??????????????????技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)用戶(hù)安全技術(shù)和訪(fǎng)問(wèn)控制技術(shù)，尤其涉及應(yīng)用在UNIX(優(yōu)利克斯)和類(lèi)UNIX操作系統(tǒng)中的那些計(jì)算機(jī)用戶(hù)的安全技術(shù)和訪(fǎng)問(wèn)控制技術(shù)。

?????????????????背景技術(shù)

各種不同形式的UNIX操作系統(tǒng)，也包括類(lèi)似操作系統(tǒng)，是執(zhí)行關(guān)鍵性任務(wù)的應(yīng)用程序賴(lài)以存在的強(qiáng)有力工具。它的安全性、可伸縮性和穩(wěn)健性使它經(jīng)得起時(shí)間的考驗(yàn)，今天，大多數(shù)互聯(lián)網(wǎng)服務(wù)器都以UNIX計(jì)算機(jī)作為寄主。盡管它如此強(qiáng)大，但是，仍然存在著利用其能力的方法。消除、或至少減輕發(fā)生惡意行為的可能性，是UNIX系統(tǒng)管理人員的主要目標(biāo)。

UNIX系統(tǒng)可能易于操縱的一個(gè)方面，是一個(gè)用戶(hù)把ID轉(zhuǎn)換成其它不同用戶(hù)(“SU′ing”)的方面。在某些情況下，這可能被人惡意利用。在無(wú)安全措施的控制臺(tái)根目錄(root)上，不懷好意的用戶(hù)不到15秒內(nèi)就可能為他或她的ID啟用SU功能。之后，那個(gè)用戶(hù)可能接管機(jī)器上的根目錄權(quán)限，并窺視或毀壞系統(tǒng)上的敏感數(shù)據(jù)，該系統(tǒng)本是賦予特權(quán)給根用戶(hù)、而不是賦予給不懷好意用戶(hù)一般ID的。

這樣的“用戶(hù)轉(zhuǎn)換”也可能因手指的輕輕一碰而無(wú)意地發(fā)生，或者授權(quán)系統(tǒng)管理員可能粗心大意地把SU權(quán)限授予一個(gè)用戶(hù)。

無(wú)論是惡意地還是無(wú)意地實(shí)施了這種轉(zhuǎn)換，其后果是相同的，因?yàn)槭苡绊懙挠脩?hù)現(xiàn)在已經(jīng)完全控制了整個(gè)系統(tǒng)，并在整個(gè)系統(tǒng)上具有特權(quán)。

有兩種措施可以讓管理人員發(fā)現(xiàn)這樣的權(quán)限已經(jīng)被授予了和/或被使用了。系統(tǒng)管理人員可以人工地審查每個(gè)用戶(hù)ID的特性。由于大型機(jī)構(gòu)往往擁有數(shù)百個(gè)、甚至數(shù)千個(gè)被配置成使用他們系統(tǒng)的用戶(hù)，因此，這樣的周期性檢查是不切實(shí)際的。

可以使用的第二種方法是用眼睛去審查‘SULOG’文件，這個(gè)文件包含了‘轉(zhuǎn)換用戶(hù)’各種活動(dòng)的歷史記錄。由于這個(gè)文件可以是非常巨大的，并在系統(tǒng)目錄結(jié)構(gòu)中埋得很深，因此，對(duì)SULOG文件的審查也只不過(guò)偶爾為之。一般來(lái)說(shuō)，管理人員通常太專(zhuān)心于其它職責(zé)，以致于不能周期性地檢查這個(gè)文件。

應(yīng)該注意到，可以授予SU權(quán)限，以便給予特定用戶(hù)以轉(zhuǎn)換成根ID的能力，或者，也可以授予SU權(quán)限，以便使用戶(hù)也能夠利用其它ID。后一種情況常發(fā)生的例子包括允許某些用戶(hù)把他們的登錄名(log-in)轉(zhuǎn)換成‘oracle’ID或‘備份(backup)’ID。由于這樣的ID往往具有擴(kuò)展的和關(guān)鍵性的功能和可用于它們的數(shù)據(jù)，因此，留意這樣的活動(dòng)也是重要的。

因此，已經(jīng)被授予了低級(jí)或限制級(jí)特權(quán)或“許可訪(fǎng)問(wèn)權(quán)限”的用戶(hù)可以具有指定給他的初始登錄ID，然而，通過(guò)對(duì)根ID進(jìn)行SU操作，他可以獲得更高級(jí)的特權(quán)。目前，在一些有此默認(rèn)功能的UNIX或其它類(lèi)UNIX的操作系統(tǒng)中，這是非常難以跟蹤和檢測(cè)的。

因此，在技術(shù)上，需要一種在基于UNIX和類(lèi)UNIX的系統(tǒng)上監(jiān)視非授權(quán)用戶(hù)轉(zhuǎn)換或用戶(hù)替換，以便一旦檢測(cè)到非授權(quán)用戶(hù)轉(zhuǎn)換活動(dòng)，就可以采取適當(dāng)?shù)募m正動(dòng)作的系統(tǒng)和方法。最好，這個(gè)系統(tǒng)應(yīng)該是系統(tǒng)管理員無(wú)需對(duì)操作系統(tǒng)或已經(jīng)定義的用戶(hù)ID作顯著改變就能夠容易實(shí)現(xiàn)的。最好，該系統(tǒng)和方法將提供諸如電子郵件通知之類(lèi)的遠(yuǎn)程通知功能，以便把檢測(cè)到的犯規(guī)行為通知系統(tǒng)管理員。

????????????????????????發(fā)明內(nèi)容

這里公開(kāi)的監(jiān)視進(jìn)程，用于在基于UNIX的計(jì)算機(jī)系統(tǒng)中定義和檢測(cè)用戶(hù)轉(zhuǎn)換犯規(guī)行為和問(wèn)題，該監(jiān)視進(jìn)程周期性地向系統(tǒng)管理人員發(fā)出存在潛在安全風(fēng)險(xiǎn)的警告。這個(gè)監(jiān)視進(jìn)程優(yōu)選按照預(yù)定的時(shí)間表執(zhí)行，或者通過(guò)人工命令調(diào)用。先由系統(tǒng)管理人員定義一套規(guī)則，在UNIX用戶(hù)轉(zhuǎn)換日志中找出的與任何規(guī)則相符的任何用戶(hù)轉(zhuǎn)換事件都被標(biāo)記為犯規(guī)行為或潛在安全問(wèn)題，并把警告通知發(fā)送到諸如電子郵件地址之類(lèi)的特定輸出設(shè)備。

犯規(guī)規(guī)則被方便地以文本文件定義，和在優(yōu)選實(shí)施例中，UNIX時(shí)間安排守護(hù)程序(daemon)CRON被配置成周期性地執(zhí)行監(jiān)視腳本。因此，系統(tǒng)管理員可以制訂各種規(guī)則、監(jiān)視的周期、警告輸出目的地、甚至是源用戶(hù)轉(zhuǎn)換日志文件，從而便于系統(tǒng)管理員極其靈活地找出和檢測(cè)各種各樣可能出現(xiàn)的安全問(wèn)題。

???????????????附圖說(shuō)明

如下結(jié)合附圖的詳細(xì)描述將全面公開(kāi)本發(fā)明。

圖1陳列了基于UNIX的計(jì)算機(jī)系統(tǒng)的一般結(jié)構(gòu)；

圖2顯示了用戶(hù)轉(zhuǎn)換監(jiān)視腳本或進(jìn)程的邏輯流圖。

???????????????具體實(shí)施方式