一种基于Linux系统的文件保护方法及电子设备与流程

一种基于linux系统的文件保护方法及电子设备
技术领域
1.本发明涉及linux文件系统安全技术领域，尤其是涉及一种基于linux系统的文件保护方法及电子设备。


背景技术：

2.linux操作系统正在得到广泛应用，尤其在服务器、嵌入式等方面已取得不俗程序，在桌面系统，也逐渐受到欢迎，随着应用越来越广泛，linux系统的安全问题也逐渐收到人们的重视。
3.在linux系统中，不仅应用程序与应用程序之间可以互相访问进程信息，应用程序还可直接访问linux系统的系统文件。例如，直接访问控制面板等等。
4.linux作为一个开源系统，可以在网络上找到许多开源工具，这样既方便了用户，也容易被侵入，因此存在安全性偏低的问题。


技术实现要素：

5.本发明的目的在于提供一种基于linux系统的文件保护方法及电子设备，解决了现有技术中存在linux系统安全性低的技术问题。
6.第一方面，本发明提供的一种基于linux系统的文件保护方法，包括：
7.将需读写文件写入配置文件；
8.将配置文件的所有文件注册到linux内核的白名单中；
9.修改linux系统调用；
10.判定需读写文件是否在白名单中；
11.若是，则判定允许对对应文件进行操作；
12.若否，则判定拒绝对对应文件进行操作；
13.当判定允许对需读写文件进行操作时，将对应链表的操作接口加入到系统调用接口。
14.进一步的，所述将需读写文件写入配置文件的步骤之前，包括：
15.linux内核系统调用层创建链表，并实现该链表具有对应的权限控制接口。
16.进一步的，所述链表具有对应的权限包括：开启、关闭、创建、加入、移除和查找中的至少一种。
17.进一步的，所述修改系统调用的步骤，包括：
18.修改linux内核文件调用操作，并将白名单文件操作接口加入系统调用接口。
19.进一步的，所述判定需读写文件是否在白名单中的步骤之前，还包括：
20.检测需读写文件是否开启文件保护；
21.若是，则执行判定需读写文件是否在白名单中的步骤；
22.若否，则判定允许对对应文件进行操作。
23.进一步的，本方法还包括：
24.当判定拒绝对对应文件进行操作时，记录访问信息并将信息通知对应的业务程序。
25.第二方面，本发明还提供一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述方法的步骤。
26.第三方面，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可运行指令，所述计算机可运行指令在被处理器调用和运行时，所述计算机可运行指令促使所述处理器运行所述方法。
27.本发明提供的一种基于linux系统的文件保护方法及电子设备，通过直接修改系统调用的实现逻辑，对文件开启文件保护，能够准确控制可访问的文件和不可访问的文件，控制不可执行的系统调用和可执行的系统调用；实时监控记录文件的拒绝访问操作，及时通知用户，能够提高linux系统内文件的安全性，进一步的提升系统的安全性。
28.相应地，本发明实施例提供的一种基于linux系统的电子设备及计算机可读存储介质，也同样具有上述技术效果。
附图说明
29.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
30.图1为本发明实施例提供的基于linux系统的文件保护方法的步骤示意图；
31.图2为本发明实施例提供的基于linux系统的文件保护方法的流程图；
32.图3为本发明实施例提供的一种电子设备的示意图。
具体实施方式
33.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
34.本发明实施例中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
35.如图1所示：本发明实施例提供的基于linux系统的文件保护方法的步骤示意图，包括以下步骤：
36.s1：将需读写文件写入配置文件。
37.s2：将配置文件的所有文件注册到linux内核的白名单中。
38.s3：修改linux系统调用。
39.s4：判定需读写文件是否在白名单中；
40.若是，则判定允许对对应文件进行操作；
41.若否，则判定拒绝对对应文件进行操作；
42.当判定允许对需读写文件进行操作时，将对应链表的操作接口加入到系统调用接口。
43.本发明实施例提供的一种基于linux系统的文件保护方法及电子设备，通过直接修改系统调用的实现逻辑，对文件开启文件保护，能够准确控制可访问的文件和不可访问的文件，控制不可执行的系统调用和可执行的系统调用；实时监控记录文件的拒绝访问操作，及时通知用户，能够提高linux系统内文件的安全性，进一步的提升系统的安全性。
44.如图2所示，在一种可能的实施方式中，以文件a、文件b和文件c为目标进行操作，通过相关人员设置一套链表操作：具体包括以下步骤：
45.步骤1，在linux内核系统调用层创建一个链表，并实现该链表的增删改查控制接口，用以记录白名单列表。
46.将文件a和文件b写入配置文件。
47.步骤2，对文件开启文件保护。
48.将配置文件的文件a和文件b注册到linux内核的白名单中，文件c不加入白名单中。
49.步骤3，linux写文件经过write系统调用，设定文件在白名单中的允许写，文件未在白名单中的不允许写该文件。
50.步骤4，写文件a和文件b进行测试，查找文件a、文件b和文件c是否在白名单中；
51.判定文件a在白名单中，则允许对文件a进行操作。
52.判定文件b在白名单中，则允许对文件b进行操作。
53.判定文件c未在白名单中，则拒绝对文件c进行操作；直接返回。
54.当判定允许对需读写文件进行操作时，将对应链表的操作接口加入到系统调用接口。
55.当判定拒绝对对应文件进行操作时，记录访问信息并将信息通知对应的业务程序。
56.具体而言，在一种可能的实施方式中，还可以包括：
57.在特定场景下，能够将文件保护关闭，完成后重新开启文件保护；
58.例如：当系统需要升级时，所有文件都需要进行替换，在系统更新之前将文件保护暂时关闭，系统升级完成后，将文件保护重新开启。
59.本发明实施例具有以下技术效果：
60.1.通过直接修改系统调用的实现逻辑，对文件开启文件保护，能够准确控制可访问的文件和不可访问的文件，控制不可执行的系统调用和可执行的系统调用。实现了对文件的访问权限和执行权限精准控制，使文件不在访问所有的文件或执行所有的系统调用，能够提高文件的安全性的同时进一步的提高了系统的安全性。
61.2.通过记录访问信息并将信息通知对应的业务程序便可以直观获取文件访问文件或执行系统调用的信息以便对文件的管理，能够进一步的提高文件的安全性。
62.本发明实施例提供的一种电子设备，如图3所示，电子设备800包括存储器801、处理器802，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述
计算机程序时实现上述实施例提供的方法的步骤。
63.如图3所示，电子设备还包括：总线803和通信接口804，处理器802、通信接口804和存储器801通过总线803连接；处理器802用于执行存储器801中存储的可执行模块，例如计算机程序。
64.其中，存储器801可能包含高速随机存取存储器(random access memory，简称ram)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口804(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。
65.总线803可以是isa总线、pci总线或eisa总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图3中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。
66.其中，存储器801用于存储程序，所述处理器802在接收到执行指令后，执行所述程序，前述本发明任一实施例揭示的过程定义的装置所执行的方法可以应用于处理器802中，或者由处理器802实现。
67.处理器802可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器802中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器802可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signal processing，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现成可编程门阵列(field-programmable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器801，处理器802读取存储器801中的信息，结合其硬件完成上述方法的步骤。
68.对应于上述方法，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有机器可运行指令，所述计算机可运行指令在被处理器调用和运行时，所述计算机可运行指令促使所述处理器运行上述方法的步骤。
69.本发明实施例所提供的装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本发明实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，前述描述的系统、装置和单元的具体工作过程，均可以参考上述方法实施例中的对应过程，在此不再赘述。
70.在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一
部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
71.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，简称rom)、随机存取存储器(random access memory，简称ram)、磁碟或者光盘等各种可以存储程序代码的介质。
72.最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的范围。都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。