一种Docker容器的网页防篡改系统及其方法与流程
本发明涉及一种网页防篡改系统及其方法,特别是一种docker容器的网页防篡改系统及其方法,涉及网络安全领域。
背景技术:
网页篡改是黑客常用的一种方法,网页被篡改可能造成企业形象受损、恶意内容发布及木马病毒传播等危害。本网页防篡改系统采用第三代防篡改技术,通过内核驱动级文件保护技术从根本上保证了文件检测的准确度,提供了针对文件夹及其子文件夹的保护。该系统基于事件触发式监测机制,高效地实现了网页监测与防护功能,系统后台运行监测程序,一旦检测到文件变更事件,将立即阻断非法变更,彻底杜绝了网站被非法篡改的可能。此外,该系统的性能、灵活性以及安全性远高于传统类防护技术,并且支持多种网页格式,还具有系统资源占用极少、无需改变现有网络架构的优点。本网页防篡改系统实现了对网页文件的完整性检查和保护,彻底杜绝网站被挂马、挂黑链、篡改,全面提升了云服务的安全性。
docker是一个开源的应用容器引擎,让开发者可以用虚拟化的方式将应用及其依赖打包到一个可移植容器中,然后发布到任何流行的linux机器上。docker容器完全采用沙箱机制,各容器之间没有任何接口。最重要的是,docker容器应用不依赖于任何语言、框架甚至系统,可以很容易地运行在机器和数据中心上,而几乎没有额外的性能开销。由于目前大量业务都在docker环境中进行部署,故针对docker容器应用的网页防篡改功能也势必会成为下一代网页防篡改产品的重点功能之一。因此有必要设计一种针对docker容器应用网页防篡改系统或方法。
技术实现要素:
本发明所要解决的技术问题是提供一种docker容器的网页防篡改系统及其方法,保证docker容器内服务的安全性。
为解决上述技术问题,本发明所采用的技术方案是:
一种docker容器的网页防篡改系统,其特征在于:包含网页防篡改管理后台、容器集群管理系统和宿主机,宿主机内设置有docker守护进程、网页防篡改监控客户端和docker容器化web应用;
网页防篡改管理后台用于提供主机管理、用户管理、对象管理、策略下发、日志监控以及查看各监控客户端监控状态功能;
容器集群管理系统与网页防篡改管理后台连接用于提供部署、维护、扩展服务,以方便地管理跨集群运行的容器化应用;
docker守护进程与容器集群管理系统连接用于容器的创建、运行、监控与镜像的构建、储存;
网页防篡改监控客户端与网页防篡改管理后台和docker守护进程连接用于监控站点的防攻击状态、执行管理中心配置的策略、阻止各类篡改攻击;
docker容器化web应用与docker守护进程和网页防篡改监控客户端连接用于容器化后通过docker部署、对外提供web服务。
进一步地,所述网页防篡改管理后台部署在独立的服务器或虚拟机上。
进一步地,所述容器集群管理系统的主要相关功能包括协调辅助进程、挂载存储系统、分布式机密信息、检查程序状态、负载均衡和资源监控程序调试。
进一步地,所述docker守护进程在宿主机内以系统后台服务的方式运行。
进一步地,所述网页防篡改监控客户端以docker容器的形式绑定安装在网站服务的宿主机上,安装完成后,立即自动后台运行。
一种docker容器的网页防篡改方法,其特征在于包含以下步骤:
步骤一:搭建权利要求1-5任一项所述的docker容器的网页防篡改系统;
步骤二:通过网页防篡改管理中心管理配置,启动网页防篡改功能的对外服务节点及配置参数;
步骤三:网页防篡改系统将网页防篡改的配置参数下发至容器集群管理系统,容器集群管理系统将配置结果上报给网页防篡改系统,并在界面上显示相应结果;
步骤四:容器集群管理系统解析该配置参数,并根据配置参数内容绑定至目标服务的相关容器节点配置中;
步骤五:容器集群管理系统在启动目标服务的容器时,根据配置参数内容,逐步将配置的目录根据不同的权限加载至不同的文件卷;
步骤六:目标服务的容器启动完毕后,容器集群管理系统启动网页防篡改系统监控客户端,并绑定至目标服务,随后监控客户端开始监控目录中的文件修改状况;如果被锁定目录中有任何文件发生了变更,则认为发生了篡改事件,监控客户端将发送告警至网页防篡改管理中心;
步骤七:网页防篡改管理中心接收到告警后,通知容器集群管理系统重载防护中的目标服务,并在管理中心前台显示告警,通知用户。
进一步地,所述步骤一中配置参数包含监控目录、排除目录和排除进程。
进一步地,所述步骤四具体为
容器集群管理系统解析相关配置参数,并根据参数要求加载对应文件卷和配置,其具体过程为
1)使用以下命令安装docker环境
yum-yinstalldocker-io
启动docker服务
servicedockerstart
or
systemctlstartdocker
2)查找镜像
dockersearch<image>
ex:
dockersearchcentos//查找centos操作系统的镜像
dockersearchphp//查找已经部署php环境的镜像
3)下载镜像
dockerpull<image>
ex:
dockerpulldocker.io/1and1internet/ubuntu-16-apache-php-7.0
4)查看下载镜像
dockerimages//列出images
dockerimages-a//列出所有的images(包含历史)
dockerrmi<imageid>//删除一个或多个image;
使用镜像创建容器安装防篡改客户端,其过程为
1)dockerrun-it--name<docker-name>-v/setup:/home/setup<image-name>/bin/bash使用名为image-name的镜像创建容器,容器的名称是docker-name,添加数据卷使宿主主机的文件路径/setup和容器的文件路径/home/setup进行绑定;
2)将webguard防篡改监控保护端程序放入宿主主机的文件路径/setup中;
在docker容器中执行安装程序;
3)保存容器到镜像
dockercommit<container-id><image-name>
将一个正在运行的容器生成一个新的镜像,通过将已经安装了webguard和应用的容器生成镜像。
4)保存镜像
dockersaveimage-id>/tmp/image.tar
5)使用保存的镜像
dockerload</tmp/image.tar。
进一步地,所述步骤五中将配置的目录根据不同的权限加载至不同的文件卷具体过程为
针对锁定目录,将该目录加载为只读可执行分区;
针对可写目录,将该目录加载为可写分区;
在多级嵌套目录的情况下,加载目录通过加载顺序保证嵌套的可靠性。
进一步地,所述加载顺序具体为
防篡改管理中心获取平台的配置内容,根据两个维度对目录对象进行分析:
c)目录深度:对每个目录对象进行深度赋值,深度越深,权值越高;
d)目录权限:根据目录权限进行赋值,权限越高,赋值越高;
当嵌套目录对应的策略存在冲突时,以赋值大小判断,赋值越大,优先级越高,优先级高的策略优先满足。
本发明与现有技术相比,具有以下优点和效果:
1、本发明的网页防篡改监控客户端不会对目标服务镜像产生任何影响,无侵入性;
2、本发明整体功能涵盖了锁定、监控和恢复各个环节,功能完整;
3、本发明实现简单,仅需修改容器启动流程;
4、本发明稳定可靠,无需修改文件系统,不会影响宿主机系统。
附图说明
图1是本发明的一种docker容器的网页防篡改系统的示意图。
图2是本发明的一种docker容器的网页防篡改方法的流程图。
具体实施方式
下面通过实施例对本发明作进一步的详细说明,以下实施例是对本发明的解释而本发明并不局限与以下实施例。
如图1所示,本发明的一种docker容器的网页防篡改系统,包含网页防篡改管理后台、容器集群管理系统和宿主机,宿主机内设置有docker守护进程、网页防篡改监控客户端和docker容器化web应用;其中,容器集群管理系统与网页防篡改管理后台连接,docker守护进程与容器集群管理系统连接,网页防篡改监控客户端与网页防篡改管理后台和docker守护进程连接,docker容器化web应用与docker守护进程和网页防篡改监控客户端连接。
网页防篡改管理中心部署在独立的服务器或虚拟机上,主要提供主机管理、用户管理、对象管理、策略下发、日志监控以及查看各监控客户端监控状态等功能。
容器集群管理系统为容器化应用提供了部署、维护、扩展服务,能够方便地管理跨集群运行的容器化应用,其主要相关功能包括协调辅助进程、挂载存储系统、分布式机密信息、检查程序状态、负载均衡、资源监控程序调试等。
docker守护进程以系统后台服务的方式运行,是docker核心后台进程,负责容器的创建、运行、监控与镜像的构建、储存。
网页防篡改监控客户端以docker容器的形式绑定安装在网站服务的宿主机上,安装完成后,立即自动后台运行,主要用于监控站点的防攻击状态、执行管理中心配置的策略、阻止各类篡改攻击。
docker容器化web应用是容器化后通过docker部署、对外提供web服务的应用,是需要被保护、防止网页被篡改的目标对象。
一种docker容器的网页防篡改方法,包含以下步骤:
步骤一:搭建上述一种docker容器的网页防篡改系统;
步骤二:通过网页防篡改管理中心管理配置,启动网页防篡改功能的对外服务节点及配置参数;相关参数包括监控目录、排除目录、排除进程等;
步骤三:网页防篡改系统将网页防篡改的配置参数下发至容器集群管理系统,容器集群管理系统将配置结果上报给网页防篡改系统,并在界面上显示相应结果;
步骤四:容器集群管理系统解析该配置参数,并根据配置参数内容绑定至目标服务的相关容器节点配置中;
容器集群管理系统解析相关配置参数,并根据参数要求加载对应文件卷和配置,其具体过程为
1)使用以下命令安装docker环境
yum-yinstalldocker-io
启动docker服务
servicedockerstart
or
systemctlstartdocker
2)查找镜像
dockersearch<image>
ex:
dockersearchcentos//查找centos操作系统的镜像
dockersearchphp//查找已经部署php环境的镜像
3)下载镜像
dockerpull<image>
ex:
dockerpulldocker.io/1and1internet/ubuntu-16-apache-php-7.0
4)查看下载镜像
dockerimages//列出images
dockerimages-a//列出所有的images(包含历史)
dockerrmi<imageid>//删除一个或多个image;
使用镜像创建容器安装防篡改客户端,其过程为
1)dockerrun-it--name<docker-name>-v/setup:/home/setup<image-name>/bin/bash使用名为image-name的镜像创建容器,容器的名称是docker-name,添加数据卷使宿主主机的文件路径/setup和容器的文件路径/home/setup进行绑定;
2)将webguard防篡改监控保护端程序放入宿主主机的文件路径/setup中;
在docker容器中执行安装程序;
3)保存容器到镜像
dockercommit<container-id><image-name>
将一个正在运行的容器生成一个新的镜像,通过将已经安装了webguard和应用的容器生成镜像。
4)保存镜像
dockersaveimage-id>/tmp/image.tar
5)使用保存的镜像
dockerload</tmp/image.tar。
步骤五:容器集群管理系统在启动目标服务的容器时,根据配置参数内容,逐步将配置的目录根据不同的权限加载至不同的文件卷;具体加载过程如下:
针对锁定目录,将该目录加载为只读可执行分区;
针对可写目录,将该目录加载为可写分区;
在多级嵌套目录的情况下,加载目录通过加载顺序保证嵌套的可靠性。
网页防篡改管理中心正确解析文件配置,并根据加载的深度层次正确排序,确保嵌套目录下不会产生冲突。
防篡改管理中心获取k8s平台的配置内容,根据两个维度对目录对象进行分析:
目录深度:对每个目录对象进行深度赋值,深度越深,权值越高。
目录权限:根据目录权限进行赋值,权限越高,赋值越高。比如“读写权限”为6,“只读权限”为4,“读写执行”权限赋值为7。
当嵌套目录对应的策略存在冲突时,以赋值大小判断,赋值越大,优先级越高。优先级高的策略优先满足。比如/var/log为只读锁定目录,/var/log/upload为读写锁定目录。那么优先满足后者的读写,再满足前者目录其余部分的只读。
步骤六:目标服务的容器启动完毕后,容器集群管理系统启动网页防篡改系统监控客户端,并绑定至目标服务,随后监控客户端开始监控目录中的文件修改状况;如果被锁定目录中有任何文件发生了变更,则认为发生了篡改事件,监控客户端将发送告警至网页防篡改管理中心;
网页防篡改监控客户端编译为容器,并跟随目标服务一起启动。
docker把应用程序以及其依赖的库打包在image文件内,该文件是docker容器的模板,docker将image文件声称容器实例。网页防篡改客户端安装包将作为一个保护引擎预支在image中,通过该image发布的docker容器就具有防篡改功能。
步骤七:网页防篡改管理中心接收到告警后,通知容器集群管理系统重载防护中的目标服务,并在管理中心前台显示告警,通知用户。
本说明书中所描述的以上内容仅仅是对本发明所作的举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种修改或补充或采用类似的方式替代,只要不偏离本发明说明书的内容或者超越本权利要求书所定义的范围,均应属与本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!