一种计算节点的安全加固的方法及装置的制造方法

文档序号:10725485阅读:316来源:国知局
一种计算节点的安全加固的方法及装置的制造方法
【专利摘要】本发明提供了一种计算节点的安全加固的方法及装置,该方法,包括:接收待登录用户发来的登录当前计算节点的请求;判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。本发明提供了一种计算节点的安全加固的方法及装置,使得计算节点的计算效率较高。
【专利说明】
一种计算节点的安全加固的方法及装置
技术领域
[0001]本发明涉及计算机技术领域,特别涉及一种计算节点的安全加固的方法及装置。
【背景技术】
[0002]集群承载在很多科研机构的计算任务,并且有大量可用的数据信息提供服务,而利用高性能计算可以进行一些科学的任务模拟,涉及的领域包含了冶金、分子模拟、化工、石油等不同的行业。由于集群中的计算节点十分重要,往往会受到各个国家黑客以及不法人员的攻击。如何保证计算节点的安全越来越受到重视。
[0003]现有技术中,一般通过开启系统防火墙来保证计算解的安全,通过系统防火墙来限制端口的输入输出,地址的网内转换等。但是,在开启系统防火墙后,在高性能计算的过程中各个不同软件由于对系统端口需求的不同往往会被系统的防火墙给隔离在外,集群计算节点之间无法进行数据交流。
[0004]通过上述描述可见,现有技术中,通过开启系统防火墙来对计算节点进行安全加固,但是,开启防火墙后,影响计算节点之间的数据交流,阻碍计算节点对系统端口的使用,因此,现有技术对计算节点的加固降低了计算节点的计算效率。

【发明内容】

[0005]本发明实施例提供了一种计算节点的安全加固的方法及装置,使得计算节点的计算效率较高。
[0006]—方面,本发明实施例提供了一种计算节点的安全加固的方法,包括:
[0007]S1:接收待登录用户发来的登录当前计算节点的请求;
[0008]S2:判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。
[0009]进一步地,在所述SI之前,还包括:
[0010]预先在所述当前计算节点的PAM(Pluggable Authenticat1n Modules,可插拔认证模块)中配置安全策略,所述安全策略包括:允许在所述当前计算节点上存在作业的待登录用户登录所述当前计算节点,禁止在所述当前计算节点上不存在作业的待登录用户登录所述当前计算节点;
[0011]所述S2包括:
[0012]根据所述安全策略,判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。
[0013]进一步地,在所述SI之前,还包括:
[0014]预先对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户,并生成每个目标用户与处理该目标用户的作业的处理计算节点的对应关系;
[0015]所述S2,包括:
[0016]Al:根据所述管理节点中记录的每个目标用户,判断所有目标用户中是否存在所述待登录用户,如果是,则执行步骤A2,否则,执行步骤A4;
[0017]A2:根据所述待登录用户的对应关系,判断所述待登录用户对应的处理计算节点中是否存在所述当前计算节点,如果是,则执行步骤A3,否则,执行步骤A4;
[0018]A3:允许所述待登录用户登录所述当前计算节点;
[0019]A4:禁止所述待登录用户登录所述当前计算节点。
[0020]进一步地,所述预先对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户,包括:
[0021]预先对所述当前计算节点对应的管理节点进行配置,使得所述管理节点在接收到当前目标用户提交的作业时,生成当前目标用户对应的Authuser文件,在所述Authuser文件中保存当前目标用户的用户信息;
[0022]所述Al,包括:
[0023]从所述管理节点中查找所述Authuser文件,读取所述Authuser文件中的用户信息,根据所述用户信息,判断所有目标用户中是否存在所述待登录用户,如果是,则执行步骤A2,否则,执行步骤A4。
[0024]进一步地,所述预先对所述当前计算节点对应的管理节点进行配置,包括:
[0025]预先设置配置文件,所述配置文件中包括:所述管理节点对应的作业调度系统的安装目录和源码存放目录;
[0026]根据所述配置文件对所述管理节点进行配置,使得所述管理节点根据所述作业调度系统的安装目录和源码存放目录生成所述Authuser文件。
[0027]另一方面,本发明实施例提供了一种计算节点的安全加固的装置,包括:
[0028]接收单元,用于接收待登录用户发来的登录当前计算节点的请求;
[0029]判断单元,用于判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。
[0030]进一步地,还包括:
