專利名稱:一種aix操作系統(tǒng)賬號解除鎖定的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及操作系統(tǒng)賬號管理技術(shù),尤指一種高級交互執(zhí)行(AIX,Advanced Interactive Executive)操作系統(tǒng)賬號解除鎖定的方法及裝置。
背景技術(shù):
隨著網(wǎng)絡(luò)建設(shè)的步驟加快、以及應(yīng)用的普及和增加,操作系統(tǒng)的安全性越來越受到用戶的重視。如何保證操作系統(tǒng)的安全性,不被黑客攻擊,是現(xiàn)有網(wǎng)絡(luò)及應(yīng)用廠亟待解決的問題。目前黑客的重點攻擊仍是操作系統(tǒng),賬號暴力破解,一直是黑客的重點攻擊手段之
ο為了保障系統(tǒng)的賬號安全性,目前主流的Microsoft的Windows系列、SUN的 Solaris系統(tǒng)等都加強了對賬號的管理,都自帶了賬號的安全配置策略,包括密碼策略和賬號鎖定策略等。其中,密碼策略主要包含密碼復(fù)雜性要求、密碼長度要求、密碼存留期要求、 歷史密碼要求;賬號鎖定策略主要包含復(fù)位賬號鎖定計數(shù)器、賬號鎖定閥值配置和賬號鎖定時間配置。從而從各個方面加強了系統(tǒng)賬號的安全管理,有效的防止了黑客利用暴力破解賬號及鎖定賬號進行分布式拒絕服務(wù)攻擊(DDOS,Distributed Denial of service)等攻擊。而IBM的AIX操作系統(tǒng)相比于上述操作系統(tǒng)而言缺少了賬號鎖定時間配置,也就是當(dāng)用戶賬號鎖定之后不能自動解鎖,只能通過ROOT賬號或其他具備解鎖權(quán)限的賬號進行手動解鎖。特別是當(dāng)遠程連接賬號均被鎖定的時候,如在安全配置里禁止了遠程ROOT的直接訪問,管理員還需要進入機房進行本地ROOT登陸,對用戶賬號進行解除操作。由此可見,采用這種手動解鎖的方式,不但會增加相應(yīng)的維護工作,還會降低處理故障的效率。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種AIX操作系統(tǒng)賬號解除鎖定的方法及裝置,應(yīng)用本發(fā)明所提供的方法及裝置能夠自動執(zhí)行賬號的解鎖操作。為達到上述目的,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的—種AIX操作系統(tǒng)賬號解除鎖定的方法,該方法包括查詢AIX操作系統(tǒng)中待查詢的賬號是否處于鎖定狀態(tài);當(dāng)查詢到賬號被鎖定后,在賬號鎖定時間到達時,對被鎖定賬號解鎖。一種AIX操作系統(tǒng)賬號解除鎖定的裝置,該裝置包配置單元、查詢單元和解鎖單元;所述配置單元,用于設(shè)置賬號鎖定時間以及待查詢賬號;所述查詢單元,用于從所述配置單元中讀取設(shè)置的待查詢賬號,查詢該待查詢的賬號是否處于鎖定狀態(tài);當(dāng)查詢到賬號被鎖定后,將該賬號標(biāo)識發(fā)送至所述解鎖單元;所述解鎖單元,用于從所述配置單元中讀取設(shè)置的解鎖執(zhí)行文件;并在收到所述查詢單元發(fā)送的被鎖定賬號的賬號標(biāo)識時,從所述配置單元中讀取設(shè)置的賬號鎖定時間,在所述賬號鎖定時間到達時,運行所述解鎖執(zhí)行文件對被鎖定賬號解鎖。本發(fā)明所提供的一種AIX操作系統(tǒng)賬號解除鎖定的方法及裝置,通過在查詢到 AIX操作系統(tǒng)中的賬號處于鎖定狀態(tài)時,在賬號鎖定時間到達后對被鎖定賬號解鎖,進而免除了 AIX操作系統(tǒng)只能采用手動進行解鎖的維護方式,降低了維護成本、有利于故障的快速修復(fù)。從而,完善了 AIX主機操作系統(tǒng)賬號安全配置策略,有效防止黑客利用暴力破解帳號及鎖定帳號進行DDOS等攻擊。
圖1為本發(fā)明方法的示例性流程圖;圖2為本發(fā)明裝置的結(jié)構(gòu)圖;圖3為本發(fā)明實施例的流程圖。
具體實施例方式在本部分的詳細描述中,僅通過對實施本發(fā)明的發(fā)明者所預(yù)期的最佳方式的示例,示出并描述了本發(fā)明的較佳實施例。應(yīng)意識到,可以在不背離本發(fā)明的前提下,就各個顯而易見的方面對其進行修改。相應(yīng)地,附圖和說明書應(yīng)被視為在本質(zhì)上是示例性的,而不是限制性的。參見圖1,圖1為本發(fā)明方法的示例性流程圖。該方法包括在步驟101中,查詢AIX 操作系統(tǒng)中待查詢的賬號是否處于鎖定狀態(tài);在步驟102中,當(dāng)查詢到賬號被鎖定后,在賬號鎖定時間到達時,對被鎖定賬號解鎖。從本發(fā)明上述技術(shù)方案可以看出,采用本發(fā)明的技術(shù)方案后,AIX操作系統(tǒng)中的賬號被鎖定后能夠自動解鎖,有效的維護了系統(tǒng)的正常運行。該方法可以進一步包括設(shè)置解鎖執(zhí)行文件,所述解鎖執(zhí)行文件由具有解鎖權(quán)限的用戶設(shè)置,用于對給定賬號進行解鎖操作;所述對被鎖定賬號解鎖為運行所述解鎖執(zhí)行文件對被鎖定賬號解鎖。其中,所述查詢AIX操作系統(tǒng)中待查詢的賬號是否處于鎖定狀態(tài),可以是按照設(shè)置的查詢周期對待查詢賬號進行周期性查詢,這種方式可以稱之為周期性查詢。當(dāng)待查詢賬號存在多個時,在周期性查詢時可以采用輪詢的方式完成。另外,也可以采用一種觸發(fā)式查詢方式,即由安全管理系統(tǒng)來觸發(fā)。此時進一步接收安全管理系統(tǒng)對指定賬號發(fā)送的查詢請求,并在接收到查詢請求后,將所述指定賬號作為待查詢賬號查詢該賬號是否處于鎖定狀態(tài)。。當(dāng)安全管理系統(tǒng)通過系統(tǒng)日志發(fā)現(xiàn)某個賬號已經(jīng)連接N次都沒有成功時,則會觸發(fā)對該指定賬號的查詢。周期性查詢方式和觸發(fā)式查詢方式可以一起使用。其中,待查詢的賬號可以是AIX系統(tǒng)中的全部賬號、也可以是部分賬號,具體的內(nèi)容可以根據(jù)應(yīng)用的需要進行設(shè)置。查詢賬號是否處于鎖定狀態(tài)的方式為讀取被查詢賬號的未成功登錄次數(shù) (unsuccessful_login_count)與和登錄重試次數(shù)(Ioginretries),判斷未成功登錄次數(shù)是否大于等于登錄重試次數(shù),如果是,則被查詢賬號處于鎖定狀態(tài);否則,被查詢賬號處于非鎖定狀態(tài)。其中,讀取被查詢賬號的未成功登錄次數(shù)和登錄重試次數(shù)可以借助crontab 功能實現(xiàn),crontab功能為AIX操作系統(tǒng)中的已有功能。
另外,運行所述解鎖執(zhí)行文件對被鎖定賬號解鎖的方式可以是,運行所述解鎖執(zhí) 行文件將所述被鎖定賬號的未成功登錄次數(shù)重置為0。其中,解鎖執(zhí)行文件可以是具有解 鎖權(quán)限用戶設(shè)置的ー種腳本文件,這種腳本文件能夠重置/etc/security/lastlog文件中 unsuccessful_login_count的值,將其置為0,進而解除賬號鎖定狀態(tài)。例如,以root用戶在系統(tǒng)中建立腳本文件/usr/cleanlogincount. sh,并賦予執(zhí) 行權(quán)限touch/usr/cleanlogincount. sh\\ 建立據(jù)P本文件chmod+x/usr/cleanlogincount. sh \\賦予該腳本文件可執(zhí)行的權(quán)限cleanlogincount. sh 文件內(nèi)容可以是# ! /usr/bin/sh/usr/bin/chsec—f/etc/security/last丄og—s root~auBsuccessfui_login_count = 0\\將root賬號的未成功登錄次數(shù)置為0/usr/bin/chsec-f/etc/security/lastiog—s wuqingfa-aunsuccessfui_login_count = 0\\將wuqingfa賬號的未成功登錄次數(shù)置為0/usr/bm/ chsec-f/ etc/security/lastlog-s wugang-aunsuccessful_login_count = 0\\將wugang賬號的未成功登錄次數(shù)置為0。在賬號解除鎖定后,還可以適當(dāng)修改該賬號的相關(guān)參數(shù),例如登錄重試次數(shù)等;并 將當(dāng)前解除鎖定的事件記錄到日志中,以便日后分析處理。還可以在某個賬號反復(fù)鎖定一 定的數(shù)量后,能夠短信、郵件等其他方式提醒相關(guān)管理人員進行技術(shù)調(diào)研,分析鎖定的原 因,防止賬號被他人非法利用。另外,設(shè)置的賬號鎖定時間可以根據(jù)當(dāng)前的鎖定次數(shù)確定,鎖定次數(shù)越大,則解鎖 需要等待的時間就越長。例如,可以是NX設(shè)置的單位鎖定時間或N2X設(shè)置的単位鎖定時 間;其中,N為賬號當(dāng)前被鎖定的次數(shù)。當(dāng)賬號首次鎖定時N= 1,當(dāng)賬號再次鎖定時N = 2,以此類推。單位鎖定時間可以根據(jù)需要自行設(shè)置,可以是30秒。另外,參見圖2,圖2為本發(fā)明提供的ー種AIX操作系統(tǒng)賬號解除鎖定的裝置,該裝 置包配置単元、查詢單元和解鎖單元。具體的所述配置単元,用于設(shè)置賬號鎖定時間以及待查詢賬號;所述查詢單元,用于從所 述配置単元中讀取設(shè)置的待查詢賬號,查詢該待查詢的賬號是否處于鎖定狀態(tài);當(dāng)查詢到 賬號被鎖定后,將該賬號標(biāo)識發(fā)送至所述解鎖単元;所述解鎖単元,用于在收到所述查詢單 元發(fā)送的被鎖定賬號的賬號標(biāo)識時,從所述配置単元中讀取設(shè)置的賬號鎖定時間,在所述 賬號鎖定時間到達時,對被鎖定賬號解鎖。其中,所述配置単元,進ー步用于設(shè)置解鎖執(zhí)行文件;所述解鎖単元,進ー步用于 從所述配置単元中讀取所述解鎖執(zhí)行文件,并運行所述解鎖執(zhí)行文件對被鎖定賬號進行解 鎖。其中,所述配置単元,進ー步用于設(shè)置查詢周期;相應(yīng)的,所述查詢単元,進ー步用 于從所述配置単元中讀取設(shè)置的查詢周期,按照所述查詢周期對待查詢的賬號進行周期性查詢。另外,所述查詢單元,進一步用于接收安全管理系統(tǒng)對指定賬號發(fā)送的查詢請求, 并在收到查詢請求后,將所述指定賬號作為待查詢賬號查詢該賬號是否處于鎖定狀態(tài)。所述查詢單元查詢賬號是否處于鎖定狀態(tài)的方式為讀取被查詢賬號的未成功登錄次數(shù)和登錄重試次數(shù),判斷未成功登錄次數(shù)是否大于等于登錄重試次數(shù),如果是,則被查詢賬號處于鎖定狀態(tài);否則,被查詢賬號處于非鎖定狀態(tài)。另外,所述解鎖單元運行所述解鎖執(zhí)行文件對被鎖定賬號解鎖的方式為運行所述解鎖執(zhí)行文件將所述被鎖定賬號的未成功登錄次數(shù)重置為0。另外,所述配置單元設(shè)置的賬號鎖定時間為NX設(shè)置的單位鎖定時間或N2X設(shè)置的單位鎖定時間;其中,N為賬號當(dāng)前被鎖定的次數(shù)。以下列舉實施例對本發(fā)明的技術(shù)方案進行更加詳細的說明。在本實施例中,僅列舉對一個賬號的查詢、解鎖流程,其中查詢方式為周期性查詢。當(dāng)系統(tǒng)需要對多個賬號進行查詢、解鎖時,可以參照該流程實現(xiàn)。參見圖3,圖3為本發(fā)明實施例的流程圖。在步驟301中,獲得待查詢的賬號。在本發(fā)明的技術(shù)方案中,可以是查詢單元從配置單元中獲得待查詢賬號,該待查詢的賬號可以是系統(tǒng)管理員在配置單元中設(shè)置的。在步驟302中,在查詢周期到達時,獲得該待查詢的賬號對應(yīng)的未成功登錄次數(shù)和登錄重試次數(shù)。在步驟303中,判斷獲得的未成功登錄次數(shù)是否大于等于登錄重試次數(shù),如果是, 則被查詢賬號處于鎖定狀態(tài),執(zhí)行步驟304;否則,被查詢賬號處于非鎖定狀態(tài),返回步驟 302。在步驟304中,運行解鎖執(zhí)行文件將當(dāng)前被鎖定賬號的未成功登錄次數(shù)重置為0, 艮重置/etc/security/lastlog 文件中 unsuccessful_login_count 的值,其設(shè)為 0,角軍除賬號鎖定狀態(tài)。在步驟305中,當(dāng)解除賬號的鎖定狀態(tài)后,將該事件記錄至日志中。以上為對本發(fā)明實施例的介紹,當(dāng)當(dāng)前待查詢賬號為觸發(fā)式查詢時,在查詢到該待查詢賬號未被鎖定時,則結(jié)束當(dāng)前處理流程,不必再等待下一周期的到來。以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種AIX操作系統(tǒng)賬號解除鎖定的方法,其特征在于,該方法包括查詢AIX操作系統(tǒng)中待查詢的賬號是否處于鎖定狀態(tài);當(dāng)查詢到賬號被鎖定后,在賬號鎖定時間到達時,對被鎖定賬號解鎖。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法進一步包括設(shè)置解鎖執(zhí)行文件,所述解鎖執(zhí)行文件由具有解鎖權(quán)限的用戶設(shè)置,用于對給定賬號進行解鎖操作;所述對被鎖定賬號解鎖為運行所述解鎖執(zhí)行文件對被鎖定賬號解鎖。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述查詢AIX操作系統(tǒng)中待查詢的賬號是否處于鎖定狀態(tài)為按照設(shè)置的查詢周期對賬號進行周期性查詢。
4.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,該方法進一步包括接收安全管理系統(tǒng)對指定賬號發(fā)送的查詢請求;所述查詢AIX操作系統(tǒng)中待查詢的賬號是否處于鎖定狀態(tài)為接收到查詢請求后,將所述指定賬號作為待查詢賬號查詢該賬號是否處于鎖定狀態(tài)。
5.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述查詢賬號是否處于鎖定狀態(tài)的方式為讀取被查詢賬號的未成功登錄次數(shù)和登錄重試次數(shù),判斷未成功登錄次數(shù)是否大于等于登錄重試次數(shù),如果是,則被查詢賬號處于鎖定狀態(tài);否則,被查詢賬號處于非鎖定狀態(tài)。
6.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述運行所述解鎖執(zhí)行文件對被鎖定賬號解鎖的方式為運行所述解鎖執(zhí)行文件將所述被鎖定賬號的未成功登錄次數(shù)重置為0。
7.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述賬號鎖定時間為NX設(shè)置的單位鎖定時間或N2X設(shè)置的單位鎖定時間;其中,N 為賬號當(dāng)前被鎖定的次數(shù)。
8.—種AIX操作系統(tǒng)賬號解除鎖定的裝置,其特征在于,該裝置包配置單元、查詢單元和解鎖單元;所述配置單元,用于設(shè)置賬號鎖定時間以及待查詢賬號;所述查詢單元,用于從所述配置單元中讀取設(shè)置的待查詢賬號,查詢該待查詢的賬號是否處于鎖定狀態(tài);當(dāng)查詢到賬號被鎖定后,將該賬號標(biāo)識發(fā)送至所述解鎖單元;所述解鎖單元,用于在收到所述查詢單元發(fā)送的被鎖定賬號的賬號標(biāo)識時,從所述配置單元中讀取設(shè)置的賬號鎖定時間,在所述賬號鎖定時間到達時,對被鎖定賬號解鎖。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述配置單元,進一步用于設(shè)置解鎖執(zhí)行文件;所述解鎖單元,進一步用于從所述配置單元中讀取所述解鎖執(zhí)行文件,并運行所述解鎖執(zhí)行文件對被鎖定賬號進行解鎖。
10.根據(jù)權(quán)利要求8或9所述的裝置,其特征在于,所述配置單元,進一步用于設(shè)置查詢周期;所述查詢單元,進一步用于從所述配置單元中讀取設(shè)置的查詢周期,按照所述查詢周期對待查詢的賬號進行周期性查詢。
11.根據(jù)權(quán)利要求8或9所述的裝置,其特征在于,所述查詢單元,進一步用于接收安全管理系統(tǒng)對指定賬號發(fā)送的查詢請求,并在收到查詢請求后,將所述指定賬號作為待查詢賬號查詢該賬號是否處于鎖定狀態(tài)。
12.根據(jù)權(quán)利要求8或9所述的裝置,其特征在于,所述查詢單元查詢賬號是否處于鎖定狀態(tài)的方式為讀取被查詢賬號的未成功登錄次數(shù)和登錄重試次數(shù),判斷未成功登錄次數(shù)是否大于等于登錄重試次數(shù),如果是,則被查詢賬號處于鎖定狀態(tài);否則,被查詢賬號處于非鎖定狀態(tài)。
13.根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述解鎖單元運行所述解鎖執(zhí)行文件對被鎖定賬號解鎖的方式為運行所述解鎖執(zhí)行文件將所述被鎖定賬號的未成功登錄次數(shù)重置為0。
14.根據(jù)權(quán)利要求8或9所述的裝置,其特征在于,所述配置單元設(shè)置的賬號鎖定時間為NX設(shè)置的單位鎖定時間或N2X設(shè)置的單位鎖定時間;其中,N為賬號當(dāng)前被鎖定的次數(shù)。
全文摘要
本發(fā)明公開了一種AIX操作系統(tǒng)賬號解除鎖定的方法及裝置,通過在查詢到AIX操作系統(tǒng)中的賬號處于鎖定狀態(tài)時,在賬號鎖定時間到達后對被鎖定賬號解鎖,進而免除了AIX操作系統(tǒng)只能采用手動進行解鎖的維護方式,降低了維護成本、有利于故障的快速修復(fù)。
文檔編號G06F21/20GK102567681SQ201010595189
公開日2012年7月11日 申請日期2010年12月10日 優(yōu)先權(quán)日2010年12月10日
發(fā)明者劉媛, 劉竑宇, 劉鷗, 徐銳, 茍茹辛, 陳旭毅 申請人:中國移動通信集團貴州有限公司