[发明专利]用于Linux主机的用户访问的控制方法

说明书

本发明涉及用于Linux主机的用户访问的控制方法，包括：步骤A：部署访问控制集中管理系统，并且在目标主机中部署节点代理程序，通过节点代理程序获取所有允许登录目标主机的用户名；步骤B：第一次初始化：通过节点代理程序修改Linux系统底层配置文件，将所有目标主机的用户名的权限均设置为禁止从任意地点登录；步骤C：第二次初始化：根据所述用户名的不同角色属性，通过节点代理程序修改底层配置文件对各用户名的登录地址和/或网络交互地址进行选择性开放。本发明通过两次初始化，并且通过修改操作系统底层配置文件的方式，实现了本地用户和网络用户的用户级的访问控制，使Linux主机用户访问权限得到了最小化控制，实现了更高精度的安全管控。

技术领域

本发明涉及对计算机用户的主机访问控制的方法，具体讲是用于Linux主机的用户访问的控制方法。

背景技术

目前Linux主机的用户一般是通过安全审计系统和基于网络层的访问控制来实现对主机登录和访问的控制。该实现技术存在被绕过的可能性。

在基于安全审计系统的访问控制中，该控制方式只能通过安全审计系统限制使用人员可以本地访问和操作的Linux主机，无法限制主机间的网络访问，即用户可从一台Linux主机通过网络登录其相邻主机，从而绕过安全审计系统设置的访问限制。

而通过基于网络层的访问控制虽然可以限制Linux主机间的访问，但无法限制具体哪些Linux主机用户可以登录，即该控制方式的控制精度无法达到用户级。

因此目前的两种登录/访问控制方式都有着明显的缺陷，使得Linux主机存在安全隐患。

发明内容

本发明提供了一种用于Linux主机的用户访问的控制方法，使对Linux主机的权限控制既能控制本地主机，也能控制网络登录，提高Linux主机的安全性。

本发明用于Linux主机的用户访问的控制方法，包括：

步骤A：在与目标主机相同的内网环境中部署访问控制集中管理系统，并且在目标主机中部署节点代理程序，通过节点代理程序获取所有允许登录目标主机的用户名；访问控制集中管理系统与目标主机在同一内网中相互独立。

步骤B：第一次初始化：通过节点代理程序修改Linux系统底层配置文件，将所有允许登录目标主机的用户名的权限均设置为禁止从任意地点登录；

步骤C：第二次初始化：根据所述用户名的不同角色属性，通过节点代理程序修改Linux系统底层配置文件来对各用户名的登录地址和/或网络交互地址进行选择性开放。

所述的网络交互即是通过网络登录和访问相邻的主机。本发明通过两次初始化，并且通过修改操作系统底层配置文件的方式，实现了本地用户和网络用户的用户级的访问控制，使Linux主机用户访问权限得到了最小化控制，实现了更高精度的安全管控。

具体的，步骤B的第一次初始化中，在Linux系统底层配置文件中将所有用户名的交互权限设置为禁止属性，并将所有用户名的允许登录属性中的源地址设为空值(none)。

具体的，步骤C的第二次初始化中，在对一个用户名的权限进行选择性开放时，对该用户名的登录地址和网络交互地址至少开放其中一种、或均设置为禁止。

进一步的，当有新的用户名允许登录/访问Linux主机，或Linux主机中原有的用户名的权限发生变更时，操作步骤包括：

步骤D：当变更用户名的权限时，通过所述的访问控制集中管理系统提出变更请求；

步骤E：访问控制集中管理系统根据请求生成变更指令，管理员确认变更指令后，访问控制集中管理系统将变更指令存储至数据库，同时将变更指令下发至对应的目标主机的节点代理程序；