本申请提供一种程序运行权限处理方法、装置、设备及存储介质,涉及计算机安全技术领域,该方法包括:响应于以非超级管理员账户运行目标程序失败,开启文件权限识别开关;以非超级管理员账户开始运行目标程序;若存在目标文件的文件权限拒绝,则运行第一内核函数中的第一旁路代码,以对目标文件进行访问,并记录目标文件的第一相关信息,第一相关信息包括拒绝的文件权限;若目标程序运行成功,则关闭文件权限识别开关,并为非超级管理员账户配置已记录的文件权限。本申请能够有效降低以非超级管理员账户运行程序时出现程序运行失败的情况,提升操作系统的安全性,且具有更加广泛的适用性。性。性。
【技术实现步骤摘要】
程序运行权限处理方法、装置、设备及存储介质
[0001]本申请涉及计算机安全
,尤其涉及一种程序运行权限处理方法、装置、设备及存储介质。
技术介绍
[0002]开发人员或运维人员通常以超级管理员账户将程序部署至对应操作系统中,并使用超级管理员账户启动并运行程序,程序的相关进程则拥有了超级管理员权限。例如,在Linux操作系统中,开发人员或运维人员使用root用户账户将程序部署至Linux操作系统中,并使用root用户账户启动并运行程序,程序的相关进程则拥有了root权限。若程序中存在危险代码或者进程被攻击者挟持,则操作系统的安全将受到严重威胁。
[0003]相关技术中,通过以非超级管理员账户代替超级管理员账户来运行程序,以限制超级管理员权限的滥用。但在通过非超级管理员账户运行程序时,存在程序运行失败的情况。
技术实现思路
[0004]本申请提供一种程序运行权限处理方法、装置、设备及存储介质,以解决目前在通过非超级管理员运行程序时,存在程序运行失败的情况的问题。
[0005]第一方面,本申请提供一种程序运行权限处理方法,包括:响应于以非超级管理员账户运行目标程序失败,开启文件权限识别开关;以非超级管理员账户开始运行目标程序;若存在目标文件的文件权限拒绝,则运行第一内核函数中的第一旁路代码,以对目标文件进行访问,并记录目标文件的第一相关信息,第一相关信息包括拒绝的文件权限;若目标程序运行成功,则关闭文件权限识别开关,并为非超级管理员账户配置已记录的文件权限。
[0006]可选的,该程序运行权限处理方法还包括:若目标程序运行失败,则关闭文件权限识别开关,并开启进程能力识别开关;以非超级管理员账户开始运行目标程序;若存在目标进程能力的拒绝操作,则运行第二内核函数中的第二旁路代码,以操作目标进程能力,并记录目标进程能力的第二相关信息,第二相关信息包括拒绝的目标进程能力;若目标程序运行成功,则关闭进程能力识别开关,并为非超级管理员账户配置目标进程能力。
[0007]可选的,为非超级管理员账户配置目标进程能力,包括:解析第二相关信息,获取目标进程能力;根据目标进程能力,生成用于为非超级管理员账户配置目标进程能力的第一执行脚本;执行第一执行脚本,为非超级管理员账户配置目标进程能力。
[0008]可选的,根据目标进程能力,生成用于为非超级管理员账户配置目标进程能力的第一执行脚本,包括:若目标程序是通过系统守护进程启动的,则将目标进程能力通过附加能力字段添加至系统守护进程的服务文件中,生成第一执行脚本;和/或,若目标程序不是通过系统守护进程启动的,则通过预设文件附加能力命令将目标进程能力添加至目标程序
对应的程序文件的能力列表中,生成第一执行脚本。
[0009]可选的,为非超级管理员账户配置已记录的文件权限,包括:解析第一相关信息,获取已记录的文件权限;根据已记录的文件权限,生成用于为非超级管理员账户配置已记录的文件权限的第二执行脚本;执行第二执行脚本,为非超级管理员账户配置已记录的文件权限。
[0010]可选的,根据已记录的文件权限,生成用于为非超级管理员账户配置已记录的文件权限的第二执行脚本,包括:对于目标程序包含的程序文件,通过第一预设命令为目标程序包含的程序文件赋予已记录的文件权限,生成第二执行脚本;和/或,对于操作系统公用文件,通过第二预设命令以修改访问控制列表的方式为非超级管理员账户赋予已记录的文件权限,生成第二执行脚本。
[0011]可选的,以非超级管理员账户运行目标程序,包括:若目标程序不是通过系统守护进程启动的,则通过第三预设命令执行目标程序,将目标程序的执行用户由超级管理员账户切换为非超级管理员账户,以非超级管理员账户运行目标程序;和/或,若目标程序是通过系统守护进程启动的,则修改系统守护进程的服务文件中的用户字段,将目标程序的执行用户由超级管理员账户切换为非超级管理员账户,以非超级管理员账户运行目标程序。
[0012]可选的,开启文件权限识别开关,包括:响应于文件权限识别开关的开启指令,开启文件权限识别开关,开启指令是在以非超级管理员账户运行目标程序失败的情况下触发的。
[0013]第二方面,本申请提供一种程序运行权限处理装置,包括:开启模块,用于响应于以非超级管理员账户运行目标程序失败,开启文件权限识别开关;运行模块,用于以非超级管理员账户开始运行目标程序;第一处理模块,用于若存在目标文件的文件权限拒绝,则运行第一内核函数中的第一旁路代码,以对目标文件进行访问,并记录目标文件的第一相关信息,第一相关信息包括拒绝的文件权限;第二处理模块,用于若目标程序运行成功,则关闭文件权限识别开关,并为非超级管理员账户配置已记录的文件权限。
[0014]可选的,第二处理模块还用于:若目标程序运行失败,则关闭文件权限识别开关,并开启进程能力识别开关;以非超级管理员账户开始运行目标程序;若存在目标进程能力的拒绝操作,则运行第二内核函数中的第二旁路代码,以操作目标进程能力,并记录目标进程能力的第二相关信息,第二相关信息包括拒绝的目标进程能力;若目标程序运行成功,则关闭进程能力识别开关,并为非超级管理员账户配置目标进程能力。
[0015]可选的,第二处理模块在用于为非超级管理员账户配置目标进程能力时,具体用于:解析第二相关信息,获取目标进程能力;根据目标进程能力,生成用于为非超级管理员账户配置目标进程能力的第一执行脚本;执行第一执行脚本,为非超级管理员账户配置目标进程能力。
[0016]可选的,第二处理模块在用于根据目标进程能力,生成用于为非超级管理员账户配置目标进程能力的第一执行脚本时,具体用于:若目标程序是通过系统守护进程启动的,则将目标进程能力通过附加能力字段添加至系统守护进程的服务文件中,生成第一执行脚
本;和/或,若目标程序不是通过系统守护进程启动的,则通过预设文件附加能力命令将目标进程能力添加至目标程序对应的程序文件的能力列表中,生成第一执行脚本。
[0017]可选的,第二处理模块在用于为非超级管理员账户配置已记录的文件权限时,具体用于:解析第一相关信息,获取已记录的文件权限;根据已记录的文件权限,生成用于为非超级管理员账户配置已记录的文件权限的第二执行脚本;执行第二执行脚本,为非超级管理员账户配置已记录的文件权限。
[0018]可选的,第二处理模块在用于根据已记录的文件权限,生成用于为非超级管理员账户配置已记录的文件权限的第二执行脚本时,具体用于:对于目标程序包含的程序文件,通过第一预设命令为目标程序包含的程序文件赋予已记录的文件权限,生成第二执行脚本;和/或,对于操作系统公用文件,通过第二预设命令以修改访问控制列表的方式为非超级管理员账户赋予已记录的文件权限,生成第二执行脚本。
[0019]可选的,运行模块具体用于:若目标程序不是通过系统守护进程启动的,则通过第三预设命令执行目标程序,将目标程序的执行用户由超级管理员账户切换为非超级管理员账户,以非超级管理员账户运行目标程序;和/或,若目标本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种程序运行权限处理方法,其特征在于,包括:响应于以非超级管理员账户运行目标程序失败,开启文件权限识别开关;以所述非超级管理员账户开始运行所述目标程序;若存在目标文件的文件权限拒绝,则运行第一内核函数中的第一旁路代码,以对所述目标文件进行访问,并记录所述目标文件的第一相关信息,所述第一相关信息包括拒绝的文件权限;若所述目标程序运行成功,则关闭所述文件权限识别开关,并为所述非超级管理员账户配置已记录的文件权限。2.根据权利要求1所述的程序运行权限处理方法,其特征在于,还包括:若所述目标程序运行失败,则关闭所述文件权限识别开关,并开启进程能力识别开关;以所述非超级管理员账户开始运行所述目标程序;若存在目标进程能力的拒绝操作,则运行第二内核函数中的第二旁路代码,以操作所述目标进程能力,并记录所述目标进程能力的第二相关信息,所述第二相关信息包括拒绝的目标进程能力;若所述目标程序运行成功,则关闭所述进程能力识别开关,并为所述非超级管理员账户配置所述目标进程能力。3.根据权利要求2所述的程序运行权限处理方法,其特征在于,所述为所述非超级管理员账户配置所述目标进程能力,包括:解析所述第二相关信息,获取所述目标进程能力;根据所述目标进程能力,生成用于为所述非超级管理员账户配置所述目标进程能力的第一执行脚本;执行所述第一执行脚本,为所述非超级管理员账户配置所述目标进程能力。4.根据权利要求3所述的程序运行权限处理方法,其特征在于,所述根据所述目标进程能力,生成用于为所述非超级管理员账户配置所述目标进程能力的第一执行脚本,包括:若所述目标程序是通过系统守护进程启动的,则将所述目标进程能力通过附加能力字段添加至所述系统守护进程的服务文件中,生成所述第一执行脚本;和/或,若所述目标程序不是通过系统守护进程启动的,则通过预设文件附加能力命令将所述目标进程能力添加至所述目标程序对应的程序文件的能力列表中,生成所述第一执行脚本。5.根据权利要求1至4中任一项所述的程序运行权限处理方法,其特征在于,所述为所述非超级管理员账户配置已记录的文件权限,包括:解析所述第一相关信息,获取所述已记录的文件权限;根据所述已记录的文件权限,生成用于为所述非超级管理员账户配置所述已记录的文件权限的第二执行脚本;执行所述第二执行脚本,为所述非超级管理员账户配置已记录的文件权限。6.根据权利要求5所述的程序运行权限处理方法,其...
【专利技术属性】
技术研发人员:熊镇武,
申请(专利权)人:亿咖通湖北技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。