本发明专利技术公开了一种基于SELinux的防护检测方法、装置及终端设备。该方法包括:当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;使所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签后,重新执行上述操作。该方法能够自动检测配置的所有SELinux策略,以避免安全漏洞的出现。
【技术实现步骤摘要】
本专利技术涉及终端设备安全
,具体而言,涉及一种基于SELinux的防护检测方法、装置及终端设备。
技术介绍
SELinux(Security-Enhanced Linux,安全增强Linux)是一种美国国家安全局(NSA)制定的对于强制访问控制(MAC)的实现方法,是Linux操作系统中新的安全子系统。当终端设备加载了SELinux安全子系统后,能够极大地提高其操作系统的安全等级。SELinux策略是SELinux安全子系统实现强制访问控制的重要组成部分。在SELinux策略中包含了整个操作系统中主体对客体的访问控制。SELinux策略配置的合理性和严密性直接关系到终端设备操作系统的安全性能。如果SELinux策略存在漏洞或者配置错误,将对终端设备操作系统造成极大威胁。目前,主要是由测试人员通过策略审阅及手工测试的方式来检测SELinux策略配置的是否符合预期及是否存在漏洞。但这两种方式不仅费时费力,也不能完全检测到SELinux策略配置中的所有漏洞。在所述
技术介绍
部分公开的上述信息仅用于加强对本专利技术的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
有鉴于此,本专利技术提供一种基于SELinux的防护检测方法、装置及终端设备,能够自动检测配置的所有SELinux策略,以避免安全漏洞的出现。本专利技术的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本专利技术的实践而习得。根据本专利技术的一方面,提供了一种基于SELinux的防护检测方法,包括:a)当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;b)使所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;c)当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;d)当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签;e)再次执行步骤b)和c)。根据本专利技术的一实施方式,当所述测试进程为多个时,在步骤a)中,按照预先设置好的顺序为所述多个测试进程分别选择一个主体标签,并将所述多个测试进程分别设置为选定的所述主体标签;在步骤b)中,使所述多个测试进程同时遍历访问所有预设的客体对象,并相应存储所述多个测试进程对每个客体对象的访问结果。根据本专利技术的一实施方式,步骤b)还包括:当所述客体对象的其中之一被所述多个测试进程的其中之一访问时,设置该客体对象为锁定状态。根据本专利技术的一实施方式,在步骤b)中,存储所述测试进程对每个所述客体对象的访问结果至数据库和/或文件中。根据本专利技术的一实施方式,在步骤b)和d)中,通过SELinux中的chocn指令将所述测试进程设置为当前选定的所述主体标签。根据本专利技术的另一方面,提供了一种基于SELinux的防护检测装置,包括:主体标签选择模块,用于当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;访问及存储模块,用于使设置为当前选定的所述主体标签的所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;以及设备重启模块,用于当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;其中所述主体标签选择模块还用于当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签。根据本专利技术的一实施方式,当所述测试进程为多个时,所述主体标签选择模块还用于按照预先设置好的顺序为所述多个测试进程分别选择一个主体标签,并将所述多个测试进程分别设置为选定的所述主体标签;所述访问及存储模块还用于使所述多个测试进程同时遍历访问所有预设的客体对象,并相应存储所述多个测试进程对每个客体对象的访问结果。根据本专利技术的一实施方式,所述访问及存储模块包括:客体对象锁定子模块,用于当所述客体对象的其中之一被所述多个测试进程的其中之一访问时,设置该客体对象为锁定状态。根据本专利技术的一实施方式,所述访问及存储模块还用于存储所述测试进程对每个所述客体对象的访问结果至数据库和/或文件中。根据本专利技术的一实施方式,所述主体标签选择模块还用于通过SELinux中的chocn指令将所述测试进程设置为当前选定的所述主体标签。根据本专利技术的再一方面,提供了一种终端设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中所述处理器配置为经由执行所述可执行指令来执行以下操作:a)当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;b)使所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;c)当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;d)当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签;e)再次执行步骤b)和c)。根据本专利技术的基于SELinux的防护检测方法,通过为测试进程设置不同的主体标签,使其遍历访问预先设定的客体对象,并对访问结果进行记录。该自动检测功能有利于测试人员检验SELinux策略配置是否完善,是否存在漏洞和风险,以避免其中的风险被黑客利用;此外,还有利于策略开发人员快速定位策略配置中的问题,从而编写更完善的SELinux策略。应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本专利技术。附图说明通过参照附图详细描述其示例实施例,本专利技术的上述和其它目标、特征及优点将变得更加显而易见。图1是根据一示例性实施方式示出的一种基于SELinux的防护检测方法的流程图。图2是根据一示例性实施方式示出的另一种基于SELinux的防护检测方法的流程图。图3是根据一示例性实施方式示出的一种基于SELinux的防护检测装置的框图。图4是根据一示例性实施方式示出的另一种基于SELinux的防护检测装置的框图。具体实施方式现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本专利技术将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。附图仅为本专利技术的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本专利技术的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本专利技术的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知结构、方法、装置、实现或者操作以避免喧宾夺主而使得本专利技术的各方面变得模糊。SELinux是一套基于标签(Label)的安全系统。在SE本文档来自技高网...
【技术保护点】
一种基于SELinux的防护检测方法,其特征在于,包括:a)当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;b)使所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;c)当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;d)当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签;e)再次执行步骤b)和c)。
【技术特征摘要】
1.一种基于SELinux的防护检测方法,其特征在于,包括:a)当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;b)使所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;c)当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;d)当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签;e)再次执行步骤b)和c)。2.根据权利要求1所述的方法,其特征在于,当所述测试进程为多个时,在步骤a)中,按照预先设置好的顺序为所述多个测试进程分别选择一个主体标签,并将所述多个测试进程分别设置为选定的所述主体标签;在步骤b)中,使所述多个测试进程同时遍历访问所有预设的客体对象,并相应存储所述多个测试进程对每个客体对象的访问结果。3.根据权利要求2所述的方法,其特征在于,步骤b)还包括:当所述客体对象的其中之一被所述多个测试进程的其中之一访问时,设置该客体对象为锁定状态。4.根据权利要求1-3任一项所述的方法,其特征在于,在步骤b)中,存储所述测试进程对每个所述客体对象的访问结果至数据库和/或文件中。5.根据权利要求1-3任一项所述的方法,其特征在于,在步骤b)和d)中,通过SELinux中的chocn指令将所述测试进程设置为当前选定的所述主体标签。6.一种基于SELinux的防护检测装置,其特征在于,包括:主体标签选择模块,用于当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;访问及存储模块,用于使设置为当前选定的所述主体标签的所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;以及设备重启模块,用于当所述测试进程遍历访问完所有...
【专利技术属性】
技术研发人员:兰书俊,
申请(专利权)人:北京元心科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。