本公开提供一种基于容器宿主机的安全保护方法、装置以及电子设备,涉及安全技术领域。该方法包括:确定目标账号具有使用目标容器的权限和具有登录宿主机的权限中的至少一种权限,其中所述容器存储于所述宿主机,响应于目标账号登录宿主机,监听目标账号在宿主机的执行命令;通过监听结果确定目标账号是否用于切入宿主机中容器;响应目标账号不用于切入宿主机中容器,退出目标账号在宿主机的登录。本公开提供的技术方案通过权限确认的方式为宿主机的安全提供第一道保障,又通过对登录宿主机的账号的登录状态进行管理为宿主机的安全提供另一道保障。从而能够在一定程度上避免宿主机被恶意登录的账号入侵或攻击,有效提升宿主机的安全。机的安全。机的安全。
【技术实现步骤摘要】
基于容器宿主机的安全保护方法、装置以及电子设备
[0001]本公开涉及安全
,具体而言,涉及一种基于容器宿主机的安全保护方法、基于容器宿主机的安全保护装置,以及实现上述方法的电子设备。
技术介绍
[0002]容器(Container)技术能够有效的将单个操作系统的资源划分到孤立的组中,以便更好的在孤立的组之间平衡有冲突的资源使用需求,从而能够大幅提升工作效率。而便捷登录容器的方案也是开发人员不断追求的目标。
[0003]相关技术提供的一种容器登录方案为,基于安全壳程序(Secure Shell,简称:SSH)登录宿主机,然后在宿主机上使用相关容器命令来切进容器。在这种容器登录方案中,若用户能通过SSH登录宿主机,但是并没有使用切进容器,而可能通过宿主机漏洞进而提权获取宿主机的更大权限,进而对宿主机实施破坏。
[0004]可见,针对相关技术提供的上述容器登录方案,相关宿主机的安全性亟待提升。
[0005]需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0006]本公开的目的在于提供一种基于容器宿主机的安全保护方法、基于容器宿主机的安全保护装置、电子设备以及计算机可读存储介质,进而在一定程度上在提升容器的宿主机的安全性。
[0007]根据本公开的一个方面,提供一种基于容器宿主机的安全保护方法,该方法包括:确定目标账号具有使用目标容器的权限和具有登录宿主机的权限中的至少一种权限,其中所述容器存储于所述宿主机;响应于上述目标账号登录上述宿主机,监听上述目标账号在上述宿主机的执行命令;通过监听结果确定上述目标账号是否用于切入上述宿主机中容器;响应上述目标账号不用于切入上述宿主机中容器,退出上述目标账号在上述宿主机的登录。
[0008]根据本公开的一个方面,提供一种基于容器宿主机的安全保护装置,所述装置包括:权限确定模块、监听模块、切入确定模块以及退出模块。
[0009]其中,上述权限确定模块,被配置为:确定目标账号具有使用目标容器的权限和具有登录宿主机的权限中的至少一种权限,其中所述容器存储于所述宿主机;上述监听模块,被配置为:响应于上述目标账号登录上述宿主机,监听上述目标账号在上述宿主机的执行命令;上述切入确定模块,被配置为:通过监听结果确定上述目标账号是否用于切入上述宿主机中容器;以及,上述退出模块,被配置为:响应上述目标账号不用于切入上述宿主机中容器,退出上述目标账号在上述宿主机的登录。
[0010]在示例性的实施例中,基于前述方案,上述切入确定模块,被具体配置为:若上述监听结果为在上述目标账号登录上述宿主机之后,在第一预设时长内未接收到来自上述目
标账号的执行命令,则确定上述目标账号不用于切入上述宿主机中容器。
[0011]在示例性的实施例中,基于前述方案,上述装置还包括:校验模块。
[0012]其中,上述校验模块被配置为:若上述监听结果为在上述目标账号登录上述宿主机之后,在上述第一预设时长内接收到来自上述目标账号的执行命令,检验上述执行命令的合法性;以及,若上述执行命令合法,则确定上述目标账号用于切入上述宿主机中容器;或,若上述执行命令不合法,则确定上述目标账号不用于切入上述宿主机中容器。
[0013]在示例性的实施例中,基于前述方案,上述监听模块,被具体配置为:响应于接收到上述目标账号通过壳程序登录上述宿主机,通过获取壳程序的参数以监听上述目标账号在上述宿主机的执行命令。
[0014]在示例性的实施例中,基于前述方案,上述切入确定模块,被具体配置为:获取在上述目标账号登录上述宿主机之后的第二预设时长内上述壳程序的参数;响应于上述第二预设时长内获取到的壳程序的参数为空,则确定上述执行命令不用于切入上述宿主机中容器。
[0015]在示例性的实施例中,基于前述方案,上述校验模块,还被配置为:响应于上述第二预设时长内获取到的壳程序的参数不为空,检验上述第二预设时长内获取到的壳程序的参数的合法性;以及,若上述壳程序的参数合法,则确定上述目标账号用于切入上述宿主机中容器;或,若上述壳程序的参数不合法,则确定上述目标账号不用于切入上述宿主机中容器。
[0016]在示例性的实施例中,基于前述方案,上述装置还包括:登录模块。
[0017]其中,上述登录模块被配置为:获取上述目标账号待登录的目标容器的标识;根据上述目标容器的标识确定上述目标容器对应的宿主机的地址信息;根据上述宿主机的地址信息使得上述目标账号登录宿主机。
[0018]在示例性的实施例中,基于前述方案,上述装置还包括:记录模块。
[0019]其中,上述记录模块被配置为:在退出上述目标账号在上述宿主机的登录之后,记录被退出的上述目标账号,以实现对不法登录宿主机的账号的记录。
[0020]根据本公开的一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任意实施例所述的基于容器宿主机的安全保护方法。
[0021]根据本公开的一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述第一方面中任意实施例所述的基于容器宿主机的安全保护方法。
[0022]根据本公开的一个方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质中读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各个实施例中提供的基于容器宿主机的安全保护方法。
[0023]本公开示例性实施例可以具有以下部分或全部有益效果:
[0024]在本公开的一示例实施方式所提供的资源配置方案中,在目标账号登录宿主机之前,先确定目标账号是否具有使用目标容器的权限和/或是否具有登录存储上述目标容器的宿主机的权限,在上述两种权限均不存在的情况下不允许该目标账号登录宿主机。从而
为宿主机的安全提供第一道保障。进一步地,确定目标账号具备上述两种权限中的至少一种权限后,允许目标账号登录宿主机,并在目标账号登录宿主机之后,监听该目标账号进一步的执行命令,以判断该目标账号是否用于切入该宿主机中的容器。进一步地,若上述目标账号不用于切入所述宿主机中容器,说明该账户可能会对宿主机的安全性造成威胁,则强制退出该目标账号在宿主机的登录。若上述目标账号用于切入宿主机中容器,说明该账户不会对宿主机的安全性造成威胁则使得该账户持续登录。本技术方案通过权限确认以及对登录宿主机的账号的密切监视并对账号的登录状态进行管理两种方式同时保障宿主机安全,可以有效避免宿主机被恶意登录的账号入侵或攻击破坏,有效提升宿主机的安全。同时,对于正常登录宿主机中容器的账号不加干涉,从而保证容器的正常使用。
[0025]应当理解的是,以上的一般描述和本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于容器宿主机的安全保护方法,其特征在于,所述方法包括:确定目标账号具有使用目标容器的权限和具有登录宿主机的权限中的至少一种权限,其中所述容器存储于所述宿主机;响应于所述目标账号登录所述宿主机,监听所述目标账号在所述宿主机的执行命令;通过监听结果确定所述目标账号是否用于切入所述宿主机中容器;响应所述目标账号不用于切入所述宿主机中容器,退出所述目标账号在所述宿主机的登录。2.根据权利要求1所述的基于容器宿主机的安全保护方法,其特征在于,通过监听结果确定所述目标账号是否用于切入所述宿主机中容器,包括:若所述监听结果为所述目标账号登录所述宿主机之后,在第一预设时长内未接收到来自所述目标账号的执行命令,则确定所述目标账号不用于切入所述宿主机中容器。3.根据权利要求2所述的基于容器宿主机的安全保护方法,其特征在于,所述方法还包括:若所述监听结果为所述目标账号登录所述宿主机之后,在所述第一预设时长内接收到来自所述目标账号的执行命令,检验所述执行命令的合法性;若所述执行命令合法,则确定所述目标账号用于切入所述宿主机中容器;或,若所述执行命令不合法,则确定所述目标账号不用于切入所述宿主机中容器。4.根据权利要求1所述的基于容器宿主机的安全保护方法,其特征在于,响应于所述目标账号登录所述宿主机,监听所述目标账号在所述宿主机的执行命令,包括:响应于接收到所述目标账号通过壳程序登录所述宿主机,通过获取壳程序的参数以监听所述目标账号在所述宿主机的执行命令。5.根据权利要求4所述的基于容器宿主机的安全保护方法,其特征在于,通过监听结果确定所述目标账号是否用于切入所述宿主机中容器,包括:获取在所述目标账号登录所述宿主机之后的第二预设时长内所述壳程序的参数;响应于所述第二预设时长内获取到的壳程序的参数为空,则...
【专利技术属性】
技术研发人员:陈钦波,刘涛,袁丽娜,王超,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。