【技术实现步骤摘要】
一种SELinux动态授权的方法及系统
[0001]本申请涉及计算机操作系统安全
,尤其涉及一种SELinux动态授权的方法及系统。
技术介绍
[0002]安全增强型Linux(Security
‑
Enhanced Linux,SELinux)是Linux内核模块,也是Linux的一个安全子系统。SELinux是强制访问控制(Mandatory Access Control,MAC)的一种实现方式,其利用安全策略来强制执行系统所允许的访问。在该访问控制体系的限制下,进程只能访问在它的任务中所需要的资源,允许范围之外的资源将会被系统禁止。
[0003]SELinux规则库以“白名单”方式实现,即要求所有许可的操作都必须显示地由类型强制规则来定义,否则就视为操作被禁止。在部署SELinux策略的操作系统之上,系统软件需要适配SELinux策略才能够正常运行,否则会由于资源访问权限不足而导致运行异常。适配SELinux的过程主要是将主客体关系转化为可用于SELinux规则的语句。在现有技术实现方案中...
【技术保护点】
【技术特征摘要】
1.一种SELinux动态授权的方法,其特征在于,包括:步骤S100、在设备主机上部署客户端,在物理机服务器或虚拟云操作系统上部署服务端;步骤S200、所述客户端收集所述设备主机由于没有访问权限而发生系统拦截行为时产生的拦截信息,对所述拦截信息进行分析、分类、存储和上报;步骤S300、所述服务端接收所述客户端上报的所述拦截信息,管理员根据所述拦截信息决策是否放行拦截,并进行授权配置;步骤S400、所述服务端根据所述授权配置生成策略文件,将所述策略文件下发至所述客户端,并进行时效管控;步骤S500、所述客户端将所述服务端下发的所述策略文件进行编译和安装,并向所述服务端进行反馈;步骤S600、所述服务端根据所述客户端的反馈结果修改服务端存储系统。2.根据权利要求1所述的一种SELinux动态授权的方法,其特征在于,所述对所述拦截信息进行分析、分类、存储和上报包括:步骤S210、从所述拦截信息中筛选类型为SELINUX_ERR的日志信息,得到筛选后的拦截信息;步骤S220、完善筛选后的拦截信息,得到完善后的拦截信息;步骤S230、根据完善后的拦截信息判定得到授权类型;步骤S240、向客户端存储系统写入完善后的拦截信息;步骤S250、将完善后的拦截信息上报到服务端。3.根据权利要求2所述的一种SELinux动态授权的方法,其特征在于,所述完善筛选后的拦截信息包括:将筛选后的拦截信息进行改造,添加完整的主体信息,主体信息呈现方式包括进程识别号、执行文件索引节点编号或执行文件完整路径中的一种或多种的组合。4.根据权利要求2所述的一种SELinux动态授权的方法,其特征在于,所述步骤S230包括:步骤S231、提取完善后的拦截信息中的用户信息、角色信息、主体信息和客体信息;步骤S232、根据提取的信息,判定得到授权类型。5.根据权利要求4所述的一种SELinux动态授权的方法,其特征在于,所述步骤S231还包括:分析拦截原因,包括:分析用户信息,若用户类型为其他类型,则拦截原因为其他用户;分析用户信息、主体信息和客体信息,若用户类型无权访问主体类型或客体类型,则拦截原因为用户无权访问;分析主体信息和客体信息,若主体类型无权访问客体类型,则拦截原因为主体无权访问;所述步骤S232还包括:若拦截原因为其他用户,则不予授权;若拦截原因为用户无权访问,则授权类型为用户角色授权;
若拦截原因为主体无权访问,则授权类型为主体客体授权。6.根据权利要求1所述的...
【专利技术属性】
技术研发人员:冷春莹,吴长昊,田运暖,屈宁,杨诏钧,魏立峰,孔金珠,谌志华,
申请(专利权)人:麒麟软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。