CN112463203A - 一种SELinux的管理配置方法、系统、设备以及介质 - Google Patents
一种SELinux的管理配置方法、系统、设备以及介质 Download PDFInfo
- Publication number
- CN112463203A CN112463203A CN202011177609.8A CN202011177609A CN112463203A CN 112463203 A CN112463203 A CN 112463203A CN 202011177609 A CN202011177609 A CN 202011177609A CN 112463203 A CN112463203 A CN 112463203A
- Authority
- CN
- China
- Prior art keywords
- management
- configuration
- selinux
- parameter
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000004590 computer program Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 8
- 238000007726 management method Methods 0.000 description 108
- 230000006870 function Effects 0.000 description 38
- 238000010586 diagram Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009469 supplementation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种SELinux的管理配置方法,包括以下步骤:在服务器上部署用于配置和管理SELinux的客户端;响应于所述客户端接收到调用对所述SELinux进行管理和/或配置的命令行的请求,根据待调用的所述命令行中的标志参数确定待执行的管理和/或配置的类型并获取所述待调用的命令行中的管理参数和/或配置参数;根据所述待执行的管理和/或配置的类型以及的管理参数和/或配置参数对所述SELinux进行管理和/或配置。本发明还公开了一种系统、计算机设备以及可读存储介质。本发明提出的方案能够通过部署在服务器上的客户端对SELinux进行管理和/或配置,其中,服务器既可以是物理机也可以用于虚拟机云操作系统。
Description
技术领域
本发明涉及SELinux领域,具体涉及一种SELinux的管理配置方法、系统、设备以及存储介质。
背景技术
目前,为缓解操作系统漏洞带来的危害,在Linux操作系统层面使用的安全工具主要包括SELinux、AppArmor等,而SELinux是功能最强,细度最细的一个安全工具。
安全增强型Linux(Security-Enhanced Linux)简称SELinux,它是一个Linux内核模块,也是Linux的一个安全子系统。SELinux主要由美国国家安全局开发。2.6及以上版本的Linux内核都已经集成了SELinux模块。SELinux的结构及配置非常复杂,很多Linux系统管理员嫌麻烦都把SELinux关闭了。如果可以熟练掌握SELinux并正确运用,整个系统基本上可以到达"坚不可摧"的地步了。SELinux的配置和部署工作如此复杂,一方面是SELinux策略包括主体、客体、操作三部分,生成编译确实很复杂,另一方面也是SELinux功能复杂繁多,要想合理运行,需要花费大量时间和精力。
因此,急需一种能够简化SELinux的使用和配置的方法,这样即能够使操作系统更加安全,也方便了Linux系统管理员的配置工作。
发明内容
有鉴于此,为了克服上述问题的至少一个方面,本发明实施例提出一种SELinux的管理配置方法,包括以下步骤:
在服务器上部署用于配置和管理SELinux的客户端;
响应于所述客户端接收到调用对所述SELinux进行管理和/或配置的命令行的请求,根据待调用的所述命令行中的标志参数确定待执行的管理和/或配置的类型并获取所述待调用的命令行中的管理参数和/或配置参数;
根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置。
在一些实施例中,根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为安全设置类型,解析所述待调用的命令行中的管理参数和/或配置参数,以根据解析结果对所述SELinux进行管理和/或配置。
在一些实施例中,根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为策略文件生成类型,获取预先设置的策略文件模板;
将所述待调用的命令行中的管理参数和/或配置参数添加到所述策略文件模板中以得到策略文件。
在一些实施例中,根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为策略检查类型,根据所述待调用的命令行中的管理参数和/或配置参数确定待检查的策略文件的路径信息;
根据所述路径信息获取到所述待检查的策略文件并调用检查命令对待检查的策略文件进行检查。
在一些实施例中,根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为对文件进行安全标记设置类型,根据所述待调用的命令行中的管理参数和/或配置参数对用户进行限制。
在一些实施例中,还包括:
通过管理平台接收对所述SELinux进行管理和/或配置的请求,根据所述管理和/或配置的请求向所述客户端发送调用对应的命令行的请求。
在一些实施例中,还包括:
通过所述管理平台对多个服务器的所述客户端进行管理。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种SELinux的管理配置系统,包括:
部署模块,所述部署模块配置为在服务器上部署用于配置和管理SELinux的客户端;
接收模块,所述接收模块配置为响应于所述客户端接收到调用对所述SELinux进行管理和/或配置的命令行的请求,根据待调用的所述命令行中的标志参数确定待执行的管理和/或配置的类型并获取所述待调用的命令行中的管理参数和/或配置参数;
执行模块,所述执行模块配置为根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如上所述的任一种SELinux的管理配置方法的步骤。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时执行如上所述的任一种SELinux的管理配置方法的步骤。
本发明具有以下有益技术效果之一:本发明提出的方案能够通过部署在服务器上的客户端对SELinux进行管理和/或配置,其中,服务器既可以是物理机也可以用于虚拟机云操作系统。客户端主要用于服务器上面SELinux的实际管理功能,可以包括SELinux安全功能的设置、SELinux策略生成编译检查、SELinux策略模块加载、卸载到内核等内容。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明的实施例提供的SELinux的管理配置方法的流程示意图;
图2为本发明的实施例提供的管理平台的结构示意图;
图3为本发明的实施例提供的管理端用户与服务器的对应图;
图4为本发明的实施例提供的SELinux的管理配置系统的结构示意图;
图5为本发明的实施例提供的计算机设备的结构示意图;
图6为本发明的实施例提供的计算机可读存储介质的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
根据本发明的一个方面,本发明的实施例提出一种SELinux的管理配置方法,如图1所示,其可以包括步骤:
S1,在服务器上部署用于配置和管理SELinux的客户端;
S2,响应于所述客户端接收到调用对所述SELinux进行管理和/或配置的命令行的请求,根据待调用的所述命令行中的标志参数确定待执行的管理和/或配置的类型并获取所述待调用的命令行中的管理参数和/或配置参数;
S3,根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置。
本发明提出的方案能够通过部署在服务器上的客户端对SELinux进行管理和/或配置,其中,服务器既可以是物理机也可以用于虚拟机云操作系统。客户端主要用于服务器上面SELinux的实际管理功能,可以包括SELinux安全功能的设置、SELinux策略生成编译检查、SELinux策略模块加载、卸载到内核等内容。
在本发明的实施例中,客户端(sensitivelabel)是一个二进制可执行程序,部署在需要进行SELinux配置和管理的主机上,用于对SELinux进行配置和管理。
在一些实施例中,根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为安全设置类型,解析所述待调用的命令行中的管理参数和/或配置参数,以根据解析结果对所述SELinux进行管理和/或配置。
具体的,通过客户端可以对SELinux的安全设置进行管理配置,例如状态设置、重启、加载模块到内核以及卸载内核模块等。例如,客户端sensitivelabel可以通过修改SELinux的配置文件/etc/selinux/config文件,将SELinux的状态设置为enforcing、permissive、disabled三种状态。在一些实施例中。状态修改对应的命令行可以是:sensitivelabel securitysetting status rebootflag。其中:sensitivelabel为二进制可执行文件;securitysetting为安全设置标志;status为要设置的SELinux的状态,值可以为disable、permissive、enforcing三个参数中的一个。在设置SELinux状态之前,客户端sensitivelabel在SELinux配置文件/etc/selinux/config文件首先查看配置项TIMES的值,TIMES标记客户端sensitivelabel修改SELinux配置文件的次数,当TIMES配置项的值为1或配置文件中没有TIMES配置项时,表明客户端sensitivelabel是之前未对SELinux配置文件进行过修改,此时,客户端sensitivelabel修改SELinux的状态时,只允许修改为permissive或disable,不允许修改状态为enforcing,避免因配置或操作不当,引起操作系统重启失败;执行完一次sensitivelabel securitysetting操作之后,修改TIMES配置项的值为2。当TIMES配置项的值为2时,表明客户端sensitivelabel已经对SELinux的配置文件进行过至少一次修改,客户端sensitivelabel可以修改SELinux的状态为三种中的任意一种状态。rebootflag为是否立即重启标志,0为不立即重启,1立即重启,标志为1时,修改为配置文件后,立刻调用reboot命令重启操作系统,使配置生效。
除了设置SELinux的状态外,客户端sensitivelabel还可以执行其他安全设置操作,如加载模块到内核,命令行参数为:sensitivelabel securitysetting install/uninstall infomodule,其中sensitivelabel securitysetting同上;install为加载模块到内核的标志,uninstall为卸载内核模块的标志,加载与卸载标志互斥;infomodule为待加载的策略模块;当客户端sensitivelabel接收到install或uninstall标志后,校验infomodule信息的正确性,查看模块文件是否存在,如果校验正确,则调用semodule命令进行内核模块的加载与卸载。
