CN110830508A - 一种基于运维审计系统的僵尸账户管理方法 - Google Patents

一种基于运维审计系统的僵尸账户管理方法 Download PDF

Info

Publication number
CN110830508A
CN110830508A CN201911214689.7A CN201911214689A CN110830508A CN 110830508 A CN110830508 A CN 110830508A CN 201911214689 A CN201911214689 A CN 201911214689A CN 110830508 A CN110830508 A CN 110830508A
Authority
CN
China
Prior art keywords
account
accounts
zombie
auditing system
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911214689.7A
Other languages
English (en)
Other versions
CN110830508B (zh
Inventor
陈柏全
范渊
吴永越
郑学新
刘韬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu DBAPPSecurity Co Ltd
Original Assignee
Chengdu DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu DBAPPSecurity Co Ltd filed Critical Chengdu DBAPPSecurity Co Ltd
Priority to CN201911214689.7A priority Critical patent/CN110830508B/zh
Publication of CN110830508A publication Critical patent/CN110830508A/zh
Application granted granted Critical
Publication of CN110830508B publication Critical patent/CN110830508B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Abstract

本发明为一种基于运维审计系统的僵尸账户管理方法,通过扫描待检测的服务器筛选出待检测的服务器中未保存有,而运维审计系统中保存有的非扫描账户;并通过密码登录验证进一步确定非扫描账户的确不存在于服务器中,并将确定的的确不存在与服务器中的非扫描账户定义为非真实账户;对非真实账户进行最长未登录期限判定;将最后登录时间与现在时间的间隔大于最长未登录期限的非真实账户认定为僵尸账户。通过本发明,管理者可以筛选整理出散乱分布的僵尸账户,并对其进行统一的清理或者修改,同时通过周期性清理避免了服务器中账户注销又重建而造成的安全隐患。

