CN111176677A - 服务器系统加固更新方法及装置 - Google Patents
服务器系统加固更新方法及装置 Download PDFInfo
- Publication number
- CN111176677A CN111176677A CN201911311271.8A CN201911311271A CN111176677A CN 111176677 A CN111176677 A CN 111176677A CN 201911311271 A CN201911311271 A CN 201911311271A CN 111176677 A CN111176677 A CN 111176677A
- Authority
- CN
- China
- Prior art keywords
- server system
- module
- parameters
- software package
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本公开涉及一种服务器系统加固更新方法及装置。该方法包括:根据行业指导标准确定初始化参数、更新版本文件、权限配置参数;基于所述初始化参数进行服务器系统的初始化配置;根据所述更新版本文件进行所述服务器系统的模块版本迭代;以及根据所述权限配置参数进行所述服务器系统的安全策略配置以完成所述服务器系统的加固更新。本公开涉及的服务器系统加固更新方法及装置,能够根据行业指导标准及时准确的进行已有服务器系统的安全加固和更新。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种服务器系统加固更新方法及装置。
背景技术
由于网络行业发展迅猛,网络信息安全的标准也随之进行快速的更新,相对于以往的网络信息行业标准而言,每次标准的更新都会对网络信息安全的各个方面提出新的要求。随着新标准的发布,已有的绝大部分服务器系统的安全性均是不能满足要求的,在这些服务器操作系统规划时并没有规划满足当前的网络等级保护或其他更新标准。而对所有的服务器系统进行整体的更新换代是极其不现实的。如何在已按照完成并进行实际运行的服务器上进行网络安全的加固更新,尽量降低对现有服务器系统的整体更新换代是亟待解决的问题。
因此,需要一种新的服务器系统加固更新方法及装置。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种服务器系统加固更新方法及装置,能够根据行业指导标准及时准确的进行已有服务器系统的安全加固和更新。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一方面,提出一种服务器系统加固更新方法,该方法包括:根据行业指导标准确定初始化参数、更新版本文件、权限配置参数;基于初始化参数进行服务器系统的初始化配置;根据更新版本文件进行服务器系统的模块版本迭代;以及根据权限配置参数进行服务器系统的安全策略配置以完成服务器系统的加固更新。
在本开的一个实施例中,进行安全外壳协议软件包的编译安装,还包括:为客户端添加免密登陆安装命令;将安全外壳协议的后台进程进行配置为统一调度形式。
在本开的一个实施例中,根据行业指导标准确定初始化参数、更新版本文件、权限配置参数,包括:根据网络安全等级保护标准确定初始化参数、更新版本文件、权限配置参数。
根据本公开的一方面,提出一种服务器系统加固更新装置,该装置包括:配置参数模块,用于根据行业指导标准确定初始化参数、更新版本文件、权限配置参数;初始化模块,用于基于初始化参数进行服务器系统的初始化配置;版本迭代模块,用于根据更新版本文件进行服务器系统的模块版本迭代;以及安全配置模块,用于根据权限配置参数进行服务器系统的安全策略配置以完成服务器系统的加固更新。
在本开的一个实施例中,初始化模块,还用于永久性关闭服务器系统的强制访问控制安全模块;启动服务器系统的同步时间服务以进行时间同步;以及暂时性关闭服务器系统的防火墙。
在本开的一个实施例中,版本迭代模块,包括:第一编译安装单元,用于进行安全套接层协议软件包的编译安装;第二编译安装单元,用于进行安全外壳协议软件包的编译安装;核验单元,用于进行安全套接层协议的核验和安全外壳协议的核验;以及在核验通过时,完成服务器系统的模块版本迭代。
在本开的一个实施例中,第一编译安装单元,还用于安装服务器系统已有的安全套接层协议安装中的系统依赖包;备份服务器系统已有的安全套接层协议软件包;获取更新的安全套接层协议软件包;在预定地址中获取解压编译参数;以及安装更新的安全套接层协议软件包。
在本开的一个实施例中,第二编译安装单元,还用于获取更新的安全外壳协议软件包;暂停服务器系统的安全外壳协议;备份并卸载服务器系统已有的安全外壳协议软件包;在预定地址中获取解压编译参数;以及安装更新的安全外壳协议软件包。
在本开的一个实施例中,安全配置模块,包括:密码单元,用于根据权限配置参数设置密码强度校验功能;账户单元,用于根据权限配置参数设置用户账户属性;以及防火墙单元,用于根据权限配置参数开启防火墙策略。
在本开的一个实施例中,密码单元,还用于配置强制检查策略;基于权限配置参数设置密码策略模块以实现密码强度校验功能;以及配置密码定期失效功能。
在本开的一个实施例中,账户单元,还用于根据权限配置参设置密码账户锁定模块以实现用户账户的锁定控制。
在本开的一个实施例中,防火墙单元,还用于根据权限配置参数配置动态防火墙。
