firefox瀏覽器禁止更新與麒麟系統的最佳化過程
關閉firefox的自動更新
grep -irln update.ch 找到對應的檔案
發現檔案為:
firefox-52.9.0/defaults/pref/channel-prefs.js
然後修改成空
firefox-52.9.0/defaults/pref/channel-prefs.js
避免自動更新.
關閉chrome的自動更新
cat > /etc/default/google-chrome <<EOF
repo_add_once=false
EOF
或者
cat >> /etc/hosts <<EOF
127.0.0.1 update.googleapis.com
127.0.0.1 tools.google.com
EOF
銀河麒麟開放root登入
sudo 設定密碼
第二步修改配置檔案
sudo vim /usr/share/lightdm/lightdm.conf.d/95-ukui-greeter.conf
最後面增加:
greeter-show-manual-login=true
all-guest=false
如果是預設系統:
sudo cat > /usr/share/lightdm/lightdm.conf.d/95-ukui-greeter.conf <<EOF
[Seat:*]
greeter-session=ukui-greeter
user-session=ukui
greeter-show-manual-login=true
all-guest=false
EOF
修改配置檔案
sudo vim /root/.profile
倒數第二行修改為:
tty -s && mesg n || true
重啟驗證可以登入
然後安裝apt-get install ssh
修改 /etc/ssh/sshd_config
主要是 PermitRootLogin 和 Password 兩個配置系專案開啟
應用顯示
麒麟安全授權認證
發現未認證應用執行
有多種方式可以關閉:
最簡單的方法
getstatus 檢視狀態
然後:
KySec status: enabled
exec control: warning
net control : warning
file protect: on
kmod protect: on
three admin : off
process protect: on
device control: on
ipt control : on
關閉特定的選項
setstatus -f exectl off
關於麒麟安全的學習
麒麟系統為什麼稱為國內最安全的Linux系統?
秘密就在於KYSEC,麒麟系統安全機制。
一般情況下Linux下預設的接入控制是DAC,
其特點是資源的擁有者可以對他進行任何操作(讀、寫、執行)。
當一個程序準備操作資源時,Linux核心會比較程序和資源的UID和GID,
如果許可權允許,就可以進行相應的操作。
這種方式在實際使用中往往會帶來一些問題,
如果一個程序是以root的身份執行的,也就是他能對系統的任何資源進行操作,而且不被限制。
假如我們的軟體存在漏洞呢?這往往是一個災難性的問題。
因此,就引出了另外一種安全接入控制機制MAC。
預設情況下,MAC不允許任何訪問,
組織可以開發任意數量的策略規則指定允許什麼,從而避免很多攻擊。
MAC強制訪問控制有三種實現方式:Apparmor、SELinux、kysec。
一、Apparmor
Apparmor是核心模組的一個安全框架,使用檔名作為安全標籤。
系統管理員透過將每個程式與一個安全配置檔案關聯,從而限制程式的功能。
透過配置檔案,你可以指定程式可以讀、寫或者執行哪些檔案,是否可以開啟網路埠等。
Apparmor是Ubuntu的預設選擇。
二、SELinux
SELinux是美國國家安全域性(NSA)對於強制訪問控制的實現,
是Linux歷史上最傑出的系統安全子系統。
透過給系統所有使用者、程序、檔案分別賦予一個安全標記,
透過安全策略規則來實施安全控制;只有安全策略允許的操作才能執行成功,
安全策略禁止或者沒有定製安全策略的操作則執行失敗。
三、KYSEC
KYSEC是基於kysec安全標記對執行程式、指令碼檔案、共享庫、核心模組進行保護的一種安全機制。
除了系統預設整合的執行程式、指令碼檔案、共享庫、核心模組,
任何外來的該4種檔案,如複製、移動、下載、重新編譯生成等,
都必須新增到麒麟安全管理工具的相應白名單列表中,才能執行呼叫。
會對白名單列表中的檔案進行保護,保護檔案不被修改、移動、刪除。
1、安全模式
KYSEC有三種安全模式:
強制模式(Normal):出現違規操作時,不止會審計記錄該操作,還會阻止該操作的執行;
警告模式(Warning):出現違規操作時,會彈出麒麟安全授權認證框進行授權;
軟模式(Softmode):出現違規操作時,只會審計記錄該操作,而不會阻止該操作的執行。
檢視方式:
getstatus
一般結果為:
KySec status: enabled
exec control: off
net control : off
file protect: on
kmod protect: on
three admin : off
process protect: on
device control: on
ipt control : on
第一行Kysec status表示當前Kysec狀態為normal;
第二行exec control表示當前執行控制功能狀態為警告;
第三行net control表示當前網路控制功能狀態為警告;
第四行file protect表示當前檔案保護功能為開;
第五行kmod protect表示當前核心模組保護狀態為開;
第六行three protect表示當前三權分立狀態為關;
第七行process protect表示當前程序保護功能為開。
2. 修改方式
# 設定Kysec安全狀態為軟/強制模式;
sudo setstatus softmode/normal
# 關閉執行控制功能狀態:
sudo setstatus -f exectl off
# 開啟執行控制功能狀態:
sudo setstatus -f exectl on
# 關閉核心模組保護功能
sudo setstatus -f kmod off
# 關閉檔案保護功能
sudo setstatus -f fpro off
來源: https://zhuanlan.zhihu.com/p/349663329