【技術(shù)實(shí)現(xiàn)步驟摘要】
本申請(qǐng)涉及容器,具體而言,本申請(qǐng)涉及一種進(jìn)程權(quán)限管理方法、裝置、電子設(shè)備及可讀存儲(chǔ)介質(zhì)。
技術(shù)介紹
1、容器是一種沙盒技術(shù),主要目的是為了將應(yīng)用程序運(yùn)行在其中,與外界隔離,方便沙盒可以被轉(zhuǎn)移到其它宿主機(jī)器。容器能夠簡(jiǎn)化應(yīng)用程序的構(gòu)建、部署和運(yùn)行過程。
2、安全增強(qiáng)型linux(security-enhanced?linux,selinux),是linux的一個(gè)安全子系統(tǒng),旨在增強(qiáng)傳統(tǒng)linux操作系統(tǒng)的安全性。selinux通過強(qiáng)制訪問控制(mandatoryaccess?control,mac)機(jī)制,限制了進(jìn)程、用戶和應(yīng)用程序?qū)ο到y(tǒng)資源的訪問,從而減少系統(tǒng)被攻擊的風(fēng)險(xiǎn)。
3、目前,selinux對(duì)進(jìn)程的權(quán)限管理的精細(xì)度較差,如何有效實(shí)現(xiàn)對(duì)進(jìn)程進(jìn)行精細(xì)化的權(quán)限管理,成為了一個(gè)重要的技術(shù)問題。
技術(shù)實(shí)現(xiàn)思路
1、本申請(qǐng)?zhí)峁┝艘环N進(jìn)程權(quán)限管理方法、裝置、電子設(shè)備及可讀存儲(chǔ)介質(zhì),旨在至少能解決上述的技術(shù)缺陷之一。本申請(qǐng)所采用的技術(shù)方案如下:
2、第一方面,本申請(qǐng)實(shí)施例提供了一種進(jìn)程權(quán)限管理方法,該方法包括:
3、在第一容器內(nèi)創(chuàng)建容器子進(jìn)程的過程中,將目標(biāo)容器進(jìn)程的安全標(biāo)簽,確定為容器子進(jìn)程的安全標(biāo)簽,目標(biāo)容器進(jìn)程用于啟動(dòng)第一容器,第一容器內(nèi)禁用安全增強(qiáng)型linux;
4、基于容器子進(jìn)程的安全標(biāo)簽,對(duì)容器子進(jìn)程進(jìn)行權(quán)限管理。
5、第二方面,本申請(qǐng)實(shí)施例提供了一種進(jìn)程權(quán)限管理裝置,該裝置包括:
6、安全標(biāo)簽確
7、權(quán)限管理模塊,用于基于容器子進(jìn)程的安全標(biāo)簽,對(duì)容器子進(jìn)程進(jìn)行權(quán)限管理。
8、第三方面,本申請(qǐng)實(shí)施例提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其上存儲(chǔ)有計(jì)算機(jī)程序,該程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述進(jìn)程權(quán)限管理方法的步驟。
9、第四方面,本申請(qǐng)實(shí)施例提供了一種電子設(shè)備,該電子設(shè)備包括:
10、一個(gè)或多個(gè)處理器;以及
11、與上述一個(gè)或多個(gè)處理器關(guān)聯(lián)的存儲(chǔ)器,該存儲(chǔ)器用于存儲(chǔ)程序指令,該程序指令在被上述一個(gè)或多個(gè)處理器讀取執(zhí)行時(shí),執(zhí)行上述進(jìn)程權(quán)限管理方法的步驟。
12、第五方面,本申請(qǐng)實(shí)施例提供了一種計(jì)算機(jī)程序產(chǎn)品,包括計(jì)算機(jī)程序,該計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述進(jìn)程權(quán)限管理方法的步驟。
13、本申請(qǐng)實(shí)施例提供的技術(shù)方案帶來的有益效果是:
14、本申請(qǐng)實(shí)施例提供的方案,通過在目標(biāo)容器進(jìn)程啟動(dòng)的第一容器中禁用安全增強(qiáng)型linux,并在第一容器內(nèi)創(chuàng)建容器子進(jìn)程的過程中,將目標(biāo)容器進(jìn)程的安全標(biāo)簽,確定為容器子進(jìn)程的安全標(biāo)簽,從而基于容器子進(jìn)程的安全標(biāo)簽,對(duì)容器子進(jìn)程進(jìn)行權(quán)限管理。基于本方案,能夠以單個(gè)進(jìn)程為粒度進(jìn)行權(quán)限管理,實(shí)現(xiàn)對(duì)進(jìn)程進(jìn)行精細(xì)化的權(quán)限管理。
本文檔來自技高網(wǎng)...【技術(shù)保護(hù)點(diǎn)】
1.一種進(jìn)程權(quán)限管理方法,其特征在于,包括:
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,在創(chuàng)建所述第一容器之前,所述方法還包括:
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述基于所述第一容器的容器相關(guān)信息確定所述目標(biāo)容器進(jìn)程的安全標(biāo)簽,包括:
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述匹配結(jié)果為存在與所述第一容器的容器相關(guān)信息相匹配的目標(biāo)客體標(biāo)簽,所述基于所述匹配結(jié)果確定待轉(zhuǎn)換客體標(biāo)簽,包括:
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,在所述對(duì)所述待轉(zhuǎn)換客體標(biāo)簽進(jìn)行域轉(zhuǎn)換,得到所述目標(biāo)容器進(jìn)程的安全標(biāo)簽之后,所述方法還包括:
6.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述匹配結(jié)果為不存在與所述第一容器的容器相關(guān)信息相匹配的目標(biāo)安全標(biāo)簽,所述基于所述匹配結(jié)果確定待轉(zhuǎn)換客體標(biāo)簽,包括:
7.根據(jù)權(quán)利要求3-6中任一項(xiàng)所述的方法,其特征在于,所述第一容器在基礎(chǔ)環(huán)境上運(yùn)行,所述基礎(chǔ)環(huán)境中啟用安全增強(qiáng)型Linux,所述安全增強(qiáng)型Li?nux包含容器安全策略模塊,所述容器安全策略模塊用于配置所述客體標(biāo)簽。
<...【技術(shù)特征摘要】
1.一種進(jìn)程權(quán)限管理方法,其特征在于,包括:
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,在創(chuàng)建所述第一容器之前,所述方法還包括:
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述基于所述第一容器的容器相關(guān)信息確定所述目標(biāo)容器進(jìn)程的安全標(biāo)簽,包括:
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述匹配結(jié)果為存在與所述第一容器的容器相關(guān)信息相匹配的目標(biāo)客體標(biāo)簽,所述基于所述匹配結(jié)果確定待轉(zhuǎn)換客體標(biāo)簽,包括:
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,在所述對(duì)所述待轉(zhuǎn)換客體標(biāo)簽進(jìn)行域轉(zhuǎn)換,得到所述目標(biāo)容器進(jìn)程的安全標(biāo)簽之后,所述方法還包括:
6.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述匹配結(jié)果為不存在與所述第一容器的容器相關(guān)信息相匹配的目標(biāo)安全標(biāo)簽,所述基于所述匹配結(jié)果確定待轉(zhuǎn)換客體標(biāo)簽,包括:
7.根據(jù)權(quán)利要求3-6中任一項(xiàng)所述的方法,其特征在于,所述第一容器...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:周沐宸,
申請(qǐng)(專利權(quán))人:黑芝麻智能科技有限公司,
類型:發(fā)明
國(guó)別省市:
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。