根据本公开的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本公开的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本公开的服务器系统加固更新方法及装置,基于初始化参数进行服务器系统的初始化配置;根据更新版本文件进行服务器系统的模块版本迭代;以及根据权限配置参数进行服务器系统的安全策略配置以完成服务器系统的加固更新的方式,能够根据行业指导标准及时准确的进行已有服务器系统的安全加固和更新。
在根据本公开的服务器系统加固更新方法及装置对服务器系统进行模块升级后,官方的漏洞扫描软件将不会再扫出任何高危漏洞,特别是常见的openssl以及openssh版本过低引发的版本漏洞。
根据本公开的服务器系统加固更新方法,能够减少由于官方更新行业标准而带来的运维人员的额外的工作量,并且按照本公开中的方法,可以针对模块进行定期升级,一旦官方上传了更新的行业标准版本,服务器可以实时升级,快速满足新的行业标准要求。
更进一步的,根据本公开的服务器系统加固更新方法,能够在开启系统层面的防火墙,这种方式将服务器系统的安全级别提高到了一个更高的层次。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种服务器系统加固更新方法的系统场景框图。
图2是根据一示例性实施例示出的一种服务器系统加固更新方法的系统示意图。
图3是根据一示例性实施例示出的一种服务器系统加固更新方法的系统示意图。
图4是根据一示例性实施例示出的一种服务器系统加固更新方法的流程图。
图5是根据另一示例性实施例示出的一种服务器系统加固更新方法的流程图。
图6是根据另一示例性实施例示出的一种服务器系统加固更新方法的流程图。
图7是根据另一示例性实施例示出的一种服务器系统加固更新方法的流程图。
图8是根据另一示例性实施例示出的一种服务器系统加固更新方法的示意图。
图9是根据另一示例性实施例示出的一种服务器系统加固更新方法的示意图。
图10是根据一示例性实施例示出的一种服务器系统加固更新装置的框图。
图11是根据一示例性实施例示出的一种电子设备的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
图1是根据一示例性实施例示出的一种服务器系统加固更新方法及装置的系统框图。
如图1所示,系统架构10可以包括待处理服务器系统101、102、103,网络104和配置服务器105。网络104用以在待处理服务器系统101、102、103和配置服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。其中,待处理服务器系统101、102、103可为待进行加固更新的服务器系统。
应该理解,图1中的服务器、网络的数目仅仅是示意性的。根据实现需要,可以具有任意数目的服务器、网络。比如待处理服务器系统101、102、103,网络104和配置服务器105均可以是多个服务器组成的服务器集群或者多个终端组成的服务器网络等。
配置服务器105可以是提供各种服务的服务器,例如对处理服务器101、102、103的网络安全性提供支持的后台管理服务器。后台管理服务器可以行业标准的安全性指标进行分析等处理,并根据处理结果对待处理服务器系统101、102、103进行加固更新。
配置服务器105可例如根据行业指导标准确定初始化参数、更新版本文件、权限配置参数;配置服务器105可例如基于初始化参数进行服务器系统的初始化配置;配置服务器105可例如根据更新版本文件进行服务器系统的模块版本迭代;配置服务器105可例如根据权限配置参数进行服务器系统的安全策略配置以完成服务器系统的加固更新。
配置服务器105可以是一个实体的服务器,还可例如为多个服务器组成,需要说明的是,本公开实施例所提供的服务器系统加固更新方法可以由配置服务器105执行,相应地,服务器系统加固更新装置可以设置于配置服务器105中。
其中,待处理服务器系统101、102、103可以是由客户端、多个节点(接入网络中的任意形式的计算设备,如服务器、用户终端)通过网络通信的形式连接形成的分布式系统。
以分布式系统为区块链系统为例,参见图2,图2是本发明实施例提供的分布式系统100应用于区块链系统的一个可选的结构示意图,由多个节点(接入网络中的任意形式的计算设备,如服务器、用户终端)和客户端形成,节点之间形成组成的点对点(P2P,Peer ToPeer)网络,P2P协议是一个运行在传输控制协议(TCP,Transmission Control Protocol)协议之上的应用层协议。在分布式系统中,任何机器如服务器、终端都可以加入而成为节点,节点包括硬件层、中间层、操作系统层和应用层。
参见图2示出的区块链系统中各节点的功能,涉及的功能包括:
1)路由,节点具有的基本功能,用于支持节点之间的通信。
节点除具有路由功能外,还可以具有以下功能:
2)应用,用于部署在区块链中,根据实际业务需求而实现特定业务,记录实现功能相关的数据形成记录数据,在记录数据中携带数字签名以表示任务数据的来源,将记录数据发送到区块链系统中的其他节点,供其他节点在验证记录数据来源以及完整性成功时,将记录数据添加到临时区块中。
例如,应用实现的业务包括:
2.1)钱包,用于提供进行电子货币的交易的功能,包括发起交易(即,将当前交易的交易记录发送给区块链系统中的其他节点,其他节点验证成功后,作为承认交易有效的响应,将交易的记录数据存入区块链的临时区块中;当然,钱包还支持查询电子货币地址中剩余的电子货币;
2.2)共享账本,用于提供账目数据的存储、查询和修改等操作的功能,将对账目数据的操作的记录数据发送到区块链系统中的其他节点,其他节点验证有效后,作为承认账目数据有效的响应,将记录数据存入临时区块中,还可以向发起操作的节点发送确认。
2.3)智能合约,计算机化的协议,可以执行某个合约的条款,通过部署在共享账本上的用于在满足一定条件时而执行的代码实现,根据实际的业务需求代码用于完成自动化的交易,例如查询买家所购买商品的物流状态,在买家签收货物后将买家的电子货币转移到商户的地址;当然,智能合约不仅限于执行用于交易的合约,还可以执行对接收的信息进行处理的合约。
3)区块链,包括一系列按照产生的先后时间顺序相互接续的区块(Block),新区块一旦加入到区块链中就不会再被移除,区块中记录了区块链系统中节点提交的记录数据。
参见图3,图3是本发明实施例提供的区块结构(Block Structure)一个可选的示意图,每个区块中包括本区块存储交易记录的哈希值(本区块的哈希值)、以及前一区块的哈希值,各区块通过哈希值连接形成区块链。另外,区块中还可以包括有区块生成时的时间戳等信息。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了相关的信息,用于验证其信息的有效性(防伪)和生成下一个区块。
图4是根据一示例性实施例示出的一种服务器系统加固更新方法的流程图。服务器系统加固更新方法40至少包括步骤S402至S408。
如图4所示,在S402中,根据行业指导标准确定初始化参数、更新版本文件、权限配置参数。
在本公开的一个实施例中,根据行业指导标准确定初始化参数、更新版本文件、权限配置参数,包括:根据网络安全等级保护标准确定初始化参数、更新版本文件、权限配置参数。
行业指导标准确可为网络安全等级保护2.0标准,网络安全等级保护新标准有如下要求,第一,等级保护的基本要求、测评要求和设计技术要求框架统一;第二,通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范;第三,把可信验证列入各级别和各环节的主要功能要求。基于此,网络安全等级保护2.0时代,应重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护,确保关键信息基础设施安全。
可根据网络安全等级保护2.0标准中的详细规定,确定服务器系统的相关模块和权限的要求,基于上述要求和当前服务器系统之间的差异,确定当前服务器系统的初始化参数、更新版本文件、权限配置参数。
在S404中,基于初始化参数进行服务器系统的初始化配置。具体步骤可包括:永久性关闭服务器系统的强制访问控制安全模块(1)Selinux);启动服务器系统的同步时间服务(chronyd)以进行时间同步;以及暂时性关闭服务器系统的防火墙。
“基于初始化参数进行服务器系统的初始化配置”的相关内容将在图5对应的实施例中进行详细描述。
在S406中,根据更新版本文件进行服务器系统的模块版本迭代。其中,更新版本文件中包括安全套接层协议软件包(openssl)和安全外壳协议软件包(openssh)。具体步骤可包括:进行安全套接层协议软件包的编译安装;进行安全外壳协议软件包的编译安装;进行安全套接层协议的核验和安全外壳协议的核验;以及在核验通过时,完成服务器系统的模块版本迭代。
“根据更新版本文件进行服务器系统的模块版本迭代”的相关内容将在图6对应的实施例中进行详细描述。
在S408中,根据权限配置参数进行服务器系统的安全策略配置以完成服务器系统的加固更新。具体步骤可包括:根据权限配置参数设置密码强度校验功能;根据权限配置参数设置用户账户属性;以及根据权限配置参数开启防火墙策略。
“根据权限配置参数进行服务器系统的安全策略配置”的相关内容将在图7对应的实施例中进行详细描述。
根据本公开的服务器系统加固更新方法,基于初始化参数进行服务器系统的初始化配置;根据更新版本文件进行服务器系统的模块版本迭代;以及根据权限配置参数进行服务器系统的安全策略配置以完成服务器系统的加固更新的方式,能够根据行业指导标准及时准确的进行已有服务器系统的安全加固和更新。
在本公开中,将以RedHat Enterprise Linux(CentOS)7.x服务器系统为例,详细阐述服务器系统加固更新方法的具体步骤。本公开描述了如何形成和使用特定的服务器系统加固更新方法,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于服务器系统为其他配置时候的情况。
图5是根据另一示例性实施例示出的一种服务器系统加固更新方法及装置的流程图。图5所示的流程是对图4所示的流程中S404“基于初始化参数进行服务器系统的初始化配置”的详细描述。
如图5所示,在S502中,永久性关闭服务器系统的强制访问控制安全模块。强制访问控制安全模块(Selinux)是NSA((国家安全局)对于强制访问控制权限的实现,如不永久关闭会对业务部署以及日常变更容易造成影响且不易被定位。
在S504中,启动服务器系统的同步时间服务以进行时间同步。绝大多数项目都会使用到私有化部署的服务器,且均默认使用本地时间。当运行一段时间后会出现时间延迟的现象,这不符合项目规范,也容易造成功能异常;这时需启动chronyd服务。根据网络环境决定时间同步服务器的地址以便进行时间同步,同步的时刻可与标准中提到的北京时间保持一致。
在S506中,暂时性关闭服务器系统的防火墙。暂时关闭防火墙是为了方便在进行项目部署时规避掉可能出现的服务访问控制被拒绝的现象,当项目部署完成时防火墙会再次进行开启。
图6是根据另一示例性实施例示出的一种服务器系统加固更新方法及装置的流程图。图6所示的流程是对图4所示的流程中S406“根据更新版本文件进行服务器系统的模块版本迭代”的详细描述。
