【技术实现步骤摘要】
本专利技术涉及操作系统安全,具体而言,涉及一种操作系统特权分配方法、装置、电子设备及存储介质。
技术介绍
1、在linux系统(一种免费使用和自由传播的类unix操作系统,unix系统是一种多用户、多任务操作系统)等操作系统中,很多程序的正常运行需要访问操作系统内核提供的cpu(central processing unit/processor,中央处理器)资源、存储资源、i/o(input/output,输入/输出)资源等资源,使得这类程序在运行过程中需要获取相应的特权。而传统的linux系统主要是采用基于用户的策略来管理特权,将操作系统的用户分为不拥有任一特权的普通用户和拥有所有特权的超级用户,即root用户,普通用户触发运行的程序不能访问linux系统中需要特权的资源,root用户能够访问linux系统中需要特权的资源。
2、但在实际应用中,不同程序运行所访问的资源往往不完全相同,所需的特权也往往不完全相同,若统一由root用户触发运行这类程序,则任一程序将会从root用户处继承到操作系统的所有特权,容易导致程序获得超出自身能力的特权,给恶意攻击者提权带来可能,难以有效保证操作系统的安全性。
技术实现思路
1、本专利技术实施例的目的在于提供一种操作系统特权分配方法、装置、电子设备及存储介质,用以实现对操作系统特权进行细粒度分配,进一步提高操作系统的安全性的技术效果。
2、第一方面,本专利技术实施例提供一种操作系统特权分配方法,包括:
3、响
4、在所述目标角色通过合法性验证时,将所述角色配置文件中所述目标角色的所有特权注入目标程序,以运行所述目标程序。
5、在上述实现过程中,通过设置角色配置文件,可任意组合操作系统的不同特权赋给不同角色,并采用角色配权控制方式,仅在用户请求运行目标程序时才将用户选择的合法角色的所有特权注入目标程序进行运行,能够对操作系统特权进行细粒度分配,使目标程序仅在运行期间获得符合自身能力的特权,有效避免恶意攻击者提权,进一步提高操作系统的安全性。
6、进一步地,在所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证之前,还包括:
7、获取管理员上传的所述角色配置文件,将所述角色配置文件以用户只读模式存储在目标文件夹。
8、在上述实现过程中,通过将管理员上传的角色配置文件以用户只读模式存储在目标文件夹,能够有效避免任一用户随意修改角色配置文件,保障角色配置文件的数据安全。
9、进一步地,在所述获取管理员上传的所述角色配置文件,将所述角色配置文件以用户只读模式存储在目标文件夹之前,还包括:
10、响应所述管理员发起的第一特权查询请求,执行第一特权查询命令,向所述管理员返回操作系统各个程序运行所需的特权。
11、在上述实现过程中,通过在获取管理员上传的角色配置文件之前,响应管理员发起的第一特权查询请求,将执行第一特权查询命令查询到的操作系统各个程序运行所需的特权返回给管理员,能够方便管理员快速收集操作系统各个程序运行所需的特权,结合操作系统各个程序运行所需的特权合理定义或修改角色配置文件。
12、进一步地,所述执行第一特权查询命令,具体包括:
13、基于操作系统安全控制框架,实时探测所述操作系统各个程序运行所需的特权。
14、在上述实现过程中,通过基于操作系统安全控制框架,实时探测操作系统各个程序运行所需的特权,能够保证实时准确地探测操作系统各个程序运行所需的特权,方便管理员快速准确地收集操作系统各个程序运行所需的特权,结合操作系统各个程序运行所需的特权合理定义或修改角色配置文件。
15、进一步地,在所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证之前,还包括:
16、响应所述用户发起的第二特权查询请求,执行第二特权查询命令,向所述用户返回所述目标程序运行所需的特权。
17、在上述实现过程中,通过在响应用户发起的目标程序运行请求之前,响应用户发起的第二特权查询请求,将执行第二特权查询命令查询到的目标程序运行所需的特权返回给用户,能够方便用户快速获取目标程序运行所需的特权,根据目标程序运行所需的特权合理选择目标角色和目标命令。
18、进一步地,所述根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证,具体包括:
19、在所述用户通过身份验证时,根据所述角色配置文件对所述目标角色进行合法性验证。
20、在上述实现过程中,通过在处理用户发起的目标程序运行请求的过程中,仅在用户通过身份验证时才根据角色配置文件对目标角色进行合法性验证,能够仅允许正常用户运行目标程序,有效避免恶意攻击者提权,进一步提高操作系统的安全性。
21、进一步地,所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证,具体包括:
22、响应所述目标程序运行请求,获取所述目标角色;其中,所述目标角色是所述用户自身拥有的任一角色或所述角色配置文件中适用于所述用户的任一角色;
23、判断所述角色配置文件中所述目标角色的适用用户组是否包括所述用户;
24、若所述角色配置文件中所述目标角色的适用用户组包括所述用户,则判定所述目标角色通过合法性验证;
25、若所述角色配置文件中所述目标角色的适用用户组不包括所述用户,则判定所述目标角色未通过合法性验证。
26、在上述实现过程中,通过基于角色配置文件中各个角色的配置信息,采用判断角色配置文件中是否有目标角色,以及在角色配置文件中有目标角色的前提下继续判断角色配置文件中目标角色的适用用户组是否包括用户的目标角色的合法性验证方式,能够准确验证目标角色的合法性。
27、进一步地,所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证,具体包括:
28、响应所述目标程序运行请求,获取所述目标角色和所述用户选择的目标命令;其中,所述目标角色是所述用户自身拥有的任一角色或所述角色配置文件中适用于所述用户的任一角色;
29、判断所述角色配置文件中所述目标角色的适用用户组是否包括所述用户,以及判断所述角色配置文件中所述目标角色的适用命令集是否包括所述目标命令;
30、若所述角色配置文件中所述目标角色的适用用户组包括所述用户、且所述角色配置文件中所述目标角色的适用命令集包括所述目标命令,则判定所述目标角色通过合法性验证;
31、若所述角色配置文件中所述目标角色的适用用户组不包括所述用户、或所述角色配置文件中所述目标角色的适用命令集不包括所述目标命令,则判定所本文档来自技高网...
【技术保护点】
1.一种操作系统特权分配方法,其特征在于,包括:
2.根据权利要求1所述的操作系统特权分配方法,其特征在于,在所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证之前,还包括:
3.根据权利要求2所述的操作系统特权分配方法,其特征在于,在所述获取管理员上传的所述角色配置文件,将所述角色配置文件以用户只读模式存储在目标文件夹之前,还包括:
4.根据权利要求3所述的操作系统特权分配方法,其特征在于,所述执行第一特权查询命令,具体包括:
5.根据权利要求1所述的操作系统特权分配方法,其特征在于,在所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证之前,还包括:
6.根据权利要求1所述的操作系统特权分配方法,其特征在于,所述根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证,具体包括:
7.根据权利要求1或6所述的操作系统特权分配方法,其特征在于,所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文
8.根据权利要求1或6所述的操作系统特权分配方法,其特征在于,所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证,具体包括:
9.根据权利要求1所述的操作系统特权分配方法,其特征在于,所述将所述角色配置文件中所述目标角色的所有特权注入目标程序,以运行所述目标程序,具体包括:
10.根据权利要求1所述的操作系统特权分配方法,其特征在于,还包括:
11.一种操作系统特权分配装置,其特征在于,包括:
12.一种电子设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序;所述存储器与所述处理器耦接,且所述处理器执行所述计算机程序时实现根据权利要求1至10任一项所述的操作系统特权分配方法。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序;其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行根据权利要求1至10任一项所述的操作系统特权分配方法。
...【技术特征摘要】
1.一种操作系统特权分配方法,其特征在于,包括:
2.根据权利要求1所述的操作系统特权分配方法,其特征在于,在所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证之前,还包括:
3.根据权利要求2所述的操作系统特权分配方法,其特征在于,在所述获取管理员上传的所述角色配置文件,将所述角色配置文件以用户只读模式存储在目标文件夹之前,还包括:
4.根据权利要求3所述的操作系统特权分配方法,其特征在于,所述执行第一特权查询命令,具体包括:
5.根据权利要求1所述的操作系统特权分配方法,其特征在于,在所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证之前,还包括:
6.根据权利要求1所述的操作系统特权分配方法,其特征在于,所述根据预先存储的角色配置文件对所述用户选择的目标角色进行合法性验证,具体包括:
7.根据权利要求1或6所述的操作系统特权分配方法,其特征在于,所述响应用户发起的目标程序运行请求,根据预先存储的角色配置文件对所述用...
【专利技术属性】
技术研发人员:漆小静,胡亚运,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。