麒麟桌面系统安全中心介绍

麒麟桌面系统安全中心介绍

• 图形界面操作非常简单，请自行学习，本博客只介绍命令行相关操作。

1. 概况

1.1. 查看kysec状态

kylin@kylin-vm:~$ getstatus 
KySec status: enabled

exec control: off    #应用程序执行控制（应用程序控制与保护模块）
net control : off    #应用程序联网控制（网络保护模块）
file protect: on     #文件防篡改（应用程序控制与保护模块）
kmod protect: on     #内核模块防卸载（应用程序控制与保护模块）
three admin : off    #三权分立
process protect: on  #进程防杀死（应用程序控制与保护模块）
device control: off  #设备管控（2203版本以上才有）

1.2. 设置kysec状态

#语法
setstatus -f < exectl | netctl > < off | enforcing | warning > [-p]
setstatus -f < ppro | kmod | fpro | devctl > < off | on >

参数说明：
    -f：指定要设置的模块
    -p：永久生效
    off：关闭 | enforcing：强制模式 | warning：警告模式（弹出提示授权窗口）
    off：关闭 | on：开启

2. 账户安全

2.1. 密码强度

配置文件：/etc/security/pwquality.conf

#最小密码长度
minlen = 8

#正值：密码中最多数字个数，负值：密码中最少数字个数。
dcredit = 0

#正值：密码中最多大写字母个数，负值：密码中最少大写字母个数。
ucredit = 0

#正值：密码中最多小写字母个数，负值：密码中最少小写字母个数。
lcredit = 0

#正值：密码中最多特殊字符个数，负值：密码中最少特殊字符个数。
ocredit = 0

#密码中最少字符种类（数字、大写字母、小写字母、特殊字符）。
# minclass = 2

#0：关闭字典检查，1：开启字典检查。
dictcheck = 0

2.2. 密码有效期

对于新建密码，配置文件：/etc/login.defs

#密码最长有效期，99999表示永久有效。
PASS_MAX_DAYS   99999

#密码最短有效期，0表示不限制
PASS_MIN_DAYS   0

#密码过期前多久警告。
PASS_WARN_AGE   7

对于已有用户密码

kylin@kylin-vm:~$ chage --help
用法：chage [选项] 登录名

选项：
  -d, --lastday 最近日期        将最近一次密码设置时间设为“最近日期”
  -E, --expiredate 过期日期     将帐户过期时间设为“过期日期”
  -h, --help                    显示此帮助信息并退出
  -i, --iso8601                 use YYYY-MM-DD when printing dates
  -I, --inactive INACITVE       过期 INACTIVE 天数后，设定密码为失效状态
  -l, --list                    显示帐户年龄信息
  -m, --mindays 最小天数        将两次改变密码之间相距的最小天数设为“最小天数”
  -M, --maxdays MAX_DAYS        set maximum number of days before password
                                change to MAX_DAYS
  -R, --root CHROOT_DIR         chroot 到的目录
  -W, --warndays 警告天数       将过期警告天数设为“警告天数”

2.3. 账户锁定

配置文件：/etc/pam.d/common-auth

#连续输错5次，锁定3分钟。
auth    [success=1 default=ignore]      pam_unix.so nullok_secure try_first_pass deny=5 unlock_time=180 root_unlock_time=180

参数说明：
    deny：密码连续输错次数
    unlock_time：普通用户锁定后所需解锁时间
    root_unlock_time：root用户锁定后所需解锁时间

3. 网络保护

3.1. 防火墙

配置文件：/etc/kylin-firewall/kylin-firewall.conf

#当前网络模式
Zone=public | work | custom | trusted

#之前网络模式
PreZone=public | work | custom | trusted

参数说明：
    public：公共模式
    work：工作模式
    custom：自定义模式
    trusted：信任模式

3.2. 应用程序联网

语法：
setstatus -f netctl < off | enforcing | warning > [-p]

