麒麟桌面系统安全中心介绍

这篇具有很好参考价值的文章主要介绍了麒麟桌面系统安全中心介绍。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

麒麟桌面系统安全中心介绍

图形界面操作非常简单，请自行学习，本博客只介绍命令行相关操作。

1. 概况

1.1. 查看kysec状态

kylin@kylin-vm:~$ getstatus 
KySec status: enabled

exec control: off    #应用程序执行控制（应用程序控制与保护模块）
net control : off    #应用程序联网控制（网络保护模块）
file protect: on     #文件防篡改（应用程序控制与保护模块）
kmod protect: on     #内核模块防卸载（应用程序控制与保护模块）
three admin : off    #三权分立
process protect: on  #进程防杀死（应用程序控制与保护模块）
device control: off  #设备管控（2203版本以上才有）

1.2. 设置kysec状态

#语法
setstatus -f < exectl | netctl > < off | enforcing | warning > [-p]
setstatus -f < ppro | kmod | fpro | devctl > < off | on >

参数说明：
    -f：指定要设置的模块
    -p：永久生效
    off：关闭 | enforcing：强制模式 | warning：警告模式（弹出提示授权窗口）
    off：关闭 | on：开启

2. 账户安全

2.1. 密码强度

配置文件：/etc/security/pwquality.conf

#最小密码长度
minlen = 8

#正值：密码中最多数字个数，负值：密码中最少数字个数。
dcredit = 0

#正值：密码中最多大写字母个数，负值：密码中最少大写字母个数。
ucredit = 0

#正值：密码中最多小写字母个数，负值：密码中最少小写字母个数。
lcredit = 0

#正值：密码中最多特殊字符个数，负值：密码中最少特殊字符个数。
ocredit = 0

#密码中最少字符种类（数字、大写字母、小写字母、特殊字符）。
# minclass = 2

#0：关闭字典检查，1：开启字典检查。
dictcheck = 0

2.2. 密码有效期

对于新建密码，配置文件：/etc/login.defs

#密码最长有效期，99999表示永久有效。
PASS_MAX_DAYS   99999

#密码最短有效期，0表示不限制
PASS_MIN_DAYS   0

#密码过期前多久警告。
PASS_WARN_AGE   7

对于已有用户密码

kylin@kylin-vm:~$ chage --help
用法：chage [选项] 登录名

选项：
  -d, --lastday 最近日期        将最近一次密码设置时间设为“最近日期”
  -E, --expiredate 过期日期     将帐户过期时间设为“过期日期”
  -h, --help                    显示此帮助信息并退出
  -i, --iso8601                 use YYYY-MM-DD when printing dates
  -I, --inactive INACITVE       过期 INACTIVE 天数后，设定密码为失效状态
  -l, --list                    显示帐户年龄信息
  -m, --mindays 最小天数        将两次改变密码之间相距的最小天数设为“最小天数”
  -M, --maxdays MAX_DAYS        set maximum number of days before password
                                change to MAX_DAYS
  -R, --root CHROOT_DIR         chroot 到的目录
  -W, --warndays 警告天数       将过期警告天数设为“警告天数”

2.3. 账户锁定

配置文件：/etc/pam.d/common-auth

#连续输错5次，锁定3分钟。
auth    [success=1 default=ignore]      pam_unix.so nullok_secure try_first_pass deny=5 unlock_time=180 root_unlock_time=180

参数说明：
    deny：密码连续输错次数
    unlock_time：普通用户锁定后所需解锁时间
    root_unlock_time：root用户锁定后所需解锁时间

3. 网络保护

3.1. 防火墙

配置文件：/etc/kylin-firewall/kylin-firewall.conf

#当前网络模式
Zone=public | work | custom | trusted

#之前网络模式
PreZone=public | work | custom | trusted

参数说明：
    public：公共模式
    work：工作模式
    custom：自定义模式
    trusted：信任模式

3.2. 应用程序联网

语法：
setstatus -f netctl < off | enforcing | warning > [-p]

参数说明：同1.2节

4. 应用控制与保护

4.1. 应用程序来源检查

系统暂不支持命令行设置。安装 kylin-signtool、libkylin-signtool 这两个依赖包之后就可以使用命令行进行配置了。

#查看应用程序来源检查状态
kylin@kylin-vm:~$ getsignstatus 
麒麟签名状态：关闭

#设置应用程序来源检查状态
kylin@kylin-vm:~$ setsignstatus --help
用法：setsignstatus [选项]
选项：
	off,		设置安装deb包的状态为关闭
	warning,	设置安装deb包的状态为警告
	on,		    设置安装deb包的状态为开启（需要提权）
	 --help,	命令提示帮助

 例子：
	 setsignstatus on
	 setsignstatus off

4.2. 应用程序执行控制

语法：
setstatus -f exectl < off | enforcing | warning > [-p]

参数说明：同1.2节

4.3. 应用程序防护

4.3.1. 进程防杀死

关键进程状态监控：进程退出状态为DEAD、ZOMBIE或者进程主动退出时，会调用关机、注销、锁屏操作。配置文件 /etc/kysec/ppro/ppro.conf 中配置防护动作，poweroff为关机，logout为注销，lock为锁屏。

配置文件：
/sys/kernel/security/kysec/ppro：进程防护状态（1开启，0关闭）
/sys/kernel/security/kysec/ppro_info：各类型防护进程数量
/etc/kysec/ppro/ppro.xml：进程防护列表

语法：

#设置进程防护模块状态。
setstatus -f ppro < off | on >

参数说明：同1.2节

#设置单个进程状态。（v10可用）
kysec_ppro < -a | -u | -d > < process > < subs | key >

参数说明：
    -a：加入进程防护列表 | -u：更新进程防护列表 | -d：从防护进程中移除
    subs：进程防杀死 | key：关键进程状态监控

4.3.2. 内核模块防卸载

#设置内核模块防卸载模块状态。
setstatus -f kmod < off | on >

参数说明：同1.2节。

#将模块加入防卸载白名单
kysec_set -n exectl -v < original | verified | trusted |kysoft >  <MODULEFILE>

#将模块从防卸载名单移除
kysec_set -n exectl -v unknown <MODULEIFLE>

参数说明：同4.3.3节。

#设置单个模块状态。（V10可用）
kysec_kmod < -a | -d > < MODULEFILE>

参数说明：
    -a：开启防卸载保护 | -d：关闭防卸载保护

4.3.3. 文件防篡改

#设置文件防篡改模块状态。
setstatus -f fpro < off | on >

参数说明：同1.2节。

文件标记类型

userid（文件身份标记）：用于对执行文件的用户进行限制。
secadm：只能安全管理员执行
audadm：只能审计管理员执行
none：所有用户都可执行
protect（文件保护标记）：用于对文件进行保护和检测。
verify：执行前检查文件是否发生变化，如果发生变化禁止执行。
readonly：文件只读，禁止对文件进行写入、移动、重命名和属性修改。
none：无文件保护标记。
exectl（执行控制标记）：用于对文件是否可执行进行控制。
unknown：未知、被篡改文件标记。
original：系统原始文件标记。
verified：认证标记。
kysoft：麒麟软件标记。
trusted：信任标记，拥有该标记的程序对文件进行修改时，文件的标记不变。
parent：dpkg类标记。文章来源地址https://www.toymoban.com/news/detail-637165.html

#查看文件标记
kylin@kylin-vm:~$ kysec_get /usr/bin/cat
/usr/bin/cat: none:none:original

#设置文件标记
kysec_set [-r] -n < userid | protect | exectl > -v <标记符号> <PATH>

参数说明：
    -r：递归，用于目录。
    -n：指定标记类型。
    -v：指定标记符号。
    PATH：需要更新到白名单列表的文件路径，该文件必须为可执行文件、shell脚本、python脚本、so动态链接库、ko内核模块。
    
示例：
#将test.sh加入文件保护列表
kysec_set -n protect -v readonly ~/桌面/test.sh

#将test.sh移出文件保护列表
kysec_set -n protect -v none ~/桌面/test.sh

到了这里，关于麒麟桌面系统安全中心介绍的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！