CN109902490A - 一种Linux内核级别的文件系统防篡改应用方法 - Google Patents
一种Linux内核级别的文件系统防篡改应用方法 Download PDFInfo
- Publication number
- CN109902490A CN109902490A CN201910132657.6A CN201910132657A CN109902490A CN 109902490 A CN109902490 A CN 109902490A CN 201910132657 A CN201910132657 A CN 201910132657A CN 109902490 A CN109902490 A CN 109902490A
- Authority
- CN
- China
- Prior art keywords
- inotifywatch
- file
- kernel
- linux
- grub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一种Linux内核级别的文件系统防篡改应用方法,包括以下步骤:1)配置Inotifywatch要保护的文件系统区域,2)重启系统进入Inotifywatch程序保护目标系统文件,发明采用从源头控制文件被修改或者删除的可能性。通过采用发明的这种方式,能彻底杜绝敏感数据泄漏或者系统异常。通过发明的Inotifywatch,内部可以通过用户自定义去要保护的文件列表,从而丰富可扩展性。从而实现很高的实用价值。将安全内核和Inotifywatch程序安装到目标系统上,就可以使用。
Description
技术领域
本发明属于计算机应用技术领域,涉及Linux系统的安全内核以及Linux应用程序Inotifywatch以及GRUB2,具体涉及一种Linux内核级别的文件系统防篡改应用方法。
背景技术
在现在的环境中,当攻击者使用某种手段获取到Linux系统的管理员账户和密码后,攻击者恶意破坏系统稳定性,或者修改系统组件,以达到非法获取核心机密,监视的目的,导致企业团体以及个人的敏感数据泄漏,造成不可估量的损失。
现在主流有两种方法对系统核心组件进行保护。
一种方式是通过安装Linux应用级别的监控软件,例如python-inotify,监视被保护文件系统中出现修改或者删除,一旦监测到受保护文件系统被修改,则终止系统运行。这种方式,受保护的文件被监控程序保护着,可以有效的防止数据泄漏,但是监控程序自身无法保证自己不被恶意的停止甚至替换,当监控程序被停止或者自身被替换时,受保护的文件就无法做到保护,导致敏感数据泄漏。
一种方式是开机还原被保护的文件,当监控程序监测到被保护文件出现修改或者删除,则重启系统。系统在开机时还原被保护的文件,保证文件的正确性和安全性。这种方式,被保护的文件被监控程序监视,可以有效的防止攻击者修改文件,但是该方法无法保证监控程序自己不被恶意的停止或者替换,当该程序无法发挥它的功能时,受保护的文件就无法得到保证,进而导致敏感数据泄漏。
发明内容
为了克服上述现有技术的不足,本发明的目的是提供一种Linux内核级别的文件系统防篡改应用方法,目的是防止Linux系统被攻击后篡改系统核心组件,破坏系统稳定性或窃取敏感数据的方法,基于系统内核和系统应用相互配合,首次安装时内核就开始保护Linux监控程序的正确性以及完整性,并且阻止系统修改启动引导以及运行中修改被保护的监控程序。从而从源头保证了监控程序的安全性,正确性及唯一性。通过该发明的内核级别文件保护,就能很好的解决上述问题。内核级别保护监控应用程序防止被篡改,而监控秩序时时刻刻监控被保护的文件区域,从而达到一套完整的保护链,有效的防止数据泄漏以及系统核心组件被恶意篡改。
为了实现上述目的,本发明采用的技术方案是:
一种Linux内核级别的文件系统防篡改应用方法,包括以下步骤:
1)跟随系统发布的无用户交互的GRUB2引导程序,阻止攻击者通过GRUB命令去修改被加载的目标内核(即禁止了GRUB2和用户交互式访问的功能,仅能从唯一的配置文件grub.cfg加载配置,而该配置文件grub.cfg被系统内核保护,禁止任何人篡改),防止躲避监控程序的启动,保证系统启动时加载的是安全内核;
2)跟随系统发布的安全内核,在启动之后保护以下文件被修改保护引导程序,启动镜像,内核镜像以及最小内存系统的完整性和安全性;文件包括bzImage,即Linux的启动镜像;initrd.img即Linux initial RAM disk(临时根文件系统);grub.cfg,即多操作系统启动程序的配置文件;Inotifywatch即Linux监控程序;
3)启动Inotifywatch和安全内核建立安全链接,当内核监测Inotifywatch停止运行,记录日志并系统立即关闭,阻止系统被破坏;
4)通过配置Inotifywatch程序,Inotifywatch程序保护用户自定义的区域;
5)当Inotifywatch被保护文件有写和删除的操作时,记录日志并阻止操作。
本发明的有益效果是:
内核出厂是就开始保护系统引导以及Inotifywatch监控程序,从而在源头上杜绝被保护组件被恶意停止或者修改的风险。
附图说明
图1为本发明的原理流程图。
具体实施方式
以下结合附图对本发明进一步叙述。
如图1所示,一种Linux内核级别的文件系统防篡改应用方法,包括以下步骤:
1)跟随系统发布的无用户交互的GRUB2引导程序,阻止攻击者通过GRUB命令去修改被加载的目标内核(即禁止了GRUB2和用户交互式访问的功能,仅能从唯一的配置文件grub.cfg加载配置,而该配置文件grub.cfg被系统内核保护,禁止任何人篡改),防止躲避监控程序的启动,保证系统启动时加载的是安全内核;
2)跟随系统发布的安全内核,在启动之后保护以下文件被修改保护引导程序,启动镜像,内核镜像以及最小内存系统的完整性和安全性;文件包括bzImage,即Linux的启动镜像;initrd.img即Linux initial RAM disk(临时根文件系统);grub.cfg,即多操作系统启动程序的配置文件;Inotifywatch即Linux监控程序;
3)启动Inotifywatch和安全内核建立安全链接,当内核监测Inotifywatch停止运行,记录日志并系统立即关闭,阻止系统被破坏;
4)通过配置Inotifywatch程序,Inotifywatch程序保护用户自定义的区域;
5)当Inotifywatch被保护文件有写和删除的操作时,记录日志并阻止操作。
发明采用从源头控制文件被修改或者删除的可能性。通过采用发明的这种方式,能彻底杜绝敏感数据泄漏或者系统异常。通过发明的Inotifywatch,内部可以通过用户自定义去要保护的文件列表,从而丰富可扩展性。从而实现很高的实用价值。
将安全内核和Inotifywatch程序安装到目标系统上,就可以使用。
Claims (1)
1.一种Linux内核级别的文件系统防篡改应用方法,其特征在于,包括以下步骤:
1)跟随系统发布的无用户交互的GRUB2引导程序,阻止攻击者通过GRUB命令去修改被加载的目标内核,即禁止了GRUB2和用户交互式访问的功能,仅能从唯一的配置文件grub.cfg加载配置,而该配置文件grub.cfg被系统内核保护,禁止任何人篡改,防止躲避监控程序的启动,保证系统启动时加载的是安全内核;
2)跟随系统发布的安全内核,在启动之后保护以下文件被修改保护引导程序,启动镜像,内核镜像以及最小内存系统的完整性和安全性;文件包括bzImage,即Linux的启动镜像;initrd.img即Linux initial RAM disk(临时根文件系统);grub.cfg,即多操作系统启动程序的配置文件;Inotifywatch即Linux监控程序;
3)启动Inotifywatch和安全内核建立安全链接,当内核监测Inotifywatch停止运行,记录日志并系统立即关闭,阻止系统被破坏;
4)通过配置Inotifywatch程序,Inotifywatch程序保护用户自定义的区域;
5)当Inotifywatch被保护文件有写和删除的操作时,记录日志并阻止操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910132657.6A CN109902490B (zh) | 2019-02-22 | 2019-02-22 | 一种Linux内核级别的文件系统防篡改应用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910132657.6A CN109902490B (zh) | 2019-02-22 | 2019-02-22 | 一种Linux内核级别的文件系统防篡改应用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109902490A true CN109902490A (zh) | 2019-06-18 |
| CN109902490B CN109902490B (zh) | 2020-10-30 |
Family
ID=66945251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910132657.6A Expired - Fee Related CN109902490B (zh) | 2019-02-22 | 2019-02-22 | 一种Linux内核级别的文件系统防篡改应用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109902490B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113094107A (zh) * | 2021-03-18 | 2021-07-09 | 深圳市道通智能汽车有限公司 | 数据保护方法、装置、设备及计算机存储介质 |
| CN113821775A (zh) * | 2021-09-29 | 2021-12-21 | 北京珞安科技有限责任公司 | 基于Ubuntu操作系统的软件版权保护系统和方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103473102A (zh) * | 2013-09-18 | 2013-12-25 | 中标软件有限公司 | 多操作系统的系统启动引导方法和工具 |
| US20160306981A1 (en) * | 2015-04-17 | 2016-10-20 | NowSecure, Inc. | Methods and apparatuses for improved app security testing |
| CN108241550A (zh) * | 2016-12-23 | 2018-07-03 | 研祥智能科技股份有限公司 | 一种操作系统备份还原方法 |
| CN108334788A (zh) * | 2017-01-20 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 文件防篡改方法及装置 |
| US20180314831A1 (en) * | 2017-05-01 | 2018-11-01 | International Business Machines Corporation | Portable executable and non-portable executable boot file security |
-
2019
- 2019-02-22 CN CN201910132657.6A patent/CN109902490B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103473102A (zh) * | 2013-09-18 | 2013-12-25 | 中标软件有限公司 | 多操作系统的系统启动引导方法和工具 |
| US20160306981A1 (en) * | 2015-04-17 | 2016-10-20 | NowSecure, Inc. | Methods and apparatuses for improved app security testing |
| CN108241550A (zh) * | 2016-12-23 | 2018-07-03 | 研祥智能科技股份有限公司 | 一种操作系统备份还原方法 |
| CN108334788A (zh) * | 2017-01-20 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 文件防篡改方法及装置 |
| US20180314831A1 (en) * | 2017-05-01 | 2018-11-01 | International Business Machines Corporation | Portable executable and non-portable executable boot file security |
Non-Patent Citations (1)
| Title |
|---|
| 杨登攀: "基于Linux系统的安全分析与防范策略", 《福建电脑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113094107A (zh) * | 2021-03-18 | 2021-07-09 | 深圳市道通智能汽车有限公司 | 数据保护方法、装置、设备及计算机存储介质 |
| CN113094107B (zh) * | 2021-03-18 | 2023-12-22 | 深圳市塞防科技有限公司 | 数据保护方法、装置、设备及计算机存储介质 |
| CN113821775A (zh) * | 2021-09-29 | 2021-12-21 | 北京珞安科技有限责任公司 | 基于Ubuntu操作系统的软件版权保护系统和方法 |
| CN113821775B (zh) * | 2021-09-29 | 2022-04-08 | 北京珞安科技有限责任公司 | 基于Ubuntu操作系统的软件版权保护系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109902490B (zh) | 2020-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hossain et al. | Combating dependence explosion in forensic analysis using alternative tag propagation semantics | |
| US20210173920A1 (en) | Process privilege escalation protection in a computing environment | |
| US7409719B2 (en) | Computer security management, such as in a virtual machine or hardened operating system | |
| EP3326100B1 (en) | Systems and methods for tracking malicious behavior across multiple software entities | |
| CN1795439B (zh) | 计算机操作系统的安全系统与方法 | |
| US20110239306A1 (en) | Data leak protection application | |
| US9311504B2 (en) | Anti-identity-theft method and hardware database device | |
| CN102667794B (zh) | 用于保护操作系统免于非授权修改的方法和系统 | |
| RU2693188C1 (ru) | Способ управления и блок для переносных устройств хранения и носитель хранения | |
| US20040181691A1 (en) | System and method for real-time detection of computer system files intrusion | |
| US10783041B2 (en) | Backup and recovery of data files using hard links | |
| CN104008330A (zh) | 基于文件集中存储及隔离技术的数据防泄漏系统及其方法 | |
| WO2019070460A1 (en) | Bait monitoring systems and methods for protecting users against security threats | |
| CN108334404B (zh) | 应用程序的运行方法和装置 | |
| CN103632107A (zh) | 一种移动终端信息安全防护系统和方法 | |
| CN109902490A (zh) | 一种Linux内核级别的文件系统防篡改应用方法 | |
| CN112068890A (zh) | 一种计算机外接设备控制方法、系统及存储介质 | |
| CN111711656A (zh) | 一种具有安全功能的网络边缘存储装置 | |
| Tsifountidis | Virtualization security: Virtual machine monitoring and introspection | |
| Genç et al. | Cut-and-mouse and ghost control: Exploiting antivirus software with synthesized inputs | |
| US10089261B2 (en) | Discriminating dynamic connection of disconnectable peripherals | |
| Chevalier | Detecting and Surviving Intrusions: Exploring New Host-Based Intrusion Detection, Recovery, and Response Approaches | |
| US20200401712A1 (en) | Command line interface replacement for security purposes | |
| Chevalier et al. | Intrusion survivability for commodity operating systems | |
| KR20240002326A (ko) | 파일서버 내의 데이터를 멀웨어로부터 보호하는 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201030 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |