本发明专利技术公开了一种基于标记的Linux脚本执行控制方法、系统及设备,在Linux系统启动时,进行全盘扫描,并给Linux系统全部文件设置合法标记,当检测是否有增添、被篡改或拷贝的文件,则将新增、被篡改或拷贝的文件的合法标记更改为非法标记,能全面、便捷的从根本上解决linux系统下对脚本文件执行的管控问题,直接在内核中对解释器的执行进行管控,从根本上对脚本文件的执行进行控制;在内核层做管控,不用修改各种类型的解释器来控制脚本,可以做到更全面的控制和降低维护成本。更全面的控制和降低维护成本。更全面的控制和降低维护成本。
【技术实现步骤摘要】
一种基于标记的Linux脚本执行控制方法、系统及设备
[0001]本申请涉及linux安全
,尤其涉及一种基于标记的Linux脚本执行控制方法、系统及设备。
技术介绍
[0002]随着linux系统的推广和普及,越来越多的企事业单位和用户开始使用linux系统进行办公和娱乐等,当linux系统的使用达到一定量时必然会吸引黑客的目光来加大对linux系统的攻击和破坏,因此linux系统安全性也需同步加强和重视。
[0003]linux系统中脚本执行是通过解释器来对脚本文件进行解释执行,只需要解释器对脚本文件具有读权限就可以解释执行该脚本文件,因此脚本文件因为该特性会成为大多数的攻击注入的点,及病毒、木马的栖身之所,所以对linux系统中脚本执行的控制成为系统安全加固的重要一环。
[0004]目前的linux可信执行环境对脚本文件的执行控制一般都是通过修改解释器来对相应类型的脚本文件的执行进行管控,而linux系统中的解释器和脚本类型种类繁多,通过修改解释器的方式来控制脚本文件执行,不仅需要修改大量的解释器,而且很容易修改不彻底,同时也会增大系统对这些修改的维护工作量等,工作量大,而且很难全面地对脚本文件执行的进行管控。
技术实现思路
[0005]为解决上述现有技术所存在的问题,本专利技术提出了一种基于标记的Linux脚本执行控制方法、系统及设备,能全面、便捷的从根本上解决linux系统下对脚本文件执行的管控问题。
[0006]为实现上述目的,本专利技术提供了一种基于标记的Linux脚本执行控制方法,其特征在于,包括:
[0007]步骤S1、在Linux系统启动时,进行全盘扫描,并给Linux系统全部文件设置合法标记;
[0008]步骤S2、检测是否有增添、被篡改或拷贝的文件,若有,则将新增、被篡改或拷贝的文件的合法标记更改为非法标记,若没有,则不进行更改;
[0009]步骤S3、当脚本文件执行时,触发执行程序执行,在执行程序执行脚本文件前,内核检查执行程序的标记是否是合法标记,若不是合法标记,则终止执行程序执行,若是合法标记,则检查执行程序的标记是否是代表解释器的合法标记,若不是代表解释器的合法标记,则执行程序继续执行,若是代表解释器的合法标记,则检查脚本文件的标记是否是合法标记,若脚本文件的标记是合法标记,则允许执行程序执行脚本文件,若脚本文件的标记是非法标记,则不允许执行程序执行脚本文件。
[0010]可选地,所述在Linux系统启动时为在Linux系统第一次启动时。
[0011]可选地,所述给Linux系统全部文件设置合法标记包括:
[0012]给解释器设置第一合法标记;
[0013]给包安装程序设置第二合法标记;
[0014]给临时文件系统设置第三合法标记;
[0015]给系统其他文件设置第四合法标记,其中,系统其他文件包括二进制程序、脚本文件、动态库和内核模块。
[0016]可选地,合法标记和非法标记均为文件扩展属性。
[0017]可选地,内核检查执行程序的标记是否是合法标记包括:
[0018]加载执行程序的代码段和数据段到内存;
[0019]从执行程序的扩展属性中获取标记;
[0020]判断执行程序的标记是否合法。
[0021]可选地,检查脚本文件的标记是否是合法标记包括:
[0022]解析需要执行的脚本文件的全路径;
[0023]通过文件路径获取脚本文件的标记;
[0024]判断脚本文件的标记是否为合法标记。
[0025]本专利技术还提供了一种基于标记的Linux脚本执行控制系统,包括
[0026]合法标记模块,用于在Linux系统启动时,进行全盘扫描,并给Linux系统全部文件设置合法标记;
[0027]非法标记模块,检测是否有增添、被篡改或拷贝的文件,若有,则将新增、被篡改或拷贝的文件的合法标记更改为非法标记,若没有,则不进行更改;
[0028]管理模块,用于当脚本文件执行时,触发执行程序执行,在执行程序执行脚本文件前,内核检查执行程序的标记是否是合法标记,若不是合法标记,则终止执行程序执行,若是合法标记,则检查执行程序的标记是否是代表解释器的合法标记,若不是代表解释器的合法标记,则执行程序继续执行,若是代表解释器的合法标记,则检查脚本文件的标记是否是合法标记,若脚本文件的标记是合法标记,则允许执行程序执行脚本文件,若脚本文件的标记是非法标记,则不允许执行程序执行脚本文件。
[0029]本专利技术还提供了一种基于标记的Linux脚本执行控制设备,包括:
[0030]存储器,用于存储计算机程序;
[0031]处理器,用于执行所述计算机程序时实现如上所述的基于标记的Linux脚本执行控制方法的步骤。
[0032]从以上技术方案可以看出,本专利技术的技术方案具有以下优点:
[0033]本专利技术在Linux系统启动时,进行全盘扫描,并给Linux系统全部文件设置合法标记,当检测是否有增添、被篡改或拷贝的文件,则将新增、被篡改或拷贝的文件的合法标记更改为非法标记,能全面、便捷的从根本上解决linux系统下对脚本文件执行的管控问题,直接在内核中对解释器的执行进行管控,从根本上对脚本文件的执行进行控制;在内核层做管控,不用修改各种类型的解释器来控制脚本,可以做到更全面的控制和降低维护成本。
附图说明
[0034]为了更清楚地表达说明本专利技术实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于
本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0035]图1为本专利技术实施例基于标记的Linux脚本执行控制方法的流程图。
具体实施方式
[0036]为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0037]本专利技术是基于标记的linux脚本执行控制,其主要用途是在linux安全执行环境中保证脚本文件执行的可信性和完整性。当脚本文件执行时,怎么判断脚本文件的合法性,当脚本文件非法时,怎么去限制其执行,这都是本专利技术解决的问题,同时为了能全面方便的对脚本文件执行进行控制,又提出在内核层通过对解释器的执行进行管控来达到对脚本文件执行控制的目的。
[0038]本专利技术的主要核心是对文件进行标记管理、内核对解释器参数解析和内核对程序的执行控制。参见图1,本实施例的一种基于标记的Linux脚本执行控制方法,具体实施时参见如下流程:
[0039]A)在系统第一次启动时,系统全盘标记初始化阶段,对解释器设置上本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于标记的Linux脚本执行控制方法,其特征在于,包括:步骤S1、在Linux系统启动时,进行全盘扫描,并给Linux系统全部文件设置合法标记;步骤S2、检测是否有增添、被篡改或拷贝的文件,若有,则将新增、被篡改或拷贝的文件的合法标记更改为非法标记,若没有,则不进行更改;步骤S3、当脚本文件执行时,触发执行程序执行,在执行程序执行脚本文件前,内核检查执行程序的标记是否是合法标记,若不是合法标记,则终止执行程序执行,若是合法标记,则检查执行程序的标记是否是代表解释器的合法标记,若不是代表解释器的合法标记,则执行程序继续执行,若是代表解释器的合法标记,则检查脚本文件的标记是否是合法标记,若脚本文件的标记是合法标记,则允许执行程序执行脚本文件,若脚本文件的标记是非法标记,则不允许执行程序执行脚本文件。2.根据权利要求1所述的基于标记的Linux脚本执行控制方法,其特征在于,所述在Linux系统启动时为在Linux系统第一次启动时。3.根据权利要求1所述的基于标记的Linux脚本执行控制方法,其特征在于,所述给Linux系统全部文件设置合法标记包括:给解释器设置第一合法标记;给包安装程序设置第二合法标记;给临时文件系统设置第三合法标记;给系统其他文件设置第四合法标记,其中,系统其他文件包括二进制程序、脚本文件、动态库和内核模块。4.根据权利要求1或3所述的基于标记的Linux脚本执行控制方法,其特征在于,合法标记和非法标记均为文件扩展属性。5.根据权利要求4所述的基于标记的Linux脚本执行控制方...
【专利技术属性】
技术研发人员:杨钊,姬一文,王玉成,郇福喜,杨诏钧,魏立峰,孔金珠,谌志华,
申请(专利权)人:麒麟软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。