CN106096409B - 基于SELinux的防护检测方法、装置及终端设备 - Google Patents
基于SELinux的防护检测方法、装置及终端设备 Download PDFInfo
- Publication number
- CN106096409B CN106096409B CN201610389104.5A CN201610389104A CN106096409B CN 106096409 B CN106096409 B CN 106096409B CN 201610389104 A CN201610389104 A CN 201610389104A CN 106096409 B CN106096409 B CN 106096409B
- Authority
- CN
- China
- Prior art keywords
- test process
- access
- principals tab
- terminal device
- principals
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 32
- 238000000034 method Methods 0.000 claims description 163
- 238000012360 testing method Methods 0.000 claims description 129
- 238000011161 development Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 241000406668 Loxodonta cyclotis Species 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于SELinux的防护检测方法、装置及终端设备。该方法包括:当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;使所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签后,重新执行上述操作。该方法能够自动检测配置的所有SELinux策略,以避免安全漏洞的出现。
Description
技术领域
本发明涉及终端设备安全技术领域,具体而言,涉及一种基于SELinux的防护检测方法、装置及终端设备。
背景技术
SELinux(Security-Enhanced Linux,安全增强Linux)是一种美国国家安全局(NSA)制定的对于强制访问控制(MAC)的实现方法,是Linux操作系统中新的安全子系统。当终端设备加载了SELinux安全子系统后,能够极大地提高其操作系统的安全等级。
SELinux策略是SELinux安全子系统实现强制访问控制的重要组成部分。在SELinux策略中包含了整个操作系统中主体对客体的访问控制。SELinux策略配置的合理性和严密性直接关系到终端设备操作系统的安全性能。如果SELinux策略存在漏洞或者配置错误,将对终端设备操作系统造成极大威胁。
目前,主要是由测试人员通过策略审阅及手工测试的方式来检测SELinux策略配置的是否符合预期及是否存在漏洞。但这两种方式不仅费时费力,也不能完全检测到SELinux策略配置中的所有漏洞。
在所述背景技术部分公开的上述信息仅用于加强对本发明的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本发明提供一种基于SELinux的防护检测方法、装置及终端设备,能够自动检测配置的所有SELinux策略,以避免安全漏洞的出现。
本发明的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本发明的实践而习得。
根据本发明的一方面,提供了一种基于SELinux的防护检测方法,包括:a)当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;b)使所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;c)当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;d)当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签;e)再次执行步骤b)和c)。
根据本发明的一实施方式,当所述测试进程为多个时,在步骤a)中,按照预先设置好的顺序为所述多个测试进程分别选择一个主体标签,并将所述多个测试进程分别设置为选定的所述主体标签;在步骤b)中,使所述多个测试进程同时遍历访问所有预设的客体对象,并相应存储所述多个测试进程对每个客体对象的访问结果。
根据本发明的一实施方式,步骤b)还包括:当所述客体对象的其中之一被所述多个测试进程的其中之一访问时,设置该客体对象为锁定状态。
根据本发明的一实施方式,在步骤b)中,存储所述测试进程对每个所述客体对象的访问结果至数据库和/或文件中。
根据本发明的一实施方式,在步骤b)和d)中,通过SELinux中的chocn指令将所述测试进程设置为当前选定的所述主体标签。
根据本发明的另一方面,提供了一种基于SELinux的防护检测装置,包括:主体标签选择模块,用于当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;访问及存储模块,用于使设置为当前选定的所述主体标签的所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;以及设备重启模块,用于当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;其中所述主体标签选择模块还用于当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签。
根据本发明的一实施方式,当所述测试进程为多个时,所述主体标签选择模块还用于按照预先设置好的顺序为所述多个测试进程分别选择一个主体标签,并将所述多个测试进程分别设置为选定的所述主体标签;所述访问及存储模块还用于使所述多个测试进程同时遍历访问所有预设的客体对象,并相应存储所述多个测试进程对每个客体对象的访问结果。
根据本发明的一实施方式,所述访问及存储模块包括:客体对象锁定子模块,用于当所述客体对象的其中之一被所述多个测试进程的其中之一访问时,设置该客体对象为锁定状态。
根据本发明的一实施方式,所述访问及存储模块还用于存储所述测试进程对每个所述客体对象的访问结果至数据库和/或文件中。
根据本发明的一实施方式,所述主体标签选择模块还用于通过SELinux中的chocn指令将所述测试进程设置为当前选定的所述主体标签。
根据本发明的再一方面,提供了一种终端设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中所述处理器配置为经由执行所述可执行指令来执行以下操作:a)当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;b)使所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;c)当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;d)当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签;e)再次执行步骤b)和c)。
根据本发明的基于SELinux的防护检测方法,通过为测试进程设置不同的主体标签,使其遍历访问预先设定的客体对象,并对访问结果进行记录。该自动检测功能有利于测试人员检验SELinux策略配置是否完善,是否存在漏洞和风险,以避免其中的风险被黑客利用;此外,还有利于策略开发人员快速定位策略配置中的问题,从而编写更完善的SELinux策略。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本发明。
附图说明
通过参照附图详细描述其示例实施例,本发明的上述和其它目标、特征及优点将变得更加显而易见。
图1是根据一示例性实施方式示出的一种基于SELinux的防护检测方法的流程图。
图2是根据一示例性实施方式示出的另一种基于SELinux的防护检测方法的流程图。
图3是根据一示例性实施方式示出的一种基于SELinux的防护检测装置的框图。
图4是根据一示例性实施方式示出的另一种基于SELinux的防护检测装置的框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本发明将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本发明的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知结构、方法、装置、实现或者操作以避免喧宾夺主而使得本发明的各方面变得模糊。
SELinux是一套基于标签(Label)的安全系统。在SELinux策略中,通过标签的设定来实现主体对客体的控制。其中主体可以为终端设备中运行的每个进程,客体则为系统中的所有资源,包括:文件系统、目录、文件、文件启动指示符、端口、消息接口和网络接口等。每个进程都拥有自己的标签,而每个客体对象也都拥有自己的标签。通过编写的SELinux策略,来控制进程标签可以对客体对象标签进行访问,如文件访问、读写及SOCKET操作等。例如,通过策略配置,允许标签为A的进程对标签为B的文件进行读写操作;或者,允许标签为C的进程对标签为D的消息接口进行SOCKET通信等所有关于SELinux限制主体对客体对象的访问。
基于上述SELinux策略的配置方法,下面详细说明基于SELinux的防护检测方法。
图1是根据一示例性实施方式示出的一种基于SELinux的防护检测方法的流程图。如图1所示,防护检测方法10包括:
在步骤S102中,当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将该测试进程设置为该选定的主体标签。
如上所述,主体标签用于标示进程,配置为不同主体标签的进程根据策略配置可以控制对不同客体对象标签的访问。
在一些实施例中,为测试进程设置选定的主体标签例如可以通过SELinux中用于改变策略标签的chcon指令实现。
在一些实施例中,该测试进程可以实施为二进制程序。
在步骤S104中,使测试进程遍历访问所有预设的客体对象,并相应存储该测试进程对每个客体对象的访问结果。
其中预设的客体对象可以为终端设备当前系统中的所有客体对象,也可以为根据需要设定的客体对象,在实际应用中,其可以根据需求进行设定,本发明不以此为限。
对客体对象的访问包括:对文件系统或目录进行访问、对文件的读/写进行操作、对消息接口进行SOCKET通信、对网络接口进行通信等所有关于SELinux限制主体对客体对象的访问。
访问结果包括设置为当前主体标签的测试进程对不同客体对象的访问是否被允许,也即访问是否成功等。
此外,可以将访问结果存储在一个文件中,或者也可以将访问结果存储在数据库中。数据库或文件中允许访问和不允许访问的记录可以供测试人员检验当前的SELinux策略是否完善,是否存在漏洞和风险等。此外,还可以供开发策略人员查询使用,如可以快速定位策略配置中存在的问题,通过查询存储访问结果的数据库或者文件即可知道对应程序访问控制的权限是否合适等,而无需在大量的SELinux策略文件中逐一查找,提高了策略开发人员的工作效率。
在步骤S106中,当该测试进程遍历访问完所有预设的客体对象且存储了相应的访问结果后,重新启动该终端设备。
在步骤S108中,当终端设备被重新启动后,按照预先设置好的顺序为该测试进程选择下一个主体标签,并将该测试进程设置为重新选定的主体标签。
在步骤S110中,重新执行步骤S104和S106。
不断重复上述操作,直至预先设置好的主体标签遍历完成,且所有访问结果被存储。
在一些实施例中,上述方法在执行时,可以被实现为终端设备系统中运行的后台程序。也即当终端设备开机后,自动于后台执行,而无需用户人工启动。
本发明实施方式的基于SELinux的防护检测方法,通过为测试进程设置不同的主体标签,使其遍历访问预先设定的客体对象,并对访问结果进行记录。该自动检测功能有利于测试人员检验SELinux策略配置是否完善,是否存在漏洞和风险,以避免其中的风险被黑客利用;此外,还有利于策略开发人员快速定位策略配置中的问题,从而编写更完善的SELinux策略。
应清楚地理解,本发明描述了如何形成和使用特定示例,但本发明的原理不限于这些示例的任何细节。相反,基于本发明公开的内容的教导,这些原理能够应用于许多其它实施方式。
图2是根据一示例性实施方式示出的另一种基于SELinux的防护检测方法的流程图。与图1所示的防护检测方法10不同之处在于,在图2所示的防护检测方法20中,可以同时启动多个测试进程,用于对SELinux策略配置进行检测。防护检测方法20包括:
在步骤S202中,当终端设备被启动后,按照预先设置好的顺序为多个测试进程分别选择一个主体标签,并将所述多个测试进程分别设置为选定的主体标签。
以3个测试进程p1、p2及p3为例,预先设置好的N个主体标签的顺序为L1、L2、L3、,,,,,,、Ln,则例如可以分别为3个测试进程p1、p2及p3选择的主体标签为L1、L2、L3。当3个测试进程p1、p2及p3完成本次检测,再次按顺序选择主体标签时,可以分别再次选择主体标签L4、L5、L6。以此类推。该种为多个测试进程选择主体标签的方法仅为一示例说明,本发明不以此为限,例如还可以将主体标签根据测试进程的数量分为相应数量的多组,每个测试进程对应一组主体标签,且每次均在该组中按序选择主体标签。
如上所述,主体标签用于标示进程,配置为不同主体标签的进程根据策略配置可以控制对不同客体对象标签的访问。
在一些实施例中,为测试进程设置选定的主体标签例如可以通过SELinux中用于改变策略标签的chcon指令实现。
在一些实施例中,所述多个测试进程分别可以实施为二进制程序。
在步骤S204中,使所述多个测试进程同时遍历访问所有预设的客体对象,并相应存储所述多个测试进程对每个客体对象的访问结果。
其中预设的客体对象可以为终端设备当前系统中的所有客体对象,也可以为根据需要设定的客体对象,在实际应用中,其可以根据需求进行设定,本发明不以此为限。
对客体对象的访问包括:对文件系统或目录进行访问、对文件的读/写进行操作、对消息接口进行SOCKET通信、对网络接口进行通信等所有关于SELinux限制主体对客体对象的访问。
访问结果包括设置为当前主体标签的测试进程对不同客体对象的访问是否被允许,也即访问是否成功等。
此外,可以将访问结果存储在一个文件中,或者也可以将访问结果存储在数据库中。数据库或文件中允许访问和不允许访问的记录可以供测试人员检验当前的SELinux策略是否完善,是否存在漏洞和风险等。此外,还可以供开发策略人员查询使用,如可以快速定位策略配置中存在的问题,通过查询存储访问结果的数据库或者文件即可知道对应程序访问控制的权限是否合适等,而无需在大量的SELinux策略文件中逐一查找,提高了策略开发人员的工作效率。
需要说明的是,各个测试进程之间通过相应的SELinux策略配置均可以相互访问。
当多个测试进程同时对所有预设的客体对象进行访问时,为了避免多个测试进程同时访问同一个客体对象而产生冲突,需要对当前被访问的客体对象进行加锁操作,也即当一个客体对象被其中一个测试进程访问时,将该客体对象设置为锁定状态。此外,在存储访问结果时,为了避免多个测试进程同时对数据库或文件进行写操作,同样需要对数据库或文件进行加锁操作,也即当其中一个测试进程对数据库或文件进行写操作时,设置该文件或数据库为锁定状态。上述加锁方法仅为解决冲突的方式之一,本发明不以此为限,在实际应用中,还可以采用其他现有的冲突解决方式。
在步骤S206中,当所述多个测试进程均遍历访问完所有预设的客体对象且存储了相应的访问结果后,重新启动该终端设备。在步骤S208中,当终端设备被重新启动后,按照预先设置好的顺序为再次分别为所述多个测试进程选择下一个主体标签,并将所述多个测试进程分别设置为重新选定的主体标签。
为所述多个测试进程选择下一个主体标签的方法可详见步骤S302。
在步骤S210中,重新执行步骤S204和S206。
不断重复上述操作,直至预先设置好的主体标签遍历完成,且所有访问结果被存储。
在一些实施例中,上述方法在执行时,可以被实现为终端设备系统中运行的后台程序。也即当终端设备开机后,自动于后台执行,而无需用户人工启动。
本领域技术人员可以理解实现上述实施方式的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本发明提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本发明示例性实施方式的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
图3是根据一示例性实施方式示出的一种基于SELinux的防护检测装置的框图。如图3所示,该装置30包括:主体标签选择模块302、访问及存储模块304及设备重启模块306。
主体标签选择模块302用于当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签。
在一些实施例中,主体标签选择模块302还用于通过SELinux中的chocn指令将所述测试进程设置为当前选定的所述主体标签。
在一些实施例中,所述测试进程实施为二进制程序。
访问及存储模块304用于使设置为当前选定的所述主体标签的所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果。
在一些实施例中,访问及存储模块304还用于存储所述测试进程对每个所述客体对象的访问结果至数据库和/或文件中。
在一些实施例中,所述访问结果包括:设置为当前选定的所述主体标签的所述测试进程对不同所述客体对象的访问是否被允许。
设备重启模块306用于当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备。
其中主体标签选择模块302还用于当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签。
本发明实施方式的基于SELinux的防护检测装置,通过为测试进程设置不同的主体标签,使其遍历访问预先设定的客体对象,并对访问结果进行记录。该自动检测功能有利于测试人员检验SELinux策略配置是否完善,是否存在漏洞和风险,以避免其中的风险被黑客利用;此外,还有利于策略开发人员快速定位策略配置中的问题,从而编写更完善的SELinux策略。
图4是根据一示例性实施方式示出的另一种基于SELinux的防护检测装置的框图。与图3所示的防护检测装置30不同之处在于,在图4所示的防护检测装置40中,可以同时启动多个测试进程,用于对SELinux策略配置进行检测。防护检测装置40包括:主体标签选择模块402、访问及存储模块404及设备重启模块406。
主体标签选择模块402用于当终端设备被启动后,按照预先设置好的顺序为多个测试进程分别选择一个主体标签,并将所述多个测试进程分别设置为选定的所述主体标签。
在一些实施例中,主体标签选择模块402还用于通过SELinux中的chocn指令将所述测试进程设置为当前选定的所述主体标签。
访问及存储模块404用于使所述多个测试进程同时遍历访问所有预设的客体对象,并相应存储所述多个测试进程对每个客体对象的访问结果。
在一些实施例中,访问及存储模块404包括:客体对象锁定子模块4042,用于当所述客体对象的其中之一被所述多个测试进程的其中之一访问时,设置该客体对象为锁定状态。
在一些实施例中,访问及存储模块404还用于存储所述测试进程对每个所述客体对象的访问结果至数据库和/或文件中。
设备重启模块406用于当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备。
主体标签选择模块402还用于当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签。
需要注意的是,上述附图中所示的框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本发明实施方式的方法。
以上具体地示出和描述了本发明的示例性实施方式。应可理解的是,本发明不限于这里描述的详细结构、设置方式或实现方法;相反,本发明意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (11)
1.一种基于SELinux的防护检测方法,其特征在于,包括:
a)当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;
b)使所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;
c)当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;
d)当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签;
e)再次执行步骤b)和c)。
2.根据权利要求1所述的方法,其特征在于,当所述测试进程为多个时,在步骤a)中,按照预先设置好的顺序为所述多个测试进程分别选择一个主体标签,并将所述多个测试进程分别设置为选定的所述主体标签;在步骤b)中,使所述多个测试进程同时遍历访问所有预设的客体对象,并相应存储所述多个测试进程对每个客体对象的访问结果。
3.根据权利要求2所述的方法,其特征在于,步骤b)还包括:当所述客体对象的其中之一被所述多个测试进程的其中之一访问时,设置该客体对象为锁定状态。
4.根据权利要求1-3任一项所述的方法,其特征在于,在步骤b)中,存储所述测试进程对每个所述客体对象的访问结果至数据库和/或文件中。
5.根据权利要求1-3任一项所述的方法,其特征在于,在步骤b)和d)中,通过SELinux中的chocn指令将所述测试进程设置为当前选定的所述主体标签。
6.一种基于SELinux的防护检测装置,其特征在于,包括:
主体标签选择模块,用于当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;
访问及存储模块,用于使设置为当前选定的所述主体标签的所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;以及
设备重启模块,用于当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;
其中所述主体标签选择模块还用于当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签。
7.根据权利要求6所述的装置,其特征在于,当所述测试进程为多个时,所述主体标签选择模块还用于按照预先设置好的顺序为所述多个测试进程分别选择一个主体标签,并将所述多个测试进程分别设置为选定的所述主体标签;所述访问及存储模块还用于使所述多个测试进程同时遍历访问所有预设的客体对象,并相应存储所述多个测试进程对每个客体对象的访问结果。
8.根据权利要求7所述的装置,其特征在于,所述访问及存储模块包括:客体对象锁定子模块,用于当所述客体对象的其中之一被所述多个测试进程的其中之一访问时,设置该客体对象为锁定状态。
9.根据权利要求6-8任一项所述的装置,其特征在于,所述访问及存储模块还用于存储所述测试进程对每个所述客体对象的访问结果至数据库和/或文件中。
10.根据权利要求6-8任一项所述的装置,其特征在于,所述主体标签选择模块还用于通过SELinux中的chocn指令将所述测试进程设置为当前选定的所述主体标签。
11.一种终端设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中所述处理器配置为经由执行所述可执行指令来执行以下操作:
a)当终端设备被启动后,按照预先设置好的顺序为测试进程选择一个主体标签,并将所述测试进程设置为选定的所述主体标签;
b)使所述测试进程遍历访问所有预设的客体对象,并相应存储所述测试进程对每个所述客体对象的访问结果;
c)当所述测试进程遍历访问完所有预设的所述客体对象且存储了相应的访问结果后,重新启动所述终端设备;
d)当所述终端设备被重新启动后,按照所述预先设置好的顺序为所述测试进程选择下一个主体标签,并将所述测试进程设置为重新选定的所述主体标签;
e)再次执行步骤b)和c)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610389104.5A CN106096409B (zh) | 2016-06-02 | 2016-06-02 | 基于SELinux的防护检测方法、装置及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610389104.5A CN106096409B (zh) | 2016-06-02 | 2016-06-02 | 基于SELinux的防护检测方法、装置及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106096409A CN106096409A (zh) | 2016-11-09 |
| CN106096409B true CN106096409B (zh) | 2018-12-21 |
Family
ID=57446980
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610389104.5A Active CN106096409B (zh) | 2016-06-02 | 2016-06-02 | 基于SELinux的防护检测方法、装置及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106096409B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102650968A (zh) * | 2012-03-30 | 2012-08-29 | 奇智软件(北京)有限公司 | 终端系统的环境构建方法和装置、以及终端系统 |
| CN105117650A (zh) * | 2015-09-08 | 2015-12-02 | 北京元心科技有限公司 | 一种移动终端系统安全的保护方法及装置 |
-
2016
- 2016-06-02 CN CN201610389104.5A patent/CN106096409B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102650968A (zh) * | 2012-03-30 | 2012-08-29 | 奇智软件(北京)有限公司 | 终端系统的环境构建方法和装置、以及终端系统 |
| CN105117650A (zh) * | 2015-09-08 | 2015-12-02 | 北京元心科技有限公司 | 一种移动终端系统安全的保护方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106096409A (zh) | 2016-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8151248B1 (en) | Method and system for software defect management | |
| Guo et al. | Validation and verification of computer forensic software tools—Searching Function | |
| US8484108B2 (en) | Tracking entities during identity resolution | |
| CN106096418B (zh) | 基于SELinux的开机安全等级选择方法、装置及终端设备 | |
| US20150161390A1 (en) | Fast and accurate identification of message-based api calls in application binaries | |
| US11221919B2 (en) | Index based smart folder scan system and method for cloud-computing provider network | |
| EP2951680B1 (en) | Acquiring identification of an application lifecycle management entity associated with similar code | |
| CN110244951B (zh) | 应用发布方法及装置 | |
| CN108121774A (zh) | 一种数据表备份方法及终端设备 | |
| CN108228611B (zh) | 单据信息抄写方法和装置 | |
| CN106096409B (zh) | 基于SELinux的防护检测方法、装置及终端设备 | |
| CN103257916A (zh) | 一种调试信息显示方法及系统 | |
| Pieterse et al. | Detecting manipulated smartphone data on Android and iOS Devices | |
| CN107908552A (zh) | 一种基于链接的测试方法、装置及设备 | |
| CN112148709A (zh) | 数据迁移方法、系统及存储介质 | |
| Pieterse et al. | Evaluation framework for detecting manipulated smartphone data | |
| CN110245166A (zh) | 数据核对方法及装置 | |
| US20150347402A1 (en) | System and method for enabling a client system to generate file system operations on a file system data set using a virtual namespace | |
| CN102682038A (zh) | 一种数据库变更方法以及装置 | |
| CN103699418A (zh) | 一种检索外部sd卡的方法及装置 | |
| CN112395594B (zh) | 指令执行序列的处理方法、装置及设备 | |
| EP3543882A1 (en) | Method and system for identifying original data by using data order | |
| CN107562420B (zh) | 一种Linux环境网络接口结构体内存处理方法及装置 | |
| CN111414470A (zh) | 一种处理文档的方法、装置、计算机存储介质及终端 | |
| CN110874246A (zh) | 一种模块加载方法、系统及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210128 Address after: 101300 room 153, 1 / F, building 17, 16 Caixiang East Road, Nancai Town, Shunyi District, Beijing Patentee after: Yuanxin Information Technology Group Co.,Ltd. Address before: 100176 room 2222, building D, building 33, 99 Kechuang 14th Street, Beijing Economic and Technological Development Zone, Beijing Patentee before: BEIJING YUANXIN SCIENCE & TECHNOLOGY Co.,Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20161109 Assignee: Beijing Yuanxin Junsheng Technology Co.,Ltd. Assignor: Yuanxin Information Technology Group Co.,Ltd. Contract record no.: X2021110000018 Denomination of invention: SELinux based protection detection method, device and terminal equipment Granted publication date: 20181221 License type: Common License Record date: 20210531 |