DC娱乐网

实战!银河麒麟 KYSEC 安全中心执行控制高级配置指南

2025-04-25 16:34:05 鹏大搞运维 科技
原文链接:Hello,大家好啊!今天给大家带来一篇关于在银河麒麟操作系统(Kylin OS)中使用 KYSEC 安全中心

原文链接:

Hello,大家好啊!今天给大家带来一篇关于在银河麒麟操作系统(Kylin OS)中使用 KYSEC 安全中心的执行控制功能进行高级配置的文章!在信创环境下,为了提升系统安全性,银河麒麟内置了 KYSEC 安全标签系统,通过执行控制(exectl)机制,我们可以对脚本、应用程序进行可信授权、白名单控制,防止恶意程序运行。本文将带你从图形界面操作到命令行技巧,全面掌握“执行控制”的授权与管理流程。欢迎大家分享点赞,点个在看和关注吧!

一、问题复现

在默认配置下,当你执行一个普通脚本(例如 test.sh)时,系统会弹出安全中心的授权对话框,要求确认“是否允许执行”。

sudo bash test.sh

第一次执行时将出现 KYSEC 提示,点击“始终允许”后才不再提示。

但如果希望:

批量脚本执行不干扰

运维脚本自动化运行

某些工具无需每次重复授权

就需要通过高级配置来提前授信,设置执行控制标签。

1.查看系统信息

pdsyw@pdsyw1024:~/桌面$ cat /etc/os-release pdsyw@pdsyw1024:~/桌面$ uname -a

2.执行脚本弹出授权框

pdsyw@pdsyw1024:~/桌面$ ll test.sh-rw-rw-r-- 1 pdsyw pdsyw 9 4月 24 21:06 test.shpdsyw@pdsyw1024:~/桌面$ sudo bash test.sh tet

3.点击始终允许

4.脚本执行成功

二、通过图形化界面添加执行授权

1.点击安全中心

2.点击高级配置

3.点击添加

4.添加完成

5.执行测试不弹出授权框

pdsyw@pdsyw1024:~/桌面$ sudo bash test.sh 输入密码 tet

6.解除白名单授权

7.授权白名单解除

三、通过命令行完成

1.执行添加白名单授权

pdsyw@pdsyw1024:~/桌面$ kysec_set -n exectl -v verified test.sh

2.在安全中心查看显示已添加脚本

3.执行测试脚本不弹出授权框

pdsyw@pdsyw1024:~/桌面$ sudo bash test.sh 输入密码 tet

4.取消白名单授权

pdsyw@pdsyw1024:~/桌面$ kysec_set -n exectl -x test.sh

5.安全中心查看已经解除

6.kysec_set命令解释

pdsyw@pdsyw1024:~/桌面$ kysec_set -hUsage:kysec_set [ -r ] -n LABEL_NAME -v LABEL_VALUE PATH1 PATH2 ... kysec_set -n LABEL_NAME -v LABEL_VALUE -f FILE_PATH kysec_set -n LABEL_NAME -v LABEL_VALUE --package PACKAGE_NAME kysec_set -n LABEL_NAME -x PATH1 PATH2 ... kysec_set -n kid PATH1 PATH2 ... -r: set kysec label recursively, work for directories only -n: set the specified label type only, it can be kid, exectl, protect or userid -v: new label value, label_value veris depends on label_name -f: set kysec label for files listed in FILE_PATH, one file path per line --package: set all the files' kysec labels for a installed package -x: clear kysec label specified by label_name -h: show help information.

*参数详解:*

*参数*

*含义*

-r

递归设置标签(只适用于目录)

-n LABEL_NAME

指定标签名,必须提供,可选值如 kid(主体标识),exectl(执行控制),protect(保护级别),userid(用户ID)等

-v LABEL_VALUE

标签值,根据所选标签名不同而不同

-f FILE_PATH

指定一个文件,文件内每一行是一个路径,对这些路径设置标签

--package PACKAGE_NAME

给指定安装包内所有文件设置标签

-x

清除某种类型的标签,例如 -n protect -x file1 表示清除 file1 的保护标签

-h

显示帮助信息

7.命令查看测试脚本权限标识

pdsyw@pdsyw1024:~/桌面$ kysec_get test.shtest.sh: none:none:verified:1

8.kysec_get命令解释

pdsyw@pdsyw1024:~/桌面$ kysec_get -hUsage:kysec_get [ -r ] [ -n LABEL_NAME ] PATH1 PATH2 ... kysec_get -p PID kysec_get --package PACKAGE_NAME -r: get kysec label recursively for directories -n: get the specified label only, label_name can be kid, exectl, protect or userid -p: get the label for process PID --package: get the label for a installed package -h: show help information.

*参数说明:*

*参数*

*含义*

-r

递归查看目录下所有文件的安全标签

-n LABEL_NAME

指定要查看的标签类型,如 kid、exectl、protect、userid

-p PID

查看某个进程(通过进程ID)的安全标签

--package PACKAGE_NAME

查看某个已安装软件包中所有文件的标签

-h

显示帮助信息

*实用场景建议*

*使用场景*

*推荐方式*

运维脚本自动运行

kysec_set -n exectl -v verified script.sh

本地工具授信

GUI 添加白名单或命令行配置

开发测试部署包统一授权

使用 --package 批量添加标签

避免重复授权弹窗

图形界面设置“始终允许”或预置标签

安全提示

执行控制是保护系统的一道防线,请仅对白名单文件赋予 verified 标签;

不要轻易对白来源不明的脚本或第三方程序赋权;

可结合 protect 标签设定不同级别的资源保护策略,提升整体安全性。

银河麒麟操作系统的 KYSEC 安全中心提供了强大的执行控制能力,既支持图形化设置,也支持命令行批量管理,是信创场景下提升操作系统主动防护能力的重要工具。学会灵活配置执行白名单,不仅能提升系统安全,也能显著提高工作效率!如果你觉得这篇文章对你有帮助,欢迎点赞、转发和点个在看哦~我们下次再见!

阅读:0

热门分类