CN109902490B - 一种Linux内核级别的文件系统防篡改应用方法 - Google Patents
一种Linux内核级别的文件系统防篡改应用方法 Download PDFInfo
- Publication number
- CN109902490B CN109902490B CN201910132657.6A CN201910132657A CN109902490B CN 109902490 B CN109902490 B CN 109902490B CN 201910132657 A CN201910132657 A CN 201910132657A CN 109902490 B CN109902490 B CN 109902490B
- Authority
- CN
- China
- Prior art keywords
- file
- inotifywatch
- kernel
- program
- linux
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种Linux内核级别的文件系统防篡改应用方法,包括以下步骤:1)配置Inotifywatch要保护的文件系统区域,2)重启系统进入Inotifywatch程序保护目标系统文件,发明采用从源头控制文件被修改或者删除的可能性。通过采用发明的这种方式,能彻底杜绝敏感数据泄漏或者系统异常。通过发明的Inotifywatch,内部可以通过用户自定义去要保护的文件列表,从而丰富可扩展性。从而实现很高的实用价值。将安全内核和Inotifywatch程序安装到目标系统上,就可以使用。
Description
技术领域
本发明属于计算机应用技术领域,涉及Linux系统的安全内核以及Linux应用程序Inotifywatch以及GRUB2,具体涉及一种Linux内核级别的文件系统防篡改应用方法。
背景技术
在现在的环境中,当攻击者使用某种手段获取到Linux系统的管理员账户和密码后,攻击者恶意破坏系统稳定性,或者修改系统组件,以达到非法获取核心机密,监视的目的,导致企业团体以及个人的敏感数据泄漏,造成不可估量的损失。
现在主流有两种方法对系统核心组件进行保护。
一种方式是通过安装Linux应用级别的监控软件,例如python-inotify,监视被保护文件系统中出现修改或者删除,一旦监测到受保护文件系统被修改,则终止系统运行。这种方式,受保护的文件被监控程序保护着,可以有效的防止数据泄漏,但是监控程序自身无法保证自己不被恶意的停止甚至替换,当监控程序被停止或者自身被替换时,受保护的文件就无法做到保护,导致敏感数据泄漏。
一种方式是开机还原被保护的文件,当监控程序监测到被保护文件出现修改或者删除,则重启系统。系统在开机时还原被保护的文件,保证文件的正确性和安全性。这种方式,被保护的文件被监控程序监视,可以有效的防止攻击者修改文件,但是该方法无法保证监控程序自己不被恶意的停止或者替换,当该程序无法发挥它的功能时,受保护的文件就无法得到保证,进而导致敏感数据泄漏。
发明内容
为了克服上述现有技术的不足,本发明的目的是提供一种Linux内核级别的文件系统防篡改应用方法,目的是防止Linux系统被攻击后篡改系统核心组件,破坏系统稳定性或窃取敏感数据的方法,基于系统内核和系统应用相互配合,首次安装时内核就开始保护Linux监控程序的正确性以及完整性,并且阻止系统修改启动引导以及运行中修改被保护的监控程序。从而从源头保证了监控程序的安全性,正确性及唯一性。通过该发明的内核级别文件保护,就能很好的解决上述问题。内核级别保护监控应用程序防止被篡改,而监控秩序时时刻刻监控被保护的文件区域,从而达到一套完整的保护链,有效的防止数据泄漏以及系统核心组件被恶意篡改。
为了实现上述目的,本发明采用的技术方案是:
一种Linux内核级别的文件系统防篡改应用方法,包括以下步骤:
1)跟随系统发布的无用户交互的GRUB2引导程序,阻止攻击者通过GRUB命令去修改被加载的目标内核(即禁止了GRUB2和用户交互式访问的功能,仅能从唯一的配置文件grub.cfg加载配置,而该配置文件grub.cfg被系统内核保护,禁止任何人篡改),防止躲避监控程序的启动,保证系统启动时加载的是安全内核;
2)跟随系统发布的安全内核,在启动之后保护以下文件被修改保护引导程序,启动镜像,内核镜像以及最小内存系统的完整性和安全性;文件包括bzImage,即Linux的启动镜像;initrd.img即Linux initial RAM disk(临时根文件系统);grub.cfg,即多操作系统启动程序的配置文件;Inotifywatch即Linux监控程序;
3)启动Inotifywatch和安全内核建立安全链接,当内核监测Inotifywatch停止运行,记录日志并系统立即关闭,阻止系统被破坏;
4)通过配置Inotifywatch程序,Inotifywatch程序保护用户自定义的区域;
5)当Inotifywatch被保护文件有写和删除的操作时,记录日志并阻止操作。
本发明的有益效果是:
内核出厂是就开始保护系统引导以及Inotifywatch监控程序,从而在源头上杜绝被保护组件被恶意停止或者修改的风险。
附图说明
图1为本发明的原理流程图。
具体实施方式
以下结合附图对本发明进一步叙述。
如图1所示,一种Linux内核级别的文件系统防篡改应用方法,包括以下步骤:
1)跟随系统发布的无用户交互的GRUB2引导程序,阻止攻击者通过GRUB命令去修改被加载的目标内核(即禁止了GRUB2和用户交互式访问的功能,仅能从唯一的配置文件grub.cfg加载配置,而该配置文件grub.cfg被系统内核保护,禁止任何人篡改),防止躲避监控程序的启动,保证系统启动时加载的是安全内核;
