CN116644405A - 一种linux系统权限检查方法、装置、电子设备及存储介质 - Google Patents
一种linux系统权限检查方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116644405A CN116644405A CN202310479637.2A CN202310479637A CN116644405A CN 116644405 A CN116644405 A CN 116644405A CN 202310479637 A CN202310479637 A CN 202310479637A CN 116644405 A CN116644405 A CN 116644405A
- Authority
- CN
- China
- Prior art keywords
- management
- authority
- configuration
- modifying
- checking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 238000003860 storage Methods 0.000 title claims abstract description 17
- 238000012795 verification Methods 0.000 claims abstract description 31
- 238000007726 management method Methods 0.000 claims description 136
- 238000012550 audit Methods 0.000 claims description 33
- 238000012986 modification Methods 0.000 claims description 25
- 230000004048 modification Effects 0.000 claims description 25
- 238000005192 partition Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012217 deletion Methods 0.000 claims description 9
- 230000037430 deletion Effects 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 3
- 238000009434 installation Methods 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 abstract description 8
- 230000008569 process Effects 0.000 abstract description 8
- 238000007689 inspection Methods 0.000 abstract description 6
- 230000006978 adaptation Effects 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012356 Product development Methods 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种linux系统权限检查方法、装置、电子设备及存储介质,属于信息系统运维技术领域,方法包括:对linux系统权限的类别和各类别对应的命令进行分类,获取权限检查内容;根据所述权限检查内容,采用命令执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果;其中,所述命令执行验证法针对各项权限检查内容,均部署至兼容性linux系统。该方法能够规避常规配置和参数检查方法中存在的检查粒度粗、检查范围不完整、检查对象不准确以及配置文件名称或配置文件内容不同的问题,简化权限检查适配过程。
Description
技术领域
本发明涉及一种linux系统权限检查方法、装置、电子设备及存储介质,属于信息系统运维技术领域。
背景技术
随着企业信息化程度的日益加深,信息系统运维愈发复杂化,运维安全已成为保障信息系统安全可靠运行的重要因素。在信息系统运维过程中运维账号权限管控尤为关键,落实账号权限最小化要求已成为满足运维安全的基础,如何全面、准确的检查账号所拥有的权限是运维账号有效权限管控的一大难点。
linux操作系统提供了多种账号权限管控机制,能够支撑实现账号权限最小化配置,实现了自主访问控制、强制访问控制、能力分权模型等权限验证机制,支持细颗粒度的权限分配功能,能实现业务用户账号权限的最小化分配。
但尚无比较完善的账号权限设置是否合理的监督验证技术与工具,并未针对特定管理需求提供实际账号权限分配情况的自动化合规校验功能。虽然部分安全厂商已在账号权限管理领域开展了技术研究和产品开发,但仍存在账号权限采集不完整性、颗粒度粗等问题,无法支撑全面准确的权限校验。
发明内容
本发明的目的在于提供一种linux系统权限检查方法、装置、电子设备及存储介质,能够规避常规配置和参数检查方法中存在的检查粒度粗、检查范围不完整、检查对象不准确以及配置文件名称或配置文件内容不同的问题,简化权限检查适配过程。
为达到上述目的,本发明提供如下技术方案:
第一方面,本发明提供一种linux系统权限检查方法,包括:
对linux系统权限的类别和各类别对应的命令进行分类,获取权限检查内容;
根据所述权限检查内容,采用命令执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果;
其中,所述命令执行验证法针对各项权限检查内容,均部署至兼容性linux系统。
结合第一方面,进一步的,所述linux系统权限的类别包括系统管理、网络管理、审计管理和安全管理;其中,所述系统管理包括系统操作、系统文件管理、内核模块管理、系统时间管理、硬盘分区管理、系统内核管理、文件系统管理和系统应用管理;所述网络管理包括网络设备管理、系统路由管理、arp管理、ip防火墙管理和网络配置文件管理;所述审计管理包括审计服务管理和审计日志管理;所述安全管理包括用户管理、用户口令管理、用户组管理和系统安全配置。
结合第一方面,进一步的,所述系统操作对应的命令包括系统关闭、系统重启和修改系统运行级别;所述系统文件管理对应的命令包括检查文件系统、创建文件系统、修改系统内核配置信息配置文件、修改at服务黑白名单配置、修改crontab定时任务配置、修改csh解释器配置、修改系统服务的缺省值配置文件、修改NFS服务配置文件、修改系统字体配置文件、修改开机挂载磁盘配置、修改gnome桌面操作环境默认字体配置、修改系统可插拔脚本配置、修改系统默认级别、修改默认键盘映射、配置系统显示的欢迎信息、修改动态库清单配置文件、修改系统时区配置文件、修改用户账号限制配置文件、修改系统日志管理程序logrotate配置文件、系统逻辑卷管理(LVM)配置、man命令配置文件、修改RAID设备管理工具mdadm配置文件、修改默认文件打开程序配置文件、修改系统内核默认加载模块配置、查看系统挂载分区的实施情况配置、修改mysql配置文件、修改ntp自动对时服务配置文件、修改pkgadd命令默认参数、修改pkgmk命令默认参数、修改系统默认环境变量信息配置文件、修改系统日志配置文件;所述内核模块管理对应的命令包括内核模块挂载和内核模块卸载;所述系统时间管理对应的命令包括设置系统时间、获取网络时间、操作网络时间服务和设置硬件时钟;所述硬盘分区管理对应的命令包括创建硬盘分区、删除硬盘分区和修改硬盘分区;所述系统内核管理对应的命令包括在运行时修改内核参数;所述文件系统管理对应的命令包括文件系统挂载和文件系统卸载;所述系统应用管理对应的命令包括系统应用安装、系统应用卸载;所述网络设备管理对应的命令包括网络配置修改和网络设备启停;所述系统路由管理对应的命令包括系统弄路由添加和系统路由删除;所述arp管理对应的命令包括arp配置添加和arp配置删除;所述ip防火墙管理对应的命令包括防火墙功能启停和防火墙配置修改;所述网络配置文件管理对应的命令包括主机名解析配置、主机名与IP对应关系配置和远程访问控制配置;所述审计服务管理对应的命令包括审计服务启停和审计服务配置变更;所述审计日志管理对应的命令包括查看最近登录用户的login信息、查看当前系统调用名称对应的序号、查询审计守护进程的日志、生成审计守护进程的日志的总结报告和控制内核审计的行为;所述用户管理对应的命令包括任意用户添加、任意用户删除、任意用户权限修改、修改用户所用解释器和修改用户finger信息;所述用户口令管理对应的命令包括修改用户口令和用户口令到期设置;所述用户组管理对应的命令包括用户组添加、用户组删除和用户组修改;所述系统安全配置对应的命令包括强制访问控制模块配置、强制行为控制模块配置和强制能力控制模块配置。
结合第一方面,进一步的,根据所述权限检查内容,采用命令执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果包括:
获取linux系统账户的基本信息;
根据所述linux系统账户的基本信息,判断linux系统账户列表中所有账户的可登录性,并登录到允许登录的账户;
根据所述权限检查内容,逐项检查当前登录账户的权限,记载当前登录账户的权限检查结果,并退出当前登录账户,继续登录到其他允许登录的账户,直至所有可登录账户全部检查完毕,输出linux系统账户权限检查结果。
结合第一方面,进一步的,所述linux系统账户的基本信息包括主机名、系统型号版本、网络地址和账户列表。
结合第一方面,进一步的,该linux系统权限检查方法还包括:
根据所述权限检查内容,采用命令变通执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果。
