[发明专利]Linux文件系统的访问控制方法及装置在审
| 申请号: | 202210381379.X | 申请日: | 2022-04-12 |
| 公开(公告)号: | CN114722432A | 公开(公告)日: | 2022-07-08 |
| 发明(设计)人: | 刘守业;喻望;晏艳;陈青松 | 申请(专利权)人: | 支付宝(杭州)信息技术有限公司 |
| 主分类号: | G06F21/64 | 分类号: | G06F21/64;G06F21/62 |
| 代理公司: | 北京布瑞知识产权代理有限公司 11505 | 代理人: | 张欣 |
| 地址: | 310000 浙江省杭州市*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | linux 文件系统 访问 控制 方法 装置 | ||
1.一种Linux文件系统的访问控制方法,包括:
在Linux操作系统启动过程中,注册Linux安全模块;
其中,所述Linux安全模块用于执行以下操作:
调用签名验签模块,以从签名验签服务器获取配置信息,所述配置信息用于记录Linux文件系统中的被保护文件以及所述被保护文件的保护策略;
根据所述保护策略对所述被保护文件进行文件保护;
其中,所述签名验签模块用于执行以下操作:
响应于接收到第一用户对所述配置信息的修改请求,对所述第一用户的签名进行验证;
如果所述第一用户的签名通过验证,修改所述配置信息。
2.根据权利要求1所述的方法,所述Linux安全模块还用于执行以下操作:
接收第一进程发送的文件访问请求;
在所述第一进程对应的用户为根用户的情况下,判断所述第一进程是否为从容器中逃逸的进程,如果所述第一进程为从所述容器中逃逸的进程,则拒绝所述文件访问请求。
3.根据权利要求2所述的方法,所述第一进程对应的任务结构体中记录有所述第一进程的父进程的容器标识,
所述判断所述第一进程是否为从容器中逃逸的进程,包括:
查找所述第一进程对应的任务结构体,以获取所述第一进程的父进程的容器标识;
如果所述第一进程的父进程的容器标识与所述第一进程的容器标识不同,确定所述第一进程为从所述容器中逃逸的进程。
4.根据权利要求3所述的方法,所述父进程的容器标识由所述父进程的mnt_mns字段获取。
5.根据权利要求1所述的方法,所述被保护文件为所述Linux文件系统中的用户文件。
6.根据权利要求1所述的方法,所述Linux安全模块还用于执行以下操作:
接收第二进程发送的文件访问请求;
如果所述第二进程对应的用户为登录用户且用户权限为根用户权限,则拒绝所述文件访问请求。
7.根据权利要求1所述的方法,Linux安全模块还用于执行以下操作:根据所述配置信息,将所述被保护文件和/或所述保护策略导出至Linux文件系统接口中。
8.一种Linux文件系统的访问控制装置,包括:
注册单元,用于在Linux操作系统启动过程中,注册Linux安全模块;
其中,所述Linux安全模块用于执行以下操作:
调用签名验签模块,以从签名验签服务器获取配置信息,所述配置信息用于记录Linux文件系统中的被保护文件以及所述被保护文件的保护策略;
根据所述保护策略对所述被保护文件进行文件保护;
其中,所述签名验签模块用于执行以下操作:
响应于接收到第一用户对所述配置信息的修改请求,对所述第一用户的签名进行验证;
如果所述第一用户的签名通过验证,修改所述配置信息。
9.根据权利要求8所述的装置,所述Linux安全模块还用于执行以下操作:
接收第一进程发送的文件访问请求;
在所述第一进程对应的用户为根用户的情况下,判断所述第一进程是否为从容器中逃逸的进程,如果所述第一进程为从所述容器中逃逸的进程,则拒绝所述文件访问请求。
10.根据权利要求9所述的装置,所述第一进程对应的任务结构体中记录有所述第一进程的父进程的容器标识,
所述判断所述第一进程是否为从容器中逃逸的进程,包括:
查找所述第一进程对应的任务结构体,以获取所述第一进程的父进程的容器标识;
如果所述第一进程的父进程的容器标识与所述第一进程的容器标识不同,确定所述第一进程为从所述容器中逃逸的进程。
11.根据权利要求10所述的装置,所述父进程的容器标识由所述父进程的mnt_mns字段获取。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于支付宝(杭州)信息技术有限公司,未经支付宝(杭州)信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202210381379.X/1.html,转载请声明来源钻瓜专利网。