2)跟随系统发布的安全内核,在启动之后保护以下文件被修改保护引导程序,启动镜像,内核镜像以及最小内存系统的完整性和安全性;文件包括bzImage,即Linux的启动镜像;initrd.img即Linux initial RAM disk(临时根文件系统);grub.cfg,即多操作系统启动程序的配置文件;Inotifywatch即Linux监控程序;
3)启动Inotifywatch和安全内核建立安全链接,当内核监测Inotifywatch停止运行,记录日志并系统立即关闭,阻止系统被破坏;
4)通过配置Inotifywatch程序,Inotifywatch程序保护用户自定义的区域;
5)当Inotifywatch被保护文件有写和删除的操作时,记录日志并阻止操作。
发明采用从源头控制文件被修改或者删除的可能性。通过采用发明的这种方式,能彻底杜绝敏感数据泄漏或者系统异常。通过发明的Inotifywatch,内部可以通过用户自定义去要保护的文件列表,从而丰富可扩展性。从而实现很高的实用价值。
将安全内核和Inotifywatch程序安装到目标系统上,就可以使用。
Claims (1)
1.一种Linux内核级别的文件系统防篡改应用方法,其特征在于,包括以下步骤:
1)跟随系统发布的无用户交互的GRUB2引导程序,阻止攻击者通过GRUB命令去修改被加载的目标内核,即禁止了GRUB2和用户交互式访问的功能,仅能从唯一的配置文件grub.cfg加载配置,而该配置文件grub.cfg被系统内核保护,禁止任何人篡改,防止躲避监控程序的启动,保证系统启动时加载的是安全内核;
2)跟随系统发布的安全内核,启动之后保护以下文件被修改,包括保护引导程序文件,启动镜像文件,内核镜像以及最小内存系统的完整性和安全性文件;所述的文件包括bzImage,即Linux的启动镜像;initrd.img即Linux initial RAM disk临时根文件系统;grub.cfg,即多操作系统启动程序的配置文件;Inotifywatch即Linux监控程序;
3)启动Inotifywatch和安全内核建立安全链接,当内核监测Inotifywatch停止运行,记录日志并系统立即关闭,阻止系统被破坏;
4)通过配置Inotifywatch程序,Inotifywatch程序保护用户自定义的区域;
5)当Inotifywatch被保护文件有写和删除的操作时,记录日志并阻止操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910132657.6A CN109902490B (zh) | 2019-02-22 | 2019-02-22 | 一种Linux内核级别的文件系统防篡改应用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910132657.6A CN109902490B (zh) | 2019-02-22 | 2019-02-22 | 一种Linux内核级别的文件系统防篡改应用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109902490A CN109902490A (zh) | 2019-06-18 |
| CN109902490B true CN109902490B (zh) | 2020-10-30 |
Family
ID=66945251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910132657.6A Expired - Fee Related CN109902490B (zh) | 2019-02-22 | 2019-02-22 | 一种Linux内核级别的文件系统防篡改应用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109902490B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113094107B (zh) * | 2021-03-18 | 2023-12-22 | 深圳市塞防科技有限公司 | 数据保护方法、装置、设备及计算机存储介质 |
| CN113821775B (zh) * | 2021-09-29 | 2022-04-08 | 北京珞安科技有限责任公司 | 基于Ubuntu操作系统的软件版权保护系统和方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103473102A (zh) * | 2013-09-18 | 2013-12-25 | 中标软件有限公司 | 多操作系统的系统启动引导方法和工具 |
| CN108241550A (zh) * | 2016-12-23 | 2018-07-03 | 研祥智能科技股份有限公司 | 一种操作系统备份还原方法 |
| CN108334788A (zh) * | 2017-01-20 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 文件防篡改方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10474826B2 (en) * | 2015-04-17 | 2019-11-12 | Viaforensics, Llc | Methods and apparatuses for improved app security testing |
| US10664599B2 (en) * | 2017-05-01 | 2020-05-26 | International Business Machines Corporation | Portable executable and non-portable executable boot file security |
-
2019
- 2019-02-22 CN CN201910132657.6A patent/CN109902490B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103473102A (zh) * | 2013-09-18 | 2013-12-25 | 中标软件有限公司 | 多操作系统的系统启动引导方法和工具 |
| CN108241550A (zh) * | 2016-12-23 | 2018-07-03 | 研祥智能科技股份有限公司 | 一种操作系统备份还原方法 |
| CN108334788A (zh) * | 2017-01-20 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 文件防篡改方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于Linux系统的安全分析与防范策略;杨登攀;《福建电脑》;20091231;第50-51页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109902490A (zh) | 2019-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1795439B (zh) | 计算机操作系统的安全系统与方法 | |
| US7146525B2 (en) | Method for backing up and recovering data in the hard disk of a computer | |
| KR101034415B1 (ko) | 가상 머신 또는 강화된 운영 시스템 등에서의 컴퓨터 보안관리 | |
| US8869308B2 (en) | Computer motherboard having peripheral security functions | |
| US8775369B2 (en) | Computer system architecture and method having isolated file system management for secure and reliable data processing | |
| US10032029B2 (en) | Verifying integrity of backup file in a multiple operating system environment | |
| US9311504B2 (en) | Anti-identity-theft method and hardware database device | |
| EP2488987A2 (en) | Secure storage of temporary secrets | |
| JP2002007214A (ja) | 情報処理装置および不揮発性記憶装置の書き換え制御方法 | |
| EP3314515B1 (en) | Notice of intrusion into firmware | |
| EP3627368A1 (en) | Auxiliary memory having independent recovery area, and device applied with same | |
| CN109902490B (zh) | 一种Linux内核级别的文件系统防篡改应用方法 | |
| US20030182527A1 (en) | Write Protection State Change Initiation Sequence | |
| JP5319830B2 (ja) | データ保護方法とコンピュータ装置 | |
| EP3623978B1 (en) | Computer having isolated user computing unit | |
| CN108229162B (zh) | 一种云平台虚拟机完整性校验的实现方法 | |
| CN104361298A (zh) | 信息安全保密的方法和装置 | |
| CN113360877B (zh) | 一种基于ram的安全移动存储介质的设计方法 | |
| CN110874495B (zh) | 一种基于自动锁定写保护功能的固态硬盘及防篡改方法 | |
| US20240152469A1 (en) | Self-Detecting and Data Rewriting System and Application Method Thereof | |
| CN115879070B (zh) | 安全加固方法、装置、存储介质及备份服务器 | |
| CN117632798A (zh) | 内存防替换方法、电路、装置、终端及存储介质 | |
| CN118051953A (zh) | 一种Linux内核保护UEFI固件完整性方法 | |
| CN116910768A (zh) | 一种防御攻击方法、系统、装置及介质 | |
| CN114238988A (zh) | 一种计算机接口控制方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201030 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |