[发明专利]一种Linux系统脚本程序运行时验证与管控方法

说明书

本发明公开了一种Linux系统脚本程序运行时验证与管控方法，具体涉及计算机操作系统安全增强技术领域，包括在内核中定义存储脚本文件解释器路径的全局变量和接口函数，还在内核中增加一个配置文件和开机服务，并在execve系统调用中增加HOOK点；系统启动时将脚本文件解释器的路径加载到内核中。本发明通过对IMA机制进行了补充，并提供了一种基于IMA机制的脚本文件运行时验证和管控方法，可以在执行脚本文件时验证脚本文件的度量值，以管控脚本文件的执行过程，从而判断脚本文件的内容是否发生了变化，如果脚本文件的内容发生了变化，可以拒绝执行脚本文件，从而保证计算机系统安全。

技术领域

本发明涉及计算机操作系统安全增强技术领域，更具体地说，本发明涉及一种Linux系统脚本程序运行时验证与管控方法。

背景技术

随着科技的不断发展，计算机系统已经深入到人们生活的方方面面，极大的方便了人们的生活和工作。同时，计算机和网络安全事件频发，严重影响了国家安全、社会稳定和经济发展。为了应对计算机和网络安全事件，人们提出了各种解决方案，比如防火墙、入侵检测、杀毒软件、可信计算，等等。其中，可信计算是最后一道防线，当黑客突破防火墙、入侵检测、杀毒软件的防护，侵入计算机系统内部后，可信计算仍可对入侵行为进行拦截。

可信计算(TrustedComputing)是一项由可信计算联盟(TrustedComputingGroup)推动和开发的技术，其核心目标之一是保证系统和应用的完整性。任何软件，在运行前必须先进行完整性和正确性检查，经过检查后才能运行。可信计算主要通过度量和验证等技术手段实现，度量指采集系统或软件的正确状态作为参考值，验证指将系统或软件运行时的状态与参考值进行比较，如果一致，则验证通过，系统或软件可以运行；如果不一致，则验证失败，系统或软件不允许运行。

Linux操作系统中最具代表性的可信计算技术是IBM公司在UsenixSecuritySymposium2014会议上提出的IMA(IntegrityMeasurement Architecture)机制，该机制被Linux基金会合并到Linux内核2.6.30主线代码中，并持续进行更新。具体而言，IMA机制的实施包含两个主要的步骤，分别是度量和验证。

度量指安装完操作系统后，遍历系统中每一个文件，并根据文件内容计算出一个初始度量值作为参考，保存在文件的属性中。同样的，当安装完一个新的软件后，也需要度量该软件包含的所有文件。

验证指当运行一个软件或打开一个文件时，再次计算文件的度量值。如果文件内容发生了变化(比如被恶意篡改了)，度量值会发生变化。将新的度量值与初始度量值进行比对，如果两个度量值一样，则允许运行软件或打开文件；如果两个度量值不一样，则禁止运行软件或打开文件。

从代码实现层面看，IMA机制定义了四种主要的验证类型，分别是：FILE_CHECK、MMAP_CHECK、MODULE_CHECK、BPRM_CHECK。FILE_CHECK代表普通文件，IMA机制在open系统调用中增加了验证函数，验证通过才能打开文件；MMAP_CHECK代表动态库文件，IMA机制mmap系统调用中增加了验证函数，验证通过才能映射动态库到内存中；MODULE_CHECK代表内核模块文件，IMA机制在init_module系统调用中增加了验证函数，验证通过后才能加载内核模块；BPRM_CHECK代表ELF格式的可执行文件，IMA机制在execve系统调用中增加了验证函数，验证通过后才可以运行可执行文件。

系统管理员可以设置IMA机制的验证类型，从而对一种或多种类型的文件进行验证。例如设置MMAP_CHECK和BPRM_CHECK两种类型，则只验证动态库文件和ELF格式的可执行文件，不验证普通文件和内核模块文件。即使普通文件的内容发生了变化，仍然能够打开并读取文件内容；即使内核模块文件的内容发生了变化，仍然能加载内核模块文件。