本发明涉及计算机网络安全技术领域,尤其涉及一种确保批量作业主机密码安全的方法及计算机可读存储介质。
背景技术:
传统的批量作业,比如批量巡检、批量修改、批量配置、批量部署等一般采取的是SSH证书免密登录或账号密码交互登录或第三方组件(如python的saltstack、func主受控端模式)等方式实现对远程主机的访问与控制,一旦密码文件泄露或主控主机(主控端)被攻破,则相关主机相当于完全开放,系统将面临极大的危险。
技术实现要素:
本发明为解决上述技术问题提供一种确保批量作业主机密码安全的方法及计算机可读存储介质,能够避免作业主机信息泄露,提高网络安全性。
为解决上述技术问题,本发明提供一种确保批量作业主机密码安全的方法,通过执行加密脚本进行如下步骤:从服务器读取作业主机列表文件;对作业主机列表文件进行解析获取包括作业主机的主机名和/或IP地址、账号、密码的敏感信息;提示超级管理员设置作业人员、为作业人员分配作业主机及为分配的作业主机设置加密密钥;接收由超级管理员输入的作业人员、为作业人员分配的作业主机及加密密钥;根据作业人员的不同分别将同一作业人员对应的作业主机的敏感信息用相应的加密密钥进行加密进而生成与作业人员数量相同的多个新的作业主机列表文件;删除服务器上存储的作业主机列表文件。
进一步地,在根据作业人员的不同分别将同一作业人员对应的作业主机的敏感信息用相应的加密密钥进行加密进而生成与作业人员数量相同的多个新的作业主机列表文件的步骤之后,包括:通知被分配有作业主机的各作业人员的相应的新的作业主机列表文件及其解密密钥,其中,解密密钥与加密密钥相同。
进一步地,在通知被分配有作业主机的各作业人员的相应的新的作业主机列表文件及其解密密钥的步骤之中,通过触发邮件、短信、微信、QQ、skype、钉钉等方式中的一种及以上的方式自动化地进行通知。
进一步地,在根据作业人员的不同分别将同一作业人员对应的作业主机的敏感信息用相应的加密密钥进行加密进而生成与作业人员数量相同的多个新的作业主机列表文件的步骤之后,包括:将各新的作业主机列表文件上传至服务器。
进一步地,在根据作业人员的不同分别将同一作业人员对应的作业主机的敏感信息用相应的加密密钥进行加密的步骤之中,利用openssl在base64的应用并采用aes-256-cbc加解密算法结合加密密钥对作业主机的敏感信息进行加密。
为解决上述技术问题,本发明还提供一种确保批量作业主机密码安全的方法,提示作业人员输入相应新的作业主机列表文件的解密密钥;接收作业人员输入的解密密钥并在验证成功后,读取相应新的作业主机列表文件以获取其内作业主机的主机名和/或IP地址、账号、密码的密文,并根据解密密钥解密作业主机的主机名和/或IP地址、账号、密码的密文以获取明文。
进一步地,在根据解密密钥解密作业主机的主机名和/或IP地址、账号、密码的密文以获取明文的步骤之后,包括:根据解密得到的各作业主机的主机名和/或IP地址、账号、密码的明文,采用sshpass方法依次登录作业主机以进行作业并记录作业日志,直至所有作业主机登录并作业结束。
进一步地,在根据解密得到的各作业主机的主机名和/或IP地址、账号、密码的明文,采用sshpass方法依次登录作业主机以进行作业并记录作业日志,直至所有作业主机登录并作业结束的步骤之后,包括:通知超级管理员相应作业人员的作业主机列表文件、作业脚本类型及作业时间的信息。
进一步地,在通知超级管理员相应作业人员的作业主机列表文件、作业脚本类型及作业时间的信息的步骤之中,通过触发邮件、短信、微信、QQ、skype、钉钉等方式中的一种及以上的方式自动化地进行通知。
为解决上述技术问题,本发明还提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,其特征在于,计算机程序被处理器执行时实现如上述任一项实施例所述的确保批量作业主机密码安全的方法的步骤。
本发明的确保批量作业主机密码安全的方法及计算机可读存储介质,具有如下有益效果:
通过对作业主机列表文件中作业主机的敏感信息进行加密生成新的作业主机列表文件,并删除旧的作业主机列表文件,能够避免作业主机信息泄露,提高网络安全性;
同一批作业主机列表文件,可针对不同作业人员分配不同的加解密密钥,在作业过程中可以对解密密钥进行二次加密保存,明确作业人员,便于事故追责,可实现对作业主机的作业不同范围的控制和对作业人员的权限管理。
附图说明
图1是本发明确保批量作业主机密码安全的方法第一实施例的流程图。
图2是本发明确保批量作业主机密码安全的方法第二实施例的流程图。
具体实施方式
下面结合附图和实施方式对本发明进行详细说明。
如图1所示,本发明提供一种确保批量作业主机密码安全的方法。该方法可以在主机或服务器上执行加密脚本文件,本发明举例通过在主机上执行该加密脚本进行如下步骤:
步骤S11,从服务器读取作业主机列表文件。
该作业主机列表文件预先上传至服务器中存储,其内包括各作业主机的主机名和/或IP地址、账号及密码这至少三类敏感信息。
步骤S12,对作业主机列表文件进行解析获取包括作业主机的主机名和/或IP地址、账号、密码的敏感信息。
步骤S13,提示超级管理员设置作业人员、为作业人员分配作业主机及为分配的作业主机设置加密密钥。
为保证分配灵活性,由超级管理员人为的配备作业人员及为作业人员分配其负责的作业主机,并通常分别为不同的作业人员设置不同的加密密钥。在其他实施例中,当然也可以在作业主机列表文件中为每个作业主机分配一个及以上的作业人员,后续根据作业人员的不同为同一作业人员负责的作业主机设置加密密钥,除了在作业人员需要修改或更换不灵活的缺陷外,具有便于自动化的优势。
步骤S14,接收由超级管理员输入的作业人员、为作业人员分配的作业主机及加密密钥。
其中,对作业主机的分配通过输入作业主机的主机名和/或IP地址进行确定。
步骤S15,根据作业人员的不同分别将同一作业人员对应的作业主机的敏感信息用相应的加密密钥进行加密进而生成与作业人员数量相同的多个新的作业主机列表文件。
其中,加密方式较佳的利用openssl在base64的应用并采用aes-256-cbc加解密算法结合加密密钥对作业主机的敏感信息进行加密,使得同一批作业主机列表文件,可针对不同作业人员分配不同的加解密密钥,在作业过程中对解密密钥进行二次加密保存,明确作业人员,便于事故追责。而且每次加密处理后的密文都不同,较好的防范了对密文的暴力破解。
此外,具体实施时,通常可以为不同作业人员分配不同的作业主机进行相同或不同的作业类型,也可以为不同作业人员分配相同的作业主机进行相同或不同的作业类型。
举例而言,若将作业主机列表文件中各作业主机分配给甲、乙、丙三个作业人员,对应设置有三个加密密钥并最终形成三个新的作业主机列表文件。
步骤S16,删除服务器上存储的作业主机列表文件。
该被删除的作业主机列表文件为旧的作业主机列表文件,也即已经被加密的作业主机列表文件来源的原文件。
在一具体实施例中,在步骤S15之后,可以包括:
步骤S17,通知被分配有作业主机的各作业人员的相应的新的作业主机列表文件及其解密密钥。
其中,解密密钥与加密密钥通常可以是相同的,在本发明中采用解密密钥与加密密钥相同的方式。这样可以让作业人员及时了解其后续相应需要进行的作业任务。
此外,通常可以通过触发邮件、短信、微信、QQ、skype、钉钉等方式中的一种及以上的方式自动化地进行通知。当然,也可以由超级管理员私下通过口头等人工方式通知相关作业人员。
在一具体实施例中,在步骤S15之后,可以包括:
步骤S18,将各新的作业主机列表文件上传至服务器。进而能够方便相关作业人员获取,节省相关作业人员上传其对应的新的作业主机列表文件至服务器的操作。
参阅图2,本发明还提供一种确保批量作业主机密码安全的方法。该方法通过在服务器上执行批量作业脚本进行如下步骤:
步骤S21,提示作业人员输入相应新的作业主机列表文件的解密密钥。
其中,在该步骤S21执行之前,需要服务器上存储有相应的新的作业主机列表文件。
步骤S22,接收作业人员输入的解密密钥并在验证成功后,读取相应新的作业主机列表文件以获取其内作业主机的敏感信息的密文,并根据解密密钥解密作业主机的敏感信息的密文以获取明文。
该敏感信息包括作业主机的主机名和/或IP地址、账号、密码。且在该步骤中,如果解密密钥验证不成功,会进入提示作业人员重新输入解密密钥的步骤。
进一步地,在步骤S22之后,包括;
步骤S23,根据解密得到的各作业主机的敏感信息的明文,采用sshpass方法依次登录作业主机以进行作业并记录作业日志,直至所有作业主机登录并作业结束。
进而实现了对各作业主机的安全登录以完成后续的作业,实现了批量作业。同时,通过记录作业日志,能够方便后续的追溯。
在一具体实施例中,具体在步骤S23之后,包括;
步骤S24,通知超级管理员相应作业人员的作业主机列表文件、作业脚本类型及作业时间的信息。
其中,通常可以通过触发邮件、短信、微信、QQ、skype、钉钉等方式中的一种及以上的方式自动化地进行通知,能够方便后续的追溯。当然,也可以由相关作业人员私下通过口头等人工方式通知超级管理员。
本发明提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现如在主机上所进行的确保批量作业主机密码安全的方法的步骤。
本发明提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现如在服务器上所进行的确保批量作业主机密码安全的方法的步骤。
本发明的确保批量作业主机密码安全的方法及计算机可读存储介质,具有如下有益效果:
通过对作业主机列表文件中作业主机的敏感信息进行加密生成新的作业主机列表文件,并删除旧的作业主机列表文件,能够避免作业主机信息泄露,提高网络安全性;
同一批作业主机列表文件,可针对不同作业人员分配不同的加解密密钥,在作业过程中可以对解密密钥进行二次加密保存,明确作业人员,便于事故追责,可实现对作业主机的作业不同范围的控制和对作业人员的权限管理。
以上仅为本发明的实施方式,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。