在一些实施例中,根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为策略文件生成类型,获取预先设置的策略文件模板;
将所述待调用的命令行中的管理参数和/或配置参数添加到所述策略文件模板中以得到策略文件。
具体的,SELinux的策略是SELinux中最复杂的部分。当需要新增SELinux策略文件时,可以使用客户端sensitivelabel提供新增安全策略的功能。客户端sensitivelabel提供生成SELinux策略文件和上下文文件功能。命令行可以为:sensitivelabelgeneratepolicy。其中:sensitivelabel为二进制可执行文件;generatepolicy为生成策略文件标志;执行sensitivelabel generatepolicy命令之后,程序可以进入交互模式,根据用户输入完成SELinux策略文件和/或上下文文件各个参数的补充,包括模块名(infolabel)、新定义的域名(domain_t)、新定义的文件类型(file_type_t)、是否启用MCS(mcs_constrained)、进程对自己的数据文件及目录的读写授权、以及进程执行的权限及域转换、默认安全上下文文件路径(/dir/dir/datefile)等内容,最终生成文件。
在一些实施例中,根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为策略检查类型,根据所述待调用的命令行中的管理参数和/或配置参数确定待检查的策略文件的路径信息;
根据所述路径信息获取到所述待检查的策略文件并调用检查命令对待检查的策略文件进行检查。
具体的,无论是自定义的策略文件,还是引入的策略文件,在导入到操作系统内核之前,必须进行安全策略的检查,避免语义语法的错误或其他错误,引起操作系统的崩溃。客户端sensitivelabel提供策略检查的功能,命令行为:sensitivelabel checkpolicypolicypath contextpath interfacepath。其中:sensitivelabel为二进制可执行文件;checkpolicy为策略检查的标志;policypath参数为策略文件所处路径;contextpath为上下文文件路径;interfacepath为接口文件路径;路径支持相对路径和绝对路径,且上下文文件路径和接口文件路径可为空。当客户端sensitivelabel接收到待检测文件路径信息之后,调用checkpolicy命令进行语法语义及其他相关错误的检测。检测结果以文本的形式展示在终端上,当显示“successful”字样时,则检测通过,不存在错误;当显示“error”字样时,则表示策略文件存在错误,根据报错信息,定位到具体的策略行进行修改即可。
在一些实施例中,根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为对文件进行安全标记设置类型,根据所述待调用的命令行中的管理参数和/或配置参数对用户进行限制。
具体的,客户端sensitivelabel可以对文件进行安全标记的设置。设置命令为sensitivelabel filechcon file user role type category。其中:sensitivelabel为客户端二进制可执行文件;filechcon为对文件进行安全标记设置的标志;file为待设置标记的文件路径;user、role、type、category分别为SELinux策略的用户、角色、类型(标记的一种)、类别(标记的一种)选项。客户端sensitivelabel接收到各个参数后,首先进行参数的正确性校验,校验通过后,调用chcon命令设置文件安全标记。这样,通过用户与角色建立关系,角色与类型或类别建立关系,即可实现用户与标记建立关系,从而实现限制用户只能访问标记的文件。
在一些实施例中,还包括:
通过管理平台接收对所述SELinux进行管理和/或配置的请求,根据所述管理和/或配置的请求向所述客户端发送调用对应的命令行的请求。
在一些实施例中,还包括:
通过所述管理平台对多个服务器的所述客户端进行管理。
具体的,如图2所示,管理端可以是一个集中管理平台,提供友好的web管理界面,方便用户使用。同时,管理端所有接口都是restful API,方便第三方平台调用。管理端功能主要包括用户管理、客户端SELinux管理、数据存储、业务告警四部分。
在一些实施例中,管理端的用户管理是对管理端web页面的登录用户的管理,包括超级用户、管理用户和普通用户三种用户角色。超级用户是内置的,只负责用户角色的创建和用户角色权限的分配,并不参与实际的SELinux的管理工作,这也保证了服务器的安全,避免因超级用户账号的泄漏导致的所有管理端服务器系统安全威胁。管理端是一个集中管理平台,可以对多个服务器的SELinux进行管理,并且,每个服务器也存在多个用户,所以超级用户在创建用户角色的时候,首先要设置该用户角色所属的服务器,再设置用户角色属于管理用户和普通用户;当用户属于管理用户角色时,可以进行SELinux策略的查询、编译、加载、卸载、更新、校验等多种操作;当用户属于普通用户角色时,只可以进行SELinux策略的查询和校验。管理端用户和所管理服务器之间的关系图如图3所示。即,同一个用户可能管理多个服务器,同一个服务器可能存在多个用户,是一个多对多的映射关系,且相互之间不影响。
在一些实施例中,客户端SELinux管理几乎具备了管理SELinux的所有功能,包括查询、编译、加载、卸载、更新、校验等。需要说明的是,上述功能最终还是需要调用客户端的命令行实现,管理端通过提供的管理界面,方便用户与客户端的交互,即用户只需在图形化界面上进行操作或输入相关参数后,管理端根据用户的操作即可调用客户端的命令行,实现对SELinux的管理配置。
并且在新增策略时,test.te test.fc test.if三个文件不便于编写。客户端SELinux工具管理包括的功能有:新增策略功能,即提供生成.te.fc.if三个文件的模板,文件生成之后,使用scp工具远程推送到目标服务器的指定位置;编译功能,编译功能是组装一个调用客户端sensitivelabel的命令行,使用ssh远程执行sensitivelabel build命令,完成策略编译功能;同理,加载功能、卸载功能、更新功能也是,组装一个调用客户端sensitivelabel的命令行,使用ssh远程执行sensitivelabel命令;校验功能,是策略在加载到SELinux内核子系统之前,进行策略的校验功能,只有正确的符合预期的策略才能加载到SELinux内核子系统中。除了以上功能之外,客户端SELinux工具管理功能,还具有一个默认策略推送功能,管理端可以根据所管理的操作系统的不同,内置一套默认SELinux策略,用以替代SELinux的默认策略。默认策略推送功能即将平台系统内置的SELinux策略使用scp工具远程推送到目标服务器的指定位置。同时,内置的SELinux策略并不是一成不变的,是可以选择的,所有的SELinux策略均存储在数据库中,通过内置模板,选择各个不同业务不同操作系统的默认SELinux策略。
需要说明的是,通过管理端实现策略文件的生成时,可以在管理端接收相关的参数(即模块名、新定义的域名、新定义的文件类型、是否启用MCS、进程对自己的数据文件及目录的读写授权、以及进程执行的权限及域转换和/或默认安全上下文文件路径等等),然后生成策略文件后推送到相应的客户端,然后在调用客户端的sensitivelabel build命令,完成策略编译功能。
在一些实施例中,管理端的数据存储功能可以通过使用关系型数据库存储业务信息,包括用户信息、策略信息、模板信息、日志信息、告警信息等。关键数据信息如用户信息、策略信息、模板信息等,设置定时备份策略,定时备份;日志信息、告警信息设置定时清除策略,只保留最近一个月、三个月、六个月的信息。
在一些实施例中,管理端的业务告警支持管理用户设置定时查询SELinux告警信息功能。使用ssh远程查询管理服务器的SELinux的告警功能,如果存在非法告警信息,则以邮件方式通知收件人。其中,邮箱服务器地址、收件人、邮件紧急程度、邮件信息等内容均支持配置。
本发明提出的方案,能够提供多主机SELinux的统一配置和管理工作。在该实现方案中,客户端sensitivelabel工具模块,大大简化了SELinux工具的使用复杂度,使启动SELinux功能成为可能;通过管理平台统一管理多台服务器的SELinux,方便了Linux系统管理员的配置管理工作;管理平台的用户设计使得被管理的服务器账号密码不被泄露,系统安全性得以保证;管理平台的默认SELinux策略功能,减少了开启SELinux功能后对系统可用性的影响,即保证了系统的安全性,也提高了用户感知度;管理平台的业务告警功能设计,使系统存在非法告警信息的时候,第一时间能够通知到相关责任人,提高了系统的安全性。同时,本发明提出的方案,简化了SELinux功能策略维护的复杂性,降低了自定义策略的困难性;当系统开启SELinux功能并且能够根据业务要求设置自定义策略的时候,整个系统基本上可以到达"坚不可摧"的地步了。而且本发明提出的策略校验功能,只有正确的符合预期的策略才能加载到SELinux内核子系统中,确保了SELinux策略的安全可用性,不会因为错误的自定义策略导致SELinux整体功能的失效等威胁。而且管理平台的用户设计使得超级用户并不能获取到被管理的服务器账号密码,只有具有管理用户权限的用户才能修改服务器信息,确保了系统账户不被平台维护人员窃取,服务器系统安全性得以保证。并且管理平台的业务告警功能设计,使系统存在非法告警信息的时候,第一时间能够通知到相关责任人,提高了系统安全的响应速度。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种SELinux的管理配置系统400,如图4所示,包括:
部署模块401,所述部署模块401配置为在服务器上部署用于配置和管理SELinux的客户端;
接收模块402,所述接收模块402配置为响应于所述客户端接收到调用对所述SELinux进行管理和/或配置的命令行的请求,根据待调用的所述命令行中的标志参数确定待执行的管理和/或配置的类型并获取所述待调用的命令行中的管理参数和/或配置参数;
执行模块403,所述执行模块403配置为根据所述待执行的管理和/或配置的类型以及管理参数和/或配置参数对所述SELinux进行管理和/或配置。
基于同一发明构思,根据本发明的另一个方面,如图5所示,本发明的实施例还提供了一种计算机设备501,包括:
至少一个处理器520;以及
存储器510,存储器510存储有可在处理器上运行的计算机程序511,处理器520执行程序时执行如上的任一种SELinux的管理配置方法的步骤。
基于同一发明构思,根据本发明的另一个方面,如图6所示,本发明的实施例还提供了一种计算机可读存储介质601,计算机可读存储介质601存储有计算机程序指令610,计算机程序指令610被处理器执行时执行如上的任一种SELinux的管理配置方法的步骤。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。
此外,应该明白的是,本文的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种SELinux的管理配置方法,其特征在于,包括以下步骤:
在服务器上部署用于配置和管理SELinux的客户端;
响应于所述客户端接收到调用对所述SELinux进行管理和/或配置的命令行的请求,根据待调用的所述命令行中的标志参数确定待执行的管理和/或配置的类型并获取所述待调用的命令行中的管理参数和/或配置参数;
根据所述待执行的管理和/或配置的类型以及所述管理参数和/或配置参数对所述SELinux进行管理和/或配置。
2.如权利要求1所述的方法,其特征在于,根据所述待执行的管理和/或配置的类型以及所述管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为安全设置类型,解析所述待调用的命令行中的管理参数和/或配置参数,以根据解析结果对所述SELinux进行管理和/或配置。
3.如权利要求1所述的方法,其特征在于,根据所述待执行的管理和/或配置的类型以及所述管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为策略文件生成类型,获取预先设置的策略文件模板;
将所述待调用的命令行中的管理参数和/或配置参数添加到所述策略文件模板中以得到策略文件。
4.如权利要求1所述的方法,其特征在于,根据所述待执行的管理和/或配置的类型以及所述管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为策略检查类型,根据所述待调用的命令行中的管理参数和/或配置参数确定待检查的策略文件的路径信息;
根据所述路径信息获取到所述待检查的策略文件并调用检查命令对待检查的策略文件进行检查。
5.如权利要求1所述的方法,其特征在于,根据所述待执行的管理和/或配置的类型以及所述管理参数和/或配置参数对所述SELinux进行管理和/或配置,进一步包括:
响应于所述待执行的管理和/或配置的类型为对文件进行安全标记设置类型,根据所述待调用的命令行中的管理参数和/或配置参数对用户进行限制。
6.如权利要求1所述的方法,其特征在于,还包括:
通过管理平台接收对所述SELinux进行管理和/或配置的请求,根据所述管理和/或配置的请求向所述客户端发送调用对应的命令行的请求。
7.如权利要求6所述的方法,其特征在于,还包括:
通过所述管理平台对多个服务器的所述客户端进行管理。
8.一种SELinux的管理配置系统,其特征在于,包括:
部署模块,所述部署模块配置为在服务器上部署用于配置和管理SELinux的客户端;
接收模块,所述接收模块配置为响应于所述客户端接收到调用对所述SELinux进行管理和/或配置的命令行的请求,根据待调用的所述命令行中的标志参数确定待执行的管理和/或配置的类型并获取所述待调用的命令行中的管理参数和/或配置参数;
执行模块,所述执行模块配置为根据所述待执行的管理和/或配置的类型以及所述管理参数和/或配置参数对所述SELinux进行管理和/或配置。
9.一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求17任意一项所述的方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行如权利要求1-7任意一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011177609.8A CN112463203B (zh) | 2020-10-29 | 2020-10-29 | 一种SELinux的管理配置方法、系统、设备以及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011177609.8A CN112463203B (zh) | 2020-10-29 | 2020-10-29 | 一种SELinux的管理配置方法、系统、设备以及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112463203A true CN112463203A (zh) | 2021-03-09 |
| CN112463203B CN112463203B (zh) | 2023-05-12 |
Family
ID=74834191
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011177609.8A Active CN112463203B (zh) | 2020-10-29 | 2020-10-29 | 一种SELinux的管理配置方法、系统、设备以及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112463203B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113377499A (zh) * | 2021-08-11 | 2021-09-10 | 苏州浪潮智能科技有限公司 | 一种虚拟机管理方法、装置、设备及可读存储介质 |
| CN114021176A (zh) * | 2022-01-06 | 2022-02-08 | 麒麟软件有限公司 | 一种SELinux动态授权的方法及系统 |
| CN117131518A (zh) * | 2023-02-22 | 2023-11-28 | 荣耀终端有限公司 | 配置SELinux安全策略的方法、系统及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102592092A (zh) * | 2012-01-09 | 2012-07-18 | 中标软件有限公司 | 一种基于SELinux安全子系统的策略适配系统及方法 |
| CN106096418A (zh) * | 2016-06-02 | 2016-11-09 | 北京元心科技有限公司 | 基于SELinux的开机安全等级选择方法、装置及终端设备 |
-
2020
- 2020-10-29 CN CN202011177609.8A patent/CN112463203B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102592092A (zh) * | 2012-01-09 | 2012-07-18 | 中标软件有限公司 | 一种基于SELinux安全子系统的策略适配系统及方法 |
| CN106096418A (zh) * | 2016-06-02 | 2016-11-09 | 北京元心科技有限公司 | 基于SELinux的开机安全等级选择方法、装置及终端设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113377499A (zh) * | 2021-08-11 | 2021-09-10 | 苏州浪潮智能科技有限公司 | 一种虚拟机管理方法、装置、设备及可读存储介质 |
| US11922205B2 (en) | 2021-08-11 | 2024-03-05 | Inspur Suzhou Intelligent Technology Co., Ltd. | Virtual machine management method and apparatus, device, and readable storage medium |
| CN114021176A (zh) * | 2022-01-06 | 2022-02-08 | 麒麟软件有限公司 | 一种SELinux动态授权的方法及系统 |
| CN117131518A (zh) * | 2023-02-22 | 2023-11-28 | 荣耀终端有限公司 | 配置SELinux安全策略的方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112463203B (zh) | 2023-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102663126B1 (ko) | 멀티테넌트 어플리케이션 서버 환경에서 복수의 파티션 편집 세션들을 지원하는 시스템 및 방법 | |
| US10015242B2 (en) | System and method for supporting restful management in a multitenant application server environment | |
| CN112463203B (zh) | 一种SELinux的管理配置方法、系统、设备以及介质 | |
| US8122106B2 (en) | Integrating design, deployment, and management phases for systems | |
| US9189357B2 (en) | Generating machine state verification using number of installed package objects | |
| US7890802B2 (en) | System and method for automated and assisted resolution of IT incidents | |
| CN110647580A (zh) | 分布式容器集群镜像管理主节点、从节点、系统及方法 | |
| CN104679534B (zh) | 系统应用安装包加载处理方法、装置及终端 | |
| US20050262501A1 (en) | Software distribution method and system supporting configuration management | |
| US20150133087A1 (en) | Mobile device management | |
| US7743281B2 (en) | Distributed file fuzzing | |
| JP2005276177A (ja) | ネットワーク構成のチェックおよび修理のための方法、システムおよびプログラム | |
| KR101579493B1 (ko) | 소스코드 이관제어 방법 및 이를 위한 컴퓨터 프로그램, 그 기록매체 | |
| US10089371B2 (en) | Extensible extract, transform and load (ETL) framework | |
| WO2006085320A1 (en) | System and method for network policy management | |
| US8135821B2 (en) | Validation of module interoperability | |
| US20150372941A1 (en) | System and method for portable partitions in a multitenant application server environment | |
| US20050108704A1 (en) | Software distribution application supporting verification of external installation programs | |
| US20120233300A1 (en) | Configuring connection agents | |
| US9178867B1 (en) | Interacting with restricted environments | |
| CN115952487A (zh) | 多种组织机构下租户信息配置系统及方法 | |
| Olstad et al. | GRANCONF: GRAphical Network CONFiguratione | |
| CN116755790A (zh) | 三方账号集成方法、装置、电子设备及可读存储介质 | |
| Alliance | Software Component Management Object (SCOMO) | |
| Allison et al. | Oracle Database Oracle Clusterware and Oracle Real Application Clusters Installation Guide, 10g Release 2 (10.2) for Linux B14203-01 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |