[发明专利]一种容器内脚本执行管控的方法、系统及介质

权利要求书

1.一种容器内脚本执行管控的方法，其特征在于，包括：

S101，在容器内创建脚本文件时，为脚本文件建立与创建脚本文件的父进程的关联；

S102，在监测到容器内的脚本文件被执行时，判断执行该脚本文件的执行程序为关联的父进程是否成立，若成立则允许该脚本文件被执行，否则禁止该脚本文件被执行。

2.根据权利要求1所述的容器内脚本执行管控的方法，其特征在于，步骤S101中为脚本文件建立与创建脚本文件的父进程的关联时，父进程的关联信息是指父进程的文件绝对路径或者父进程的文件绝对路径的哈希值。

3.根据权利要求1所述的容器内脚本执行管控的方法，其特征在于，步骤S101中为脚本文件建立与创建脚本文件的父进程的关联时，是指将父进程的关联信息记录到脚本文件的扩展属性中以形成与创建脚本文件的父进程的关联。

4.根据权利要求3所述的容器内脚本执行管控的方法，其特征在于，所述将父进程的关联信息记录到脚本文件的扩展属性中是指将父进程的身份信息记录到脚本文件的扩展属性中，并为脚本文件添加不可执行标记。

5.根据权利要求4所述的容器内脚本执行管控的方法，其特征在于，步骤S101之前还包括在拉取容器镜像时为容器镜像中的目录和文件自动添加安全标记的步骤，且自动添加安全标记的类型包括：为脚本解释器文件添加脚本解释器标记，为脚本解释器以外的所有文件全部添加父进程标记。

6.根据权利要求5所述的容器内脚本执行管控的方法，其特征在于，所述在拉取容器镜像时为容器镜像中的目录和文件自动添加安全标记的步骤是通过容器引擎在为容器拉取容器镜像后，通过容器检查函数获取下载完成的镜像的图形驱动以获取对应的目录，然后调用内核中添加安全标记的函数对获取到的目录递归添加上对应的安全标记。

7.根据权利要求6所述的容器内脚本执行管控的方法，其特征在于，所述在拉取容器镜像时为容器镜像中的目录和文件自动添加安全标记的步骤之前，还包括安装容器补丁对容器引擎进行修改，使容器引擎增加在拉取容器镜像时为容器镜像中的目录和文件自动添加安全标记的功能。

8.根据权利要求5所述的容器内脚本执行管控的方法，其特征在于，步骤S102中在监测到容器内的脚本文件被执行时的响应处理包括：

S201，分别读取该脚本文件以及该脚本文件的执行程序的安全标记；

S202，检查该脚本文件的执行程序的安全标记的类型，若为脚本解释器标记，则跳转步骤S203，若为父进程标记则跳转步骤S204；

S203，检查该脚本文件的安全标记的类型，若为不可执行标记，则禁止该脚本文件被执行；否则，否则允许该脚本文件被执行，退出；

S204，检查该脚本文件的安全标记的类型，若为不可执行标记，则跳转步骤S205；否则，否则允许该脚本文件被执行，退出；

S205，检查该脚本文件的安全标记中所携带的父进程的身份信息、执行该脚本文件的执行程序的身份信息两者一致是否成立，若成立则允许该脚本文件被执行，否则禁止该脚本文件被执行。

9.一种容器内脚本执行管控的系统，包括相互连接的微处理器和存储器，其特征在于，所述微处理器被编程或配置以执行权利要求1～8中任意一项所述容器内脚本执行管控的方法。

10.一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，其特征在于，所述计算机程序用于被微处理器编程或配置以执行权利要求1～8中任意一项所述容器内脚本执行管控的方法。