本發(fā)明公開了一種程序能力完整性檢測方法、系統(tǒng)、設(shè)備、存儲介質(zhì)，所述程序能力完整性檢測方法，包括：部署集中管理平臺軟件和客戶端軟件；客戶端根據(jù)集中管理平臺指令，采集并保存程序能力基準(zhǔn)值；通過對比客戶端實時采集的能力實際值與保存的能力基準(zhǔn)值，檢測程序能力完整性是否正常。所述系統(tǒng)包括部署單元，用于部署集中管理平臺軟件和客戶端軟件；采集單元，用于采集并保存客戶端的程序能力基準(zhǔn)值；檢測單元，用于對比能力實際值與能力基準(zhǔn)值，檢測程序能力完整性是否正常。本發(fā)明能夠批量管理程序能力設(shè)置，并能驗證當(dāng)前程序的能力值是否完整。

技術(shù)領(lǐng)域

本發(fā)明涉及操作系統(tǒng)安全軟件領(lǐng)域，具體涉及一種程序能力完整性檢測方法、系統(tǒng)、設(shè)備、存儲介質(zhì)。

背景技術(shù)

在傳統(tǒng)的Linux操作系統(tǒng)內(nèi)核模型中，應(yīng)用程序可以使用root權(quán)限執(zhí)行，或使用普通用戶權(quán)限執(zhí)行。但當(dāng)應(yīng)用程序以root權(quán)限執(zhí)行時，該應(yīng)用程序便獲取了所有root權(quán)限，遠(yuǎn)遠(yuǎn)超出了程序正常運行所必須的權(quán)限。后來，通過特殊權(quán)限(SUID)技術(shù)來限制應(yīng)用程序的權(quán)限，但是SUID技術(shù)并沒有實質(zhì)性的解決該問題，程序運行時仍然可能會在較大權(quán)限下運行。當(dāng)程序以較大權(quán)限運行時，攻擊者有可能通過系統(tǒng)漏洞等方式對系統(tǒng)進(jìn)行攻擊，造成嚴(yán)重的安全隱患。

“能力”(Capability)是一種新型Linux內(nèi)核提供的安全功能，為某程序設(shè)置能力后，當(dāng)執(zhí)行該程序時，系統(tǒng)讀取該程序的能力，此時即便是使用非root權(quán)限用戶去執(zhí)行該程序，該程序也有其能力對應(yīng)的權(quán)限。

Linux系統(tǒng)中提供了setcap命令為某個應(yīng)用程序設(shè)置能力，但是直接使用現(xiàn)有功能存在一些不足之處，例如：

(1)為某個程序設(shè)置能力后，如果誤將其能力值進(jìn)行了修改，則無法及時的識別，導(dǎo)致程序正常的運行受到了影響，或?qū)ο到y(tǒng)安全造成隱患。

(2)如果某程序的能力被修改后，無法方便地將程序的能力設(shè)置重新設(shè)置為正確的值。

發(fā)明內(nèi)容

為了解決上述技術(shù)問題，本發(fā)明提出了一種程序能力完整性檢測方法、系統(tǒng)、設(shè)備、存儲介質(zhì)，能夠批量管理程序能力設(shè)置，并能驗證當(dāng)前程序的能力值是否完整。

為實現(xiàn)上述目的，本發(fā)明采用以下技術(shù)方案：

一種程序能力完整性檢測方法，包括：

部署集中管理平臺軟件和客戶端軟件；

客戶端根據(jù)集中管理平臺指令，采集并保存程序能力基準(zhǔn)值；

通過對比客戶端實時采集的能力實際值與保存的能力基準(zhǔn)值，檢測程序能力完整性是否正常。

進(jìn)一步地，當(dāng)程序能力完整性異常時，判斷是否指定修復(fù)能力值；

當(dāng)指定修復(fù)能力值時，將能力值設(shè)置為能力基準(zhǔn)值。

進(jìn)一步地，所述部署集中管理平臺軟件和客戶端軟件，包括：

所述集中管理平臺軟件單獨部署，提供用于用戶管理設(shè)置的網(wǎng)頁頁面；

所述客戶端軟件安裝在受保護(hù)計算機操作系統(tǒng)上。

進(jìn)一步地，所述客戶端根據(jù)集中管理平臺指令，采集并保存程序能力基準(zhǔn)值，包括：

用戶在集中管理平臺軟件設(shè)置特定路徑并下發(fā)至客戶端軟件；

客戶端軟件根據(jù)設(shè)置路徑讀取程序能力設(shè)定值，作為程序能力基準(zhǔn)值；

客戶端軟件將程序能力基準(zhǔn)值保存至本地數(shù)據(jù)庫，上傳至集中管理平臺軟件。

進(jìn)一步地，所述特定路徑為文件路徑或目錄；

當(dāng)特定路徑為文件路徑時，客戶端讀取文件的能力設(shè)定值；