本发明专利技术提供一种Linux进程特权操作动态适配方法及装置,方法包括:设置业务进程完整的能力属性集;普通用户启动业务进程,执行所有业务类型操作;获取业务进程启动及执行所有业务类型操作的行为数据;当进程行为数据正常时,获取业务进程启动需要的能力属性,并获取执行不同业务类型操作需要的能力属性;统计不同时段操作的业务类型,根据业务进程启动需要的能力属性和不同业务类型操作需要的能力属性,动态适配不同时段业务进程的能力属性。本发明专利技术根据进程运行时的特权操作,仅赋予进程特权操作需要的能力属性,解决应用程序执行特权操作时普通用户权限不足,特权用户权限过高的问题。问题。问题。
【技术实现步骤摘要】
一种Linux进程特权操作动态适配方法及装置
[0001]本申请涉及数据查询
,特别是涉及一种Linux进程特权操作动态适配方法及装置。
技术介绍
[0002]随着计算机和网络技术的发展,攻击者可以利用程序的特权攻击服务器系统,窃取涉密数据甚至破坏服务器系统,因此目前对服务器系统的安全要求越来越高。然而一些应用程序因为业务需要,在运行期间需要具有特权用户权限才能正常执行。Linux是一种安全的操作系统,它把所有的系统权限都赋予单一的root用户,只给普通用户保留有限的权限。为了服务器系统的安全,通常希望普通用户就能完成特权操作业务需求。
[0003]现有普通用户启动特权操作进程的方法,主要通过以下方法:
[0004](1)通过sudo提升权限,进程启动后拥有root权限;
[0005](2)通过设置进程可执行文件的suid位,可以让普通用户允许一个owner为root的可执行文件时具有root的权限;
[0006](3)通过设置进程可执行文件的capabilities,如果启用进程的用户不是root用户,进程执行特权操作时,则检查进程是否具有该特权操作对应的capabilities。
[0007]现有技术可以满足进程执行特权操作,但存在以下问题:
[0008](1)sudo提升权限,如果用户较多时,配置管理和权限控制会很麻烦;
[0009](2)suid位是一个敏感的权限位,它具有root的全部权限,suid机制增大了系统的安全攻击面。攻击者经常利用这种权限,无声无息地在系统中开扇后门,供日后进出使用;
[0010](3)设置进程可执行文件的capabilities权限集,需要提前知道进程需要的特权操作,进程执行文件更新需要重新设置capabilities权限集,要求linux内核版本在2.6.24以上。
技术实现思路
[0011]为了解决上述技术问题,本专利技术提供一种Linux进程特权操作动态适配方法及装置,根据进程运行时的特权操作,仅赋予进程特权操作需要的能力属性,解决应用程序执行特权操作时普通用户权限不足,特权用户权限过高的问题。
[0012]本专利技术采用如下技术方案:
[0013]第一方面,一种Linux进程特权操作动态适配方法,包括:
[0014]设置业务进程完整的能力属性集;
[0015]普通用户启动业务进程,执行所有业务类型操作;
[0016]获取业务进程启动及执行所有业务类型操作的行为数据;
[0017]当进程行为数据正常时,获取业务进程启动需要的能力属性,并获取执行不同业务类型操作需要的能力属性;
[0018]统计不同时段操作的业务类型,根据业务进程启动需要的能力属性和不同业务类
型操作需要的能力属性,动态适配不同时段业务进程的能力属性。
[0019]优选的,获取业务进程启动需要的能力属性,具体包括:
[0020]获取系统支持的能力属性,将能力属性保存到能力属性数组中;
[0021]启动业务进程,获取业务进程启动后的行为数据;
[0022]当进程行为数据正常时,轮询去掉能力属性数组中的一个能力属性;
[0023]重启业务进程,判断进程启动的行为数据是否正常;如果启动异常,将去掉的能力属性保存到进程启动能力数组,并将去掉的能力属性重新添加给业务进程。
[0024]优选的,所述的Linux进程特权操作动态适配方法,还包括:
[0025]当能力属性数组中的能力属性都有去掉一次之后,基于进程启动能力数组中的能力属性,再次重启业务进程,判断进程启动行为数据是否正常;如果正常,业务进程启动需要的能力属性获取完成。
[0026]优选的,获取执行不同业务类型操作需要的能力属性,具体包括:
[0027]收到新的业务类型操作时,判断业务类型对应的能力属性字典表是否存在,如果存在,获取并设置业务类型对应的能力属性字典表中的能力属性,判断业务操作是否正常,如果正常,业务类型操作需要的能力属性获取完成;
[0028]业务类型对应的能力属性字典表不存在或者业务操作异常,设置业务进程完整的能力属性集,执行业务操作,判断业务是否执行正常;如果正常,轮询去掉完整的能力属性集中除业务进程启动需要的能力属性外的一个能力属性;如果异常,将去掉的能力属性记录到业务类型对应的能力属性字典表中,并将去掉的能力属性重新添加给业务进程。
[0029]优选的,所述的Linux进程特权操作动态适配方法,还包括:
[0030]当完整的能力属性集中除业务进程启动需要的能力属性外的能力属性都有去掉一次之后,设置业务类型对应的能力属性字典表中的能力属性,执行业务操作,判断业务是否执行正常;如果正常,业务类型操作需要的能力属性获取完成。
[0031]优选的,统计不同时段操作的业务类型,根据业务进程启动需要的能力属性和不同业务类型操作需要的能力属性,动态适配不同时段业务进程的能力属性,具体包括:
[0032]设置学习周期和时间段;
[0033]统计分析在设置的学习周期内,相应时间段业务进程操作过的业务类型;
[0034]根据相应时间段业务进程操作的业务类型,动态适配不同时段业务进程的能力属性。
[0035]优选的,所述行为数据为进程正常启动后,获取的信息,包括:进程开放的端口、使用的句柄、程序的运行状态、进程加载的so文件及进程运行情况的跟踪信息。
[0036]第二方面,一种Linux进程特权操作动态适配装置,包括:
[0037]完整能力属性集设置模块,用于设置业务进程完整的能力属性集;
[0038]业务类型操作模块,用于启动模块,用于普通用户启动业务进程,执行所有业务类型操作;
[0039]行为数据获取模块,用于获取业务进程启动及执行所有业务类型操作的行为数据;
[0040]能力属性获取模块,用于当进程行为数据正常时,获取业务进程启动需要的能力属性,并获取执行不同业务类型操作需要的能力属性;
[0041]能力属性适配模块,用于统计不同时段操作的业务类型,根据业务进程启动需要的能力属性和不同业务类型操作需要的能力属性,动态适配不同时段业务进程的能力属性。
[0042]第三方面,一种计算机设备,包括处理器、存储器和通信接口,其中,所述存储器存储有计算机程序,所述计算机程序被配置由所述处理器执行,所述计算机程序包括用于执行一种Linux进程特权操作动态适配方法中的步骤的指令。
[0043]第四方面,一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,所述计算机程序使得计算机执行以实现所述的Linux进程特权操作动态适配方法。
[0044]本专利技术具有如下有益效果:
[0045](1)本专利技术以Linux的capabilities(能力)机制作为基础,在主程序中增加一个应用基线,基线进程负责收集和分析业务进程的信息和行为数据,通过分析进程行本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种Linux进程特权操作动态适配方法,其特征在于,包括:设置业务进程完整的能力属性集;普通用户启动业务进程,执行所有业务类型操作;获取业务进程启动及执行所有业务类型操作的行为数据;当进程行为数据正常时,获取业务进程启动需要的能力属性,并获取执行不同业务类型操作需要的能力属性;统计不同时段操作的业务类型,根据业务进程启动需要的能力属性和不同业务类型操作需要的能力属性,动态适配不同时段业务进程的能力属性。2.根据权利要求1所述的Linux进程特权操作动态适配方法,其特征在于,获取业务进程启动需要的能力属性,具体包括:获取系统支持的能力属性,将能力属性保存到能力属性数组中;启动业务进程,获取业务进程启动后的行为数据;当进程行为数据正常时,轮询去掉能力属性数组中的一个能力属性;重启业务进程,判断进程启动的行为数据是否正常;如果启动异常,将去掉的能力属性保存到进程启动能力数组,并将去掉的能力属性重新添加给业务进程。3.根据权利要求2所述的Linux进程特权操作动态适配方法,其特征在于,还包括:当能力属性数组中的能力属性都有去掉一次之后,基于进程启动能力数组中的能力属性,再次重启业务进程,判断进程启动行为数据是否正常;如果正常,业务进程启动需要的能力属性获取完成。4.根据权利要求1所述的Linux进程特权操作动态适配方法,其特征在于,获取执行不同业务类型操作需要的能力属性,具体包括:收到新的业务类型操作时,判断业务类型对应的能力属性字典表是否存在,如果存在,获取并设置业务类型对应的能力属性字典表中的能力属性,判断业务操作是否正常,如果正常,业务类型操作需要的能力属性获取完成;业务类型对应的能力属性字典表不存在或者业务操作异常,设置业务进程完整的能力属性集,执行业务操作,判断业务是否执行正常;如果正常,轮询去掉完整的能力属性集中除业务进程启动需要的能力属性外的一个能力属性;如果异常,将去掉的能力属性记录到业务类型对应的能力属性字典表中,并将去掉的能力属性重新添加给业务进程。5.根据权利要求4所述的Linux进程特权操作动态适配方法,其特征在于,...
【专利技术属性】
技术研发人员:余培林,陈奋,陈荣有,龚利军,孙晓波,
申请(专利权)人:厦门服云信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。