[发明专利]一种批量预设置文件安全上下文的方法及装置

说明书

本发明涉及一种批量预设置文件安全上下文的方法及装置，其中，方法包括：遍历总目录，所述总目录包括所有的待处理文件及目录；根据文件名，搜索系统的策略文件，查找与待处理文件对应的安全上下文；根据查找结果，通过安全上下文设置工具为每个文件设置对应的安全上下文；循环处理所有的文件及目录；完成所有文件的安全上下文设置后，将所述总目录打包成压缩包，由于安全上下文是文件的元数据，所以每个文件的安全上下文会随文件一同被打包到压缩包；将所述压缩包放入软件升级包。本发明能够避免在系统启动阶段多次对文件系统属性进行设置挂载，减小系统被入侵的风险，提高安全上下文的设置效率。

技术领域

本发明涉及通信领域，具体而言，涉及一种批量预设置文件安全上下文的方法及装置。

背景技术

在使用了SELinux的系统中，一切皆对象（object），以及由存放在inode的扩展属性域的安全元素所控制其访问的所有文件、端口资源和进程都具备安全标签：安全上下文（security context）。

目前，标记文件的安全上下文通常采用以下方式：内核在系统启动过程中通过SELinux策略文件中的定义为每个文件标记安全上下文，这种标记的操作实际是修改文件的元数据，属于对文件的写操作。而嵌入式系统中，基于安全的考虑，通常会把文件系统设置为只读属性，导致内核无法标记只读文件系统上的文件的安全属性。因此，只能在系统启动的过程中，临时地把文件系统设置为可读写属性，让内核完成标记安全上下文的工作后，再将文件系统重新挂载为只读属性。这种方法在系统启动过程临时将文件系统设置为可读写，一方面增加系统被入侵的风险，另一方面系统启动过程多次临时设置文件系统的属性，容易造成系统启动失败。

此外，在对嵌入式系统进行软件升级时，在生成软件升级包前，对要升级到嵌入式系统的文件进行安全上下文的预设置，再把这些文件打包成压缩包，放入软件升级包，那么软件升级包里的文件就具备了安全上下文，当软件升级包被烧录到系统后，解压压缩包，这些文件就具备了安全上下文。但是压缩包包含了整个系统需要的文件，数量非常多，且文件分布在不同的子目录下，手动对文件进行安全属性的设置耗时会非常地长。

发明内容

本发明的目的在于提供了一种批量预设置文件安全上下文的方法及装置，能够解决系统启动过程中只读文件系统在不改变文件系统属性并重新挂载的情况下，无法标记文件安全上下文的问题，避免在系统启动阶段多次对文件系统属性进行设置挂载，减小系统被入侵的风险，提高安全上下文的设置效率。

一种批量预设置文件安全上下文的方法，包括：遍历总目录，所述总目录包括所有的待处理文件及目录； 根据文件名，搜索系统的策略文件，查找与待处理文件对应的安全上下文；根据查找结果，通过安全上下文设置工具为每个文件设置对应的安全上下文；循环处理所有的文件及目录；完成所有文件的安全上下文设置后，将所述总目录打包成压缩包，由于安全上下文是文件的元数据，所以每个文件的安全上下文会随文件一同被打包到压缩包；将所述压缩包放入软件升级包。

进一步的，在循环处理所有的文件及目录的过程中，如果遇到子目录，则进入子目录，对子目录下的所有文件进行处理，直到整个总目录的遍历完成。

进一步的，还包括将所述软件升级包烧录到设备对软件进行升级。

进一步的，所述设备为嵌入式设备。

进一步的，所述遍历总目录在编译软件的过程中进行。

进一步的，所述系统为SELinux系统。

本发明还提供了一种批量预设置文件安全上下文的装置，包括：检索模块，用于遍历总目录，根据总目录内待处理文件的文件名，搜索系统的策略文件，查找待处理文件对应的安全上下文；生成模块，用于通过安全上下文设置工具为每个文件设置对应的安全上下文；打包模块，用于将总目录打包成压缩包，并将所述压缩包放入软件升级包。

进一步的，还包括存储模块，所述存储模块用于存储软件升级包。