CN110266710A - 一种集群安全防护方法、装置、服务器及存储介质 - Google Patents
一种集群安全防护方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN110266710A CN110266710A CN201910569160.0A CN201910569160A CN110266710A CN 110266710 A CN110266710 A CN 110266710A CN 201910569160 A CN201910569160 A CN 201910569160A CN 110266710 A CN110266710 A CN 110266710A
- Authority
- CN
- China
- Prior art keywords
- server
- cluster
- address
- target
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims description 78
- 238000001514 detection method Methods 0.000 claims description 8
- 230000008859 change Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 5
- 230000001360 synchronised effect Effects 0.000 abstract description 10
- 230000008569 process Effects 0.000 description 8
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 239000007943 implant Substances 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5053—Lease time; Renewal aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1044—Group management mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请提供一种集群安全防护方法、装置、服务器及存储介质,集群中的每个服务器均可认为是一个目标服务器,目标服务器若开机启动确定满足信息更新条件,检测当前集群中处于开机状态的各个第一服务器的IP地址(第一服务器拥有对该目标服务器本地的目标文件的操作权限),将本地的信任主机信息中的第一地址信息更新为所检测到的IP地址,并向集群中除该目标服务器以外的各个第二服务器发送更新通知。本申请可以自动实现对集群中各个服务器的本地的信任主机信息中的第一地址信息的同步更新,进而基于集群中各个服务器存储的第一地址信息实现对集群的安全防护。
Description
技术领域
本发明涉及计算机安全防护技术领域,更具体地说,涉及一种集群安全防护方法、装置、服务器及存储介质。
背景技术
随着计算机和网络技术的不断发展,越来越多的黑客看到了网络数据的价值,采取非法手段入侵服务器,修改服务器上的文件、在服务器上植入木马等等,导致了服务器应用用户的损失。尤其是对于由多台服务器构成的集群而言,如何对集群进行安全防护,保护集群中各个服务器文件的安全性,已成为集群技术的重要研究方向。
发明内容
有鉴于此,本发明提出一种集群安全防护方法、装置、服务器及存储介质,以实现对集群的安全防护。
为了实现上述目的,现提出的方案如下:
一种集群安全防护方法,包括:
集群中的目标服务器若满足信息更新条件,检测当前所述集群中处于开机状态的各个第一服务器的IP地址,所述信息更新条件包括开机启动或接收到所述集群中除所述目标服务器以外的第二服务器发送的更新通知;所述第一服务器拥有对所述目标服务器本地的目标文件的操作权限;
所述目标服务器将本地的信任主机信息中的第一地址信息更新为所述第一服务器的IP地址;
若所述信息更新条件为所述开机启动,向所述第二服务器发送更新通知。
优选的,所述信息更新条件还包括检测到自身的IP地址发生变更,该方法还包括:
若所述信息更新条件为所述检测到自身的IP地址发生变更,向所述第二服务器发送更新通知。
优选的,若所述目标服务器为主控服务器,所述信息更新条件还包括接收用户对所述集群中服务器的设置操作,该方法还包括:
若所述信息更新条件为接收到用户对所述集群中服务器的设置操作,向所述第二服务器发送更新通知。
优选的,若所述目标服务器为非主控服务器,所述集群中除所述目标服务器以外的各个第二服务器中包括作为主控服务器的第二服务器,
所述接收到所述集群中除所述目标服务器以外的第二服务器发送的更新通知,包括:接收所述主控服务器响应用户对所述集群中服务器的设置操作发送的更新通知。
优选的,还包括:
所述目标服务器拦截自身待发出的操作命令;
所述目标服务器检测所述操作命令是否为登录命令;
若所述目标服务器检测到所述操作命令为登录命令,所述目标服务器检测请求服务器是否合法,所述请求服务器用于请求所述目标服务器发出所述操作命令;
若所述目标服务器检测到所述请求服务器合法,发出所述操作命令。
优选的,所述目标服务器检测请求服务器是否合法,包括:
所述目标服务器检测请求服务器是否为远程服务器;
若所述目标服务器检测到所述请求服务器为远程服务器,所述目标服务器检测所述信任主机信息中的第二地址信息中是否包括所述请求服务器的IP地址;
若所述目标服务器检测到所述第二地址信息中包括所述请求服务器的IP地址,确定所述登录命令合法;
若所述目标服务器检测到所述第二地址信息中不包括所述请求服务器的IP地址,确定所述登录命令不合法。
优选的,还包括:
若所述目标服务器为主控服务器,所述目标服务器响应用户对远程信任服务器的设置操作,将所述第二地址信息中的IP地址更新为所述远程信任服务器的IP地址;
或者,
若所述目标服务器为非主控服务器,所述目标服务器接收主控服务器响应用户对远程信任服务器的设置操作发送的更新请求;所述目标服务器响应所述更新请求,将所述第二地址信息中的IP地址更新为所述更新请求携带的所述远程信任服务器的IP地址,所述集群中除所述目标服务器以外的各个第二服务器中包括作为所述主控服务器的第二服务器。
一种集群安全防护装置,包括:
IP地址检测单元,用于若满足信息更新条件,检测当前所述集群中处于开机状态的各个第一服务器的IP地址,所述信息更新条件包括开机启动或接收到所述集群中除所述目标服务器以外的第二服务器发送的更新通知;所述第一服务器拥有对所述目标服务器本地的目标文件的操作权限;
第一地址信息更新单元,用于将本地的信任主机信息中的第一地址信息更新为所述第一服务器的IP地址;
第一更新通知发送单元,用于若所述信息更新条件为所述开机启动,向所述第二服务器发送更新通知。
一种服务器,包括:至少一个存储器和至少一个处理器;所述存储器存储有程序,所述处理器调用所述存储器存储的程序,所述程序用于实现所述集群安全防护方法。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行所述集群安全防护方法。
本申请提供一种集群安全防护方法、装置、服务器及存储介质,集群中的每个服务器均可认为是一个目标服务器,目标服务器若开机启动便确定满足信息更新条件,检测当前集群中处于开机状态的各个第一服务器的IP地址(第一服务器拥有对该目标服务器本地的目标文件的操作权限),将本地的信任主机信息中的第一地址信息更新为所检测到的IP地址,并向集群中除该目标服务器以外的各个第二服务器发送更新通知。本申请可以自动实现对集群中各个服务器的本地的信任主机信息中的第一地址信息的同步更新,进而基于集群中各个服务器存储的第一地址信息实现对集群的安全防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种集群安全防护方法流程图;
图2为本申请实施例提供的另一种集群安全防护方法流程图;
图3为本申请实施例提供的又一种集群安全防护方法流程图;
图4为本申请实施例提供的一种第二服务器同步更新其本地的信任主机信息中的第一地址信息的方法流程图;
图5为本申请实施例的提供的又一种集群安全防护方法流程图;
图6为本申请实施例提供的一种目标服务器检测请求服务器是否合法的方法流程图;
图7为本申请实施例提供的一种集群中服务器本地的信任主机信息中第二地址信息的更新方法流程图;
图8为本申请实施例提供的一种集群安全防护装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:
集群由多个服务器构成,集群中的各个服务器之间可以互相访问,集群中的服务器也可以被远程服务器访问。
为了保护集群中各个服务器中文件的安全性,可以针对集群中的每个服务器而言,在该服务器本地设置一个信任主机信息,该信任主机信息包括第一地址信息和第二地址信息,其中,服务器中的第一地址信息指示集群中拥有对该服务器本地的目标文件的操作权限的其他服务器,服务器中的第二地址信息指示拥有对该服务器本地的目标文件的操作权限的远程服务器。
现以集群中的一个服务器为例进行说明,为了便于区分暂将该服务器称为服务器A,针对服务器A而言,在该服务器A本地设置信任主机信息,该信任主机信息包括第一地址信息和第二地址信息,其中,服务器A中的第一地址信息指示的集群中的服务器,并且该第一地址信息指示的集群中的服务器拥有对服务器A本地的目标文件的操作权限;服务器A存储的第二地址信息指示远程服务器,并且该第二地址信息指示的远程服务器拥有对服务器A本地的目标文件的操作权限。
在本申请实施例中,针对集群中的每个服务器而言,服务器中除了可以设置有一个信任主机信息以外,还可以设置一个白名单和一个黑名单,其中,服务器中的白名单指示服务器中的文件,服务器中的黑名单也指示服务器中的文件。只是,服务器的白名单指示的服务器中的文件对所有服务器而言具备操作权限,而服务器的黑名单指示的服务器中的文件仅对该服务器本地的信任主机信息的第一地址信息指示的服务器和第二地址信息指示服务器具备操作权限。比如,上述服务器A本地的目标文件可以理解为服务器A的黑名单中的各个文件。
作为本申请实施例的一种优选方式,操作权限可以为读写权限,服务器的白名单指示的该服务器中的文件对所有服务器具备读写权限,服务器的黑名单指示的该服务器中的文件仅对该服务器本地的信任主机信息中的第一地址信息指示的服务器和第二地址信息指示的服务器具备读写权限。即,服务器的黑名单指示的服务器中的文件不可以被除了该服务器本地的信任主机信息指示的服务器以外的服务器读写。
集群中的每个服务器中均存储有本地的信任主机信息、白名单和黑名单,本申请基于集群中各个服务器存储的白名单和黑名单并结合对集群中各个服务器本地的信息主机信息的同步更新可以实现对集群的安全防护。
在本申请实施例中,集群中包括多台服务器,可以同时将集群中的每一台服务器看成是一台目标服务器,集群中的每台目标服务器均可以执行本申请实施例提供的如图1所示的集群安全防护方法。
本申请实施例中,同时将集群中的每一台服务器看成是一台目标服务器,针对集群中的每一台目标服务器而言,该台目标服务器在执行如图1所示的集群安全防护方法时,可以将集群中除该台目标服务器以外的每台服务器作为一台第二服务器(即,将集群中除该台目标服务器以外的每台目标服务器作为一台第二服务器)。
下面从一台目标服务器执行本申请实施例提供的如图1所示的集群安全防护方法的角度对本申请实施例提供的一种集群安全防护方法进行详细说明。参见图1,该方法包括:
S101、集群中的目标服务器若满足信息更新条件,检测当前集群中处于开机状态的各个第一服务器的IP地址,信息更新条件包括开机启动或接收到集群中除目标服务器以外的第二服务器发送的更新通知;第一服务器拥有对目标服务器本地的目标文件的操作权限;
在本申请实施例中,针对集群中的每台目标服务器而言,若该台目标服务器开机启动或接收到更新通知,则该台目标服务器满足信息更新条件,检测集群中当前处于开机状态的各台服务器,并将检测到的每台处于开机状态的服务器看成是一台第一服务器,获取每台第一服务器的IP地址。该台目标服务器本地存储有黑名单,该台目标服务器的黑名单中的文件可以认为是该台目标服务器中的目标文件,第一服务器拥有对该台目标服务器黑名单中的目标文件的操作权限。
作为本申请实施例的一种优选实施方式,针对一台目标服务器而言,若该台目标服务器开机启动则该台目标服务器满足信息更新条件,或者,若该台目标服务器接收到更新通知则该台目标服务器满足信息更新条件。针对该台目标服务器而言,该台目标服务器在执行本申请实施例提供的一种集群安全防护方法时,可以将集群中除该台目标服务器以外的每一台服务器看成是一台第二服务器,若该台服务器接收到第二服务器发送的更新通知则确定满足信息更新条件。
需要注意的是:可以同时将集群中的每台服务器看成是一台目标服务器,每台目标服务器均执行本申请实施例提供的一种集群安全防护方法,针对于一台目标服务器而言,该台目标服务器在执行本申请实施例提供的集群安全防护方法时,集群中除该台目标服务器以外的每台服务器(也可称为第二服务器)也是在执行本申请实施例提供的集群安全防护方法的。相应的,第二服务器在执行本申请实施例提供的集群安全防护方法时,若第二服务器满足信息更新条件,第二服务器将其本地的信任主机信息中的第一地址信息更新为当前集群中处于开机状态的各个服务器的IP地址以后,是需要向集群中除该第二服务器以外的每台服务器发送更新通知的。此时,上述的该台目标服务器可以接收到该第二服务器发送的更新通知,该台目标服务器满足信息更新条件。
S102、目标服务器将本地的信任主机信息中的第一地址信息更新为第一服务器的IP地址;
在本申请实施例中,针对确定满足信息更新条件的一个目标服务器而言,该目标服务器检测到的当前集群中处于开机状态的第一服务器拥有对该目标服务器本地的目标文件的操作权限,因此,该目标服务器可以将其本地的信任主机信息中的第一地址信息更新为其检测到的各个第一服务器的IP地址。
在本申请实施例中,该目标服务器本地设置有黑名单,该目标服务器本地的黑名单指示该目标服务器本地的部分/全部文件,该目标服务器本地的黑名单指示的文件是该目标服务器本地的目标文件。
S103、若信息更新条件为开机启动,向第二服务器发送更新通知。
目标服务器通过向第二服务器发送更新通知,可以触发接收到更新通知的第二服务器同步更新其本地的信任主机信息中的第一地址信息。
在本申请实施例中,集群中的每台服务器认为是一台目标服务器,针对每台目标服务器而言,其在执行本申请实施例提供的一种集群安全防护方法时,可以将集群中除了该台目标服务器以外的每台目标服务器看成是一台第二服务器,该台目标服务器在开机启动,将其本地的信任主机信息中的第一地址信息更新为当前集群中处于开机状态的各个第一服务器的IP地址后,可以分别向每一台第二服务器发送更新通知,接收到更新通知的每台第二服务器均可以确定满足信息更新条件,进而执行“检测当前集群中处于开机状态的各个第一服务器的IP地址;将本地的信任主机信息中的第一地址信息更新为第一服务器的IP地址”过程,以使得第二服务器对其本地的信任主机信息中的第一地址信息进行同步更新。
比如,集群中服务器A在开机启动后,可以检测当前集群中处于开机状态的各台服务器(为了便于区分,可以将检测到的每台处于开机状态的服务器称为一台第一服务器)的IP地址,将服务器A本地的信任主机信息中的第一地址信息更新为检测到的各台第一服务器的IP地址,并向集群中除服务器A以外的每个服务器(为了便于区分,将此处的服务器称为第二服务器)发送更新通知;若集群中除服务器A以外的各个第二服务器包括服务器B和服务器C,则服务器A分别向服务器B和服务器C发送更新通知,服务器B在接收到服务器A发送的更新通知后,可以将自身看成是一个目标服务器,执行“检测当前集群中处于开机状态的各个第一服务器的IP地址,将本地的信任主机信息中的第一地址信息更新为第一服务器的IP地址”过程,以实现对该服务器B本地的信任主机信息中的第一地址信息进行同步更新,服务器C在接收到服务器A发送的更新通知后,将自身看成是一个目标服务器,执行“检测当前集群中处于开机状态的各个第一服务器的IP地址,将本地的信任主机信息中的第一地址信息更新为第一服务器的IP地址”过程,以实现对服务器C本地的信任主机信息中的第一地址信息进行同步更新。
本申请实施例可以自动实现对集群中各个服务器的本地的信任主机信息中的第一地址信息的同步更新,进而基于集群中每个服务器存储的第一地址信息实现对集群的安全防护。
为了保证集群中各个服务器本地的信任主机信息的第一地址信息的及时同步的更新,本申请实施例还提供另一种集群安全防护方法流程图,具体请参见图2。
如图2所示,该方法包括:
S201、目标服务器检测自身的IP地址是否发生变更;若检测到自身的IP地址发生变更,执行步骤S202;
在本申请实施例中,若目标服务器检测到自身IP地址发生变更,可以确定满足信息更新条件,进而执行步骤S202。
编辑网卡配置的操作可以修改服务器的IP地址等等,关于服务器IP地址的修改方式,在此不做限定。
S202、目标服务器检测当前集群中处于开机状态的各个第一服务器的IP地址,第一服务器拥有对目标服务器本地的目标文件的操作权限;
S203、目标服务器将本地的信任主机信息中的第一地址信息更新为第一服务器的IP地址;
S204、目标服务器向第二服务器发送更新通知,第二服务器为集群中除目标服务器以外的服务器。
目标服务器通过向第二服务器发送更新通知,可以触发接收到更新通知的第二服务器同步更新其本地的信任主机信息中的第一地址信息。
本申请实施例可以在集群中服务器的IP地址发生变更后,自动实现对集群中各个服务器的本地的信任主机信息中的第一地址信息的同步更新,在基于集群中每个服务器存储的第一地址信息实现对集群的安全防护的基础上,进一步提高了对集群中各个服务器中的第一地址信息更新的及时性。
为了保证集群中各服务器本地的信任主机信息中的第一地址信息的及时同步的更新,本申请实施例又提供一种集群安全防护方法。集群管理员可以通过设置操作,将集群中的一个服务器设置为主控服务器,其他服务器设置为非主控服务器。主控服务器为用户提供对集群中的服务器进行设置操作的功能,以实现对集群中的服务器的管理。
集群中包括多台服务器,每台服务器可以看成是一台目标服务器,每台目标服务器均可以执行本申请实施例提供的一种集群安全防护方法。针对集群中作为主控服务器的目标服务器而言,该台目标服务器还可以执行如图3所示的又一种集群安全防护方法。
如图3所示,该方法包括:
S301、目标服务器响应用户对集群中服务器的设置操作,检测当前集群中处于开机状态的各个第一服务器的IP地址;
在本申请实施例中,集群中的作为主控服务器的服务器可以提供修改设置页面,用户通过对修改设置页面中信息的操作,可以实现对集群中服务器的设置操作,对集群中服务器的设置操作可以包括对集群中服务器的增加、删除操作等等。
集群中主控服务器可以接收用户通过其所提供的修改设置页面对集群中服务器执行的设置操作,并响应该设置操作,确定满足信息更新条件,以执行“检测当前集群中处于开机状态的各个第一服务器的IP地址”过程。
S302、目标服务器将本地的信任主机信息中的第一地址信息更新为第一服务器的IP地址;
主控服务器在检测到当前集群中处于开机状态的各个第一服务器的IP地址后,可以将其本地的信任主机信息中的第一地址信息更新为其检测到的各个第一服务器的IP地址。
S303、目标服务器向第二服务器发送更新通知,第二服务器为集群中除目标服务器以外的服务器。
在本申请实施例中,若主控服务器接收到用户对集群中服务器的设置操作,检测当前集群中处于开机状态的各个第一服务器的IP地址,将该主控服务器本地的信任主机信息中的第一地址信息更新为检测到的各个第一服务器的IP地址,并向集群中除该主控服务器以外的每个服务器发送更新通知,以触发集群中接收到更新通知的服务器同步更新其本地的信任主机信息中的第一地址信息。
为了更加清楚的对本申请上述实施例提供的集群安全防护方法进行说明,现对上述实施例提供的集群安全防护方法中的“触发接收到更新通知的第二服务器同步更新其本地的信任主机信息中的第一地址信息”过程进行说明。
集群中的每个服务器均是一个目标服务器,针对集群中的任意一个目标服务器而言,若该目标服务器接收到集群中其他目标服务器发送的更新通知,该目标服务器满足信息更新条件,并实现对该目标服务器本地的信任主机信息中的第一地址信息的同步更新。具体的该过程请参见图4,如图4所示,该方法包括:
S401、接收更新通知,检测当前集群中处于开机状态的各个第一服务器的IP地址,第一服务器拥有对目标服务器本地的目标文件的操作权限;
S402、检测当前集群中处于开机状态的各个第一服务器的IP地址。
本申请实施例中,针对集群中的每个服务器而言,该服务器还可以每隔预设时间间隔检查一下其本地的白名单和/或黑名单中的内容,确定白名单和/或黑名单中的默认设置项的参数值是否为默认值,若否,将白名单和/或黑名单中的默认设置项的参数值改为默认值。其中,默认设置项可以为默认文件项,默认文件项的参数值可以为默认文件。本申请实施例基于对服务器本地的白名单和/或黑名单的上述操作,可以保证集群中服务器本地的白名单和/或黑明白中信息的准确性,防止因服务器本地的白明白和/黑名单被篡改导致的集群安全防护漏洞的发生。
远程服务器在登录集群内部一台服务器后,可以借由其所登录的服务器进一步登录集群中的其他服务器,以获取其他服务器上黑名单文件的操作权限,实现对其他服务器上黑名单文件中文件的操作影响集群的安全性。此种情况可以称为跳板登录安全漏洞,相应的本申请实施例进一步提供一种集群安全防护方法,以防止因跳板登录所导致的集群存在安全风险的问题。
图5为本申请实施例的提供的又一种集群安全防护方法,该方法应用于集群中的每台目标服务器。
如图5所示,该方法包括:
S501、目标服务器拦截自身待发出的操作命令;
集群中的服务器可以被其他服务器(此处的其他服务器可以是远程服务器也可以是集群中的其他服务器,为了便于区分将此处的其他服务器称为请求服务器)登录,集群中的服务器在被请求服务器登录后,请求服务器一侧的用户可以基于该服务器提供的操作界面进行操作,以在该服务器生成操作命令,进而由该服务器发出操作命令。
在本申请实施例中,服务器中存在待发出操作命令时,可以拦截该操作命令,并确定该操作命令是否为登录命令,若该操作命令是登录命令,便检测请求服务器是否合法,若该请求服务器合法,则允许发出该操作命令,若该请求服务器不合法,则不允许发出该操作命令。
本申请实施例提供的一种集群安全防护方法,若服务器确定不允许发出操作命令,还可以在该服务器中显示相应的提示信息,以提示操作命令未发出,可能存在安全隐患等等。
服务器在发出操作命令时,需要调用服务器的***调用函数execve,预先对服务器的***调用函数execve进行挂钩处理,在服务器需要发出操作命令时,基于对服务器的***调用函数execve的挂钩处理,在***调用函数execve的入口处拦截操作命令,以在服务器发出操作命令之前,拦截该操作命令。
S502、目标服务器检测操作命令是否为登录命令;若操作命令为登录命令,执行步骤S503;
服务器在拦截到操作命令后,需要检测该操作命令是否为登录命令。在本申请实施例中,若检测到操作命令采用的是SSH协议,可以确定该操作命令为登录命令,若检测到操作命令采用的不是SSH协议,可以确定该操作命令不为登录命令。
进一步的,本申请实施例提供的一种集群安全防护方法,若确定操作命令不为登录命令,还可以允许发出该操作命令。
S503、目标服务器检测请求服务器是否合法,请求服务器用于请求目标服务器发出操作命令;若目标服务器检测到请求服务器合法,执行步骤S504
在本申请实施例中,请求服务器登录目标服务器后,可以基于目标服务器提供的操作界面进行操作,以在目标服务器生成操作命令,该操作命令中携带请求服务器IP地址。
比如,服务器A登录服务器B后,服务器A侧的用户基于服务器B提供的操作界面进行操作,在服务器B上生成操作命令,该操作命令携带服务器A的IP地址。其中,请求发送操作命令的服务器为服务器A(服务器A为请求服务器),服务器B为目标服务器。
在本申请实施例中,目标服务器若检测到操作命令为登录命令,可以根据操作命令携带的请求服务器IP地址,判断请求服务器是否为远程服务器;若请求服务器为远程服务器,可以目标服务器本地的信任主机信息中的第二地址信息中是否包括该请求服务器IP地址,若目标服务器本地的信任主机信息中的第二地址信息中包括该请求服务器IP地址,则可以确定登录命令合法。
进一步的,若目标服务器本地的信任主机信息中的第二地址信息中不包括该请求服务器IP地址,则可以确定登录命令不合法。
进一步的,若操作命令为登录命令,如果根据操作命令携带的请求服务器IP地址确定请求服务器不为远程服务器,而是集群中的服务器,可以确定操作命令合法。
S504、若登录命令合法,允许发出操作命令。
本申请实施例提供的集群安全防护方法可以进一步基于服务器本地的信任主机信息中的第二地址信息实现对远程服务器访问集群的管理,进一步提高了集群的安全性。
为了便于对本申请实施例提供的如图5所示的集群安全防护方法的理解,现本申请实施例提供一种目标服务器检测请求服务器是否合法的方法进行详细介绍,具体请参见图6。
如图6所示,该方法包括:
S601、目标服务器检测请求服务器是否为远程服务器;若目标服务器检测到请求服务器为远程服务器,执行步骤S602;
在本申请实施例中,登录命令中携带请求服务器的IP地址,根据请求服务器的IP地址可以判断请求服务器是否为远程服务器,若请求服务器为远程服务器,可以执行步骤S602。
S602、目标服务器检测本地的信任主机信息中的第二地址信息中是否包括请求服务器的IP地址;若目标服务器检测到本地的第二地址信息中包括请求服务器的IP地址,执行步骤S603;若目标服务器检测到本地的第二地址信息中不包括请求服务器的IP地址,执行步骤S604;
在本申请实施例中,集群中每个服务器中存储有本地信任主机信息,本地信任主机信息不仅包括第一地址信息还包括第二地址信息,服务器的第二地址信息包括远程信任服务器IP地址。
服务器在拦截操作命令,并确定操作命令为登录命令后,获取操作命令携带的请求服务器IP地址,并检测本地的信任主机信息的第二地址信息中是否存储有该请求服务器IP地址,若本地的信任主机信息的第二地址信息中储有该请求服务器IP地址,则认为请求服务器为合法的远程服务器,即请求服务器合法;若本地的信任主机信息的第二地址信息中未储有该请求服务器IP地址,则认为该请求服务器为不合法的远程服务器,即请求服务器不合法。
S603、确定请求服务器合法;
S604、确定请求服务器不合法。
在本申请实施例中,用户可以通过集群中的主控服务器对集群中各个服务器本地的信任主机信息中的第二地址信息进行设置、更新等操作。
图7为本申请实施例提供的一种集群中服务器本地的信任主机信息中第二地址信息的更新方法流程图,如图7所示的更新方法应用于集群中的主控服务器。
如图7所示,该方法包括:
S701、主控服务器响应用户对远程信任服务器的设置操作,将本地的第二地址信息中的IP地址更新为远程信任服务器的IP地址;
S702、向集群中非主控服务器发送更新请求,触发非主控服务器响应更新请求将本地的第二地址信息中的IP地址更新为更新请求携带的远程信任服务器的IP地址。
在本申请实施例中,集群中的主控服务器可以响应用户对远程信任服务器的设置操作,将主控服务器本地的信任主机信息中的第二地址信息更新为用户通过设置操作所设置的各个远程信任服务器的IP地址;并向集群中其他服务器(集群中的其他服务器为非主控服务器)发送更新请求,该更新请求中携带用户通过设置操作所设置的各个远程信任服务器的IP地址,以便于非主控服务器可以响应其所接收到的更新请求,将其本地信任主机信息中的第二地址信息更新为更新请求携带的远程信任服务器的IP地址。
图8为本申请实施例提供的一种集群安全防护装置的结构示意图。
如图8所示,该装置包括:
IP地址检测单元81,用于若满足信息更新条件,检测当前集群中处于开机状态的各个第一服务器的IP地址,信息更新条件包括开机启动或接收到集群中除目标服务器以外的第二服务器发送的更新通知;第一服务器拥有对目标服务器本地的目标文件的操作权限;
第一地址信息更新单元82,用于将本地的信任主机信息中的第一地址信息更新为第一服务器的IP地址;
第一更新通知发送单元83,用于若信息更新条件为开机启动,向第二服务器发送更新通知。
在本申请实施例中,信息更新条件还包括检测到自身的IP地址发生变更,本申请实施例提供的一种集群安全防护装置还包括第二更新通知发送单元,用于若信息更新条件为检测到自身的IP地址发生变更,向第二服务器发送更新通知。
在本申请实施例中,若目标服务器为主控服务器,信息更新条件还包括接收用户对集群中服务器的设置操作,本申请实施例提供的一种集群安全防护装置还包括第三更新通知发送单元,用于若信息更新条件为接收到用户对集群中服务器的设置操作,向第二服务器发送更新通知。
在本申请实施例中,若目标服务器为非主控服务器,集群中除目标服务器以外的各个第二服务器中包括作为主控服务器的第二服务器,接收到集群中除目标服务器以外的第二服务器发送的更新通知,包括:接收主控服务器响应用户对集群中服务器的设置操作发送的更新通知。
本申请实施例提供的一种集群安全防护装置还包括跳板防护单元,该跳板防护单元,包括:
操作命令拦截单元,用于拦截自身待发出的操作命令;
操作命令检测单元,用于检测操作命令是否为登录命令;
合法检测单元,用于若操作命令为登录命令,检测请求服务器是否合法,请求服务器用于请求目标服务器发出操作命令;
操作命令发出单元,用于若检测到请求服务器合法,发出操作命令。
在本申请实施例中,合法检测单元包括:
远程服务器检测单元,用于检测请求服务器是否为远程服务器;
远程服务器合法检测单元,用于若检测到请求服务器为远程服务器,检测信任主机信息中的第二地址信息中是否包括请求服务器的IP地址;
第一确定单元,用于若检测到第二地址信息中包括请求服务器的IP地址,确定登录命令合法;
第二确定单元,用于若检测到第二地址信息中不包括请求服务器的IP地址,确定登录命令不合法。
进一步的,本申请实施例提供的一种集群安全防护装置还包括第二地址信息更新单元,用于:
若目标服务器为主控服务器,目标服务器响应用户对远程信任服务器的设置操作,将第二地址信息中的IP地址更新为远程信任服务器的IP地址;
或者,
若目标服务器为非主控服务器,目标服务器接收主控服务器响应用户对远程信任服务器的设置操作发送的更新请求;目标服务器响应更新请求,将第二地址信息中的IP地址更新为更新请求携带的远程信任服务器的IP地址,集群中除目标服务器以外的各个第二服务器中包括作为主控服务器的第二服务器。
本申请实施例还提供一种服务器,该服务器包括至少一个存储器和至少一个处理器;存储器存储有程序,处理器调用存储器存储的程序,程序用于实现上述集群安全防护方法。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机可执行指令,计算机可执行指令用于执行上述集群安全防护方法。
本申请提供一种集群安全防护方法、装置、服务器及存储介质,集群中的每个服务器均可认为是一个目标服务器,目标服务器若开机启动便确定满足信息更新条件,检测当前集群中处于开机状态的各个第一服务器的IP地址(第一服务器拥有对该目标服务器本地的目标文件的操作权限),将本地的信任主机信息中的第一地址信息更新为所检测到的IP地址,并向集群中除该目标服务器以外的各个第二服务器发送更新通知。本申请可以自动实现对集群中各个服务器的本地的信任主机信息中的第一地址信息的同步更新,进而基于集群中各个服务器存储的第一地址信息实现对集群的安全防护。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对本发明所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种集群安全防护方法,其特征在于,包括:
集群中的目标服务器若满足信息更新条件,检测当前所述集群中处于开机状态的各个第一服务器的IP地址,所述信息更新条件包括开机启动或接收到所述集群中除所述目标服务器以外的第二服务器发送的更新通知;所述第一服务器拥有对所述目标服务器本地的目标文件的操作权限;
所述目标服务器将本地的信任主机信息中的第一地址信息更新为所述第一服务器的IP地址;
若所述信息更新条件为所述开机启动,向所述第二服务器发送更新通知。
2.根据权利要求1所述的方法,其特征在于,所述信息更新条件还包括检测到自身的IP地址发生变更,该方法还包括:
若所述信息更新条件为所述检测到自身的IP地址发生变更,向所述第二服务器发送更新通知。
3.根据权利要求1所述的方法,其特征在于,若所述目标服务器为主控服务器,所述信息更新条件还包括接收用户对所述集群中服务器的设置操作,该方法还包括:
若所述信息更新条件为接收到用户对所述集群中服务器的设置操作,向所述第二服务器发送更新通知。
4.根据权利要求3所述的方法,其特征在于,若所述目标服务器为非主控服务器,所述集群中除所述目标服务器以外的各个第二服务器中包括作为主控服务器的第二服务器,
所述接收到所述集群中除所述目标服务器以外的第二服务器发送的更新通知,包括:接收所述主控服务器响应用户对所述集群中服务器的设置操作发送的更新通知。
5.根据权利要求1所述的方法,其特征在于,还包括:
所述目标服务器拦截自身待发出的操作命令;
所述目标服务器检测所述操作命令是否为登录命令;
若所述目标服务器检测到所述操作命令为登录命令,所述目标服务器检测请求服务器是否合法,所述请求服务器用于请求所述目标服务器发出所述操作命令;
若所述目标服务器检测到所述请求服务器合法,发出所述操作命令。
6.根据权利要求5所述的方法,其特征在于,所述目标服务器检测请求服务器是否合法,包括:
所述目标服务器检测请求服务器是否为远程服务器;
若所述目标服务器检测到所述请求服务器为远程服务器,所述目标服务器检测所述信任主机信息中的第二地址信息中是否包括所述请求服务器的IP地址;
若所述目标服务器检测到所述第二地址信息中包括所述请求服务器的IP地址,确定所述登录命令合法;
若所述目标服务器检测到所述第二地址信息中不包括所述请求服务器的IP地址,确定所述登录命令不合法。
7.根据权利要求6所述的方法,其特征在于,还包括:
若所述目标服务器为主控服务器,所述目标服务器响应用户对远程信任服务器的设置操作,将所述第二地址信息中的IP地址更新为所述远程信任服务器的IP地址;
或者,
若所述目标服务器为非主控服务器,所述目标服务器接收主控服务器响应用户对远程信任服务器的设置操作发送的更新请求;所述目标服务器响应所述更新请求,将所述第二地址信息中的IP地址更新为所述更新请求携带的所述远程信任服务器的IP地址,所述集群中除所述目标服务器以外的各个第二服务器中包括作为所述主控服务器的第二服务器。
8.一种集群安全防护装置,其特征在于,包括:
IP地址检测单元,用于若满足信息更新条件,检测当前所述集群中处于开机状态的各个第一服务器的IP地址,所述信息更新条件包括开机启动或接收到所述集群中除所述目标服务器以外的第二服务器发送的更新通知;所述第一服务器拥有对所述目标服务器本地的目标文件的操作权限;
第一地址信息更新单元,用于将本地的信任主机信息中的第一地址信息更新为所述第一服务器的IP地址;
第一更新通知发送单元,用于若所述信息更新条件为所述开机启动,向所述第二服务器发送更新通知。
9.一种服务器,其特征在于,包括:至少一个存储器和至少一个处理器;所述存储器存储有程序,所述处理器调用所述存储器存储的程序,所述程序用于实现如权利要求1-7任意一项所述的集群安全防护方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行权利要求1-7任意一项所述的集群安全防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910569160.0A CN110266710B (zh) | 2019-06-27 | 2019-06-27 | 一种集群安全防护方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910569160.0A CN110266710B (zh) | 2019-06-27 | 2019-06-27 | 一种集群安全防护方法、装置、服务器及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110266710A true CN110266710A (zh) | 2019-09-20 |
CN110266710B CN110266710B (zh) | 2022-08-09 |
Family
ID=67922401
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910569160.0A Active CN110266710B (zh) | 2019-06-27 | 2019-06-27 | 一种集群安全防护方法、装置、服务器及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110266710B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112104481A (zh) * | 2020-08-06 | 2020-12-18 | 深圳丽泽智能科技有限公司 | 一种设备批量管理方法、装置、终端设备及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101355459A (zh) * | 2008-08-29 | 2009-01-28 | 北京理工大学 | 一种基于可信协议的网络监控方法 |
US20110138067A1 (en) * | 2009-12-07 | 2011-06-09 | International Business Machines Corporation | Cluster View Performance |
CN105959397A (zh) * | 2016-06-16 | 2016-09-21 | 阿里巴巴集团控股有限公司 | 信息处理方法、装置及服务器 |
CN106331150A (zh) * | 2016-09-18 | 2017-01-11 | 北京百度网讯科技有限公司 | 用于调度云服务器的方法和装置 |
CN107547635A (zh) * | 2017-08-04 | 2018-01-05 | 新华三大数据技术有限公司 | 大数据集群主机ip地址修改方法及装置 |
CN107948124A (zh) * | 2016-10-13 | 2018-04-20 | 中兴通讯股份有限公司 | 一种arp条目更新管理方法、装置及*** |
CN109286692A (zh) * | 2018-09-30 | 2019-01-29 | 山东浪潮云投信息科技有限公司 | 一种配置服务器ipmi静态ip地址的方法 |
CN109936639A (zh) * | 2017-12-15 | 2019-06-25 | 中兴通讯股份有限公司 | 一种服务调用方法及服务器 |
-
2019
- 2019-06-27 CN CN201910569160.0A patent/CN110266710B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101355459A (zh) * | 2008-08-29 | 2009-01-28 | 北京理工大学 | 一种基于可信协议的网络监控方法 |
US20110138067A1 (en) * | 2009-12-07 | 2011-06-09 | International Business Machines Corporation | Cluster View Performance |
CN105959397A (zh) * | 2016-06-16 | 2016-09-21 | 阿里巴巴集团控股有限公司 | 信息处理方法、装置及服务器 |
CN106331150A (zh) * | 2016-09-18 | 2017-01-11 | 北京百度网讯科技有限公司 | 用于调度云服务器的方法和装置 |
CN107948124A (zh) * | 2016-10-13 | 2018-04-20 | 中兴通讯股份有限公司 | 一种arp条目更新管理方法、装置及*** |
CN107547635A (zh) * | 2017-08-04 | 2018-01-05 | 新华三大数据技术有限公司 | 大数据集群主机ip地址修改方法及装置 |
CN109936639A (zh) * | 2017-12-15 | 2019-06-25 | 中兴通讯股份有限公司 | 一种服务调用方法及服务器 |
CN109286692A (zh) * | 2018-09-30 | 2019-01-29 | 山东浪潮云投信息科技有限公司 | 一种配置服务器ipmi静态ip地址的方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112104481A (zh) * | 2020-08-06 | 2020-12-18 | 深圳丽泽智能科技有限公司 | 一种设备批量管理方法、装置、终端设备及存储介质 |
CN112104481B (zh) * | 2020-08-06 | 2023-09-22 | 深圳丽泽智能科技有限公司 | 一种设备批量管理方法、装置、终端设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110266710B (zh) | 2022-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2755880C2 (ru) | Аппаратная виртуализированная изоляция для обеспечения безопасности | |
US11206451B2 (en) | Information interception processing method, terminal, and computer storage medium | |
EP3610403B1 (en) | Isolated container event monitoring | |
EP2999188B1 (en) | Method, server, and client for securely accessing web application | |
CN104468551B (zh) | 一种基于广告拦截节省流量的方法及装置 | |
US8621574B2 (en) | Opaque quarantine and device discovery | |
US9294505B2 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
US10019580B2 (en) | Integrity checking for computing devices | |
US20190036955A1 (en) | Detecting data exfiltration as the data exfiltration occurs or after the data exfiltration occurs | |
CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
JP2010026662A (ja) | 情報漏洩防止システム | |
CN110505262B (zh) | 云环境下的动态微分段方法、***、云服务器及存储介质 | |
CN108985095B (zh) | 一种非公开文件访问方法、***及电子设备和存储介质 | |
EP3959632B1 (en) | File storage service initiation of antivirus software locally installed on a user device | |
CN110266710B (zh) | 一种集群安全防护方法、装置、服务器及存储介质 | |
CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
CN110865774A (zh) | 一种打印设备的信息安全检测方法及装置 | |
CN103430153A (zh) | 用于计算机安全的接种器和抗体 | |
WO2021139261A1 (zh) | 应用部署方法、装置及介质 | |
CN105791221B (zh) | 规则下发方法及装置 | |
CN110417615B (zh) | 校验开关控制方法、装置、设备及计算机可读存储介质 | |
CN108804122B (zh) | 信息安全处理***、虚拟专用服务器及其控制方法 | |
CN107463837A (zh) | 一种信息处理方法和移动终端 | |
EP3846056B1 (en) | Methods, systems, and media for protecting computer systems from user-created objects | |
CN111814144B (zh) | 一种泄露数据处理方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |