本发明专利技术公开了一种容器权限配置的方法和系统,属于云计算技术领域,所述方法包括:获得权限配置库;根据容器名,为容器匹配到第一权限配置;以第一权限配置启动所述容器;监听虚拟机中的待提权操作,获取待提权操作的第一容器;判断是否为所述第一容器提权;若是,基于所述第一权限配置为所述第一容器提权,获得第二权限配置;将所述第二权限配置保存到所述权限配置库中。基于权限配置库,对容器权限进行配置和维护,避免手工为单个容器实例编写权限配置;提高了权限配置的效率,通过监听待提权操作,对权限配置或权限配置库进行维护,提高容器权限维护和配置的效率。器权限维护和配置的效率。器权限维护和配置的效率。
【技术实现步骤摘要】
一种容器权限配置的方法和系统
[0001]本专利技术涉及云计算
,具体涉及一种容器权限配置的方法和系统。
技术介绍
[0002]Li nux内核从2.2版本开始,就加入了权限(Capab i l ity)控制的概念与机制,并随着版本升高逐步得到改进,目前主要有29种权限(随版本而变化),如CAP_CHOWN:修改文件属主的权限等等。容器作为一种轻量级的虚拟化技术,由于隔离不彻底、虚拟化不充分经常导致安全问题,容器的权限管理是容器安全的核心,目前云环境中的容器,在权限管理上存在两个问题:不以容器进行区分,以默认权限集合进行配置导致容器的权限集远超实际需求;容器的权限配置以手工完成,例如以下两种方式实现的:通过控制台命令手动配置容器的能力集权限,或者通过针对单个容器进行定制化编写配置文件进行配置。
[0003]传统的容器权限配置,主要是命令行控制和配置文件两种形式手工完成。在现实的业务开发中,容器化部署的业务是极其庞大的,不论是命令行还是配置文件,逐个修改容器的配置或维护权限是极其低效的,当容器重启或者是容器所在服务器宕机、重启导致配置文件丢失时,都会带来新的配置工作。
技术实现思路
[0004]针对现有技术中存在的上述技术问题,本专利技术提供一种容器权限配置的方法和系统,从权限配置库中匹配相应的权限配置,并根据监听到的提权操作对权限配置进行修改,提高了权限配置和维护的效率。
[0005]本专利技术公开了一种容器权限配置的方法,所述方法包括:获得权限配置库,所述权限配置库包括第一权限配置;根据容器名,为容器匹配到第一权限配置;以第一权限配置启动所述容器;监听虚拟机中的待提权操作,获取待提权操作的第一容器;判断是否为所述第一容器提权;若是,基于所述第一权限配置为所述第一容器提权,获得第二权限配置;将所述第二权限配置保存到所述权限配置库中。
[0006]优选的,为容器匹配到第一权限配置的方法包括:
[0007]根据容器名,对权限配置库进行检索;
[0008]判断是否检索到相匹配的权限配置;
[0009]若是,将匹配到的权限配置作为第一权限配置;
[0010]若否,获取公共权限配置,并以所述公共权限配置作为第一权限配置。
[0011]优选的,所述权限配置库包括容器名称的哈希值和权限集合,为容器匹配到相应的第一权限配置的方法包括:
[0012]通过哈希计算,获得容器名相应的哈希值;
[0013]通过所述哈希值在权限配置库中匹配相应的第一权限配置,获得第一权限集合。
[0014]优选的,获取待提权操作的第一容器的方法包括:
[0015]获取待提权操作、以及进程标志符和进程名;
[0016]根据所述进程标识符和进程名匹配第一容器。
[0017]优选的,生成告警的方法:
[0018]根据待提权操作、进程标识符、进程名和第一容器名称生成告警,并将所述告警发送给维护者。
[0019]优选的,基于eBPF探针监听审计日志;根据所述审计日志,获得待提权操作、以及进程标志符和进程名。
[0020]优选的,在权限配置库中,建立第二权限配置与第一容器的映射。
[0021]优选的,根据容器实例的部署更新权限配置库的方法:
[0022]监听容器实例的部署,获得容器名及其部署的权限配置;
[0023]判断权限配置库是否存在与所述容器名相应的权限配置;
[0024]若不存在,将所述容器名和权限配置保存到权限配置库中。
[0025]本专利技术还提供一种用于实现上述方法的系统,包括权限配置检索模块、容器启动模块、提权操作监听模块和权限配置库维护模块,
[0026]所述权限配置检索模块用于获取权限配置库,并根据容器名为容器匹配到相应的第一权限配置;
[0027]容器启动模块用于以第一权限配置启动所述容器;
[0028]所述提权操作监听模块用于监听虚拟机中的待提权操作,获取待提权操作的第一容器;若为所述第一容器提权,基于第一权限配置为所述第一容器提权,获得第二权限配置;
[0029]所述权限配置库维护模块用于将所述第二权限配置保存到所述权限配置库中。
[0030]优选的,所述系统还包括容器部署监听模块,
[0031]所述容器部署监听模块用于监听容器实例的部署。
[0032]与现有技术相比,本专利技术的有益效果为:基于权限配置库,对容器权限进行配置和维护,避免手工为单个容器实例编写权限配置;提高了权限配置的效率,通过监听待提权操作,对权限配置或权限配置库进行维护,提高容器权限维护和配置的效率。
附图说明
[0033]图1是本专利技术的容器权限配置的方法流程图;
[0034]图2是实施例2的为容器匹配到第一权限配置的方法流程图;
[0035]图3是实施例3的系统逻辑框图。
具体实施方式
[0036]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0037]下面结合附图对本专利技术做进一步的详细描述:
[0038]一种容器权限配置的方法,如图1所示,所述方法包括:
[0039]步骤101:监听容器实例的部署,获得待部署容器实例的容器名,执行步骤102。可
以从容器管理平台上获得实例部署情况。
[0040]步骤102:获得权限配置库,所述权限配置库包括容器名、及其关联的权限配置,权限配置可以通过权限集合的方式表示。
[0041]步骤103:根据容器名,为容器匹配到第一权限配置。
[0042]步骤104:以第一权限配置启动所述容器。
[0043]步骤105:监听虚拟机中的待提权操作,从所启动的容器中获取待提权操作的第一容器。
[0044]步骤107:判断是否为所述第一容器提权。
[0045]若是,执行步骤108:基于第一权限配置为所述第一容器提权,获得第二权限配置,执行步骤109。可以通过以下命令进行揽权操作:capget(2)和capset(2)以及cap_get_proc(3)和cap_set_proc(3)。
[0046]步骤109:将所述第二权限配置保存到所述权限配置库中,并在权限配置库中,建立第二权限配置与第一容器的映射。
[0047]若否,拒绝或无视所述待提权操作。
[0048]基于权限配置库,对容器权限进行配置和维护,避免手工为单个容器实例编写权限配置;提高了权限配置的效率,通过监听待提权操作,对权限配置或权限配置库进行维护,提高容器权限维护和配置的效率。
[0049]根据检测,大规模运行的容器平台通常具有统一的容器命名规范,即不同虚拟机上同种业务容器命本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种容器权限配置的方法,其特征在于,所述方法包括:获得权限配置库,所述权限配置库包括第一权限配置;根据容器名,为容器匹配到第一权限配置;以第一权限配置启动所述容器;监听虚拟机中的待提权操作,获取待提权操作的第一容器;判断是否为所述第一容器提权;若是,基于所述第一权限配置为所述第一容器提权,获得第二权限配置;将所述第二权限配置保存到所述权限配置库中。2.根据权利要求1所述的方法,其特征在于,为容器匹配到第一权限配置的方法包括:根据容器名,对权限配置库进行检索;判断是否检索到与容器名相匹配的权限配置;若是,将匹配到的权限配置作为第一权限配置;若否,获取公共权限配置,并将所述公共权限配置作为第一权限配置。3.根据权利要求2所述的方法,其特征在于,所述权限配置库包括容器名称的哈希值和权限集合,为容器匹配到相应的第一权限配置的方法包括:通过哈希计算,获得容器名相应的哈希值;通过所述哈希值在权限配置库中匹配相应的第一权限配置,获得第一权限集合。4.根据权利要求1所述的方法,其特征在于,获取待提权操作的第一容器的方法包括:获取待提权操作、以及进程标志符和进程名;根据所述进程标识符和进程名匹配第一容器。5.根据权利要求4所述的方法,其特征在于,还包括生成告警的方法:根据待提权操作、进程标识符、进程名和第一容器名称生成告警,并将所述...
【专利技术属性】
技术研发人员:王翱宇,才振功,蒋咪,张典典,
申请(专利权)人:杭州谐云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。