CN112182563A - 一种linux系统Bash安全防护方法 - Google Patents
一种linux系统Bash安全防护方法 Download PDFInfo
- Publication number
- CN112182563A CN112182563A CN202011040036.4A CN202011040036A CN112182563A CN 112182563 A CN112182563 A CN 112182563A CN 202011040036 A CN202011040036 A CN 202011040036A CN 112182563 A CN112182563 A CN 112182563A
- Authority
- CN
- China
- Prior art keywords
- bwins
- client
- server
- linux system
- linux
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种linux系统Bash安全防护方法,步骤一:linux系统登录防护:以docker容器的方式启动Bwins‑client后,获取文件的操作权限;将逻辑接口伪装到ssh远程端口上,达到用户无感目的;当用户以原SSH远程端口登录时,Bwins‑client将接受相应请求,解析完成后用户即可登录服务器中;步骤二:linux系统命令防护:Bwins‑client组件将认证获取服务器网卡信息;当用户输入linuxBash命令并提交后,Python‑shell模块进行逻辑字符匹配;匹配后的关键字携带向Bwins‑client中进行核验;Bwins‑server在此模块部分配置发生变更后,广播给相关linux系统的Bwins‑client;Bwins‑client接受广播后,触发配置更新,达到实时配置实时生效。本发明与现有技术相比的优点在于:对linux系统中的SSH服务进行伪装,达到无法暴力破解、双认证机制,保护linux系统的环境安全。
Description
技术领域
本发明涉及linux系统安全技术领域,具体是指一种linux系统Bash安全防护方法。
背景技术
现在linux系统中,SSH远程连接服务对外界的防护单一,可使用暴力破解,侵入到linux系统中进行恶意破坏,影响企业安全,严重会造成导致企业数据,经济的重大损失。
发明内容
本发明要解决的技术问题是克服以上技术缺陷,提供一种linux系统Bash安全防护方法,对linux系统中的SSH服务进行伪装,达到无法暴力破解、双认证机制,保护linux系统的环境安全。
为解决上述技术问题,本发明提供的技术方案为:一种linux系统Bash安全防护方法,包括以下步骤:
步骤一:linux系统登录防护
1)以docker容器的方式启动自研产品;
2)启动Bwins-client后,将自动进行对当前linux主机的提权即穿透,获取主机根目录下所有文件的操作权限;
3)注入Bwins-client产品容器预制的KEY秘钥文件到主机中,达到无密码自动登录主机权限;
4)程序自动筛选/etc/ssh/sshd_config系统配置文件中Port配置,获取linux系统中当前ssh远程端口号;
5)使用自研程序修改/etc/ssh/sshd_configlinux系统配置文件中当前设置ssh端口号设置为安全高端口号;
6)通过自研程序逻辑,将自研产品功能逻辑接口伪装到原服务器ssh远程端口上,达到用户无感目的;
7)当用户以原SSH远程端口登录linux服务器时,Bwins-client将接受相应请求,并向Bwins-server发送用户登录校验请求;
8)Bwins-server接受请求后,将检索配置信息,并将是否有权限登录返回到Bwins-client中;
9)Bwins-client接收到数据信息后将进行数据解析,解析完成后用户即可登录服务器中;
步骤二:linux系统命令防护
1)Bwins-client组件将首先通过免密认证获取服务器网卡信息;
2)用户在使用登录模块登录linux系统后,Bwins-client将携带主机IP地址向Bwins-server获取该平台用户命令及服务器账户权限信息;
3)自研组件中Python-shell模块将会读取以上数据,应用到当前或新的linux登录中;
4)当用户输入linuxBash命令并提交后,Python-shell模块将首先进行逻辑字符匹配;
5)Python-shell将匹配后的关键字携带向Bwins-client中进行核验,若有关键字符串信息,则放行命令请求到linux服务器中,若无该关键字符串,则将拒绝并返回相关错误提示;
6)当Bwins-server在此模块部分配置发生变更后,将广播给相关linux系统的Bwins-client中;
7)Bwins-client接受广播后,将触发配置更新,达到实时配置实时生效。
本发明与现有技术相比的优点在于:对linux系统增加双重认证功能,只有本企业员工所属平台账户,且拥有相关权限的账户,才可登陆服务器,并且针对服务器行为进行实时记录,实时管控,从入口处进行安全防护。
附图说明
图1是本发明的系统流程图。
具体实施方式
下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1
本发明公开一种linux系统Bash安全防护方法,包括以下步骤:
步骤一:linux系统登录防护
1)以docker容器的方式启动自研产品;
2)启动Bwins-client后,将自动进行对当前linux主机的提权即穿透,获取主机根目录下所有文件的操作权限;
3)注入Bwins-client产品容器预制的KEY秘钥文件到主机中,达到无密码自动登录主机权限;
4)程序自动筛选/etc/ssh/sshd_config系统配置文件中Port配置,获取linux系统中当前ssh远程端口号;
5)使用自研程序修改/etc/ssh/sshd_config linux系统配置文件中当前设置ssh端口号设置为安全高端口号;
6)通过自研程序逻辑,将自研产品功能逻辑接口伪装到原服务器ssh远程端口上,达到用户无感目的;
7)当用户以原SSH远程端口登录linux服务器时,Bwins-client将接受相应请求,并向Bwins-server发送用户登录校验请求;
8)Bwins-server接受请求后,将检索配置信息,并将是否有权限登录返回到Bwins-client中;
9)Bwins-client接收到数据信息后将进行数据解析,解析完成后用户即可登录服务器中;
步骤二:linux系统命令防护
1)Bwins-client组件将首先通过免密认证获取服务器网卡信息;
2)用户在使用登录模块登录linux系统后,Bwins-client将携带主机IP地址向Bwins-server获取该平台用户命令及服务器账户权限信息;
3)自研组件中Python-shell模块将会读取以上数据,应用到当前或新的linux登录中;
4)当用户输入linux Bash命令并提交后,Python-shell模块将首先进行逻辑字符匹配;
5)Python-shell将匹配后的关键字携带向Bwins-client中进行核验,若有关键字符串信息,则放行命令请求到linux服务器中,若无该关键字符串,则将拒绝并返回相关错误提示;
6)当Bwins-server在此模块部分配置发生变更后,将广播给相关linux系统的Bwins-client中;
7)Bwins-client接受广播后,将触发配置更新,达到实时配置实时生效。
上述实施例1中,对linux系统中的SSH服务进行伪装,达到无法暴力破解、双认证机制,保护linux系统的环境安全,对linux系统增加双重认证功能,只有本企业员工所属平台账户,且拥有相关权限的账户,才可登陆服务器,并且针对服务器行为进行实时记录,实时管控,从入口处进行安全防护。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (1)
1.一种linux系统Bash安全防护方法,其特征在于:包括以下步骤:
步骤一:linux系统登录防护
1)以docker容器的方式启动自研产品;
2)启动Bwins-client后,将自动进行对当前linux主机的提权即穿透,获取主机根目录下所有文件的操作权限;
3)注入Bwins-client产品容器预制的KEY秘钥文件到主机中,达到无密码自动登录主机权限;
4)程序自动筛选/etc/ssh/sshd_config系统配置文件中Port配置,获取linux系统中当前ssh远程端口号;
5)使用自研程序修改/etc/ssh/sshd_config linux系统配置文件中当前设置ssh端口号设置为安全高端口号;
6)通过自研程序逻辑,将自研产品功能逻辑接口伪装到原服务器ssh远程端口上,达到用户无感目的;
7)当用户以原SSH远程端口登录linux服务器时,Bwins-client将接受相应请求,并向Bwins-server发送用户登录校验请求;
8)Bwins-server接受请求后,将检索配置信息,并将是否有权限登录返回到Bwins-client中;
9)Bwins-client接收到数据信息后将进行数据解析,解析完成后用户即可登录服务器中;
步骤二:linux系统命令防护
1)Bwins-client组件将首先通过免密认证获取服务器网卡信息;
2)用户在使用登录模块登录linux系统后,Bwins-client将携带主机IP地址向Bwins-server获取该平台用户命令及服务器账户权限信息;
3)自研组件中Python-shell模块将会读取以上数据,应用到当前或新的linux登录中;
4)当用户输入linux Bash命令并提交后,Python-shell模块将首先进行逻辑字符匹配;
5)Python-shell将匹配后的关键字携带向Bwins-client中进行核验,若有关键字符串信息,则放行命令请求到linux服务器中,若无该关键字符串,则将拒绝并返回相关错误提示;
6)当Bwins-server在此模块部分配置发生变更后,将广播给相关linux系统的Bwins-client中;
7)Bwins-client接受广播后,将触发配置更新,达到实时配置实时生效。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011040036.4A CN112182563B (zh) | 2020-09-28 | 2020-09-28 | 一种linux系统Bash安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011040036.4A CN112182563B (zh) | 2020-09-28 | 2020-09-28 | 一种linux系统Bash安全防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112182563A true CN112182563A (zh) | 2021-01-05 |
CN112182563B CN112182563B (zh) | 2023-04-07 |
Family
ID=73944667
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011040036.4A Active CN112182563B (zh) | 2020-09-28 | 2020-09-28 | 一种linux系统Bash安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112182563B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017106726A1 (en) * | 2015-12-18 | 2017-06-22 | Amazon Technologies, Inc. | Software container registry service |
CN107634951A (zh) * | 2017-09-22 | 2018-01-26 | 携程旅游网络技术(上海)有限公司 | Docker容器安全管理方法、系统、设备及存储介质 |
CN108347450A (zh) * | 2017-01-23 | 2018-07-31 | 阿里巴巴集团控股有限公司 | 一种远程登录的方法及设备 |
CN111327578A (zh) * | 2018-12-17 | 2020-06-23 | 上海擎感智能科技有限公司 | 一种用户ssh登录认证方法 |
CN111538590A (zh) * | 2020-04-17 | 2020-08-14 | 姜海强 | 一种基于cs架构的分布式数据采集方法及系统 |
-
2020
- 2020-09-28 CN CN202011040036.4A patent/CN112182563B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017106726A1 (en) * | 2015-12-18 | 2017-06-22 | Amazon Technologies, Inc. | Software container registry service |
CN108347450A (zh) * | 2017-01-23 | 2018-07-31 | 阿里巴巴集团控股有限公司 | 一种远程登录的方法及设备 |
CN107634951A (zh) * | 2017-09-22 | 2018-01-26 | 携程旅游网络技术(上海)有限公司 | Docker容器安全管理方法、系统、设备及存储介质 |
CN111327578A (zh) * | 2018-12-17 | 2020-06-23 | 上海擎感智能科技有限公司 | 一种用户ssh登录认证方法 |
CN111538590A (zh) * | 2020-04-17 | 2020-08-14 | 姜海强 | 一种基于cs架构的分布式数据采集方法及系统 |
Non-Patent Citations (1)
Title |
---|
陈霄等: "基于Web浏览器的远程容器登录系统设计", 《网络新媒体技术》 * |
Also Published As
Publication number | Publication date |
---|---|
CN112182563B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9569605B1 (en) | Systems and methods for enabling biometric authentication options | |
CN106027462B (zh) | 一种操作请求控制方法和装置 | |
CN104364790B (zh) | 用于实施多因素认证的系统和方法 | |
CN109643356B (zh) | 阻止网络钓鱼或勒索软件攻击的方法和系统 | |
CN111414612B (zh) | 操作系统镜像的安全保护方法、装置及电子设备 | |
DE112005002955T5 (de) | Elektrisches Übertragungssystem in geheimer Umgebung zwischen virtuellen Disks und dazugehöriges elektrisches Übertragungsverfahren | |
CN111767583A (zh) | 基于区块链的企业内部信息安全保障方法及系统 | |
US10637864B2 (en) | Creation of fictitious identities to obfuscate hacking of internal networks | |
CN106815503A (zh) | 一种操作系统用户权限管理方法及系统 | |
CN107104958A (zh) | 管理私有云设备的方法、私有云和公有云设备及存储装置 | |
CN111092910A (zh) | 数据库安全访问方法、装置、设备、系统及可读存储介质 | |
US9432357B2 (en) | Computer network security management system and method | |
CN110719298A (zh) | 支持自定义更改特权账号密码的方法及装置 | |
CN116522197A (zh) | 基于安全管理的身份鉴权及访问控制系统 | |
CN108449324A (zh) | 一种网间数据的安全交换方法及系统 | |
CN114491582A (zh) | 认证方法、装置以及终端设备 | |
CN104735085A (zh) | 一种终端双因子安全登录防护方法 | |
CN112182563B (zh) | 一种linux系统Bash安全防护方法 | |
CN117118729A (zh) | 一种管理云服务器系统 | |
CN103873442B (zh) | 登录信息的处理方法和装置 | |
CN115017480A (zh) | 一种基于智能化控制的计算机安全防护管控系统 | |
CN113987455A (zh) | 一种基于bs架构的工控系统多因素认证登录方法及系统 | |
CN106027276A (zh) | 一种内管服务器 | |
CN111324872A (zh) | 一种登录记录及操作记录的重定向集中审计方法、系统 | |
CN108449367A (zh) | 管理用户登录安全性的方法、装置、电子设备及可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |