Python在可信云认证测试中应用.docVIP

Python在可信云认证测试中应用 　　摘 要 　　可信云评估是国内首个获得市场高度认可的云计算标准和评估方法，得到业界的广泛认可。在可信云技术测试过程中，测试工程师需克服云环境的复杂多变和部分测试操作枯燥重复耗时长等困难，完成云主机配置检测和Web/主机渗透测试。为此，本文提出了使用python编程，可以克服上述困难，高效灵活地完成测试内容。 　　【关键词】可信云认证 python 配置检测 渗透测试 　　1 可信云评估体系 　　可信云评估自建立以来，已经过了4年的发展建设，其目的是为了提高云计算服务质量，规范云计算市场秩序，促进云计算产业进一步发展。可信云标准体系主要包括可信云服务、专项评估标准、云保险相关评估标准、开源解决方案四大部分内容。 　　第一类为可信云服务类，包括IaaS/PaaS评估标准、桌面云评估标准等6个标准。其中IaaS/PaaS评估标准包含了云主机服务、对象存储服务等9个服务的评估，以云主机服务为例，评估标准共包含数据存储的持久性、服务可用性、网络接入性能等一共86个指标项。第二类为专项评估类，第三类为云保险相关，第四类为开源解决方案。本文重点对《云服务安全测评方法第1部分：云主机》的内容进行讨论。 　　2 可信云认证技术测试 　　可信云服务安全认证测评作为培育和规范市场的手段，是适合所有云服务和用户的认证测评，从云服务用户的角度重点针对云服务的安全状况进行测评。可信云服务安全认证测评包括两方面： 　　（1）从技术角度测试云服务本身的安全状况； 　　（2）从管理角度评估云服务运营/管理组织的安全管理状况。 　　本论文重点讨论技术测试部分，以云主机测试为例，测试对向用户交付的云主机从双因子认证、端口扫描测试、SQL注入测试、XSS跨站攻击测试等测试域进行技术测试，一共包含34个测试项。 　　对测试内容进行分析发现，测试内容可分为三大类：第一类为检测主机配置项的，检测主机配置文件是否有相关配置项或者配置项的值是否符合要求，一共有10项，占全部测试内容的29.4%；第二类为人工操作测试，通过人工操作和判断是否符合要求，一共有12项，占全部测试内容的35.3%；第三类为渗透测试，一共有12项，占比同样是35.3%。 　　本论文提出通过编程手段实现自动化测评，完成技术测试中耗时重复、测试环境复杂多变的工作，达到灵活快速适应测试环境，提高工作效率的目标。其中，第一类检测主机配置项工作，比较简单重复，完全可以通过脚本编程实现自动化检测；第二类人工操作判断测试，大部分需要人工判断，难于通过编程完成；第三类Web/主机渗透测试，可以通过开发程序，灵活快速地完成测试内容。 　　3 python在测试中的应用 　　3.1 配置检测 　　在可信云认证测试用例中，第一类测试为检测主机配置项的，其中又可分为检测文件权限和检测文件内容这两种。本论文将针对这两种检测列举典型用例进行python的代码实现。 　　3.1.1 检测文件权限 　　对于重要的系统配置文件和存储敏感信息的文件，出于安全的考虑，应当限制其文件的读写和执行权限。以《可信云安全测试用例v2.0》中的“1.7账号文件保护测试用例”为例子，测试内容为关键账号密码文件权限最小限制，要求/etc/passwd、/etc/shadow、/etc/group的文件权限分别是644、400、644. 　　代码实现的第一步是检测文件权限，第二步是判断权限是否符合要求。 　　第一步的实现代码如下： 　　legalpass = 644 #合法的文件权限 　　passwd = oct（os.stat（/etc/passwd）.st_mode）[4：] 　　#检测文件权限，返回一个字符串值 　　if passwd == legalpass： 　　#判断文件权限是否符合用例要求 　　运行程序，结果如图1所示。程序检测了文件的权限，并判断权限是否符合要求。 　　3.1.2 检测配置文件内容 　　Linux系统通过各种配置文件对系统进行管理，因此检测配置文件里的内容是系统管理员的必修课。以《可信云安全测试用例v2.0》中的“1.6 口令历史有效次数测试用例”为例子，应配置操作系统用户不能重复使用最近已使用过的口令，要求/etc/pam.d/system-auth文件中的内容必须包含remember，且值为5，即remember=5. 　　代码实现的第一步是读取指定的文件内容；第二步是查找相?P配置；第三步是判断配置是否符合要求。 　　fp= open（/etc/pam.d/common-password，r+） 　　#打开指定的配置文件 　　s = fp.read（） 　　fp.seek（0， 0） 　　#从文件头开始读取全部信