[发明专利]Linux应用程序的隔离运行方法

说明书

技术领域

本发明属于计算机技术领域，更具体涉及一种Linux应用程序的隔离运行方法。

背景技术

应用程序在linux操作系统上执行时，需要使用由linux操作系统提供的各种资源，主要包括CPU、内存、文件系统等。其中CPU提供解释计算机指令以及处理计算机软件中的数据的功能。内存提供存储CPU的运算数据以及与硬盘等外部存储器交换的数据的功能。文件系统为应用程序提供创建、打开、读取、修改、删除数据文件操作的功能。

用户在使用Linux操作系统时，使用到的一些应用程序可能会进行非法操作，导致严重的安全问题，例如某些应用程序会恶意占用系统资源，妨碍其他程序的正常执行，甚至导致系统假死无法维护；用户使用的应用程序需要访问网络时，有可能会从不安全的站点下载恶意程序，这些恶意程序可能会盗取用户的敏感信息等，干扰到用户的日常工作、数据安全和个人隐私等。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是如何防止恶意程序威胁操作系统的安全。

(二)技术方案

为了解决上述技术问题，本发明提供一种Linux应用程序的隔离运行方法，所述方法包括以下步骤：

为Linux应用程序配置其运行所需资源的沙箱，其中所述沙箱配置了独立的文件系统、所占CPU时间的最大百分比、所绑定的CPU核以及所使用的最大内存；

所述独立的文件系统转换为所述Linux应用程序的根目录；

将所述Linux应用程序绑定到与其对应的沙箱中配置的所绑定的CPU核；

中断发生时，判断当前进程对CPU访问时长是否大于所述所占CPU时间的最大百分比对应的一时间段内对CPU的最长访问时间，若是切换到所述沙箱之外的进程；

实时检测所述Linux应用程序运行使用的内存，并在其大于所述所使用的最大内存时结束所述Linux应用程序的运行。

优选地，所述沙箱还配置了多个可使用的权能；

所述沙箱进行特权操作时，判断所述沙箱操作的特权是否属于所述多个可使用的权能中的一个或多个，若是允许所述沙箱进行特权操作。

优选地，所述独立的文件系统包括所述Linux应用程序及其执行时需要的配置文件、动态链接库、特殊设备。

优选地，中断发生时，由调度器判断当前进程对CPU访问时长是否大于所述所占CPU时间的最大百分比对应的一时间段内的最长访问时间。

优选地，所述将所述Linux应用程序绑定到与其对应的沙箱中配置的所绑定的CPU核之前还包括判断所述Linux应用程序属于哪个沙箱的步骤。

(三)有益效果

本发明提供了Linux应用程序的隔离运行方法，通过为沙箱配置系统资源，在沙箱中运行的Linux应用程序只能使用沙箱中的资源，即沙箱为应用程序提供的一个隔离的运行环境，所有不可信的应用程序，都可以在沙箱中运行而不会威胁到系统中沙箱之外的资源安全，实现了应用程序之间及应用程序与操作系统之间的隔离，保证恶意应用程序不会对操作系统产生威胁。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一个较佳实施例的Linux应用程序的隔离运行方法的流程图；

图2为本发明中独立的文件系统的结构示意图；

图3为本发明的一个较佳实施例的限制沙箱中的应用程序的进程可以使用的内存的方法流程图；

图4为本发明的一个较佳实施例的对沙箱中的进程组可以使用的CPU时间片进行控制的方法流程图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细描述。以下实施例用于说明本发明，但不能用来限制本发明的范围。

一种Linux应用程序的隔离运行方法，如图1所示，所述方法包括以下步骤：

S1、为Linux应用程序配置其运行所需资源的沙箱，其中所述沙箱配置了独立的文件系统、所占CPU时间的最大百分比、所绑定的CPU核以及所使用的最大内存；

S2、沙箱运行时，所述独立的文件系统转换为所述Linux应用程序的根目录；

S3、程序运行时，将所述Linux应用程序绑定到与其对应的沙箱中配置的所绑定的CPU核；