麒麟KYSEC使用方法03-开启及关闭netctl

最新推荐文章于 2025-03-20 09:04:24 发布
最新推荐文章于 2025-03-20 09:04:24 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: UOS linux 统信 文章标签: ssh 运维 数据库 mysql redis kylin kysec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69493559/article/details/134530182
版权

原文链接:麒麟KYSEC使用方法03-开启及关闭netctl
hello,大家好啊,今天给大家带来麒麟KYLINOS的kysec使用方法系列文章第三篇内容----使用命令开启及关闭netctl,联网控制策略有三种模式,off/enforing/warning,今天给大家介绍一下使用命令关闭联网控制策略的文章,强制和警告大家可以以此类推,欢迎大家点个赞并点个在看。关注我吧!
1、查看系统信息

pdsyw@pdsyw-pc:~/桌面$ sudo -i
root@pdsyw-pc:~# 
root@pdsyw-pc:~# cat /etc/.kyinfo 
[dist]
name=Kylin
milestone=Desktop-V10-SP1-General-Release-2303
arch=arm64
beta=False
time=2023-04-27 15:46:53
dist_id=Kylin-Desktop-V10-SP1-General-Release-2303-arm64-2023-04-27 15:46:53

[servicekey]
key=0516013

[os]
to=
term=2024-08-01

root@pdsyw-pc:~# uname -a
Linux pdsyw-pc 5.4.18-85-generic #74-KYLINOS SMP Fri Mar 24 11:20:19 UTC 2023 aarch64 aarch64 aarch64 GNU/Linux
root@pdsyw-pc:~#

image.png

2、查看联网策略情况

root@pdsyw-pc:~# getstatus 
KySec status: enabled

exec control: off
net control : warning
file protect: on
kmod protect: on
three admin : off
process protect: on
device control: on
ipt control : on
root@pdsyw-pc:~#

image.png

3、在页面查看联网控制策略情况
image.png

4、临时关闭联网控制策略

root@pdsyw-pc:~# setstatus -f netctl off 
root@pdsyw-pc:~# 
root@pdsyw-pc:~# 
root@pdsyw-pc:~# getstatus 
KySec status: enabled

exec control: off
net control : off
file protect: on
kmod protect: on

image.png

5、在页面查看
image.png

6、重启

root@pdsyw-pc:~# 
root@pdsyw-pc:~# 
root@pdsyw-pc:~# reboot

image.png

7、查看联网控制策略

root@pdsyw-pc:~# getstatus 
KySec status: enabled

exec control: off
net control : warning
file protect: on
kmod protect: on
three admin : off
process protect: on
device control: on
ipt control : on
root@pdsyw-pc:~#

image.png

8、在页面查看,策略已经恢复
image.png

9、永久关闭联网控制策略

root@pdsyw-pc:~# setstatus -f netctl off 
root@pdsyw-pc:~# 
root@pdsyw-pc:~# 
root@pdsyw-pc:~# getstatus 
KySec status: enabled

exec control: off
net control : off
file protect: on
kmod protect: on

image.png

10、在页面查看策略
image.png

11、重启

root@pdsyw-pc:~# 
root@pdsyw-pc:~# 
root@pdsyw-pc:~# reboot

image.png

12、重启后策略没有恢复
image.png

麒麟系统安全管理工具kysec机制详解
太极淘的博客
03-02 1万+
麒麟系统安全管理工具kysec机制
银河麒麟系统KYSEC详解
广阔天地,大有作为
10-23 2369
银河麒麟操作系统是一款以安全为核心的国产操作系统,其中KYSECKylin Security Module)是其核心安全机制之一。KYSEC通过安全标记对执行程序、脚本文件、共享库、内核模块进行保护,确保系统的安全性和稳定性。
桌面银河麒麟V10 SP1永久关闭Kysec
u014744800的博客
04-13 3027
Kysec
麒麟桌面系统(kylin-desktop-v10-sp1)文件管理器屏蔽网上邻居
最新发布
ocy的博客
03-20 285
设备连接上网络之后,麒麟系统的网上邻居会自带扫描周围的共享设备(特别是支持smb协议的共享打印机),如果客户的内网共享设备特别多,打开文件管理器时,会很影响体验。
银河麒麟V10安装后,网速慢,断网,网络图标显示“!”、网卡:RTL8111/8168/8411
热门推荐
alin、m
12-19 1万+
继续400电话咨询,说:没事,不影响使用,那个状态没有转变,需要更新kylin-nm的包,但这个补丁还在修复,如果跟新kylin-nm这个包会黑屏。我在银河麒麟官网下载并安装官网提供的试用版本,安装完之后,发现网络时常出现问题,经常网速变慢或者断网,需要电脑重启之后,重新激活才能连上网络。在网上查到有关类似的网络问题更新网卡驱动就解决了网络问题,由于我下载定制系统版本比较新,怀着学习的目的给400打电话咨询一下,给出解决方法是更新系统网络补丁来解决网络卡、慢、断网、网络图标显示问题。
Ubunto麒麟系统网卡设备关闭无法打开
weixin_43518217的博客
11-22 3175
麒麟系统网络问题:设备无法打开
永久禁用网卡 _ 统信UOS _ 麒麟KOS
鹏大圣运维
04-19 3028
Hello,大家好啊!在某些情况下,为了安全考虑或其他原因,我们可能需要在统信UOS或麒麟KOS操作系统上永久禁用某些网卡。这可以防止未经授权的网络访问,保护敏感数据不被泄露。今天我将为大家介绍如何在这两种操作系统上永久禁用网卡的方法
银河麒麟操作系统网络图标消失或显示网络禁用导致无法连接网络的解决方法
无敌超人————————-_-_-____
04-10 9267
方法一:修改/var/lib/NetworkManager下的NetworkManager.state文件,将所有值都设置为true,然后重启系统。方法二:或者建议您直接删除/var/lib/NetworkManager下的NetworkManager.state文件,然后重启系统。指令:执行sudo rm /var/lib/NetworkManager/NetworkManager.state命令来删除该文件。更多国产软硬件知识可以到。还有别忘了关注我哦!
netctl
weixin_34146410的博客
03-04 373
netctl is a CLI-based tool used to configure and manage network connections via profiles. It is a native Arch Linux project for network configuration.   https://wiki.archlinux.org/index.php/Netctl ...
archlinux配置netctl
473687880
05-08 723
archlinux的网络链接管理服务由netcfg切换成了netctlnetctl配置文件的位置是/etc/netctl。 将/etc/netctl/examples目录的对应配置文件拷贝到/etc/netctl目录下,根据自己的需求修改。 使用netctl指令可以查看、修改、启动对应的网卡服务。具体指令列表如下: 使用netctl enable ethernet-dhcp命令将dhc...
netctl:基于配置文件的系统网络管理
01-28
netctl:基于配置文件的系统网络管理
很不错网络拓朴管理工具netctl(外国人编的)
03-31
网络拓朴工具,不是源代码,但可以为编网络工具的朋友提供个参考
怎样在 Ubuntu 12.04 中安装和设置 Samba 实现网上邻居共享
05-30
怎样在 Ubuntu 12.04 中安装和设置 Samba 实现网上邻居共享
linux wifi 手动设置ip,netctl-在Arch Linux上设置Wifi和静态IP
weixin_36218209的博客
05-04 1317
本指南将介绍如何使用netctl命令行工具在arch linux上设置wifi ,Netctl命令行工具,用于通过Arch Linux上的配置文件配置和管理网络连接。如果在系统上不存在,则可以通过运行下面命令来获取该命令:$ sudo pacman -S netctl$ netctl --helpnetctl需要一些其他依赖项才能正常工作,请使用以下命令安装它们:$ sudo pacman -S...
netctl 项目使用教程
gitblog_00562的博客
09-05 364
netctl 项目使用教程 netctlProfile based systemd network management项目地址:https://gitcode.com/gh_mirrors/ne/netctl 1. 项目的目录结构及介绍 netctl/ ├── contrib/ │ └── init-scripts/ ├── doc/ │ ├── examples/ │ └── m...
arch linux安装netctl配置
weixin_39789796的博客
04-02 1133
安装netctl 配置静态IP 用netctl,在/etc/netctl目录里,example里面是样例,有各种,有线无dhcp,有线自动dhcp,无线,你看名字就知道了,拷贝到上级目录,vim改一改 [root@liujunjun ~]# cat /etc/netctl/ethernet-static Description='A basic static ethernet connection' Interface=ens33 Connection=ethernet IP=static Address=
Linux-安全-isic-ctmm-相关
linbounconstraint的专栏
08-09 642
Linux-安全-isic-ctmm-相关。
如何在 Arch Linux 中配置静态 IP 和动态 IP 地址?
网络技术联盟站
04-16 1031
通过本文,我们学习了在 Arch Linux 中配置静态和动态 IP 地址的方法。这些基础网络配置对于确保系统稳定连接到互联网至关重要。通过适当的配置,我们可以根据需要选择静态或动态 IP 地址,以满足不同的网络需求。
详细讲解下 kysec加固模式 的使用方法
03-12
