一种基于进程监控的应用越权管控方法、系统及存储介质

技术领域

本发明属于运维审计的技术领域，具体涉及一种基于进程监控的应用越权管控方法、系统及存储介质。

背景技术

在堡垒机中，有很多用户使用的运维工具和协议由于加密或者闭源的原因，不能被协议代理，所以衍生出了应用服务器的解决方案。应用服务器实际上是一台windows或者linux服务器。只要将用户需要运维的工具部署到应用服务器上，然后在应用服务器上打开rdp协议并将该应用服务器纳管到运维审计系统，就可以实现让用户在堡垒机上通过rdp协议连接到应用服务器，并打开应用服务器上已经安装好的运维工具进行运维，最终实现让用户运维不被支持的工具时同样可以被运维审计系统审计。但是上述场景存在几个安全隐患：

①一台应用服务器基本上会安装众多运维工具，意味着会有大量人员连接应用服务器进行运维；

②应用服务器使用的是rdp图形协议，很难像其他字符协议一样做到命令控制；

③应用服务器大多是windows操作系统，而windows并不像linux权限控制那么严格。

基于这些安全隐患，在实际使用过程中，已有很多越权问题出现。由于rdp是图形协议，无法做到命令控制，尤其是在windows操作系统上，造成的越权问题多种多样，用户可以通过很多操作访问文件管理系统或者其他资源后台。而且使用同一台资产的用户一多，权限管理就要更精细，对于安全审计产品的关键点是不能出纰漏。所以如何在windows服务器上实现权限监管，现目前一直是各种项目的难点。当前堡垒机产品普遍采用的管控应用发布越权的方法如下：

(1)裁剪可运维的图像界面。运维员能看到的运维画面是裁剪成运维工具的窗口大小的界面，系统的任务栏或侧边栏不会显示到运维画面上。然而，只是裁剪了画面，用户可以通过一系列指令键或者有限的运维画面中其他点击操作打开系统资源管理页面，从而越权。且裁剪画面后的体验并不好，会对画面有一定影响。

(2)对于web应用，判断url输入是否合规。此处合规指的是系统内置了一些可能会越权的地址(用户可能通过url访问到系统资源)，比如说以file://前缀开头，可以打开系统文件管理器，若不合规会强制关闭弹窗。然而，无法做到动态适配，这些不合规url是提前内置到产品中的，全面性和动态性不足，用户依然可以越权。

(3)禁用组合键。防止通过键盘组合键调出系统管理界面，于是有禁用相应组合键的方案。然而，组合键太多，禁用的话也无法做到面面俱到。且可能会影响用户正常使用组合键，比如复制粘贴、特定的删除指令等。

因此，为解决在堡垒机应用运维场景中运维员使用应用服务器越权的问题，本发明将从后台进程监控的角度出发，提供一种基于进程监控的应用服务器越权问题的解决方案。在获取进程监控参数之后，通过维护一个进程动态白名单实现越权管控。

发明内容

本发明的目的在于提供一种基于进程监控的应用越权管控方法、系统及存储介质，旨在解决上述的问题。

本发明主要通过以下技术方案实现：

一种基于进程监控的应用越权管控方法，其特征在于，包括以下步骤：

步骤S1：应用服务器内的agent中预先配置有堡垒机IP，所述agent负责维护一个进程动态白名单；堡垒机通过RDP与应用服务器连接，并发送启动路径、SessionProto和SessionGid字段至agent；

步骤S2：所述agent通过连接IP来源判断是否是堡垒机，若是堡垒机，则进一步判断该连接是否为应用运维，若是应用运维，则进入步骤S3，否则不启动监控；若不是堡垒机，则不启动监控；

步骤S3：agent将本次RDP连接的会话ID记录至进程动态白名单中，并作为主键，同时获取启动路径；

步骤S4：打开启动路径获取进程ID，并把启动的进程ID记录至进程动态白名单中的本次会话ID下；

步骤S5：将RDP连接界面回传给堡垒机，使用户正常运维；

步骤S6：根据进程动态白名单判断并关闭非法进程：若用户打开了另外的进程，则agent查找进程动态白名单中的当前会话ID下的进程ID，判断打开的进程ID是否出现在进程动态白名单内，若不存在，则关闭打开的进程。

为了更好地实现本发明，进一步地，所述步骤S2中，若接收的SessionProto字段为7，则判断该连接为应用运维。

为了更好地实现本发明，进一步地，所述进程动态白名单的属性包括字段名、类型、是否为主键。

为了更好地实现本发明，进一步地，针对若干个运维员的并发运维，包括以下步骤：

步骤A1：若干个运维员同时通过堡垒机进行应用运维，各自在堡垒机界面打开运维，堡垒机通过协议代理模块将会话ID、应用运维标识符和启动路径传到应用服务器上；

步骤A2：agent接收到这些字段后，根据请求连接的先后顺序依次进行判断是否为应用运维：通过连接IP来源判断是否是堡垒机，若是堡垒机，则进一步根据应用运维标识符判断该连接是否为应用运维，若是应用运维，则进入步骤A3，否则不启动监控；若不是堡垒机，则不启动监控；

步骤A3：agent按照请求连接的先后顺序，分别依次记录会话ID到进程动态白名单中、打开启动路径获取进程ID、记录进程ID到进程动态白名单中、回传运维画面给堡垒机，以使各个运维员正常使用；

步骤A4：如果若干个运维员在运维期间打开了另外的进程，则agent会在进程动态白名单中先找到当前会话的ID对应的进程ID，然后判断新打开的进程ID是否在当前会话ID的进程动态白名单中，若不在，则关掉打开的进程。

本发明主要通过以下技术方案实现：

一种基于进程监控的应用越权管控系统，采用上述的方法进行，包括堡垒机、应用服务器，所述堡垒机中设置有协议代理模块，所述应用服务器中设置有内置堡垒机IP地址的agent，所述协议代理模块通过RDP与应用服务器连接，且agent与协议代理模块连接，所述协议代理模块用于发送启动路径和SessionProto和SessionGid字段至agent；所述agent用于维护进程动态白名单，且将RDP连接界面回传给堡垒机，使用户正常运维。

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述的方法。

本发明的有益效果如下：

(1)本发明为每个会话ID建立独立的进程动态白名单里的进程，且采用串行判断的方式，合理配置连接过程，防止误关闭。运维画面的回传发生在进程动态白名单建立后，防止用户越权操作。本发明自动且动态维护进程动态白名单，不需要额外配置管理工作。具体地，本发明在应用服务器上部署一个agent，由它来维护一张进程动态白名单，保证一个应用会话连接只能打开一个进程，不在进程动态白名单内的进程会被关闭，从而管控用户在规定应用中使用，通过各种操作调出的其他进程也会被迅速关闭，减少越权风险。

(2)不会被误关闭：日常使用中普遍存在多人并发使用应用中心的情况，每次关闭进程前会先判断该会话ID下是否已存在唯一进程，确保关闭的额外进程是由该会话打开。关闭的动作一定发生在新会话建立之后，这样就可以在新连接建立时打开的进程不被误关。应用中心除了使用应用发布的方式运维，还存在RDP运维的方式。像RDP运维的话就不存在应用运维这种严格的权限管控，运维员可以打开很多进程，所以需要保障使用RDP运维的运维员打开的进程不被误关闭。在本发明中会判断堡垒机传来的运维标识，判断是为RDP运维还是应用运维，若为RDP运维则agent不会监控，若为应用运维才会开启监控。

(3)对用户感知透明：由于本发明采取进程动态白名单的方式，不用用户提前去配置进程动态白名单中的进程，用户只需要在agent里配置堡垒机IP，再在堡垒机里正常的进行应用发布即可，最大程度减少用户操作与感知。

(4)减少越权风险：应用运维需要限定用户在某个进程里面操作，但总是会被用户的奇奇怪怪的操作指令调起进入后台。与其通过禁止键盘特定功能键输入的方式阻止越权，不如通过进程监控的方式直接关掉权限外的进程。因为前者的组合很多，无法从根源上做到权限管控。

附图说明

图1为本发明基于进程监控的应用越权管控系统的原理框图；

图2为本发明基于进程监控的应用越权管控方法的流程图；

图3为并发应用越权管控的原理框图。

具体实施方式

实施例1：

一种基于进程监控的应用越权管控方法，如图1所示，需要在目标windows应用服务器上安装agent；需要确定堡垒机(运维审计系统)的IP地址，agent预先配置有堡垒机IP。在目标资产上的agent负责维护一个进程动态白名单，每当有来自堡垒机的RDP连接时，会获取堡垒机传过来的启动路径，并打开启动路径获取进程ID，在该RDP会话链接下记录进程ID。

所述进程动态白名单设计如表1所示：

表1

优选地，如图2所示，agent工作流程如下：

①判断连接IP来源是否为堡垒机

②若来源为堡垒机，则判断该连接是否为应用运维，判断依据为传递来的sessionProto字段是否为7，这是堡垒机内部约定的字段，若为7则是应用运维，否则不是；若来源不是堡垒机，则不启动

③若该连接是应用运维，记录会话连接的ID进进程动态白名单中，作为进程动态白名单的主键，并获取启动路径；若不为应用运维，则不启动

④打开启动路径，并把启动的进程ID记录进进程动态白名单中本次会话连接的ID下

⑤记录完成后，将协商画面传给堡垒机，用户可以开始正常运维

⑥根据进程动态白名单判断是否打开非法进程：若该用户打开了另外的进程，则会在进程动态白名单中该会话ID下的进程ID中查找，判断新打开的进程ID是否在进程动态白名单中，若不存在则会关掉。

本发明为每个会话ID建立独立的进程动态白名单里的进程，且采用串行判断的方式，合理配置连接过程，防止误关闭。运维画面的回传发生在进程动态白名单建立后，防止用户越权操作。本发明自动且动态维护进程动态白名单，不需要额外配置管理工作。具体地，本发明在应用服务器上部署一个agent，由它来维护一张进程动态白名单，保证一个应用会话连接只能打开一个进程，不在进程动态白名单内的进程会被关闭，从而管控用户在规定应用中使用，通过各种操作调出的其他进程也会被迅速关闭，减少越权风险。

实施例2：

一种基于进程监控的应用越权管控方法，如图3所示，包括以下步骤：

1)运维员A、B、C都在通过堡垒机(运维审计系统)进行应用运维，他们各自在堡垒机界面打开运维。堡垒机通过协议代理模块将会话ID、应用运维标识符和启动路径传到应用服务器上。

2)agent接收到这些字段后，根据请求连接的先后顺序进行判断：是否来源堡垒机->是否为应用运维

3)判断通过后，依然会按照连接的先后顺序：记录会话ID到进程动态白名单中->

打开启动路径->记录进程ID到进程动态白名单中->回传运维画面，运维员可以开始正

常使用

4)若运维员A、B、C在运维期间打开了另外的进程，则agent会在进程动态白名单中先找到当前会话的ID对应的进程ID，然后判断新打开的进程ID是否在会话ID的进程动态白名单中，若不在的话就会关掉，

本发明为每个会话ID建立独立的进程动态白名单里的进程，且采用串行判断的方式，合理配置连接过程，防止误关闭。运维画面的回传发生在进程动态白名单建立后，防止了用户越权操作，具有较好的实用性。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。