一种linux系统权限检查方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术公开了一种linux系统权限检查方法、装置、电子设备及存储介质，属于信息系统运维技术领域，方法包括：对linux系统权限的类别和各类别对应的命令进行分类，获取权限检查内容；根据所述权限检查内容，采用命令执行验证法，对linux系统账户的权限进行检查，获取linux系统账户权限检查结果；其中，所述命令执行验证法针对各项权限检查内容，均部署至兼容性linux系统。该方法能够规避常规配置和参数检查方法中存在的检查粒度粗、检查范围不完整、检查对象不准确以及配置文件名称或配置文件内容不同的问题，简化权限检查适配过程。简化权限检查适配过程。简化权限检查适配过程。

【技术实现步骤摘要】
一种linux系统权限检查方法、装置、电子设备及存储介质


[0001]本专利技术涉及一种linux系统权限检查方法、装置、电子设备及存储介质，属于信息系统运维


技术介绍

[0002]随着企业信息化程度的日益加深，信息系统运维愈发复杂化，运维安全已成为保障信息系统安全可靠运行的重要因素。在信息系统运维过程中运维账号权限管控尤为关键，落实账号权限最小化要求已成为满足运维安全的基础，如何全面、准确的检查账号所拥有的权限是运维账号有效权限管控的一大难点。
[0003]linux操作系统提供了多种账号权限管控机制，能够支撑实现账号权限最小化配置，实现了自主访问控制、强制访问控制、能力分权模型等权限验证机制，支持细颗粒度的权限分配功能，能实现业务用户账号权限的最小化分配。
[0004]但尚无比较完善的账号权限设置是否合理的监督验证技术与工具，并未针对特定管理需求提供实际账号权限分配情况的自动化合规校验功能。虽然部分安全厂商已在账号权限管理领域开展了技术研究和产品开发，但仍存在账号权限采集不完整性、颗粒度粗等问题，无法支撑全面准确的权限校验。

技术实现思路

[0005]本专利技术的目的在于提供一种linux系统权限检查方法、装置、电子设备及存储介质，能够规避常规配置和参数检查方法中存在的检查粒度粗、检查范围不完整、检查对象不准确以及配置文件名称或配置文件内容不同的问题，简化权限检查适配过程。
[0006]为达到上述目的，本专利技术提供如下技术方案：
[0007]第一方面，本专利技术提供一种linux系统权限检查方法，包括：
[0008]对linux系统权限的类别和各类别对应的命令进行分类，获取权限检查内容；
[0009]根据所述权限检查内容，采用命令执行验证法，对linux系统账户的权限进行检查，获取linux系统账户权限检查结果；
[0010]其中，所述命令执行验证法针对各项权限检查内容，均部署至兼容性linux系统。
[0011]结合第一方面，进一步的，所述linux系统权限的类别包括系统管理、网络管理、审计管理和安全管理；其中，所述系统管理包括系统操作、系统文件管理、内核模块管理、系统时间管理、硬盘分区管理、系统内核管理、文件系统管理和系统应用管理；所述网络管理包括网络设备管理、系统路由管理、arp管理、ip防火墙管理和网络配置文件管理；所述审计管理包括审计服务管理和审计日志管理；所述安全管理包括用户管理、用户口令管理、用户组管理和系统安全配置。
[0012]结合第一方面，进一步的，所述系统操作对应的命令包括系统关闭、系统重启和修改系统运行级别；所述系统文件管理对应的命令包括检查文件系统、创建文件系统、修改系统内核配置信息配置文件、修改at服务黑白名单配置、修改crontab定时任务配置、修改csh
解释器配置、修改系统服务的缺省值配置文件、修改NFS服务配置文件、修改系统字体配置文件、修改开机挂载磁盘配置、修改gnome桌面操作环境默认字体配置、修改系统可插拔脚本配置、修改系统默认级别、修改默认键盘映射、配置系统显示的欢迎信息、修改动态库清单配置文件、修改系统时区配置文件、修改用户账号限制配置文件、修改系统日志管理程序logrotate配置文件、系统逻辑卷管理(LVM)配置、man命令配置文件、修改RAID设备管理工具mdadm配置文件、修改默认文件打开程序配置文件、修改系统内核默认加载模块配置、查看系统挂载分区的实施情况配置、修改mysql配置文件、修改ntp自动对时服务配置文件、修改pkgadd命令默认参数、修改pkgmk命令默认参数、修改系统默认环境变量信息配置文件、修改系统日志配置文件；所述内核模块管理对应的命令包括内核模块挂载和内核模块卸载；所述系统时间管理对应的命令包括设置系统时间、获取网络时间、操作网络时间服务和设置硬件时钟；所述硬盘分区管理对应的命令包括创建硬盘分区、删除硬盘分区和修改硬盘分区；所述系统内核管理对应的命令包括在运行时修改内核参数；所述文件系统管理对应的命令包括文件系统挂载和文件系统卸载；所述系统应用管理对应的命令包括系统应用安装、系统应用卸载；所述网络设备管理对应的命令包括网络配置修改和网络设备启停；所述系统路由管理对应的命令包括系统弄路由添加和系统路由删除；所述arp管理对应的命令包括arp配置添加和arp配置删除；所述ip防火墙管理对应的命令包括防火墙功能启停和防火墙配置修改；所述网络配置文件管理对应的命令包括主机名解析配置、主机名与IP对应关系配置和远程访问控制配置；所述审计服务管理对应的命令包括审计服务启停和审计服务配置变更；所述审计日志管理对应的命令包括查看最近登录用户的login信息、查看当前系统调用名称对应的序号、查询审计守护进程的日志、生成审计守护进程的日志的总结报告和控制内核审计的行为；所述用户管理对应的命令包括任意用户添加、任意用户删除、任意用户权限修改、修改用户所用解释器和修改用户finger信息；所述用户口令管理对应的命令包括修改用户口令和用户口令到期设置；所述用户组管理对应的命令包括用户组添加、用户组删除和用户组修改；所述系统安全配置对应的命令包括强制访问控制模块配置、强制行为控制模块配置和强制能力控制模块配置。
[0013]结合第一方面，进一步的，根据所述权限检查内容，采用命令执行验证法，对linux系统账户的权限进行检查，获取linux系统账户权限检查结果包括：
[0014]获取linux系统账户的基本信息；
[0015]根据所述linux系统账户的基本信息，判断linux系统账户列表中所有账户的可登录性，并登录到允许登录的账户；
[0016]根据所述权限检查内容，逐项检查当前登录账户的权限，记载当前登录账户的权限检查结果，并退出当前登录账户，继续登录到其他允许登录的账户，直至所有可登录账户全部检查完毕，输出linux系统账户权限检查结果。
[0017]结合第一方面，进一步的，所述linux系统账户的基本信息包括主机名、系统型号版本、网络地址和账户列表。
[0018]结合第一方面，进一步的，该linux系统权限检查方法还包括：
[0019]根据所述权限检查内容，采用命令变通执行验证法，对linux系统账户的权限进行检查，获取linux系统账户权限检查结果。
[0020]结合第一方面，进一步的，所述命令变通执行验证法包括：在进行系统关机验证
时，采用执行“shutdown
‑
k”命令代替执行“shutdown”命令，获取系统关机验证结果。
[0021]第二方面，本专利技术提供一种linux系统权限检查装置，包括：
[0022]权限检查内容获取模块：用于对linux系统权限的类别和各类别对应的命令进行分类，获取权限检查内容；
[0023]权限检查模块：用于根据所述权限检查内容，采用命令执行验证法，对linux系统账户的权限进行检查，获取linux系统账户权限检查结果；
[0024]其中，所述命本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种linux系统权限检查方法，其特征在于，包括：对linux系统权限的类别和各类别对应的命令进行分类，获取权限检查内容；根据所述权限检查内容，采用命令执行验证法，对linux系统账户的权限进行检查，获取linux系统账户权限检查结果；其中，所述命令执行验证法针对各项权限检查内容，均部署至兼容性linux系统。2.根据权利要求1所述的linux系统权限检查方法，其特征在于，所述linux系统权限的类别包括系统管理、网络管理、审计管理和安全管理；其中，所述系统管理包括系统操作、系统文件管理、内核模块管理、系统时间管理、硬盘分区管理、系统内核管理、文件系统管理和系统应用管理；所述网络管理包括网络设备管理、系统路由管理、arp管理、ip防火墙管理和网络配置文件管理；所述审计管理包括审计服务管理和审计日志管理；所述安全管理包括用户管理、用户口令管理、用户组管理和系统安全配置。3.根据权利要求2所述的linux系统权限检查方法，其特征在于，所述系统操作对应的命令包括系统关闭、系统重启和修改系统运行级别；所述系统文件管理对应的命令包括检查文件系统、创建文件系统、修改系统内核配置信息配置文件、修改at服务黑白名单配置、修改crontab定时任务配置、修改csh解释器配置、修改系统服务的缺省值配置文件、修改NFS服务配置文件、修改系统字体配置文件、修改开机挂载磁盘配置、修改gnome桌面操作环境默认字体配置、修改系统可插拔脚本配置、修改系统默认级别、修改默认键盘映射、配置系统显示的欢迎信息、修改动态库清单配置文件、修改系统时区配置文件、修改用户账号限制配置文件、修改系统日志管理程序logrotate配置文件、系统逻辑卷管理(LVM)配置、man命令配置文件、修改RAID设备管理工具mdadm配置文件、修改默认文件打开程序配置文件、修改系统内核默认加载模块配置、查看系统挂载分区的实施情况配置、修改mysql配置文件、修改ntp自动对时服务配置文件、修改pkgadd命令默认参数、修改pkgmk命令默认参数、修改系统默认环境变量信息配置文件、修改系统日志配置文件；所述内核模块管理对应的命令包括内核模块挂载和内核模块卸载；所述系统时间管理对应的命令包括设置系统时间、获取网络时间、操作网络时间服务和设置硬件时钟；所述硬盘分区管理对应的命令包括创建硬盘分区、删除硬盘分区和修改硬盘分区；所述系统内核管理对应的命令包括在运行时修改内核参数；所述文件系统管理对应的命令包括文件系统挂载和文件系统卸载；所述系统应用管理对应的命令包括系统应用安装、系统应用卸载；所述网络设备管理对应的命令包括网络配置修改和网络设备启停；所述系统路由管理对应的命令包括系统弄路由添加和系统路由删除；所述arp管理对应的命令包括arp配置添加和arp配置删除；所述ip防火墙管理对应的命令包括防火墙功能启停和防火墙配置修改；所述网络配置文件管理对应的...

【专利技术属性】
技术研发人员：汪明，金世宇，任浩，李勃，
申请(专利权)人：国家电网有限公司，
类型：发明
国别省市：