本发明专利技术公开了一种SELinux安全策略的配置方法、装置、设备及计算机可读存储介质,该方法包括:获取SELinux安全策略通用模板和目标软件对应的软件安全策略配置文件;根据软件安全策略配置文件,对SELinux安全策略通用模板进行调整,生成目标安全策略文件;在安装目标软件的过程中,安装目标安全策略文件;本发明专利技术通过SELinux安全策略通用模板的开发,能够通过软件接口对该模板进行针对性的修改,形成适用于目标软件的SELinux安全策略,降低了安全策略开发的难度;并且能够在进行目标软件安装时,将安全策略同时安装进去,从而能够通过SELinux安全策略对软件进行了访问控制,提高了软件运行过程的安全性。了软件运行过程的安全性。了软件运行过程的安全性。
【技术实现步骤摘要】
一种SELinux安全策略的配置方法、装置及设备
[0001]本专利技术涉及软件开发
,特别涉及一种SELinux安全策略的配置方法、装置、设备及计算机可读存储介质。
技术介绍
[0002]访问控制是一种重要的安全技术,它明确的定义和限制了信息系统用户能够对资源执行的访问操作,可以有效的提供对信息资源的机密性和完整性保护。但在实际应用中开发的软件大都没有编写对应的安全策略进行行之有效的访问控制;这导致权限传播可控性差,且难以确定用户对哪些资源具有访问权限,从而容易导致信息泄露和其他的安全问题,很难满足高安全等级的要求。
[0003]SELinux是一种基于域
‑
类型模型的强制访问控制系统,通过对进程和文件资源采用强制访问控制方式提供安全性的改进。它可以使每个进行都有自己的运行区域,可赋予最小的访问权限。所以在软件开发中集成SELinux进行访问控制是非常有必要的,它能够有效的解决存在的安全问题;但SELinux安全策略的开发具有一定难度,它需要对SELinux具有一定程度的了解。
[0004]因此,如何能够便捷地开发配置SELinux安全策略,从而有效地将SELinux安全策略嵌入到开发软件,提高开发软件的安全性,是现今急需解决的问题。
技术实现思路
[0005]本专利技术的目的是提供一种SELinux安全策略的配置方法、装置、设备及计算机可读存储介质,以提升SELinux安全策略的开发配置的便捷性,从而有效地将SELinux安全策略嵌入到开发软件,提高开发软件的安全性。
[0006]为解决上述技术问题,本专利技术提供一种SELinux安全策略的配置方法,包括:
[0007]获取SELinux安全策略通用模板和目标软件对应的软件安全策略配置文件;其中,所述软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执行权限信息和软件安全上下文信息中的至少一项;
[0008]根据所述软件安全策略配置文件,对所述SELinux安全策略通用模板进行调整,生成目标安全策略文件;
[0009]在安装所述目标软件的过程中,安装所述目标安全策略文件。
[0010]可选的,所述软件安全策略配置文件包括所述规则名称信息、所述规则版本号信息、所述软件执行权限信息和所述软件安全上下文信息时,所述根据所述软件安全策略配置文件,对所述SELinux安全策略通用模板进行调整,生成目标安全策略文件,包括:
[0011]创建以所述规则名称信息为名称的初始安全策略文件,并将所述SELinux安全策略通用模板中的内容拷贝到所述初始安全策略文件中;
[0012]遍历所述初始安全策略文件,将所述初始安全策略文件中的规则名称内容修改为所述规则名称信息;
[0013]将所述初始安全策略文件中的规则版本号内容修改为所述规则版本号信息;
[0014]根据所述软件执行权限信息,修改所述初始安全策略文件中的权限配置;
[0015]根据所述软件安全上下文信息,调整所述初始安全策略文件中的软件安全上下文配置;
[0016]将所述初始安全策略文件确定为所述目标安全策略文件。
[0017]可选的,所述根据所述软件执行权限信息,修改所述初始安全策略文件中的权限配置,包括:
[0018]遍历所述初始安全策略文件中的规则主文件,根据所述软件执行权限信息,修改所述规则主文件中所述软件执行权限信息对应的权限配置。
[0019]可选的,所述根据所述软件安全上下文信息,调整所述初始安全策略文件中的软件安全上下文配置,包括:
[0020]遍历所述软件安全上下文信息;
[0021]若所述初始安全策略文件中的上下文定义文件中存在所述软件安全上下文信息中的目录信息,则根据所述软件安全上下文信息中所述目录信息对应的安全上下文信息和安全等级信息,修改所述上下文字段内容中所述目录信息对应的安全上下文配置和安全等级配置;
[0022]若所述上下文定义文件中不存在所述目录信息,则在所述上下文定义文件中加入预设上下文信息。
[0023]可选的,所述将所述初始安全策略文件确定为所述目标安全策略文件之前,还包括:
[0024]根据预设软件特性信息,判断是否需要对所述初始安全策略文件进行修改;
[0025]若是,则根据所述预设软件特性信息,对所述初始安全策略文件进行修改,并对修改后的初始安全策略文件进行编译安装验证,并将编译安装验证成功的初始安全策略文件确定为所述目标安全策略文件;
[0026]若否,则执行所述将所述初始安全策略文件确定为所述目标安全策略文件的步骤。
[0027]可选的,所述SELinux安全策略通用模板包括规则主文件、规则接口文件和上下文定义文件,所述规则主文件具体为.te文件,所述规则接口文件具体为.if文件,所述上下文定义文件具体为.fc文件。
[0028]可选的,所述在安装所述目标软件的过程中,安装所述目标安全策略文件,包括:
[0029]在安装所述目标软件的过程中,判断SELinux是否开启;
[0030]若SELinux未开启,则继续安装所述目标软件;
[0031]若SELinux已开启,则判断是否需要安装所述目标安全策略文件;
[0032]若需要安装所述目标安全策略文件,则在安装所述目标软件的过程中,安装所述目标安全策略文件;
[0033]若不需要安装所述目标安全策略文件,则继续安装所述目标软件。
[0034]本专利技术还提供了一种SELinux安全策略的配置装置,包括:
[0035]获取模块,用于获取SELinux安全策略通用模板和目标软件对应的软件安全策略配置文件;其中,所述软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执
行权限信息和软件安全上下文信息中的至少一项;
[0036]生成模块,用于根据所述软件安全策略配置文件,对所述SELinux安全策略通用模板进行调整,生成目标安全策略文件;
[0037]安装模块,用于在安装所述目标软件的过程中,安装所述目标安全策略文件。
[0038]本专利技术还提供了一种SELinux安全策略的配置设备,包括:
[0039]存储器,用于存储计算机程序;
[0040]处理器,用于执行所述计算机程序时实现如上述所述的SELinux安全策略的配置方法的步骤。
[0041]此外,本专利技术还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的SELinux安全策略的配置方法的步骤。
[0042]本专利技术所提供的一种SELinux安全策略的配置方法,包括:获取SELinux安全策略通用模板和目标软件对应的软件安全策略配置文件;其中,软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执行权限信息和软件安全上下文信息中的至少一项;根据软件安全策略配置文件,对SELinux安全策略通用本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种SELinux安全策略的配置方法,其特征在于,包括:获取SELinux安全策略通用模板和目标软件对应的软件安全策略配置文件;其中,所述软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执行权限信息和软件安全上下文信息中的至少一项;根据所述软件安全策略配置文件,对所述SELinux安全策略通用模板进行调整,生成目标安全策略文件;在安装所述目标软件的过程中,安装所述目标安全策略文件。2.根据权利要求1所述的SELinux安全策略的配置方法,其特征在于,所述软件安全策略配置文件包括所述规则名称信息、所述规则版本号信息、所述软件执行权限信息和所述软件安全上下文信息时,所述根据所述软件安全策略配置文件,对所述SELinux安全策略通用模板进行调整,生成目标安全策略文件,包括:创建以所述规则名称信息为名称的初始安全策略文件,并将所述SELinux安全策略通用模板中的内容拷贝到所述初始安全策略文件中;遍历所述初始安全策略文件,将所述初始安全策略文件中的规则名称内容修改为所述规则名称信息;将所述初始安全策略文件中的规则版本号内容修改为所述规则版本号信息;根据所述软件执行权限信息,修改所述初始安全策略文件中的权限配置;根据所述软件安全上下文信息,调整所述初始安全策略文件中的软件安全上下文配置;将所述初始安全策略文件确定为所述目标安全策略文件。3.根据权利要求2所述的SELinux安全策略的配置方法,其特征在于,所述根据所述软件执行权限信息,修改所述初始安全策略文件中的权限配置,包括:遍历所述初始安全策略文件中的规则主文件,根据所述软件执行权限信息,修改所述规则主文件中所述软件执行权限信息对应的权限配置。4.根据权利要求2所述的SELinux安全策略的配置方法,其特征在于,所述根据所述软件安全上下文信息,调整所述初始安全策略文件中的软件安全上下文配置,包括:遍历所述软件安全上下文信息;若所述初始安全策略文件中的上下文定义文件中存在所述软件安全上下文信息中的目录信息,则根据所述软件安全上下文信息中所述目录信息对应的安全上下文信息和安全等级信息,修改所述上下文字段内容中所述目录信息对应的安全上下文配置和安全等级配置;若所述上下文定义文件中不存在所述目录信息,则在所述上下文定义文件中加入预设上下文信息。5.根据权利要求2所述的SELinux安...
【专利技术属性】
技术研发人员:闫利华,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。