本發(fā)明公開了一種linux系統(tǒng)外部命令執(zhí)行方法及裝置，屬于系統(tǒng)安全管理領(lǐng)域。所述linux系統(tǒng)外部命令執(zhí)行方法包括：生成目標(biāo)文件，所述目標(biāo)文件用于執(zhí)行系統(tǒng)外部命令；定時(shí)檢測(cè)是否存在目標(biāo)文件；當(dāng)檢測(cè)到存在目標(biāo)文件時(shí)，對(duì)目標(biāo)文件進(jìn)行校驗(yàn)；若校驗(yàn)成功，則根據(jù)目標(biāo)文件執(zhí)行外部命令。本發(fā)明通過定時(shí)運(yùn)行的腳本實(shí)現(xiàn)外部命令的安全執(zhí)行，無需額外部署腳本服務(wù)器和開發(fā)資源；且由腳本語言動(dòng)態(tài)生成敏感信息，并在讀取后刪除，提高代碼的安全性；適用于所有禁用系統(tǒng)外部命令函數(shù)的linux服務(wù)器，應(yīng)用范圍廣，增加整體的安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及系統(tǒng)安全管理領(lǐng)域，特別涉及一種linux系統(tǒng)外部命令執(zhí)行方法及裝置。

背景技術(shù)

Linux命令分為內(nèi)部命令和外部命令，內(nèi)部命令是在系統(tǒng)啟動(dòng)時(shí)就調(diào)入內(nèi)存的，外部命令是用戶需要時(shí)從硬盤中讀入內(nèi)存的，需要執(zhí)行系統(tǒng)外部命令函數(shù)來調(diào)用外部命令，在linux服務(wù)器下運(yùn)行的腳本語言，出于安全考慮一般會(huì)禁用執(zhí)行系統(tǒng)外部命令的函數(shù)，如php的exec、system等函數(shù)，禁用的設(shè)置方法為打開配置文件，查找到disable_functions，在該函數(shù)下添加需禁用的函數(shù)名。

在這種情況下，為了滿足腳本語言執(zhí)行外部系統(tǒng)命令的需求，現(xiàn)有的解決方案是單獨(dú)搭建一臺(tái)或一套內(nèi)部的專用服務(wù)器，出于安全考慮，該專用服務(wù)器會(huì)設(shè)置iptables，從而只允許內(nèi)部服務(wù)器訪問，該專用服務(wù)器不會(huì)禁止腳本語言執(zhí)行外部系統(tǒng)命令，當(dāng)外部服務(wù)器即可被用戶訪問的服務(wù)器需要執(zhí)行外部系統(tǒng)命令時(shí)，會(huì)通過調(diào)用該專用服務(wù)器預(yù)設(shè)的接口來實(shí)現(xiàn)。

現(xiàn)有技術(shù)至少存在以下缺點(diǎn)：

1、需要額外部署一臺(tái)或一套服務(wù)器，增加硬件成本；

2、額外部署的服務(wù)器限定ip，因此維護(hù)該服務(wù)器需要跳板機(jī)或VPN(VirtualPrivate Network，虛擬專用網(wǎng)絡(luò))來實(shí)現(xiàn)，增加維護(hù)成本；

3、為了實(shí)現(xiàn)連接超時(shí)、防注入等功能，需要實(shí)現(xiàn)一套接口中間件，增加開發(fā)成本；

4、由于該服務(wù)器沒有禁用腳本語言執(zhí)行系統(tǒng)外部命令的函數(shù)，所以一旦發(fā)生注入就可以執(zhí)行所有系統(tǒng)命令，存在安全隱患。

發(fā)明內(nèi)容

為了解決現(xiàn)有技術(shù)的問題，本發(fā)明提供了一種linux系統(tǒng)外部命令執(zhí)行方法及裝置，無需額外部署腳本服務(wù)器和開發(fā)資源，代碼安全性高，應(yīng)用范圍廣。所述技術(shù)方案如下：

一方面，本發(fā)明提供了一種linux系統(tǒng)外部命令執(zhí)行方法，所述方法包括：

生成目標(biāo)文件，所述目標(biāo)文件用于執(zhí)行系統(tǒng)外部命令；

定時(shí)檢測(cè)是否存在目標(biāo)文件；

當(dāng)檢測(cè)到存在目標(biāo)文件時(shí)，對(duì)目標(biāo)文件進(jìn)行校驗(yàn)；

若校驗(yàn)成功，則根據(jù)目標(biāo)文件執(zhí)行外部命令。

具體地，所述目標(biāo)文件為命令文件或配置信息文件，進(jìn)一步地，所述生成目標(biāo)文件包括：在有寫權(quán)限的系統(tǒng)目錄下寫入執(zhí)行命令或者新建配置信息文件。

進(jìn)一步地，本發(fā)明提供的linux系統(tǒng)外部命令執(zhí)行方法還包括：在執(zhí)行目標(biāo)文件之后，刪除所述目標(biāo)文件。

進(jìn)一步地，所述根據(jù)目標(biāo)文件執(zhí)行外部命令包括：若所述目標(biāo)文件為命令文件，則執(zhí)行相應(yīng)命令；若所述目標(biāo)文件為配置信息文件，則讀取配置信息，進(jìn)而根據(jù)所述配置信息生成命令并執(zhí)行命令。

進(jìn)一步地，所述對(duì)目標(biāo)文件進(jìn)行校驗(yàn)包括：讀取所述目標(biāo)文件，若所述目標(biāo)文件的內(nèi)容為合法命令或者根據(jù)所述目標(biāo)文件的內(nèi)容能夠生成合法命令，則校驗(yàn)成功，否則校驗(yàn)失敗。

具體地，對(duì)目標(biāo)文件進(jìn)行校驗(yàn)之前還包括：預(yù)設(shè)合法命令庫，所述合法命令庫用于存放設(shè)定的合法命令。