[0031]第一配置单元,用于在所述当前计算节点的PAM中配置安全策略,所述安全策略包括:允许在所述当前计算节点上存在作业的待登录用户登录所述当前计算节点,禁止在所述当前计算节点上不存在作业的待登录用户登录所述当前计算节点;
[0032]所述判断单元,用于根据所述安全策略,判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。
[0033]进一步地,还包括:
[0034]第二配置单元,用于对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户,并生成每个目标用户与处理该目标用户的作业的处理计算节点的对应关系;
[0035]所述判断单元,包括:
[0036]第一判断子单元,用于根据所述管理节点中记录的每个目标用户,判断所有目标用户中是否存在所述待登录用户,如果是,则运行第二判断子单元,否则,禁止所述待登录用户登录所述当前计算节点;
[0037]所述第二判断子单元,用于根据所述待登录用户的对应关系,判断所述待登录用户对应的处理计算节点中是否存在所述当前计算节点,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。
[0038]进一步地,所述第二配置单元,在执行所述对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户时,用于对所述当前计算节点对应的管理节点进行配置,使得所述管理节点在接收到当前目标用户提交的作业时,生成当前目标用户对应的Authuser文件,在所述Authuser文件中保存当前目标用户的用户信息;
[0039]所述第一判断子单元,用于从所述管理节点中查找所述Authuser文件,读取所述Authuser文件中的用户信息,根据所述用户信息,判断所有目标用户中是否存在所述待登录用户,如果是,则则运行第二判断子单元,否则,禁止所述待登录用户登录所述当前计算节点。
[0040]进一步地,所述第二配置单元,在执行所述预先对所述当前计算节点对应的管理节点进行配置时,用于设置配置文件,所述配置文件中包括:所述管理节点对应的作业调度系统的安装目录和源码存放目录,根据所述配置文件对所述管理节点进行配置,使得所述管理节点根据所述作业调度系统的安装目录和源码存放目录生成所述Authuser文件。
[0041]在本发明实施例中,在有待登录用户请求登录当前计算节点时,通过判断当前计算节点上是否存在待登录用户的作业来确定是否允许待登录用户登录,只有当前计算节点上存在待登录用户的作业时,才允许待登录用户登录当前计算节点,通过过滤符合条件的待登录用户来对计算节点进行安全加固,无需对系统端口进行限制,不会阻碍计算节点间的数据交流,计算节点的计算效率较高。
【附图说明】
[0042]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0043]图1是本发明一实施例提供的一种计算节点的安全加固的方法的流程图;
[0044]图2是本发明一实施例提供的另一种计算节点的安全加固的方法的流程图;
[0045]图3是本发明一实施例提供的一种计算节点的安全加固的装置的示意图;
[0046]图4是本发明一实施例提供的另一种计算节点的安全加固的装置的示意图。
【具体实施方式】
[0047]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0048]本发明实施例提供了一种计算节点的安全加固的方法,该方法可以包括以下步骤:
[0049]S1:接收待登录用户发来的登录当前计算节点的请求;
[0050]S2:判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。
[0051]在本发明实施例中,在有待登录用户请求登录当前计算节点时,通过判断当前计算节点上是否存在待登录用户的作业来确定是否允许待登录用户登录,只有当前计算节点上存在待登录用户的作业时,才允许待登录用户登录当前计算节点,通过过滤符合条件的待登录用户来对计算节点进行安全加固,无需对系统端口进行限制,不会阻碍计算节点间的数据交流,计算节点的计算效率较高。
[0052]如图1所示,本发明实施例提供了一种计算节点的安全加固的方法,该方法可以包括以下步骤:
[0053]步骤101:接收待登录用户发来的登录当前计算节点的请求;
[0054]步骤102:判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则执行步骤103,否则,执行步骤104;
[0055]步骤103:允许所述待登录用户登录所述当前计算节点;
[0056]步骤104:禁止所述待登录用户登录所述当前计算节点。
[0057]在本发明一实施例中,在所述SI之前,还包括:
[0058]预先在所述当前计算节点的PAM中配置安全策略,所述安全策略包括:允许在所述当前计算节点上存在作业的待登录用户登录所述当前计算节点,禁止在所述当前计算节点上不存在作业的待登录用户登录所述当前计算节点;
[0059]所述S2包括:
[0060]根据所述安全策略,判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。
[0061]在本发明实施例中,通过在当前计算节点中的PAM的配置安全策略,实现当前计算节点对待登录用户的安全认证,只有通过安全策略的安全认证的用户才能登录当前计算节点,保证的计算节点的安全。在有用户请求登录当前计算节点时,会触发当前计算节点中的安全策略,通过该安全策略来加固当前计算节点的安全。
[0062]在本发明一实施例中,在所述SI之前,还包括:
[0063]预先对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户,并生成每个目标用户与处理该目标用户的作业的处理计算节点的对应关系;
[0064]所述S2,包括:
[0065]Al:根据所述管理节点中记录的每个目标用户,判断所有目标用户中是否存在所述待登录用户,如果是,则执行步骤A2,否则,执行步骤A4;
[0066]A2:根据所述待登录用户的对应关系,判断所述待登录用户对应的处理计算节点中是否存在所述当前计算节点,如果是,则执行步骤A3,否则,执行步骤A4;
[0067]A3:允许所述待登录用户登录所述当前计算节点;
[0068]A4:禁止所述待登录用户登录所述当前计算节点。
[0069]在本发明实施例中,由于计算节点中的任务是通过管理节点来分配的,用户在提交作业时,也是提交的管理节点中,因此,可以通过配置管理节点来记录用户提交作业的相关信息。在配置之后,管理节点一旦收到用户提交的作业,就对该提交作业的用户进行记录,在确定处理该用户提交的作业的计算单元后,生成该用户与该计算单元的对应关系。举例来说,用户A在管理节点提交作业后,管理节点记录该用户A,在确定将用户A提交的作业分配给计算节点A后,生成用户A与计算节点A的对应关系,由于用户A提交的作业可能被分配给多个计算节点中,因此,在用户A的对应关系中,用户A可以对应多个计算节点。
[0070]在本发明一实施例中,所述预先对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户,包括:
[0071]预先对所述当前计算节点对应的管理节点进行配置,使得所述管理节点在接收到当前目标用户提交的作业时,生成当前目标用户对应的Authuser文件,在所述Authuser文件中保存当前目标用户的用户信息;
[0072]所述Al,包括:
[0073]从所述管理节点中查找所述Authuser文件,读取所述Authuser文件中的用户信息,根据所述用户信息,判断所有目标用户中是否存在所述待登录用户,如果是,则执行步骤A2,否则,执行步骤A4。
[0074]在本发明实施例中,通过Authuser文件中保存当前目标用户的用户信息。用户信息可以是用户名、用户编码等标识信息。举例来说,在配置管理节点后,用户A向管理节点提交作业后,管理节点生成用户A对应的Authuser文件,通过该Authuser文件保存用户A的用户信息,例如用户名。
[0075]在本发明一实施例中,所述预先对所述当前计算节点对应的管理节点进行配置,包括:
[0076]预先设置配置文件,所述配置文件中包括:所述管理节点对应的作业调度系统的安装目录和源码存放目录;
[0077]根据所述配置文件对所述管理节点进行配置,使得所述管理节点根据所述作业调度系统的安装目录和源码存放目录生成所述Authuser文件。
[0078]在本发明实施例中,管理节点部署有作业调度系统,管理节点可以根据作业调度系统的安装目录和源码存放目录生成Authuser文件。
[0079]如图2所示,本发明实施例提供了一种计算节点的安全加固的方法,在本发明实施例中,对计算节点A进行安全加固,待登录用户为用户B,该方法可以包括以下步骤:
[0080]步骤201:预先对计算节点A对应的管理节点进行配置,使得管理节点记录每个提交作业的目标用户,并生成每个目标用户与处理该目标用户的作业的处理计算节点的对应关系。
[0081 ] 步骤202:预先在计算节点A的PAM中配置安全策略,安全策略包括:允许在计算节点A上存在作业的待登录用户登录计算节点A,禁止在计算节点A上不存在作业的待登录用户登录计算节点A。
[0082I具体地,安全策略包括:允许在管理节点中提交作业且对应的处理技术节点中有计算节点A的待登录用户登录计算节点A。禁止在管理节点中没有提交作业,或者对应的处理技术节点中没有计算节点A的待登录用户登录计算节点A。
[0083]步骤203:管理节点实时记录每个提交作业的目标用户,并生成每个目标用户与处理该目标用户的作业的处理计算节点的对应关系。
[0084]举例来说,用户A在管理节点上提交作业后,管理节点记录用户A,在将用户A提交的作业分配给计算节点D后,生成用户A与计算节点D的对应关系。
[0085]步骤204:计算节点A接收用户B发来的登录计算节点A的请求。
[0086]具体地,用户可以通过SSH(Secure Shell,安全外壳协议)及RSH(remote shell,远程shell)远程进行请求。请求可以写待登录用户的用户信息,例如用户名等。
[0087]步骤205:计算节点A根据管理节点中记录的每个目标用户,判断所有目标用户中是否存在用户B,如果是,则执行步骤206,否则,执行步骤208。
[0088]具体地,当前计算节点可以将待登录用户的用户信息发送给管理节点,利用管理节点来查询目标用户中是否存在待登录用户,管理节点将查询的结果反馈给当前计算节点。
[0089]步骤206:计算节点A根据用户B的对应关系,判断用户B对应的处理计算节点中是否存在计算节点A,如果是,则执行步骤207,否则,执行步骤208。
[0090]步骤207:计算节点A允许用户B登录计算节点A。
[0091]步骤208:计算节点A禁止用户B登录计算节点A。
[0092]在本发明实施例中,待登录用户登录当前计算节点后,可以查看待登录用户对应的计算任务及计算进程和临时输出,对待登录用户的作业的临时数据进行检查,查看数据是否符合需求,如果不符合可以及时停止作业,并更改参数后,重新递交作业,大大提高了计算的效率。
[0093]在本发明实施例中,可以通过以下配置文件来配置当前计算节点和管理节点,该配置文件,主要包含当前计算节点的名称及所在集群的作业调度系统的安装目录和源码存放目录。可以通过以下代码实现:
[0094][rootimu01setuser]#vi install.config
[0095]TSCE_S0URCE_DIR = /opt/ClusterEngineV3.6-20160308/% %TSCE源码包位置
[0096]TSCE_INSTALL_DIR = /opt/tsce% %TSCE安装路径
[0097]NODELIST = 〃cu01cu02cu03cu04cu05cu06“% 要配置的节点
[0098]本发明实施例可以通过预先设置的脚本来实现,运行此脚本后,可以实现本发明实施例提供的方案。另外,可以在N0DELIST中记录进行配置的计算节点。运行脚本可以通过以下代码实现:
[0099][rootimuOlsetuser]#./setuser.x
[0100]另外,还可以设置删除脚本,通过运行删除脚本可以删除之前的配置,可以在N0DELIST中记录删除配置的计算节点。删除脚本的具体代码如下:
[0101][rootimu01setuser]#vi install.config
[0102]TSCE_S0URCE_DIR = /opt/ClusterEngineV3.6-20160308/% %TSCE源码包位置
[0103]TSCE_INSTALL_DIR = /opt/tsce% %TSCE安装路径
[0104]N0DELIST = 〃cu01cu02cu03cu04cu05cu06“% 要配置的节点
[0105]运行删除脚本的代码如下:
[0106][rootimuOlsetuser]#./unsetuser.X
[0107]在本发明实施例中,能够实现对集群计算节点的安全加固,能避免开启防火墙出现的数据同步、数据传递、数据交互等问题。在本发明实施例中,对计算节点添加资源限制以及用户限制,可安全高效的实现的计算节点间的数据高速交换,并保证数据的正确无误。在本发明实施例提供的方案,能支持多种集群模式,提供统一的,可用脚本控制的clustershell(簇框架)等,部署简单易用。
[0108]在本发明实施例中,在计算节点进行计算时,增加对作业调度系统的调用参数以及系统中环境变量预读的参数,可以通过预先设置的脚本对计算节点进行高效部署,减少了对各个计算节点设置的时间。在实现计算的过程中,对计算的节点添加相应的资源以及限制,防止不相关用户对计算节点的访问;模拟机器限制访问和计算过程中可访问的原理及实现过程;提供一种新的shell脚本来进行此资源添加和限制等,方便用户很快的按照需要添加安全策略,并快速删除和添加安全策略,
[0109]在本发明实施例中,将防火墙关闭后,不允许登录此计算节点的用户是无法登录机器的,而有计算任务的用户是可以登录此计算节点查看计算任务及计算进程和临时输出,具有实现方便,能试用各类高性能调度器,系统兼容性比较高的特点。
[0110]在本发明实施例中,计算节点的系统可以为Iinux系统,通过Iinux系统知识,高可用集群调度及使用的相关知识来应用到此发明中,通过高性能集群管理调度软件及Iinux系统的相关知识进行配置和调度。
[0111]如图3、图4所示,本发明实施例提供了一种计算节点的安全加固的装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种计算节点的安全加固的装置所在设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。本实施例提供的一种计算节点的安全加固的装置,包括:
[0112]接收单元401,用于接收待登录用户发来的登录当前计算节点的请求;
[0113]判断单元402,用于判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。
[0114]在本发明一实施例中,还包括:
[0115]第一配置单元,用于在所述当前计算节点的可插拔认证模块PAM中配置安全策略,所述安全策略包括:允许在所述当前计算节点上存在作业的待登录用户登录所述当前计算节点,禁止在所述当前计算节点上不存在作业的待登录用户登录所述当前计算节点;
[0116]所述判断单元,用于根据所述安全策略,判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。
[0117]在本发明一实施例中,还包括:
[0118]第二配置单元,用于对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户,并生成每个目标用户与处理该目标用户的作业的处理计算节点的对应关系;
[0119]所述判断单元,包括:
[0120]第一判断子单元,用于根据所述管理节点中记录的每个目标用户,判断所有目标用户中是否存在所述待登录用户,如果是,则运行第二判断子单元,否则,禁止所述待登录用户登录所述当前计算节点;
[0121]所述第二判断子单元,用于根据所述待登录用户的对应关系,判断所述待登录用户对应的处理计算节点中是否存在所述当前计算节点,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。
[0122]在本发明一实施例中,所述第二配置单元,在执行所述对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户时,用于对所述当前计算节点对应的管理节点进行配置,使得所述管理节点在接收到当前目标用户提交的作业时,生成当前目标用户对应的Authuser文件,在所述Authuser文件中保存当前目标用户的用户信息;
[0? 23] 所述第一判断子单元,用于从所述管理节点中查找所述Authuser文件,读取所述Authuser文件中的用户信息,根据所述用户信息,判断所有目标用户中是否存在所述待登录用户,如果是,则则运行第二判断子单元,否则,禁止所述待登录用户登录所述当前计算节点。
[0124]在本发明一实施例中,所述第二配置单元,在执行所述预先对所述当前计算节点对应的管理节点进行配置时,用于设置配置文件,所述配置文件中包括:所述管理节点对应的作业调度系统的安装目录和源码存放目录,根据所述配置文件对所述管理节点进行配置,使得所述管理节点根据所述作业调度系统的安装目录和源码存放目录生成所述Authuser 文件。
[0125]本发明实施例提供的装置可以部署在计算节点上。
[0126]上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
[0127]本发明各个实施例至少具有如下有益效果:
[0128]1、在本发明实施例中,在有待登录用户请求登录当前计算节点时,通过判断当前计算节点上是否存在待登录用户的作业来确定是否允许待登录用户登录,只有当前计算节点上存在待登录用户的作业时,才允许待登录用户登录当前计算节点,通过过滤符合条件的待登录用户来对计算节点进行安全加固,无需对系统端口进行限制,不会阻碍计算节点间的数据交流,计算节点的计算效率较高。
[0129]2、在本发明实施例中,通过在当前计算节点中的PAM的配置安全策略,实现当前计算节点对待登录用户的安全认证,只有通过安全策略的安全认证的用户才能登录当前计算节点,保证的计算节点的安全。在有用户请求登录当前计算节点时,会触发当前计算节点中的安全策略,通过该安全策略来加固当前计算节点的安全。
[0130]3、在本发明实施例中,允许在当前计算节点上存在作业的待登录用户登录当前计算节点,待登录用户登录当前计算节点后,可以查看待登录用户对应的计算任务及计算进程和临时输出,对待登录用户的作业的临时数据进行检查,查看数据是否符合需求,如果不符合可以及时停止作业,并更改参数后,重新递交作业,大大提高了计算的效率。
[0131]需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃.....”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0132]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
[0133]最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
【主权项】
1.一种计算节点的安全加固的方法,其特征在于,包括: S1:接收待登录用户发来的登录当前计算节点的请求; S2:判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。2.根据权利要求1所述的方法,其特征在于, 在所述SI之前,还包括: 预先在所述当前计算节点的可插拔认证模块PAM中配置安全策略,所述安全策略包括:允许在所述当前计算节点上存在作业的待登录用户登录所述当前计算节点,禁止在所述当前计算节点上不存在作业的待登录用户登录所述当前计算节点; 所述S2包括: 根据所述安全策略,判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。3.根据权利要求1-2中任一所述的方法,其特征在于, 在所述SI之前,还包括: 预先对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户,并生成每个目标用户与处理该目标用户的作业的处理计算节点的对应关系; 所述S2,包括: Al:根据所述管理节点中记录的每个目标用户,判断所有目标用户中是否存在所述待登录用户,如果是,则执行步骤A2,否则,执行步骤A4; A2:根据所述待登录用户的对应关系,判断所述待登录用户对应的处理计算节点中是否存在所述当前计算节点,如果是,则执行步骤A3,否则,执行步骤A4; A3:允许所述待登录用户登录所述当前计算节点; A4:禁止所述待登录用户登录所述当前计算节点。4.根据权利要求3所述的方法,其特征在于, 所述预先对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户,包括: 预先对所述当前计算节点对应的管理节点进行配置,使得所述管理节点在接收到当前目标用户提交的作业时,生成当前目标用户对应的Authuser文件,在所述Authuser文件中保存当前目标用户的用户信息; 所述Al,包括: 从所述管理节点中查找所述Authuser文件,读取所述Authuser文件中的用户信息,根据所述用户信息,判断所有目标用户中是否存在所述待登录用户,如果是,则执行步骤A2,否则,执行步骤A4。5.根据权利要求4所述的方法,其特征在于, 所述预先对所述当前计算节点对应的管理节点进行配置,包括: 预先设置配置文件,所述配置文件中包括:所述管理节点对应的作业调度系统的安装目录和源码存放目录; 根据所述配置文件对所述管理节点进行配置,使得所述管理节点根据所述作业调度系统的安装目录和源码存放目录生成所述Authuser文件。6.一种计算节点的安全加固的装置,其特征在于,包括: 接收单元,用于接收待登录用户发来的登录当前计算节点的请求; 判断单元,用于判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。7.根据权利要求6所述的装置,其特征在于, 还包括:第一配置单元,用于在所述当前计算节点的可插拔认证模块PAM中配置安全策略,所述安全策略包括:允许在所述当前计算节点上存在作业的待登录用户登录所述当前计算节点,禁止在所述当前计算节点上不存在作业的待登录用户登录所述当前计算节点; 所述判断单元,用于根据所述安全策略,判断所述当前计算节点上是否存在所述待登录用户的作业,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。8.根据权利要求6-7中任一所述的装置,其特征在于, 还包括:第二配置单元,用于对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户,并生成每个目标用户与处理该目标用户的作业的处理计算节点的对应关系; 所述判断单元,包括: 第一判断子单元,用于根据所述管理节点中记录的每个目标用户,判断所有目标用户中是否存在所述待登录用户,如果是,则运行第二判断子单元,否则,禁止所述待登录用户登录所述当前计算节点; 所述第二判断子单元,用于根据所述待登录用户的对应关系,判断所述待登录用户对应的处理计算节点中是否存在所述当前计算节点,如果是,则允许所述待登录用户登录所述当前计算节点,否则,禁止所述待登录用户登录所述当前计算节点。9.根据权利要求8所述的装置,其特征在于, 所述第二配置单元,在执行所述对所述当前计算节点对应的管理节点进行配置,使得所述管理节点记录每个提交作业的目标用户时,用于对所述当前计算节点对应的管理节点进行配置,使得所述管理节点在接收到当前目标用户提交的作业时,生成当前目标用户对应的Authuser文件,在所述Authuser文件中保存当前目标用户的用户信息; 所述第一判断子单元,用于从所述管理节点中查找所述Authuser文件,读取所述Authuser文件中的用户信息,根据所述用户信息,判断所有目标用户中是否存在所述待登录用户,如果是,则则运行第二判断子单元,否则,禁止所述待登录用户登录所述当前计算节点。10.根据权利要求9所述的装置,其特征在于, 所述第二配置单元,在执行所述预先对所述当前计算节点对应的管理节点进行配置时,用于设置配置文件,所述配置文件中包括:所述管理节点对应的作业调度系统的安装目录和源码存放目录,根据所述配置文件对所述管理节点进行配置,使得所述管理节点根据所述作业调度系统的安装目录和源码存放目录生成所述Authuser文件。
【文档编号】G06F21/41GK106096379SQ201610496977
【公开日】2016年11月9日
【申请日】2016年6月29日
【发明人】王洪宝
【申请人】浪潮电子信息产业股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1