Description

一种基于运维审计系统的僵尸账户管理方法
技术领域
本发明属于计算机账户管理领域,具体地讲,涉及一种基于运维审计系统的僵尸账户管理方法。
背景技术
随着企业的发展,每个企业的服务器资源将不断的膨胀和变更,其中服务器的帐户变更尤为频繁,包括临时性的代维人员、公司本身的员工进出,都会伴随着服务器帐户的创建与删除,随着运维审计系统的接入,那些在服务器上实际已被删除,但在运维审计系统却仍有帐户数据留存的帐户就属于运维审计系统的僵尸帐户。
而运维审计系统的僵尸帐户会导致以下问题:
1、僵尸帐户数据不断膨胀,影响系统查询效率;
2、僵尸帐户数据不断膨胀,且散落在各个地方,影响用户的管理效率;
3、僵尸帐户数据可能在服务器上长时间删除后,又被重新创建,但运维审计系统管理员不知情,有安全隐患;
4、僵尸帐户和普通帐户并无区别,清理困难。
发明内容
本发明基于僵尸账户数据不断膨胀、分散不易管理清理、存在再次创建的安全隐患的问题,提出了一种基于运维审计系统的僵尸账户管理方法,通过对服务器账户扫描、账户信息登录确认和最后登陆时间的筛选,实现了僵尸账户的识别,方便管理人员对僵尸账户的后续管理。
本发明具体实现内容如下:
一种基于运维审计系统的僵尸账户管理方法,运维审计系统与待检测的服务器连接后,扫描待检测服务器中的所有账户,并将扫描到的账户与运维审计系统内原先存储的账户进行对比,将服务器和运维审计系统中都保存账户信息的账户标记为扫描账户,将运维审计系统中保存但服务器中未保存账户信息的账户标记为非扫描账户;然后,对非扫描账户进行密码登录检测,筛选出不可以在服务器中登录的账户为非真实账户;对非真实账户进行最后使用时间的判定,筛选出僵尸账户进行清理;所述僵尸账户是指同时满足以下条件的账户:
条件一:在待检测的服务器中并非真实存在,但在运维审计系统中仍存在的账户;
条件二:在运维审计系统中超过管理者设定的时间未使用的账户。
为了更好地实现本发明,进一步地,所述密码登录检测具体是指:由运维审计系统使用非扫描账户存储在运维审计系统中的账户信息连接待检测的服务器;若连接成功,则保持返回连接成功的结果;若因运维审计系统中保存的扫描账户的账户登录名、账户密码与待检测的服务器中的不一致而连接失败,则返回连接失败的结果;所述账户信息包括IP地址、SSH端口、账户登录名、账户密码;当密码登录检测过程中,是因IP地址和SSH端口出现错误而导致连接超时时,则将连接超时的非扫描账户重新进行连接;若进行了三次重新连接依旧连接超时,则返回连接失败的结果,并判定为非原始账户。
将返回连接成功的结果的非扫描账户保留不变,将返回连接失败的结果的扫描账户判定为非真实账户。
为了更好地实现本发明,进一步地,所述对非真实账户进行最后使用时间的判定具体是指:先设定一个最长未登录期限,然后使用当前时间减去进行最后使用时间判定的非真实账户的最后使用时间得到实际未登录间隔时间,最后将实际未登录时间与最长未登录时间进行比较筛选出僵尸账户。
为了更好地实现本发明,进一步地,用户通过查询同时满足条件一和条件二的账户手动管理僵尸账户,如批量删除或修改账户等;还可设置周期性查询,对僵尸账户进行周期性的管理。
本发明具有以下优点及有益效果:
1、及时清理运维审计系统中的冗余,减轻系统的运行负担;
2、通过密码登录检测确定非扫描账户的确不存在与服务器中,避免误删有用账户;
3、及时处理服务器中已注销但运维审计系统中还保存的账户,避免其在服务器中再次被注册,而不被运维审计系统察觉,造成安全隐患;
4、可识别运维审计系统中与普通账户不易区分的僵尸账户;
5、可筛选出僵尸账户进行批量管理,并周期性清理僵尸账户。
附图说明
图1为本发明的总流程示意图;
图2为密码登录检测的流程示意图;
图3为扫描待检测的服务器的流程示意图。
具体实施方式
为了更清楚地说明本发明实施例的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,应当理解,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例,因此不应被看作是对保护范围的限定。基于本发明中的实施例,本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:
一种基于运维审计系统的僵尸账户管理方法,如图1和图3所示,运维审计系统与待检测的服务器连接后,扫描待检测服务器中的所有账户,并将扫描到的账户与运维审计系统内原先存储的账户进行对比,将服务器和运维审计系统中都保存账户信息的账户标记为扫描账户,将运维审计系统中保存但服务器中未保存账户信息的账户标记为非扫描账户;然后,对非扫描账户进行密码登录检测,筛选出不可以在服务器中登录的账户为非真实账户;对非真实账户进行最后使用时间的判定,筛选出僵尸账户进行清理;所述僵尸账户是指同时满足以下条件的账户:
条件一:在待检测的服务器中并非真实存在,但在运维审计系统中仍存在的账户;
条件二:在运维审计系统中超过管理者设定的时间未使用的账户。
工作原理:如图3所示,通过特权帐户连接待检测的服务器,再根据此服务器的类型,获取此服务器的帐户信息,将获取的帐户信息数据格式化为本地可用数据;例如:一台linux的待检测的服务器,使用此待检测服务器的账户信息如IP地址、SSH端口、帐户root、账户密码,再通过Python的Paramiko模块,进行SSH协议的连接,成功连接后,读取etc/passwd文件,将返回的文件内容使用\n分隔开转成list,所述list表现形式举例如下:root:x:0:0:root:/bin/sh,取每个元素的第一个:前的字符串,即root,就是此服务器所拥有的帐户,将所有账户进行存储使用,通过上述操作扫描可以确定服务器内存在的所有账户,与运维审计系统内保存的账户进行对比,即可筛选出运维审计系统与服务器中都保存有账号信息的账户,即扫描账户;同时还可筛选出运维审计系统中保存有,而服务器没有保存的账户,而这些账户就是只存在与运维审计系统中的非扫描账户;除此以外,还要进一步地对非扫描账户进行密码登录检测,确保服务器中的确没有该非扫描账户,如果经过密码登录检测后确定的确没有的非扫描账户,将被判定为非真实账户,因为运维审计系统的运行和管理非常复杂,例子运维审计系统在扫描时,刚好用户正在服务器上做帐户的变动,比如先删除再创建,这时如果是出现:删除->扫描->创建->验证密码的情况,就会出现没有扫描出来的帐户,但是可以通过运维审计系统使用密码验证成功登录的情况,或者扫描时候使用的管理账户权限不足等,故需要通过密码验证进行一次非真实账号的确认;而筛选出的所有的非真实账户并不一定判定为僵尸账户,而是由管理员自由设定一个最长未使用期限,只有超过这个期限的不真实存在于服务器的账户,才认定为僵尸账户。
实施例2:
在上述实施例1的基础上,为了更好地实现本发明,结合图1和图2所示,进一步地,所述密码登录检测具体是指:由运维审计系统使用非扫描账户存储在运维审计系统中的账户信息连接待检测的服务器;若连接成功,则保持返回连接成功的结果;若因运维审计系统中保存的扫描账户的账户登录名、账户密码与待检测的服务器中的不一致而连接失败,则返回连接失败的结果;所述账户信息包括IP地址、SSH端口、账户登录名、账户密码;当密码登录检测过程中,是因IP地址和SSH端口出现错误而导致连接超时时,则将连接超时的非扫描账户重新进行连接;若进行了三次重新连接依旧连接超时,则返回连接失败的结果,并判定为非原始账户;
将返回连接成功的结果的非扫描账户保留不变,将返回连接失败的结果的扫描账户判定为非真实账户。
工作原理:如图2所示,根据待检测非真实账户的帐户密码所在服务器的类型,使用帐户密码进行连接,若能成功连接,则密码正确;若连接失败,则说明密码错误;若连接失败超时,则重新尝试连接。例如,一台linux服务器的帐户为abc、密码为123456,使用此待检测服务器的账户信息(IP地址、SSH端口、帐户abc、密码123456),再通过Python的Paramiko模块,进行SSH协议的连接,对连接结果分三类进行返回:1、成功连接,则返回成功;2、连接失败(因IP地址、端口错误等导致),则重新尝试连接;3、帐户密码错误,则返回密码错误;当重新尝试连接超过三次时,则判定此账户为密码错误的账户,返回密码错误;将所有返回密码错误的账户的账户最终确定为非真实账户,也就是认定其满足条件一。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例3:
在上述实施例1-2任一项的基础上,为了更好地实现本发明,进一步地,所述对非真实账户进行最后使用时间的判定具体是指:先设定一个最长未登录期限,然后使用当前时间减去进行最后使用时间判定的非真实账户的最后使用时间得到实际未登录间隔时间,最后将实际未登录时间与最长未登录时间进行比较筛选出僵尸账户。
工作原理:在实施例2判定了满足条件一后,对那些满足条件一的非真实账户进行是否满足条件二的判定;其中最长登录期限为管理员自由设置的,管理员可以根据实际需求设定一定的最长未登录期限,实际未登录间隔时间大于最长未登录期限的,则认定为僵尸账户,反之,则不认定为僵尸账户,从而筛选出超过此期限的僵尸账户进行管理。
本实施例的其他部分与上述实施例1-2任一项相同,故不再赘述。
实施例4:
在上述实施例1-3任一项的基础上,为了更好地实现本发明,进一步地,用户通过查询同时满足条件一和条件二的账户手动管理僵尸账户;用户还设置周期性查询,对僵尸账户进行周期性的清理。
工作原理:通过周期性的查询,不仅可以及时清理系统冗余,同时可以及时删除服务器中已经注销的账户,避免已经注销的账户在运维审计系统不知情的情况下又重新注册登录从而造成一些安全隐患。
本实施例的其他部分与上述实施例1-3任一项相同,故不再赘述。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。

Claims (6)

1.一种基于运维审计系统的僵尸账户管理方法,其特征在于,运维审计系统与待检测的服务器连接后,扫描待检测服务器中的所有账户,并将扫描到的账户与运维审计系统内原先存储的账户进行对比,将服务器和运维审计系统中都保存账户信息的账户标记为扫描账户,将运维审计系统中保存但服务器中未保存账户信息的账户标记为非扫描账户;然后,对非扫描账户进行密码登录检测,筛选出不可以在服务器中登录的账户为非真实账户;对非真实账户进行最后使用时间的判定,筛选出僵尸账户进行清理。
2.如权利要求1所述的一种基于运维审计系统的僵尸账户管理方法,其特征在于,所述密码登录检测具体是指:由运维审计系统使用非扫描账户存储在运维审计系统中的账户信息连接待检测的服务器;若连接成功,则保持返回连接成功的结果;若因运维审计系统中保存的扫描账户的账户登录名、账户密码与待检测的服务器中的不一致而连接失败,则返回连接失败的结果;
将返回连接成功的结果的非扫描账户保留不变,将返回连接失败的结果的扫描账户判定为非真实账户。
3.如权利要求2所述的一种基于运维审计的僵尸账户管理方法,其特征在于,所述账户信息包括IP地址、SSH端口、账户登录名、账户密码;
当密码登录检测过程中,是因IP地址和SSH端口出现错误而导致连接超时时,则将连接超时的非扫描账户重新进行连接;若进行了三次重新连接依旧连接超时,则返回连接失败的结果,并判定为非原始账户。
4.如权利要求3所述的一种基于运维审计系统的僵尸账户管理方法,其特征在于,所述对非真实账户进行最后使用时间的判定具体是指:先设定一个最长未登录期限,然后使用当前时间减去进行最后使用时间判定的非真实账户的最后使用时间得到实际未登录间隔时间,最后将实际未登录时间与最长未登录时间进行比较筛选出僵尸账户。
5.如权利要求4所述的一种基于运维审计系统的僵尸账户管理方法,其特征在于,用户手动管理僵尸账户,对僵尸账户进行清理或修改。
6.如权利要求5所述的一种基于运维审计系统的僵尸账户管理方法,其特征在于,设置周期性查询,对僵尸账户进行周期性的自动清理。
CN201911214689.7A 2019-12-02 2019-12-02 一种基于运维审计系统的僵尸账户管理方法 Active CN110830508B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911214689.7A CN110830508B (zh) 2019-12-02 2019-12-02 一种基于运维审计系统的僵尸账户管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911214689.7A CN110830508B (zh) 2019-12-02 2019-12-02 一种基于运维审计系统的僵尸账户管理方法

Publications (2)

Publication Number Publication Date
CN110830508A true CN110830508A (zh) 2020-02-21
CN110830508B CN110830508B (zh) 2021-08-20

Family

ID=69542096

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911214689.7A Active CN110830508B (zh) 2019-12-02 2019-12-02 一种基于运维审计系统的僵尸账户管理方法

Country Status (1)

Country Link
CN (1) CN110830508B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111984971A (zh) * 2020-08-10 2020-11-24 成都安恒信息技术有限公司 一种运维资料自动生产和管理的方法
CN115270110A (zh) * 2022-09-27 2022-11-01 北京圣博润高新技术股份有限公司 一种账户巡检方法、装置、电子设备和存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102542376A (zh) * 2010-12-16 2012-07-04 无锡华润上华半导体有限公司 活动目录中计算机账号处理方法和系统
CN106570005A (zh) * 2015-10-08 2017-04-19 阿里巴巴集团控股有限公司 清理数据库的方法和装置
CN108038130A (zh) * 2017-11-17 2018-05-15 中国平安人寿保险股份有限公司 虚假用户的自动清理方法、装置、设备及存储介质
CN108111313A (zh) * 2018-01-12 2018-06-01 哈尔滨工业大学深圳研究生院 对云服务器上存储的用户文件进行第三方审计的方法
CN108449327A (zh) * 2018-02-27 2018-08-24 平安科技(深圳)有限公司 一种账号清理方法、装置、终端设备及存储介质
CN109376038A (zh) * 2018-12-05 2019-02-22 合肥卓瑞信息技术有限公司 一种基于运维服务管理的安全信息处理系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102542376A (zh) * 2010-12-16 2012-07-04 无锡华润上华半导体有限公司 活动目录中计算机账号处理方法和系统
CN106570005A (zh) * 2015-10-08 2017-04-19 阿里巴巴集团控股有限公司 清理数据库的方法和装置
CN108038130A (zh) * 2017-11-17 2018-05-15 中国平安人寿保险股份有限公司 虚假用户的自动清理方法、装置、设备及存储介质
CN108111313A (zh) * 2018-01-12 2018-06-01 哈尔滨工业大学深圳研究生院 对云服务器上存储的用户文件进行第三方审计的方法
CN108449327A (zh) * 2018-02-27 2018-08-24 平安科技(深圳)有限公司 一种账号清理方法、装置、终端设备及存储介质
CN109376038A (zh) * 2018-12-05 2019-02-22 合肥卓瑞信息技术有限公司 一种基于运维服务管理的安全信息处理系统

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111984971A (zh) * 2020-08-10 2020-11-24 成都安恒信息技术有限公司 一种运维资料自动生产和管理的方法
CN111984971B (zh) * 2020-08-10 2023-05-30 成都安恒信息技术有限公司 一种运维资料自动生产和管理的方法
CN115270110A (zh) * 2022-09-27 2022-11-01 北京圣博润高新技术股份有限公司 一种账户巡检方法、装置、电子设备和存储介质
CN115270110B (zh) * 2022-09-27 2023-01-03 北京圣博润高新技术股份有限公司 一种账户巡检方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
CN110830508B (zh) 2021-08-20

Similar Documents

Publication Publication Date Title
CN110830508B (zh) 一种基于运维审计系统的僵尸账户管理方法
US7350203B2 (en) Network security software
US6182131B1 (en) Data processing system, method, and program product for automating account creation in a network
US8185550B1 (en) Systems and methods for event-based provisioning of elevated system privileges
CN112054941B (zh) 私有域名自动化测试方法、装置、设备及存储介质
US20080059123A1 (en) Management of host compliance evaluation
US20080183603A1 (en) Policy enforcement over heterogeneous assets
CN1795440A (zh) 基于物理位置的网络安全系统
US7690036B2 (en) Special group logon tracking
US20070061874A1 (en) System, method and program for determining a qualified support team to handle a security violation within a computer
CN101079881B (zh) 一种快速登录系统及方法
CN111431753A (zh) 一种资产信息更新方法、装置、设备及存储介质
US7512675B2 (en) Cleaning and removing duplicated unique identifiers from remote network nodes
US9917858B2 (en) Honey user
CN102227114B (zh) 通过探测数据传输来检测垃圾邮件机器人的系统和方法
CN111800397A (zh) 无形资产管理平台的登录方法、装置和系统
CN116170201A (zh) 适用于云产品的认证方法、装置及存储介质
CN111953532B (zh) 设备型号的识别方法、装置和设备
US11784996B2 (en) Runtime credential requirement identification for incident response
CN108549815A (zh) 一种白名单库管理系统及方法
US9489158B1 (en) Print logging for use with terminal emulators
CN114567468A (zh) 一种堡垒机登录方法、装置、设备及存储介质
CN111324872A (zh) 一种登录记录及操作记录的重定向集中审计方法、系统
CN113810415A (zh) 一种通过堡垒机免托管主机账户运维的方法
CN109257213B (zh) 判断计算机终端准入验证失败的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant