一种基于运维审计系统的僵尸账户管理方法与流程

本发明属于计算机账户管理领域，具体地讲，涉及一种基于运维审计系统的僵尸账户管理方法。

背景技术：

随着企业的发展，每个企业的服务器资源将不断的膨胀和变更，其中服务器的帐户变更尤为频繁，包括临时性的代维人员、公司本身的员工进出，都会伴随着服务器帐户的创建与删除，随着运维审计系统的接入，那些在服务器上实际已被删除，但在运维审计系统却仍有帐户数据留存的帐户就属于运维审计系统的僵尸帐户。

而运维审计系统的僵尸帐户会导致以下问题：

1、僵尸帐户数据不断膨胀，影响系统查询效率；

2、僵尸帐户数据不断膨胀，且散落在各个地方，影响用户的管理效率；

3、僵尸帐户数据可能在服务器上长时间删除后，又被重新创建，但运维审计系统管理员不知情，有安全隐患；

4、僵尸帐户和普通帐户并无区别，清理困难。

技术实现要素：

本发明基于僵尸账户数据不断膨胀、分散不易管理清理、存在再次创建的安全隐患的问题，提出了一种基于运维审计系统的僵尸账户管理方法，通过对服务器账户扫描、账户信息登录确认和最后登陆时间的筛选，实现了僵尸账户的识别，方便管理人员对僵尸账户的后续管理。

本发明具体实现内容如下：

一种基于运维审计系统的僵尸账户管理方法，运维审计系统与待检测的服务器连接后，扫描待检测服务器中的所有账户，并将扫描到的账户与运维审计系统内原先存储的账户进行对比，将服务器和运维审计系统中都保存账户信息的账户标记为扫描账户，将运维审计系统中保存但服务器中未保存账户信息的账户标记为非扫描账户；然后，对非扫描账户进行密码登录检测，筛选出不可以在服务器中登录的账户为非真实账户；对非真实账户进行最后使用时间的判定，筛选出僵尸账户进行清理；所述僵尸账户是指同时满足以下条件的账户：

条件一：在待检测的服务器中并非真实存在，但在运维审计系统中仍存在的账户；

条件二：在运维审计系统中超过管理者设定的时间未使用的账户。

为了更好地实现本发明，进一步地，所述密码登录检测具体是指：由运维审计系统使用非扫描账户存储在运维审计系统中的账户信息连接待检测的服务器；若连接成功，则保持返回连接成功的结果；若因运维审计系统中保存的扫描账户的账户登录名、账户密码与待检测的服务器中的不一致而连接失败，则返回连接失败的结果；所述账户信息包括ip地址、ssh端口、账户登录名、账户密码；当密码登录检测过程中，是因ip地址和ssh端口出现错误而导致连接超时时，则将连接超时的非扫描账户重新进行连接；若进行了三次重新连接依旧连接超时，则返回连接失败的结果，并判定为非原始账户。

将返回连接成功的结果的非扫描账户保留不变，将返回连接失败的结果的扫描账户判定为非真实账户。

为了更好地实现本发明，进一步地，所述对非真实账户进行最后使用时间的判定具体是指：先设定一个最长未登录期限，然后使用当前时间减去进行最后使用时间判定的非真实账户的最后使用时间得到实际未登录间隔时间，最后将实际未登录时间与最长未登录时间进行比较筛选出僵尸账户。

为了更好地实现本发明，进一步地，用户通过查询同时满足条件一和条件二的账户手动管理僵尸账户，如批量删除或修改账户等；还可设置周期性查询，对僵尸账户进行周期性的管理。

本发明具有以下优点及有益效果：

1、及时清理运维审计系统中的冗余，减轻系统的运行负担；

2、通过密码登录检测确定非扫描账户的确不存在与服务器中，避免误删有用账户；

3、及时处理服务器中已注销但运维审计系统中还保存的账户，避免其在服务器中再次被注册，而不被运维审计系统察觉，造成安全隐患；

4、可识别运维审计系统中与普通账户不易区分的僵尸账户；

5、可筛选出僵尸账户进行批量管理，并周期性清理僵尸账户。

附图说明

图1为本发明的总流程示意图；

图2为密码登录检测的流程示意图；

图3为扫描待检测的服务器的流程示意图。

具体实施方式

为了更清楚地说明本发明实施例的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，应当理解，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例，因此不应被看作是对保护范围的限定。基于本发明中的实施例，本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1：

一种基于运维审计系统的僵尸账户管理方法，如图1和图3所示，运维审计系统与待检测的服务器连接后，扫描待检测服务器中的所有账户，并将扫描到的账户与运维审计系统内原先存储的账户进行对比，将服务器和运维审计系统中都保存账户信息的账户标记为扫描账户，将运维审计系统中保存但服务器中未保存账户信息的账户标记为非扫描账户；然后，对非扫描账户进行密码登录检测，筛选出不可以在服务器中登录的账户为非真实账户；对非真实账户进行最后使用时间的判定，筛选出僵尸账户进行清理；所述僵尸账户是指同时满足以下条件的账户：

条件一：在待检测的服务器中并非真实存在，但在运维审计系统中仍存在的账户；

条件二：在运维审计系统中超过管理者设定的时间未使用的账户。

工作原理：如图3所示，通过特权帐户连接待检测的服务器，再根据此服务器的类型，获取此服务器的帐户信息，将获取的帐户信息数据格式化为本地可用数据；例如：一台linux的待检测的服务器，使用此待检测服务器的账户信息如ip地址、ssh端口、帐户root、账户密码，再通过python的paramiko模块，进行ssh协议的连接，成功连接后，读取etc/passwd文件，将返回的文件内容使用\n分隔开转成list，所述list表现形式举例如下：root:x:0:0:root:/bin/sh，取每个元素的第一个:前的字符串，即root，就是此服务器所拥有的帐户，将所有账户进行存储使用，通过上述操作扫描可以确定服务器内存在的所有账户，与运维审计系统内保存的账户进行对比，即可筛选出运维审计系统与服务器中都保存有账号信息的账户，即扫描账户；同时还可筛选出运维审计系统中保存有，而服务器没有保存的账户，而这些账户就是只存在与运维审计系统中的非扫描账户；除此以外，还要进一步地对非扫描账户进行密码登录检测，确保服务器中的确没有该非扫描账户，如果经过密码登录检测后确定的确没有的非扫描账户，将被判定为非真实账户，因为运维审计系统的运行和管理非常复杂，例子运维审计系统在扫描时，刚好用户正在服务器上做帐户的变动，比如先删除再创建，这时如果是出现：删除->扫描->创建->验证密码的情况，就会出现没有扫描出来的帐户，但是可以通过运维审计系统使用密码验证成功登录的情况，或者扫描时候使用的管理账户权限不足等，故需要通过密码验证进行一次非真实账号的确认；而筛选出的所有的非真实账户并不一定判定为僵尸账户，而是由管理员自由设定一个最长未使用期限，只有超过这个期限的不真实存在于服务器的账户，才认定为僵尸账户。

实施例2：

在上述实施例1的基础上，为了更好地实现本发明，结合图1和图2所示，进一步地，所述密码登录检测具体是指：由运维审计系统使用非扫描账户存储在运维审计系统中的账户信息连接待检测的服务器；若连接成功，则保持返回连接成功的结果；若因运维审计系统中保存的扫描账户的账户登录名、账户密码与待检测的服务器中的不一致而连接失败，则返回连接失败的结果；所述账户信息包括ip地址、ssh端口、账户登录名、账户密码；当密码登录检测过程中，是因ip地址和ssh端口出现错误而导致连接超时时，则将连接超时的非扫描账户重新进行连接；若进行了三次重新连接依旧连接超时，则返回连接失败的结果，并判定为非原始账户；

将返回连接成功的结果的非扫描账户保留不变，将返回连接失败的结果的扫描账户判定为非真实账户。

工作原理：如图2所示，根据待检测非真实账户的帐户密码所在服务器的类型，使用帐户密码进行连接，若能成功连接，则密码正确；若连接失败，则说明密码错误；若连接失败超时，则重新尝试连接。例如，一台linux服务器的帐户为abc、密码为123456，使用此待检测服务器的账户信息（ip地址、ssh端口、帐户abc、密码123456），再通过python的paramiko模块，进行ssh协议的连接，对连接结果分三类进行返回：1、成功连接，则返回成功；2、连接失败（因ip地址、端口错误等导致），则重新尝试连接；3、帐户密码错误，则返回密码错误；当重新尝试连接超过三次时，则判定此账户为密码错误的账户，返回密码错误；将所有返回密码错误的账户的账户最终确定为非真实账户，也就是认定其满足条件一。

本实施例的其他部分与实施例1相同，故不再赘述。

实施例3：

在上述实施例1-2任一项的基础上，为了更好地实现本发明，进一步地，所述对非真实账户进行最后使用时间的判定具体是指：先设定一个最长未登录期限，然后使用当前时间减去进行最后使用时间判定的非真实账户的最后使用时间得到实际未登录间隔时间，最后将实际未登录时间与最长未登录时间进行比较筛选出僵尸账户。

工作原理：在实施例2判定了满足条件一后，对那些满足条件一的非真实账户进行是否满足条件二的判定；其中最长登录期限为管理员自由设置的，管理员可以根据实际需求设定一定的最长未登录期限，实际未登录间隔时间大于最长未登录期限的，则认定为僵尸账户，反之，则不认定为僵尸账户，从而筛选出超过此期限的僵尸账户进行管理。

本实施例的其他部分与上述实施例1-2任一项相同，故不再赘述。

实施例4：

在上述实施例1-3任一项的基础上，为了更好地实现本发明，进一步地，用户通过查询同时满足条件一和条件二的账户手动管理僵尸账户；用户还设置周期性查询，对僵尸账户进行周期性的清理。

工作原理：通过周期性的查询，不仅可以及时清理系统冗余，同时可以及时删除服务器中已经注销的账户，避免已经注销的账户在运维审计系统不知情的情况下又重新注册登录从而造成一些安全隐患。

本实施例的其他部分与上述实施例1-3任一项相同，故不再赘述。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。