CN106940762A - 一种用户登录限制及行为记录装置及方法 - Google Patents
一种用户登录限制及行为记录装置及方法 Download PDFInfo
- Publication number
- CN106940762A CN106940762A CN201710161032.3A CN201710161032A CN106940762A CN 106940762 A CN106940762 A CN 106940762A CN 201710161032 A CN201710161032 A CN 201710161032A CN 106940762 A CN106940762 A CN 106940762A
- Authority
- CN
- China
- Prior art keywords
- user logs
- limitation
- login
- time
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种用户登录限制及行为记录装置及方法,该装置配置在Linux系统;并包括:用户登录终端限制模块:用于限制指定用户登录终端;用户登录时间限制模块:用于通过PAM模块限制指定用户登录时间;ssh登录记录判断模块:用于通过Iptable工具记录登录行为,并判断是否接受登录请求。本发明借助于Linux系统的Iptable工具、PAM模块实现定制的安全策略套件,以满足系统安全性、用户登陆限制、用户行为记录的需求,可合理合规地严格监控当前时间使用系统资源,为系统管理员的工作提供便利,提高工作效率。
Description
技术领域
本发明涉及系统或软件登录领域,具体涉及用户登录限制及用户登录行为记录的装置及方法。
背景技术
系统管理员负责整个系统的管理、安全、资源分配等工作,管理各个用户在系统中得权限、资源使用、安全性分析等,对于用户在当前时间使用系统资源是否合理合规有着严格监控的职责,尤其对于一些商业软件或者系统,例如在一些使用费用昂贵的系统中,这些问题有着急迫的解决需求。
发明内容
为解决上述问题,本发明提供一种合理合规监控使用系统资源的用户登录限制及行为记录装置及方法。
本发明的技术方案是:一种用户登录限制及行为记录装置,所述用户登录限制及行为记录装置配置在Linux系统;
所述用户登录限制及行为记录装置包括:
用户登录终端限制模块:用于限制指定用户登录终端;
用户登录时间限制模块:用于通过PAM模块限制指定用户登录时间;
ssh登录记录判断模块:用于通过Iptable工具记录登录行为,并判断是否接受登录请求。
进一步地,用户登录终端限制模块通过修改文件/etc/security/access.conf限制指定用户登录终端。
进一步地,用户登录时间限制模块通过修改文件/etc/security/time.conf,配合PAM中/etc/pam.d/sshd 添加pam_time.so限制指定用户登录时间。
进一步地,用户登录终端限制模块所限制的指定用户登录终端包括tty*终端和ssh终端。
进一步地,ssh登录记录判断模块所记录的登录行为包括登录用户、登录来源、mac地址、登录时间及采取措施;所述采取措施包括放行和禁止。
进一步地,所述用户登录限制及行为记录装置还包括:
登录终端限制报警模块:用于当登录终端为限制终端时,发出报警信号;
登录时间限制报警模块:用于当登录时间为限制时间时,发出报警信号;
ssh登录判断报警模块:用于当ssh登录记录判断模块不接受登录请求时,发出报警信号。
一种用户登录限制及行为记录方法,包括:
S1:用户登录;
S2:判断是否是指定用户登录终端;
S3:若是指定用户登录终端,则进入步骤S4;若非指定用户登录终端,则发出报警信号;
S4:判断登录时间是否在指定用户登录时间段;
S5:若登录时间在指定用户登录时间段,则进入步骤S6;若登录时间不在指定用户登录时间段,则发出报警信号;
S6:判断是否接受登录请求;
S7:若接受登录请求,则放行并记录登录行为;若不接受登录请求,则禁止并发出报警信号,同时记录登录行为。
进一步地,步骤S2中,通过修改文件/etc/security/access.conf判断是否是指定用户登录终端。
进一步地,步骤S4中,通过修改文件/etc/security/time.conf,配合PAM中/etc/pam.d/sshd 添加pam_time.so判断登录时间是否在指定用户登录时间段。
进一步地,步骤S7中,登录行为包括登录用户、登录来源、mac地址、登录时间及采取措施;所述采取措施包括放行和禁止。
本发明提供的用户登录限制及行为记录装置及方法,可实现以下功能:1.指定用户登录终端和登录类型限制,例如tty*终端登录限制、ssh登录限制;2.指定用户登录时间限制,例如允许登录时间段限制;3.ssh尝试登录的源地址、时间、用户等记录,并可以采取是否接受请求的应对措施。本发明借助于Linux系统的Iptable工具、PAM模块实现定制的安全策略套件,以满足系统安全性、用户登陆限制、用户行为记录的需求,可合理合规地严格监控当前时间使用系统资源,为系统管理员的工作提供便利,提高工作效率。
附图说明
图1是本发明具体实施例方法流程图。
具体实施方式
下面结合附图并通过具体实施例对本发明进行详细阐述,以下实施例是对本发明的解释,而本发明并不局限于以下实施方式。
本发明提供个用户登录限制及行为记录装置,基于Linux系统,包括以下模块:
用户登录终端限制模块:用于限制指定用户登录终端;
用户登录时间限制模块:用于通过PAM模块限制指定用户登录时间;
ssh登录记录判断模块:用于通过Iptable工具记录登录行为,并判断是否接受登录请求。
其中,用户登录终端限制模块通过修改文件/etc/security/access.conf限制指定用户登录终端。用户登录终端限制模块所限制的指定用户登录终端包括tty*终端和ssh终端。
用户登录时间限制模块通过修改文件/etc/security/time.conf,配合PAM中/etc/pam.d/sshd 添加pam_time.so(例如auth required pam_time.so)限制指定用户登录时间。
ssh登录记录判断模块通过添加Iptable规则记录登录行为,并判断是否接受登录请求。示例如下:
#iptables -A INPUT -i eno1 -p tcp --dport ssh -m state --state NEW -j LOG
--log-prefix "SSH_IPTABLES_NEW" --log-level warning
#iptables -A INPUT -p tcp --dport ssh -m state --state NEW -s
192.168.100.0/24 -j REJECT
添加Iptable规则的同时可配合rsyslogd服务,可过滤并记录登录行为,登录行为包括登录用户、登录来源、mac地址、登录时间及采取措施;采取措施包括放行和禁止。
本实施例中,还设置以下报警模块:
登录终端限制报警模块:用于当登录终端为限制终端时,发出报警信号;
登录时间限制报警模块:用于当登录时间为限制时间时,发出报警信号;
ssh登录判断报警模块:用于当ssh登录记录判断模块不接受登录请求时,发出报警信号。
如图1所示,本发明提供的用户登录限制及行为记录方法,包括以下步骤:
S1:用户登录;
S2:判断是否是指定用户登录终端;
S3:若是指定用户登录终端,则进入步骤S4;若非指定用户登录终端,则发出报警信号;
S4:判断登录时间是否在指定用户登录时间段;
S5:若登录时间在指定用户登录时间段,则进入步骤S6;若登录时间不在指定用户登录时间段,则发出报警信号;
S6:判断是否接受登录请求;
S7:若接受登录请求,则放行并记录登录行为;若不接受登录请求,则禁止并发出报警信号,同时记录登录行为。
上述步骤S2中通过修改文件/etc/security/access.conf判断是否是指定用户登录终端。
步骤S4中,通过修改文件/etc/security/time.conf,配合PAM中/etc/pam.d/sshd添加pam_time.so判断登录时间是否在指定用户登录时间段。
步骤S7中,登录行为包括登录用户、登录来源、mac地址、登录时间及采取措施;采取措施包括放行和禁止。
步骤S7中,通过添加Iptables规则判断是否接受登录请求并记录登录行为。
Iptables规则示例如下:
#iptables -A INPUT -i eno1 -p tcp --dport ssh -m state --state NEW -j LOG
--log-prefix "SSH_IPTABLES_NEW" --log-level warning
#iptables -A INPUT -p tcp --dport ssh -m state --state NEW -s
192.168.100.0/24 -j REJECT
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都应落在本发明的保护范围内。
Claims (10)
1.一种用户登录限制及行为记录装置,其特征在于,所述用户登录限制及行为记录装置配置在Linux系统;
所述用户登录限制及行为记录装置包括:
用户登录终端限制模块:用于限制指定用户登录终端;
用户登录时间限制模块:用于通过PAM模块限制指定用户登录时间;
ssh登录记录判断模块:用于通过Iptable工具记录登录行为,并判断是否接受登录请求。
2.根据权利要求1所述的用户登录限制及行为记录装置,其特征在于,用户登录终端限制模块通过修改文件/etc/security/access.conf限制指定用户登录终端。
3.根据权利要求1或2所述的用户登录限制及行为记录装置,其特征在于,用户登录时间限制模块通过修改文件/etc/security/time.conf,配合PAM中/etc/pam.d/sshd 添加pam_time.so限制指定用户登录时间。
4.根据权利要求1或2所述的用户登录限制及行为记录装置,其特征在于,用户登录终端限制模块所限制的指定用户登录终端包括tty*终端和ssh终端。
5.根据权利要求1或2所述的用户登录限制及行为记录装置,其特征在于,ssh登录记录判断模块所记录的登录行为包括登录用户、登录来源、mac地址、登录时间及采取措施;所述采取措施包括放行和禁止。
6.根据权利要求1或2所述的用户登录限制及行为记录装置,其特征在于,所述用户登录限制及行为记录装置还包括:
登录终端限制报警模块:用于当登录终端为限制终端时,发出报警信号;
登录时间限制报警模块:用于当登录时间为限制时间时,发出报警信号;
ssh登录判断报警模块:用于当ssh登录记录判断模块不接受登录请求时,发出报警信号。
7.一种用户登录限制及行为记录方法,其特征在于,包括:
S1:用户登录;
S2:判断是否是指定用户登录终端;
S3:若是指定用户登录终端,则进入步骤S4;若非指定用户登录终端,则发出报警信号;
S4:判断登录时间是否在指定用户登录时间段;
S5:若登录时间在指定用户登录时间段,则进入步骤S6;若登录时间不在指定用户登录时间段,则发出报警信号;
S6:判断是否接受登录请求;
S7:若接受登录请求,则放行并记录登录行为;若不接受登录请求,则禁止并发出报警信号,同时记录登录行为。
8.根据权利要求7所述的用户登录限制及行为记录方法,其特征在于,步骤S2中,通过修改文件/etc/security/access.conf判断是否是指定用户登录终端。
9.根据权利要求7所述的用户登录限制及行为记录方法,其特征在于,步骤S4中,通过修改文件/etc/security/time.conf,配合PAM中/etc/pam.d/sshd 添加pam_time.so判断登录时间是否在指定用户登录时间段。
10.根据权利要求7所述的用户登录限制及行为记录方法,其特征在于,步骤S7中,登录行为包括登录用户、登录来源、mac地址、登录时间及采取措施;所述采取措施包括放行和禁止。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710161032.3A CN106940762A (zh) | 2017-03-17 | 2017-03-17 | 一种用户登录限制及行为记录装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710161032.3A CN106940762A (zh) | 2017-03-17 | 2017-03-17 | 一种用户登录限制及行为记录装置及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106940762A true CN106940762A (zh) | 2017-07-11 |
Family
ID=59469700
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710161032.3A Pending CN106940762A (zh) | 2017-03-17 | 2017-03-17 | 一种用户登录限制及行为记录装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106940762A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111083087A (zh) * | 2018-10-18 | 2020-04-28 | 上海擎感智能科技有限公司 | 实现ssh安全登录的方法、系统、存储介质及设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103580962A (zh) * | 2012-08-06 | 2014-02-12 | 中兴通讯股份有限公司 | 一种为家庭网关用户提供定制化网络服务的系统及方法 |
US20160088478A1 (en) * | 2014-08-10 | 2016-03-24 | Belkin International, Inc. | Setup of multiple iot network devices |
US20160142545A1 (en) * | 2014-03-31 | 2016-05-19 | Avaya Inc. | System and method to detect and correct ip phone mismatch in a contact center |
CN106027520A (zh) * | 2016-05-19 | 2016-10-12 | 微梦创科网络科技(中国)有限公司 | 一种检测处理盗取网站帐号的方法及装置 |
CN106304073A (zh) * | 2016-08-30 | 2017-01-04 | 福建富士通信息软件有限公司 | 一种WIFI Portal的认证管理方法及系统 |
-
2017
- 2017-03-17 CN CN201710161032.3A patent/CN106940762A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103580962A (zh) * | 2012-08-06 | 2014-02-12 | 中兴通讯股份有限公司 | 一种为家庭网关用户提供定制化网络服务的系统及方法 |
US20160142545A1 (en) * | 2014-03-31 | 2016-05-19 | Avaya Inc. | System and method to detect and correct ip phone mismatch in a contact center |
US20160088478A1 (en) * | 2014-08-10 | 2016-03-24 | Belkin International, Inc. | Setup of multiple iot network devices |
CN106027520A (zh) * | 2016-05-19 | 2016-10-12 | 微梦创科网络科技(中国)有限公司 | 一种检测处理盗取网站帐号的方法及装置 |
CN106304073A (zh) * | 2016-08-30 | 2017-01-04 | 福建富士通信息软件有限公司 | 一种WIFI Portal的认证管理方法及系统 |
Non-Patent Citations (3)
Title |
---|
余洪春: "《Linux集群和自动化运维》", 31 August 2016, 北京:机械工业出版社 * |
曹继军等: "《网络安全宝典 第2版》", 30 November 2010, 北京:清华大学出版社 * |
梁如军等: "《Linux基础及应用教程 基于CentOS7》", 31 July 2016, 北京:机械工业出版社 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111083087A (zh) * | 2018-10-18 | 2020-04-28 | 上海擎感智能科技有限公司 | 实现ssh安全登录的方法、系统、存储介质及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9338134B2 (en) | Firewall policy management | |
US10965684B2 (en) | Logical zones for IoT devices | |
US20150150097A1 (en) | Automation system access control system and method | |
US8131846B1 (en) | Global, location-aware computer security | |
CN101909298B (zh) | 无线网络安全接入控制方法和装置 | |
CN109040037A (zh) | 一种基于策略和规则的安全审计系统 | |
US10341293B2 (en) | Transparent firewall for protecting field devices | |
US8649270B2 (en) | Dynamic network configuration | |
US6772349B1 (en) | Detection of an attack such as a pre-attack on a computer network | |
CN110892374A (zh) | 提供访问管理平台的系统和方法 | |
CN103457948A (zh) | 工业控制系统及其安全装置 | |
CN111147527A (zh) | 一种物联网系统及其设备认证方法、装置、设备及介质 | |
CN108667802A (zh) | 一种电力应用网络安全的监测方法及系统 | |
US10152197B1 (en) | Dynamic indication of a status of an application | |
CN102469098B (zh) | 信息安全防护主机 | |
CN106940762A (zh) | 一种用户登录限制及行为记录装置及方法 | |
CN109241769A (zh) | 一种电子设备隐私安全预警方法和系统 | |
CN109493251A (zh) | 一种电力无线公网监控系统 | |
CN105045100A (zh) | 一种利用海量数据进行管理的智能运维监控平台 | |
CN106161330A (zh) | 一种应用于profinet工业以太网的安全隔离系统 | |
US10298445B2 (en) | Method for dynamic adjustment of a level of verbosity of a component of a communications network | |
CN108933707B (zh) | 一种工业网络的安全监控系统及方法 | |
CN115567258A (zh) | 网络安全态势感知方法、系统、电子设备及存储介质 | |
WO2015121389A1 (en) | Method and hardware device for remotely connecting to and controlling a private branch exchange | |
JP2019083478A (ja) | 通信システム、制御装置、ゲートウェイ、通信制御方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170711 |
|
RJ01 | Rejection of invention patent application after publication |