本发明专利技术提供了一种集群安全加固的方法和设备,该方法包括:响应于接收到集群加固的指令,加载配置文件并将配置文件进行解析;基于解析后的配置文件扫描集群,并判断集群中的每个警告的扫描项是否允许加固并将集群中允许加固的项进行标记;响应于集群扫描完成,将带有标记的项按标记顺序进行加固;响应于项加固成功,计算加固后项的数据片段的哈希值和加固前的数据片段一同进行存储;响应于项加固失败,执行加固失败的项的回滚。通过使用本发明专利技术的方案,能够极大的减少关于安全配置的维护量,提升集群的安全性,进而进一步提升云计算、大数据集群的安全性。大数据集群的安全性。大数据集群的安全性。
【技术实现步骤摘要】
一种集群安全加固的方法和设备
[0001]本领域涉及计算机领域,并且更具体地涉及一种集群安全加固的方法和设备。
技术介绍
[0002]Kerberos(一个网络认证的框架协议)是目前流行的跨平台、全网络的身份验证系统,广泛应用于云计算、大数据等领域。但它自身绝非完美,有许多安全问题需要扫描加固。
[0003]目前,业界主要是按照CIS(互联网安全中心)安全基线对Kerberos集群逐项人工核对、手工加固、工作量大、效率低、无输出报告记录、加固回滚困难等诸多问题。
技术实现思路
[0004]有鉴于此,本专利技术实施例的目的在于提出一种集群安全加固的方法和设备,通过使用本专利技术的技术方案,能够极大的减少关于安全配置的维护量,提升集群的安全性,进而进一步提升云计算、大数据集群的安全性。
[0005]基于上述目的,本专利技术的实施例的一个方面提供了一种集群安全加固的方法,包括以下步骤:
[0006]响应于接收到集群加固的指令,加载配置文件并将配置文件进行解析;
[0007]基于解析后的配置文件扫描集群,并判断集群中的每个警告的扫描项是否允许加固并将集群中允许加固的项进行标记;
[0008]响应于集群扫描完成,将带有标记的项按标记顺序进行加固;
[0009]响应于项加固成功,计算加固后项的数据片段的哈希值和加固前的数据片段一同进行存储;
[0010]响应于项加固失败,执行加固失败的项的回滚。
[0011]根据本专利技术的一个实施例,配置文件中包括项ID、扫描指令、加固指令和项的描述。
[0012]根据本专利技术的一个实施例,还包括:
[0013]统计加固成功的项和加固失败的项的信息;
[0014]将信息发送给管理员。
[0015]根据本专利技术的一个实施例,响应于加固失败,执行加固失败的项的回滚包括:
[0016]计算待回滚的项的数据片段的哈希值,并根据哈希值查找原数据的片段;
[0017]响应于找到原数据的片段,执行回滚操作并在回滚成功后删除加固失败的项的数据片段;
[0018]响应于未找到原数据的片段,通知管理员复核回滚。
[0019]根据本专利技术的一个实施例,还包括:
[0020]计算加固成功的项的比例,并将比例与阈值进行比较;
[0021]响应于比例小于阈值,将全部项进行回滚。
[0022]本专利技术的实施例的另一个方面,还提供了一种集群安全加固的设备,设备包括:
[0023]加载模块,加载模块配置为响应于接收到集群加固的指令,加载配置文件并将配置文件进行解析;
[0024]判断模块,判断模块配置为基于解析后的配置文件扫描集群,并判断集群中的每个警告的扫描项是否允许加固并将集群中允许加固的项进行标记;
[0025]加固模块,加固模块配置为响应于集群扫描完成,将带有标记的项按标记顺序进行加固;
[0026]计算模块,计算模块配置为响应于项加固成功,计算加固后项的数据片段的哈希值和加固前的数据片段一同进行存储;
[0027]回滚模块,回滚模块配置为响应于项加固失败,执行加固失败的项的回滚。
[0028]根据本专利技术的一个实施例,配置文件中包括项ID、扫描指令、加固指令和项的描述。
[0029]根据本专利技术的一个实施例,还包括警告模块,警告模块配置为:
[0030]统计加固成功的项和加固失败的项的信息;
[0031]将信息发送给管理员。
[0032]根据本专利技术的一个实施例,回滚模块还配置为:
[0033]计算待回滚的项的数据片段的哈希值,并根据哈希值查找原数据的片段;
[0034]响应于找到原数据的片段,执行回滚操作并在回滚成功后删除加固失败的项的数据片段;
[0035]响应于未找到原数据的片段,通知管理员复核回滚。
[0036]根据本专利技术的一个实施例,还包括比较模块,比较模块配置为:
[0037]计算加固成功的项的比例,并将比例与阈值进行比较;
[0038]响应于比例小于阈值,将全部项进行回滚。。
[0039]本专利技术具有以下有益技术效果:本专利技术实施例提供的集群安全加固的方法,通过响应于接收到集群加固的指令,加载配置文件并将配置文件进行解析;基于解析后的配置文件扫描集群,并判断集群中的每个警告的扫描项是否允许加固并将集群中允许加固的项进行标记;响应于集群扫描完成,将带有标记的项按标记顺序进行加固;响应于项加固成功,计算加固后项的数据片段的哈希值和加固前的数据片段一同进行存储;响应于项加固失败,执行加固失败的项的回滚的技术方案,能够极大的减少关于安全配置的维护量,提升集群的安全性,进而进一步提升云计算、大数据集群的安全性。
附图说明
[0040]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
[0041]图1为根据本专利技术一个实施例的集群安全加固的方法的示意性流程图;
[0042]图2为根据本专利技术一个实施例的集群安全加固的设备的示意图。
具体实施方式
[0043]为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术实施例进一步详细说明。
[0044]基于上述目的,本专利技术的实施例的第一个方面,提出了一种集群安全加固的方法的一个实施例。图1示出的是该方法的示意性流程图。
[0045]如图1中所示,该方法可以包括以下步骤:
[0046]S1响应于接收到集群加固的指令,加载配置文件并将配置文件进行解析,这里的集群可以是Kerberos集群,配置文件采用YAML格式按照CIS基准组织内容,涵盖配置项ID、扫描、加固需要的命令及基本描述;
[0047]S2基于解析后的配置文件扫描集群,并判断集群中的每个警告的扫描项是否允许加固并将集群中允许加固的项进行标记,根据配置文件解析出来的项ID对集群中的项依次进行扫描,其中一些项是正常且安全的,其中一些项是存在不安全因素的警告项,扫描到警告项则需要判断警告项是否允许加固,如果允许可以直接进行加固或者将该项进行标记后扫描下一个项;
[0048]S3响应于集群扫描完成,将带有标记的项按标记顺序进行加固,加固的过程也可以不按照顺序进行,例如,标记一个项,加固一个项,又例如,将标记的项设定优先级,加固时读取标记的项的优先级,优先加固优先级高的项;
[0049]S4响应于项加固成功,计算加固后项的数据片段的哈希值和加固前的数据片段一同进行存储,计算哈希值和加固前的数据片段一起存储以进行备份,在需要对加固的项进行回滚的时可以直接调用相应的数据片段进行回滚;
[0050]S5响应于项加固失败,执行加固失败的项的回滚,加固失败的项需要回本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种集群安全加固的方法,其特征在于,包括以下步骤:响应于接收到集群加固的指令,加载配置文件并将所述配置文件进行解析;基于解析后的配置文件扫描集群,并判断所述集群中的每个警告的扫描项是否允许加固并将所述集群中允许加固的项进行标记;响应于所述集群扫描完成,将带有标记的项按标记顺序进行加固;响应于项加固成功,计算加固后项的数据片段的哈希值和加固前的数据片段一同进行存储;响应于项加固失败,执行加固失败的项的回滚。2.根据权利要求1所述的方法,其特征在于,所述配置文件中包括项ID、扫描指令、加固指令和项的描述。3.根据权利要求1所述的方法,其特征在于,还包括:统计加固成功的项和加固失败的项的信息;将所述信息发送给管理员。4.根据权利要求1所述的方法,其特征在于,响应于加固失败,执行加固失败的项的回滚包括:计算待回滚的项的数据片段的哈希值,并根据哈希值查找原数据的片段;响应于找到所述原数据的片段,执行回滚操作并在回滚成功后删除加固失败的项的数据片段;响应于未找到所述原数据的片段,通知管理员复核回滚。5.根据权利要求1所述的方法,其特征在于,还包括:计算加固成功的项的比例,并将所述比例与阈值进行比较;响应于所述比例小于阈值,将全部项进行回滚。6.一种集群安全加固的设备,其特征在于,所述设备包括:加载模块,所述加载模块配置为响应于接收到集群加固...
【专利技术属性】
技术研发人员:张计芬,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。