一种SELinux安全策略的配置方法、装置及设备与流程

一种selinux安全策略的配置方法、装置及设备
技术领域
1.本发明涉及软件开发技术领域，特别涉及一种selinux安全策略的配置方法、装置、设备及计算机可读存储介质。


背景技术：

2.访问控制是一种重要的安全技术，它明确的定义和限制了信息系统用户能够对资源执行的访问操作，可以有效的提供对信息资源的机密性和完整性保护。但在实际应用中开发的软件大都没有编写对应的安全策略进行行之有效的访问控制；这导致权限传播可控性差，且难以确定用户对哪些资源具有访问权限，从而容易导致信息泄露和其他的安全问题，很难满足高安全等级的要求。
3.selinux是一种基于域-类型模型的强制访问控制系统，通过对进程和文件资源采用强制访问控制方式提供安全性的改进。它可以使每个进行都有自己的运行区域，可赋予最小的访问权限。所以在软件开发中集成selinux进行访问控制是非常有必要的，它能够有效的解决存在的安全问题；但selinux安全策略的开发具有一定难度，它需要对selinux具有一定程度的了解。
4.因此，如何能够便捷地开发配置selinux安全策略，从而有效地将selinux安全策略嵌入到开发软件，提高开发软件的安全性，是现今急需解决的问题。


技术实现要素：

5.本发明的目的是提供一种selinux安全策略的配置方法、装置、设备及计算机可读存储介质，以提升selinux安全策略的开发配置的便捷性，从而有效地将selinux安全策略嵌入到开发软件，提高开发软件的安全性。
6.为解决上述技术问题，本发明提供一种selinux安全策略的配置方法，包括：
7.获取selinux安全策略通用模板和目标软件对应的软件安全策略配置文件；其中，所述软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执行权限信息和软件安全上下文信息中的至少一项；
8.根据所述软件安全策略配置文件，对所述selinux安全策略通用模板进行调整，生成目标安全策略文件；
9.在安装所述目标软件的过程中，安装所述目标安全策略文件。
10.可选的，所述软件安全策略配置文件包括所述规则名称信息、所述规则版本号信息、所述软件执行权限信息和所述软件安全上下文信息时，所述根据所述软件安全策略配置文件，对所述selinux安全策略通用模板进行调整，生成目标安全策略文件，包括：
11.创建以所述规则名称信息为名称的初始安全策略文件，并将所述selinux安全策略通用模板中的内容拷贝到所述初始安全策略文件中；
12.遍历所述初始安全策略文件，将所述初始安全策略文件中的规则名称内容修改为所述规则名称信息；
13.将所述初始安全策略文件中的规则版本号内容修改为所述规则版本号信息；
14.根据所述软件执行权限信息，修改所述初始安全策略文件中的权限配置；
15.根据所述软件安全上下文信息，调整所述初始安全策略文件中的软件安全上下文配置；
16.将所述初始安全策略文件确定为所述目标安全策略文件。
17.可选的，所述根据所述软件执行权限信息，修改所述初始安全策略文件中的权限配置，包括：
18.遍历所述初始安全策略文件中的规则主文件，根据所述软件执行权限信息，修改所述规则主文件中所述软件执行权限信息对应的权限配置。
19.可选的，所述根据所述软件安全上下文信息，调整所述初始安全策略文件中的软件安全上下文配置，包括：
20.遍历所述软件安全上下文信息；
21.若所述初始安全策略文件中的上下文定义文件中存在所述软件安全上下文信息中的目录信息，则根据所述软件安全上下文信息中所述目录信息对应的安全上下文信息和安全等级信息，修改所述上下文字段内容中所述目录信息对应的安全上下文配置和安全等级配置；
22.若所述上下文定义文件中不存在所述目录信息，则在所述上下文定义文件中加入预设上下文信息。
23.可选的，所述将所述初始安全策略文件确定为所述目标安全策略文件之前，还包括：
24.根据预设软件特性信息，判断是否需要对所述初始安全策略文件进行修改；
25.若是，则根据所述预设软件特性信息，对所述初始安全策略文件进行修改，并对修改后的初始安全策略文件进行编译安装验证，并将编译安装验证成功的初始安全策略文件确定为所述目标安全策略文件；
26.若否，则执行所述将所述初始安全策略文件确定为所述目标安全策略文件的步骤。
27.可选的，所述selinux安全策略通用模板包括规则主文件、规则接口文件和上下文定义文件，所述规则主文件具体为.te文件，所述规则接口文件具体为.if文件，所述上下文定义文件具体为.fc文件。
28.可选的，所述在安装所述目标软件的过程中，安装所述目标安全策略文件，包括：
29.在安装所述目标软件的过程中，判断selinux是否开启；
30.若selinux未开启，则继续安装所述目标软件；
31.若selinux已开启，则判断是否需要安装所述目标安全策略文件；
32.若需要安装所述目标安全策略文件，则在安装所述目标软件的过程中，安装所述目标安全策略文件；
33.若不需要安装所述目标安全策略文件，则继续安装所述目标软件。
34.本发明还提供了一种selinux安全策略的配置装置，包括：
35.获取模块，用于获取selinux安全策略通用模板和目标软件对应的软件安全策略配置文件；其中，所述软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执
行权限信息和软件安全上下文信息中的至少一项；
36.生成模块，用于根据所述软件安全策略配置文件，对所述selinux安全策略通用模板进行调整，生成目标安全策略文件；
37.安装模块，用于在安装所述目标软件的过程中，安装所述目标安全策略文件。
38.本发明还提供了一种selinux安全策略的配置设备，包括：
39.存储器，用于存储计算机程序；
40.处理器，用于执行所述计算机程序时实现如上述所述的selinux安全策略的配置方法的步骤。
41.此外，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述的selinux安全策略的配置方法的步骤。
42.本发明所提供的一种selinux安全策略的配置方法，包括：获取selinux安全策略通用模板和目标软件对应的软件安全策略配置文件；其中，软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执行权限信息和软件安全上下文信息中的至少一项；根据软件安全策略配置文件，对selinux安全策略通用模板进行调整，生成目标安全策略文件；在安装目标软件的过程中，安装目标安全策略文件；
43.可见，本发明通过selinux安全策略通用模板的开发，能够通过软件接口对该模板进行针对性的修改，形成适用于目标软件的selinux安全策略，降低了selinux安全策略开发的难度，提升了selinux安全策略的开发配置的便捷性；并且能够在进行目标软件安装时，将selinux安全策略同时安装进去，从而能够通过selinux安全策略对软件进行了访问控制，提高了软件运行过程的安全性。本发明还提供了一种selinux安全策略的配置装置、设备及计算机可读存储介质，同样具有上述有益效果。
附图说明
44.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
45.图1为本发明实施例所提供的一种selinux安全策略的配置方法的流程图；
46.图2为本发明实施例所提供的一种selinux安全策略的配置装置的结构框图；
47.图3为本发明实施例所提供的一种selinux安全策略的配置设备的结构示意图；
48.图4为本发明实施例所提供的一种selinux安全策略的配置设备的具体结构示意图。
具体实施方式
49.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
50.请参考图1，图1为本发明实施例所提供的一种selinux安全策略的配置方法的流程图。该方法可以包括：
51.步骤101：获取selinux安全策略通用模板和目标软件对应的软件安全策略配置文件；其中，软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执行权限信息和软件安全上下文信息中的至少一项。
52.可以理解的是，本实施例中的selinux安全策略通用模板可以为预先设置的针对软件开发的通用模板，它可以包含对软件的通用限制，使得仅需开发一次selinux安全策略通用模板，在后续的转件开发中便可直接引用该模板，从而使得针对相应的开发软件的selinux安全策略，仅需利用相应的软件安全策略配置文件在该模板上进行增、删、改和查等调整操作即可，大大降低了selinux安全策略开发的难度。
53.具体的，对于本实施例中的selinux安全策略通用模板的具体内容，可以由设计人员根据实用场景和用户需求自行设置，如selinux安全策略通用模板可以包括规则主文件(如.te文件)、规则接口文件(如.if文件)和上下文定义文件(如.fc文件)这三个文件模板。
54.其中，规则主文件可以为指定规则的主文件，可以包括域/类型定义、接口调用、外部引用和规则授权等大部分内容；例如规则主文件为.te文件时，模板内容可以如下：
55.policy_module(project_name,project_version)
56.########################################
57.#declarations
58.type project_name_t；
59.type project_name_exec_t；
60.init_daemon_domain(project_name_t,project_name_exec_t)
61.type project_name_var_log_t；
62.logging_log_file(project_name_var_log_t)
63.……
64.########################################
65.#project_name local policy
66.allow project_name_t self:process{getcap signal_perms getsched setsched}；
67.manage_dirs_pattern(project_name_t,project_name_var_log_t,project_name_var_log_t)
68.manage_files_pattern(project_name_t,project_name_var_log_t,project_name_var_log_t)
69.logging_log_filetrans(project_name_t,project_name_var_log_t,dir)
70.对应的，规则接口文件可以对其他规则提供可调用的接口，实现一些需要交叉授权的操作；例如规则接口文件为.if文件时，模板内容可以如下：
71.##《summary》project_name《/summary》
72.########################################
73.##《summary》
74.##transition to project_name.
75.##《/summary》
76.##《param name＝"domain"》
77.##《summary》
78.##domain allowed to transition.
79.##《/summary》
80.##《/param》
81.#
82.interface(`project_name_domtrans',`
83.gen_require(`type project_name_t,project_name_exec_t；')
84.corecmd_search_bin($1)
85.domtrans_pattern($1,project_name_exec_t,project_name_t)
86.')
87.……
88.相应的，上下文定义文件为默认文件上下文定义的文件，可以包括指定的目录和文件等的默认安全上下文；例如上下文定义文件为.fc文件时，模板内容可以如下：
89.#the following files set project_name_var_lib_t
90./var/lib/project_name(/.*)？gen_context(system_u:object_r:project_name_var_lib_t,s0)
91.#the following files set project_name_var_run_t
92./var/run/project_name.stat.*gen_context(system_u:object_r:project_name_var_run_t,s0)
93./var/run/project_name.sock.*gen_context(system_u:object_r:project_name_var_run_t,s0)
94./var/run/project_name.pid gen_context(system_u:object_r:project_name_var_run_t,s0)
95.#the following files set project_name_var_log_t
96./var/log/project_name(/.*)？gen_context(system_u:object_r:project_name_var_log_t,s0)
97.需要说明的是，本步骤中的目标软件对应的软件安全策略配置文件可以为配置目标软件对应的软件selinux安全策略(即目标安全策略文件)所需的配置文件，即本实施例中处理器可以通过提取软件安全策略配置文件中的配置信息，对selinux安全策略通用模板进行调整配置，得到目标安全策略文件。
98.具体的，对于本实施例中软件安全策略配置文件中的具体内容，即selinux安全策略通用模板需要调整的具体内容，可以由设计人员根据使用场景和用户需求自行设置，如软件安全策略配置文件可以包括规则名称信息(project_name)，即规则的名称，该可以名称与创建的目标安全策略文件名称相同，且后续安装后的管理均可以以此名为标准，该名称同样应用于三个策略文件(如.te文件、.if文件和.fc文件)中相关变量和函数等的定义；软件安全策略配置文件也可以包括规则版本号信息(project_version)，即规则的版本号，为了方便进行版本管理，可根据软件进行配置；软件安全策略配置文件还可以包括软件执
行权限信息(permissive)，即配置的软件(即目标软件)执行时所需要的权限，可以采用如下格式进行配置：
99.permissive:[
[0100]
process:{},
[0101]
capability:{},
[0102]
fifo_file:{},
[0103]
tcp_socket:{},
[0104]
udp_socket:{},
[0105]
unix_stream_socket:{},
[0106]
netlink_route_socket:{},
[0107]
……
[0108]
]
[0109]
其中，软件执行权限信息(permissive)中可以包含多条权限的配置；若没有进行配置，则可以默认采用模板中对权限的配置；若进行了相关项的配置，则可以把该配置作为软件selinux安全策略的配置项。
[0110]
对应的，软件安全策略配置文件还可以包括软件安全上下文信息(project_context)，即对软件相关的安全上下文的配置信息，可以采用如下格式进行配置：
[0111]
context：[
[0112]
{
[0113]
content:project_contents,
[0114]
context:project_context；
[0115]
level:project_level
[0116]
},
[0117]
……
[0118]
]
[0119]
其中，上下文字段内容(context)中可以包括一条或多条对软件安全上下文的设置内容，每条的格式包含目录信息(content)、安全上下文信息(context)和安全等级信息(level)这三个关键字；content可以为软件相关的目录，context可以为该目录对应的安全上下文，level可以为该目录对应的安全等级。
[0120]
步骤102：根据软件安全策略配置文件，对selinux安全策略通用模板进行调整，生成目标安全策略文件。
[0121]
可以理解的是，本步骤中处理器可以加载selinux安全策略通用模板和软件安全策略配置文件，生成目标软件对应的软件selinux安全策略文件(即目标安全策略文件)。
[0122]
具体的，对于本实施例中处理器根据软件安全策略配置文件，对selinux安全策略通用模板进行调整，生成目标安全策略文件的具体方式，可以由设计人员自行设置，如处理器可以加载selinux安全策略通用模板和软件安全策略配置文件，先生成基础的软件selinux安全策略文件(即初始安全策略文件)；再根据初始安全策略文件，生成最终的软件selinux安全策略文件(即目标安全策略文件)。
[0123]
例如，软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执行权限
信息和软件安全上下文信息时，本步骤中处理器可以创建以规则名称信息为名称的初始安全策略文件，并将selinux安全策略通用模板中的内容拷贝到初始安全策略文件中，如创建以配置project_name(即规则名称信息)命名的初始安全策略文件(如project_name.te、project_name.fc和project_name.if)，并把模板中内容拷贝至初始安全策略文件中；遍历初始安全策略文件，将初始安全策略文件中的规则名称内容修改为规则名称信息，如将初始安全策略文件中project_name字段内容修改为配置的内容；将初始安全策略文件中的规则版本号内容修改为规则版本号信息，如将初始安全策略文件中project_version字段内容修改为配置文件中配置的内容；根据软件执行权限信息，修改初始安全策略文件中的权限配置；根据软件安全上下文信息，调整初始安全策略文件中的软件安全上下文配置，得到配置完成的初始安全策略文件。
[0124]
对应的，对于上述根据软件执行权限信息，修改初始安全策略文件中的权限配置的具体方式，可以由设计人员自行设置，如处理器可以遍历初始安全策略文件中的规则主文件，根据软件执行权限信息，修改规则主文件中软件执行权限信息对应的权限配置；例如处理器可以遍历初始安全策略文件中.te文件(即规则主文件)对权限的设置，若对应权限在配置文件中进行了配置，则修改.te文件中该权限为配置文件中的配置。
[0125]
对应的，对于上述根据软件安全上下文信息，调整初始安全策略文件中的软件安全上下文配置的具体方式，可以由设计人员自行设置，如处理器可以遍历软件安全上下文信息；若初始安全策略文件中的上下文定义文件中存在软件安全上下文信息中的目录信息，则根据软件安全上下文信息中目录信息对应的安全上下文信息和安全等级信息，修改上下文字段内容中目录信息对应的安全上下文配置和安全等级配置；若上下文定义文件中不存在目录信息，则在上下文定义文件中加入预设上下文信息。例如处理器可以遍历配置文件中context字段中的内容，若content在.fc文件(即上下文定义文件)中存在，则修改context和level为配置文件配置的内容；若content在.fc中不存在，则在.fc文件中添加预设上下文信息：content gent_context(context,level)。如selinux安全策略通用模板的上下文定义文件中预先设置了预设上下文信息时，处理器可以在初始安全策略文件中的上下文定义文件中不存在软件安全上下文信息中的目录信息时，直接确定初始安全策略文件配置完成。
[0126]
对应的，对于处理器根据初始安全策略文件，生成目标安全策略文件的具体方式，可以由设计人员自行设置，如处理器可以在配置完成初始安全策略文件后，直接将初始安全策略文件确定为目标安全策略文件。处理器也可以在配置完成初始安全策略文件后，根据预设软件特性信息，判断是否需要对初始安全策略文件进行修改；若是，则根据预设软件特性信息，对初始安全策略文件进行修改，并对修改后的初始安全策略文件进行编译安装验证，并将编译安装验证成功的初始安全策略文件确定为目标安全策略文件；若否，则将初始安全策略文件确定为目标安全策略文件，或者对初始安全策略文件进行编译安装验证，将编译安装验证成功的初始安全策略文件确定为目标安全策略文件。也就是说，本实施例中处理器可以根据预设软件特性信息，针对软件特性，对初始安全策略文件进行特定的增删改查，以进一步提高目标安全策略文件对目标软件的适用性。
[0127]
步骤103：在安装目标软件的过程中，安装目标安全策略文件。
[0128]
可以理解的是，本步骤中处理器可以在安装目标软件的过程中，同时安装目标安
全策略文件，实现目标安全策略文件对应的selinux安全策略的嵌入安装，而能够通过selinux安全策略对目标软件进行了访问控制，提高了后续目标软件运行过程的安全性。
[0129]
具体的，本步骤中处理器可以在selinux系统开启时，在安装目标软件的过程中，安装目标安全策略文件；如处理器可以在selinux系统开启时，默认在安装目标软件的过程中，安装目标安全策略文件；处理器也可以在selinux系统开启时，判断是否需要安装目标安全策略文件，如输出显示目标安全策略文件的安装选择信息；若需要安装目标安全策略文件，则在安装目标软件的过程中，安装目标安全策略文件，如在用户选择安装目标安全策略文件时，在目标软件安装的同时安装目标安全策略文件；若不需要安装目标安全策略文件，则继续安装目标软件。
[0130]
对应的，本实施例中处理器可以在在selinux系统未开启时，不在安装目标软件的过程中安装目标安全策略文件。也就是说，步骤103可以包括在安装目标软件的过程中，判断selinux是否开启；若selinux未开启，则继续安装目标软件；若selinux已开启，则判断是否需要安装目标安全策略文件；若需要安装目标安全策略文件，则在安装目标软件的过程中，安装目标安全策略文件；若不需要安装目标安全策略文件，则继续安装目标软件。
[0131]
具体的，本实施例中在进行软件集成安装时，可以为软件提供启用selinux安全策略和selinux安全策略独立安装接口；在selinux没有开启的情况下，若需要执行的命令为selinux安全策略安装命令，则不执行；否则，直接安装目标软件。在selinux开启的情况下，若需要执行的命令为selinux安全策略安装命令，则直接安装目标安全策略文件；否则，目标软件安装过程中判断是否安装selinux安全策略，是则在目标软件安装过程中把目标安全策略文件同时安装，否则只目标安装软件即可。
[0132]
本实施例中，本发明实施例通过selinux安全策略通用模板的开发，能够通过软件接口对该模板进行针对性的修改，形成适用于目标软件的selinux安全策略，降低了selinux安全策略开发的难度，提升了selinux安全策略的开发配置的便捷性；并且能够在进行目标软件安装时，将selinux安全策略同时安装进去，从而能够通过selinux安全策略对软件进行了访问控制，提高了软件运行过程的安全性。
[0133]
相应于上面的方法实施例，本发明实施例还提供了一种selinux安全策略的配置装置，下文描述的一种selinux安全策略的配置装置与上文描述的一种selinux安全策略的配置方法可相互对应参照。
[0134]
请参考图2，图2为本发明实施例所提供的一种selinux安全策略的配置装置的结构框图。该selinux安全策略的配置装置可以包括：
[0135]
获取模块10，用于获取selinux安全策略通用模板和目标软件对应的软件安全策略配置文件；其中，软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执行权限信息和软件安全上下文信息中的至少一项；
[0136]
生成模块20，用于根据软件安全策略配置文件，对selinux安全策略通用模板进行调整，生成目标安全策略文件；
[0137]
安装模块30，用于在安装目标软件的过程中，安装目标安全策略文件
[0138]
可选的，软件安全策略配置文件包括规则名称信息、规则版本号信息、软件执行权限信息和软件安全上下文信息时，生成模块20可以包括：
[0139]
创建子模块，用于创建以规则名称信息为名称的初始安全策略文件，并将selinux
安全策略通用模板中的内容拷贝到初始安全策略文件中；
[0140]
名称修改子模块，用于遍历初始安全策略文件，将初始安全策略文件中的规则名称内容修改为规则名称信息；
[0141]
版本修改子模块，用于将初始安全策略文件中的规则版本号内容修改为规则版本号信息；
[0142]
权限修改子模块，用于根据软件执行权限信息，修改初始安全策略文件中的权限配置；
[0143]
上下文修改子模块，用于根据软件安全上下文信息，调整初始安全策略文件中的软件安全上下文配置；
[0144]
确定子模块，用于将初始安全策略文件确定为目标安全策略文件。
[0145]
可选的，权限修改子模块可以具体用于遍历初始安全策略文件中的规则主文件，根据软件执行权限信息，修改规则主文件中软件执行权限信息对应的权限配置。
[0146]
