CN109086625A - 一种云平台主机安全加固的方法 - Google Patents
一种云平台主机安全加固的方法 Download PDFInfo
- Publication number
- CN109086625A CN109086625A CN201810896147.1A CN201810896147A CN109086625A CN 109086625 A CN109086625 A CN 109086625A CN 201810896147 A CN201810896147 A CN 201810896147A CN 109086625 A CN109086625 A CN 109086625A
- Authority
- CN
- China
- Prior art keywords
- audit
- security
- host
- kernel
- cloud platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及云平台安全技术领域,特别是一种基于三权分立的云平台主机安全加固的方法。本发明的方法是将原root用户的权限分由系统管理员、安全管理员、审计管理员这三种角色共同协作完成;系统管理员权限包括系统用户账户的管理、网络相关管理与操作、内核模块加载、开启和关闭系统、对文件的档案备份和恢复、安装或卸载文件系统等对系统日常操作和维护;安全管理员负责制定系统安全策略;审计管理员设置审计开关、审计阈值和审计规则,启动和关闭审计机制以及管理审计日志等;并将其与内核安全策略模块对应角色相关联。本发明解决了云平台主机安全加固,分散超级用户权限和为满足解决现存云平台主机安全加固而需要手动给每个节点进行升级安装、配置容易出错等问题。
Description
技术领域
本发明涉及云平台安全技术领域,特别是一种基于三权分立的云平台主机安全加固的方法。
背景技术
在大数据和人工智能的时代,云计算平台已经不再是个时髦的概念,而是实实在在的成为这些新技术新应用的基础架构。在安全方面,企业网络安全风险不断迭代升级,个人信息泄漏时有发生。云服务面临信任危机,云安全问题越发显著,漏洞频发。而系统管理员的权力过大,导致系统的安全性非常脆弱,对于作为基础架构的云平台更是面临以下问题:
一是攻击者一旦发现云平台自身的安全漏洞并加以利用,就可能导致严重的大规模信息泄露事件,更有甚者,如果攻击者通过某软件漏洞获取到超级用户权限,后果更不堪设想。
二是用户获取内核安全策略软件的途径各种各样,获取的软件无法保证其安全性,软件中可能含有恶意代码或病毒,一旦爆发,对云计算中心的网络将造成极大的影响;
三是让用户自行安装内核安全策略时可能会发生误操作或者依赖包版本不对而导致内核安全策略无法正确安装,或者配置有误导致无法正常工作。
为了加强云平台主机安全分散超级用户权限和提升云平台主机安全加固的安装配置效率,需要一种通过预先定制一个包含三权分立安全策略及相关安装配置脚本的升级包,在用户在管理界面点击一键平台加固按钮后,云平台自动对整个平台的主机进行三权分立的主机安全加固安装及配置的方式。
发明内容
本发明解决的技术问题在于提供一种基于三权分立的云平台主机安全加固的方法。解决了云平台主机安全加固分散超级用户权限和为满足解决现存云平台主机安全加固而需要手动给每个节点进行升级安装、配置容易出错等问题。
本发明解决上述技术问题的技术方案是:
所述的方法是将原root用户的权限分由系统管理员、安全管理员、审计管理员这三种角色共同协作完成;系统管理员权限包括系统用户账户的管理、网络相关管理与操作、内核模块加载、开启和关闭系统、对文件的档案备份和恢复、安装或卸载文件系统等对系统日常操作和维护;安全管理员负责制定系统安全策略,负责对系统中的主体、客体进行统一标记,对主体进行安全策略配置授权,修改SElinux运行模式,装载二进制安全策略进内核;审计管理员设置审计开关、审计阈值和审计规则,启动和关闭审计机制以及管理审计日志等;并将系统管理员、安全管理员、审计管理员与内核安全策略模块对应角色相关联。
所述的方法包括如下步骤:
步骤1:制作一个包含三权分立安全策略及相关安装配置脚本的升级包;
步骤2:控制端分发升级包到云平台的各个主机节点上;
步骤3:控制端触发各目标主机安装内核安全策略模块升级包安装流程,然后修改安全模式,并在根目录下添加.autorelabel文件,最后重启目标主机;
步骤4:系统自动对整个文件系统进行安全标记,标记结束,系统继续开机启动流程;服务器启动完毕后,其上的代理端服务自动启动并向控制端汇报;
步骤5:控制端接收到各代理端的汇报后调用目标主机上的代理端触发主机安全加固配置流程,包括新增安全管理员和审计管理员账号,并将这些账号与内核安全策略模块对应角色关联起来。
所述三权分立安全策略通过linux的安全子系统SELINUX实现强制访问控制;
所述相关安装配置脚本包括安装m4、policycoreutils、policycoreutils-python、policycoreutils-newrole、libselinux-utils、setroubleshoot-server、setoolssetools-console、mcstrans等依赖包,新增系统用户账号脚本,修改安全相关资源文件属主脚本、修改审计相关资源文件组权限脚本、系统用户账号与selinux角色关联脚本等。
所述的控制端实现主机加固列表查看和一键平台加固,根据配置好的加固步骤,并对平台中没有加固过的节点进行主机安全加固;
所述的代理端负责接收加固升级包,解析升级包,主机加固安装与配置的实现和执行结果汇报等。
所述的安全模式包括disable、permissive、enforcing,设置默认为enforcing。
所述的.autorelabel文件在系统重启时对整个文件系统进行重新标记。
所述的安全加固配置流程,包括新增系统管理员、安全管理员、审计管理员账号,并设置为超级用户;然后将这三个账号分别与selinux-policy内核安全策略模块的sysadm_r、secadm_r、auditadm_r角色关联起来。
所述系统的账号与内核安全策略模块对应角色关联使账号登陆是在内核安全策略模块中对应角色的安全域上下文中;在安全模式开启的情况下,账户的所有操作访问将要通过强制访问控制策略验证,通过验证后才能正常执行操作,从而控制了不同的安全域所能访问的范围不同。
本发明可以通过管理界面点击一键平台加固按钮,即可自动加固云平台中所有主机的安全,避免了繁琐的容易出错的安装配置工作。通过加固,将原root用户的权限分由系统管理员、安全管理员、审计管理员这三种角色共同协作完成。系统管理员权限包括系统用户账户的管理、网络相关管理与操作、内核模块加载、开启和关闭系统、对文件的档案备份和恢复、安装或卸载文件系统等对系统日常操作和维护;安全管理员负责制定系统安全策略,负责对系统中的主体、客体进行统一标记,对主体进行安全策略配置授权,修改SElinux运行模式,装载二进制安全策略进内核;审计管理员设置审计开关、审计阈值和审计规则,启动和关闭审计机制以及管理审计日志等。有效限制原来linux操作系统的root权限,解决root权限过大给系统带来的危害,即使系统被攻击,也能将攻击对系统带来的危害减到最小和对攻击有迹可寻。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明方法流程图;
图2为本发明控制端代理端模块结构框图;
图3为本发明云平台主机三权分立示意图。
具体实施方式
如图1-3所示,本发明的基本流程如下:
1、制作一个包含三权分立安全策略及相关安装配置脚本的升级包:
安装m4、policycoreutils、policycoreutils-python、policycoreutils-newrole、libselinux-utils、setroubleshoot-server、setools setools-console、mcstrans等依赖包,新增安全管理员、审计管理员系统用户账号脚本,修改安全相关资源文件属主脚本,修改审计相关资源文件组权限脚本,添加安全管理员、审计管理员登录安全上下文转换配置文件,系统账号与selinux角色关联脚本等。
对于权限的分配,系统管理员权限包括系统用户账户的管理、网络相关管理与操作、内核模块加载、开启和关闭系统、对文件的档案备份和恢复、安装或卸载文件系统等对系统日常操作和维护;安全管理员负责制定系统安全策略,负责对系统中的主体、客体进行统一标记,对主体进行安全策略配置授权,修改SElinux运行模式,装载二进制安全策略进内核;审计管理员设置审计开关、审计阈值和审计规则,启动和关闭审计机制以及管理审计日志等。系统的管理与维护由系统管理员、安全管理员、审计管理员这三种角色共同协作来完成。
二、控制端分发升级包到云平台的各个主机节点上,各节点收到升级包后向控制端汇报收到升级包的状态;
三、控制端收到升级包分发成功状态事件,系统自动获取任务下一步步骤,调用目标主机上的代理端触发安装内核安全策略模块升级包安装流程,然后修改安全模式,并在根目录下添加.autorelabel文件,最后重启目标主机;
四、服务器启动过程中,系统自动对整个文件系统进行安全标记,服务器启动完毕,其上的代理端服务自动启动并向控制端汇报节点加固服务安装成功;
五、控制端接收到代理端的汇报后调用目标主机上的代理端触发主机安全加固配置流程,包括新增安全管理员和审计管理员账号,并将这些账号与内核安全策略模块对应角色关联起来;
六、控制端接收到云平台中所有节点的三权分立安全加固配置成功事件,至此,基于三权分立的云平台安全加固任务流程结束。
Claims (8)
1.一种云平台主机安全加固的方法,其特征在于:所述的方法是将原root用户的权限分由系统管理员、安全管理员、审计管理员这三种角色共同协作完成;系统管理员权限包括系统用户账户的管理、网络相关管理与操作、内核模块加载、开启和关闭系统、对文件的档案备份和恢复、安装或卸载文件系统等对系统日常操作和维护;安全管理员负责制定系统安全策略,负责对系统中的主体、客体进行统一标记,对主体进行安全策略配置授权,修改SElinux运行模式,装载二进制安全策略进内核;审计管理员设置审计开关、审计阈值和审计规则,启动和关闭审计机制以及管理审计日志等;并将系统管理员、安全管理员、审计管理员与内核安全策略模块对应角色相关联。
2.根据权利要求1所述的方法,其特征在于:所述的方法包括如下步骤:
步骤1:制作一个包含三权分立安全策略及相关安装配置脚本的升级包;
步骤2:控制端分发升级包到云平台的各个主机节点上;
步骤3:控制端触发各目标主机安装内核安全策略模块升级包安装流程,然后修改安全模式,并在根目录下添加.autorelabel文件,最后重启目标主机;
步骤4:系统自动对整个文件系统进行安全标记,标记结束,系统继续开机启动流程;服务器启动完毕后,其上的代理端服务自动启动并向控制端汇报;
步骤5:控制端接收到各代理端的汇报后调用目标主机上的代理端触发主机安全加固配置流程,包括新增安全管理员和审计管理员账号,并将这些账号与内核安全策略模块对应角色关联起来。
3.根据权利要求2所述的基于三权分立的云平台主机安全加固的方法,其特征在于:所述三权分立安全策略通过linux的安全子系统SELINUX实现强制访问控制;
所述相关安装配置脚本包括安装m4、policycoreutils、policycoreutils-python、policycoreutils-newrole、libselinux-utils、setroubleshoot-server、setoolssetools-console、mcstrans等依赖包,新增系统用户账号脚本,修改安全相关资源文件属主脚本、修改审计相关资源文件组权限脚本、系统用户账号与selinux角色关联脚本等。
4.根据权利要求2所述的方法,其特征在于:所述的控制端实现主机加固列表查看和一键平台加固,根据配置好的加固步骤,并对平台中没有加固过的节点进行主机安全加固;
所述的代理端负责接收加固升级包,解析升级包,主机加固安装与配置的实现和执行结果汇报等。
5.根据权利要求2所述的方法,其特征在于:所述的安全模式包括disable、permissive、enforcing,设置默认为enforcing。
6.根据权利要求2述的方法,其特征在于:所述的.autorelabel文件在系统重启时对整个文件系统进行重新标记。
7.根据权利要求2所述的方法,其特征在于:所述的安全加固配置流程,包括新增系统管理员、安全管理员、审计管理员账号,并设置为超级用户;然后将这三个账号分别与selinux-policy内核安全策略模块的sysadm_r、secadm_r、auditadm_r角色关联起来。
8.根据权利要求2所述的方法,其特征在于:所述系统的账号与内核安全策略模块对应角色关联使账号登陆是在内核安全策略模块中对应角色的安全域上下文中;在安全模式开启的情况下,账户的所有操作访问将要通过强制访问控制策略验证,通过验证后才能正常执行操作,从而控制了不同的安全域所能访问的范围不同。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810896147.1A CN109086625A (zh) | 2018-08-08 | 2018-08-08 | 一种云平台主机安全加固的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810896147.1A CN109086625A (zh) | 2018-08-08 | 2018-08-08 | 一种云平台主机安全加固的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109086625A true CN109086625A (zh) | 2018-12-25 |
Family
ID=64833968
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810896147.1A Withdrawn CN109086625A (zh) | 2018-08-08 | 2018-08-08 | 一种云平台主机安全加固的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109086625A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109697356A (zh) * | 2018-12-27 | 2019-04-30 | 北京金山安全软件有限公司 | 应用软件权限适配方法及装置 |
| CN110851837A (zh) * | 2019-11-04 | 2020-02-28 | 中电长城(长沙)信息技术有限公司 | 一种基于可信计算的自助设备、其安全管理系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105743887A (zh) * | 2016-01-26 | 2016-07-06 | 中标软件有限公司 | 一种云计算平台的访问控制装置 |
| CN106302484A (zh) * | 2016-08-22 | 2017-01-04 | 浪潮电子信息产业股份有限公司 | 一种策略集中管理的方法 |
| CN106469271A (zh) * | 2016-08-22 | 2017-03-01 | 南京南瑞集团公司 | 基于强制访问控制与权能结合以去除Root权限的方法 |
-
2018
- 2018-08-08 CN CN201810896147.1A patent/CN109086625A/zh not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105743887A (zh) * | 2016-01-26 | 2016-07-06 | 中标软件有限公司 | 一种云计算平台的访问控制装置 |
| CN106302484A (zh) * | 2016-08-22 | 2017-01-04 | 浪潮电子信息产业股份有限公司 | 一种策略集中管理的方法 |
| CN106469271A (zh) * | 2016-08-22 | 2017-03-01 | 南京南瑞集团公司 | 基于强制访问控制与权能结合以去除Root权限的方法 |
Non-Patent Citations (3)
| Title |
|---|
| 杨霞 等: "基于SELinux的三权分离技术的研究", 《电子科技大学学报》 * |
| 谢蓉: "《Linux基础及应用》", 30 June 2008, 中国铁道出版社 * |
| 贾春福 等: "《操作系统安全》", 31 December 2006, 武汉大学出版社 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109697356A (zh) * | 2018-12-27 | 2019-04-30 | 北京金山安全软件有限公司 | 应用软件权限适配方法及装置 |
| CN110851837A (zh) * | 2019-11-04 | 2020-02-28 | 中电长城(长沙)信息技术有限公司 | 一种基于可信计算的自助设备、其安全管理系统及方法 |
| CN110851837B (zh) * | 2019-11-04 | 2023-04-11 | 中电长城(长沙)信息技术有限公司 | 一种基于可信计算的自助设备、其安全管理系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101494651B (zh) | 一种数据主动备份的方法 | |
| Zeng et al. | Managing risk in multi-node automation of endpoint management | |
| Avižienis et al. | Dependability and its threats: a taxonomy | |
| CN102236764B (zh) | 用于Android系统的抵御桌面信息攻击的方法和监控系统 | |
| US20080276295A1 (en) | Network security scanner for enterprise protection | |
| CN105095746A (zh) | 应用程序启动鉴权方法及装置 | |
| US8099588B2 (en) | Method, system and computer program for configuring firewalls | |
| CN102208004B (zh) | 一种基于最小化特权原则的软件行为控制方法 | |
| CN104732147A (zh) | 一种应用程序处理方法 | |
| CN101923609A (zh) | 一种计算机网络的安全保护方法及系统 | |
| CN111414612B (zh) | 操作系统镜像的安全保护方法、装置及电子设备 | |
| CN109086625A (zh) | 一种云平台主机安全加固的方法 | |
| CN114244604B (zh) | 适用于堡垒机的一体化权限管理方法、系统、电子设备和可读存储介质 | |
| CN103646198A (zh) | 一种锁定移动终端工作区的方法、系统及装置 | |
| US20230362263A1 (en) | Automatically Executing Responsive Actions Upon Detecting an Incomplete Account Lineage Chain | |
| US7203697B2 (en) | Fine-grained authorization using mbeans | |
| US7516112B1 (en) | Flexible, secure agent development framework | |
| CN106997435A (zh) | 一种操作系统安全防控的方法、装置及系统 | |
| CN107229977A (zh) | 一种主机安全基线自动加固方法及系统 | |
| CN111510428A (zh) | 安全资源运维平台系统及管控方法 | |
| CN103841050A (zh) | 一种核电站模拟机的局域网准入控制方法和系统 | |
| CN111988383B (zh) | 一种校验应用开启微服务治理条件的方法及装置 | |
| Rebah et al. | Disaster recovery as a service: A disaster recovery plan in the cloud for SMEs | |
| CN115879070B (zh) | 安全加固方法、装置、存储介质及备份服务器 | |
| EP3860079B1 (en) | Method and system for a secure and valid configuration of network elements |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 19 / F, Cloud Computing Center, Chinese Academy of Sciences, No.1 Kehui Road, Songshanhu high tech Industrial Development Zone, Dongguan City, Guangdong Province, 523000 Applicant after: G-CLOUD TECHNOLOGY Co.,Ltd. Address before: 523808 No. 14 Building, Songke Garden, Songshan Lake Science and Technology Industrial Park, Dongguan City, Guangdong Province Applicant before: G-CLOUD TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20181225 |
|
| WW01 | Invention patent application withdrawn after publication |