一种增强虚拟机安全性的方法、装置、设备及存储介质与流程

1.本发明涉及虚拟机安全领域，特别是涉及一种增强虚拟机安全性的方法、装置、设备及存储介质。


背景技术：

2.虚拟化是指计算机元件在虚拟的基础上运行。虚拟化技术可以扩大硬件的容量，简化软件的重新配置过程，互联网技术(internet technology，it)基础架构得以资源共享，it成本下降。虚拟机技术是虚拟化技术的一种，虚拟机(virtual machine)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在实体计算机中能够完成的工作在虚拟机中都能够实现。
3.但是，传统意义的虚拟机串口访问权限过大，拥有对运行程序及配置文件的修改权，对数据文件的访问权等，对于生产环境存在很多安全隐患。一些不正常的操作，比如在串口执行watch等命令，会导致串口设备支持占用，系统的稳定运行存在不确定性。
4.因此，如何解决上述虚拟机串口访问权限过大，对于生产环境存在很多隐患的问题，是本领域技术人员亟待解决的技术问题。


技术实现要素：

5.有鉴于此，本发明的目的在于提供一种增强虚拟机安全性的方法、装置、设备及存储介质，可以限定对虚拟机的操作，满足生产环境需要的同时，最大限度的保证生产环境的安全性。其具体方案如下：
6.一种增强虚拟机安全性的方法，包括：
7.禁用虚拟机的console控制台；
8.在所述虚拟机上运行宿主机系统；
9.部署宿主机和所述虚拟机之间的socket通信通道；
10.根据所述socket通信通道进行用户鉴权，在鉴权成功后执行有限命令列表中命令。
11.优选地，在本发明实施例提供的上述增强虚拟机安全性的方法中，在禁用虚拟机的console控制台之前，还包括：
12.对libvirt源码libvirt.spec配置文件进行修改，编译生成libvirt虚拟化组件。
13.优选地，在本发明实施例提供的上述增强虚拟机安全性的方法中，在禁用虚拟机的console控制台的同时，还包括：
14.添加并显示不支持console控制台的提示信息。
15.优选地，在本发明实施例提供的上述增强虚拟机安全性的方法中，在虚拟机上运行宿主机系统之后，还包括：
16.通过图形界面进行虚拟机系统的安装；或，
17.当所述宿主机无显卡时，使用virt-manager通过网络远程操作所述宿主机上的虚
拟化组件，进行虚拟机系统的安装。
18.优选地，在本发明实施例提供的上述增强虚拟机安全性的方法中，在部署宿主机和所述虚拟机之间的socket通信通道之后，还包括：
19.选用tcp协议方式，使用限定的端口来进行所述宿主机和所述虚拟机之间的通信。
20.优选地，在本发明实施例提供的上述增强虚拟机安全性的方法中，在执行有限命令列表中命令的同时，还包括：
21.对所述有限命令列表中命令的命令参数进行限定。
22.优选地，在本发明实施例提供的上述增强虚拟机安全性的方法中，还包括：
23.判断在设定时间段内所述socket通信通道是否断开；
24.若是，则自动退出所述宿主机系统，并清除残留session。
25.本发明实施例还提供了一种增强虚拟机安全性的装置，包括：
26.控制台禁用模块，用于禁用虚拟机的console控制台；
27.系统运行模块，用于在所述虚拟机上运行宿主机系统；
28.通道部署模块，用于部署宿主机和所述虚拟机之间的socket通信通道；
29.鉴权执行模块，用于根据所述socket通信通道进行用户鉴权，在鉴权成功后执行有限命令列表中命令。
30.本发明实施例还提供了一种增强虚拟机安全性的设备，包括处理器和存储器，其中，所述处理器执行所述存储器中存储的计算机程序时实现如本发明实施例提供的上述增强虚拟机安全性的方法。
31.本发明实施例还提供了一种计算机可读存储介质，用于存储计算机程序，其中，所述计算机程序被处理器执行时实现如本发明实施例提供的上述增强虚拟机安全性的方法。
32.从上述技术方案可以看出，本发明所提供的一种增强虚拟机安全性的方法，包括：禁用虚拟机的console控制台；在虚拟机上运行宿主机系统；部署宿主机和虚拟机之间的socket通信通道；根据socket通信通道进行用户鉴权，在鉴权成功后执行有限命令列表中命令。
33.本发明提供的上述增强虚拟机安全性的方法，禁用掉虚拟机原有console，在虚拟机上运行宿主机系统之后部署宿主机和虚拟机之间的socket通信通道，并基于socket通信通道进行用户鉴权，以限定有限命令列表，实现管理员可配置，这样能够限定对虚拟机的操作，满足生产环境需要的同时，最大限度的保证虚拟机生产环境的安全性。
34.此外，本发明还针对增强虚拟机安全性的方法提供了相应的装置、设备及计算机可读存储介质，进一步使得上述方法更具有实用性，该装置、设备及计算机可读存储介质具有相应的优点。
