本发明专利技术针对Linux操作系统安全策略配置困难的问题,提出一种基于自学习的Linux安全策略配置方法,以简化系统配置的工作流程。本发明专利技术在SELinux的安全服务器区嵌入策略学习模块;该模块对配置管理员用户提供了一个自动学习开关,使得安全服务器通过判断开关状态来自动生成访问控制策略。开关处于开启状态时,记录LSM拦截的所有主客体之间的访问请求,自动生成相应的访问控制策略,同时放行请求;当开关关闭,策略学习模块将不发挥作用,安全服务器将返回现有的访问控制策略。本发明专利技术自学习模式生成的策略均满足主体最小权限要求,最大可能避免了人工配置出现错误所带来的安全或稳定方面的隐患,进一步提升了系统的安全性。
【技术实现步骤摘要】
本专利技术属于计算机与网络安全
,具体涉及。
技术介绍
随着Linux操作系统的日益普及,其安全性问题也越来越引起人们注意。SELinux是2.6版本的Linux内核中提供的强制访问控制(MAC)系统。访问控制通常由用户预先配置安全策略,或者系统本身提供基于某个模型的安全策略,然后通过引用监控机来实现对系统资源访问请求的仲裁。访问控制的目的在于维护系统的保密性、完整性和可用性。对于目前可用的Linux安全模块来说,SELinux是功能最全面,而且测试最充分的,它是在20年的MAC研究基础上建立的。SELinux在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。通过配置可以实现对权限最小化控制和防止权限升级等。SELinux改进了对内核对象和服务的访问控制,改进了对进程初始化、继承和程序执行的访问控制,改进了对文件系统、目录、文件和打开文件描述的访问控制,还改进了对端口、信息和网络接口的访问控制。SELinux主要应用了两项核心技术,类型加强(TE)和基于角色的访问控制(RBAC)。TE给每个主体(进程)和系统中的客体定义了一个类型,这些类型定义在SELinux的安全策略文件中,以安全标签形式存放在文件本身的扩展属性(extended attributes,简称xattrs)里。默认情况下,主体对客体的操作是不允许的,而由策略定义允许的操作。TE使用主体的域和客体类型的数据都存放在策略文件中。因为Linux操作系统自身的复杂性,以及上层应用的多样性,决定了 SELinux的配置过程异常复杂。并且,SELinux涉及到操作系统底层的方方面面,更加大了配置管理员正确进行安全配置的难度;同时,如何为操作系统中每一个主体分配合理的权限,是配置管理员首先要思考的问题,通常这个过程都遵守最小化权限的原则,即分配给一个主体的权限必须刚好是能够满足该主体的合法访问的要求,超过这个要求会造成潜在的安全隐患,低于这个要求会导致主体不能正常工作。综上所述,为一个全新的业务系统构建一套稳定、安全的SELinux策略,这对每一个配置管理员来说都是一项挑战。
技术实现思路
针对现有技术的不足,本专利技术提供,以简化系统配置的工作流程。本专利技术提供,其改进之处在于,在SeLinux的安全服务器区中嵌入策略学习模块;所述方法包括如下步骤:(I)安装Linux操作系统,并将改进后的SeLinux作为安装项;(2)进入Linux操作系统,开启策略学习模块流程,并开启所述策略学习模块的学习开关;(3)部署应用软件与业务系统;(4)经过一段时间的安全稳定运行,关闭所述策略学习模块的学习开关;(5)手动调整,合并部分自动生成的访问控制策略;(6)经过一段时间的稳定运行,对安全日志进行审计,记录并生成没有正常运行的主体名单及访问的客体名单;(7)手动调整所述自动生成的访问控制策略,为所述没有正常运行的主体名单中的主体添加对应客体的访问权限;(8)安全策略配置结束。其中,步骤(2)所述开启策略学习模块流程包括如下步骤:I)系统启动,策略学习模块从文件中读取策略信息;2)操作系统中主体A对客体B进行访问,策略学习模块通过LSM接口拦截这一访问过程;3)策略学习模块读取主体的安全标示符SIDa和客体的安全标示符SIDb ;判断所述策略学习模块的学习开关状态;4)若所述学习开关为关,则所述策略学习模块未启用,移至步骤8),否则进行步骤5);5)向安全服务器提交策略查询请求,判断是否存在<SIDa,SIDb,通过 > 的策略信息;若策略已经存在,移至步骤8,否则进行步骤6);6)所述策略学习模块生成一条策略<SIDa,SIDb,通过 > 并向安全服务器提交;7)所述策略学习模块将生成的策略保存到策略文件;8)转入Selinux策略处理。其中,步骤8)所述转入Selinux策略处理是指:安全服务器依据更新后的安全策略,对本次主客体的访问进行决策,并将决策结果交由客体管理器;若决策结果为通过,客体管理器放行此次主体A对客体B的访问,若决策结果为拒绝,则终止此次主体A对客体B的访问。其中,步骤(3)所述应用软件与业务系统是由用户决定的,需要受到安全保护进行安全配置的应用软件或业务系统;其中,步骤(4)和步骤(6)所述一段时间是指用户进入所述策略学习模块开始,将其全部功能用完一遍的时间。与现有技术比,本专利技术的有益效果为:1.提供自动学习开关,使配置管理员可以人为的控制安全策略自学习模式的开关。2.为SELinux提供了一种安全策略自学习模式,绝大多数系统相关的安全配置均可由自学习模式生成,这简化了配置管理员的配置工作。3.自学习模式生成的策略均满足主体最小权限要求,最大可能避免了人工配置出现错误(如权限过大或过小)所带来的安全或稳定方面的隐患,进一步提升了系统的安全性。4.本专利技术的系统运行时不会影响到主体的执行。在未应用本方法时,SELinux的“客体管理器”在拦截到主客体访问后会将本次访问的信息提交给“安全服务器”进行决策处理,而本方法只是将自学习模块的工作流程放在“安全服务器”对主客体访问进行决策处理流程之前,这样学习模块才能够有机会自动生成允许本次访问的安全策略,最终达到策略自学习、自动配置的目的;若学习模块是在“安全服务器”进行决策处理之后再生成安全策略,则会影响到应用软件即主体的正常执行。5.本专利技术相比传统的配置方法,一是减轻了安全配置管理员的负担,二是减少人为失误,提高安全配置策略的质量,三是提供开关,自学习的过程可控,提供选择性。附图说明图1为本专利技术提供的改造后的SELinux安全框架图。图2为本专利技术提供的基于自学习的Linux安全策略配置的实现方法的流程图。图3为本专利技术提供的策略学习模块的工作流程图。具体实施例方式下面结合附图对本专利技术的具体实施方式作进一步的详细说明。SELinux的访问控制规则存放在安全策略文件中,策略文件分为二进制和源代码文件,源代码以策略配置语言的形式描述,由配置管理员创建和维护。源代码经策略配置工具编译后生成二进制文件。二进制策略在系统启动过程中被装载到内核空间,形成在内存中的策略库及缓存,并由SELinux安全服务器管理。对于使用了 SELinux的安全操作系统,在引导后,任何主体对客体进行的访问请求均会被LSM (Linux安全模块)的Hook函数拦截,同时,通过安全服务器获取相应的访问策略,并进行决策处理。实现本专利技术所述的自学习安全策略配置技术需要对现有SELinux框架做出少量修改,并在安全服务器区增加策略学习模块。策略学习模块是本方案实现的关键点。该模块对配置管理员用户提供了一个自动学习开关,使得安全服务器通过判断开关状态来自动生成访问控制策略。具体的,本专利技术改造过的SELinux体系框架图如图1所示。在SELinux安全服务器一侧嵌入一个策略学习模块,该模块为配置管理员提供一个自学习开关,并通过开关是否开启来选择是否自动记录操作系统中主体对客体的访问请求,并自动生成相应的访问控制策略。策略学习模块主要完成以下三个功能,主客体访问截获,策略生成以及策略持久化存储。策略学习模块随SELinux模块加载过程中启用,借助SELinux的LSM机制截获操本文档来自技高网...
【技术保护点】
一种基于自学习的Linux安全策略配置方法,其特征在于,在SeLinux的安全服务器区中嵌入策略学习模块;所述方法包括如下步骤:?(1)安装Linux操作系统,并将改进后的SeLinux作为安装项;?(2)进入Linux操作系统,开启策略学习模块流程,并开启所述策略学习模块的学习开关;?(3)部署应用软件与业务系统;?(4)经过一段时间的安全稳定运行,关闭所述策略学习模块的学习开关;?(5)手动调整,合并部分自动生成的访问控制策略;?(6)经过一段时间的稳定运行,对安全日志进行审计,记录并生成没有正常运行的主体名单及访问的客体名单;?(7)手动调整所述自动生成的访问控制策略,为所述没有正常运行的主体名单中的主体添加对应客体的访问权限;?(8)安全策略配置结束。
【技术特征摘要】
1.一种基于自学习的Linux安全策略配置方法,其特征在于,在SeLinux的安全服务器区中嵌入策略学习模块;所述方法包括如下步骤: (1)安装Linux操作系统,并将改进后的SeLinux作为安装项; (2)进入Linux操作系统,开启策略学习模块流程,并开启所述策略学习模块的学习开关; (3)部署应用软件与业务系统; (4)经过一段时间的安全稳定运行,关闭所述策略学习模块的学习开关; (5)手动调整,合并部分自动生成的访问控制策略; (6)经过一段时间的稳定运行,对安全日志进行审计,记录并生成没有正常运行的主体名单及访问的客体名单; (7)手动调整所述自动生成的访问控制策略,为所述没有正常运行的主体名单中的主体添加对应客体的访问权限; (8)安全策略配置结束。2.如权利要求1所述的安全策略配置方法,其特征在于,步骤(2)所述开启策略学习模块流程包括如下步骤: 1)系统启动,策略学习模块从文件中读取策略信息; 2)操作系统中主体A对客体B进行访问,策略学习模块通过LSM接口拦截这一访问过程; 3)策略学习模块读取主体的安全标示符SIDa和客体的安全标示符SIDb;判断所述策略学习模...
【专利技术属性】
技术研发人员:时坚,邓松,张涛,林为民,李伟伟,汪晨,周诚,管小娟,朱其军,蒋静,
申请(专利权)人:中国电力科学研究院,国家电网公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。