结合第一方面,进一步的,所述命令变通执行验证法包括:在进行系统关机验证时,采用执行“shutdown-k”命令代替执行“shutdown”命令,获取系统关机验证结果。
第二方面,本发明提供一种linux系统权限检查装置,包括:
权限检查内容获取模块:用于对linux系统权限的类别和各类别对应的命令进行分类,获取权限检查内容;
权限检查模块:用于根据所述权限检查内容,采用命令执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果;
其中,所述命令执行验证法针对各项权限检查内容,均部署至兼容性linux系统。
第三方面,本发明提供一种电子设备,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据第一方面任一项所述方法的步骤。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面任一项所述方法的步骤。
与现有技术相比,本发明的有益效果是:
本发明所提供的linux系统权限检查方法,能够规避常规配置和参数检查方法中存在的检查粒度粗、检查范围不完整、检查对象不准确以及因系统版本差异导致的配置文件名称或配置文件内容不同的问题,极大的简化了权限检查程序对不同系统的适配过程。同时,为避免命令执行对系统运行造成的影响,采用命令变通执行方式进行权限检测验证,在进行系统关机时,通常通过执行“shutdown”进行系统关闭,而在权限检查过程中,仅仅需要判断账户是否真的能成功执行该命令,而并不希望该命令真的被执行,于是采用执行“shutdown-k”(显示关机警告,而不产生关机行为)代替“shutdown”,实现了该权限的客观检查。
附图说明
图1是本发明实施例提供的linux系统权限检查方法流程图。
具体实施方式
下面结合具体实施方式对本专利的技术方案作进一步详细地说明。
下面详细描述本专利的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利,而不能理解为对本专利的限制。在不冲突的情况下,本申请实施例以及实施例中的技术特征可以相互组合。
实施例一:
图1是本发明实施例一提供的一种linux系统权限检查方法流程图,本流程图仅仅示出了本实施例方法的逻辑顺序,在互不冲突的前提下,在本发明其它可能的实施例中,可以以不同于图1所示的顺序完成所示出或描述的步骤。
本实施例提供的linux系统权限检查方法可应用于终端,可以由linux系统权限检查装置来执行,该装置可以由软件和/或硬件的方式实现,该装置可以集成在终端中,例如:任一具备通信功能的平板电脑或计算机设备。参见图1,本实施例的方法具体包括如下步骤:
步骤一:对linux系统权限的类别和各类别对应的命令进行分类,获取权限检查内容;
linux系统权限的类别包括系统管理、网络管理、审计管理和安全管理;其中,系统管理包括系统操作、系统文件管理、内核模块管理、系统时间管理、硬盘分区管理、系统内核管理、文件系统管理和系统应用管理;网络管理包括网络设备管理、系统路由管理、arp管理、ip防火墙管理和网络配置文件管理;审计管理包括审计服务管理和审计日志管理;安全管理包括用户管理、用户口令管理、用户组管理和系统安全配置。
系统操作对应的命令包括系统关闭、系统重启和修改系统运行级别;系统文件管理对应的命令包括检查文件系统、创建文件系统、修改系统内核配置信息配置文件、修改at服务黑白名单配置、修改crontab定时任务配置、修改csh解释器配置、修改系统服务的缺省值配置文件、修改NFS服务配置文件、修改系统字体配置文件、修改开机挂载磁盘配置、修改gnome桌面操作环境默认字体配置、修改系统可插拔脚本配置、修改系统默认级别、修改默认键盘映射、配置系统显示的欢迎信息、修改动态库清单配置文件、修改系统时区配置文件、修改用户账号限制配置文件、修改系统日志管理程序logrotate配置文件、系统逻辑卷管理(LVM)配置、man命令配置文件、修改RAID设备管理工具mdadm配置文件、修改默认文件打开程序配置文件、修改系统内核默认加载模块配置、查看系统挂载分区的实施情况配置、修改mysql配置文件、修改ntp自动对时服务配置文件、修改pkgadd命令默认参数、修改pkgmk命令默认参数、修改系统默认环境变量信息配置文件、修改系统日志配置文件;内核模块管理对应的命令包括内核模块挂载和内核模块卸载;系统时间管理对应的命令包括设置系统时间、获取网络时间、操作网络时间服务和设置硬件时钟;硬盘分区管理对应的命令包括创建硬盘分区、删除硬盘分区和修改硬盘分区;系统内核管理对应的命令包括在运行时修改内核参数;文件系统管理对应的命令包括文件系统挂载和文件系统卸载;系统应用管理对应的命令包括系统应用安装、系统应用卸载;网络设备管理对应的命令包括网络配置修改和网络设备启停;系统路由管理对应的命令包括系统弄路由添加和系统路由删除;arp管理对应的命令包括arp配置添加和arp配置删除;ip防火墙管理对应的命令包括防火墙功能启停和防火墙配置修改;网络配置文件管理对应的命令包括主机名解析配置、主机名与IP对应关系配置和远程访问控制配置;审计服务管理对应的命令包括审计服务启停和审计服务配置变更;审计日志管理对应的命令包括查看最近登录用户的login信息、查看当前系统调用名称对应的序号、查询审计守护进程的日志、生成审计守护进程的日志的总结报告和控制内核审计的行为;用户管理对应的命令包括任意用户添加、任意用户删除、任意用户权限修改、修改用户所用解释器和修改用户finger信息;用户口令管理对应的命令包括修改用户口令和用户口令到期设置;用户组管理对应的命令包括用户组添加、用户组删除和用户组修改;系统安全配置对应的命令包括强制访问控制模块配置、强制行为控制模块配置和强制能力控制模块配置。
步骤二:根据权限检查内容,采用命令执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果;
根据权限检查内容,采用命令执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果包括如下步骤:
步骤A:获取linux系统账户的基本信息;
步骤B:根据linux系统账户的基本信息,判断linux系统账户列表中所有账户的可登录性,并登录到允许登录的账户;
步骤C:根据权限检查内容,逐项检查当前登录账户的权限,记载当前登录账户的权限检查结果,并退出当前登录账户,继续登录到其他允许登录的账户,直至所有可登录账户全部检查完毕,输出linux系统账户权限检查结果。
其中,linux系统账户的基本信息包括主机名、系统型号版本、网络地址和账户列表。
本实施例中,考虑到不同linux操作系统的差异性,命令执行验证法针对各项权限检查内容,均部署至兼容性linux系统。并且,部署条件简单,不会对系统运行造成影响,能够根据系统硬件资源使用情况合理调整自身运行资源占用情况。
例如:可兼容Redhat、Ubuntu、Centos、Debian等主流linux操作系统和凝思、麒麟等国产linux操作系统。
本实施例中,根据权限检查内容,还能够采用命令变通执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果。
例如:在进行系统关机时,通常通过执行“shutdown”命令进行系统关闭,而在权限检查过程中,仅仅需要判断账户是否真的能成功执行该命令,而并不希望该命令真的被执行,于是采用执行“shutdown-k”命令(显示关机警告,而不产生关机行为)代替执行“shutdown”命令,以实现该权限的客观检查。
本实施例提供的linux系统权限检查方法,能够规避常规配置和参数检查方法中存在的检查粒度粗、检查范围不完整、检查对象不准确以及因系统版本差异导致的配置文件名称或配置文件内容不同的问题,极大的简化了权限检查程序对不同系统的适配过程。同时,为避免命令执行对系统运行造成的影响,采用命令变通执行方式进行权限检测验证,能够实现权限的客观检查。考虑到不同linux操作系统的差异性,针对每项检查内容,均部署至兼容性linux系统,且部署条件简单,不会对系统运行造成影响,能够根据系统硬件资源使用情况合理调整自身运行资源占用情况。
实施例二:
本实施例提供一种linux系统权限检查装置,包括:
权限检查内容获取模块:用于对linux系统权限的类别和各类别对应的命令进行分类,获取权限检查内容;
权限检查模块:用于根据权限检查内容,采用命令执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果;
其中,命令执行验证法针对各项权限检查内容,均部署至兼容性linux系统。
本发明实施例所提供的linux系统权限检查装置可执行本发明任意实施例所提供的linux系统权限检查方法,具备执行方法相应的功能模块和有益效果。
实施例三:
本实施例提供一种电子设备,包括处理器及存储介质;
存储介质用于存储指令;
处理器用于根据指令进行操作以执行实施例一中方法的步骤。
实施例四:
本实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现实施例一中方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种linux系统权限检查方法,其特征在于,包括:
对linux系统权限的类别和各类别对应的命令进行分类,获取权限检查内容;
根据所述权限检查内容,采用命令执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果;
其中,所述命令执行验证法针对各项权限检查内容,均部署至兼容性linux系统。
2.根据权利要求1所述的linux系统权限检查方法,其特征在于,所述linux系统权限的类别包括系统管理、网络管理、审计管理和安全管理;其中,所述系统管理包括系统操作、系统文件管理、内核模块管理、系统时间管理、硬盘分区管理、系统内核管理、文件系统管理和系统应用管理;所述网络管理包括网络设备管理、系统路由管理、arp管理、ip防火墙管理和网络配置文件管理;所述审计管理包括审计服务管理和审计日志管理;所述安全管理包括用户管理、用户口令管理、用户组管理和系统安全配置。
3.根据权利要求2所述的linux系统权限检查方法,其特征在于,所述系统操作对应的命令包括系统关闭、系统重启和修改系统运行级别;所述系统文件管理对应的命令包括检查文件系统、创建文件系统、修改系统内核配置信息配置文件、修改at服务黑白名单配置、修改crontab定时任务配置、修改csh解释器配置、修改系统服务的缺省值配置文件、修改NFS服务配置文件、修改系统字体配置文件、修改开机挂载磁盘配置、修改gnome桌面操作环境默认字体配置、修改系统可插拔脚本配置、修改系统默认级别、修改默认键盘映射、配置系统显示的欢迎信息、修改动态库清单配置文件、修改系统时区配置文件、修改用户账号限制配置文件、修改系统日志管理程序logrotate配置文件、系统逻辑卷管理(LVM)配置、man命令配置文件、修改RAID设备管理工具mdadm配置文件、修改默认文件打开程序配置文件、修改系统内核默认加载模块配置、查看系统挂载分区的实施情况配置、修改mysql配置文件、修改ntp自动对时服务配置文件、修改pkgadd命令默认参数、修改pkgmk命令默认参数、修改系统默认环境变量信息配置文件、修改系统日志配置文件;所述内核模块管理对应的命令包括内核模块挂载和内核模块卸载;所述系统时间管理对应的命令包括设置系统时间、获取网络时间、操作网络时间服务和设置硬件时钟;所述硬盘分区管理对应的命令包括创建硬盘分区、删除硬盘分区和修改硬盘分区;所述系统内核管理对应的命令包括在运行时修改内核参数;所述文件系统管理对应的命令包括文件系统挂载和文件系统卸载;所述系统应用管理对应的命令包括系统应用安装、系统应用卸载;所述网络设备管理对应的命令包括网络配置修改和网络设备启停;所述系统路由管理对应的命令包括系统弄路由添加和系统路由删除;所述arp管理对应的命令包括arp配置添加和arp配置删除;所述ip防火墙管理对应的命令包括防火墙功能启停和防火墙配置修改;所述网络配置文件管理对应的命令包括主机名解析配置、主机名与IP对应关系配置和远程访问控制配置;所述审计服务管理对应的命令包括审计服务启停和审计服务配置变更;所述审计日志管理对应的命令包括查看最近登录用户的login信息、查看当前系统调用名称对应的序号、查询审计守护进程的日志、生成审计守护进程的日志的总结报告和控制内核审计的行为;所述用户管理对应的命令包括任意用户添加、任意用户删除、任意用户权限修改、修改用户所用解释器和修改用户finger信息;所述用户口令管理对应的命令包括修改用户口令和用户口令到期设置;所述用户组管理对应的命令包括用户组添加、用户组删除和用户组修改;所述系统安全配置对应的命令包括强制访问控制模块配置、强制行为控制模块配置和强制能力控制模块配置。
4.根据权利要求1所述的linux系统权限检查方法,其特征在于,根据所述权限检查内容,采用命令执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果包括:
获取linux系统账户的基本信息;
根据所述linux系统账户的基本信息,判断linux系统账户列表中所有账户的可登录性,并登录到允许登录的账户;
根据所述权限检查内容,逐项检查当前登录账户的权限,记载当前登录账户的权限检查结果,并退出当前登录账户,继续登录到其他允许登录的账户,直至所有可登录账户全部检查完毕,输出linux系统账户权限检查结果。
5.根据权利要求4所述的linux系统权限检查方法,其特征在于,所述linux系统账户的基本信息包括主机名、系统型号版本、网络地址和账户列表。
6.根据权利要求1所述的linux系统权限检查方法,其特征在于,该linux系统权限检查方法还包括:
根据所述权限检查内容,采用命令变通执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果。
7.根据权利要求6所述的linux系统权限检查方法,其特征在于,所述命令变通执行验证法包括:在进行系统关机验证时,采用执行“shutdown-k”命令代替执行“shutdown”命令,获取系统关机验证结果。
8.一种linux系统权限检查装置,其特征在于,包括:
权限检查内容获取模块:用于对linux系统权限的类别和各类别对应的命令进行分类,获取权限检查内容;
权限检查模块:用于根据所述权限检查内容,采用命令执行验证法,对linux系统账户的权限进行检查,获取linux系统账户权限检查结果;
其中,所述命令执行验证法针对各项权限检查内容,均部署至兼容性linux系统。
9.一种电子设备,其特征在于,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求1~7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1~7任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310479637.2A CN116644405A (zh) | 2023-04-28 | 2023-04-28 | 一种linux系统权限检查方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310479637.2A CN116644405A (zh) | 2023-04-28 | 2023-04-28 | 一种linux系统权限检查方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116644405A true CN116644405A (zh) | 2023-08-25 |
Family
ID=87623778
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310479637.2A Pending CN116644405A (zh) | 2023-04-28 | 2023-04-28 | 一种linux系统权限检查方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116644405A (zh) |
-
2023
- 2023-04-28 CN CN202310479637.2A patent/CN116644405A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8166341B2 (en) | Systems and methods for testing results of configuration management activity | |
CN110597531B (zh) | 分布式的模块升级方法、装置及存储介质 | |
CN109597626B (zh) | 一种组件部署方法和装置 | |
CN103714287A (zh) | 一种获取临时Root权限的方法及装置 | |
CN111191226A (zh) | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 | |
US20230418623A1 (en) | Application remodeling method, system, cluster, medium, and program product | |
CN111258591A (zh) | 程序部署任务执行方法、装置、计算机设备和存储介质 | |
Dunagan et al. | Towards a self-managing software patching process using black-box persistent-state manifests | |
US20080172579A1 (en) | Test Device For Verifying A Batch Processing | |
CN114021176B (zh) | 一种SELinux动态授权的方法及系统 | |
CN115016820A (zh) | 一种应用程序更新方法、装置、设备及存储介质 | |
CN112947907B (zh) | 一种创建代码分支的方法 | |
EP3321808A1 (en) | Verification system and verification method | |
CN117234660A (zh) | 基于Docker容器技术的微服务架构下的软件部署及运维的方法 | |
CN112559352A (zh) | 接口测试的方法、装置、设备及存储介质 | |
CN111752838A (zh) | 问题排查方法、装置、服务器及存储介质 | |
CN116644405A (zh) | 一种linux系统权限检查方法、装置、电子设备及存储介质 | |
US12061899B2 (en) | Infrastructure as code (IaC) pre-deployment analysis via a machine-learning model | |
CN115617668A (zh) | 一种兼容性测试方法、装置及设备 | |
US11656977B2 (en) | Automated code checking | |
CN115525545A (zh) | 一种基于Docker的自动化测试方法、系统、设备及介质 | |
CN112579113A (zh) | 应用程序的升级方法、装置、存储介质及终端 | |
CN111338678A (zh) | 一种存储系统升级校验的方法和设备 | |
CN116149707B (zh) | 分布式系统的升级风险检测和规避方法及装置 | |
CN117688551A (zh) | 启动路径白名单更新方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |