[發明專利]一種云平臺主機安全加固的方法在審
| 申請號: | 201810896147.1 | 申請日: | 2018-08-08 |
| 公開(公告)號: | CN109086625A | 公開(公告)日: | 2018-12-25 |
| 發明(設計)人: | 鄧玉芳;季統凱 | 申請(專利權)人: | 國云科技股份有限公司 |
| 主分類號: | G06F21/62 | 分類號: | G06F21/62 |
| 代理公司: | 廣東莞信律師事務所 44332 | 代理人: | 蔡邦華 |
| 地址: | 523808 廣東省東*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 云平臺 主機安全 審計 安全策略模塊 安全技術領域 系統安全策略 權限 管理員權限 超級用戶 檔案備份 關閉系統 內核模塊 審計規則 審計機制 審計日志 系統用戶 卸載文件 與操作 角色 加載 內核 出錯 管理 關聯 安全 賬戶 配置 升級 協作 恢復 網絡 維護 制定 | ||
1.一種云平臺主機安全加固的方法,其特征在于:所述的方法是將原root用戶的權限分由系統管理員、安全管理員、審計管理員這三種角色共同協作完成;系統管理員權限包括系統用戶賬戶的管理、網絡相關管理與操作、內核模塊加載、開啟和關閉系統、對文件的檔案備份和恢復、安裝或卸載文件系統等對系統日常操作和維護;安全管理員負責制定系統安全策略,負責對系統中的主體、客體進行統一標記,對主體進行安全策略配置授權,修改SElinux運行模式,裝載二進制安全策略進內核;審計管理員設置審計開關、審計閾值和審計規則,啟動和關閉審計機制以及管理審計日志等;并將系統管理員、安全管理員、審計管理員與內核安全策略模塊對應角色相關聯。
2.根據權利要求1所述的方法,其特征在于:所述的方法包括如下步驟:
步驟1:制作一個包含三權分立安全策略及相關安裝配置腳本的升級包;
步驟2:控制端分發升級包到云平臺的各個主機節點上;
步驟3:控制端觸發各目標主機安裝內核安全策略模塊升級包安裝流程,然后修改安全模式,并在根目錄下添加.autorelabel文件,最后重啟目標主機;
步驟4:系統自動對整個文件系統進行安全標記,標記結束,系統繼續開機啟動流程;服務器啟動完畢后,其上的代理端服務自動啟動并向控制端匯報;
步驟5:控制端接收到各代理端的匯報后調用目標主機上的代理端觸發主機安全加固配置流程,包括新增安全管理員和審計管理員賬號,并將這些賬號與內核安全策略模塊對應角色關聯起來。
3.根據權利要求2所述的基于三權分立的云平臺主機安全加固的方法,其特征在于:所述三權分立安全策略通過linux的安全子系統SELINUX實現強制訪問控制;
所述相關安裝配置腳本包括安裝m4、policycoreutils、policycoreutils-python、policycoreutils-newrole、libselinux-utils、setroubleshoot-server、setoolssetools-console、mcstrans等依賴包,新增系統用戶賬號腳本,修改安全相關資源文件屬主腳本、修改審計相關資源文件組權限腳本、系統用戶賬號與selinux角色關聯腳本等。
4.根據權利要求2所述的方法,其特征在于:所述的控制端實現主機加固列表查看和一鍵平臺加固,根據配置好的加固步驟,并對平臺中沒有加固過的節點進行主機安全加固;
所述的代理端負責接收加固升級包,解析升級包,主機加固安裝與配置的實現和執行結果匯報等。
5.根據權利要求2所述的方法,其特征在于:所述的安全模式包括disable、permissive、enforcing,設置默認為enforcing。
6.根據權利要求2述的方法,其特征在于:所述的.autorelabel文件在系統重啟時對整個文件系統進行重新標記。
7.根據權利要求2所述的方法,其特征在于:所述的安全加固配置流程,包括新增系統管理員、安全管理員、審計管理員賬號,并設置為超級用戶;然后將這三個賬號分別與selinux-policy內核安全策略模塊的sysadm_r、secadm_r、auditadm_r角色關聯起來。
8.根據權利要求2所述的方法,其特征在于:所述系統的賬號與內核安全策略模塊對應角色關聯使賬號登陸是在內核安全策略模塊中對應角色的安全域上下文中;在安全模式開啟的情況下,賬戶的所有操作訪問將要通過強制訪問控制策略驗證,通過驗證后才能正常執行操作,從而控制了不同的安全域所能訪問的范圍不同。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于國云科技股份有限公司,未經國云科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810896147.1/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:登錄方法和裝置
- 下一篇:區塊鏈網絡的記賬方法和系統
