一种在podman中实现进程监控和白名单机制的自动化hook方法技术

本发明专利技术公开了一种在podman中实现进程监控和白名单机制的自动化hook方法，该方法通过在podman容器启动后的初始化阶段部署资源文件和hook的方法，实现对容器内进程的监控和管理；通过自动化的白名单更新机制，确保白名单的高效性和有效性。本发明专利技术实施简单，减少大量人力成本，显著提高容器安全性。显著提高容器安全性。显著提高容器安全性。

【技术实现步骤摘要】
一种在podman中实现进程监控和白名单机制的自动化hook方法


[0001]本专利技术涉及计算机安全
,尤其涉及一种在podman中实现进程监控和白名单机制的自动化hook方法。

技术介绍

[0002]容器是一种轻量级的虚拟化技术，可以在一个隔离的环境中运行应用程序和服务。Podman是一个开源的Linux容器引擎，它使用命令行界面来创建和管理容器。容器具有很高的安全性能，主要由于容器具备隔离性。容器可以将不同的应用程序和服务隔离在不同的运行环境中，防止相互之间的干扰和影响。同时容器具有可信度，可以使用数字签名和验证机制来保证容器镜像和内容的可信度。
[0003]尽管容器具有很高的安全性能，但在某些情况下，容器仍然存在安全风险。例如，容器中的进程可以通过漏洞或恶意代码逃逸出容器，并攻击宿主机或其他容器。此外，容器中的应用程序也可能存在漏洞和安全隐患，需要及时进行更新和修复。
[0004]目前，保护容器的安全性需要使用专业的工具和专业的运维人员。例如，需要使用容器安全扫描工具来检测容器中的漏洞和安全隐患，使用容器监控工具来本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种在podman中实现进程监控和白名单机制的自动化hook方法，其特征在于，包括以下步骤：步骤一：自定义允许执行的进程所在的文件路径，并默认其为系统环境变量目录；步骤二：启动podman容器，指定podman容器初始化时hook所需文件目录；步骤三：向podman容器内写入hook所需资源文件；步骤四：扫描podman容器内指定的文件路径下所有elf文件的HASH值,以json格式生成白名单文件，文件所在路径与该文件HASH值一一对应；步骤五：替换podman容器内preload hook方法的系统配置文件，从而hook进程启动时的execve函数；步骤六：通过日志审计自动化完成白名单文件的增加、删除、修改。2.根据权利要求1所述的在podman中实现进程监控和白名单机制的自动化hook方法，其特征在于，所述步骤二具体为：使用podman容器提供的post
‑
start hook方法，在启动podman容器时指定post
‑
start hook脚本的文件路径，实现在podman容器启动后自动化执行资源文件部署和hook操作。3.根据权利要求2所述的在podman中实现进程监控和白名单机制的自动化hook方法，其特征在于，所述步骤五包括如下子步骤：(5.1)查找容器中原始execve函数地址并保存，通过原始execve函数接口获得将要启动的进程所在的文件路径和文件名；(5.2)判断步骤(5.1)得到的文件路径中开头是否存在“./”字符串，若所述文件路径中开头存在“./”字符串，则将“./”替换为系统当前文件路径“$PWD”；(5.3)判断所述文件路径的开头是否存在“/lib”或者“/lib64”字符串；若所述文件路径的开头存在“/lib”或者“/lib64”字符串，则跳过步骤(5.4)
‑
步骤(5.7)，允许进程执行，且不对该次进程执行相关信息进行记录；(5.4)判断所述文件路径所指向的文件是否为elf文件；若不是elf文件，则跳过步骤(5.5)
‑
步骤(5....

【专利技术属性】
技术研发人员：夏俊伟，张汝云，杨钢，郑华，邓兆燚，
申请(专利权)人：之江奇安科技有限公司，
类型：发明
国别省市：