本發明提供一種SELinux策略智能生成方法，工具及存儲介質，該工具可以根據系統日志信息里的告警，智能地進行學習，然后生成SELinux策略，具體是通過將系統運行過程中所產生的日志信息作為輸入源，提取SELinux告警，并將所有SELinux告警存儲為文本文件A，使用auditallow命令將所述SELinux告警轉化為SELinux策略，并使用checkpolicy命令檢查所述SELinux策略是否違反了neverallow規則，將違反neverallow規則的SELinux策略和該neverallow規則統一存儲在文本文件B中，再從所述SELinux告警中提取出該待測SELinux策略的SELinux告警，將該SELinux告警關聯到對應的neverallow規則中，生成新的SELinux策略，并再次檢驗，直至所有SELinux策略不違反對應的neverallow規則。

技術領域

本發明涉及信息通訊技術領域，尤其是涉及一種SELinux策略智能生成方法，工具及存儲介質。

背景技術

在運行SELinux且SELinux處于enforcing模式的系統中，當主體訪問客體時，SELinux會對該操作做權限檢查。如果沒有為該操作配置SELinux策略，則將不允許該操作執行，反之，則允許。為了保障系統的正常運行，軟件開發人員會根據日志信息中的SELinux告警手動為每個主體配置必要的SELinux策略。這種方法存在很大的弊端，系統的主體繁多且復雜，為每一個主體手工配置權限需要大量的重復時間，而且該方法容易導致SELinux策略遺漏、重復等問題。配置SELinux策略，需要軟件開發人員需要相關的知識儲備，增加了學習成本。

發明內容

針對上述技術問題，本發明提出一種SELinux策略智能生成方法，工具及存儲介質， 其中，所述方法包括以下步驟：

S1：將系統運行過程中所產生的日志信息作為輸入源；

S2：提取SELinux告警，并將所有SELinux告警存儲為文本文件A；

S3：使用auditallow命令將所述SELinux告警轉化為SELinux策略；

S4：使用checkpolicy命令檢查所述SELinux策略是否違反了neverallow規則，若違反，則將違反neverallow規則的SELinux策略和對應的neverallow規則統一存儲在文本文件B中；若不違反，轉S6；

S5：從文本文件B中取出一條待測SELinux策略和對應的neverallow規則，并從所述SELinux告警中提取出該待測SELinux策略的SELinux告警，將該SELinux告警關聯到對應的neverallow規則中，生成新的SELinux策略，再次使用checkpolicy命令檢查所述新的SELinux策略，直至不違反對應的neverallow規則后轉S6；否則，將該待測SELinux策略的SELinux告警存入文本文件C中；

S6：按主體的名字生成后綴為te的第一文件。

進一步的，定義所述SELinux告警的告警內容為：comm為主體；scontext為主體安全上下文；name為客體；tcontext為客體安全上下文；tclass訪問類別；{}里表示所需要的權限。

進一步的，所述S5還包括如下：

S51：提取出所述SELinux告警中的scontext，并關聯到對應的neverallow規則中的主體部分的attribute屬性，再進行checkpolicy命令檢查，若違反neverallow規則，轉S52；

S52：提取出所述SELinux告警中的tcontext，并關聯到對應的neverallow規則中的客體部分的attribute屬性，再進行checkpolicy命令檢查，若違反neverallow規則，轉S53；