本发明属于计算机应用技术领域,涉及Linux系统的安全内核以及Linux应用程序Inotifywatch以及GRUB2,具体涉及一种Linux内核级别的文件系统防篡改应用方法。
背景技术:
在现在的环境中,当攻击者使用某种手段获取到Linux系统的管理员账户和密码后,攻击者恶意破坏系统稳定性,或者修改系统组件,以达到非法获取核心机密,监视的目的,导致企业团体以及个人的敏感数据泄漏,造成不可估量的损失。
现在主流有两种方法对系统核心组件进行保护。
一种方式是通过安装Linux应用级别的监控软件,例如python-inotify,监视被保护文件系统中出现修改或者删除,一旦监测到受保护文件系统被修改,则终止系统运行。这种方式,受保护的文件被监控程序保护着,可以有效的防止数据泄漏,但是监控程序自身无法保证自己不被恶意的停止甚至替换,当监控程序被停止或者自身被替换时,受保护的文件就无法做到保护,导致敏感数据泄漏。
一种方式是开机还原被保护的文件,当监控程序监测到被保护文件出现修改或者删除,则重启系统。系统在开机时还原被保护的文件,保证文件的正确性和安全性。这种方式,被保护的文件被监控程序监视,可以有效的防止攻击者修改文件,但是该方法无法保证监控程序自己不被恶意的停止或者替换,当该程序无法发挥它的功能时,受保护的文件就无法得到保证,进而导致敏感数据泄漏。
技术实现要素:
为了克服上述现有技术的不足,本发明的目的是提供一种Linux内核级别的文件系统防篡改应用方法,目的是防止Linux系统被攻击后篡改系统核心组件,破坏系统稳定性或窃取敏感数据的方法,基于系统内核和系统应用相互配合,首次安装时内核就开始保护Linux监控程序的正确性以及完整性,并且阻止系统修改启动引导以及运行中修改被保护的监控程序。从而从源头保证了监控程序的安全性,正确性及唯一性。通过该发明的内核级别文件保护,就能很好的解决上述问题。内核级别保护监控应用程序防止被篡改,而监控秩序时时刻刻监控被保护的文件区域,从而达到一套完整的保护链,有效的防止数据泄漏以及系统核心组件被恶意篡改。
为了实现上述目的,本发明采用的技术方案是:
一种Linux内核级别的文件系统防篡改应用方法,包括以下步骤:
1)跟随系统发布的无用户交互的GRUB2引导程序,阻止攻击者通过GRUB命令去修改被加载的目标内核(即禁止了GRUB2和用户交互式访问的功能,仅能从唯一的配置文件grub.cfg加载配置,而该配置文件grub.cfg被系统内核保护,禁止任何人篡改),防止躲避监控程序的启动,保证系统启动时加载的是安全内核;
2)跟随系统发布的安全内核,在启动之后保护以下文件被修改保护引导程序,启动镜像,内核镜像以及最小内存系统的完整性和安全性;文件包括bzImage,即Linux的启动镜像;initrd.img即Linux initial RAM disk(临时根文件系统);grub.cfg,即多操作系统启动程序的配置文件;Inotifywatch即Linux监控程序;
3)启动Inotifywatch和安全内核建立安全链接,当内核监测Inotifywatch停止运行,记录日志并系统立即关闭,阻止系统被破坏;
4)通过配置Inotifywatch程序,Inotifywatch程序保护用户自定义的区域;
5)当Inotifywatch被保护文件有写和删除的操作时,记录日志并阻止操作。
本发明的有益效果是:
内核出厂是就开始保护系统引导以及Inotifywatch监控程序,从而在源头上杜绝被保护组件被恶意停止或者修改的风险。
附图说明
图1为本发明的原理流程图。
具体实施方式
以下结合附图对本发明进一步叙述。
如图1所示,一种Linux内核级别的文件系统防篡改应用方法,包括以下步骤:
1)跟随系统发布的无用户交互的GRUB2引导程序,阻止攻击者通过GRUB命令去修改被加载的目标内核(即禁止了GRUB2和用户交互式访问的功能,仅能从唯一的配置文件grub.cfg加载配置,而该配置文件grub.cfg被系统内核保护,禁止任何人篡改),防止躲避监控程序的启动,保证系统启动时加载的是安全内核;
2)跟随系统发布的安全内核,在启动之后保护以下文件被修改保护引导程序,启动镜像,内核镜像以及最小内存系统的完整性和安全性;文件包括bzImage,即Linux的启动镜像;initrd.img即Linux initial RAM disk(临时根文件系统);grub.cfg,即多操作系统启动程序的配置文件;Inotifywatch即Linux监控程序;
3)启动Inotifywatch和安全内核建立安全链接,当内核监测Inotifywatch停止运行,记录日志并系统立即关闭,阻止系统被破坏;
4)通过配置Inotifywatch程序,Inotifywatch程序保护用户自定义的区域;
5)当Inotifywatch被保护文件有写和删除的操作时,记录日志并阻止操作。
发明采用从源头控制文件被修改或者删除的可能性。通过采用发明的这种方式,能彻底杜绝敏感数据泄漏或者系统异常。通过发明的Inotifywatch,内部可以通过用户自定义去要保护的文件列表,从而丰富可扩展性。从而实现很高的实用价值。
将安全内核和Inotifywatch程序安装到目标系统上,就可以使用。