专利名称:一种aix操作系统账号解除锁定的方法及装置的制作方法
技术领域:
本发明涉及操作系统账号管理技术,尤指一种高级交互执行(AIX,Advanced Interactive Executive)操作系统账号解除锁定的方法及装置。
背景技术:
随着网络建设的步骤加快、以及应用的普及和增加,操作系统的安全性越来越受到用户的重视。如何保证操作系统的安全性,不被黑客攻击,是现有网络及应用厂亟待解决的问题。目前黑客的重点攻击仍是操作系统,账号暴力破解,一直是黑客的重点攻击手段之
ο为了保障系统的账号安全性,目前主流的Microsoft的Windows系列、SUN的 Solaris系统等都加强了对账号的管理,都自带了账号的安全配置策略,包括密码策略和账号锁定策略等。其中,密码策略主要包含密码复杂性要求、密码长度要求、密码存留期要求、 历史密码要求;账号锁定策略主要包含复位账号锁定计数器、账号锁定阀值配置和账号锁定时间配置。从而从各个方面加强了系统账号的安全管理,有效的防止了黑客利用暴力破解账号及锁定账号进行分布式拒绝服务攻击(DDOS,Distributed Denial of service)等攻击。而IBM的AIX操作系统相比于上述操作系统而言缺少了账号锁定时间配置,也就是当用户账号锁定之后不能自动解锁,只能通过ROOT账号或其他具备解锁权限的账号进行手动解锁。特别是当远程连接账号均被锁定的时候,如在安全配置里禁止了远程ROOT的直接访问,管理员还需要进入机房进行本地ROOT登陆,对用户账号进行解除操作。由此可见,采用这种手动解锁的方式,不但会增加相应的维护工作,还会降低处理故障的效率。
发明内容
有鉴于此,本发明的主要目的在于提供一种AIX操作系统账号解除锁定的方法及装置,应用本发明所提供的方法及装置能够自动执行账号的解锁操作。为达到上述目的,本发明的技术方案是这样实现的—种AIX操作系统账号解除锁定的方法,该方法包括查询AIX操作系统中待查询的账号是否处于锁定状态;当查询到账号被锁定后,在账号锁定时间到达时,对被锁定账号解锁。一种AIX操作系统账号解除锁定的装置,该装置包配置单元、查询单元和解锁单元;所述配置单元,用于设置账号锁定时间以及待查询账号;所述查询单元,用于从所述配置单元中读取设置的待查询账号,查询该待查询的账号是否处于锁定状态;当查询到账号被锁定后,将该账号标识发送至所述解锁单元;所述解锁单元,用于从所述配置单元中读取设置的解锁执行文件;并在收到所述查询单元发送的被锁定账号的账号标识时,从所述配置单元中读取设置的账号锁定时间,在所述账号锁定时间到达时,运行所述解锁执行文件对被锁定账号解锁。本发明所提供的一种AIX操作系统账号解除锁定的方法及装置,通过在查询到 AIX操作系统中的账号处于锁定状态时,在账号锁定时间到达后对被锁定账号解锁,进而免除了 AIX操作系统只能采用手动进行解锁的维护方式,降低了维护成本、有利于故障的快速修复。从而,完善了 AIX主机操作系统账号安全配置策略,有效防止黑客利用暴力破解帐号及锁定帐号进行DDOS等攻击。
图1为本发明方法的示例性流程图;图2为本发明装置的结构图;图3为本发明实施例的流程图。
具体实施例方式在本部分的详细描述中,仅通过对实施本发明的发明者所预期的最佳方式的示例,示出并描述了本发明的较佳实施例。应意识到,可以在不背离本发明的前提下,就各个显而易见的方面对其进行修改。相应地,附图和说明书应被视为在本质上是示例性的,而不是限制性的。参见图1,图1为本发明方法的示例性流程图。该方法包括在步骤101中,查询AIX 操作系统中待查询的账号是否处于锁定状态;在步骤102中,当查询到账号被锁定后,在账号锁定时间到达时,对被锁定账号解锁。从本发明上述技术方案可以看出,采用本发明的技术方案后,AIX操作系统中的账号被锁定后能够自动解锁,有效的维护了系统的正常运行。该方法可以进一步包括设置解锁执行文件,所述解锁执行文件由具有解锁权限的用户设置,用于对给定账号进行解锁操作;所述对被锁定账号解锁为运行所述解锁执行文件对被锁定账号解锁。其中,所述查询AIX操作系统中待查询的账号是否处于锁定状态,可以是按照设置的查询周期对待查询账号进行周期性查询,这种方式可以称之为周期性查询。当待查询账号存在多个时,在周期性查询时可以采用轮询的方式完成。另外,也可以采用一种触发式查询方式,即由安全管理系统来触发。此时进一步接收安全管理系统对指定账号发送的查询请求,并在接收到查询请求后,将所述指定账号作为待查询账号查询该账号是否处于锁定状态。。当安全管理系统通过系统日志发现某个账号已经连接N次都没有成功时,则会触发对该指定账号的查询。周期性查询方式和触发式查询方式可以一起使用。其中,待查询的账号可以是AIX系统中的全部账号、也可以是部分账号,具体的内容可以根据应用的需要进行设置。查询账号是否处于锁定状态的方式为读取被查询账号的未成功登录次数 (unsuccessful_login_count)与和登录重试次数(Ioginretries),判断未成功登录次数是否大于等于登录重试次数,如果是,则被查询账号处于锁定状态;否则,被查询账号处于非锁定状态。其中,读取被查询账号的未成功登录次数和登录重试次数可以借助crontab 功能实现,crontab功能为AIX操作系统中的已有功能。
另外,运行所述解锁执行文件对被锁定账号解锁的方式可以是,运行所述解锁执 行文件将所述被锁定账号的未成功登录次数重置为0。其中,解锁执行文件可以是具有解 锁权限用户设置的ー种脚本文件,这种脚本文件能够重置/etc/security/lastlog文件中 unsuccessful_login_count的值,将其置为0,进而解除账号锁定状态。例如,以root用户在系统中建立脚本文件/usr/cleanlogincount. sh,并赋予执 行权限touch/usr/cleanlogincount. sh\\ 建立据P本文件chmod+x/usr/cleanlogincount. sh \\赋予该脚本文件可执行的权限cleanlogincount. sh 文件内容可以是# ! /usr/bin/sh/usr/bin/chsec—f/etc/security/last丄og—s root~auBsuccessfui_login_count = 0\\将root账号的未成功登录次数置为0/usr/bin/chsec-f/etc/security/lastiog—s wuqingfa-aunsuccessfui_login_count = 0\\将wuqingfa账号的未成功登录次数置为0/usr/bm/ chsec-f/ etc/security/lastlog-s wugang-aunsuccessful_login_count = 0\\将wugang账号的未成功登录次数置为0。在账号解除锁定后,还可以适当修改该账号的相关參数,例如登录重试次数等;并 将当前解除锁定的事件记录到日志中,以便日后分析处理。还可以在某个账号反复锁定一 定的数量后,能够短信、邮件等其他方式提醒相关管理人员进行技术调研,分析锁定的原 因,防止账号被他人非法利用。另外,设置的账号锁定时间可以根据当前的锁定次数确定,锁定次数越大,则解锁 需要等待的时间就越长。例如,可以是NX设置的单位锁定时间或N2X设置的単位锁定时 间;其中,N为账号当前被锁定的次数。当账号首次锁定时N= 1,当账号再次锁定时N = 2,以此类推。单位锁定时间可以根据需要自行设置,可以是30秒。另外,參见图2,图2为本发明提供的ー种AIX操作系统账号解除锁定的装置,该装 置包配置単元、查询单元和解锁单元。具体的所述配置単元,用于设置账号锁定时间以及待查询账号;所述查询单元,用于从所 述配置単元中读取设置的待查询账号,查询该待查询的账号是否处于锁定状态;当查询到 账号被锁定后,将该账号标识发送至所述解锁単元;所述解锁単元,用于在收到所述查询单 元发送的被锁定账号的账号标识时,从所述配置単元中读取设置的账号锁定时间,在所述 账号锁定时间到达时,对被锁定账号解锁。其中,所述配置単元,进ー步用于设置解锁执行文件;所述解锁単元,进ー步用于 从所述配置単元中读取所述解锁执行文件,并运行所述解锁执行文件对被锁定账号进行解 锁。其中,所述配置単元,进ー步用于设置查询周期;相应的,所述查询単元,进ー步用 于从所述配置単元中读取设置的查询周期,按照所述查询周期对待查询的账号进行周期性查询。另外,所述查询单元,进一步用于接收安全管理系统对指定账号发送的查询请求, 并在收到查询请求后,将所述指定账号作为待查询账号查询该账号是否处于锁定状态。所述查询单元查询账号是否处于锁定状态的方式为读取被查询账号的未成功登录次数和登录重试次数,判断未成功登录次数是否大于等于登录重试次数,如果是,则被查询账号处于锁定状态;否则,被查询账号处于非锁定状态。另外,所述解锁单元运行所述解锁执行文件对被锁定账号解锁的方式为运行所述解锁执行文件将所述被锁定账号的未成功登录次数重置为0。另外,所述配置单元设置的账号锁定时间为NX设置的单位锁定时间或N2X设置的单位锁定时间;其中,N为账号当前被锁定的次数。以下列举实施例对本发明的技术方案进行更加详细的说明。在本实施例中,仅列举对一个账号的查询、解锁流程,其中查询方式为周期性查询。当系统需要对多个账号进行查询、解锁时,可以参照该流程实现。参见图3,图3为本发明实施例的流程图。在步骤301中,获得待查询的账号。在本发明的技术方案中,可以是查询单元从配置单元中获得待查询账号,该待查询的账号可以是系统管理员在配置单元中设置的。在步骤302中,在查询周期到达时,获得该待查询的账号对应的未成功登录次数和登录重试次数。在步骤303中,判断获得的未成功登录次数是否大于等于登录重试次数,如果是, 则被查询账号处于锁定状态,执行步骤304;否则,被查询账号处于非锁定状态,返回步骤 302。在步骤304中,运行解锁执行文件将当前被锁定账号的未成功登录次数重置为0, 艮重置/etc/security/lastlog 文件中 unsuccessful_login_count 的值,其设为 0,角军除账号锁定状态。在步骤305中,当解除账号的锁定状态后,将该事件记录至日志中。以上为对本发明实施例的介绍,当当前待查询账号为触发式查询时,在查询到该待查询账号未被锁定时,则结束当前处理流程,不必再等待下一周期的到来。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种AIX操作系统账号解除锁定的方法,其特征在于,该方法包括查询AIX操作系统中待查询的账号是否处于锁定状态;当查询到账号被锁定后,在账号锁定时间到达时,对被锁定账号解锁。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括设置解锁执行文件,所述解锁执行文件由具有解锁权限的用户设置,用于对给定账号进行解锁操作;所述对被锁定账号解锁为运行所述解锁执行文件对被锁定账号解锁。
3.根据权利要求1或2所述的方法,其特征在于,所述查询AIX操作系统中待查询的账号是否处于锁定状态为按照设置的查询周期对账号进行周期性查询。
4.根据权利要求1或2所述的方法,其特征在于,该方法进一步包括接收安全管理系统对指定账号发送的查询请求;所述查询AIX操作系统中待查询的账号是否处于锁定状态为接收到查询请求后,将所述指定账号作为待查询账号查询该账号是否处于锁定状态。
5.根据权利要求1或2所述的方法,其特征在于,所述查询账号是否处于锁定状态的方式为读取被查询账号的未成功登录次数和登录重试次数,判断未成功登录次数是否大于等于登录重试次数,如果是,则被查询账号处于锁定状态;否则,被查询账号处于非锁定状态。
6.根据权利要求2所述的方法,其特征在于,所述运行所述解锁执行文件对被锁定账号解锁的方式为运行所述解锁执行文件将所述被锁定账号的未成功登录次数重置为0。
7.根据权利要求1或2所述的方法,其特征在于,所述账号锁定时间为NX设置的单位锁定时间或N2X设置的单位锁定时间;其中,N 为账号当前被锁定的次数。
8.—种AIX操作系统账号解除锁定的装置,其特征在于,该装置包配置单元、查询单元和解锁单元;所述配置单元,用于设置账号锁定时间以及待查询账号;所述查询单元,用于从所述配置单元中读取设置的待查询账号,查询该待查询的账号是否处于锁定状态;当查询到账号被锁定后,将该账号标识发送至所述解锁单元;所述解锁单元,用于在收到所述查询单元发送的被锁定账号的账号标识时,从所述配置单元中读取设置的账号锁定时间,在所述账号锁定时间到达时,对被锁定账号解锁。
9.根据权利要求8所述的装置,其特征在于,所述配置单元,进一步用于设置解锁执行文件;所述解锁单元,进一步用于从所述配置单元中读取所述解锁执行文件,并运行所述解锁执行文件对被锁定账号进行解锁。
10.根据权利要求8或9所述的装置,其特征在于,所述配置单元,进一步用于设置查询周期;所述查询单元,进一步用于从所述配置单元中读取设置的查询周期,按照所述查询周期对待查询的账号进行周期性查询。
11.根据权利要求8或9所述的装置,其特征在于,所述查询单元,进一步用于接收安全管理系统对指定账号发送的查询请求,并在收到查询请求后,将所述指定账号作为待查询账号查询该账号是否处于锁定状态。
12.根据权利要求8或9所述的装置,其特征在于,所述查询单元查询账号是否处于锁定状态的方式为读取被查询账号的未成功登录次数和登录重试次数,判断未成功登录次数是否大于等于登录重试次数,如果是,则被查询账号处于锁定状态;否则,被查询账号处于非锁定状态。
13.根据权利要求9所述的装置,其特征在于,所述解锁单元运行所述解锁执行文件对被锁定账号解锁的方式为运行所述解锁执行文件将所述被锁定账号的未成功登录次数重置为0。
14.根据权利要求8或9所述的装置,其特征在于,所述配置单元设置的账号锁定时间为NX设置的单位锁定时间或N2X设置的单位锁定时间;其中,N为账号当前被锁定的次数。
全文摘要
本发明公开了一种AIX操作系统账号解除锁定的方法及装置,通过在查询到AIX操作系统中的账号处于锁定状态时,在账号锁定时间到达后对被锁定账号解锁,进而免除了AIX操作系统只能采用手动进行解锁的维护方式,降低了维护成本、有利于故障的快速修复。
文档编号G06F21/20GK102567681SQ201010595189
公开日2012年7月11日 申请日期2010年12月10日 优先权日2010年12月10日
发明者刘媛, 刘竑宇, 刘鸥, 徐锐, 苟茹辛, 陈旭毅 申请人:中国移动通信集团贵州有限公司