一种修复安全漏洞的方法、装置及电子设备与流程

本发明涉及漏洞修复技术领域，特别涉及一种修复安全漏洞的方法、装置及电子设备。

背景技术：

Redis是一个高性能的key-value存储系统。Redis和Memcached类似，但redis支持存储的value类型相对更多，包括string(字符串)、list(链表)、set(集合)、zset(sorted set--有序集合)和hash(哈希类型)。Redis的出现，很大程度补偿了memcached这类key/value存储的不足，在部分场合可以对关系数据库起到很好的补充作用。

随着骇客技术的不断提高，以及redis缓存技术的普遍使用，骇客已经能够通过redis的安全漏洞攻击redis服务器，因此急需快速弥补针对redis的安全漏洞。

在实现本发明过程中，发明人发现相关技术中至少存在如下问题：

redis安全漏洞都是由维护人员手工进行修复的，由于服务器数量多，造成维护工作量大、耗时长，不能快速高效解决redis服务器安全性的问题。

公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

技术实现要素：

本发明的目的在于提供一种修复安全漏洞的方法、装置及电子设备，从而克服现有修复安全漏洞耗时长、效率低的缺陷。

本发明实施例提供的一种修复安全漏洞的方法，包括：获取用于配置服务器参数的配置文件，所述配置文件包括服务器的端口号和通信地址；将所述配置文件中的端口号修改为预设的目标端口号；获取所述服务器的本地通信地址，并将所述配置文件中的通信地址绑定为所述本地通信地址；为所述配置文件指定目标路径，所述目标路径为所述服务器启动所述配置文件时的加载路径。

在一种可能的实现方式中，在所述获取用于配置服务器参数的配置文件之后，该方法还包括：判断启动服务器的当前用户是否为root用户；若当前用户为root用户，创建用于启动服务器的目标用户，所述目标用户的权限低于所述root用户的权限。

在一种可能的实现方式中，在所述获取用于配置服务器参数的配置文件之后，该方法还包括：获取用户输入的服务器密码；根据所述服务器密码更新所述配置文件中的密码。

在一种可能的实现方式中，所述将所述配置文件中的端口号修改为预设的目标端口号，包括：确定服务器所在的服务器组；将所述服务器组的端口号作为目标端口号。

在一种可能的实现方式中，所述服务器的本地通信地址包括服务器的本地回送地址和/或本地内网地址。

基于同样的发明构思，本发明实施例还提供一种修复安全漏洞的装置，包括：获取模块，用于获取用于配置服务器参数的配置文件，所述配置文件包括服务器的端口号和通信地址；修改模块，用于将所述配置文件中的端口号修改为预设的目标端口号；绑定模块，用于获取所述服务器的本地通信地址，并将所述配置文件中的通信地址绑定为所述服务器的本地通信地址；路径配置模块，用于为所述配置文件指定目标路径，所述目标路径为所述服务器启动所述配置文件时的加载路径。

在一种可能的实现方式中，该装置还包括：判断模块；在所述获取模块获取配置文件之后，所述判断模块用于判断启动服务器的当前用户是否为root用户；若当前用户为root用户，创建用于启动所述服务器的目标用户，所述目标用户的权限低于所述root用户的权限。

在一种可能的实现方式中，该装置还包括：更新模块；所述获取模块在获取配置文件之后，所述获取模块还用于获取用户输入的服务器密码；所述更新模块用于根据所述服务器密码更新所述配置文件中的密码。

在一种可能的实现方式中，所述修改模块包括：确定单元，用于确定服务器所在的服务器组；修改单元，用于将所述服务器组的端口号作为目标端口号。

在一种可能的实现方式中，所述服务器的本地通信地址包括服务器的本地回送地址和/或本地内网地址。

为实现上述发明目的，再一方面，本发明实施例提供了一种电子设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行以上各个方面所述的方法。

为实现上述发明目的，再一方面，本申请实施例还提供了一种非暂态计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行以上各个方面所述的方法。

为实现上述发明目的，再一方面，本发明实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行以上各个方面所述的方法。

本发明实施例提供的一种修复安全漏洞的方法、装置及电子设备，通过设置包含服务器的端口号和通信地址的配置文件，并根据服务器的参数编辑配置文件中的端口号和通信地址，在服务器运行该配置文件后即可以更改本地服务器的设置，使得本地配置更加符合安全策略，从而可以修复安全配置问题的安全漏洞。该配置文件可以适用于不同的服务器且可以被复制或循环使用，从而根据该方法可以实现批量快速更改服务器设置，能够快速完成服务器的安全升级，保证在线服务的稳定性。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

一个或多个实施例通过与之对应的附图中的图片进行示例性说明，这些示例性说明并不构成对实施例的限定，附图中具有相同参考数字标号的元件表示为类似的元件，除非有特别申明，附图中的图不构成比例限制。

图1为本发明实施例中修复安全漏洞的方法流程图；

图2为本发明实施例中权限判断的方法流程图；

图3为本发明实施例中修改密码的方法流程图；

图4为本发明实施例中将配置文件中的端口号修改为预设的目标端口号的方法流程图；

图5为本发明实施例1中修复安全漏洞的方法流程图；

图6为本发明实施例中修复安全漏洞的装置的第一结构图；

图7为本发明实施例中修复安全漏洞的装置的第二结构图；

图8为本发明实施例中修复安全漏洞的装置的第三结构图；

图9为本发明实施例中修改模块的结构图；

图10为本发明实施例中修复安全漏洞的电子设备的结构图。

具体实施方式

下面结合附图，对本发明的具体实施方式进行详细描述，但应当理解本发明的保护范围并不受具体实施方式的限制。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。除非另有其它明确表示，否则在整个说明书和权利要求书中，术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分，而并未排除其它元件或其它组成部分。

在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

另外，为了更好的说明本发明，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本发明同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件未作详细描述，以便于凸显本发明的主旨。

除非另有其它明确表示，否则在整个说明书和权利要求书中，术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分，而并未排除其它元件或其它组成部分。

本发明实施例提供了一种修复安全漏洞的方法，图1为该方法的流程图，具体包括步骤101-104：

步骤101：获取用于配置服务器参数的配置文件，该配置文件包括服务器的端口号和通信地址。

本发明实施例中，该配置文件为服务器中用于配置服务器参数的文件，具体可以为redis服务器的配置文件。该配置文件为需要服务器启动的文件，本发明实施例中可以用于修复安全漏洞。现有redis服务器存在安全配置问题的安全漏洞，本发明实施例中，在需要修复服务器的安全漏洞时，获取该配置文件并对其进行修改，之后redis服务器通过启动修改后的配置文件来更改本地配置，使得服务器的本地配置更加符合安全策略，从而可以修复安全配置问题的安全漏洞。

其中，配置文件包括服务器的端口号和通信地址，端口号用于配置服务器的端口号，通信地址用于配置服务器的通信地址。该配置文件还可以包括密码、用户权限等配置。

步骤102：将配置文件中的端口号修改为预设的目标端口号。

本发明实施例中，“配置文件包括端口号”的意思是配置文件中包含可以设置端口号的字段，即原始的配置文件中可以设置一个初始的端口号，在步骤102中将该初始的端口号修改为目标端口号，该目标端口号为根据安全策略预先确定的端口号；或者，由于存在人为修改配置文件中端口号的情形，此时在原始的配置文件中，用于设置端口号的字段可能为空(即不包含一个原始的端口号)，此时在步骤102中直接将目标端口号赋值给相应的字段。具体可以通过一定格式的可执行文件(如脚本)来修改配置文件中的端口号。通过将配置文件中的端口号修改为目标端口号，在服务器启动该配置文件之后，可以将服务器的端口号修改为该目标端口号，使得服务器的端口号配置更加符合安全策略；同时，修改端口号的过程可以由可执行文件执行，不需要人工参与，在节省人工资源的同时也可以提高速度和效率。

步骤103：获取服务器的本地通信地址，并将配置文件中的通信地址绑定为服务器的本地通信地址。

同样的，本发明实施例中“配置文件包括通信地址”的意思是配置文件中包含可以设置通信地址的字段，即原始的配置文件中可以设置初始的通信地址，在步骤103中将该初始的通信地址修改为本地通信地址；或者，由于存在人为修改配置文件中通信地址的情形，此时在原始的配置文件中，用于设置通信地址的字段可能为空(即不包含初始的通信地址)，在步骤103中直接将服务器的本地通信地址赋值给相应的字段。

其中，服务器的本地通信地址区别与服务器的外网通信地址，即服务器的本地通信地址只在有限的范围内使用。通过将配置文件中的通信地址绑定为服务器的本地通信地址，从而限定其他终端通过外网通信地址访问服务器，进而提高了服务器的安全性。

具体的，本发明实施例中，服务器的本地通信地址包括服务器的本地回送地址和/或本地内网地址。其中，本机回送地址(Loopback Address)是主机IP堆栈内部的IP地址，主要用于网络软件测试以及本地机进程间通信，一般可以设为127.0.0.1。本地内网地址为本地服务器所处局域网中的地址，一般可以设为192.168.1.x，其中，x为0-255中的一个数值。

步骤104：为配置文件指定目标路径，目标路径为服务器启动配置文件时的加载路径。

本发明实施例中，在指定配置文件的目标路径(例如：/etc/redis.conf)后，redis服务器即可以启动该配置文件，进而使得redis服务器更改本地服务器的设置，使得本地配置更加符合安全策略，从而可以修复安全配置问题的安全漏洞。

本发明实施例提供的一种修复安全漏洞的方法，通过设置包含服务器的端口号和通信地址的配置文件，并根据服务器的参数编辑配置文件中的端口号和通信地址，在服务器运行该配置文件后即可以更改本地服务器的设置，使得本地配置更加符合安全策略，从而可以修复安全配置问题的安全漏洞。该配置文件可以适用于不同的服务器且可以被复制或循环使用，从而根据该方法可以实现批量快速更改服务器设置，能够快速完成服务器的安全升级，保证在线服务的稳定性。

本发明另一实施例提供了一种修复安全漏洞的方法，包括图1所示的步骤101-104，其实现原理和有益效果参考图1所示的实施例。此外，本实施例在步骤101获取配置文件之后，还包括权限判断过程，参见图2所示，该权限判断过程具体包括：步骤110-111。

步骤110：判断启动服务器的当前用户是否为root用户。

步骤111：若当前用户为root用户，创建用于启动服务器的目标用户，该目标用户的权限低于root用户的权限。

root存在于Linux系统、UNIX系统和类UNIX系统中，是系统中唯一的超级用户，相当于Windows系统中的SYSTEM用户。root用户具有系统中所有的权限，如启动或停止一个进程、删除或增加用户、增加或者禁用硬件等等。由于root用户具有所有的权限，所以若以root用户启动redis服务器，容易导致服务器被完全控制，安全性较低。故在本发明实施例中，在当前用户为root用户时，创建用于启动服务器的目标用户。其中，配置文件中可以设有添加用户的字段，即将目标用户添加至配置文件中。当服务器以目标用户启动时，由于目标用户的权限不高，可以在一定程度上提高服务器的安全性。

在一种可能的实现方式中，参见图3所示，在步骤101获取配置文件之后，该方法还包括修改密码的过程，具体包括步骤201-202：

步骤201：获取用户输入的服务器密码。

步骤202：根据服务器密码更新配置文件中的密码。

本发明实施例中，通过对服务器的密码进行配置，可以提高服务器的安全性。具体的，该服务器密码可以为服务器主从读写密码，在获取服务器主从读写密码后根据该服务器主从读写密码更新配置文件中的主从读写密码。

其中，该服务器主从读写密码为用户自行设定的，每个服务器具有独立的密码，也可以将一组服务器设置为同一个密码，方便以组的形式管理服务器。由于redis的速度相当的快，在一台比较好的服务器下，每秒可进行150K次密码尝试，设置一个复杂的密码可以提高安全性；同时，为主从服务器分别设置主从读写密码，进一步提高服务器的安全性。

在一种可能的实现方式中，参见图4所示，步骤102中将配置文件中的端口号修改为预设的目标端口号具体包括步骤301-302：

步骤301：确定服务器所在的服务器组。

步骤302：将分配给服务器组的端口号作为目标端口号。

本发明实施例中，服务器组具体可以人为分配，也可以根据服务器的功能等进行自动分配。根据服务器所在服务器组的端口号确定配置文件中的端口号，该服务器启动配置文件后即可以更新端口号。通过上述方法可以将多个服务器设置为同一个端口号，方便管理服务器。

下面通过一个实施例详细介绍该方法的流程。

在本实施例中，配置文件包括用户、服务器的端口号、通信地址和主从密码，具体的，参见图5所示，修复安全漏洞的方法流程包括步骤401-408：

步骤401：获取配置文件。

其中，该配置文件包括用户、服务器的端口号、通信地址和主从密码。

步骤402：判断当前用户是否为root用户，在当前用户为root用户时，继续步骤403，否则继续步骤404。

其中，在当前用户不为root用户时，不需要对当前用户进行修改，即可以不设置配置文件中的用户。

步骤403：创建用于启动服务器的目标用户，并将配置文件中的用户更新为该目标用户。

步骤404：将配置文件中的端口号修改为预设的目标端口号。

步骤405：获取服务器的本地通信地址，并将配置文件中的通信地址绑定为服务器的本地通信地址。

其中，服务器的本地通信地址包括服务器的本地回送地址和本地内网地址，本地回送地址可以设为127.0.0.1，本地内网地址可以设为192.168.1.x。

步骤406：为配置文件指定目标路径。

该目标路径为服务器启动配置文件时的加载路径。

步骤407：服务器启动该配置文件。

步骤408：重启服务器。

由于服务器的某些配置需要执行重启操作后才可以生效，故在根据配置文件更改配置后需要重启服务器。

本发明实施例提供的一种修复安全漏洞的方法，通过设置包含服务器的端口号和头像地址的配置文件，并根据服务器的参数编辑配置文件中的端口号和通信地址，在服务器运行该配置文件后即可以更改本地服务器的设置，使得本地配置更加符合安全策略，从而可以修复安全配置问题的安全漏洞。该配置文件可以适用于不同的服务器且可以被复制或循环使用，从而根据该方法可以实现批量快速更改服务器设置，能够快速完成服务器的安全升级，保证在线服务的稳定性。

以上详细介绍了一种修复安全漏洞的方法流程，该方法也可以通过相应的装置实现，下面详细介绍该装置的结构和功能。

本发明实施例提供的一种修复安全漏洞的装置，参见图6所示，包括：获取模块51、修改模块52、绑定模块53和路径配置模块54。

获取模块51用于获取用于配置服务器参数的配置文件，配置文件包括服务器的端口号和通信地址。

修改模块52用于将配置文件中的端口号修改为预设的目标端口号。

绑定模块53用于获取服务器的本地通信地址，并将配置文件中的通信地址绑定为服务器的本地通信地址。

路径配置模块54用于为配置文件指定目标路径，目标路径为服务器启动配置文件时的加载路径。

本发明另一实施例提供了一种修复安全漏洞的装置，包括图6所示的获取模块51、修改模块52、绑定模块53和路径配置模块54，其实现原理和有益效果参考图6所示的实施例。此外，参见图7所示，本实施例提供的修复安全漏洞的装置还包括：判断模块55。在获取模块51获取配置文件之后，判断模块55用于判断启动服务器的当前用户是否为root用户，在当前用户为root用户时，创建用于启动服务器的目标用户，目标用户的权限低于root用户的权限。

本发明另一实施例提供了一种修复安全漏洞的装置，包括图6所示的获取模块51、修改模块52、绑定模块53和路径配置模块54，其实现原理和有益效果参考图6所示的实施例。此外，参见图8所示，本实施例提供的修复安全漏洞的装置还包括：更新模块56。获取模块51在获取配置文件之后，获取模块51还用于获取用户输入的服务器主从读写密码。更新模块56用于根据服务器主从读写密码更新配置文件中的主从读写密码。

本发明另一实施例提供了一种修复安全漏洞的装置，包括图6所示的获取模块51、修改模块52、绑定模块53和路径配置模块54，其实现原理和有益效果参考图6所示的实施例。此外，参见图9所示，修改模块52包括：确定单元521和修改单元522。

确定单元521用于确定服务器所在的服务器组。

修改单元522用于将分配给服务器组的端口号作为目标端口号。

在一种可能的实现方式中，服务器的本地地址包括服务器的本地回送地址和/或本地内网地址。

本发明实施例提供的一种修复安全漏洞的方法及装置，通过设置包含服务器的端口号和通信地址的配置文件，并根据服务器的参数编辑配置文件中的端口号和通信地址，在服务器运行该配置文件后即可以更改本地服务器的设置，使得本地配置更加符合安全策略，从而可以修复安全配置问题的安全漏洞。该配置文件可以适用于不同的服务器且可以被复制或循环使用，从而根据该方法可以实现批量快速更改服务器设置，能够快速完成服务器的安全升级，保证在线服务的稳定性。

本申请实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的处理方法。

图10是本申请实施例提供的修复安全漏洞的方法的电子设备的硬件结构示意图，如图10所示，该设备包括一个或多个处理器610以及存储器620。图10中以一个处理器610为例。该设备还可以包括：输入装置630和输出装置640。

处理器610、存储器620、输入装置630和输出装置640可以通过总线或者其他方式连接，图10中以通过总线连接为例。

存储器620作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。处理器610通过运行存储在存储器620中的非易失性软件程序、指令以及模块，从而执行电子设备的各种功能应用以及数据处理，即实现上述方法实施例的处理方法。

存储器620可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储数据等。此外，存储器620可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器620可选包括相对于处理器610远程设置的存储器，这些远程存储器可以通过网络连接至处理装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置630可接收输入的数字或字符信息，以及产生信号输入。输出装置640可包括显示屏等显示设备。

所述一个或者多个模块存储在所述存储器620中，当被所述一个或者多个处理器610执行时，执行：获取配置文件，所述配置文件包括端口号和地址；将所述配置文件中的端口号修改为预设的目标端口号；获取服务器的本地地址，并将所述配置文件中的地址绑定为所述服务器的本地地址；为所述配置文件指定目标路径，所述目标路径为服务器启动所述配置文件时的加载路径。

在一种可能的实现方式中，在所述获取配置文件之后，该方法还包括：判断启动服务器的当前用户是否为root用户，在当前用户为root用户时，创建用于启动服务器的目标用户，所述目标用户的权限低于所述root用户的权限。

在一种可能的实现方式中，在所述获取配置文件之后，该方法还包括：获取用户输入的服务器主从读写密码；根据所述服务器主从读写密码更新所述配置文件中的主从读写密码。

在一种可能的实现方式中，所述将所述配置文件中的端口号修改为预设的目标端口号，包括：确定服务器所在的服务器组；将分配给所述服务器组的端口号作为目标端口号。

在一种可能的实现方式中，所述服务器的本地地址包括服务器的本地回送地址和/或本地内网地址。

上述产品可执行本申请实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本申请实施例所提供的方法。

本申请实施例的电子设备以多种形式存在，包括但不限于:

(1)移动通信设备:这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备:这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等，例如iPad。

(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器:提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子装置。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

工业实用性

本申请实施例提供的一种修复安全漏洞的方法，通过获取用于配置服务器参数的配置文件，所述配置文件包括服务器的端口号和头像地址；将所述配置文件中的端口号修改为预设的目标端口号；获取服务器的本地通信地址，并将所述配置文件中的通信地址绑定为所述服务器的本地通信地址；为所述配置文件指定目标路径，所述目标路径为服务器启动所述配置文件时的加载路径，实现有益效果。