本发明涉及系统或软件登录领域,具体涉及用户登录限制及用户登录行为记录的装置及方法。
背景技术:
::系统管理员负责整个系统的管理、安全、资源分配等工作,管理各个用户在系统中得权限、资源使用、安全性分析等,对于用户在当前时间使用系统资源是否合理合规有着严格监控的职责,尤其对于一些商业软件或者系统,例如在一些使用费用昂贵的系统中,这些问题有着急迫的解决需求。技术实现要素:为解决上述问题,本发明提供一种合理合规监控使用系统资源的用户登录限制及行为记录装置及方法。本发明的技术方案是:一种用户登录限制及行为记录装置,所述用户登录限制及行为记录装置配置在linux系统;所述用户登录限制及行为记录装置包括:用户登录终端限制模块:用于限制指定用户登录终端;用户登录时间限制模块:用于通过pam模块限制指定用户登录时间;ssh登录记录判断模块:用于通过iptable工具记录登录行为,并判断是否接受登录请求。进一步地,用户登录终端限制模块通过修改文件/etc/security/access.conf限制指定用户登录终端。进一步地,用户登录时间限制模块通过修改文件/etc/security/time.conf,配合pam中/etc/pam.d/sshd添加pam_time.so限制指定用户登录时间。进一步地,用户登录终端限制模块所限制的指定用户登录终端包括tty*终端和ssh终端。进一步地,ssh登录记录判断模块所记录的登录行为包括登录用户、登录来源、mac地址、登录时间及采取措施;所述采取措施包括放行和禁止。进一步地,所述用户登录限制及行为记录装置还包括:登录终端限制报警模块:用于当登录终端为限制终端时,发出报警信号;登录时间限制报警模块:用于当登录时间为限制时间时,发出报警信号;ssh登录判断报警模块:用于当ssh登录记录判断模块不接受登录请求时,发出报警信号。一种用户登录限制及行为记录方法,包括:s1:用户登录;s2:判断是否是指定用户登录终端;s3:若是指定用户登录终端,则进入步骤s4;若非指定用户登录终端,则发出报警信号;s4:判断登录时间是否在指定用户登录时间段;s5:若登录时间在指定用户登录时间段,则进入步骤s6;若登录时间不在指定用户登录时间段,则发出报警信号;s6:判断是否接受登录请求;s7:若接受登录请求,则放行并记录登录行为;若不接受登录请求,则禁止并发出报警信号,同时记录登录行为。进一步地,步骤s2中,通过修改文件/etc/security/access.conf判断是否是指定用户登录终端。进一步地,步骤s4中,通过修改文件/etc/security/time.conf,配合pam中/etc/pam.d/sshd添加pam_time.so判断登录时间是否在指定用户登录时间段。进一步地,步骤s7中,登录行为包括登录用户、登录来源、mac地址、登录时间及采取措施;所述采取措施包括放行和禁止。本发明提供的用户登录限制及行为记录装置及方法,可实现以下功能:1.指定用户登录终端和登录类型限制,例如tty*终端登录限制、ssh登录限制;2.指定用户登录时间限制,例如允许登录时间段限制;3.ssh尝试登录的源地址、时间、用户等记录,并可以采取是否接受请求的应对措施。本发明借助于linux系统的iptable工具、pam模块实现定制的安全策略套件,以满足系统安全性、用户登陆限制、用户行为记录的需求,可合理合规地严格监控当前时间使用系统资源,为系统管理员的工作提供便利,提高工作效率。附图说明图1是本发明具体实施例方法流程图。具体实施方式下面结合附图并通过具体实施例对本发明进行详细阐述,以下实施例是对本发明的解释,而本发明并不局限于以下实施方式。本发明提供个用户登录限制及行为记录装置,基于linux系统,包括以下模块:用户登录终端限制模块:用于限制指定用户登录终端;用户登录时间限制模块:用于通过pam模块限制指定用户登录时间;ssh登录记录判断模块:用于通过iptable工具记录登录行为,并判断是否接受登录请求。其中,用户登录终端限制模块通过修改文件/etc/security/access.conf限制指定用户登录终端。用户登录终端限制模块所限制的指定用户登录终端包括tty*终端和ssh终端。用户登录时间限制模块通过修改文件/etc/security/time.conf,配合pam中/etc/pam.d/sshd添加pam_time.so(例如authrequiredpam_time.so)限制指定用户登录时间。ssh登录记录判断模块通过添加iptable规则记录登录行为,并判断是否接受登录请求。示例如下:#iptables-ainput-ieno1-ptcp--dportssh-mstate--statenew-jlog--log-prefix"ssh_iptables_new"--log-levelwarning#iptables-ainput-ptcp--dportssh-mstate--statenew-s192.168.100.0/24-jreject添加iptable规则的同时可配合rsyslogd服务,可过滤并记录登录行为,登录行为包括登录用户、登录来源、mac地址、登录时间及采取措施;采取措施包括放行和禁止。本实施例中,还设置以下报警模块:登录终端限制报警模块:用于当登录终端为限制终端时,发出报警信号;登录时间限制报警模块:用于当登录时间为限制时间时,发出报警信号;ssh登录判断报警模块:用于当ssh登录记录判断模块不接受登录请求时,发出报警信号。如图1所示,本发明提供的用户登录限制及行为记录方法,包括以下步骤:s1:用户登录;s2:判断是否是指定用户登录终端;s3:若是指定用户登录终端,则进入步骤s4;若非指定用户登录终端,则发出报警信号;s4:判断登录时间是否在指定用户登录时间段;s5:若登录时间在指定用户登录时间段,则进入步骤s6;若登录时间不在指定用户登录时间段,则发出报警信号;s6:判断是否接受登录请求;s7:若接受登录请求,则放行并记录登录行为;若不接受登录请求,则禁止并发出报警信号,同时记录登录行为。上述步骤s2中通过修改文件/etc/security/access.conf判断是否是指定用户登录终端。步骤s4中,通过修改文件/etc/security/time.conf,配合pam中/etc/pam.d/sshd添加pam_time.so判断登录时间是否在指定用户登录时间段。步骤s7中,登录行为包括登录用户、登录来源、mac地址、登录时间及采取措施;采取措施包括放行和禁止。步骤s7中,通过添加iptables规则判断是否接受登录请求并记录登录行为。iptables规则示例如下:#iptables-ainput-ieno1-ptcp--dportssh-mstate--statenew-jlog--log-prefix"ssh_iptables_new"--log-levelwarning#iptables-ainput-ptcp--dportssh-mstate--statenew-s192.168.100.0/24-jreject以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都应落在本发明的保护范围内。当前第1页12当前第1页12