如图6所示,在S602中,进行安全套接层协议软件包的编译安装。其中,安全套接层协议软件包(openssl)是一个加密工具,实现了安全套接字层(SSL v2/v3)和传输层安全性(TLS v1)网络协议以及它们所需的相关加密标准,并且被多个程序以及服务调用,是系统自带并且非常核心的模块。openssl的组包openssl-libs被Red Hat Enterprise LinuxServer(CentOS)7.x服务器系统的守护进程systemd以及包管理工具yum强制保护并且无法卸载。openssl只存在新版本安装后与RPM版本同时存在于服务器中,通过配置使得系统调用新编译出的版本openssl,而将旧版本openssl作为备份放置于原有目录中。
具体步骤可包括:编译安装前系统依赖包安装;备份自带openssl相关文件;目录访问openssl官方网站下载最新版本;在预定地址解压编译时的参数调用。
其中预定地址可为:#./config--prefix=/usr/local/openssl--openssldir=/usr/local/openssl shared zlib-dynamic&&make&&make install
其中,如果系统使用yum(或RPM),并安装了全局的zlib-devel库文件,则上文中的“shared zlib-dynamic”表示编译时调用动态库文件。
在S604中,进行安全外壳协议软件包的编译安装。其中,安全外壳协议软件包openssh是可以被卸载的;它属于远程连接系统的服务模块,它允许管理员进行彻底删除以及remove配置文件。但openssh依赖于openssl模块功能,所以可在操作openssh的升级之前,先编译安装完成openssl。
具体步骤可包括:访问openssh官方网站以下载最新版本的openssh;以第三方远程连接客户端软件xshell为例:停止ssh服务;备份关键配置文件目录;卸载openssh服务模块;在预定地址中获取解压编译参数,解压编译时的参数调用。
其中,预定地址可为:#./configure--prefix=/usr/--sysconfdir=/etc/ssh--with-md5-passwords--with-pam--with-ssl-dir=/usr/local/openssl。
其中,为了保证运维人员的操作习惯以及和软件原厂版本配置文件保持一致,可设置ssh配置目录于/etc中。
在本公开的一个实施例中,进行安全外壳协议软件包的编译安装,还包括:为客户端添加免密登陆安装命令;将安全外壳协议的后台进程进行配置为统一调度形式。编译安装完成后,要加入客户端功能ssh-copy-id安装命令,否则安装完会没有ssh-copy-id功能。
在一个实施例中,考虑到密码开启安全哈希功能--with-md5-passwords以及密码强度校验--with-pam的设置;另外如果openssl是自编译配置而非原始的rpm版本,则需要通过--with-ssl-dir指定openssl配置目录。上述操作完成后,会有提示如要完全开启pam功能需要进行相应配置,可按照下文的说明进行配置。
将新ssh daemon(ssh后台进程)添加到服务器系统的系统服务目录中以进行服务统一调度;值得一提的是,默认情况下,sshd并没有开启Use_PAM验证,如果直接开启验证,会导致ssh连接时无论输入密码正确与否都提示验证错误,如需开启功能需要结合openssh以及pam进行联调配置,将先前备份的文件还原。
在S606中,进行安全套接层协议的核验和安全外壳协议的核验。对于openssl,可在openssl完成编译输出目录后,查看服务器系统当前版本的号码进行核验;对于openssh可通过连接服务器,查看SSH版本号以进行核验。
在S608中,在核验通过时,完成服务器系统的模块版本迭代。输出的版本号码和预设的版本号码一致时,版本迭代完成。
图7是根据另一示例性实施例示出的一种服务器系统加固更新方法及装置的流程图。图7所示的流程是对图4所示的流程中S408“根据权限配置参数进行服务器系统的安全策略配置”的详细描述。
如图7所示,在S702中,根据权限配置参数设置密码强度校验功能。其中,RedHatEnterprise Linux(CentOS)7.x服务器系统的控制密码复杂度的模块由RedHatEnterprise Linux(CentOS)6.x中的pam_cracklib.so(密码设置模块)模块变成了pam_pwquality.so(密码策略模块)。
具体步骤可包括:配置强制检查策略;基于权限配置参数设置密码策略模块(pam_pwquality.so)以实现密码强度校验功能;以及配置密码定期失效功能。
更具体的可进行如下设置:默认情况下使用管理员重置任何用户不符合强度校验的密码系统不会阻止修改,但会有不符合强度的告警提示。可例如,如果拟定root密码为redhat,普通用户为12345678,这种情况下系统均会有告警提示,但不会阻止修改,如需阻止修改,需修改配置文件。配置强制检查策略,如密码校验不通过则不允许管理员重置密码;测试重置密码可例如为“1”,然后查看效果。
在一个实施例中,根据行业标准中密码强度的要求:必须同时包含长度、数字数、大写字母、小写字母以及其它字符,为了满足这一需求RedHat Enterprise Linux(CentOS)7.x服务器系统中可通过配置文件/etc/security/pwquality.conf配置段的value值修改实现需求的。根据需求修改完配置文件之后,可将管理员密码重置为“ABCabc123!!”以满足要求。
在S704中,根据权限配置参数设置用户账户属性。可例如:根据权限配置参设置密码账户锁定模块以实现用户账户的锁定控制。
其中,在默认情况下服务器系统中的用户设置密码后会永久生效;无论账户使用了多长时间密码都不会过期,这不符合行业标准规范。需要设置账户密码定期失效提示管理员重设密码做好安全保障。
具体步骤可包括:修改全局配置/etc/login.defs文件,使新增用户遵循密码过期规则;其中,PASS_MAX_DAYS:代表密码有效期最大天数,超过了系统提示管理员要求强制修改;PASS_MIN_DAYS:代表同一个账户二次修改密码之间的天数间隔,可按照项目需求进行自定义设置。值得一提的是,修改配置文件并不会对现有用户产生效果,通过chage命令可使现有用户的修改配置生效。
在进行了密码强度校验、密码过期时间设置后,还应该针对密码尝试登录次数做出限制。默认情况下Linux不限制客户端尝试登录服务的次数,在此可能会对服务器造成一定程度的安全隐患,容易被攻击者进行密码尝试暴力破截,增加了一定的安全风险。可通过pam_faillock.so(密码账户锁定模块)模块进行帐号锁定控制,可例如用户尝试3次密码输入失败后第四次开始锁定登录10分钟并断开连接,并进行如图8所示的提示。
在S706中,根据权限配置参数开启防火墙策略。可例如:根据权限配置参数配置动态防火墙。
其中可将RedHat Enterprise Linux(CentOS)7.x服务器系统的防火墙改为firewalld(动态防火墙)。如图9所示,firewalld不同于iptables,它引入了zone区域的概念,通过“钩子函数”分配不同的区域来匹配不同的规则;并且在默认情况下启动firewalld会拒绝所有传入数据包,除了SSH远程连接等少数几个客户端服务外。
结合常见的应用场景来看,应用系统多为多机部署或集群环境;一套业务系统大致会有两到三个角色;每个角色会分配两到三台服务器;同一个角色的服务器之间运行的程序是相同的,不同角色的机器进行数据交换或逻辑处理又是通过固定的端口进行工作;在不影响应用系统正常运行又确保防火墙规则以及策略能够开启,并且做到符合行业标准中的安全防范的情况可通过以下方式:
允许同角色的服务器(即指定IP)所有端口发起的请求访问本机服务器的所有端口;允许同角色的服务器的所有端口发起的请求访问本机服务器的指定端口;放行所有服务器的所有端口发起的请求访问本机服务器的指定端口(如80、443端口)。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图10是根据一示例性实施例示出的一种服务器系统加固更新装置的框图。服务器系统加固更新装置100可包括:配置参数模块1002,初始化模块1004,版本迭代模块1006,安全配置模块1008。
配置参数模块1002用于根据行业指导标准确定初始化参数、更新版本文件、权限配置参数;
初始化模块1004用于基于初始化参数进行服务器系统的初始化配置;其中,初始化模块1004还用于永久性关闭服务器系统的强制访问控制安全模块;启动服务器系统的同步时间服务以进行时间同步;以及暂时性关闭服务器系统的防火墙。
版本迭代模块1006用于根据更新版本文件进行服务器系统的模块版本迭代;其中,版本迭代模块1006包括:第一编译安装单元,用于进行安全套接层协议软件包的编译安装;第二编译安装单元,用于进行安全外壳协议软件包的编译安装;核验单元,用于进行安全套接层协议的核验和安全外壳协议的核验;以及在核验通过时,完成服务器系统的模块版本迭代。
在本开的一个实施例中,第一编译安装单元,还用于安装服务器系统已有的安全套接层协议安装中的系统依赖包;备份服务器系统已有的安全套接层协议软件包;获取更新的安全套接层协议软件包;在预定地址中获取解压编译参数;以及安装更新的安全套接层协议软件包。
在本开的一个实施例中,第二编译安装单元,还用于获取更新的安全外壳协议软件包;暂停服务器系统的安全外壳协议;备份并卸载服务器系统已有的安全外壳协议软件包;在预定地址中获取解压编译参数;以及安装更新的安全外壳协议软件包。
安全配置模块1008用于根据权限配置参数进行服务器系统的安全策略配置以完成服务器系统的加固更新。其中,安全配置模块1008包括:密码单元,用于根据权限配置参数设置密码强度校验功能;账户单元,用于根据权限配置参数设置用户账户属性;以及防火墙单元,用于根据权限配置参数开启防火墙策略。
在本开的一个实施例中,密码单元,还用于配置强制检查策略;基于权限配置参数设置密码策略模块以实现密码强度校验功能;以及配置密码定期失效功能。
在本开的一个实施例中,账户单元,还用于根据权限配置参设置密码账户锁定模块以实现用户账户的锁定控制。
在本开的一个实施例中,防火墙单元,还用于根据权限配置参数配置动态防火墙。
根据本公开的服务器系统加固更新装置,基于初始化参数进行服务器系统的初始化配置;根据更新版本文件进行服务器系统的模块版本迭代;以及根据权限配置参数进行服务器系统的安全策略配置以完成服务器系统的加固更新的方式,能够根据行业指导标准及时准确的进行已有服务器系统的安全加固和更新。
图11是根据一示例性实施例示出的一种电子设备的框图。
下面参照图11来描述根据本公开的这种实施方式的电子设备1100。图11显示的电子设备1100仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图11所示,电子设备1100以通用计算设备的形式表现。电子设备1100的组件可以包括但不限于:至少一个处理单元1110、至少一个存储单元1120、连接不同系统组件(包括存储单元1120和处理单元1110)的总线1130、显示单元1140等。
其中,存储单元存储有程序代码,程序代码可以被处理单元1110执行,使得处理单元1110执行本说明书上述电子处方流转处理方法部分中描述的根据本公开各种示例性实施方式的步骤。例如,处理单元1110可以执行如图4,图5,图6,图7中所示的步骤。
存储单元1120可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)11201和/或高速缓存存储单元11202,还可以进一步包括只读存储单元(ROM)11203。
存储单元1120还可以包括具有一组(至少一个)程序模块11205的程序/实用工具11204,这样的程序模块11205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1130可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1100也可以与一个或多个外部设备1100’(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1100交互的设备通信,和/或与使得该电子设备1100能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1150进行。并且,电子设备1100还可以通过网络适配器1160与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器1160可以通过总线1130与电子设备1100的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1100使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:根据行业指导标准确定初始化参数、更新版本文件、权限配置参数;基于初始化参数进行服务器系统的初始化配置;根据更新版本文件进行服务器系统的模块版本迭代;以及根据权限配置参数进行服务器系统的安全策略配置以完成服务器系统的加固更新。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
此外,本说明书说明书附图所示出的结构、比例、大小等,均仅用以配合说明书所公开的内容,以供本领域技术人员了解与阅读,并非用以限定本公开可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本公开所能产生的技术效果及所能实现的目的下,均应仍落在本公开所公开的技术内容得能涵盖的范围内。同时,本说明书中所引用的如“上”、“第一”、“第二”及“一”等的用语,也仅为便于叙述的明了,而非用以限定本公开可实施的范围,其相对关系的改变或调整,在无实质变更技术内容下,当也视为本公开可实施的范畴。
Claims (10)
1.一种服务器系统加固更新方法,其特征在于,包括:
根据行业指导标准确定初始化参数、更新版本文件、权限配置参数;
基于所述初始化参数进行服务器系统的初始化配置;
根据所述更新版本文件进行所述服务器系统的模块版本迭代;以及
根据所述权限配置参数进行所述服务器系统的安全策略配置以完成所述服务器系统的加固更新。
2.如权利要求1所述的方法,其特征在于,基于所述初始化参数进行服务器系统的初始化配置,包括:
永久性关闭所述服务器系统的强制访问控制安全模块;
启动所述服务器系统的同步时间服务以进行时间同步;以及
暂时性关闭所述服务器系统的防火墙。
3.如权利要求1所述的方法,其特征在于,更新版本文件中包括安全套接层协议软件包和安全外壳协议软件包;
根据所述更新版本文件进行所述服务器系统的模块版本迭代,包括:
进行所述安全套接层协议软件包的编译安装;
进行所述安全外壳协议软件包的编译安装;
进行安全套接层协议的核验和安全外壳协议的核验;以及
在所述核验通过时,完成所述服务器系统的模块版本迭代。
4.如权利要求3所述的方法,其特征在于,进行所述安全套接层协议软件包的编译安装,包括:
安装所述服务器系统已有的安全套接层协议中的系统依赖包;
备份所述服务器系统已有的安全套接层协议软件包;
获取更新的安全套接层协议软件包;
在预定地址中获取解压编译参数;以及
安装更新的安全套接层协议软件包。
5.如权利要求3所述的方法,其特征在于,进行所述安全外壳协议软件包的编译安装,包括:
获取更新的所述安全外壳协议软件包;
暂停所述服务器系统的安全外壳协议;
备份并卸载所述服务器系统已有的安全外壳协议软件包;
在预定地址中获取解压编译参数;以及
安装更新的安全外壳协议软件包。
6.如权利要求1所述的方法,其特征在于,根据所述权限配置参数进行所述服务器系统的安全策略配置,包括:
根据所述权限配置参数设置密码强度校验功能;
根据所述权限配置参数设置用户账户属性;以及
根据所述权限配置参数开启防火墙策略。
7.如权利要求6所述的方法,其特征在于,根据所述权限配置参数设置密码强度校验功能,包括:
配置强制检查策略;
基于所述权限配置参数设置密码策略模块以实现密码强度校验功能;以及
配置密码定期失效功能。
8.如权利要求6所述的方法,其特征在于,根据所述权限配置参数设置用户账户属性,包括:
根据所述权限配置参设置密码账户锁定模块以实现用户账户的锁定控制。
9.如权利要求6所述的方法,其特征在于,根据所述权限配置参数开启防火墙策略,包括:
根据所述权限配置参数配置动态防火墙。
10.一种服务器系统加固更新装置,其特征在于,包括:
配置参数模块,用于根据行业指导标准确定初始化参数、更新版本文件、权限配置参数;
初始化模块,用于基于所述初始化参数进行服务器系统的初始化配置;
版本迭代模块,用于根据所述更新版本文件进行所述服务器系统的模块版本迭代;以及
安全配置模块,用于根据所述权限配置参数进行所述服务器系统的安全策略配置以完成所述服务器系统的加固更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911311271.8A CN111176677B (zh) | 2019-12-18 | 2019-12-18 | 服务器系统加固更新方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911311271.8A CN111176677B (zh) | 2019-12-18 | 2019-12-18 | 服务器系统加固更新方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111176677A true CN111176677A (zh) | 2020-05-19 |
| CN111176677B CN111176677B (zh) | 2022-06-17 |
Family
ID=70657340
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911311271.8A Active CN111176677B (zh) | 2019-12-18 | 2019-12-18 | 服务器系统加固更新方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111176677B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953481A (zh) * | 2020-07-28 | 2020-11-17 | 麒麟软件有限公司 | 一种基于pam的动态密码认证方法 |
| CN112287405A (zh) * | 2020-09-16 | 2021-01-29 | 中国农业银行股份有限公司河北省分行 | CentOS系统的安全加固方法 |
| CN113672936A (zh) * | 2021-08-20 | 2021-11-19 | 北京安天网络安全技术有限公司 | 一种应用于Linux系统的安全防范方法以及装置 |
| CN113672936B (zh) * | 2021-08-20 | 2024-05-14 | 北京安天网络安全技术有限公司 | 一种应用于Linux系统的安全防范方法以及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150261519A1 (en) * | 2014-03-17 | 2015-09-17 | Quanta Computer Inc. | Method and system of software update and mobile device |
| CN106326699A (zh) * | 2016-08-25 | 2017-01-11 | 广东七洲科技股份有限公司 | 一种基于文件访问控制和进程访问控制的服务器加固方法 |
| CN108664794A (zh) * | 2018-04-26 | 2018-10-16 | 广东电网有限责任公司 | 一种Linux服务器自动化安全加固方法 |
-
2019
- 2019-12-18 CN CN201911311271.8A patent/CN111176677B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150261519A1 (en) * | 2014-03-17 | 2015-09-17 | Quanta Computer Inc. | Method and system of software update and mobile device |
| CN106326699A (zh) * | 2016-08-25 | 2017-01-11 | 广东七洲科技股份有限公司 | 一种基于文件访问控制和进程访问控制的服务器加固方法 |
| CN108664794A (zh) * | 2018-04-26 | 2018-10-16 | 广东电网有限责任公司 | 一种Linux服务器自动化安全加固方法 |
Non-Patent Citations (6)
| Title |
|---|
| WULING129: ""[转]CentOS 6.5安全加固及性能优化"", 《HTTPS://WWW.BBSMAX.COM/A/VGZL6GNY5B/》 * |
| WULING129: ""[转]CentOS 6.5安全加固及性能优化"", 《HTTPS://WWW.BBSMAX.COM/A/VGZL6GNY5B/》, 31 August 2015 (2015-08-31), pages 1 - 4 * |
| 印冲: ""Linux系统安全加固-openSSH升级"", 《HTTPS://BLOG.CSDN.NET/BAIDU_39459954/ARTICLE/DETAILS/89447343》 * |
| 印冲: ""Linux系统安全加固-openSSH升级"", 《HTTPS://BLOG.CSDN.NET/BAIDU_39459954/ARTICLE/DETAILS/89447343》, 22 April 2019 (2019-04-22), pages 1 - 5 * |
| 秦道祥,高润生等: ""基于S3A3G3 三级等保标准的Linux 系统主机安全加固"", 《中国教育信息化》 * |
| 秦道祥,高润生等: ""基于S3A3G3 三级等保标准的Linux 系统主机安全加固"", 《中国教育信息化》, 10 September 2018 (2018-09-10), pages 88 - 91 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953481A (zh) * | 2020-07-28 | 2020-11-17 | 麒麟软件有限公司 | 一种基于pam的动态密码认证方法 |
| CN112287405A (zh) * | 2020-09-16 | 2021-01-29 | 中国农业银行股份有限公司河北省分行 | CentOS系统的安全加固方法 |
| CN113672936A (zh) * | 2021-08-20 | 2021-11-19 | 北京安天网络安全技术有限公司 | 一种应用于Linux系统的安全防范方法以及装置 |
| CN113672936B (zh) * | 2021-08-20 | 2024-05-14 | 北京安天网络安全技术有限公司 | 一种应用于Linux系统的安全防范方法以及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111176677B (zh) | 2022-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11281457B2 (en) | Deployment of infrastructure in pipelines | |
| CN111164948B (zh) | 使用区块链网络管理网络安全漏洞 | |
| CN110169036B (zh) | 用于更新可编程装置的方法、系统、机器可读介质 | |
| Nikitin et al. | {CHAINIAC}: Proactive {Software-Update} transparency via collectively signed skipchains and verified builds | |
| CN110933163B (zh) | 区块链合约部署方法、装置、设备以及存储介质 | |
| US10523526B2 (en) | System and method for managing services and licenses using a blockchain network | |
| US10142113B2 (en) | Identifying and maintaining secure communications | |
| Suciu et al. | Comparative analysis of distributed ledger technologies | |
| EP2196933B1 (en) | Server-to-server integrity checking | |
| CN112005236A (zh) | 区块链网络上的文档访问 | |
| CN110569674A (zh) | 基于区块链网络的认证方法及装置 | |
| US11271746B2 (en) | Component commissioning to IoT hub using permissioned blockchain | |
| CN110598434B (zh) | 基于区块链网络的房屋信息处理方法、装置、电子设备及存储介质 | |
| CN113228076A (zh) | 区块链管理系统 | |
| US11157622B2 (en) | Blockchain technique for agile software development framework | |
| US20160301715A1 (en) | Automating the creation and maintenance of policy compliant environments | |
| CN111176677B (zh) | 服务器系统加固更新方法及装置 | |
| CN112231755A (zh) | 一种基于区块链的数据授权方法、装置及系统 | |
| CN111869165B (zh) | 用于控制和/或监控装置的方法和控制系统 | |
| KR102148452B1 (ko) | 블록체인 기술을 이용한 국군 여가문화 컨텐츠 전용 보안 시스템 및 그 구동방법 | |
| CN112425121A (zh) | 关于分布式数据库的使用控制数据网络 | |
| US20230246845A1 (en) | Secret Protection During Software Development Life Cycle | |
| CN115577382A (zh) | 基于区块链的智能合约部署方法及相关设备 | |
| EP3771139B1 (en) | Operational safety using a distributed ledger | |
| Kim et al. | A new cost-saving and efficient method for patch management using blockchain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |