本公開(kāi)涉及信息安全，尤其涉及一種selinux安全策略的測(cè)試方法、電子設(shè)備、存儲(chǔ)介質(zhì)和產(chǎn)品。

背景技術(shù)：

1、linux傳統(tǒng)的操作系統(tǒng)權(quán)限訪(fǎng)問(wèn)控制為dac(discretionary?access?control，自主訪(fǎng)問(wèn)控制)模式,即通過(guò)用戶(hù)與組的方式進(jìn)行訪(fǎng)問(wèn)控制，安全增強(qiáng)型linux(security-enhanced?linux)簡(jiǎn)稱(chēng)selinux，是linux的一個(gè)安全子系統(tǒng)，屬于mac(mandatoryaccesscontrol，強(qiáng)制訪(fǎng)問(wèn)控制)模式，其核心思想是以策略配置的方式對(duì)進(jìn)程、文件等系統(tǒng)資源進(jìn)行比dac更加細(xì)粒度的控制，安全級(jí)別也更加高。

技術(shù)實(shí)現(xiàn)思路

1、第一方面，本公開(kāi)實(shí)施例提供了一種selinux安全策略的測(cè)試方法，包括：響應(yīng)于出現(xiàn)程序運(yùn)行異常，獲取程序運(yùn)行異常的時(shí)段內(nèi)selinux基于程序的至少一個(gè)訪(fǎng)問(wèn)請(qǐng)求生成的至少一個(gè)訪(fǎng)問(wèn)拒絕日志；

2、激活臨時(shí)selinux，以使臨時(shí)selinux中的臨時(shí)安全策略基于至少一個(gè)訪(fǎng)問(wèn)拒絕日志進(jìn)行m次更新，m為大于1的整數(shù)；

3、在每一次更新后對(duì)程序進(jìn)行測(cè)試，以使selinux以及臨時(shí)selinux共同處理程序的訪(fǎng)問(wèn)請(qǐng)求，并確定程序的運(yùn)行狀態(tài)；

4、基于每次更新后的臨時(shí)安全策略與運(yùn)行狀態(tài)之間的映射關(guān)系，得到m組映射關(guān)系，其中，m組映射關(guān)系中運(yùn)行狀態(tài)為正常的至少一組映射關(guān)系用于重新配置selinux中的安全策略。

5、第二方面，本公開(kāi)實(shí)施例提供了一種電子設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在存儲(chǔ)器上的計(jì)算機(jī)程序，處理器在執(zhí)行計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)本公開(kāi)實(shí)施例任一項(xiàng)的方法。

6、第三方面，本公開(kāi)實(shí)施例提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)內(nèi)存儲(chǔ)有計(jì)算機(jī)程序，計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)本公開(kāi)實(shí)施例任一項(xiàng)的方法。

7、第四方面，本公開(kāi)實(shí)施例提供了一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序，計(jì)算機(jī)程序在被處理器執(zhí)行時(shí)實(shí)現(xiàn)本公開(kāi)實(shí)施例任一項(xiàng)的方法。

8、上述說(shuō)明僅是本公開(kāi)技術(shù)方案的概述，為了能夠更清楚了解本公開(kāi)的技術(shù)手段，可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施，并且為了讓本公開(kāi)的上述和其他目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本公開(kāi)的具體實(shí)施方式。

技術(shù)特征：

1.一種selinux安全策略的測(cè)試方法，包括：

2.根據(jù)權(quán)利要求1所述的方法，其中，所述臨時(shí)selinux中的臨時(shí)安全策略基于所述至少一個(gè)訪(fǎng)問(wèn)拒絕日志進(jìn)行m次更新，包括：

3.根據(jù)權(quán)利要求2所述的方法，其中，在每一次更新后對(duì)程序進(jìn)行測(cè)試，以使所述selinux以及所述臨時(shí)selinux共同處理程序的訪(fǎng)問(wèn)請(qǐng)求，并確定程序的運(yùn)行狀態(tài)，包括：

4.根據(jù)權(quán)利要求2所述的方法，其中，根據(jù)所述至少一個(gè)訪(fǎng)問(wèn)拒絕日志生成m個(gè)安全策略文件，包括：

5.根據(jù)權(quán)利要求1所述的方法，其中，獲取程序運(yùn)行異常的時(shí)段內(nèi)selinux基于程序的至少一個(gè)訪(fǎng)問(wèn)請(qǐng)求生成的至少一個(gè)訪(fǎng)問(wèn)拒絕日志，包括：

6.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的方法，其中，激活臨時(shí)selinux，包括：

7.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的方法，還包括：

8.根據(jù)權(quán)利要求7所述的方法，其中，在所述至少一種候選安全策略中確定待更新安全策略，包括：

9.一種電子設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在存儲(chǔ)器上的計(jì)算機(jī)程序，n所述處理器在執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)權(quán)利要求1-9中任一項(xiàng)所述的方法。

10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)內(nèi)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1-9中任一項(xiàng)所述的方法。

11.一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序/指令，該計(jì)算機(jī)程序/指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1-9所述方法的步驟。

技術(shù)總結(jié)
本公開(kāi)涉及一種SELinux安全策略的測(cè)試方法、電子設(shè)備、存儲(chǔ)介質(zhì)和產(chǎn)品，涉及信息安全技術(shù)領(lǐng)域。具體實(shí)現(xiàn)方案為：響應(yīng)于出現(xiàn)程序運(yùn)行異常，獲取程序運(yùn)行異常的時(shí)段內(nèi)SELinux基于程序的至少一個(gè)訪(fǎng)問(wèn)請(qǐng)求生成的至少一個(gè)訪(fǎng)問(wèn)拒絕日志；激活臨時(shí)SELinux，以使臨時(shí)SELinux中的臨時(shí)安全策略基于至少一個(gè)訪(fǎng)問(wèn)拒絕日志進(jìn)行M次更新；在每一次更新后對(duì)程序進(jìn)行測(cè)試，以使SELinux以及臨時(shí)SELinux共同處理程序的訪(fǎng)問(wèn)請(qǐng)求，并確定程序的運(yùn)行狀態(tài)；基于每次更新后的臨時(shí)安全策略與運(yùn)行狀態(tài)之間的映射關(guān)系，得到M組映射關(guān)系?？梢暂o助定位導(dǎo)致程序運(yùn)行異常的問(wèn)題，降低了開(kāi)發(fā)人員調(diào)試Linux安全策略的技術(shù)門(mén)檻，節(jié)省了測(cè)試驗(yàn)證問(wèn)題所耗費(fèi)的時(shí)間。

技術(shù)研發(fā)人員：黃超華
受保護(hù)的技術(shù)使用者：武漢星紀(jì)魅族科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/17