CN114050911A - 一种容器远程登录方法及系统 - Google Patents
一种容器远程登录方法及系统 Download PDFInfo
- Publication number
- CN114050911A CN114050911A CN202111135836.9A CN202111135836A CN114050911A CN 114050911 A CN114050911 A CN 114050911A CN 202111135836 A CN202111135836 A CN 202111135836A CN 114050911 A CN114050911 A CN 114050911A
- Authority
- CN
- China
- Prior art keywords
- container
- ssh
- user
- identity authentication
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Warehouses Or Storage Devices (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种容器远程登录方法,该方法通过建立容器内ssh服务器与ssh服务代理端间的反向隧道,ssh服务代理端转发用户的登录请求,实现容器的远程登录,通过反向隧道可以保证在不同的网络模式下运行,而且无需占用部署容器的物理机的物理端口,可以避免在同一物理上部署多个容器引起的相同端口占用、冲突问题,同时通过反向隧道建立的连接能够避免因为配置防火墙规则等原因造成的容器内部只能往外连接而无法从外部建立连接的问题;此外,该方法实现了对用户请求的双重身份认证、权限控制、事后审计,保障容器远程登录的安全性,实现安全可靠的容器远程登录。本发明还公开了一种容器远程登录系统,具有相应的技术效果。
Description
技术领域
本发明涉及安全保障技术领域,特别是涉及一种容器远程登录方法及系统。
背景技术
随着云平台技术的逐渐成熟,容器技术越来越受到人们的广泛关注。容器技术是基于操作系统内核的一种轻量级的虚拟机化技术,具有一致性、隔离性、可移植等特性,每个容器就是一个独立的虚拟环境或者应用,解决了开发和运维之间的矛盾,广泛应用于各大企业中。
当应用部署到容器后,为了排查故障、查看应用的运行状况等实际需求,开发或者运维人员需要登录到容器内进行容器操作。当前,常见的容器登录技术包括:采用容器提供的登录机制,比如docker提供的attach和exec,这种方式在用户登录至容器所在的物理机后就拥有了在该台物理机部署的所有容器的登录权限,因此对于容器来说存在较大的安全隐患;而除了容器提供的登录机制之外,也存在一些比如webshell、openssh服务器等外部登录机制,该些登录机制需要在容器中架设其他端口通道,这样不仅会导致容器自身安全性难以保障,还会存在端口占用以及网络模式的问题,还需要额外的端口和网络模式管理,导致登录管理复杂。
综上所述,如何在保障容器登录安全性的同时简化容器登录管理,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种容器远程登录方法及系统,可以在避免端口占用冲突、保证多网络模式兼容的情况下,实现可靠的容器远程登录。
为解决上述技术问题,本发明提供如下技术方案:
一种容器远程登录方法,包括:
ssh服务代理端接收代理登录请求,对所述代理登录请求进行代理用户身份认证;其中,所述代理登录请求为ssh客户端接收到用户发起的容器登录指令后根据用户信息生成;
若所述代理用户身份认证通过,获取用户请求登录的容器中搭建的ssh服务器对应的唯一性信息,作为服务器信息,并将所述服务器信息返回至所述ssh客户端;
接收到容器登录请求后,将所述容器登录请求通过所述ssh服务器建立的反向隧道转发至所述ssh服务器,以便所述ssh服务器在对所述容器登录请求进行容器用户身份认证通过后响应用户的容器操作;其中,所述容器登录请求为所述ssh客户端在代理认证通过后发起。
可选地,在所述将服务器信息返回至所述ssh客户端之前,还包括:
若所述代理用户身份认证通过,根据预连接的容器清单判断用户请求登录的容器是否在线;其中,所述容器清单根据预先向所述ssh服务代理端发起反向隧道连接的容器统计生成;
若存在,执行所述获取用户请求登录的容器中搭建的ssh服务器对应的唯一性信息的步骤。
可选地,在所述ssh服务代理端接收代理登录请求之前,还包括:
所述ssh服务代理端接收到ssh服务器发起的反向隧道连接请求后,获取所述ssh服务器对应的容器身份信息;
对所述容器身份信息进行合法性验证;
若所述合法性验证通过,接受所述反向隧道连接请求。
一种容器远程登录方法,包括:
ssh客户端接收到用户发起的容器登录指令后,获取用户信息生成代理登录请求;
将所述代理登录请求发送至ssh服务代理端进行代理用户身份认证;
若所述代理用户身份认证通过,接收服务器信息;其中,所述服务器信息为用户请求登录的容器中搭建的ssh服务器对应的唯一性信息;
根据所述服务器信息以及所述用户信息生成容器登录请求;
将所述容器登录请求发送至ssh服务代理端,以便所述ssh服务代理端将所述容器登录请求通过反向隧道转发至所述ssh服务器,所述ssh服务器在对容器用户身份凭证认证通过后响应用户的容器操作。
一种容器远程登录方法,包括:
ssh服务器通过反向隧道接收容器登录请求;其中,所述容器登录请求在ssh服务代理端对代理登录请求代理用户身份认证通过后由ssh客户端生成,经由所述ssh服务代理端转发得到;
对所述容器登录请求进行容器用户身份认证;
若所述容器用户身份认证通过,通过所述ssh服务代理端的转发接收并响应用户在所述ssh客户端发起的容器操作。
可选地,在所述通过ssh服务代理端的转发接收并响应用户在所述ssh客户端发起的容器操作之前,还包括:
若所述容器用户身份认证通过,获取用户权限配置信息;
根据所述用户权限配置信息进行容器操作权限验证;
若所述容器操作权限验证通过,执行所述通过ssh服务代理端的转发接收并响应用户在所述ssh客户端发起的容器操作的步骤。
可选地,在所述通过ssh服务代理端的转发接收并响应用户在所述ssh客户端发起的容器操作之后,还包括:
监控所述容器操作,生成容器操作记录;
对所述容器操作记录进行操作审计。
一种容器远程登录系统,包括:ssh客户端、与所述ssh客户端连接的ssh服务代理端、以及搭建于容器中,与所述ssh服务代理端通过反向隧道连接的ssh服务器;
其中,所述ssh客户端,用于接收用户发起的容器登录指令,获取用户信息生成代理登录请求,将所述代理登录请求发送至ssh服务代理端;接收到服务器信息后,根据所述服务器信息以及所述用户信息生成容器登录请求,将所述容器登录请求发送至ssh服务代理端;
所述ssh服务代理端,用于接收所述代理登录请求,对所述代理登录请求进行代理用户身份认证;若所述代理用户身份认证通过,获取用户请求登录的容器中搭建的ssh服务器对应的唯一性信息作为所述服务器信息,并将所述服务器信息返回至所述ssh客户端;接收到所述容器登录请求后,将所述容器登录请求通过所述ssh服务器建立的反向隧道转发至所述ssh服务器;
所述ssh服务器,用于接收所述容器登录请求,对所述容器登录请求进行容器用户身份认证;若所述容器用户身份认证通过,通过所述ssh服务代理端的转发接收并响应用户在所述ssh客户端发起的容器操作。
可选地,所述容器远程登录系统还包括:分别与所述ssh客户端、所述ssh服务代理端以及所述ssh服务器连接的统一身份认证中心;
则相应地,所述ssh客户端具体用于:接收用户发起的容器登录指令,获取所述容器登录指令中的用户信息,根据所述用户信息向所述统一身份认证中心发起代理登录身份凭证获取请求,接收所述统一身份认证中心返回的代理登录身份凭证,根据所述代理登录身份凭证生成代理登录请求;接收到服务器信息后,根据所述服务器信息以及所述用户信息向所述统一身份认证中心发起容器登录身份凭证获取请求,获取所述统一身份认证中心生成的容器登录身份凭证,根据所述容器登录身份凭证生成所述容器登录请求;
所述ssh服务代理端具体用于:接收所述代理登录请求,根据所述代理登录请求向所述统一身份认证中心发起代理用户身份认证请求,获取所述统一身份认证中心生成的代理用户身份认证结果;
所述ssh服务器具体用于:接收所述容器登录请求,根据所述容器登录请求向所述统一身份认证中心发起容器用户身份认证请求,获取所述统一身份认证中心生成的容器用户身份认证结果;
所述统一身份认证中心,用于根据所述用户信息生成代理登录身份凭证;根据所述服务器信息以及所述用户信息生成容器登录身份凭证;接收到所述代理用户身份认证请求后,根据所述代理用户身份认证请求进行代理用户身份认证请求,生成代理用户身份认证结果;接收到所述容器用户身份认证请求后,根据所述容器用户身份认证请求进行容器用户身份认证请求,生成容器用户身份认证结果。
可选地,所述容器远程登录系统还包括:与所述ssh服务器连接的统一审计中心;
则相应地,所述ssh服务器具体用于:通过所述ssh服务代理端的转发接收用户在所述ssh客户端发起的容器操作;统计并记录所述容器操作,得到用户操作记录;将所述用户操作记录以及所述用户信息发送至所述统一审计中心;获取所述统一审计中心生成的操作审计结果;
所述统一审计中心用于:接收所述用户操作记录以及所述用户信息;对所述用户操作记录以及所述用户信息进行用户操作审计,生成所述操作审计结果。
本发明实施例所提供的方法,设置了双重的身份认证,首先是对请求访问ssh服务代理端的身份进行认证,验证通过后允许用户通过ssh服务代理端进行请求的转发,可以保障ssh服务代理端登录的安全性;然后对请求访问容器的身份进行认证,验证通过后允许用户对于容器的访问,通过双重身份认证保证了容器登录中该身份在所有登录步骤中的有效性,从而保障容器登录安全性;而且该方法中对于身份认证后的用户发起的容器请求,通过容器内ssh服务器与ssh服务代理端间的建立的反向隧道发送到容器,通过反向隧道可以实现公网对内网的反向传输,从而可以保证在不同的网络模式下运行,而且反向隧道无需占用部署容器的物理机的物理端口,从而可以避免在同一物理上部署多个容器引起的相同端口占用、冲突问题,同时通过反向隧道建立的连接能够避免因为配置防火墙规则等原因造成的容器内部只能往外连接而无法从外部建立连接的问题,因此该方法可以在避免端口占用冲突、保证多网络模式兼容的情况下,实现可靠的容器远程登录。
相应地,本发明实施例还提供了与上述容器远程登录方法相对应的容器远程登录系统,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种容器远程登录方法的信令图;
图2为本发明实施例中一种容器远程登录系统的结构示意图;
图3为本发明实施例中一种统一权限管理中心的结构示意图;
图4为本发明实施例中一种统一审计中心的结构示意图;
图5为本发明实施例中一种系统连接示意图;
图6为本发明实施例中一种ssh服务代理主节点启动流程示意图;
图7为本发明实施例中一种ssh服务代理从节点启动流程示意图;
图8为本发明实施例中一种容器ssh服务器启动流程示意图;
图9为本发明实施例中一种用户登录容器响应流程示意图。
具体实施方式
本发明的核心是提供一种容器远程登录方法,可以在避免端口占用冲突、保证多网络模式兼容的情况下,实现可靠的容器远程登录。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例中提出了一种容器远程登录方法,该方法中主要涉及三端:ssh服务代理端、ssh客户端以及ssh服务器。
其中,ssh客户端为用户侧登录操作的平台,主要用于与用户交互,比如接收用户请求,获取用户信息等。
ssh服务器为本方法中搭建在容器中的容器服务平台,每个容器中都需要搭建ssh服务器,以便于通过ssh服务器实现每个容器的登录管理。
ssh服务代理端为本方法中建立的用于在ssh客户端与ssh服务器之间实现ssh服务代理的平台,通过ssh服务代理端将ssh客户端接收到的用户指令转发到容器中的ssh服务器,从而实现容器操作。
基于ssh服务代理端、ssh客户端以及ssh服务器实现的容器远程登录方法请参考图1,图1为本发明实施例中一种容器远程登录方法的信令图,该方法主要包括以下步骤:
S110、ssh客户端接收用户发起的容器登录指令,获取用户信息生成代理登录请求;
用户登录至ssh客户端发起容器登录请求,ssh客户端接收该请求,获取用户信息。其中,用户信息指用户登录至ssh客户端时输入的登录信息,比如用户名以及密码。该用户信息指向发起容器登录指令的用户,因此后续的用户身份认证都是基于该信息进行。
根据用户信息生成代理登录请求,代理登录请求指请求登录至ssh服务代理端的请求。代理登录请求中包含用户身份,用户身份可以为ssh客户端接收到的用户信息,比如用户名和密码;也可以为根据用户信息生成的身份凭证,在此不做限定。由于所有用户请求都需要经由ssh服务代理端转发至容器侧ssh服务器,为保障ssh服务代理端的安全性,所有容器登录指令都需要先登录至ssh服务代理端,经过ssh服务代理端进行身份验证通过后,ssh服务代理端再执行其命令转发的功能。因此,在ssh客户端接收到用户发起的容器登录指令后,ssh客户端首先向ssh服务代理端发起代理登录请求,请求ssh服务代理端对该用户进行登录ssh服务代理端的身份认证,保障ssh服务代理端的安全性。
S111、ssh客户端将代理登录请求发送至ssh服务代理端;
请求发送的过程可以参照现有相关技术的实现,在此不再赘述。
S120、ssh服务代理端接收代理登录请求,对代理登录请求进行代理用户身份认证;
ssh服务代理端可以接收来自任意ssh客户端的代理登录请求,从而可以实现多端容器登录的统一响应。
由于ssh客户端与容器直连时,容器侧物理机(指安装容器的物理机)隐藏于防火墙后,容器属于内网设备,而ssh客户端属于公网设备,容器侧物理机只允许物理机或者容器内部连接到外网,不允许外网连接到内网,因此如果直接将ssh客户端的请求发送至容器侧需要额外进行内外网网络适配,实现方式以及管理复杂;而且一个外部设备需要占用一个端口与设备中的容器连接,在多外部设备连接多容器时会导致容器所属设备端口占用多,影响其他设备业务,也会引起端口占用管理复杂的问题。为解决这一问题,本方法中引入ssh服务代理端。ssh服务代理端与容器侧的ssh服务器(指安装于容器的ssh服务器)通过反向隧道连接,反向隧道为容器侧的ssh服务器主动向ssh服务代理端建立,反向隧道建立后,来自不同客户端的用户请求都可以经由ssh服务代理端转发至ssh服务器。而由ssh服务器发起建立的反向隧道连接不会单一占用容器侧物理机的端口,因此不会产生传统直连中的端口占用的问题;而且反向隧道由ssh服务器主动向ssh服务代理端建立,相当于在内网向公网发起反向隧道,隧道建立的过程无需额外的网络配置,而且在后续的数据传输中只需调用建立的反向隧道,也无需经过网络的配置,因此该方法中的容器登录无需对网络进行额外的配置,实现和维护方式简单。
需要说明的是,为保证每个容器侧的ssh服务器都可以与ssh服务代理端实现反向通信,每个容器侧的ssh服务器都需要向ssh服务代理端发起反向隧道的连接,即ssh服务代理端拥有与每个容器内ssh服务器的反向隧道连接,才能向ssh服务器转发登录请求。
ssh服务代理端接收到代理登录请求后,提取代理登录请求中携带的身份信息,根据身份信息对代理登录请求进行代理用户身份认证,代理用户身份认证的具体认证方式本方法中不做限定,可以由ssh服务代理端自身进行认证,也可以由其他身份认证设备进行认证,ssh服务代理端获取其他身份认证设备生成的认证结果,其中采用的认证手段也不做限定,ssh服务代理端根据身份信息对代理登录请求进行代理用户身份认证的过程可以根据实际身份认证的需要进行设定,在此不再赘述。
S121、若代理用户身份认证通过,ssh服务代理端获取用户请求登录的容器中搭建的ssh服务器对应的唯一性信息,作为服务器信息;
若代理用户身份认证通过,指示ssh服务代理端允许该用户的操作,则可以继续执行下一步骤,将用户请求登录的容器中搭建的ssh服务器对应的唯一性信息返回给ssh客户端,以便ssh客户端根据该服务器信息生成容器登录请求。其中,用户请求登录的容器中搭建的ssh服务器对应的唯一性信息可以为ssh服务器代码、名称等,本方法中对此不做限定。
而若代理用户身份认证未通过,本方法中对于该种情况下的处理方式不做限定,可以直接向ssh客户端返回身份认证未通过的提示信息,并结束当前流程。
S122、ssh服务代理端将服务器信息返回至ssh客户端;
信息发送的过程可以参照现有相关技术的实现,在此不再赘述。
S112、ssh客户端接收到服务器信息后,根据服务器信息以及用户信息生成容器登录请求;
ssh客户端接收到服务器信息后,指示ssh服务代理端身份认证通过,则可以调用ssh服务代理端实现容器登录请求的转发。因此,ssh客户端根据接收到的服务器信息以及用户信息生成容器登录请求,容器登录请求中包含请求登录的服务器信息以及用户身份,该用户身份与代理登录请求的用户身份类似,可以为用户信息,比如用户名和密码;也可以为根据用户信息生成的身份凭证,在此不做限定。
S113、ssh客户端将容器登录请求发送至ssh服务代理端;
请求发送的过程可以参照现有相关技术的实现,在此不再赘述
S123、ssh服务代理端接收到容器登录请求后,将容器登录请求通过ssh服务器建立的反向隧道转发至ssh服务器;
ssh服务代理端接收到容器登录请求后,由于容器登录请求发起用户已认证通过,因此可以直接将容器登录请求通过ssh服务器建立的反向隧道转发至对应的ssh服务器。其中,通过容器ssh服务器与ssh服务代理端之间的反向隧道进行请求转发,可以避免在同一物理上部署多个容器引起的相同端口占用、冲突问题,同时能够允许用户登录位于防火墙后面的容器,而无需开放任何的TCP端口,提升安全性。
S130、ssh服务器接收容器登录请求,对容器登录请求进行容器用户身份认证;
ssh服务器通过反向隧道接收容器登录请求,为保障容器即ssh服务器的安全性,ssh服务器也需要对其进行用户身份认证,认证其是否具有合法的容器登录身份。
如果只有ssh服务代理端的身份认证的话,那么容器就要完全信任ssh服务代理端的认证,但是这种情况下ssh服务代理端可以使用任何人的身份登录到容器,导致容器的安全性受到威胁;如果只有容器的认证的话,那么任何人都可以访问ssh服务代理端,导致ssh服务代理端的安全性受到威胁。本方法中采用双重身份认证机制,包括ssh服务代理端的代理用户身份认证以及ssh服务器的容器用户身份认证,以此来保证分别登录至ssh服务代理端和ssh服务器的用户均为合法用户,保障容器登录请求响应全流程的合法性。
ssh服务器对容器登录请求进行容器用户身份认证的过程本方法中也不做限定,可以参照S120中ssh服务代理端对代理登录请求进行代理用户身份认证的方式,在此不再赘述。
S131、若容器用户身份认证通过,ssh服务器通过ssh服务代理端的转发接收并响应用户在ssh客户端发起的容器操作。
若容器用户身份认证通过,指示对于ssh服务器来说当前用户为合法用户,ssh服务器可以接收并响应用户的容器操作,需要说明的是,容器操作为用户在ssh客户端进行,也需要经由ssh服务代理端转发到ssh服务器之后容器才能响应,而为了方便用户在ssh客户端发起容器操作,容器用户身份认证通过之后,ssh客户端可以返回一个容器的虚拟终端连接,用户可以在这个虚拟终端发起容器操作。
若容器用户身份认证未通过,本方法中对于该种情况下的处理方式不做限定,可以直接通过ssh服务代理端向ssh客户端返回身份认证未通过的提示信息,并结束当前流程。
基于上述介绍,本发明实施例所提供的技术方案,设置了双重的身份认证,首先是对请求访问ssh服务代理端的身份进行认证,验证通过后允许用户通过ssh服务代理端进行请求的转发,可以保障ssh服务代理端登录的安全性;然后对请求访问容器的身份进行认证,验证通过后允许用户对于容器的访问,通过双重身份认证保证了容器登录中该身份在所有登录步骤中的有效性,从而保障容器登录安全性;而且该方法中对于身份认证后的用户发起的容器请求,通过容器内ssh服务器与ssh服务代理端间的建立的反向隧道发送到容器,通过反向隧道可以实现公网对内网的反向传输,从而可以保证在不同的网络模式下运行,而且反向隧道无需占用部署容器的物理机的物理端口,从而可以避免在同一物理上部署多个容器引起的相同端口占用、冲突问题,同时通过反向隧道建立的连接能够避免因为配置防火墙规则等原因造成的容器内部只能往外连接而无法从外部建立连接的问题,因此该方法可以在避免端口占用冲突、保证多网络模式兼容的情况下,实现可靠的容器远程登录。
需要说明的是,基于上述实施例,本发明实施例还提供了相应的改进方案。在优选/改进实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在本文的优选/改进实施例中不再一一赘述。
在上述实施例的基础上,为提升容器的连接成功率,在连接至容器侧ssh服务器之前,即将服务器信息返回至ssh客户端之前,可以进一步进行请求容器在线判断,具体地,若代理用户身份认证通过,根据预连接的容器清单判断用户请求登录的容器是否在线;其中,容器清单可以根据预先向ssh服务代理端发起反向隧道连接的容器统计生成;若存在,执行获取用户请求登录的容器中搭建的ssh服务器对应的唯一性信息的步骤;而若不存在,可以结束当前流程,通过ssh客户端输出请求容器不在线的提示信息,在此不做限定。
ssh服务代理端根据用户请求的容器,判断容器是否在线,如果不在线,可以提示容器不在线,如果存在,再返回当前建立反向隧道连接的容器ssh服务器信息。
而在验证容器在线之后,若容器在线,可以继续执行服务器信息返回以及之后的步骤,对于后续步骤的执行本实施例中不再赘述,可以参照上述实施例的介绍。
本实施例中通过容器的在线检测,可以降低容器连接失败率,避免无用功的浪费。
基于上述实施例,为进一步保障容器登录的安全性,避免用户登录至非法的容器造成用户损失,在ssh服务代理端接收代理登录请求之前,可以进一步执行以下步骤:
(1)ssh服务代理端接收到ssh服务器发起的反向隧道连接请求后,获取ssh服务器对应的容器身份信息;
(2)对容器身份信息进行合法性验证;
(3)若合法性验证通过,接受反向隧道连接请求。
反向隧道为容器侧的ssh服务器主动向ssh服务代理端建立,在反向隧道建立之前,ssh服务代理端接收到容器发起的反向隧道连接请求后,对发起反向隧道连接请求的ssh服务器对应安装的容器进行合法性验证,具体可以验证容器的名称、功能、唯一性信息等,在此不做限定。仅在验证通过后,建立ssh服务器与ssh服务代理端间的反向隧道,若验证未通过,则不建立反向隧道,以避免非法容器的非法操作,比如非法窃取用户信息等。
本实施例中通过在反向隧道建立前进行容器身份的合法性验证,验证通过后再建立反向隧道连接,可以保证容器登录后用户操作以及用户信息的安全性。
另外,上述实施例中在对用户身份进行双重验证后,容器侧ssh服务器就可以接受并响应用户的容器操作,而为了进一步保障容器操作过程的安全性,避免容器信息的泄露或者容器的非法篡改,在通过ssh服务代理端的转发接收并响应用户在ssh客户端发起的容器操作之前,可以预先进行容器操作权限的验证,具体地,若容器用户身份认证通过,获取用户权限配置信息;根据用户权限配置信息进行容器操作权限验证;若容器操作权限验证通过,指示当前用户具有操作权限,则可以执行通过ssh服务代理端的转发接收并响应用户在ssh客户端发起的容器操作的步骤。而若容器操作权限验证未通过,允许用户登录至容器,但由于其没有操作权限,则可以不执行响应容器操作的步骤。
本实施例中通过在响应用户操作前进行权限的验证,可以避免用户的越权容器操作,保障容器运行的安全性。
进一步地,为了对用户的容器操作进行持续的监控,保障容器安全,在通过ssh服务代理端的转发接收并响应用户在ssh客户端发起的容器操作之后,可以继续执行:监控容器操作,生成容器操作记录;对容器操作记录进行操作审计。
在用户的容器操作中,实时监控用户的容器操作,比如登录、登出、操作命令输入、输出等,对容器的用户操作情况进行记录,在操作后对容器操作记录进行操作审计。
本实施例提供的方法可以实现容器操作过程的严格记录,以及操作过程后的安全审计、追踪,保证容器用户操作的全方位监管,可以满足容器的安全管理需求。
相应于上面的方法实施例,本发明实施例还提供了一种容器远程登录系统,下文描述的容器远程登录系统与上文描述的容器远程登录方法可相互对应参照。
参见图2所示,该系统主要包括以下部分:ssh客户端100、与ssh客户端连接的ssh服务代理端200、以及搭建于容器中,与ssh服务代理端通过反向隧道连接的ssh服务器300;
其中,ssh客户端100,用于接收用户发起的容器登录指令,获取用户信息生成代理登录请求,将代理登录请求发送至ssh服务代理端;接收到服务器信息后,根据服务器信息以及用户信息生成容器登录请求,将容器登录请求发送至ssh服务代理端;
ssh服务代理端200主要用于接收代理登录请求,对代理登录请求进行代理用户身份认证;若代理用户身份认证通过,获取用户请求登录的容器中搭建的ssh服务器对应的唯一性信息作为服务器信息,并将服务器信息返回至ssh客户端;接收到容器登录请求后,将容器登录请求通过ssh服务器建立的反向隧道转发至ssh服务器;
ssh服务代理端200的建立形式本实施例中不做限定,可以以集群形式建立,也可以以微服务等形式建立,本实施例中主要以ssh服务代理端为集群形式(ssh服务代理集群,ssh-server-proxy集群)为例进行介绍,其他建立形式均可参照本实施例的介绍,在此不再赘述。为了满足服务的稳定性,可以对ssh服务代理集群进行分布式部署,ssh服务代理集群中包括ssh服务代理主节点(ssh-server-proxy master节点)以及ssh服务代理从节点(ssh-server-proxy slave节点),其中ssh服务代理主节点可以主要负责生成ssh服务代理从节点加入的令牌(token),ssh服务代理从节点获取认证token后,连接到ssh服务代理主节点进行通信,相互同步所有容器中ssh服务器的运行状态,ssh服务代理主节点和ssh服务代理从节点共同构成ssh服务代理集群,集群内的各个节点(包括master和slave)节点开启反向隧道监听端口,等待容器中ssh服务器的连接。容器ssh服务器与ssh服务代理集群的连接可以为tcp长连接,集群内的每个节点提供保活机制,开启定时任务,发送保活探测报文,维持tcp连接。除上述核心功能外,ssh服务代理集群还可以提供必要的审计功能,包括用户登录节点审计、ssh服务器节点连接审计、ssh服务器运行状态、用户登录状态等,在此不做限定。
ssh服务器300主要用于接收容器登录请求,对容器登录请求进行容器用户身份认证;若容器用户身份认证通过,通过ssh服务代理端的转发接收并响应用户在ssh客户端发起的容器操作。
ssh服务器300搭建于容器中,每个容器都需要搭建ssh服务器300才能实现本发明提出的容器远程登录方法。
在本发明的一种具体实施方式中,在ssh客户端、ssh服务代理端、以及ssh服务器之外,容器远程登录系统中可以进一步设置分别与ssh客户端、ssh服务代理端以及ssh服务器连接的统一身份认证中心;
通过建立统一身份认证中心,可以克服分散用户管理与认证的缺陷,提供高效、安全、可靠、可扩展的身份认证服务,同时也可以避免分别在ssh服务代理端以及ssh服务器等需要进行身份认证的设备中分别搭建身份认证模块所带来的资源浪费的问题。通过设置统一的身份认证中心,可以实现系统中统一的身份认证服务,同时也方便对身份认证方法进行维护以及扩展,可以降低维护成本,提升维护效率。
则相应地,在ssh客户端、ssh服务代理端、以及ssh服务器之外设置统一身份认证中心之后,ssh客户端、ssh服务代理端、以及ssh服务器的身份信息获取以及身份认证如下:
ssh客户端具体用于:接收用户发起的容器登录指令,获取容器登录指令中的用户信息,根据用户信息向统一身份认证中心发起代理登录身份凭证获取请求,接收统一身份认证中心返回的代理登录身份凭证,根据代理登录身份凭证生成代理登录请求;接收到服务器信息后,根据服务器信息以及用户信息向统一身份认证中心发起容器登录身份凭证获取请求,获取统一身份认证中心生成的容器登录身份凭证,根据容器登录身份凭证生成容器登录请求;
ssh服务代理端具体用于:接收代理登录请求,根据代理登录请求向统一身份认证中心发起代理用户身份认证请求,获取统一身份认证中心生成的代理用户身份认证结果;
ssh服务器具体用于:接收容器登录请求,根据容器登录请求向统一身份认证中心发起容器用户身份认证请求,获取统一身份认证中心生成的容器用户身份认证结果;
统一身份认证中心,用于根据用户信息生成代理登录身份凭证;根据服务器信息以及用户信息生成容器登录身份凭证;接收到代理用户身份认证请求后,根据代理用户身份认证请求进行代理用户身份认证请求,生成代理用户身份认证结果;接收到容器用户身份认证请求后,根据容器用户身份认证请求进行容器用户身份认证请求,生成容器用户身份认证结果。
除了身份认证之外,ssh客户端、ssh服务代理端以及ssh服务器的其他业务功能实现过程可以参照上述方法实施例的介绍,在此不再赘述。
在本发明的一种具体实施方式中,在ssh客户端、ssh服务代理端、以及ssh服务器之外,容器远程登录系统中可以进一步设置与ssh服务器连接的统一权限管理中心。
通过提供统一权限管理中心以支持容器对用户的权限申请、审批,提升权限安全性,同时可以克服各容器分散权限管理的缺陷,提供高效、安全、可靠、可扩展的权限认证服务。
具体地,统一权限管理中心可以用于:接收权限验证请求,根据权限验证请求确定用户信息以及容器操作,根据用户信息对容器操作进行权限验证,生成权限验证结果。
则相应地,ssh服务器具体用于:通过ssh服务代理端的转发接收用户在ssh客户端发起的容器操作;根据容器操作以及用户身份向统一权限管理中心发起权限验证请求;获取权限验证结果,若权限验证结果显示权限验证通过,响应容器操作;
在设置统一权限管理中心之后,ssh服务器中就无需设置权限管理单元,在容器用户身份认证通过后就可以调用统一权限管理中心进行用户权限的验证,获取验证结果,若验证通过,接收并响应用户的容器操作。
对于统一权限管理中心的建立形式,本实施例中不做限定,可以根据实际使用需要进行相应组织模块的设置。
可选地,统一权限管理中心具体可以包括:权限申请模块,权限审批功能模块、主动授权功能模块,权限配置功能模块、权限清理功能模块,如图3所示。
其中,权限申请模块可以提供统一的权限申请功能,支持永久权限申请、临时权限申请(满足临时登录容器的场景需求),同时支持容器内权限细粒度的权限控制,如:Root权限(具备管理员权限)、Work权限(具备有限的资源访问权限)、其他权限(具备有限的资源访问权限,可按照实际情况灵活提供);
权限审批功能模块,支持对用户权限申请的审批,可以根据不同的维度提供不同的审批节点配置,保证权限申请合理合规。
上述权限申请模块和权限审批功能模块可以共同提供权限申请/审批功能,用户请求登录某个容器前,需要进行申请/审批,只有申请/审批通过后,才能分配给用户登录容器的权限,申请/审批功能的目的是规范用户使用权限的流程、防止用户权限过大,登录容器的用户只能操作容器内有限的资源,保证容器登录的安全性。
权限配置模块主要可以提供权限配置下发功能,提升容器ssh服务器判断用户权限的性能。
权限清理模块主要可以提供权限清理功能,当发现用户权限不合理时,对用户的权限进行清理。
上述功能模块构成统一权限管理中心,可以保证容器登录的权限安全。
本实施例中仅以上述统一权限管理中心的建立形式为例进行介绍,其他组成形式均可参照本实施例的介绍,在此不再赘述。
在本发明的一种具体实施方式中,在ssh客户端、ssh服务代理端、以及ssh服务器之外,容器远程登录系统中可以进一步设置与ssh服务器连接的统一审计中心。
通过统一审计中心对容器的用户登录/登出、用户操作命令输入/输出进行记录和审计,做到容器使用的全流程追踪审计,保证容器使用的安全性。
具体地,统一审计中心可以用于:接收用户操作记录以及用户信息;对用户操作记录以及用户信息进行用户操作审计,生成操作审计结果。
则相应地,ssh服务器具体用于:通过ssh服务代理端的转发接收用户在ssh客户端发起的容器操作;统计并记录容器操作,得到用户操作记录;将用户操作记录以及用户信息发送至统一审计中心;获取统一审计中心生成的操作审计结果;
在设置统一审计中心之后,ssh服务器中就无需设置审计单元,在接收并响应用户的容器操作后,可以直接调用统一审计中心进行持续的追踪审计。
对于统一审计中心的建立形式,本实施例中不做限定,可以根据实际使用需要进行相应组织模块的设置。
可选地,统一审计中心具体可以包括权限审计功能模块,用户登录审计功能模块、用户操作命令审计功能模块、容器状态审计功能模块,如图4所示。
其中,权限审计功能模块主要用于支持对用户权限来源的审计,支持用户权限大小的审计,识别潜在权限安全风险,当发现用户权限不合理时及时对用户的权限进行回收和清理,保障用户权限的合理合规。
用户登录审计功能模块主要用于支持对用户登录容器的多维度审计,如用户登录的时间是否合理、用户登录的地点是否合理、用户登录时间、用户登出时间、访问频次等。
用户操作命令审计功能模块主要支持对用户登录容器后操作命令的审计,每一条用户的操作命令输入对应每一条操作命令输出,识别潜在风险命令,做到事后可追溯。
容器状态审计功能模块主要用于支持对容器活动记录的审计,包括容器的上线、下线时间、容器的访问情况等等。
上述功能模块共同构成统一审计中心,各模块相互配合,可以识别潜在的安全风险,如权限过大、越权操作、异常访问等等,做到事后可追踪,保障容器登录的安全。
本实施例中仅以上述统一审计中心的建立形式为例进行介绍,其他组成形式均可参照本实施例的介绍,在此不再赘述。
为加深对于上述实施例中提出的容器远程登录系统中各部分工作的理解,本实施例中对容器远程登录系统的启动以及运行过程进行介绍。
需要说明的是,本实施例中以容器远程登录系统中ssh服务代理端为分布式的ssh服务代理集群(包括ssh服务代理主节点以及ssh服务代理从节点)为例进行介绍,如图5所示为本实施例提出的一种系统连接示意图,其他ssh服务代理端的组织形式均可参照本实施例的介绍,在此不再赘述。
1、启动ssh服务代理主节点,启动流程如图6所示,主要包括如下步骤:
(1)ssh服务代理主节点启动身份认证服务,等待ssh客户端请求的身份凭据,转发到统一身份认证中心进行身份认证;
(2)开启ssh服务代理集群连接令牌(join-token)生成服务,主要目的是:
(2.1)生成用于ssh服务代理从节点连接集群的连接令牌,ssh服务代理从节点只有拿到从节点连接令牌(slave-join-token)后才允许加入集群,提升安全性;
(2.2)生成用于容器ssh服务器连接与集群内ssh服务代理集群所有节点建立连接的连接令牌,容器ssh服务器只有拿到节点连接令牌(node-join-token)后才能与ssh服务代理集群建立反向隧道,提升安全性。
(3)开启ssh服务代理集群认证服务,等待ssh服务代理从节点的加入,ssh服务代理从节点请求加入集群时,ssh服务代理集群会验证从节点连接令牌的有效性,只有当前集群生成的从节点连接令牌才能加入集群;
(4)开启反向隧道监听服务,等待容器ssh服务器的反向连接,当容器ssh服务器请求建立反向隧道时,ssh服务代理集群会验证节点连接令牌的有效性,只有当前集群生成的节点连接令牌才能与ssh服务代理集群建立反向隧道;
(5)启动ssh客户端代理监听端口,等待ssh客户端的连接并做转发;
(6)启动定时任务,定期发送保活探测报文,维持容器ssh服务器的长连接,保证稳定性。
2、启动ssh服务代理从节点:流程如图7所示,主要包括如下步骤:
(1)请求ssh服务代理主节点生成的集群连接认证从节点连接令牌;
(2)使用从节点连接令牌连接到ssh服务代理主节点;
(3)轮询集群内的ssh服务代理集群节点,启动定时任务,定期同步集群各ssh服务代理的数据,包括容器ssh服务器连接信息,连接令牌生成信息等等;
(4)ssh服务代理主节点启动身份认证服务,等待ssh客户端请求的身份凭据,转发到统一身份认证中心进行身份认证;
(5)开启反向隧道监听服务,等待容器ssh服务器的反向连接,当容器ssh服务器请求建立反向隧道时,ssh服务代理集群会验证node-join-token的有效性,只有当前集群生成的node-join-token才能与ssh服务代理集群建立反向隧道;
(6)启动ssh客户端代理监听端口,等待ssh客户端的连接并做转发;
(7)启动定时任务,定期发送保活探测报文,维持容器ssh服务器的长连接,保证稳定性。
3、上述步骤1,步骤2,完成ssh服务代理集群的启动过程,ssh服务代理集群启动后,等待容器ssh服务器和客户端ssh客户端的连接。
4、启动容器ssh服务器,流程如图8所示,主要包括:
(1)请求ssh服务代理集群服务获取加入ssh服务代理集群的令牌node-join-token;
(2)轮询ssh服务代理集群的所有节点,携带node-join-token连接ssh服务代理集群节点的反向隧道监听端口,建立反向隧道;
(3)容器ssh服务器启动身份认证服务,等待ssh客户端请求的身份凭据,转发到统一身份认证中心进行身份认证;
(4)开启定时任务,定期请求统一权限管理中心,缓存权限数据到本地;
(5)完成与ssh服务代理集群反向隧道等待ssh客户端的连接;
(6)启动与ssh服务代理集群内各节点的保活服务,维持长连接,保证稳定性。
5、用户登录容器:流程如图9所示,主要步骤如下:
(1)用户输入登录容器密令,使用ssh客户端登录容器;
(2)ssh客户端请求统一身份认证中心,先获取登录ssh服务代理集群的身份凭证并登录到ssh服务代理集群;
(3)ssh服务代理集群收到请求后,请求统一身份认证中心完成ssh客户端的身份认证,若果认证失败,提示用户认证失败;
(4)ssh服务代理集群根据用户请求的容器,判断容器是否在线,如果不在线,提示容器不在线,如果存在,返回ssh客户端当前建立反向隧道连接的容器ssh服务器信息。
(5)ssh客户端请求统一身份认证中心,获取登录容器ssh服务器的身份凭证并发送请求到ssh服务代理集群。
(6)ssh服务代理集群通过反向隧道转发请求到容器ssh服务器。
(7)容器ssh服务器收到请求后,请求统一身份认证中心完成ssh客户端的身份认证,若果认证失败,提示用户认证失败。
(8)容器ssh服务器根据从统一权限管理中心获取的权限配置信息,判断用户是否有权限,如果没有权限则提示用户无权限登录。
(9)容器ssh服务器根据当前登录的用户启动审计功能,实时监控用户的登录、登出、操作命令输入、输出并上传到统一审计中心。
(10)建立和用户的虚拟终端连接,或执行命令、或传送文件,完成用户的登录。
本实施例中仅以上述实现流程为例进行介绍,其他实现方式均可参照本实施例的介绍,在此不再赘述。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
Claims (10)
1.一种容器远程登录方法,其特征在于,包括:
ssh服务代理端接收代理登录请求,对所述代理登录请求进行代理用户身份认证;其中,所述代理登录请求为ssh客户端接收到用户发起的容器登录指令后根据用户信息生成;
若所述代理用户身份认证通过,获取用户请求登录的容器中搭建的ssh服务器对应的唯一性信息,作为服务器信息,并将所述服务器信息返回至所述ssh客户端;
接收到容器登录请求后,将所述容器登录请求通过所述ssh服务器建立的反向隧道转发至所述ssh服务器,以便所述ssh服务器在对所述容器登录请求进行容器用户身份认证通过后响应用户的容器操作;其中,所述容器登录请求为所述ssh客户端在代理认证通过后发起。
2.根据权利要求1所述的容器远程登录方法,其特征在于,在所述将服务器信息返回至所述ssh客户端之前,还包括:
若所述代理用户身份认证通过,根据预连接的容器清单判断用户请求登录的容器是否在线;其中,所述容器清单根据预先向所述ssh服务代理端发起反向隧道连接的容器统计生成;
若存在,执行所述获取用户请求登录的容器中搭建的ssh服务器对应的唯一性信息的步骤。
3.根据权利要求1所述的容器远程登录方法,其特征在于,在所述ssh服务代理端接收代理登录请求之前,还包括:
所述ssh服务代理端接收到ssh服务器发起的反向隧道连接请求后,获取所述ssh服务器对应的容器身份信息;
对所述容器身份信息进行合法性验证;
若所述合法性验证通过,接受所述反向隧道连接请求。
4.一种容器远程登录方法,其特征在于,包括:
ssh客户端接收到用户发起的容器登录指令后,获取用户信息生成代理登录请求;
将所述代理登录请求发送至ssh服务代理端进行代理用户身份认证;
若所述代理用户身份认证通过,接收服务器信息;其中,所述服务器信息为用户请求登录的容器中搭建的ssh服务器对应的唯一性信息;
根据所述服务器信息以及所述用户信息生成容器登录请求;
将所述容器登录请求发送至ssh服务代理端,以便所述ssh服务代理端将所述容器登录请求通过反向隧道转发至所述ssh服务器,所述ssh服务器在对容器用户身份凭证认证通过后响应用户的容器操作。
5.一种容器远程登录方法,其特征在于,包括:
ssh服务器通过反向隧道接收容器登录请求;其中,所述容器登录请求在ssh服务代理端对代理登录请求代理用户身份认证通过后由ssh客户端生成,经由所述ssh服务代理端转发得到;
对所述容器登录请求进行容器用户身份认证;
若所述容器用户身份认证通过,通过所述ssh服务代理端的转发接收并响应用户在所述ssh客户端发起的容器操作。
6.根据权利要求5所述的容器远程登录方法,其特征在于,在所述通过ssh服务代理端的转发接收并响应用户在所述ssh客户端发起的容器操作之前,还包括:
若所述容器用户身份认证通过,获取用户权限配置信息;
根据所述用户权限配置信息进行容器操作权限验证;
若所述容器操作权限验证通过,执行所述通过ssh服务代理端的转发接收并响应用户在所述ssh客户端发起的容器操作的步骤。
7.根据权利要求5所述的容器远程登录方法,其特征在于,在所述通过ssh服务代理端的转发接收并响应用户在所述ssh客户端发起的容器操作之后,还包括:
监控所述容器操作,生成容器操作记录;
对所述容器操作记录进行操作审计。
8.一种容器远程登录系统,其特征在于,包括:ssh客户端、与所述ssh客户端连接的ssh服务代理端、以及搭建于容器中,与所述ssh服务代理端通过反向隧道连接的ssh服务器;
其中,所述ssh客户端,用于接收用户发起的容器登录指令,获取用户信息生成代理登录请求,将所述代理登录请求发送至ssh服务代理端;接收到服务器信息后,根据所述服务器信息以及所述用户信息生成容器登录请求,将所述容器登录请求发送至ssh服务代理端;
所述ssh服务代理端,用于接收所述代理登录请求,对所述代理登录请求进行代理用户身份认证;若所述代理用户身份认证通过,获取用户请求登录的容器中搭建的ssh服务器对应的唯一性信息作为所述服务器信息,并将所述服务器信息返回至所述ssh客户端;接收到所述容器登录请求后,将所述容器登录请求通过所述ssh服务器建立的反向隧道转发至所述ssh服务器;
所述ssh服务器,用于接收所述容器登录请求,对所述容器登录请求进行容器用户身份认证;若所述容器用户身份认证通过,通过所述ssh服务代理端的转发接收并响应用户在所述ssh客户端发起的容器操作。
9.根据权利要求8所述的容器远程登录系统,其特征在于,还包括:分别与所述ssh客户端、所述ssh服务代理端以及所述ssh服务器连接的统一身份认证中心;
则相应地,所述ssh客户端具体用于:接收用户发起的容器登录指令,获取所述容器登录指令中的用户信息,根据所述用户信息向所述统一身份认证中心发起代理登录身份凭证获取请求,接收所述统一身份认证中心返回的代理登录身份凭证,根据所述代理登录身份凭证生成代理登录请求;接收到服务器信息后,根据所述服务器信息以及所述用户信息向所述统一身份认证中心发起容器登录身份凭证获取请求,获取所述统一身份认证中心生成的容器登录身份凭证,根据所述容器登录身份凭证生成所述容器登录请求;
所述ssh服务代理端具体用于:接收所述代理登录请求,根据所述代理登录请求向所述统一身份认证中心发起代理用户身份认证请求,获取所述统一身份认证中心生成的代理用户身份认证结果;
所述ssh服务器具体用于:接收所述容器登录请求,根据所述容器登录请求向所述统一身份认证中心发起容器用户身份认证请求,获取所述统一身份认证中心生成的容器用户身份认证结果;
所述统一身份认证中心,用于根据所述用户信息生成代理登录身份凭证;根据所述服务器信息以及所述用户信息生成容器登录身份凭证;接收到所述代理用户身份认证请求后,根据所述代理用户身份认证请求进行代理用户身份认证请求,生成代理用户身份认证结果;接收到所述容器用户身份认证请求后,根据所述容器用户身份认证请求进行容器用户身份认证请求,生成容器用户身份认证结果。
10.根据权利要求8所述的容器远程登录系统,其特征在于,还包括:与所述ssh服务器连接的统一审计中心;
则相应地,所述ssh服务器具体用于:通过所述ssh服务代理端的转发接收用户在所述ssh客户端发起的容器操作;统计并记录所述容器操作,得到用户操作记录;将所述用户操作记录以及所述用户信息发送至所述统一审计中心;获取所述统一审计中心生成的操作审计结果;
所述统一审计中心用于:接收所述用户操作记录以及所述用户信息;对所述用户操作记录以及所述用户信息进行用户操作审计,生成所述操作审计结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111135836.9A CN114050911B (zh) | 2021-09-27 | 2021-09-27 | 一种容器远程登录方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111135836.9A CN114050911B (zh) | 2021-09-27 | 2021-09-27 | 一种容器远程登录方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114050911A true CN114050911A (zh) | 2022-02-15 |
CN114050911B CN114050911B (zh) | 2023-05-16 |
Family
ID=80204855
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111135836.9A Active CN114050911B (zh) | 2021-09-27 | 2021-09-27 | 一种容器远程登录方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114050911B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102624737A (zh) * | 2012-03-27 | 2012-08-01 | 武汉理工大学 | 单点登录系统中针对Form身份鉴别的单点登录集成方法 |
CN107480509A (zh) * | 2017-09-22 | 2017-12-15 | 携程旅游网络技术(上海)有限公司 | 运维安全审计系统登录容器方法、系统、设备及存储介质 |
CN107634951A (zh) * | 2017-09-22 | 2018-01-26 | 携程旅游网络技术(上海)有限公司 | Docker容器安全管理方法、系统、设备及存储介质 |
CN107948201A (zh) * | 2017-12-29 | 2018-04-20 | 平安科技(深圳)有限公司 | Docker镜像仓库的权限认证方法和系统 |
CN107948203A (zh) * | 2017-12-29 | 2018-04-20 | 平安科技(深圳)有限公司 | 一种容器登录方法、应用服务器、系统及存储介质 |
CN108347450A (zh) * | 2017-01-23 | 2018-07-31 | 阿里巴巴集团控股有限公司 | 一种远程登录的方法及设备 |
CN109768965A (zh) * | 2018-12-14 | 2019-05-17 | 广州华多网络科技有限公司 | 一种服务器的登录方法、设备及存储装置 |
CN110022294A (zh) * | 2019-02-27 | 2019-07-16 | 广州虎牙信息科技有限公司 | 一种代理服务器、Docker系统及其权限管理方法、存储介质 |
CN110493352A (zh) * | 2019-08-30 | 2019-11-22 | 南京联创互联网技术有限公司 | 一种基于web中间件的统一网关服务系统及其服务方法 |
US10523778B1 (en) * | 2018-09-12 | 2019-12-31 | Cohesity, Inc. | Utilizing virtualization containers to access a remote secondary storage system |
CN111444495A (zh) * | 2020-05-20 | 2020-07-24 | 江苏易安联网络技术有限公司 | 一种基于容器实现单点登录的系统及方法 |
EP3720093A1 (en) * | 2018-06-11 | 2020-10-07 | Huawei Technologies Co. Ltd. | Resource acquisition method and apparatus, resource distribution method and apparatus, and resource downloading method and apparatus, and device and storage medium |
CN113037761A (zh) * | 2021-03-17 | 2021-06-25 | 北京金山云网络技术有限公司 | 登录请求的验证方法及装置、存储介质、电子设备 |
-
2021
- 2021-09-27 CN CN202111135836.9A patent/CN114050911B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102624737A (zh) * | 2012-03-27 | 2012-08-01 | 武汉理工大学 | 单点登录系统中针对Form身份鉴别的单点登录集成方法 |
CN108347450A (zh) * | 2017-01-23 | 2018-07-31 | 阿里巴巴集团控股有限公司 | 一种远程登录的方法及设备 |
CN107480509A (zh) * | 2017-09-22 | 2017-12-15 | 携程旅游网络技术(上海)有限公司 | 运维安全审计系统登录容器方法、系统、设备及存储介质 |
CN107634951A (zh) * | 2017-09-22 | 2018-01-26 | 携程旅游网络技术(上海)有限公司 | Docker容器安全管理方法、系统、设备及存储介质 |
CN107948201A (zh) * | 2017-12-29 | 2018-04-20 | 平安科技(深圳)有限公司 | Docker镜像仓库的权限认证方法和系统 |
CN107948203A (zh) * | 2017-12-29 | 2018-04-20 | 平安科技(深圳)有限公司 | 一种容器登录方法、应用服务器、系统及存储介质 |
EP3720093A1 (en) * | 2018-06-11 | 2020-10-07 | Huawei Technologies Co. Ltd. | Resource acquisition method and apparatus, resource distribution method and apparatus, and resource downloading method and apparatus, and device and storage medium |
US10523778B1 (en) * | 2018-09-12 | 2019-12-31 | Cohesity, Inc. | Utilizing virtualization containers to access a remote secondary storage system |
CN109768965A (zh) * | 2018-12-14 | 2019-05-17 | 广州华多网络科技有限公司 | 一种服务器的登录方法、设备及存储装置 |
CN110022294A (zh) * | 2019-02-27 | 2019-07-16 | 广州虎牙信息科技有限公司 | 一种代理服务器、Docker系统及其权限管理方法、存储介质 |
CN110493352A (zh) * | 2019-08-30 | 2019-11-22 | 南京联创互联网技术有限公司 | 一种基于web中间件的统一网关服务系统及其服务方法 |
CN111444495A (zh) * | 2020-05-20 | 2020-07-24 | 江苏易安联网络技术有限公司 | 一种基于容器实现单点登录的系统及方法 |
CN113037761A (zh) * | 2021-03-17 | 2021-06-25 | 北京金山云网络技术有限公司 | 登录请求的验证方法及装置、存储介质、电子设备 |
Non-Patent Citations (2)
Title |
---|
匿名: "How to Troubleshoot SSH Authentication Issues", 《HTTPS://DOCS.DIGITALOCEAN.COM》 * |
续岩,阎保平,季永志,吴开超: "统一登录框架设计及其与Resin容器的融合实现", 《计算机应用研究》 * |
Also Published As
Publication number | Publication date |
---|---|
CN114050911B (zh) | 2023-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4709214B2 (ja) | データネットワークのノードに対するアウトオブバンド・アクセスを統合化し安全化し自動化するシステム及び方法 | |
CN109120620B (zh) | 一种服务器管理方法及系统 | |
US20040268118A1 (en) | System and method for automatic negotiation of a security protocol | |
US20110055367A1 (en) | Serial port forwarding over secure shell for secure remote management of networked devices | |
US20110055899A1 (en) | Secure remote management of network devices with local processing and secure shell for remote distribution of information | |
CN104754582A (zh) | 维护byod安全的客户端及方法 | |
CN111526061B (zh) | 网络靶场实战演练场景的监控流量调度系统与方法 | |
US20060117100A1 (en) | Communication device and communication system capable of facilitating operations | |
CN109819053A (zh) | 应用于混合云环境下的跳板机系统及其控制方法 | |
CN112104476B (zh) | 一种广域网网络组网自动智能配置的方法和系统 | |
WO2019237683A1 (zh) | 一种协议报文以及虚拟客户终端设备的管理方法 | |
CN110138779A (zh) | 一种基于多协议反向代理的Hadoop平台安全管控方法 | |
CN100484027C (zh) | 一种应用简单网络管理协议的网络管理系统和方法 | |
CN108347449B (zh) | 一种管理远程登录的方法及设备 | |
US7424736B2 (en) | Method for establishing directed circuits between parties with limited mutual trust | |
CN112751870B (zh) | 一种基于代理转发的nfs安全传输装置及方法 | |
CN114050911B (zh) | 一种容器远程登录方法及系统 | |
CN108881484A (zh) | 一种检测终端是否能访问互联网的方法 | |
CN109379383B (zh) | 一种虚拟私有网络vpn客户端及实现方法 | |
CN101827090B (zh) | 外部用户登录备份系统 | |
CN113709157B (zh) | 基于云路由和安全控制中心的电力安全研发网络结构 | |
CN114900372B (zh) | 基于零信任安全哨兵体系的资源防护系统 | |
CN114785761B (zh) | 物联网操作系统中一种先进的k8s集群互相通信方法 | |
Yi | The Network Security Analysis System Design Based on B/S Structure: An Approach Research | |
CN117240852A (zh) | 一种实现云物理机带外安全稳定使用远程登录的方法与装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |