[发明专利]一种容器内脚本执行管控的方法、系统及介质

说明书

本发明公开了一种容器内脚本执行管控的方法、系统及介质，本发明容器内脚本执行管控的方法包括在容器内创建脚本文件时，为脚本文件建立与创建脚本文件的父进程的关联；在监测到容器内的脚本文件被执行时，判断执行该脚本文件的执行程序为关联的父进程是否成立，若成立则允许该脚本文件被执行，否则禁止该脚本文件被执行；此外，还包括管控脚本解释器，拒绝脚本解释器执行容器内创建的脚本文件。本发明通过利用脚本文件及其父进程的关联绑定，能够保证容器安全性的同时，减少了对容器内业务运行的影响。

技术领域

本发明涉及容器安全领域，具体涉及一种容器内脚本执行管控的方法、系统及介质。

背景技术

容器是一种沙盒技术，主要目的是将应用运行在其中，与外界隔离以及方便这个沙盒可以被转移到其它宿主机器。本质上，容器是一个特殊的进程。通过命名空间(Namespace)、控制组(Control groups)、切根(chroot)技术把资源、文件、设备、状态和配置划分到一个独立的空间。容器技术因具有占用资源少、部署速度快和便于迁移等特点，开始受到企业青睐。随着容器技术的日益流行，容器安全问题也越发受到重视。基于脚本语言编写的程序无需进行编译，只需要通过脚本解释器对脚本文件具有度权限就可以解释执行该脚本文件。并且由于脚本文件大多为纯文本形式，攻击者可以很容易地对脚本的内容进行编码、混淆，使其绕过检测机制，也绕过用户人工的识别。在容器内利用脚本文件进行攻击可以对容器内的运行环境进行破坏，甚至是利用漏洞或错误配置造成容器逃逸。

目前虽然也有一些脚本管控方法，但是现有方法都需要对脚本解释器进行相应处理，如对其添加安全标记或记录其路径。但是容器使用的脚本解释器包含在容器镜像内，想要管控容器内脚本文件的执行就需要对容器内的脚本解释器进行处理，每当使用新的镜像创建容器时都需要对新的镜像中的脚本解释器进行处理，并且每当拉取一个新镜像都需要手动定位脚本解释器的路径，当使用的镜像数量增加时就使得现有方法很难完成对容器内脚本文件的执行管控。此外，现有的脚本执行管控方法都是基于对要执行脚本的标签或度量值的验证，只要不符合条件就拒绝执行，这可能会影响容器内业务的正常运行。

发明内容

本发明要解决的技术问题：针对现有技术的上述问题，提供一种容器内脚本执行管控的方法、系统及介质，本发明旨在保证容器安全性的同时，减少了对容器内业务运行的影响。

为了解决上述技术问题，本发明采用的技术方案为：

一种容器内脚本执行管控的方法，包括：

S101，在容器内创建脚本文件时，为脚本文件建立与创建脚本文件的父进程的关联；

S102，在监测到容器内的脚本文件被执行时，判断执行该脚本文件的执行程序为关联的父进程是否成立，若成立则允许该脚本文件被执行，否则禁止该脚本文件被执行。

可选地，步骤S101中为脚本文件建立与创建脚本文件的父进程的关联时，父进程的关联信息是指父进程的文件绝对路径或者父进程的文件绝对路径的哈希值。

可选地，步骤S101中为脚本文件建立与创建脚本文件的父进程的关联时，是指将父进程的关联信息记录到脚本文件的扩展属性中以形成与创建脚本文件的父进程的关联。

可选地，所述将父进程的关联信息记录到脚本文件的扩展属性中是指将父进程的身份信息记录到脚本文件的扩展属性中，并为脚本文件添加不可执行标记。

可选地，步骤S101之前还包括在拉取容器镜像时为容器镜像中的目录和文件自动添加安全标记的步骤，且自动添加安全标记的类型包括：为脚本解释器文件添加脚本解释器标记，为脚本解释器以外的所有文件全部添加父进程标记。

可选地，所述在拉取容器镜像时为容器镜像中的目录和文件自动添加安全标记的步骤是通过容器引擎在为容器拉取容器镜像后，通过容器检查函数获取下载完成的镜像的图形驱动以获取对应的目录，然后调用内核中添加安全标记的函数对获取到的目录递归添加上对应的安全标记。