本公開提供一種基于容器宿主機(jī)的安全保護(hù)方法、裝置以及電子設(shè)備，涉及安全技術(shù)領(lǐng)域。該方法包括：確定目標(biāo)賬號(hào)具有使用目標(biāo)容器的權(quán)限和具有登錄宿主機(jī)的權(quán)限中的至少一種權(quán)限，其中所述容器存儲(chǔ)于所述宿主機(jī)，響應(yīng)于目標(biāo)賬號(hào)登錄宿主機(jī)，監(jiān)聽目標(biāo)賬號(hào)在宿主機(jī)的執(zhí)行命令；通過監(jiān)聽結(jié)果確定目標(biāo)賬號(hào)是否用于切入宿主機(jī)中容器；響應(yīng)目標(biāo)賬號(hào)不用于切入宿主機(jī)中容器，退出目標(biāo)賬號(hào)在宿主機(jī)的登錄。本公開提供的技術(shù)方案通過權(quán)限確認(rèn)的方式為宿主機(jī)的安全提供第一道保障，又通過對(duì)登錄宿主機(jī)的賬號(hào)的登錄狀態(tài)進(jìn)行管理為宿主機(jī)的安全提供另一道保障。從而能夠在一定程度上避免宿主機(jī)被惡意登錄的賬號(hào)入侵或攻擊，有效提升宿主機(jī)的安全。

技術(shù)領(lǐng)域

本公開涉及安全技術(shù)領(lǐng)域，具體而言，涉及一種基于容器宿主機(jī)的安全保護(hù)方法、基于容器宿主機(jī)的安全保護(hù)裝置，以及實(shí)現(xiàn)上述方法的電子設(shè)備。

背景技術(shù)

容器(Container)技術(shù)能夠有效的將單個(gè)操作系統(tǒng)的資源劃分到孤立的組中，以便更好的在孤立的組之間平衡有沖突的資源使用需求，從而能夠大幅提升工作效率。而便捷登錄容器的方案也是開發(fā)人員不斷追求的目標(biāo)。

相關(guān)技術(shù)提供的一種容器登錄方案為，基于安全殼程序(Secure Shell，簡(jiǎn)稱：SSH)登錄宿主機(jī)，然后在宿主機(jī)上使用相關(guān)容器命令來切進(jìn)容器。在這種容器登錄方案中，若用戶能通過SSH登錄宿主機(jī)，但是并沒有使用切進(jìn)容器，而可能通過宿主機(jī)漏洞進(jìn)而提權(quán)獲取宿主機(jī)的更大權(quán)限，進(jìn)而對(duì)宿主機(jī)實(shí)施破壞。

可見，針對(duì)相關(guān)技術(shù)提供的上述容器登錄方案，相關(guān)宿主機(jī)的安全性亟待提升。

需要說明的是，在上述背景技術(shù)部分公開的信息僅用于加強(qiáng)對(duì)本公開的背景的理解，因此可以包括不構(gòu)成對(duì)本領(lǐng)域普通技術(shù)人員已知的現(xiàn)有技術(shù)的信息。

發(fā)明內(nèi)容

本公開的目的在于提供一種基于容器宿主機(jī)的安全保護(hù)方法、基于容器宿主機(jī)的安全保護(hù)裝置、電子設(shè)備以及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，進(jìn)而在一定程度上在提升容器的宿主機(jī)的安全性。

根據(jù)本公開的一個(gè)方面，提供一種基于容器宿主機(jī)的安全保護(hù)方法，該方法包括：確定目標(biāo)賬號(hào)具有使用目標(biāo)容器的權(quán)限和具有登錄宿主機(jī)的權(quán)限中的至少一種權(quán)限，其中所述容器存儲(chǔ)于所述宿主機(jī)；響應(yīng)于上述目標(biāo)賬號(hào)登錄上述宿主機(jī)，監(jiān)聽上述目標(biāo)賬號(hào)在上述宿主機(jī)的執(zhí)行命令；通過監(jiān)聽結(jié)果確定上述目標(biāo)賬號(hào)是否用于切入上述宿主機(jī)中容器；響應(yīng)上述目標(biāo)賬號(hào)不用于切入上述宿主機(jī)中容器，退出上述目標(biāo)賬號(hào)在上述宿主機(jī)的登錄。

根據(jù)本公開的一個(gè)方面，提供一種基于容器宿主機(jī)的安全保護(hù)裝置，所述裝置包括：權(quán)限確定模塊、監(jiān)聽模塊、切入確定模塊以及退出模塊。

其中，上述權(quán)限確定模塊，被配置為：確定目標(biāo)賬號(hào)具有使用目標(biāo)容器的權(quán)限和具有登錄宿主機(jī)的權(quán)限中的至少一種權(quán)限，其中所述容器存儲(chǔ)于所述宿主機(jī)；上述監(jiān)聽模塊，被配置為：響應(yīng)于上述目標(biāo)賬號(hào)登錄上述宿主機(jī)，監(jiān)聽上述目標(biāo)賬號(hào)在上述宿主機(jī)的執(zhí)行命令；上述切入確定模塊，被配置為：通過監(jiān)聽結(jié)果確定上述目標(biāo)賬號(hào)是否用于切入上述宿主機(jī)中容器；以及，上述退出模塊，被配置為：響應(yīng)上述目標(biāo)賬號(hào)不用于切入上述宿主機(jī)中容器，退出上述目標(biāo)賬號(hào)在上述宿主機(jī)的登錄。

在示例性的實(shí)施例中，基于前述方案，上述切入確定模塊，被具體配置為：若上述監(jiān)聽結(jié)果為在上述目標(biāo)賬號(hào)登錄上述宿主機(jī)之后，在第一預(yù)設(shè)時(shí)長(zhǎng)內(nèi)未接收到來自上述目標(biāo)賬號(hào)的執(zhí)行命令，則確定上述目標(biāo)賬號(hào)不用于切入上述宿主機(jī)中容器。

在示例性的實(shí)施例中，基于前述方案，上述裝置還包括：校驗(yàn)?zāi)K。

其中，上述校驗(yàn)?zāi)K被配置為：若上述監(jiān)聽結(jié)果為在上述目標(biāo)賬號(hào)登錄上述宿主機(jī)之后，在上述第一預(yù)設(shè)時(shí)長(zhǎng)內(nèi)接收到來自上述目標(biāo)賬號(hào)的執(zhí)行命令，檢驗(yàn)上述執(zhí)行命令的合法性；以及，若上述執(zhí)行命令合法，則確定上述目標(biāo)賬號(hào)用于切入上述宿主機(jī)中容器；或，若上述執(zhí)行命令不合法，則確定上述目標(biāo)賬號(hào)不用于切入上述宿主機(jī)中容器。