firefox瀏覽器禁止更新與麒麟系統的優化過程

firefox瀏覽器禁止更新與麒麟系統的優化過程

---

關閉firefox的自動更新

grep -irln update.ch 找到對應的文件

發現文件爲: 
firefox-52.9.0/defaults/pref/channel-prefs.js

然後修改成空
firefox-52.9.0/defaults/pref/channel-prefs.js

避免自動更新.

---

關閉chrome的自動更新

cat >  /etc/default/google-chrome <<EOF
repo_add_once=false
EOF

或者
cat >> /etc/hosts <<EOF
127.0.0.1 update.googleapis.com
127.0.0.1 tools.google.com
EOF

---

銀河麒麟開放root登錄

sudo 設置密碼
第二步修改配置文件
sudo vim /usr/share/lightdm/lightdm.conf.d/95-ukui-greeter.conf 

最後面增加:
greeter-show-manual-login=true
all-guest=false

如果是默認系統:
sudo cat > /usr/share/lightdm/lightdm.conf.d/95-ukui-greeter.conf <<EOF
[Seat:*]
greeter-session=ukui-greeter
user-session=ukui
greeter-show-manual-login=true
all-guest=false
EOF

修改配置文件
sudo vim  /root/.profile

倒數第二行修改爲:
tty -s && mesg n || true

重啓驗證可以登錄

然後安裝apt-get install ssh
修改 /etc/ssh/sshd_config
主要是 PermitRootLogin 和 Password 兩個配置系項目打開

---

應用顯示

麒麟安全授權認證
發現未認證應用執行

有多種方式可以關閉:
最簡單的方法
getstatus 查看狀態
然後:
KySec status: enabled

exec control: warning
net control : warning
file protect: on
kmod protect: on
three admin : off
process protect: on
device control: on
ipt control : on

關閉特定的選項
setstatus -f exectl off

---

關於麒麟安全的學習

麒麟系統爲什麼稱爲國內最安全的Linux系統？
祕密就在於KYSEC，麒麟系統安全機制。
一般情況下Linux下默認的接入控制是DAC，
其特點是資源的擁有者可以對他進行任何操作（讀、寫、執行）。
當一個進程準備操作資源時，Linux內核會比較進程和資源的UID和GID，
如果權限允許，就可以進行相應的操作。
這種方式在實際使用中往往會帶來一些問題，
如果一個進程是以root的身份運行的，也就是他能對系統的任何資源進行操作，而且不被限制。
假如我們的軟件存在漏洞呢？這往往是一個災難性的問題。
因此，就引出了另外一種安全接入控制機制MAC。
默認情況下，MAC不允許任何訪問，
組織可以開發任意數量的策略規則指定允許什麼，從而避免很多攻擊。
MAC強制訪問控制有三種實現方式：Apparmor、SELinux、kysec。

一、Apparmor
Apparmor是內核模塊的一個安全框架，使用文件名作爲安全標籤。
系統管理員通過將每個程序與一個安全配置文件關聯，從而限制程序的功能。
通過配置文件，你可以指定程序可以讀、寫或者運行哪些文件，是否可以打開網絡端口等。

Apparmor是Ubuntu的默認選擇。

二、SELinux

SELinux是美國國家安全局（NSA）對於強制訪問控制的實現，
是Linux歷史上最傑出的系統安全子系統。
通過給系統所有用戶、進程、文件分別賦予一個安全標記，
通過安全策略規則來實施安全控制；只有安全策略允許的操作才能執行成功，
安全策略禁止或者沒有定製安全策略的操作則執行失敗。

三、KYSEC

KYSEC是基於kysec安全標記對執行程序、腳本文件、共享庫、內核模塊進行保護的一種安全機制。
除了系統默認集成的執行程序、腳本文件、共享庫、內核模塊，
任何外來的該4種文件，如拷貝、移動、下載、重新編譯生成等，
都必須添加到麒麟安全管理工具的相應白名單列表中，才能執行調用。
會對白名單列表中的文件進行保護，保護文件不被修改、移動、刪除。

1、安全模式

KYSEC有三種安全模式：

強制模式（Normal）：出現違規操作時，不止會審計記錄該操作，還會阻止該操作的運行；
警告模式（Warning）：出現違規操作時，會彈出麒麟安全授權認證框進行授權；
軟模式（Softmode）：出現違規操作時，只會審計記錄該操作，而不會阻止該操作的運行。

查看方式:
getstatus
一般結果爲:
KySec status: enabled

exec control: off
net control : off
file protect: on
kmod protect: on
three admin : off
process protect: on
device control: on
ipt control : on

第一行Kysec status表示當前Kysec狀態爲normal；
第二行exec control表示當前執行控制功能狀態爲警告；
第三行net control表示當前網絡控制功能狀態爲警告；
第四行file protect表示當前文件保護功能爲開；
第五行kmod protect表示當前內核模塊保護狀態爲開；
第六行three protect表示當前三權分立狀態爲關；
第七行process protect表示當前進程保護功能爲開。

2. 修改方式
# 設置Kysec安全狀態爲軟/強制模式；
sudo setstatus softmode/normal 
 
# 關閉執行控制功能狀態：
sudo setstatus -f exectl off

# 開啓執行控制功能狀態：
sudo setstatus -f exectl on

# 關閉內核模塊保護功能
sudo setstatus -f kmod off

# 關閉文件保護功能
sudo setstatus -f fpro off

來源: https://zhuanlan.zhihu.com/p/349663329