参数说明：同1.2节

4. 应用控制与保护

4.1. 应用程序来源检查

系统暂不支持命令行设置。安装 kylin-signtool、libkylin-signtool 这两个依赖包之后就可以使用命令行进行配置了。

#查看应用程序来源检查状态
kylin@kylin-vm:~$ getsignstatus 
麒麟签名状态：关闭

#设置应用程序来源检查状态
kylin@kylin-vm:~$ setsignstatus --help
用法：setsignstatus [选项]
选项：
    off,        设置安装deb包的状态为关闭
    warning,    设置安装deb包的状态为警告
    on,            设置安装deb包的状态为开启（需要提权）
     --help,    命令提示帮助

 例子：
     setsignstatus on
     setsignstatus off

4.2. 应用程序执行控制

语法：
setstatus -f exectl < off | enforcing | warning > [-p]

参数说明：同1.2节

4.3. 应用程序防护

4.3.1. 进程防杀死

关键进程状态监控：进程退出状态为DEAD、ZOMBIE或者进程主动退出时，会调用关机、注销、锁屏操作。配置文件 /etc/kysec/ppro/ppro.conf 中配置防护动作，poweroff为关机，logout为注销，lock为锁屏。

配置文件：
/sys/kernel/security/kysec/ppro：进程防护状态（1开启，0关闭）
/sys/kernel/security/kysec/ppro_info：各类型防护进程数量
/etc/kysec/ppro/ppro.xml：进程防护列表

语法：

#设置进程防护模块状态。
setstatus -f ppro < off | on >

参数说明：同1.2节

#设置单个进程状态。（v10可用）
kysec_ppro < -a | -u | -d > < process > < subs | key >

参数说明：
    -a：加入进程防护列表 | -u：更新进程防护列表 | -d：从防护进程中移除
    subs：进程防杀死 | key：关键进程状态监控

4.3.2. 内核模块防卸载

#设置内核模块防卸载模块状态。
setstatus -f kmod < off | on >

参数说明：同1.2节。

#将模块加入防卸载白名单
kysec_set -n exectl -v < original | verified | trusted |kysoft >  <MODULEFILE>

#将模块从防卸载名单移除
kysec_set -n exectl -v unknown <MODULEIFLE>

参数说明：同4.3.3节。

#设置单个模块状态。（V10可用）
kysec_kmod < -a | -d > < MODULEFILE>

参数说明：
    -a：开启防卸载保护 | -d：关闭防卸载保护

4.3.3. 文件防篡改

#设置文件防篡改模块状态。
setstatus -f fpro < off | on >

参数说明：同1.2节。

文件标记类型

• userid（文件身份标记）：用于对执行文件的用户进行限制。 secadm：只能安全管理员执行 audadm：只能审计管理员执行 none：所有用户都可执行
• protect（文件保护标记）：用于对文件进行保护和检测。 verify：执行前检查文件是否发生变化，如果发生变化禁止执行。 readonly：文件只读，禁止对文件进行写入、移动、重命名和属性修改。 none：无文件保护标记。
• exectl（执行控制标记）：用于对文件是否可执行进行控制。 unknown：未知、被篡改文件标记。 original：系统原始文件标记。 verified：认证标记。 kysoft：麒麟软件标记。 trusted：信任标记，拥有该标记的程序对文件进行修改时，文件的标记不变。 parent：dpkg类标记。

#查看文件标记
kylin@kylin-vm:~$ kysec_get /usr/bin/cat
/usr/bin/cat: none:none:original

#设置文件标记
kysec_set [-r] -n < userid | protect | exectl > -v <标记符号> <PATH>

参数说明：
    -r：递归，用于目录。
    -n：指定标记类型。
    -v：指定标记符号。
    PATH：需要更新到白名单列表的文件路径，该文件必须为可执行文件、shell脚本、python脚本、so动态链接库、ko内核模块。
    
示例：
#将test.sh加入文件保护列表
kysec_set -n protect -v readonly ~/桌面/test.sh

#将test.sh移出文件保护列表
kysec_set -n protect -v none ~/桌面/test.sh