<think>好的,用户想要了解麒麟系统中的kysec加固模式的使用方法。之前他们问过LD_PRELOAD不生效的问题,现在转向kysec的具体使用,可能是因为在排查过程中遇到了安全策略的限制,需要更深入了解如何配置kysec来允许他们的库被加载。 首先,我需要回顾之前的回答,其中提到kysec可能阻止了LD_PRELOAD,所以用户现在需要详细指导如何操作kysec。用户可能是系统管理员或开发者,在尝试部署应用程序时遇到权限问题,需要调整安全设置。 接下来,我需要确定kysec的基本概念,包括它的功能,比如强制访问控制、文件保护、执行控制等。用户需要知道如何查看当前状态,如何修改设置,添加白名单,处理不同模式(强制/宽松)等。 然后,考虑用户可能的使用场景。例如,他们可能需要将某个库文件加入白名单,或者临时禁用kysec来测试问题。需要分步骤讲解命令,比如kysec_set的使用,文件标记管理,日志查看等。同时,要提醒用户注意安全风险,比如在宽松模式下运行可能带来的隐患。 还需要考虑用户可能的疑问,比如如何恢复默认设置,如何处理多个文件,或者如何验证设置是否生效。这时候需要提供具体的命令示例和解释,比如用lsattr查看文件属性,检查日志确认操作是否成功。 最后,确保回答结构清晰,分点列出,包括基础概念、常用命令、实际案例、注意事项等,让用户能够逐步理解和操作。同时,强调生产环境中谨慎操作,避免降低系统安全性。</think>以下是对 **麒麟系统 kysec 加固模式** 的详细技术解析与使用指南: --- ### **一、kysec 核心概念** #### **1. 功能定位** - **核心能力**:麒麟自主研发的强制访问控制(MAC)系统 - **三大防护维度**: ```bash 1. 文件保护(防篡改/防删除) 2. 进程保护(防恶意注入) 3. 执行控制(限制非法程序运行) ``` - **工作模式**: | 模式 | 描述 | 典型场景 | |-----------|------------------------|--------------| | 强制模式 (Enforce) | 严格执行所有安全策略 | 生产环境 | | 宽松模式 (Permissive) | 记录违规但不阻止 | 调试/策略测试 | #### **2. 关键标记属性** - **文件级标记**: ```bash a: 允许执行 | w: 允许修改 r: 只读 | t: 防篡改标记 ``` - **查看标记**: ```bash lsattr /path/to/file # 显示kysec扩展属性 ``` --- ### **二、基础操作命令** #### **1. 模式管理** ```bash # 查看当前模式 kysec_status # 切换模式(需root) sudo kysec_set --mode=permissive # 切换为宽松模式 sudo kysec_set --mode=enforce # 恢复强制模式 ``` #### **2. 文件标记操作** ```bash # 添加白名单(允许修改) sudo kysec_set -f /path/to/file -w # 设置防篡改保护 sudo kysec_set -f /path/to/file -t # 移除标记(危险操作!) sudo kysec_set -f /path/to/file -d ``` #### **3. 策略查询** ```bash # 查看所有受保护文件 sudo kysec_list # 检查特定文件策略 sudo kysec_check /path/to/file ``` --- ### **三、典型应用场景** #### **场景1:允许程序修改关键文件** ```bash # 允许修改/etc/resolv.conf sudo kysec_set -f /etc/resolv.conf -w # 验证标记 lsattr /etc/resolv.conf # 应显示 'w' ``` #### **场景2:保护Web服务配置文件** ```bash # 保护nginx配置防篡改 sudo kysec_set -f /etc/nginx/nginx.conf -t # 尝试修改测试(应有权限拒绝) echo "test" >> /etc/nginx/nginx.conf ``` #### **场景3:调试第三方软件** ```bash # 临时关闭kysec(调试环境) sudo kysec_set --mode=permissive # 运行异常程序(仅记录不拦截) ./problematic_app # 查看审计日志定位问题 sudo tail -f /var/log/kysec.log ``` --- ### **四、高级配置技巧** #### **1. 批量操作** ```bash # 批量标记目录下所有.so文件 find /opt/custom_lib -name "*.so" -exec sudo kysec_set -f {} -a \; ``` #### **2. 策略持久化** ```bash # 修改策略配置文件(重启后生效) sudo vim /etc/kysec/kysec.conf # 示例配置片段 [FileProtect] /path/to/sensitive.dat = rwt # 读写防篡改 /usr/local/bin/* = a # 允许执行 ``` #### **3. 与SELinux/AppArmor协同** ```bash # 查看复合安全上下文 ps auxZ | grep nginx # 显示kysec+SELinux双重标签 ``` --- ### **五、审计与日志分析** #### **1. 实时监控日志** ```bash sudo tail -f /var/log/kysec/audit.log ``` **典型日志条目**: ```log [2023-07-20 14:30:15] DENIED: pid=1234 uid=1000 cmd=vim path=/etc/passwd action=write reason=kysec_protect(w) ``` #### **2. 日志分析命令** ```bash # 统计违规最多的进程 sudo awk '/DENIED/{print $7}' /var/log/kysec/audit.log | sort | uniq -c | sort -nr ``` --- ### **六、注意事项** 1. **生产环境慎用宽松模式**: - 建议通过`kysec_set --temp_mode=permissive`设置临时模式 - 系统重启后自动恢复强制模式 2. **系统更新影响**: - 系统升级可能重置部分标记 - 建议维护自定义策略文件(`/etc/kysec/custom.rules`) 3. **应急恢复**: ```bash # 单用户模式修复(系统无法启动时) mount -o remount,rw / kysec_set --mode=permissive ``` --- 通过合理配置kysec加固模式,可以在不牺牲系统安全性的前提下实现灵活的资源管控。建议**先使用宽松模式测试策略**,再逐步转为强制模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鹏大圣运维

编写不易,还请支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值