個(gè)?���!钡奈淖窒ⅲ宰钪庇^明了地方式向用戶(hù)呈現(xiàn)i詢(xún)結(jié)果��,提高用戶(hù)的使用體驗(yàn)�����。
[0085]另外可以理解的是���,依照是否包括上述步驟1la及步驟101b�����、是否包括上述步驟105��,以及是否包括上述步驟106����,上述配置策略所需要包含的信息將適應(yīng)性地發(fā)生變化而具有不同的具體形式,本發(fā)明對(duì)此不做限制��。
[0086]此外應(yīng)理解的是��,依照上述提供服務(wù)器信息的查詢(xún)服務(wù)的方法的安全策略(過(guò)濾有安全風(fēng)險(xiǎn)的命令信息)的設(shè)置和/或配置策略(只能識(shí)別指定形式的查詢(xún)指令)的設(shè)置(在具體實(shí)施時(shí)配置策略與安全策略還可以不做特別區(qū)分)���,在不需要知道用戶(hù)的操作權(quán)限的情況下也可以實(shí)現(xiàn)服務(wù)器信息的查詢(xún),從而使得用戶(hù)擺脫服務(wù)器的操作權(quán)限對(duì)服務(wù)器信息的查詢(xún)手段的多方面限制��,大大提升了查詢(xún)效率�����。
[0087]然而可以理解的是�����,不需要用戶(hù)的操作權(quán)限也允許查詢(xún)的服務(wù)器信息通常是非常有限的���,因此本發(fā)明還可以通過(guò)結(jié)合用戶(hù)的操作權(quán)限的驗(yàn)證來(lái)進(jìn)一步擴(kuò)大應(yīng)用范圍�。
[0088]舉例來(lái)說(shuō)����,上述步驟1lb:按照預(yù)設(shè)的配置策略解析查詢(xún)指令,以得到至少一個(gè)目標(biāo)服務(wù)器的標(biāo)識(shí)、對(duì)應(yīng)于每一目標(biāo)服務(wù)器的命令信息�����,以及對(duì)應(yīng)于每一目標(biāo)服務(wù)器的查詢(xún)結(jié)果位置標(biāo)識(shí)����,可以進(jìn)一步包括如圖3中所示的步驟流程:
[0089]步驟301:判斷查詢(xún)指令在配置策略中是否帶有操作權(quán)限標(biāo)識(shí);
[0090]步驟302:在判定查詢(xún)指令在配置策略中帶有操作權(quán)限標(biāo)識(shí)之后���,根據(jù)操作權(quán)限標(biāo)識(shí)對(duì)用戶(hù)進(jìn)行操作權(quán)限驗(yàn)證�����;
[0091]步驟303:在用戶(hù)通過(guò)了操作權(quán)限驗(yàn)證之后�,按照預(yù)設(shè)的配置策略解析查詢(xún)指令����,以得到至少一個(gè)目標(biāo)服務(wù)器的標(biāo)識(shí)、對(duì)應(yīng)于每一目標(biāo)服務(wù)器的命令信息��,以及對(duì)應(yīng)于每一目標(biāo)服務(wù)器的查詢(xún)結(jié)果位置標(biāo)識(shí)�。
[0092]而未在圖3中示出的是,若步驟301中判定查詢(xún)指令在配置策略中不帶有操作權(quán)限標(biāo)識(shí)�,那么可以直接按照配置策略對(duì)其進(jìn)行解析���,其流程與圖2所示的步驟1la與步驟1lb的流程基本相同,在此不再贅述�����。在本發(fā)明的一個(gè)實(shí)施例中��,上述操作權(quán)限標(biāo)識(shí)可以是配置策略中與查詢(xún)指令對(duì)應(yīng)存儲(chǔ)的一個(gè)屬性值����,而該屬性值可以在接收到來(lái)自用戶(hù)的查詢(xún)指令之后標(biāo)識(shí)該查詢(xún)指令需要用戶(hù)有什么樣的操作權(quán)限才能執(zhí)行���。舉例來(lái)說(shuō)�,上述步驟301中判斷出查詢(xún)指令由于在配置策略中涉及“reboot”(重啟)的目標(biāo)服務(wù)器的命令信息而帶有最高級(jí)別的操作權(quán)限標(biāo)識(shí)�。從而在步驟302中,就需要依照最高級(jí)別的操作權(quán)限的標(biāo)準(zhǔn)對(duì)查詢(xún)指令的來(lái)源進(jìn)行相應(yīng)的操作權(quán)限驗(yàn)證����,其中可能涉及到發(fā)送需要提供驗(yàn)證信息的消息、接收驗(yàn)證信息���、訪問(wèn)相應(yīng)的目標(biāo)服務(wù)器以進(jìn)行驗(yàn)證����、在目標(biāo)服務(wù)器返回驗(yàn)證成功時(shí)通過(guò)操作權(quán)限驗(yàn)證、其他情況下不能通過(guò)操作權(quán)限驗(yàn)證等等的具體操作流程���。根據(jù)操作權(quán)限驗(yàn)證的結(jié)果的不同�,可以如步驟301所述的那樣繼續(xù)進(jìn)行解析查詢(xún)指令�����、發(fā)送命令信息等過(guò)程�����,也可以直接拒絕執(zhí)行查詢(xún)指令��,向用戶(hù)返回相應(yīng)的提示信息����。可以看出的是����,上述步驟301至步驟303的操作權(quán)限驗(yàn)證流程的加入,可以使得配置策略中增加涉及操作權(quán)限而具有一定安全風(fēng)險(xiǎn)的命令信息�,擴(kuò)大了本發(fā)明的應(yīng)用范圍��。
[0093]而作為另一種示例�����,上述任意一種提供服務(wù)器信息的查詢(xún)服務(wù)的方法的方案的基礎(chǔ)之上�����,在向每一目標(biāo)服務(wù)器發(fā)送對(duì)應(yīng)的命令信息(步驟103)之前���,可以還包括未予圖示的:
[0094]步驟103a:對(duì)用戶(hù)進(jìn)行操作權(quán)限驗(yàn)證。
[0095]具體來(lái)說(shuō)��,該步驟103a中對(duì)用戶(hù)進(jìn)行的操作權(quán)限驗(yàn)證的結(jié)果可以是表示該用戶(hù)的操作權(quán)限的等級(jí)的標(biāo)識(shí)����,該標(biāo)識(shí)可以包含在命令信息中一并發(fā)送給目標(biāo)服務(wù)器��,以使目標(biāo)服務(wù)器根據(jù)操作權(quán)限的等級(jí)的標(biāo)識(shí)來(lái)選擇是否執(zhí)行命令信息以及執(zhí)行命令信息中的哪些部分�。
[0096]或者,該步驟103a可以執(zhí)行在步驟102之前�,此【具體實(shí)施方式】中的安全策略可以包括:以用戶(hù)未通過(guò)操作權(quán)限驗(yàn)證為應(yīng)用條件,用于濾除命令信息中任何需要操作權(quán)限的命令的過(guò)濾列表;以及���,以用戶(hù)通過(guò)了相應(yīng)等級(jí)的操作權(quán)限驗(yàn)證為應(yīng)用條件���,用于濾除命令信息中任何超過(guò)相應(yīng)等級(jí)的操作權(quán)限的命令的過(guò)濾列表�?��?梢岳斫獾氖?�,此時(shí)步驟102的過(guò)濾過(guò)程進(jìn)一步細(xì)化為依照用戶(hù)的操作權(quán)限驗(yàn)證的結(jié)果來(lái)進(jìn)行:對(duì)于沒(méi)有進(jìn)行驗(yàn)證或者驗(yàn)證未通過(guò)的用戶(hù)���,可以將濾除范圍設(shè)定成所有需要操作權(quán)限的命令;對(duì)于通過(guò)了相應(yīng)等級(jí)的驗(yàn)證的用戶(hù),可以將濾除范圍設(shè)定成所有超過(guò)相應(yīng)等級(jí)的操作權(quán)限的命令�。由此,同樣可以使得配置策略中增加涉及操作權(quán)限而具有一定安全風(fēng)險(xiǎn)的命令信息����,擴(kuò)大應(yīng)用范圍。
[0097]更進(jìn)一步地����,在按照上述任意一種或者多種的方式增加配置策略的內(nèi)容之后,本發(fā)明實(shí)施例的方法可以不僅限于服務(wù)器信息的查詢(xún)�����,而可以進(jìn)一步推廣為與目標(biāo)服務(wù)器有關(guān)的任意操作。
[0098]基于同樣的發(fā)明構(gòu)思�,圖4是本發(fā)明一個(gè)實(shí)施例中一種提供服務(wù)器信息的查詢(xún)服務(wù)的裝置的結(jié)構(gòu)框圖。參見(jiàn)圖4�,該裝置包括:
[0099]獲取單元41,用于獲取作為查詢(xún)目標(biāo)的至少一個(gè)目標(biāo)服務(wù)器的標(biāo)識(shí)��,以及對(duì)應(yīng)于每一所述目標(biāo)服務(wù)器的命令信息�����;
[0100]過(guò)濾單元42�,用于按照預(yù)設(shè)的安全策略過(guò)濾所述獲取單元41得到的對(duì)應(yīng)于每一所述目標(biāo)服務(wù)器的命令信息;
[0101 ]發(fā)送單元43���,用于在所述過(guò)濾單元42完成過(guò)濾之后�,按照所述至少一個(gè)目標(biāo)服務(wù)器的標(biāo)識(shí)向每一所述目標(biāo)服務(wù)器發(fā)送對(duì)應(yīng)的命令信息�,以使目標(biāo)服務(wù)器返回命令信息的執(zhí)行結(jié)果�����;
[0102]接收單元44����,用于接收來(lái)自目標(biāo)服務(wù)器的所述執(zhí)行結(jié)果�。
[0103]需要說(shuō)明的是��,本發(fā)明實(shí)施例的方法可以應(yīng)用于任意一種服務(wù)端上���,所述服務(wù)端具體可以是單個(gè)服務(wù)器設(shè)備�����、服務(wù)器群組�����、服務(wù)器集群�����、云服務(wù)器設(shè)備等等;然而應(yīng)當(dāng)理解的是�����,可以實(shí)現(xiàn)上述步驟流程的任意一種電子設(shè)備均可以實(shí)現(xiàn)本發(fā)明����。
[0104]可以理解的是,該裝置所實(shí)現(xiàn)的功能與圖1所示的方法的步驟流程一一對(duì)應(yīng)�,因此可以具有相對(duì)應(yīng)的結(jié)構(gòu)與功能,在此不再贅述��。
[0105]由上述技術(shù)方案可知�����,本發(fā)明實(shí)施例可以保障安全的前提下在用戶(hù)與目標(biāo)服務(wù)器之間建立服務(wù)器信息的查詢(xún)服務(wù)�。具體來(lái)說(shuō),該查詢(xún)服務(wù)可以通過(guò)安全策略的設(shè)置對(duì)有安全風(fēng)險(xiǎn)的命令進(jìn)行濾除�����,并將沒(méi)有安全風(fēng)險(xiǎn)的命令分發(fā)到各目標(biāo)服務(wù)器來(lái)執(zhí)行��,從而可以在擁有各目標(biāo)服務(wù)器的操作權(quán)限的情況下維護(hù)服務(wù)器的安全����。對(duì)于用戶(hù)來(lái)說(shuō),該查詢(xún)服務(wù)不需要到特定的終端輸入指令也可以方便地獲取到服務(wù)器的信息��。所以����,本發(fā)明實(shí)施例可以解決業(yè)務(wù)人員受到操作權(quán)限的限制而只能在特定的終端上查詢(xún)服務(wù)器信息的問(wèn)題���。
[0106]相對(duì)于現(xiàn)有技術(shù)而言��,本發(fā)明實(shí)施例可以使得用戶(hù)擺脫服務(wù)器的操作權(quán)限對(duì)于服務(wù)器信息的查詢(xún)手段的多方面限制�,而可以隨時(shí)隨地查詢(xún)到所需要的服務(wù)器信息,大大提升了查詢(xún)效率��。而且��,本發(fā)明實(shí)施例可以通過(guò)對(duì)安全策略的設(shè)定�����、維護(hù)和更新來(lái)適應(yīng)各服務(wù)器的安全管理��,具有很高的靈活性�,有利于安全管理成本的降低。
[0107]作為一種安全策略的設(shè)置方式的具體示例��,上述安全策略可以包括下述任意的一項(xiàng)或多項(xiàng)的信息:
[0108]用于濾除命令信息中預(yù)設(shè)的危險(xiǎn)命令的過(guò)濾列表���;
[0109]以用戶(hù)未通過(guò)操作權(quán)限驗(yàn)證為應(yīng)用條件�����,用于濾除命令信息中任何需要操作權(quán)限的命令的過(guò)濾列表����;
[0110]以用戶(hù)通過(guò)了相應(yīng)等級(jí)的操作權(quán)限驗(yàn)證為應(yīng)用條件,用于濾除命令信息中任何超過(guò)相應(yīng)等級(jí)的操作權(quán)限的命令的過(guò)濾列表��;
[0111]以檢測(cè)到用戶(hù)存在任一預(yù)設(shè)風(fēng)險(xiǎn)行為為應(yīng)用條件�����,用于將命令信息限制在預(yù)設(shè)安全命令的范圍內(nèi)的允許列表�����;
[0112]以檢測(cè)到用戶(hù)存在任一預(yù)設(shè)高危行為為應(yīng)用條件��,包括濾除所有命令信息和/或鎖定與該用戶(hù)對(duì)應(yīng)的輸入接口的處理指令���。