可选的，上下文修改子模块可以具体用于遍历软件安全上下文信息；若初始安全策略文件中的上下文定义文件中存在软件安全上下文信息中的目录信息，则根据软件安全上下文信息中目录信息对应的安全上下文信息和安全等级信息，修改上下文字段内容中目录信息对应的安全上下文配置和安全等级配置；若上下文定义文件中不存在目录信息，则在上下文定义文件中加入预设上下文信息。
[0147]
可选的，生成模块20还可以包括：
[0148]
判断子模块，用于根据预设软件特性信息，判断是否需要对初始安全策略文件进行修改；若不需要对初始安全策略文件进行修改，则向确定子模块发送启动信号；
[0149]
修改确定子模块，用于若需要对初始安全策略文件进行修改，则根据预设软件特性信息，对初始安全策略文件进行修改，并对修改后的初始安全策略文件进行编译安装验证，并将编译安装验证成功的初始安全策略文件确定为目标安全策略文件。
[0150]
可选的，selinux安全策略通用模板包括规则主文件、规则接口文件和上下文定义文件，规则主文件具体为.te文件，规则接口文件具体为.if文件，上下文定义文件具体为.fc文件。
[0151]
可选的，安装模块30可以包括：
[0152]
第一安装判断子模块，用于在安装目标软件的过程中，判断selinux是否开启；
[0153]
第一安装子模块，用于若selinux未开启，则继续安装目标软件；
[0154]
第二安装判断子模块，用于若selinux已开启，则判断是否需要安装目标安全策略文件；
[0155]
第二安装子模块，用于若需要安装目标安全策略文件，则在安装目标软件的过程中，安装目标安全策略文件；
[0156]
第三安装子模块，用于若不需要安装目标安全策略文件，则继续安装目标软件。
[0157]
本实施例中，本发明实施例通过selinux安全策略通用模板的开发，能够通过软件接口对该模板进行针对性的修改，形成适用于目标软件的selinux安全策略，降低了selinux安全策略开发的难度，提升了selinux安全策略的开发配置的便捷性；并且能够在进行目标软件安装时，将selinux安全策略同时安装进去，从而能够通过selinux安全策略对软件进行了访问控制，提高了软件运行过程的安全性。
[0158]
相应于上面的方法实施例，本发明实施例还提供了一种selinux安全策略的配置设备，下文描述的一种selinux安全策略的配置设备与上文描述的一种selinux安全策略的配置方法可相互对应参照。
[0159]
请参考图3，图3为本发明实施例所提供的一种selinux安全策略的配置设备的结构示意图。该selinux安全策略的配置设备可以包括：
[0160]
存储器d1，用于存储计算机程序；
[0161]
处理器d2，用于执行计算机程序时实现上述方法实施例所提供的selinux安全策略的配置方法的步骤。
[0162]
具体的，请参考图4，图4为本发明实施例所提供的一种selinux安全策略的配置设备的具体结构示意图，该selinux安全策略的配置设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，cpu)322(例如，一个或一个以上处理器)和存储器332，一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中，存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储介质330通信，在selinux安全策略的配置设备310上执行存储介质330中的一系列指令操作。
[0163]
selinux安全策略的配置设备310还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。例如，windows servertm，mac os xtm，unixtm，linuxtm，freebsdtm等。
[0164]
上文所描述的selinux安全策略的配置方法中的步骤可以由selinux安全策略的配置设备的结构实现。
[0165]
相应于上面的方法实施例，本发明实施例还提供了一种可读存储介质，下文描述的一种可读存储介质与上文描述的一种selinux安全策略的配置方法可相互对应参照。
[0166]
一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例的selinux安全策略的配置方法的步骤。
[0167]
该可读存储介质具体可以为u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
[0168]
说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
[0169]
以上对本发明所提供的一种selinux安全策略的配置方法、装置、设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。