银河麒麟系统安全机制-KYSEC
<p>麒麟系统为什么称为国内最安全的Linux系统?秘密就在于KYSEC,麒麟系统安全机制。一般情况下Linux下默认的接入控制是DAC,其特点是资源的拥有者可以对他进行任何操作(读、写、执行)。当一个进程准备操作资源时,Linux内核会比较进程和资源的UID和GID,如果权限允许,就可以进行相应的操作。这种方式在实际使用中往往会带来一些问题,如果一个进程是以root的身份运行的,也就是他能对系统的任何资源进行操作,而且不被限制。假如我们的软件存在漏洞呢?这往往是一个灾难性的问题。因此,就引出了另外一种安全接入控制机制MAC。默认情况下,MAC不允许任何访问,组织可以开发任意数量的策略规则指定允许什么,从而避免很多攻击。MAC强制访问控制有三种实现方式:Apparmor、SELinux、kysec。</p><p>一、Apparmor</p>
<p>Apparmor是内核模块的一个安全框架,使用文件名作为安全标签。系统管理员通过将每个程序与一个安全配置文件关联,从而限制程序的功能。通过配置文件,你可以指定程序可以读、写或者运行哪些文件,是否可以打开网络端口等。</p>
<p>Apparmor是Ubuntu的默认选择。</p>
<p>二、SELinux</p>
<p>SELinux是美国国家安全局(NSA)对于强制访问控制的实现,是Linux历史上最杰出的系统安全子系统。通过给系统所有用户、进程、文件分别赋予一个安全标记,通过安全策略规则来实施安全控制;只有安全策略允许的操作才能执行成功,安全策略禁止或者没有定制安全策略的操作则执行失败。</p>
<p>三、KYSEC</p>
<p>KYSEC是基于kysec安全标记对执行程序、脚本文件、共享库、内核模块进行保护的一种安全机制。除了系统默认集成的执行程序、脚本文件、共享库、内核模块,任何外来的该4种文件,如拷贝、移动、下载、重新编译生成等,都必须添加到麒麟安全管理工具的相应白名单列表中,才能执行调用。会对白名单列表中的文件进行保护,保护文件不被修改、移动、删除。</p>
<p>1、安全模式</p>
<p>KYSEC有三种安全模式:</p>
<pre><code>强制模式(Normal):出现违规操作时,不止会审计记录该操作,还会阻止该操作的运行;警告模式(Warning):出现违规操作时,会弹出麒麟安全授权认证框进行授权;软模式(Softmode):出现违规操作时,只会审计记录该操作,而不会阻止该操作的运行。
</code></pre>
<p>2、使用介绍</p>
<p>1、查看当前kysec的相关安全状态</p>
<pre><code class="language-bash">getstatus
</code></pre>
<p>显示结果如下:<br>
<img src="https://img2020.cnblogs.com/blog/1274763/202108/1274763-20210822214238931-355423831.png" alt="" loading="lazy"></p>
<p>第一行Kysec status表示当前Kysec状态为normal;<br>
第二行exec control表示当前执行控制功能状态为警告;<br>
第三行net control表示当前网络控制功能状态为警告;<br>
第四行file protect表示当前文件保护功能为开;<br>
第五行kmod protect表示当前内核模块保护状态为开;<br>
第六行three protect表示当前三权分立状态为关;<br>
第七行process protect表示当前进程保护功能为开。</p>
<p>只有当相应功能的状态为开(on)时,其所控制的功能配置才能生效。</p>
<p>2、修改当前Kysec的相关安全状态</p>
<pre><code class="language-bash"># 设置Kysec安全状态为软/强制模式;
sudo setstatus softmode/normal
# 关闭执行控制功能状态:
sudo setstatus -f exectl off
# 开启执行控制功能状态:
sudo setstatus -f exectl on
# 关闭内核模块保护功能
sudo setstatus -f kmod off
# 关闭文件保护功能
sudo setstatus -f fpro off
</code></pre>
<p>3、查看Kysec安全标记</p>
<pre><code class="language-bash">kysec_get /usr/sbin/kysec_get
</code></pre>
<p>显示结果如下:<br>
<img src="https://img2020.cnblogs.com/blog/1274763/202108/1274763-20210822214355257-88881078.png" alt="" loading="lazy"></p>
<p>标记说明如下:<br>
<img src="https://img2020.cnblogs.com/blog/1274763/202108/1274763-20210822214412815-283535064.png" alt="" loading="lazy"></p>
<p>4、配置Kysec安全标记</p>
<pre><code class="language-bash">kysec_set [-r] -n exectl/protect/userid -v 标记符号 file
</code></pre>
<p>设置文件或目录的kysec安全标记;exectl对应执行控制标记,protect对应文件保护标记,userid对应文件身份标记;(strict安全模式时,只有secadm可以执行)</p>
<p>例子:</p>
<pre><code class="language-bash">sudo kysec_set -n exectl -v original /tmp/ls
</code></pre>
<p>参考链接:<br>
https://zhuanlan.zhihu.com/p/349663329</p><br><br>
来源:https://www.cnblogs.com/chendeqiang/p/15173757.html
頁:
[1]