[0113]其中��,用于濾除命令信息中預(yù)設(shè)的危險(xiǎn)命令的過(guò)濾列表可以直接將嚴(yán)重?fù)p害目標(biāo)服務(wù)器的內(nèi)容(比如對(duì)應(yīng)于磁盤(pán)格式化的命令)進(jìn)行濾除;與操作權(quán)限驗(yàn)證有關(guān)的兩個(gè)過(guò)濾列表可以在對(duì)用戶(hù)進(jìn)行了操作權(quán)限驗(yàn)證的情況下將命令信息中超出操作權(quán)限的范圍的內(nèi)容進(jìn)行濾除���,從而在擴(kuò)大命令信息范圍的同時(shí)保障目標(biāo)服務(wù)器的安全;上述允許列表可以在檢測(cè)到用戶(hù)存在例如輸入信息的頻率過(guò)快的預(yù)設(shè)風(fēng)險(xiǎn)行為時(shí),將該用戶(hù)可以利用的命令信息限制在安全范圍內(nèi)���,以防止該用戶(hù)的惡意操作;此外�����,上述處理指令可以在檢測(cè)到用戶(hù)存在例如惡意攻擊的預(yù)設(shè)高危行為時(shí)將命令信息全部濾除和/或鎖定與用戶(hù)對(duì)應(yīng)的輸入接口(即拒絕接受該用戶(hù)輸入的信息)�����,以保障運(yùn)行的穩(wěn)定性和目標(biāo)服務(wù)器的安全���。
[0114]作為一種獲取單元的具體結(jié)構(gòu)的示例,上述獲取單元41可以具體包括接收模塊和解析模塊����,其中:接收模塊用于接收來(lái)自用戶(hù)的查詢(xún)指令;解析模塊用于按照預(yù)設(shè)的配置策略解析所述接收模塊得到的查詢(xún)指令,以得到至少一個(gè)目標(biāo)服務(wù)器的標(biāo)識(shí)�、對(duì)應(yīng)于每一所述目標(biāo)服務(wù)器的命令信息,以及對(duì)應(yīng)于每一所述目標(biāo)服務(wù)器的查詢(xún)結(jié)果位置標(biāo)識(shí)�����?���;诖?����,該裝置可以使得用戶(hù)不需要掌握目標(biāo)服務(wù)器的命令規(guī)范一類(lèi)的專(zhuān)業(yè)知識(shí)��,就可以通過(guò)適于用戶(hù)理解的語(yǔ)句來(lái)實(shí)現(xiàn)所需要獲知的服務(wù)器信息的查詢(xún)�。而且����,查詢(xún)指令的形式均是在配置策略中指定的,因此指定范圍之外的輸入信息均無(wú)法被識(shí)別����;由此,可以將命令信息的范圍限制在安全防護(hù)方面可以接受的范圍內(nèi)���。
[0115]而在上述接收模塊和解析模塊的基礎(chǔ)之上��,該裝置可以還包括附圖中未示出的提取單元�,用于在來(lái)自任一目標(biāo)服務(wù)器的執(zhí)行結(jié)果中��,按照對(duì)應(yīng)的查詢(xún)結(jié)果位置標(biāo)識(shí)提取出對(duì)應(yīng)的查詢(xún)結(jié)果信息�����。基于此��,該裝置可以通過(guò)配置策略中與查詢(xún)結(jié)果位置標(biāo)識(shí)對(duì)應(yīng)的信息��,將目標(biāo)服務(wù)器的執(zhí)行結(jié)果提取成適于用戶(hù)查看的形式���。具體來(lái)說(shuō),執(zhí)行結(jié)果中通常包含大量用戶(hù)所不需要了解的信息和一些用戶(hù)出于安全方面的考慮不宜了解的信息��,因此將直接結(jié)果采用適應(yīng)于查詢(xún)指令的方式進(jìn)行截取不僅可以簡(jiǎn)單直接地向用戶(hù)輸出所需要的查詢(xún)結(jié)果�����,還可以避免不必要的信息泄露����。
[0116]進(jìn)一步地,該裝置可以還包括附圖中未示出的生成單元��,用于根據(jù)所述提取單元得到的查詢(xún)結(jié)果信息按照所述預(yù)設(shè)的配置策略生成查詢(xún)結(jié)果報(bào)告����。基于此��,該裝置可以根據(jù)查詢(xún)指令的形式的不同在配置策略中設(shè)置查詢(xún)結(jié)果報(bào)告的模板或其標(biāo)識(shí),例如在上例中可以直接向用戶(hù)輸出“服務(wù)器SI上正在運(yùn)行的進(jìn)程數(shù)為4個(gè);服務(wù)器S2上正在運(yùn)行的