firefox浏览器禁止更新与麒麟系统的优化过程

firefox浏览器禁止更新与麒麟系统的优化过程

---

关闭firefox的自动更新

grep -irln update.ch 找到对应的文件

发现文件为: 
firefox-52.9.0/defaults/pref/channel-prefs.js

然后修改成空
firefox-52.9.0/defaults/pref/channel-prefs.js

避免自动更新.

---

关闭chrome的自动更新

cat >  /etc/default/google-chrome <<EOF
repo_add_once=false
EOF

或者
cat >> /etc/hosts <<EOF
127.0.0.1 update.googleapis.com
127.0.0.1 tools.google.com
EOF

---

银河麒麟开放root登录

sudo 设置密码
第二步修改配置文件
sudo vim /usr/share/lightdm/lightdm.conf.d/95-ukui-greeter.conf 

最后面增加:
greeter-show-manual-login=true
all-guest=false

如果是默认系统:
sudo cat > /usr/share/lightdm/lightdm.conf.d/95-ukui-greeter.conf <<EOF
[Seat:*]
greeter-session=ukui-greeter
user-session=ukui
greeter-show-manual-login=true
all-guest=false
EOF

修改配置文件
sudo vim  /root/.profile

倒数第二行修改为:
tty -s && mesg n || true

重启验证可以登录

然后安装apt-get install ssh
修改 /etc/ssh/sshd_config
主要是 PermitRootLogin 和 Password 两个配置系项目打开

---

应用显示

麒麟安全授权认证
发现未认证应用执行

有多种方式可以关闭:
最简单的方法
getstatus 查看状态
然后:
KySec status: enabled

exec control: warning
net control : warning
file protect: on
kmod protect: on
three admin : off
process protect: on
device control: on
ipt control : on

关闭特定的选项
setstatus -f exectl off

---

关于麒麟安全的学习

麒麟系统为什么称为国内最安全的Linux系统？
秘密就在于KYSEC，麒麟系统安全机制。
一般情况下Linux下默认的接入控制是DAC，
其特点是资源的拥有者可以对他进行任何操作（读、写、执行）。
当一个进程准备操作资源时，Linux内核会比较进程和资源的UID和GID，
如果权限允许，就可以进行相应的操作。
这种方式在实际使用中往往会带来一些问题，
如果一个进程是以root的身份运行的，也就是他能对系统的任何资源进行操作，而且不被限制。
假如我们的软件存在漏洞呢？这往往是一个灾难性的问题。
因此，就引出了另外一种安全接入控制机制MAC。
默认情况下，MAC不允许任何访问，
组织可以开发任意数量的策略规则指定允许什么，从而避免很多攻击。
MAC强制访问控制有三种实现方式：Apparmor、SELinux、kysec。

一、Apparmor
Apparmor是内核模块的一个安全框架，使用文件名作为安全标签。
系统管理员通过将每个程序与一个安全配置文件关联，从而限制程序的功能。
通过配置文件，你可以指定程序可以读、写或者运行哪些文件，是否可以打开网络端口等。

Apparmor是Ubuntu的默认选择。

二、SELinux

SELinux是美国国家安全局（NSA）对于强制访问控制的实现，
是Linux历史上最杰出的系统安全子系统。
通过给系统所有用户、进程、文件分别赋予一个安全标记，
通过安全策略规则来实施安全控制；只有安全策略允许的操作才能执行成功，
安全策略禁止或者没有定制安全策略的操作则执行失败。

三、KYSEC

KYSEC是基于kysec安全标记对执行程序、脚本文件、共享库、内核模块进行保护的一种安全机制。
除了系统默认集成的执行程序、脚本文件、共享库、内核模块，
任何外来的该4种文件，如拷贝、移动、下载、重新编译生成等，
都必须添加到麒麟安全管理工具的相应白名单列表中，才能执行调用。
会对白名单列表中的文件进行保护，保护文件不被修改、移动、删除。

1、安全模式

KYSEC有三种安全模式：

强制模式（Normal）：出现违规操作时，不止会审计记录该操作，还会阻止该操作的运行；
警告模式（Warning）：出现违规操作时，会弹出麒麟安全授权认证框进行授权；
软模式（Softmode）：出现违规操作时，只会审计记录该操作，而不会阻止该操作的运行。

查看方式:
getstatus
一般结果为:
KySec status: enabled

exec control: off
net control : off
file protect: on
kmod protect: on
three admin : off
process protect: on
device control: on
ipt control : on

第一行Kysec status表示当前Kysec状态为normal；
第二行exec control表示当前执行控制功能状态为警告；
第三行net control表示当前网络控制功能状态为警告；
第四行file protect表示当前文件保护功能为开；
第五行kmod protect表示当前内核模块保护状态为开；
第六行three protect表示当前三权分立状态为关；
第七行process protect表示当前进程保护功能为开。

2. 修改方式
# 设置Kysec安全状态为软/强制模式；
sudo setstatus softmode/normal 
 
# 关闭执行控制功能状态：
sudo setstatus -f exectl off

# 开启执行控制功能状态：
sudo setstatus -f exectl on

# 关闭内核模块保护功能
sudo setstatus -f kmod off

# 关闭文件保护功能
sudo setstatus -f fpro off

来源: https://zhuanlan.zhihu.com/p/349663329