[发明专利]一种集群安全加固的方法和设备

说明书

本发明提供了一种集群安全加固的方法和设备，该方法包括：响应于接收到集群加固的指令，加载配置文件并将配置文件进行解析；基于解析后的配置文件扫描集群，并判断集群中的每个警告的扫描项是否允许加固并将集群中允许加固的项进行标记；响应于集群扫描完成，将带有标记的项按标记顺序进行加固；响应于项加固成功，计算加固后项的数据片段的哈希值和加固前的数据片段一同进行存储；响应于项加固失败，执行加固失败的项的回滚。通过使用本发明的方案，能够极大的减少关于安全配置的维护量，提升集群的安全性，进而进一步提升云计算、大数据集群的安全性。

技术领域

本领域涉及计算机领域，并且更具体地涉及一种集群安全加固的方法和设备。

背景技术

Kerberos(一个网络认证的框架协议)是目前流行的跨平台、全网络的身份验证系统，广泛应用于云计算、大数据等领域。但它自身绝非完美，有许多安全问题需要扫描加固。

目前，业界主要是按照CIS(互联网安全中心)安全基线对Kerberos集群逐项人工核对、手工加固、工作量大、效率低、无输出报告记录、加固回滚困难等诸多问题。

发明内容

有鉴于此，本发明实施例的目的在于提出一种集群安全加固的方法和设备，通过使用本发明的技术方案，能够极大的减少关于安全配置的维护量，提升集群的安全性，进而进一步提升云计算、大数据集群的安全性。

基于上述目的，本发明的实施例的一个方面提供了一种集群安全加固的方法，包括以下步骤：

响应于接收到集群加固的指令，加载配置文件并将配置文件进行解析；

基于解析后的配置文件扫描集群，并判断集群中的每个警告的扫描项是否允许加固并将集群中允许加固的项进行标记；

响应于集群扫描完成，将带有标记的项按标记顺序进行加固；

响应于项加固成功，计算加固后项的数据片段的哈希值和加固前的数据片段一同进行存储；

响应于项加固失败，执行加固失败的项的回滚。

根据本发明的一个实施例，配置文件中包括项ID、扫描指令、加固指令和项的描述。

根据本发明的一个实施例，还包括：

统计加固成功的项和加固失败的项的信息；

将信息发送给管理员。

根据本发明的一个实施例，响应于加固失败，执行加固失败的项的回滚包括：

计算待回滚的项的数据片段的哈希值，并根据哈希值查找原数据的片段；

响应于找到原数据的片段，执行回滚操作并在回滚成功后删除加固失败的项的数据片段；

响应于未找到原数据的片段，通知管理员复核回滚。

根据本发明的一个实施例，还包括：

计算加固成功的项的比例，并将比例与阈值进行比较；

响应于比例小于阈值，将全部项进行回滚。

本发明的实施例的另一个方面，还提供了一种集群安全加固的设备，设备包括：

加载模块，加载模块配置为响应于接收到集群加固的指令，加载配置文件并将配置文件进行解析；

判断模块，判断模块配置为基于解析后的配置文件扫描集群，并判断集群中的每个警告的扫描项是否允许加固并将集群中允许加固的项进行标记；

加固模块，加固模块配置为响应于集群扫描完成，将带有标记的项按标记顺序进行加固；