本申請涉及網絡安全技術領域，尤其涉及一種容器環境下的文件防篡改方法及裝置，獲取進程發起的文件修改請求，其中，所述文件修改請求中至少包括所述進程的名字空間信息和待修改文件對應的文件名或文件路徑信息；根據所述名字空間信息、預設的容器實例標識計算算法，以及各名字空間信息與容器實例標識之間的對應關系，計算所述進程所屬的容器實例對應的容器實例標識；根據所述容器實例標識，查找到所述容器實例對應的文件防護策略；根據所述文件防護策略和所述文件路徑，確定是否阻止所述進程對所述待修改文件進行修改。這樣，能夠提高多容器實例環境下文件防篡改檢測的準確度。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種容器環境下的文件防篡改方法及裝置。

背景技術

目前，隨著容器技術的發展，業務容器化被廣泛應用于多種場景中，例如，可以應用于公有云、私有云等業務中。為了保證容器文件的安全性，相應地就需要防止容器文件被篡改，因此，如何能夠實現對Linux操作系統容器環境下的文件防篡改進行檢測，成為了一個亟待解決的問題。

相關技術中，當需要確定是否允許進程對文件進行修改時，可以采用內核事件觸發機制實現。例如，對操作系統I/O訪問相關系統調用函數進行HOOK處理，當進程發起文件寫操作請求時，對進程的合法性進行檢測，從而確定是否允許進程對文件進行修改。

然而，使用相關技術中的這種方式對文件防篡改進行檢測時，若同一個宿主機環境下同時運行多個(2個或以上)容器實例，且任意2個容器實例內存在相同的防護目錄或防護文件但各自擁有不同的訪問權限，當其中任意一個容器實例中的任意一個應用發起對防護目錄或防護文件的訪問請求時，系統無法判斷發起文件訪問請求的進程來源于哪一個容器，也就無法確定該進程是否擁有該防護文件的訪問請求，從而會降低文件防篡改檢測的準確度。

發明內容

本申請實施例提供一種容器環境下的文件防篡改方法及裝置，以提高文件防篡改檢測的準確度。

本申請實施例提供的具體技術方案如下：

一種容器環境下的文件防篡改方法，包括：

獲取進程發起的文件修改請求，其中，所述文件修改請求中至少包括所述進程的名字空間信息和待修改文件對應的文件名或文件路徑信息；

根據所述名字空間信息、預設的容器實例標識計算算法，以及各名字空間信息與容器實例標識之間的對應關系，計算所述進程所屬的容器實例對應的容器實例標識，其中，宿主機內核管理各容器實例標識，每一個容器實例標識對應于一種預先配置的文件防護策略；

根據所述容器實例標識，查找到所述容器實例對應的文件防護策略，其中，所述文件防護策略中至少包括各防護目錄或具體的防護文件路徑和對應的訪問權限；

根據所述文件防護策略和所述文件路徑，確定是否阻止所述進程對所述待修改文件進行修改。

可選的，獲取進程發起的文件修改請求之前，進一步包括：

獲取防護策略配置請求，其中，所述防護策略配置請求中至少包括配置服務進程對應的名字空間信息，防護目錄或具體的防護文件路徑，以及所述各文件的訪問權限；

根據所述配置服務進程對應的名字空間信息，計算所述配置服務進程所屬的容器實例標識；

針對具體的容器實例，從宿主機內核管理的容器實例防護信息表中分配一個空白防護信息項，將當前容器實例標識及配置請求中攜帶的每個防護策略信息字段填充到該新分配的防護信息項對應的內容字段中。

可選的，若所述文件防護策略中至少包括待防護列表，則根據所述文件防護策略和所述文件路徑，確定是否阻止所述進程對所述待修改文件進行修改，具體包括：