CN117134956A - 容器网站防护部署方法、装置、设备及存储介质 - Google Patents
容器网站防护部署方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117134956A CN117134956A CN202311056064.9A CN202311056064A CN117134956A CN 117134956 A CN117134956 A CN 117134956A CN 202311056064 A CN202311056064 A CN 202311056064A CN 117134956 A CN117134956 A CN 117134956A
- Authority
- CN
- China
- Prior art keywords
- target
- policy
- container
- server
- process object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 290
- 230000008569 process Effects 0.000 claims abstract description 230
- 230000006399 behavior Effects 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 9
- 238000012423 maintenance Methods 0.000 description 35
- 239000003795 chemical substances by application Substances 0.000 description 31
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 13
- 230000009471 action Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000036316 preload Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/303—Terminal profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种容器网站防护部署方法、装置、设备及存储介质,涉及计算机技术领域。其方法包括:集群服务器加载预设的目标进程镜像文件,启动目标进程镜像文件对应目标容器,并生成目标容器的目标进程对象,目标容器配置有目标启动配置文件,目标启动配置文件包括策略服务器的互联网协议端口和至少一个目标策略编码;目标进程对象根据互联网协议端口向策略服务器发送连接请求,连接请求包括至少一个目标策略编码;策略服务器响应于连接请求,将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象,策略服务器包括至少一个策略编码及各策略编码对应的防护策略;目标进程对象将至少一个目标防护策略部署于集群服务器的内核中。
Description
技术领域
本申请属于计算机技术领域,尤其涉及一种容器网站防护部署方法、装置、设备及存储介质。
背景技术
云原生环境下,网站主要运行在基于kubernetes(简称K8S)管理的集群主机上,以容器的形式存在。通过K8S统一编排,以对容器的启停进行管理。当容器死亡或资源不足,K8S还能够重新拉起一个新容器来接替原有网站容器的工作。由于网站的开放性与互动性,网页被篡改可能造成恶意内容发布以及病毒传播等危害,因此,需要对网站进行安全防护。但K8S对现有的Docker容器版网页防篡改软件不友好,若出现容器死亡后,K8S重新拉起新的容器,而新容器ID却是随机生成的,导致策略服务器无法根据容器ID下发策略,运维人员需要定期关注容器运行状态,以对重启容器进行策略管理,这样不仅给运维人员增加很多工作量,同时也容易出现运维人员对容器误操作,可能造成不可挽回的损失。
发明内容
本申请实施例提供一种容器网站防护部署方法、装置、设备及存储介质,能够运维人员无需关注容器运行状态,也不用对重启容器进行策略管理,不仅减少运维人员工作量,还降低误操作,以实现对网站的安全防护。
第一方面,本申请实施例提供一种容器网站防护部署方法,应用于集群服务器,所述集群服务器与策略服务器连接,所述方法包括:
所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象,所述目标容器配置有目标启动配置文件,所述目标启动配置文件包括所述策略服务器的互联网协议端口和至少一个目标策略编码;
所述目标进程对象根据所述互联网协议端口向所述策略服务器发送连接请求,所述连接请求包括所述至少一个目标策略编码,以使所述策略服务器响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,所述策略服务器包括至少一个策略编码及各所述策略编码对应的防护策略;
所述目标进程对象接收所述策略服务器发送的至少一个所述目标防护策略;
所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中。
第二方面,本申请实施例提供一种容器网站防护部署方法,应用于策略服务器,所述策略服务器与集群服务器连接,所述方法包括:
接收所述集群服务器中目标容器的目标进程对象发送的连接请求,其中,所述连接请求包括至少一个目标策略编码,其中,所述连接请求为所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象,所述目标容器配置有目标启动配置文件,所述目标启动配置文件包括所述策略服务器的互联网协议端口和所述至少一个目标策略编码;所述目标进程对象根据所述互联网协议端口向所述策略服务器发送的请求;
响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,所述策略服务器包括至少一个策略编码及各所述策略编码对应的防护策略,以使所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中。
第三方面,本申请实施例提供了一种容器网站防护部署装置,应用于集群服务器,所述集群服务器与策略服务器连接,所述装置包括:
加载模块,用于所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象,所述目标容器配置有目标启动配置文件,所述目标启动配置文件包括所述策略服务器的互联网协议端口和至少一个目标策略编码;
第一发送模块,用于所述目标进程对象根据所述互联网协议端口向所述策略服务器发送连接请求,所述连接请求包括所述至少一个目标策略编码,以使所述策略服务器响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,所述策略服务器包括至少一个策略编码及各所述策略编码对应的防护策略;
第一接收模块,用于所述目标进程对象接收所述策略服务器发送的至少一个所述目标防护策略;
部署模块,用于所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中。
第四方面,本申请实施例提供一种容器网站防护部署装置,应用于策略服务器,所述策略服务器与集群服务器连接,所述装置包括:
第二接收模块,用于接收所述集群服务器中目标容器的目标进程对象发送的连接请求,其中,所述连接请求包括至少一个目标策略编码,其中,所述连接请求为所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象,所述目标容器配置有目标启动配置文件,所述目标启动配置文件包括所述策略服务器的互联网协议端口和所述至少一个目标策略编码;所述目标进程对象根据所述互联网协议端口向所述策略服务器发送的请求;
第二发送模块,用于响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,所述策略服务器包括至少一个策略编码及各所述策略编码对应的防护策略,以使所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中。
第五方面,本申请实施例提供了一种电子设备,设备包括:处理器以及存储有计算机程序指令的存储器;所述处理器执行所述计算机程序指令时实现如上任意一项所述的容器网站防护部署方法。
第六方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如上任意一项所述的容器网站防护部署方法。
本申请实施例的容器网站防护部署方法、装置、设备及存储介质,应用于集群服务器和策略服务器,集群服务器加载预设的目标进程镜像文件,启动目标进程镜像文件对应目标容器,并生成目标容器的目标进程对象,目标容器配置有目标启动配置文件,目标启动配置文件包括策略服务器的互联网协议端口和至少一个目标策略编码;目标进程对象根据互联网协议端口向策略服务器发送连接请求,连接请求包括至少一个目标策略编码;策略服务器响应于连接请求,将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象,策略服务器包括至少一个策略编码及各策略编码对应的防护策略;目标进程对象将至少一个目标防护策略部署于集群服务器的内核中。如此,本申请实施例,能够在目标容器启动后,策略服务器根据连接请求中的至少一个目标策略编码,将与至少一个目标策略编码对应的目标防护策略发送至目标容器的目标进程对象,并将至少一个目标防护策略部署于集群服务器的内核中,运维人员无需关注容器运行状态,也不用对重启容器进行策略管理,不仅减少运维人员工作量,还降低误操作,以实现对网站的安全防护。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的容器网站防护部署系统的框架图;
图2是本申请实施例提供的容器网站防护部署方法的流程示意图;
图3是本申请实施例提供的容器网站防护部署方法的一个应用场景的系统架构图;
图4是本申请实施例提供的策略服务器安全员操作流程图;
图5是本申请实施例提供的集群服务器运维人员操作流程图;
图6是本申请实施例提供的进程对象与集群服务器工作机制图;
图7是本申请实施例提供的一个容器网站防护部署装置的结构示意图;
图8是本申请实施例提供的另一个容器网站防护部署装置的结构示意图;
图9是本申请实施例提供的容器网站防护部署设备的结构示意图。
具体实施方式
下面将详细描述本申请的各个方面的特征和示例性实施例,为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本申请进行进一步详细描述。应理解,此处所描述的具体实施例仅意在解释本申请,而不是限定本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
云原生环境下,网站主要运行在基于kubernetes(简称K8S)管理的集群主机上,以容器的形式存在。通过K8S统一编排,以对容器的启停进行管理。当容器死亡或资源不足,K8S还能够重新拉起一个新容器来接替原有网站容器的工作。由于网站的开放性与互动性,网页被篡改可能造成恶意内容发布以及病毒传播等危害,因此,需要对网站进行安全防护。但K8S对现有的Docker容器版网页防篡改软件不友好,若出现容器死亡后,K8S重新拉起新的容器,而新容器ID却是随机生成的,导致策略服务器无法根据容器ID下发策略,运维人员需要定期关注容器运行状态,以对重启容器进行策略管理,这样不仅给运维人员增加很多工作量,同时也容易出现运维人员对容器误操作,可能造成不可挽回的损失。
为了解决现有技术问题,本申请实施例提供了一种容器网站防护部署方法、装置、设备及存储介质。
下面首先对本申请实施例所提供的容器网站防护部署系统进行介绍。
图1示出了本申请一个实施例适用的一种容器网站防护部署系统的框架图。
如图1所示,该容器网站防护部署系统100可以包括集群服务器110和策略服务器120。本实施例中,集群服务器110可以通过局域网与策略服务器120相连,构成客户端-服务端(Client-Server,C/S)结构,当然,链接方式不仅限于局域网,还可以是其他连接方式,本申请在此不做具体限定。
上述集群服务器110,可以是由K8S管理的主机集群,通过K8S统一编排,可以对容器的启停进行管理。当容器死亡或资源不足,K8S还可以重新拉起一个新容器来接替原有网站容器的工作。
上述策略服务器120,可以是防篡改服务器,可以包括至少一个防护策略,防护策略可以用于指示容器的进程对象对目标文件夹下的文件进行防护,示例性地,防护策略是/www/html/*,权限是禁止删除,在进程对象通过网络收到服务器端下发的防护策略后,将策略注入内核,当有对/www/html/下index.html文件进行删除操作时,将会触发内核中的拦截机制,直接过滤掉该操作。本实施例中,防护策略不仅限于此,还可以根据用户需求进行设置,在此不做具体限定。
下面对本申请实施例所提供的容器网站防护部署方法进行介绍。
图2示出了本申请一个实施例提供的容器网站防护部署方法的流程示意图。可选地,本申请实施例的方法200可适用于上文图1所示的容器网站防护部署系统。
如图2所示,一种容器网站防护部署方法,可以包括以下步骤S201至S206。
S201、集群服务器加载预设的目标进程镜像文件,启动目标进程镜像文件对应目标容器,并生成目标容器的目标进程对象,目标容器配置有目标启动配置文件,目标启动配置文件包括策略服务器的互联网协议端口和至少一个目标策略编码;
S202、集群服务器目标进程对象根据互联网协议端口向策略服务器发送连接请求,连接请求包括至少一个目标策略编码;
S203、策略服务器接收集群服务器中目标容器的目标进程对象发送的连接请求;
S204、策略服务器响应于连接请求,将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象,策略服务器包括至少一个策略编码及各策略编码对应的防护策略;
S205、集群服务器目标进程对象接收策略服务器发送的至少一个目标防护策略;
S206、集群服务器目标进程对象将至少一个目标防护策略部署于集群服务器的内核中。
本申请实施例的容器网站防护部署方法,应用于集群服务器和策略服务器,集群服务器加载预设的目标进程镜像文件,启动目标进程镜像文件对应目标容器,并生成目标容器的目标进程对象,目标容器配置有目标启动配置文件,目标启动配置文件包括策略服务器的互联网协议端口和至少一个目标策略编码;目标进程对象根据互联网协议端口向策略服务器发送连接请求,连接请求包括至少一个目标策略编码;策略服务器响应于连接请求,将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象,策略服务器包括至少一个策略编码及各策略编码对应的防护策略;目标进程对象将至少一个目标防护策略部署于集群服务器的内核中。如此,本申请实施例,能够在目标容器启动后,策略服务器根据连接请求中的至少一个目标策略编码,将与至少一个目标策略编码对应的目标防护策略发送至目标容器的目标进程对象,并将至少一个目标防护策略部署于集群服务器的内核中,运维人员无需关注容器运行状态,也不用对重启容器进行策略管理,不仅减少运维人员工作量,还降低误操作,以实现对网站的安全防护。
在S201中,在云原生环境下,网站运行在基于K8S管理的集群主机上,以至少一个容器的形式存在,各个容器可以对应网站的各个功能。当网站的其中一个容器死亡或运行资源不足时,K8S还能够重新拉起一个新容器来接替原有容器的工作。
上述目标进程镜像文件,可以是目标容器的进程镜像文件,目标容器为集群服务器中启动的新容器,其中,加载进程镜像文件可以启动对应的容器,并生成容器的进程对象。
上述进程对象,示例性地,可以是网站防篡改软件Agent,可以在监控到篡改指令的情况下,阻拦该篡改指令,防止容器被篡改。
上述启动配置文件,包括策略服务器的互联网协议端口和至少一个目标策略编码,示例性地,可以是AgentDeployment.yaml文件,包括客户端环境变量,如策略服务器IP端口和各策略编码ID。
上述集群服务器加载预设的目标进程镜像文件,启动目标进程镜像文件对应目标容器,并生成目标容器的目标进程对象,示例性地,可以是集群服务器响应于运维人员在K8S管理系统输入的加载请求,加载预设的目标进程镜像文件,启动目标进程镜像文件对应目标Docker容器,并生成目标Docker容器的目标进程对象Agent。
在S202中,上述连接请求,可以包括至少一个目标策略编码,其中,目标策略编码为目标启动配置文件中的配置的策略编码。
上述集群服务器目标进程对象根据互联网协议端口向策略服务器发送连接请求,示例性地,可以是集群服务器目标进程对象基于局域网,根据互联网协议端口,向策略服务器发送连接请求。
在S203中,上述策略服务器接收集群服务器中目标容器的目标进程对象发送的连接请求,示例性地,可以是策略服务器基于局域网接收集群服务器中目标容器的目标进程对象发送的连接请求。
在S204中,上述策略服务器,可以包括至少一个策略编码及各策略编码对应的防护策略,具体地,可以在策略服务器中包括至少一个策略模板,及各策略模板的策略ID(即策略编码),各策略模板中绑定有对应的防护策略,防护策略指示容器中需要防护的目标文件或目标文件夹,例如,目标文件夹为:/www/html/*,该防护策略将会对/www/html/文件夹下所有文件进行防护。本申请不仅限于此,用户可以根据具体情况添加各种防护策略,在此不做具体限定。
上述策略服务器响应于连接请求,将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象,示例性地,可以是策略服务器响应于连接请求,基于局域网将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象。
在S205中,上述集群服务器目标进程对象接收策略服务器发送的至少一个目标防护策略,示例性地,可以是集群服务器目标进程对象,基于局域网接收策略服务器发送的至少一个目标防护策略。
在一些实施例中,为了提高策略服务器与进程对象之间信息交互的安全性,上述连接请求还可以包括连接密钥,上述S204,具体可以包括:
策略服务器响应于连接请求,在连接密钥满足预设规则的情况下,建立与目标进程对象的连接;
将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象;
上述S205,具体可以包括:
集群服务器在连接密钥满足预设规则的情况下,目标进程对象建立与策略服务器的连接;
目标进程对象接收策略服务器发送的至少一个目标防护策略。
上述连接密钥,可以用于策略服务器验证连接请求是否合法。
上述预设规则,示例性地,可以是常见的对称密钥算法、非对称密钥算法和摘要算法,本申请中不仅限于此,还可以是其他验证方法,在此不做具体限定。
在一些实施例中,上述方法,还可以包括:
策略服务器响应于连接请求,在连接密钥未满足预设规则的情况下,丢弃连接请求,并生成告警信息。
上述告警信息,可以用于告警提示用户,策略服务器有不合法的连接请求。
本实施例中,在连接密钥满足预设规则的情况下,才建立策略服务器与目标进程对象的连接,并将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象,从而提高策略服务器与进程对象之间信息交互的安全性。
在S206中,上述集群服务器目标进程对象将至少一个目标防护策略部署于集群服务器的内核中,可以是集群服务器目标进程对象将至少一个目标防护策略直接部署于集群服务器的内核中,或者,还可以是目标进程对象将目标进程内核模块部署于集群服务器的内核,并将至少一个目标防护策略输入目标进程内核模块,目标进程内核模块用于对第一行为进行拦截告警;目标进程对象将目标进程用户模块部署于目标容器中,目标进程用户模块用于对第二行为进行过滤。
在一些实施例中,上述目标进程对象,具体可以包括目标进程内核模块和目标进程用户模块;
上述S206,具体可以包括:
目标进程对象将目标进程内核模块部署于集群服务器的内核,并将至少一个目标防护策略输入目标进程内核模块,目标进程内核模块用于对第一行为进行拦截告警;
目标进程对象将目标进程用户模块部署于目标容器中,目标进程用户模块用于对第二行为进行过滤。
上述第一行为,示例性地,可以是对容器内网站文件的增、删、改或查等行为,本申请中第一行为不仅限于此,还可以根据用户需求设定的行为,在此不做具体限定。
上述第二行为,可以是对容器网站文件的具体操作行为,如rm、touch、vim、cp等操作行为,本申请中第二行为不仅限于此,还可以根据用户需求设定的行为,在此不做具体限定。
上述第一行为与第二行为,可以相同,也可以不同。
本实施例中,通过将目标进程内核模块部署于集群服务器内核上,以对第一行为进行拦截告警,和将目标进程用户模块部署于目标容器中,以对第二行为进行过滤,一方面目标进程用户模块可以过滤第二行为,减轻内核拦截的负担,从而提高了集群服务器操作系统的稳定性,另一方面,若目标进程用户模块被关闭或绕过,则部署于集群服务器内核上目标进程内核模块,还可以对第一行为进行拦截告警,从而提高了集群服务器操作系统的可靠性。
作为本申请的一种实现方式,为了提高容器网站防护的灵活性,在上述S203之前,还可以包括:
策略服务器获取至少一个防护策略,防护策略用于对容器中的目标文件进行目标行为防护;
策略服务器对至少一个防护策略进行编码,得到各防护策略的策略编码;
策略服务器将各策略编码发送至集群服务器。
上述防护策略,可以用于对容器中的目标文件进行目标行为防护,示例性地,目标文件可以为/www/html/*下,包含index.html的文件,目标行为可以为增、删、改和/或查等行为。
上述策略服务器获取至少一个防护策略,示例性地,可以是用户在策略服务器预设的策略模板中输入防护策略,一个策略模板中仅输入一个防护策略。
上述策略编码,可以由字母、数字或符号等字符组成的字符串,用以表征各防护策略的唯一识别编码。
本实施例中,在策略服务器中设置至少一个防护策略,及各防护策略的策略编码,其中,防护策略可以根据用户不同需求进行设定,因此,可以提高容器网站防护的灵活性。
作为本申请的另一种实现方式,为了减少了运维人员工作量,降低了运维人员的误操作,在上述S201之前,还可以包括:
集群服务器获取各容器的进程对象;
集群服务器接收策略服务器发送的各策略编码;
集群服务器根据各容器的进程对象,构建各容器的进程镜像文件;
集群服务器给各容器配置启动配置文件,启动配置文件包括策略服务器的互联网协议端口和至少一个策略编码。
上述集群服务器根据各容器的进程对象,构建各容器的进程镜像文件,示例性地,可以是将各容器的进程对象与基础镜像文件构建在一起,得到各容器的进程镜像文件。
由于在云原生环境下,网站的各个容器对应网站的各个功能,所以各容器的防护策略也会有所差异,因此,需要给各容器配置对应的启动配置文件。
上述互联网协议端口,为策略服务器的互联网协议端口,用于进程对象与策略服务器之间建立连接。
上述集群服务器给各容器配置启动配置文件,示例性地,可以是响应于运维人员在K8S管理系统中的编写操作,集群服务器给各容器配置启动配置文件。
本实施例中,由于网站的各个容器对应网站的各个功能,因此,需要为各容器配置启动配置文件,以在容器出现重启或漂移时,容器的进程对象能够根据启动配置文件中的互联网协议端口,向策略服务器发送至少一个策略编码,以实现策略服务器将对应的策略下载至容器,从而减少了运维人员工作量,降低了运维人员的误操作。
为了便于对本申请实施例中的容器网站防护部署方法的理解,对此容器网站防护部署方法的实际应用过程进行说明,具体如下:
本申请提供一种容器网站防护部署方法,具体实现建立在由K8S管理的主机集群和策略服务器上,该K8S管理系统(以下简称“KEM”)主要负责对Docker容器的编排和容器文件DockerFile的维护,KEM由主机运维人员维护(以下简称“运维人员”),具体技术方案如下:
本实施例中主机集群和策略服务器为C/S架构组成,如图3所示,策略服务器由安全运营人员维护(以下简称“安全员”),安全员负责登录服务器编辑策略、监控日志和系统配置维护。Agent(即上述进程对象)由主机运维人员维护(以下简称“运维人员”),运维人员负责对Docker镜像进行构建、DockerFile的配置和KEM的使用操作。
具体操作流程如下:
步骤一:如图4所示,安全员在服务器管理页面进行配置
(1)安全员登录服务器管理页面创建策略模板,同时生成策略ID。
(2)安全员将防护策略绑定至策略模板中,策略为容器中需要防护的目标文件,例如:/www/html/*,该策略将会对/www/html/文件夹下所有目标文件进行防护。安全员可以根据具体情况添加各种策略,策略取并集。
(3)安全员将策略ID和Agent客户端软件交付给运维人员。
步骤二:如图5所示,运维人员将Agent软件与基础镜像构建在一起,生成Agent镜像文件(即上述进程镜像文件)。
运维人员将Agent客户端软件与基础镜像构建在一起,具体命令如下:
DockerFile:
#使用FrontBCLinux作为基础镜像
FROMFrontBCLinux
#设置工作目录
WORKDIR/app
#将TieJuan软件复制到工作目录
COPYTieJuan/app
#运行TieJuan软件
CMD["./TieJuan"]
构建命令:
dockerbuild-tTieJuan:latest
步骤三:运维人员在KEM配置Agent镜像文件中启动变量
(1)运维人员登录KEM,编写AgentDeployment.yaml文件(即上述启动配置文件),增加客户端环境变量,如服务器IP端口及相关的策略ID。
(2)运维人员通过KEM加载Agent镜像文件,启动Docker容器和生成Agent。
步骤四:如图6所示,Docker容器根据AgentDeployment.yaml文件中的服务器IP端口主动连接服务器,并Agent将策略ID发送至服务器。服务器接收到Docker容器的连接请求后,判断密钥是否为合法连接,如果是合法连接将根据策略ID将该Docker容器添加到策略模板下,并下发该策略模板对应策略至Agent。如果是不合法连接直接告警并丢弃该连接。
(1)Docker容器启动后,Agent根据yaml文件中指定的服务器IP端口尝试连接,并把刚配置的策略ID发送给服务器。
(2)服务器收到Docker容器的连接请求(包括密钥和策略ID)后,判断其合法性,将合法连接添加到对应策略ID的策略模板下,同时下发该策略模板对应的策略至Agent。不合法连接直接丢弃,并产生告警。
(3)Agent收到策略后,将Agent内核模块注入内核,并将策略同步到内核模块中。同时,Agent通过LD_PRELOAD技术部署用户模块。至此,服务器、Agent内核模块和Agent用户模块部署完毕,开启策略,等待异常事件触发Agent内核模块和Agent用户模块。
步骤五:Agent收到策略后,将Agent内核模块注入内核中,并将策略同步到内核。Agent内核模块主要负责拦截告警对容器内网站文件的增、删、改、查等行为,并通知Agent进行告警,同时Agent会将Agent用户模块部署在容器中,拦截过滤对容器网站文件的具体操作行为,如rm、touch、vim、cp等。
(1)例如黑客发起网站篡改时,如:通过mv命令篡改/www/html/index.html文件,Agent用户模块会预先加载LD_PRELOAD指定newmv.so模块,并将mv命令修改的目标/www/html/index.html同步给newmv.so,newmv.so的功能是在真正执行mv命令前,判断是否为策略中被保护目标,发现被保护目标为/www/html/*,包含index.html文件,立即终止该操作,并同步产生告警,将告警信息发送至服务器。
(2)若用户模块被黑客关闭或绕过,mv的操作行为会绕过上述LD_PRELOAD技术实现功能(用户模块),直接将mv命令修改的目标传送至内核系统调用rename函数,通过拦截rename函数的方式对mv命令进行hook,rename函数有两个参数oldpath和newpath,判断newpath是否为策略中被保护目标,发现被保护目标为/www/html/*,包含index.html文件,立即产生告警发送至Agent,Agent将告警信息发送至服务器。
步骤六:当集群中容器重启时(KEM重新拉起容器或容器漂移等),KEM会重新加载AgentDeployment.yaml配置文件,Agent会重复步骤四流程。通过步骤四流程,容器Agent会继承对应策略ID的防护策略,不会因容器启动或漂移导致安全员和运维人员有多余配置操作。
本实施例中,将Agent构建在容器中,通过DockerFile方式配置Agent容器启动参数,从而实现Agent容器多生命周期中可以继承对应策略ID的策略,通过这种方式解决容器启动和漂移对容器和策略不对应的问题,降低安全员和运维人员工作量,实现云原生环境下应用了Docker容器化解决方案的网站系统的网站安全防护目标。
此外,本实施例还利用Linux内核拦截技术使用内核模块进行网站页面文件篡改的告警,而并没有使用内核拦截技术进行拦截阻止,提升了系统可靠性;利用LD_PRELOAD技术使用用户模块进行黑客篡改网站页面文件的拦截阻止功能,提升了网站防篡改的可行性和稳定性;通过KEM利用DockerFile容器化技术,使得容器在启动和漂移时可以自动从服务器下载防护策略,而无需安全员和运维人员人工介入,提升了网站防篡改功能的自动化和智能化,大大提升了网站防篡改功能的健壮性。
基于上述实施例提供的模型仿真推演的显示方法,相应的,本申请还提供了一种模型仿真推演的显示装置的具体实现方式,可以理解的是,下述各装置实施例中的相关描述可以参考前述各方法实施例,为了简洁,不再赘述。请参见以下实施例。
请参见图7,是本申请实施例提供的一种容器网站防护部署装置700,应用于集群服务器,集群服务器与策略服务器连接,上述装置700可以包括:加载模块701、第一发送模块702、第一接收模块703和部署模块704。
加载模块701,用于集群服务器加载预设的目标进程镜像文件,启动目标进程镜像文件对应目标容器,并生成目标容器的目标进程对象,目标容器配置有目标启动配置文件,目标启动配置文件包括策略服务器的互联网协议端口和至少一个目标策略编码;
第一发送模块702,用于目标进程对象根据互联网协议端口向策略服务器发送连接请求,连接请求包括至少一个目标策略编码,以使策略服务器响应于连接请求,将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象,策略服务器包括至少一个策略编码及各策略编码对应的防护策略;
第一接收模块703,用于目标进程对象接收策略服务器发送的至少一个目标防护策略;
部署模块704,用于目标进程对象将至少一个目标防护策略部署于集群服务器的内核中。
本申请实施例的容器网站防护部署装置,应用于集群服务器和策略服务器,集群服务器加载预设的目标进程镜像文件,启动目标进程镜像文件对应目标容器,并生成目标容器的目标进程对象,目标容器配置有目标启动配置文件,目标启动配置文件包括策略服务器的互联网协议端口和至少一个目标策略编码;目标进程对象根据互联网协议端口向策略服务器发送连接请求,连接请求包括至少一个目标策略编码;策略服务器响应于连接请求,将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象,策略服务器包括至少一个策略编码及各策略编码对应的防护策略;目标进程对象将至少一个目标防护策略部署于集群服务器的内核中。如此,本申请实施例,能够在目标容器启动后,策略服务器根据连接请求中的至少一个目标策略编码,将与至少一个目标策略编码对应的目标防护策略发送至目标容器的目标进程对象,并将至少一个目标防护策略部署于集群服务器的内核中,运维人员无需关注容器运行状态,也不用对重启容器进行策略管理,不仅减少运维人员工作量,还降低误操作,以实现对网站的安全防护。
作为本申请的另一种实现方式,为了减少了运维人员工作量,降低了运维人员的误操作,上述装置700,还可以包括:
第一获取模块,用于集群服务器获取各容器的进程对象;
第三接收模块,用于接收策略服务器发送的各策略编码;
构建模块,用于根据各容器的进程对象,构建各容器的进程镜像文件;
配置模块,用于给各容器配置启动配置文件,启动配置文件包括策略服务器的互联网协议端口和至少一个策略编码。
在一些实施例中,为了提高策略服务器与进程对象之间信息交互的安全性,上述连接请求还可以包括连接密钥;
上述第一接收模块703,具体可以包括:
第二连接单元,用于在连接密钥满足预设规则的情况下,目标进程对象建立与策略服务器的连接;
接收单元,用于目标进程对象接收策略服务器发送的至少一个目标防护策略。
在一些实施例中,上述目标进程对象可以包括目标进程内核模块和目标进程用户模块;上述部署模块704,具体可以包括:
第一部署单元,用于目标进程对象将目标进程内核模块部署于集群服务器的内核,并将至少一个目标防护策略输入目标进程内核模块,目标进程内核模块用于对第一行为进行拦截告警;
第二部署单元,用于目标进程对象将目标进程用户模块部署于目标容器中,目标进程用户模块用于对第二行为进行过滤。
请参见图8,是本申请实施例提供的一种容器网站防护部署装置800,应用于策略服务器,策略服务器与集群服务器连接,上述装置800可以包括:第二接收模块801和第二发送模块802。
第二接收模块801,用于接收集群服务器中目标容器的目标进程对象发送的连接请求,其中,连接请求包括至少一个目标策略编码,其中,连接请求为集群服务器加载预设的目标进程镜像文件,启动目标进程镜像文件对应目标容器,并生成目标容器的目标进程对象,目标容器配置有目标启动配置文件,目标启动配置文件包括策略服务器的互联网协议端口和至少一个目标策略编码;目标进程对象根据互联网协议端口向策略服务器发送的请求;
第二发送模块802,用于响应于连接请求,将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象,策略服务器包括至少一个策略编码及各策略编码对应的防护策略,以使目标进程对象将至少一个目标防护策略部署于集群服务器的内核中。
本申请实施例的容器网站防护部署装置,应用于集群服务器和策略服务器,集群服务器加载预设的目标进程镜像文件,启动目标进程镜像文件对应目标容器,并生成目标容器的目标进程对象,目标容器配置有目标启动配置文件,目标启动配置文件包括策略服务器的互联网协议端口和至少一个目标策略编码;目标进程对象根据互联网协议端口向策略服务器发送连接请求,连接请求包括至少一个目标策略编码;策略服务器响应于连接请求,将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象,策略服务器包括至少一个策略编码及各策略编码对应的防护策略;目标进程对象将至少一个目标防护策略部署于集群服务器的内核中。如此,本申请实施例,能够在目标容器启动后,策略服务器根据连接请求中的至少一个目标策略编码,将与至少一个目标策略编码对应的目标防护策略发送至目标容器的目标进程对象,并将至少一个目标防护策略部署于集群服务器的内核中,运维人员无需关注容器运行状态,也不用对重启容器进行策略管理,不仅减少运维人员工作量,还降低误操作,以实现对网站的安全防护。
作为本申请的一种实现方式,为了提高容器网站防护的灵活性,上述装置800,还可以包括:
第二获取模块,用于获取至少一个防护策略,防护策略用于对容器中的目标文件进行目标行为防护;
编码模块,用于对至少一个防护策略进行编码,得到各防护策略的策略编码;
第三发送模块,用于将各策略编码发送至集群服务器。
在一些实施例中,为了提高策略服务器与进程对象之间信息交互的安全性,上述连接请求还可以包括连接密钥;上述第二发送模块802,具体可以包括:
第一建立单元,用于响应于连接请求,在连接密钥满足预设规则的情况下,建立与目标进程对象的连接;
发送单元,用于将与至少一个目标策略编码对应的目标防护策略发送至目标进程对象。
图9示出了本申请实施例提供的电子设备的硬件结构示意图。
在电子设备可以包括处理器901以及存储有计算机程序指令的存储器902。
具体地,上述处理器901可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器902可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器902可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器902可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器902可在综合网关容灾设备的内部或外部。在特定实施例中,存储器902是非易失性固态存储器。
在特定实施例中,存储器902可包括只读存储器(ROM),随机存取存储器(RAM),磁盘存储介质设备,光存储介质设备,闪存设备,电气、光学或其他物理/有形的存储器存储设备。因此,通常,存储器包括一个或多个编码有包括计算机可执行指令的软件的有形(非暂态)计算机可读存储介质(例如,存储器设备),并且当该软件被执行(例如,由一个或多个处理器)时,其可操作来执行参考根据本公开的一方面的方法所描述的操作。
处理器901通过读取并执行存储器902中存储的计算机程序指令,以实现上述实施例中的任意一种容器网站防护部署方法。
在一个示例中,电子设备还可包括通信接口903和总线910。其中,如图9所示,处理器901、存储器902、通信接口903通过总线910连接并完成相互间的通信。
通信接口903,主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。
总线910包括硬件、软件或两者,将电子设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线910可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该电子设备可以执行本申请实施例中的容器网站防护部署方法,从而实现结合图2、7和图8描述的容器网站防护部署方法和装置。
另外,结合上述实施例中的容器网站防护部署方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种容器网站防护部署方法。
需要明确的是,本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本申请的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本申请的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本申请中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本申请不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
上面参考根据本公开的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各方面。应当理解,流程图和/或框图中的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机、或其它可编程数据处理装置的处理器,以产生一种机器,使得经由计算机或其它可编程数据处理装置的处理器执行的这些指令使能对流程图和/或框图的一个或多个方框中指定的功能/动作的实现。这种处理器可以是但不限于是通用处理器、专用处理器、特殊应用处理器或者现场可编程逻辑电路。还可理解,框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合,也可以由执行指定的功能或动作的专用硬件来实现,或可由专用硬件和计算机指令的组合来实现。
以上所述,仅为本申请的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。
Claims (11)
1.一种容器网站防护部署方法,其特征在于,应用于集群服务器,所述集群服务器与策略服务器连接,所述方法包括:
所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象,所述目标容器配置有目标启动配置文件,所述目标启动配置文件包括所述策略服务器的互联网协议端口和至少一个目标策略编码;
所述目标进程对象根据所述互联网协议端口向所述策略服务器发送连接请求,所述连接请求包括所述至少一个目标策略编码,以使所述策略服务器响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,所述策略服务器包括至少一个策略编码及各所述策略编码对应的防护策略;
所述目标进程对象接收所述策略服务器发送的至少一个所述目标防护策略;
所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中。
2.根据权利要求1所述的方法,其特征在于,在所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象之前,还包括:
所述集群服务器获取各容器的进程对象;
接收策略服务器发送的各所述策略编码;
根据各所述容器的进程对象,构建各所述容器的进程镜像文件;
给各所述容器配置启动配置文件,所述启动配置文件包括所述策略服务器的互联网协议端口和至少一个所述策略编码。
3.根据权利要求1所述的方法,其特征在于,所述连接请求还包括连接密钥;
所述目标进程对象接收所述策略服务器发送的至少一个所述目标防护策略,包括:
在所述连接密钥满足预设规则的情况下,所述目标进程对象建立与所述策略服务器的连接;
所述目标进程对象接收所述策略服务器发送的至少一个所述目标防护策略。
4.根据权利要求1所述的方法,其特征在于,所述目标进程对象包括目标进程内核模块和目标进程用户模块;
所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中,包括:
所述目标进程对象将所述目标进程内核模块部署于所述集群服务器的内核,并将至少一个所述目标防护策略输入所述目标进程内核模块,所述目标进程内核模块用于对第一行为进行拦截告警;
所述目标进程对象将所述目标进程用户模块部署于所述目标容器中,所述目标进程用户模块用于对第二行为进行过滤。
5.一种容器网站防护部署方法,其特征在于,应用于策略服务器,所述策略服务器与集群服务器连接,所述方法包括:
接收所述集群服务器中目标容器的目标进程对象发送的连接请求,其中,所述连接请求包括至少一个目标策略编码,其中,所述连接请求为所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象,所述目标容器配置有目标启动配置文件,所述目标启动配置文件包括所述策略服务器的互联网协议端口和所述至少一个目标策略编码;所述目标进程对象根据所述互联网协议端口向所述策略服务器发送的请求;
响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,所述策略服务器包括至少一个策略编码及各所述策略编码对应的防护策略,以使所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中。
6.根据权利要求5所述的方法,其特征在于,在所述接收所述集群服务器中目标容器的目标进程对象发送的连接请求之前,还包括:
获取至少一个防护策略,所述防护策略用于对所述容器中的目标文件进行目标行为防护;
对所述至少一个防护策略进行编码,得到各所述防护策略的策略编码;
将各所述策略编码发送至所述集群服务器。
7.根据权利要求5所述的方法,其特征在于,所述连接请求还包括连接密钥;
所述响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,包括:
响应于所述连接请求,在所述连接密钥满足预设规则的情况下,建立与所述目标进程对象的连接;
将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象。
8.一种容器网站防护部署装置,其特征在于,应用于集群服务器,所述集群服务器与策略服务器连接,所述装置包括:
加载模块,用于所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象,所述目标容器配置有目标启动配置文件,所述目标启动配置文件包括所述策略服务器的互联网协议端口和至少一个目标策略编码;
第一发送模块,用于所述目标进程对象根据所述互联网协议端口向所述策略服务器发送连接请求,所述连接请求包括所述至少一个目标策略编码,以使所述策略服务器响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,所述策略服务器包括至少一个策略编码及各所述策略编码对应的防护策略;
第一接收模块,用于所述目标进程对象接收所述策略服务器发送的至少一个所述目标防护策略;
部署模块,用于所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中。
9.一种容器网站防护部署装置,其特征在于,应用于策略服务器,所述策略服务器与集群服务器连接,所述装置包括:
第二接收模块,用于接收所述集群服务器中目标容器的目标进程对象发送的连接请求,其中,所述连接请求包括至少一个目标策略编码,其中,所述连接请求为所述集群服务器加载预设的目标进程镜像文件,启动所述目标进程镜像文件对应目标容器,并生成所述目标容器的目标进程对象,所述目标容器配置有目标启动配置文件,所述目标启动配置文件包括所述策略服务器的互联网协议端口和所述至少一个目标策略编码;所述目标进程对象根据所述互联网协议端口向所述策略服务器发送的请求;
第二发送模块,用于响应于所述连接请求,将与所述至少一个目标策略编码对应的目标防护策略发送至所述目标进程对象,所述策略服务器包括至少一个策略编码及各所述策略编码对应的防护策略,以使所述目标进程对象将至少一个所述目标防护策略部署于所述集群服务器的内核中。
10.一种电子设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;所述处理器执行所述计算机程序指令时实现如权利要求1-7任意一项所述的容器网站防护部署方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-7任意一项所述的容器网站防护部署方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311056064.9A CN117134956A (zh) | 2023-08-21 | 2023-08-21 | 容器网站防护部署方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311056064.9A CN117134956A (zh) | 2023-08-21 | 2023-08-21 | 容器网站防护部署方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117134956A true CN117134956A (zh) | 2023-11-28 |
Family
ID=88855786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311056064.9A Pending CN117134956A (zh) | 2023-08-21 | 2023-08-21 | 容器网站防护部署方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117134956A (zh) |
-
2023
- 2023-08-21 CN CN202311056064.9A patent/CN117134956A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10032025B1 (en) | Behavior-based ransomware detection | |
| CN106326699B (zh) | 一种基于文件访问控制和进程访问控制的服务器加固方法 | |
| CN112039894B (zh) | 一种网络准入控制方法、装置、存储介质和电子设备 | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| CN102880828B (zh) | 一种针对虚拟化支撑环境的入侵检测与恢复系统 | |
| CN105656860A (zh) | Android系统的安全管控方法、装置及其系统 | |
| CN103441926A (zh) | 数控机床网安全网关系统 | |
| CN111177706A (zh) | 一种基于信任软件库的进程白名单更新方法 | |
| CN103236932A (zh) | 一种基于访问控制和目录保护的网页防篡改装置及方法 | |
| KR101555247B1 (ko) | 소프트웨어 프로세스 관리 추적 알고리즘에 기초한 소프트웨어 관리 방법 및 그 기록매체 | |
| CN109617929B (zh) | 在区块链网络模式下的节点与用户交互认证方法及系统 | |
| CN112446029A (zh) | 可信计算平台 | |
| CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
| CN117134956A (zh) | 容器网站防护部署方法、装置、设备及存储介质 | |
| CN113226858A (zh) | 信息处理装置 | |
| CN115567218A (zh) | 基于区块链的安全证书的数据处理方法、装置和服务器 | |
| CN114861160A (zh) | 提升非管理员账户权限的方法及装置、设备、存储介质 | |
| CN104995635A (zh) | 图片发送方法和装置以及终端设备 | |
| CN108228219B (zh) | 一种带外刷新bios时验证bios合法性的方法及装置 | |
| JP5152539B2 (ja) | ユーザ認証システム | |
| CN105825124A (zh) | 一种服务器非法操作的监测方法和监测系统 | |
| CN114610402B (zh) | 操作权限控制方法和操作权限配置方法 | |
| CN117648100B (zh) | 应用部署方法、装置、设备和存储介质 | |
| CN111932751B (zh) | 一种智慧园区物联网综合管理平台及管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |