[发明专利]一种命令行加固方法、系统、终端及存储介质

说明书

本发明提供一种命令行加固方法、系统、终端及存储介质，包括：采集系统运维使用的必需命令；判断所述必需命令是否需要对本地数据进行读写：若是，则通过对所述必需命令进行自定义封装去除所述必需命令的用户自由入参；若否，则对所述必需命令的用户输入参数进行命令注入漏洞过滤。本发明能够实现对linux命令行的安全加固，减轻linux口令泄露或被暴力破解时造成的安全风险。

技术领域

本发明涉及服务器技术领域，具体涉及一种命令行加固方法、系统、终端及存储介质。

背景技术

对linux系统进行实际攻击或渗透测试场景中，经常会通过对SSH服务进行暴力破解或者社会工程学等方法来获取操作系统命令行权限，或者通过登录SSH后进行漏洞扫描以发现系统中的潜在问题并加以利用。当前常见的解决方法是禁用SSH服务、裁剪Linux系统等，但存在影响正常运维使用、修改工作量大等问题。

发明内容

针对现有技术的上述不足，本发明提供一种命令行加固方法、系统、终端及存储介质，以解决上述技术问题。

第一方面，本发明提供一种命令行加固方法，包括：

采集系统运维使用的必需命令；

判断所述必需命令是否需要对本地数据进行读写：

若是，则通过对所述必需命令进行自定义封装去除所述必需命令的用户自由入参；

若否，则对所述必需命令的用户输入参数进行命令注入漏洞过滤。

进一步的，所述对所述必需命令的用户输入参数进行命令注入漏洞过滤，包括：

判断所述用户输入参数是否包括系统命令特殊字符：

若是，则输出错误提示；

若否，则调用所述必需命令。

进一步的，所述方法还包括：

通过修改用户文件中的默认访问命令行启动对登录用户的命令行加固。

第二方面，本发明提供一种命令行加固系统，包括：

命令梳理单元，配置用于采集系统运维使用的必需命令；

命令判断单元，配置用于判断所述必需命令是否需要对本地数据进行读写；

命令修改单元，配置用于若所述必需命令需要对本地数据进行读写，则通过对所述必需命令进行自定义封装去除所述必需命令的用户自由入参；

漏洞过滤单元，配置用于若所述必需命令不需要对本地数据进行读写，则对所述必需命令的用户输入参数进行命令注入漏洞过滤。

进一步的，所述漏洞过滤单元包括：

字符判断模块，配置用于判断所述用户输入参数是否包括系统命令特殊字符；

错误输出模块，配置用于若所述用户输入参数包括系统命令特殊字符，则输出错误提示；

命令调用模块，配置用于若所述用户输入参数不包括系统命令特殊字符，则输出错误提示，则调用所述必需命令。

进一步的，所述系统还包括：

加固自启单元，配置用于通过修改用户文件中的默认访问命令行启动对登录用户的命令行加固。

第三方面，提供一种终端，包括：

处理器、存储器，其中，

该存储器用于存储计算机程序，

该处理器用于从存储器中调用并运行该计算机程序，使得终端执行上述的终端的方法。