附图说明
35.为了更清楚地说明本发明实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
36.图1为本发明实施例提供的增强虚拟机安全性的方法的流程图；
37.图2为本发明实施例提供的增强虚拟机安全性的装置的结构示意图。
具体实施方式
38.虚拟化是一个为了简化管理，优化资源的解决方案，如同空旷、通透的写字楼，整个楼层几乎看不到墙壁，用户可以用同样的成本构建出更加自主适用的办公空间，进而发挥空间最大利用率，即：将有限的固定的资源根据不同需求进行重新规划以达到最大利用率。但是，传统的虚拟机串口访问权限过大，拥有对运行程序及配置文件的修改权，对数据文件的访问权，对于生产环境存在很多安全隐患；尤其在执行一些不正常的操作时，比如在串口执行watch等命令，会导致串口设备支持占用，系统的稳定运行存在不确定性。基于此，本发明提供了一种增强虚拟机安全性的方法，限定对虚拟机的操作，用来解决虚拟机串口访问权限过大，对于生产环境存在很多隐患的问题。
39.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
40.本发明提供一种增强虚拟机安全性的方法，如图1所示，包括以下步骤：
41.s101、禁用虚拟机的console控制台；
42.需要说明的是，上述console控制台是虚拟机本身原有的，在本发明中需要禁用掉虚拟机原有console，以达到禁用串口服务的目的。
43.s102、在虚拟机上运行宿主机系统；
44.具体地，虚拟机可以为kvm(kernel-based virtual machine)虚拟机。kvm是一个开源的系统虚拟化模块，它使用linux自身的调度器进行管理，本发明选择在kvm下安装虚拟机。在执行步骤s102时，可以在kvm虚拟机上运行宿主机系统。
45.s103、部署宿主机和虚拟机之间的socket通信通道；
46.在本步骤中，可以部署宿主机和kvm虚拟机之间socket通信通道。在实际应用中，socket通信是在双方建立连接后，可以直接进行数据的传输，在连接时可实现信息的主动推送。socket又称套接字，在程序内部提供了与外界通信的端口，本发明通过部署socket通信通道，可为宿主机和虚拟机之间的数据传输提供通道，使用简单。
47.s104、根据socket通信通道进行用户鉴权，在鉴权成功后执行有限命令列表中命令；
48.在本步骤中，基于步骤103的socket通信通道，进行用户鉴权，支持有限命令列表中命令的执行。需要注意的是，上述用户鉴权可选多用户组/多用户方式，存在但不限于超级管理员、安全员、监视员等，对不同用户组支持不同的有限命令列表，并对访问目录进行限定。
49.在本发明实施例提供的上述增强虚拟机安全性的方法中，禁用掉虚拟机原有console，在虚拟机上运行宿主机系统之后部署宿主机和虚拟机之间的socket通信通道，并基于socket通信通道进行用户鉴权，以限定有限命令列表，实现管理员可配置，这样能够限定对虚拟机的操作，满足生产环境需要的同时，最大限度的保证虚拟机生产环境的安全性。
50.进一步地，在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的方法
中，在执行步骤s101禁用虚拟机的console控制台之前，还可以包括：对源码配置文件进行修改，编译生成虚拟化组件。
51.优选地，对源码配置文件进行修改，编译生成虚拟化组件，具体可以包括：对libvirt源码libvirt.spec配置文件进行修改，编译生成libvirt虚拟化组件。libvirt是用于管理虚拟化平台的开源的api(application programming interface，应用程序编程接口)，后台程序和管理工具。libvirt提供了一个方便的方式来管理虚拟机和其他虚拟化功能的软件的集合，如存储和网络接口管理。本发明针对libvirt源码libvirt.spec配置文件进行修改，重新编译生成libvirt虚拟化组件来实现对虚拟机的管理，禁用掉虚拟机原有console。
52.在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的方法中，在执行步骤s101禁用虚拟机的console控制台的同时，还可以包括：添加并显示不支持console控制台的提示信息。例如：新增提示“option:consoleis not supported”。
53.需要说明的是，本发明也可在不修改libvirt源码的基础上，在虚拟机系统启动后，禁用console.service，以达到禁用串口服务的目的。
54.在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的方法中，在执行步骤s102虚拟机上运行宿主机系统之后，还可以包括：通过图形界面进行虚拟机系统的安装；或，当宿主机无显卡时，使用virt-manager通过网络远程操作宿主机上的虚拟化组件，进行虚拟机系统的安装。
55.具体地，上述步骤中，针对宿主机有无显卡两种情况来进行虚拟机系统的安装：在宿主机有显卡时，安装虚拟机系统时可通过图形界面进行操作，无需串口的支持。针对所述宿主机无显卡的情况，可以使用virt-manager通过网络远程操作所述宿主机上的虚拟化组件，进行所述虚拟机系统的安装；使用无人值守安装系统的方式，导入ks文件后，无需人工干预，即可完成虚拟机系统的安装。
56.在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的方法中，在执行步骤s103部署宿主机和虚拟机之间的socket通信通道之后，还可以包括：选用传输控制协议(transmission control protocol，tcp)方式，使用限定的端口来进行宿主机和虚拟机之间的通信。
57.具体地，上述步骤中，在部署的socket通信通道中，通信方式可以选用tcp协议方式，tcp是一种面向连接的、可靠的、基于字节流的传输层通信协议。另外，通信通道使用限定的端口。在实际应用中，需禁用其他非必要端口。
58.在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的方法中，在执行步骤s104执行有限命令列表中命令的同时，还可以包括：对有限命令列表中命令的命令参数进行限定。
59.具体地，上述步骤中，有限命令行列表中的命令，命令参数支持限定；由于虚拟机系统中一些重要目录一般用户只有读权限，通过对命令参数的限定，即使有限命令行列表中存在扩权命令，也可以保证虚拟机系统中重要目录的安全性。
60.在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的方法中，在执行步骤s104执行有限命令列表中命令之后，还可以包括：对用户登录及操作记录审计日志，定期分析排查系统安全性；定期修改用户口令，保证口令复杂度，需包含数字字母大小写特殊
字符等。这样可以进一步提高虚拟机的安全性。
61.进一步地，在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的方法中，还可以包括：判断在设定时间段内socket通信通道是否断开；若是，则自动退出宿主机系统，并清除残留session。
62.具体地，上述步骤中，宿主机和虚拟机之间的socket通信通道设置有超时自动退出机制，一旦超过设定时间段没有操作虚拟机，及时释放系统资源，并清楚残留session，避免session残留，占用系统空间，影响虚拟机系统的稳定运行。较佳地，设定时间段可以设置为2分钟，当然也可以是其它时间段，具体可以根据实际情况而定，在此不做限定。
63.下面以一个具体实例对本发明实施例提供的上述增强虚拟机安全性的方法进行说明，具体步骤如下：
64.步骤一、对源码配置文件进行修改，编译生成虚拟化组件，禁用虚拟机的console控制台，同时添加并显示不支持console控制台的提示信息。
65.具体地，修改libvirt源码libvirt.spec配置文件，重新编译生成libvirt虚拟化组件，禁用kvm虚拟机原有console，并新增提示“option:consoleis not supported”，以达到禁用串口服务的目的。
66.步骤二、在虚拟机上运行宿主机系统。
67.具体地，在kvm虚拟机上运行宿主机系统。
68.步骤三、通过图形界面进行虚拟机系统的安装；或，当宿主机无显卡时，使用virt-manager通过网络远程操作宿主机上的虚拟化组件，进行虚拟机系统的安装。
69.具体地，安装虚拟机系统时可通过图形界面进行操作，无需串口的支持。针对宿主机无显卡的情况，可以使用virt-manager通过网络远程操作宿主机上的虚拟化组件，进行虚拟机系统的安装；使用无人值守安装系统的方式，导入ks文件后，无需人工干预，即可完成所述虚拟机系统的安装。
70.需要说明的是，本发明也可在不修改libvirt源码的基础上，在虚拟机系统启动后，禁用虚拟机的console.service，以达到禁用串口服务的目的。
71.步骤四、部署宿主机和虚拟机之间的socket通信通道，并选用tcp协议方式，使用限定的端口来进行宿主机和虚拟机之间的通信。
72.具体地，部署宿主机和kvm虚拟机之间socket通信通道，应选用tcp协议方式，使用限定的端口，并禁用其他非必要端口。
73.步骤五、根据socket通信通道进行用户鉴权，在鉴权成功后执行有限命令列表中命令，同时对有限命令列表中命令的命令参数进行限定。
74.具体地，基于步骤四部署的宿主机和虚拟机之间的通信通道，进行用户鉴权，支持有限命令列表中命令的执行。这里的用户鉴权可以选用多用户组/多用户方式，存在但不限于超级管理员、安全员、监视员等，对不同用户组支持不同的有限命令列表，并对访问目录进行限定。
75.上述有限命令行列表中的命令参数支持限定，因为虚拟机系统中一些重要目录一般用户只有读权限，在本发明中通过对命令参数的限定，即使有限命令行列表中存在扩权命令，也能够保证虚拟机系统中重要目录的安全性。
76.步骤六、对用户登录及操作记录审计日志，定期分析排查系统安全性；定期修改用
户口令，保证口令复杂度，需包含数字字母大小写特殊字符。
77.步骤七、判断在设定时间段内socket通信通道是否断开；若是，则自动退出宿主机系统，并清除残留session。
78.具体地，宿主机和虚拟机之间的socket通信通道设置有超时自动退出机制，一般为2分钟，一旦超过2分钟没有操作，及时释放系统资源，并清除残留session，避免session残留，占用系统空间，影响虚拟机系统的稳定运行。
79.基于同一发明构思，本发明实施例还提供了一种增强虚拟机安全性的装置，由于该装置解决问题的原理与前述一种增强虚拟机安全性的方法相似，因此该装置的实施可以参见增强虚拟机安全性的方法的实施，重复之处不再赘述。
80.在具体实施时，本发明实施例提供的增强虚拟机安全性的装置，如图2所示，具体包括：
81.控制台禁用模块11，用于禁用虚拟机的console控制台；
82.系统运行模块12，用于在虚拟机上运行宿主机系统；
83.通道部署模块13，用于部署宿主机和虚拟机之间的socket通信通道；
84.鉴权执行模块14，用于根据socket通信通道进行用户鉴权，在鉴权成功后执行有限命令列表中命令。
85.在本发明实施例提供的上述增强虚拟机安全性的装置中，可以通过上述四个模块的相互作用，禁用掉虚拟机原有console，在虚拟机上运行宿主机系统之后部署宿主机和虚拟机之间的socket通信通道，并基于socket通信通道进行用户鉴权，以限定有限命令列表，实现管理员可配置，这样能够限定对虚拟机的操作，满足生产环境需要的同时，最大限度的保证虚拟机生产环境的安全性。
86.在具体实施时，系统运行模块12具体可以用于在kvm虚拟机上运行宿主机系统。通道部署模块13具体可以用于部署宿主机和kvm虚拟机之间的socket通信通道。
87.进一步地，在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的装置中，还可以包括：
88.组件生成模块，用于对源码配置文件进行修改，编译生成虚拟化组件。
89.具体地，组件生成模块具体可以用于对libvirt源码libvirt.spec配置文件进行修改，编译生成libvirt虚拟化组件。这样针对libvirt源码libvirt.spec配置文件进行修改，重新编译生成libvirt虚拟化组件可以实现对虚拟机的管理，禁用掉虚拟机原有console。
90.进一步地，在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的装置中，还可以包括：
91.提示模块，用于添加并显示不支持console控制台的提示信息。
92.具体地，提示模块添加并显示的提示信息可以为“option:consoleis not supported”。
93.进一步地，在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的装置中，还可以包括：
94.系统安装模块，用于通过图形界面进行虚拟机系统的安装；还用于当宿主机无显卡时，使用virt-manager通过网络远程操作宿主机上的虚拟化组件，进行虚拟机系统的安
装。
95.上述系统安装模块可以使用无人值守安装系统的方式，导入ks文件后，无需人工干预，即可完成虚拟机系统的安装。
96.进一步地，在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的装置中，还可以包括：
97.通信模块，用于选用tcp协议方式，使用限定的端口来进行宿主机和虚拟机之间的通信。
98.进一步地，在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的装置中，还可以包括：
99.参数限定模块，用于对有限命令列表中命令的命令参数进行限定。
100.在有限命令行列表中存在扩权命令时，利用上述参数限定模块的功能也可以保证虚拟机系统中重要目录的安全性。
101.进一步地，在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的装置中，还可以包括：
102.日志记录模块，用于对用户登录及操作记录审计日志，定期分析排查系统安全性；
103.口令修改模块，用于定期修改用户口令，保证口令复杂度，需包含数字字母大小写特殊字符。
104.进一步地，在具体实施时，在本发明实施例提供的上述增强虚拟机安全性的装置中，还可以包括：
105.判断模块，用于判断在设定时间段内socket通信通道是否断开；若是，则自动退出宿主机系统，并清除残留session。
106.具体地，判断模块具体可以用于在设定时间段(如2s)内判断是否操作虚拟机，若没有操作，则自动退出宿主机系统，及时释放系统资源，并清除残留session，避免session残留，占用系统空间，影响虚拟机系统的稳定运行。
107.关于上述各个模块更加具体的工作过程可以参考前述实施例公开的相应内容，在此不再进行赘述。
108.相应地，本发明实施例还公开了一种增强虚拟机安全性的设备，包括处理器和存储器；其中，处理器执行存储器中存储的计算机程序时实现前述实施例公开的增强虚拟机安全性的方法。关于上述方法更加具体的过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。
109.进一步地，本发明还公开了一种计算机可读存储介质，用于存储计算机程序；计算机程序被处理器执行时实现前述公开的增强虚拟机安全性的方法。关于上述方法更加具体的过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。
110.上述增强虚拟机安全性的设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器和存储器，一个或一个以上存储应用程序或数据的存储介质(例如一个或一个以上海量存储设备)。其中，存储器和存储介质可以是短暂存储或持久存储。存储在存储介质的程序可以包括一个或一个以上模块，每个模块可以包括对装置中的一系列指令操作。更进一步地，处理器可以设置为与存储介质通信，在增强虚拟机安全性的设备上执行存储介质中的一系列指令操作。
111.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备、存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
112.在本技术所提供的几个实施例中，应该理解到，所揭露的装置、设备和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。
113.作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
114.另外，在本技术各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。
115.集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，功能调用装置，或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
116.综上，本发明实施例提供的一种增强虚拟机安全性的方法，包括：禁用虚拟机的console控制台；在虚拟机上运行宿主机系统；部署宿主机和虚拟机之间的socket通信通道；根据socket通信通道进行用户鉴权，在鉴权成功后执行有限命令列表中命令。上述增强虚拟机安全性的方法禁用掉虚拟机原有console，在虚拟机上运行宿主机系统之后部署宿主机和虚拟机之间的socket通信通道，并基于socket通信通道进行用户鉴权，以限定有限命令列表，实现管理员可配置，这样能够限定对虚拟机的操作，满足生产环境需要的同时，最大限度的保证虚拟机生产环境的安全性。此外，本发明还针对增强虚拟机安全性的方法提供了相应的装置、设备及计算机可读存储介质，进一步使得上述方法更具有实用性，该装置、设备及计算机可读存储介质具有相应的优点。
117.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排
除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
118.以上对本发明所提供的增强虚拟机安全性的方法、装置、设备及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。