一種提高內網linux伺服器安全性的方法
2023-09-21 07:09:30 1
專利名稱:一種提高內網linux伺服器安全性的方法
技術領域:
本發明涉及計算機安全技術領域,具體涉及一種提高內網LINUX伺服器安全性的方法。
背景技術:
在計算機不斷發展的今天,安全問題從來都是熱點話題。尤其是隨著網際網路的飛速傳播,安全問題無處不在,無孔不入。從「熊貓燒香」的肆虐橫行,到「灰鴿子」的再次泛濫,數億計算機體驗到了病毒來襲時的瘋狂,也見識到了作業系統的脆弱。
為了尋找相對的安全,不少企業開始放棄Windows作業系統,改用Linux這款號稱絕對安全的作業系統。然而,在實際應用中,人們在體驗到了 Windows漏洞百出的尷尬之後,再次體驗到了 Linux系統脆弱的一面。
英國一家安全公司對某年一月份發生的安全攻擊事件進行調查,在成功的安全攻擊中,約有80%是成功地攻擊了 Linux伺服器。這些攻擊事件既有黑客遠程手動攻擊,也有通過病毒、蠕蟲或其他惡意程序發動的攻擊。
除了來自外部的黑客攻擊,來自內網用戶的誤操作以及病毒傳播和惡意攻擊也使得LINUX系統不安全。用戶有意或者無意的帶入風險,以及對於數據的拷貝洩漏同樣給企業造成了很大的麻煩。雖然系統本身有history工具,但是它不是實時的,在用戶登出以後才能看到其記錄。同時無法實時監測用戶行為,也就無法對可能的危害做出預防,無法進行損失的控制。因此對於內網安全風險的防範顯得格外重要。發明內容
本發明的技術任務是針對在現有技術的不足,提供一種提高內網LINUX伺服器安全性的方法。
本發明的技術方案是按以下方式實現的,該一種提高內網LINUX伺服器安全性的方法,其具體實現過程為1)在內網中,通過LINUX伺服器本身的工具及命令給用戶分配相應的權限;2)對其登入過程進行進行判斷提醒;3)對整個登入到登出過程進行實時監控和記錄,對其操作進行分析和報告,採取相應的安全措施;4)用戶登出系統後,將其操作日誌歸檔並發送給其本人。
上述技術方案中的內網中,通過LINUX伺服器本身的工具及命令給用戶分配相應的權限,對其登入到登出的整個過程進行實時監控和記錄,對其操作進行分析和報告,並採取相應的安全措施,其主要針對對象為內部認證用戶,其安全考慮主要針對內網用戶操作的特點進行防範,主要是用戶的一些無意或者故意的可能對系統造成危害的操作。
此類伺服器作業系統為LINUX作業系統且支持sh、bash等相關解釋器,安裝有相關接口,可執行相關命令及操作。
所述步驟I)的具體實現步驟為系統管理員給每個用戶預設一個授權文件,其中包括用戶可以進行的操作以及可以訪問的數據,同時根據系統的特點設定不同隱患操作下對應的策略。
所述步驟2)的具體實現步驟為管理員對是否用戶登入進行判斷,若密碼連續錯誤,則發出提醒其檢查是否本人登入;若非本人登入,管理員封鎖MAC地址並查找對應可疑人員進行後續處理;若是本人忘記密碼,則向管理員申請密碼修改。
所述步驟3)的具體實現步驟為管理員實時監控的操作,若用戶登入後自動讀取授權文件,並在規定的權限範圍內進行合理操作,訪問已授權的數據,管理員記錄用戶的操作;若用戶進行授權以外的命令和數據嘗試,則對其發出警告並在一定次數後自動將其踢出系統,凍結帳號,通知管理員。
上述技術方案中,伺服器通過一定的工具和程序對用戶進行實時的監控和詳細的日誌記錄,如果有非正常登錄以及非正常操作等預設風險,則根據設定的策略採取相應的措施保證系統的安全。
本發明與現有技術相比所產生的有益效果是本發明的一種提高內網LINUX伺服器安全性的方法,利用LINUX伺服器自身提供的接口及工具等,授予用戶相應的權限,並全程監控和記錄其活動,在發生危險動作的時候做出相應的措施來保證系統的安全,實時、高效,第一時間避免事故的發生,同時詳細的記錄為日後的分析提供了依據。
具體實施方式
下面對本發明所提供的一種提高內網LINUX伺服器安全性的方法作以下詳細說明。
為了消除來自內網的隱患,主要是區域網內部授權用戶的有意或者無意的誤操作以及一些非授權用戶的惡意攻擊,一定程度上提高LINUX伺服器的安全性,我們需要一種有效可行的方法來進行安全保護,從而讓伺服器能健壯的運行,現提供一種提高內網LINUX 伺服器安全性的方法,本發明提供的方法對於未成功登錄的用戶,若其不斷嘗試以錯誤的密碼登入,則將其對應的終端信息發郵件給用戶提醒其檢查是否本人在不斷嘗試登錄,以免他人盜用其用戶名和密碼。對於成功登錄的用戶,則按照相應的設置進行權限的授予,從操作和數據等方面進行控制,從程序和命令等方面進行監控,並將操作的時間和對象以及屏幕的輸入輸出進行詳細的日誌記錄,如有惡意程序和違規操作立即發送郵件告知管理員同時對其進行警告,多次提醒無效以後則強行將其踢出系統,凍結帳號。
該方法的具體實現步驟為I)系統管理員給每個用戶預設一個授權文件,其中包括用戶可以進行的操作以及可以訪問的數據,同時根據系統的特點設定不同隱患操作下對應的策略,包括警告、將用戶踢出系統等。
2)如果某用戶不停的嘗試以某個用戶名登入系統,但是總是密碼錯誤,則將對應的IP位址和信息發郵件給此用戶名對應的人員,提醒其檢查是否本人登錄,若非本人登錄及時告知管理員,將此MAC地址封鎖,查找對應的可疑人員進行後續的處理。若是本人忘記密碼,則向管理員申請密碼修改。此項內容可以通過系統提供的網絡管理工具進行信息抓取分析記錄,然後做出相應的動作。
3)用戶登錄以後自動讀取授權文件,初始化其操作環境,且此權限不可自己更改, 如有需要可向管理員提出申請。用戶需在規定的範圍內進行合理的操作命令,訪問已授權的數據。通過系統本身提供的精細的管理做到合理的運用和控制。
4)從用戶登入系統起,系統開始實時監控和記錄其所有的操作,包括登入和登出的時間,密碼的修改,執行的命令和程序,訪問的數據,屏幕的輸入和輸出等等,而且都對應記錄相應的時間,以便將來的查看和分析。
5)如果用戶總是進行授權以外的命令和數據訪問嘗試,則對其發出警告同時通知管理員,超過一定次數之後自動將其踢出系統,凍結帳號,需要向管理員說明情況。很多系統只是簡單的做了權限的設置,但是沒有更深一步的用戶分析,通過監控記錄此過程可以提前發現隱患,保證伺服器的安全。
6)用戶登出系統以後,則將其操作日誌在伺服器上自動保存同時通過郵件發送給他,方便其對整個操作過程進行回顧和記錄。
本方法的特點在於結合了伺服器自身的特性和工具,更加詳細和智能的處理關於系統安全方面的問題。
權利要求
1.一種提高內網LINUX伺服器安全性的方法,其特徵在於其具體實現過程為 1)在內網中,通過LINUX伺服器本身的工具及命令給用戶分配相應的權限; 2)對其登入過程進行進行判斷提醒; 3)對整個登入到登出過程進行實時監控和記錄,對其操作進行分析和報告,採取相應的安全措施; 4)用戶登出系統後,將其操作日誌歸檔並發送給其本人。
2.根據權利要求I所述的一種提高內網LINUX伺服器安全性的方法,其特徵在於所述步驟I)的具體實現步驟為系統管理員給每個用戶預設一個授權文件,其中包括用戶可以進行的操作以及可以訪問的數據,同時根據系統的特點設定不同隱患操作下對應的策略。
3.根據權利要求I或2所述的一種提高內網LINUX伺服器安全性的方法,其特徵在於所述步驟2)的具體實現步驟為管理員對是否用戶登入進行判斷,若密碼連續錯誤,則發出提醒其檢查是否本人登入;若非本人登入,管理員封鎖MAC地址並查找對應可疑人員進行後續處理;若是本人忘記密碼,則向管理員申請密碼修改。
4.根據權利要求I所述的一種提高內網LINUX伺服器安全性的方法,其特徵在於所述步驟3)的具體實現步驟為管理員實時監控的操作,若用戶登入後自動讀取授權文件,並在規定的權限範圍內進行合理操作,訪問已授權的數據,管理員記錄用戶的操作;若用戶進行授權以外的命令和數據嘗試,則對其發出警告並在一定次數後自動將其踢出系統,凍結帳號,通知管理員。
5.根據權利要求3所述的一種提高內網LINUX伺服器安全性的方法,其特徵在於所述步驟3)的具體實現步驟為管理員實時監控的操作,若用戶登入後自動讀取授權文件,並在規定的權限範圍內進行合理操作,訪問已授權的數據,管理員記錄用戶的操作;若用戶進行授權以外的命令和數據嘗試,則對其發出警告並在一定次數後自動將其踢出系統,凍結帳號,通知管理員。
全文摘要
本發明提供一種提高內網LINUX伺服器安全性的方法,在內網中,通過LINUX伺服器本身的工具及命令給用戶分配相應的權限,對其登入到登出的整個過程進行實時監控和記錄,對其操作進行分析和報告,並採取相應的安全措施。該一種提高內網LINUX伺服器安全性的方法和現有技術相比,針對一些惡意用戶,通過實時監控、命令分析、對應策略、完備的日誌對內部用戶做到有效的控制,對風險做到有效的防範,在一定程度上提高了系統的安全。
文檔編號H04L29/06GK102984141SQ20121047456
公開日2013年3月20日 申請日期2012年11月21日 優先權日2012年11月21日
發明者戶勇輝 申請人:浪潮電子信息產業股份有限公司