CN105740702A - 一种linux系统下基于用户的程序执行控制的方法 - Google Patents

一种linux系统下基于用户的程序执行控制的方法 Download PDF

Info

Publication number
CN105740702A
CN105740702A CN201610047181.2A CN201610047181A CN105740702A CN 105740702 A CN105740702 A CN 105740702A CN 201610047181 A CN201610047181 A CN 201610047181A CN 105740702 A CN105740702 A CN 105740702A
Authority
CN
China
Prior art keywords
program
user
linux system
layer
filename
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610047181.2A
Other languages
English (en)
Inventor
李岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Electronic Information Industry Co Ltd
Original Assignee
Inspur Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Electronic Information Industry Co Ltd filed Critical Inspur Electronic Information Industry Co Ltd
Priority to CN201610047181.2A priority Critical patent/CN105740702A/zh
Publication of CN105740702A publication Critical patent/CN105740702A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/448Execution paradigms, e.g. implementations of programming paradigms
    • G06F9/4482Procedural

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开一种LINUX系统下基于用户的程序执行控制的方法,涉及计算机系统及信息安全领域,通过对LINUX系统内核进行加固,通过加固程序中配置的策略匹配机制,对SSR中用户文件执行进行控制,能够对LINUX系统中程序的执行按照用户来授权。本发明有效的通过策略匹配机制,实现了授权的用户可以控制程序的执行,未授权的用户不能控制程序的执行,解决了一个管理员只能维护自己的业务,不能操作其他的业务的问题。

Description

一种LINUX系统下基于用户的程序执行控制的方法
技术领域
本发明涉及计算机系统及信息安全领域,具体的说是一种LINUX系统下基于用户的程序执行控制的方法。
背景技术
浪潮操作系统安全增强系统(ServerSecurityReinforcement,简称SSR)浪潮具有自主知识产权的“操作系统安全增强系统”,通过对文件、目录、进程、注册表和服务的强制访问控制,有效的制约和分散了原有系统管理员的权限。SSR是构建国家三级安全操作系统的内核模块技术的解决方案产品,可以实时的把普通的服务器操作系统从体系上升级,具有三级的安全技术功能,从根本上免疫现有的各种针对操作系统的攻击行为,如:病毒,蠕虫,黑客攻击等。SSR作为操作系统安全防御产品,已经在很多市场赢得了不可或缺的地位,可以灵活、有效的防御来自内部、外部的攻击或非法性操作,并记录成日志以供查询分析。
Linux是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议,支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。当一个LINUX系统服务器中运行着多个业务时,不同的管理员对不同的业务进行维护,那么如何实现一个管理员只能维护自己的业务,而且不能操作其他的业务,是当今需要解决的技术问题。
发明内容
本发明针对目前需求以及现有技术发展的不足之处,提供一种LINUX系统下基于用户的程序执行控制的方法。
本发明所述一种LINUX系统下基于用户的程序执行控制的方法,解决上述技术问题采用的技术方案如下:所述LINUX系统下基于用户的程序执行控制的方法,通过对LINUX系统内核进行加固,通过加固程序中配置的策略匹配机制,能够对LINUX系统中程序的执行按照用户来授权,实现对SSR中用户文件执行进行控制。
优选的,通过获取LINUX系统内核中的FileName,UserID来匹配策略列表中的规则;如果匹配规则,则程序能够正常执行;如果不匹配规则,则程序不可执行。
优选的,在LINUX系统中部署SSR系统安全加固软件,并添加用户程序执行控制策略。
本发明所述一种LINUX系统下基于用户的程序执行控制的方法与现有技术相比具有的有益效果是:本发明有效的通过策略匹配机制,实现了在LINUX系统中指定的程序由指定的用户来执行,即授权的用户可以控制程序的执行,未授权的用户不能控制程序的执行,解决了一个管理员只能维护自己的业务,不能操作其他的业务的问题;并且该方法构思新颖、实施简单,具有较好的推广使用价值。
附图说明
附图1为所述LINUX系统下基于用户的程序执行控制的方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明所述一种LINUX系统下基于用户的程序执行控制的方法进一步详细说明。
本发明提供一种LINUX系统下基于用户的程序执行控制的方法,通过对LINUX系统内核进行加固,通过加固程序中配置的策略匹配机制,能够对LINUX系统中程序的执行按照用户来授权,实现对SSR中用户文件执行进行控制。采用本发明所述LINUX系统下基于用户的程序执行控制的方法,可以实现,在LINUX系统中指定的程序由指定的用户来执行。
实施例:
本实施例所述一种LINUX系统下基于用户的程序执行控制的方法,通过获取LINUX系统内核中的FileName,UserID来匹配策略列表中的规则;如果匹配规则,则程序能够正常执行;如果不匹配规则,则程序不可执行。即本实施例所述方法,通过策略匹配机制,实现了授权的用户可以控制程序的执行,未授权的用户不能控制程序的执行。
本实施例所述LINUX系统下基于用户的程序执行控制的方法,具体实施时,首先在LINUX系统中部署SSR系统安全加固软件,并添加用户程序执行控制策略;如附图1所示,该方法的具体实施方式如下:
1)系统用户在用户层运行一个程序;
2)用户执行程序事件进入系统内核层;
3)SSR层获取FileName;
4)根据FileName获取到UserID;
5)用获取到的FileName和UserID匹配策略列表;
6)如果策略列表匹配成功,则返回内核层操作成功,最终返回用户层程序执行成功;
7)如果策略列表匹配失败,则返回内核层操作失败,最终返回用户层程序执行失败。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。

Claims (4)

1.一种LINUX系统下基于用户的程序执行控制的方法,其特征在于,通过对LINUX系统内核进行加固,通过加固程序中配置的策略匹配机制,对SSR中用户文件执行进行控制,能够对LINUX系统中程序的执行按照用户来授权。
2.根据权利要求1所述一种LINUX系统下基于用户的程序执行控制的方法,其特征在于,通过获取LINUX系统内核中的FileName,UserID来匹配策略列表中的规则;如果匹配规则,则程序能够正常执行;如果不匹配规则,则程序不可执行。
3.根据权利要求2所述一种LINUX系统下基于用户的程序执行控制的方法,其特征在于,在LINUX系统中部署SSR系统安全加固软件,并添加用户程序执行控制策略。
4.根据权利要求3所述一种LINUX系统下基于用户的程序执行控制的方法,其特征在于,该方法的实施步骤为:
1)系统用户在用户层运行一个程序;
2)用户执行程序事件进入系统内核层;
3)SSR层获取FileName;
4)根据FileName获取到UserID;
5)用获取到的FileName和UserID匹配策略列表;
6)若策略列表匹配成功,则返回内核层操作成功,最终返回用户层程序执行成功;
7)若策略列表匹配失败,则返回内核层操作失败,最终返回用户层程序执行失败。
CN201610047181.2A 2016-01-25 2016-01-25 一种linux系统下基于用户的程序执行控制的方法 Pending CN105740702A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610047181.2A CN105740702A (zh) 2016-01-25 2016-01-25 一种linux系统下基于用户的程序执行控制的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610047181.2A CN105740702A (zh) 2016-01-25 2016-01-25 一种linux系统下基于用户的程序执行控制的方法

Publications (1)

Publication Number Publication Date
CN105740702A true CN105740702A (zh) 2016-07-06

Family

ID=56247443

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610047181.2A Pending CN105740702A (zh) 2016-01-25 2016-01-25 一种linux系统下基于用户的程序执行控制的方法

Country Status (1)

Country Link
CN (1) CN105740702A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101493873A (zh) * 2009-03-04 2009-07-29 浪潮电子信息产业股份有限公司 基于内核层技术实现对win平台文件读写操作访问控制方法
CN101819548A (zh) * 2010-03-26 2010-09-01 浪潮电子信息产业股份有限公司 一种利用强制访问控制检测Linux系统故障的技术
CN102546672A (zh) * 2012-03-09 2012-07-04 浪潮通信信息系统有限公司 一种云计算平台带外授权安全加固方法
CN102930202A (zh) * 2012-11-05 2013-02-13 曙光信息产业(北京)有限公司 在Linux系统中执行操作的方法
US20150007266A1 (en) * 2010-10-22 2015-01-01 George Mason Intellectual Properties, Inc. Program execution integrity verification for a computer system
CN104951695A (zh) * 2015-06-16 2015-09-30 广东欧珀移动通信有限公司 一种基于Selinux定制应用程序安全策略方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101493873A (zh) * 2009-03-04 2009-07-29 浪潮电子信息产业股份有限公司 基于内核层技术实现对win平台文件读写操作访问控制方法
CN101819548A (zh) * 2010-03-26 2010-09-01 浪潮电子信息产业股份有限公司 一种利用强制访问控制检测Linux系统故障的技术
US20150007266A1 (en) * 2010-10-22 2015-01-01 George Mason Intellectual Properties, Inc. Program execution integrity verification for a computer system
CN102546672A (zh) * 2012-03-09 2012-07-04 浪潮通信信息系统有限公司 一种云计算平台带外授权安全加固方法
CN102930202A (zh) * 2012-11-05 2013-02-13 曙光信息产业(北京)有限公司 在Linux系统中执行操作的方法
CN104951695A (zh) * 2015-06-16 2015-09-30 广东欧珀移动通信有限公司 一种基于Selinux定制应用程序安全策略方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
WEBSTAR: "浪潮操作系统安全增强系统(SSR)V1.0技术白皮书", 《HTTPS://WENKU.BAIDU.COM/VIEW/C3E7CA0FF111F18583D05A92.HTMLHTTPS://WENKU.BAIDU.COM/VIEW/C3E7CA0FF111F18583D05A92.HTML》 *

Similar Documents

Publication Publication Date Title
KR102542720B1 (ko) 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템
KR20190090037A (ko) 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법
CN102902928B (zh) 一种网页防篡改方法及装置
EP2653994B1 (en) Information security techniques including detection, interdiction and/or mitigation of memory injection attacks
CN101520831B (zh) 安全终端系统及终端安全方法
CN104270467A (zh) 一种用于混合云的虚拟机管控方法
CN103902885A (zh) 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法
CN103370715A (zh) 用于保护虚拟计算环境的系统和方法
CN103618652A (zh) 一种业务数据的审计和深度分析系统及其方法
CN104751050A (zh) 一种客户端应用程序管理方法
US8108725B2 (en) History-based conflict resolution
CN103701783A (zh) 一种预处理单元、由其构成的数据处理系统以及处理方法
CN104732147A (zh) 一种应用程序处理方法
CN106059777A (zh) 一种云平台的可信中间件设计方法
CN109074450A (zh) 威胁防御技术
Phaphoom et al. Foundations and technological landscape of cloud computing
US7203697B2 (en) Fine-grained authorization using mbeans
RU2012114167A (ru) Способ и система для восстановления управления доменом
US11934804B2 (en) Method and system for generating and executing a software appliance
CN108924086A (zh) 一种基于安全代理的主机信息采集方法
CN104683382A (zh) 新型创新算法云计算平台数据库基准测试系统
US20150235025A1 (en) Process to prevent malicious changes to electronic files on an electronic storage device
CN107608758A (zh) 一种虚拟机文件完整性监控方法及系统
Han et al. Container image access control architecture to protect applications
CN105120010B (zh) 一种云环境下虚拟机防窃取方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160706

RJ01 Rejection of invention patent application after publication