[发明专利]一种SELinux策略智能生成方法，工具及存储介质

说明书

本发明提供一种SELinux策略智能生成方法，工具及存储介质，该工具可以根据系统日志信息里的告警，智能地进行学习，然后生成SELinux策略，具体是通过将系统运行过程中所产生的日志信息作为输入源，提取SELinux告警，并将所有SELinux告警存储为文本文件A，使用auditallow命令将所述SELinux告警转化为SELinux策略，并使用checkpolicy命令检查所述SELinux策略是否违反了neverallow规则，将违反neverallow规则的SELinux策略和该neverallow规则统一存储在文本文件B中，再从所述SELinux告警中提取出该待测SELinux策略的SELinux告警，将该SELinux告警关联到对应的neverallow规则中，生成新的SELinux策略，并再次检验，直至所有SELinux策略不违反对应的neverallow规则。

技术领域

本发明涉及信息通讯技术领域，尤其是涉及一种SELinux策略智能生成方法，工具及存储介质。

背景技术

在运行SELinux且SELinux处于enforcing模式的系统中，当主体访问客体时，SELinux会对该操作做权限检查。如果没有为该操作配置SELinux策略，则将不允许该操作执行，反之，则允许。为了保障系统的正常运行，软件开发人员会根据日志信息中的SELinux告警手动为每个主体配置必要的SELinux策略。这种方法存在很大的弊端，系统的主体繁多且复杂，为每一个主体手工配置权限需要大量的重复时间，而且该方法容易导致SELinux策略遗漏、重复等问题。配置SELinux策略，需要软件开发人员需要相关的知识储备，增加了学习成本。

发明内容

针对上述技术问题，本发明提出一种SELinux策略智能生成方法，工具及存储介质， 其中，所述方法包括以下步骤：

S1：将系统运行过程中所产生的日志信息作为输入源；

S2：提取SELinux告警，并将所有SELinux告警存储为文本文件A；

S3：使用auditallow命令将所述SELinux告警转化为SELinux策略；

S4：使用checkpolicy命令检查所述SELinux策略是否违反了neverallow规则，若违反，则将违反neverallow规则的SELinux策略和对应的neverallow规则统一存储在文本文件B中；若不违反，转S6；

S5：从文本文件B中取出一条待测SELinux策略和对应的neverallow规则，并从所述SELinux告警中提取出该待测SELinux策略的SELinux告警，将该SELinux告警关联到对应的neverallow规则中，生成新的SELinux策略，再次使用checkpolicy命令检查所述新的SELinux策略，直至不违反对应的neverallow规则后转S6；否则，将该待测SELinux策略的SELinux告警存入文本文件C中；

S6：按主体的名字生成后缀为te的第一文件。

进一步的，定义所述SELinux告警的告警内容为：comm为主体；scontext为主体安全上下文；name为客体；tcontext为客体安全上下文；tclass访问类别；{}里表示所需要的权限。

进一步的，所述S5还包括如下：

S51：提取出所述SELinux告警中的scontext，并关联到对应的neverallow规则中的主体部分的attribute属性，再进行checkpolicy命令检查，若违反neverallow规则，转S52；

S52：提取出所述SELinux告警中的tcontext，并关联到对应的neverallow规则中的客体部分的attribute属性，再进行checkpolicy命令检查，若违反neverallow规则，转S53；