接收、评估和通知在用户空间中实施。根据一个实施例,接收、评估和通知由操作系统所运行的守护进程实现,该守护进程具有适当权限。在一个实施例中,守护进程具有超级用户权限。根据一个实施例,守护进程不能被操作系统的本文档来自技高网...
【技术保护点】
一种控制能够由操作系统的用户实施的系统关键改变的方法,所述方法包括:从用户接收进行系统关键改变的请求;评估所述用户是否具有进行所述系统关键改变的适当权限;如果所述用户具有进行所述系统关键改变的适当权限,则向具有进行所述系统关键改变的适当权限的至少一个其他用户通知所接收的请求;以及在实施所请求的系统关键改变之前,等待来自至少一个所述其他用户的批准。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:D·凯鲁比尼,T·库奇诺塔,
申请(专利权)人:阿尔卡特朗讯公司,
类型:发明
国别省市:法国;FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。