firefox浏览器禁止更新与麒麟系统的优化过程
关闭firefox的自动更新
grep -irln update.ch 找到对应的文件
发现文件为:
firefox-52.9.0/defaults/pref/channel-prefs.js
然后修改成空
firefox-52.9.0/defaults/pref/channel-prefs.js
避免自动更新.
关闭chrome的自动更新
cat > /etc/default/google-chrome <<EOF
repo_add_once=false
EOF
或者
cat >> /etc/hosts <<EOF
127.0.0.1 update.googleapis.com
127.0.0.1 tools.google.com
EOF
银河麒麟开放root登录
sudo 设置密码
第二步修改配置文件
sudo vim /usr/share/lightdm/lightdm.conf.d/95-ukui-greeter.conf
最后面增加:
greeter-show-manual-login=true
all-guest=false
如果是默认系统:
sudo cat > /usr/share/lightdm/lightdm.conf.d/95-ukui-greeter.conf <<EOF
[Seat:*]
greeter-session=ukui-greeter
user-session=ukui
greeter-show-manual-login=true
all-guest=false
EOF
修改配置文件
sudo vim /root/.profile
倒数第二行修改为:
tty -s && mesg n || true
重启验证可以登录
然后安装apt-get install ssh
修改 /etc/ssh/sshd_config
主要是 PermitRootLogin 和 Password 两个配置系项目打开
应用显示
麒麟安全授权认证
发现未认证应用执行
有多种方式可以关闭:
最简单的方法
getstatus 查看状态
然后:
KySec status: enabled
exec control: warning
net control : warning
file protect: on
kmod protect: on
three admin : off
process protect: on
device control: on
ipt control : on
关闭特定的选项
setstatus -f exectl off
关于麒麟安全的学习
麒麟系统为什么称为国内最安全的Linux系统?
秘密就在于KYSEC,麒麟系统安全机制。
一般情况下Linux下默认的接入控制是DAC,
其特点是资源的拥有者可以对他进行任何操作(读、写、执行)。
当一个进程准备操作资源时,Linux内核会比较进程和资源的UID和GID,
如果权限允许,就可以进行相应的操作。
这种方式在实际使用中往往会带来一些问题,
如果一个进程是以root的身份运行的,也就是他能对系统的任何资源进行操作,而且不被限制。
假如我们的软件存在漏洞呢?这往往是一个灾难性的问题。
因此,就引出了另外一种安全接入控制机制MAC。
默认情况下,MAC不允许任何访问,
组织可以开发任意数量的策略规则指定允许什么,从而避免很多攻击。
MAC强制访问控制有三种实现方式:Apparmor、SELinux、kysec。
一、Apparmor
Apparmor是内核模块的一个安全框架,使用文件名作为安全标签。
系统管理员通过将每个程序与一个安全配置文件关联,从而限制程序的功能。
通过配置文件,你可以指定程序可以读、写或者运行哪些文件,是否可以打开网络端口等。
Apparmor是Ubuntu的默认选择。
二、SELinux
SELinux是美国国家安全局(NSA)对于强制访问控制的实现,
是Linux历史上最杰出的系统安全子系统。
通过给系统所有用户、进程、文件分别赋予一个安全标记,
通过安全策略规则来实施安全控制;只有安全策略允许的操作才能执行成功,
安全策略禁止或者没有定制安全策略的操作则执行失败。
三、KYSEC
KYSEC是基于kysec安全标记对执行程序、脚本文件、共享库、内核模块进行保护的一种安全机制。
除了系统默认集成的执行程序、脚本文件、共享库、内核模块,
任何外来的该4种文件,如拷贝、移动、下载、重新编译生成等,
都必须添加到麒麟安全管理工具的相应白名单列表中,才能执行调用。
会对白名单列表中的文件进行保护,保护文件不被修改、移动、删除。
1、安全模式
KYSEC有三种安全模式:
强制模式(Normal):出现违规操作时,不止会审计记录该操作,还会阻止该操作的运行;
警告模式(Warning):出现违规操作时,会弹出麒麟安全授权认证框进行授权;
软模式(Softmode):出现违规操作时,只会审计记录该操作,而不会阻止该操作的运行。
查看方式:
getstatus
一般结果为:
KySec status: enabled
exec control: off
net control : off
file protect: on
kmod protect: on
three admin : off
process protect: on
device control: on
ipt control : on
第一行Kysec status表示当前Kysec状态为normal;
第二行exec control表示当前执行控制功能状态为警告;
第三行net control表示当前网络控制功能状态为警告;
第四行file protect表示当前文件保护功能为开;
第五行kmod protect表示当前内核模块保护状态为开;
第六行three protect表示当前三权分立状态为关;
第七行process protect表示当前进程保护功能为开。
2. 修改方式
# 设置Kysec安全状态为软/强制模式;
sudo setstatus softmode/normal
# 关闭执行控制功能状态:
sudo setstatus -f exectl off
# 开启执行控制功能状态:
sudo setstatus -f exectl on
# 关闭内核模块保护功能
sudo setstatus -f kmod off
# 关闭文件保护功能
sudo setstatus -f fpro off
来源: https://zhuanlan.zhihu.com/p/349663329