实战!银河麒麟 KYSEC 安全中心执行控制高级配置指南
原文链接:实战!银河麒麟 KYSEC 安全中心执行控制高级配置指南
Hello,大家好啊!今天给大家带来一篇关于在银河麒麟操作系统(Kylin OS)中使用 KYSEC 安全中心的执行控制功能进行高级配置的文章!在信创环境下,为了提升系统安全性,银河麒麟内置了 KYSEC 安全标签系统,通过执行控制(exectl)机制,我们可以对脚本、应用程序进行可信授权、白名单控制,防止恶意程序运行。本文将带你从图形界面操作到命令行技巧,全面掌握“执行控制”的授权与管理流程。欢迎大家分享点赞,点个在看和关注吧!
一、问题复现
在默认配置下,当你执行一个普通脚本(例如 test.sh)时,系统会弹出安全中心的授权对话框,要求确认“是否允许执行”。
sudo bash test.sh
第一次执行时将出现 KYSEC 提示,点击“始终允许”后才不再提示。
但如果希望:
批量脚本执行不干扰
运维脚本自动化运行
某些工具无需每次重复授权
就需要通过高级配置来提前授信,设置执行控制标签。
1.查看系统信息
pdsyw@pdsyw1024:~/桌面$ cat /etc/os-release pdsyw@pdsyw1024:~/桌面$ uname -a
2.执行脚本弹出授权框
pdsyw@pdsyw1024:~/桌面$ ll test.sh -rw-rw-r-- 1 pdsyw pdsyw 9 4月 24 21:06 test.sh pdsyw@pdsyw1024:~/桌面$ sudo bash test.sh tet
3.点击始终允许
4.脚本执行成功
二、通过图形化界面添加执行授权
1.点击安全中心
2.点击高级配置
3.点击添加
4.添加完成
5.执行测试不弹出授权框
pdsyw@pdsyw1024:~/桌面$ sudo bash test.sh 输入密码 tet
6.解除白名单授权
7.授权白名单解除
三、通过命令行完成
1.执行添加白名单授权
pdsyw@pdsyw1024:~/桌面$ kysec_set -n exectl -v verified test.sh
2.在安全中心查看显示已添加脚本
3.执行测试脚本不弹出授权框
pdsyw@pdsyw1024:~/桌面$ sudo bash test.sh 输入密码 tet
4.取消白名单授权
pdsyw@pdsyw1024:~/桌面$ kysec_set -n exectl -x test.sh
5.安全中心查看已经解除
6.kysec_set命令解释
pdsyw@pdsyw1024:~/桌面$ kysec_set -h Usage:kysec_set [ -r ] -n LABEL_NAME -v LABEL_VALUE PATH1 PATH2 ... kysec_set -n LABEL_NAME -v LABEL_VALUE -f FILE_PATH kysec_set -n LABEL_NAME -v LABEL_VALUE --package PACKAGE_NAME kysec_set -n LABEL_NAME -x PATH1 PATH2 ... kysec_set -n kid PATH1 PATH2 ... -r: set kysec label recursively, work for directories only -n: set the specified label type only, it can be kid, exectl, protect or userid -v: new label value, label_value veris depends on label_name -f: set kysec label for files listed in FILE_PATH, one file path per line --package: set all the files' kysec labels for a installed package -x: clear kysec label specified by label_name -h: show help information.
*参数详解:*
| *参数* | *含义* |
|---|---|
| -r | 递归设置标签(只适用于目录) |
| -n LABEL_NAME | 指定标签名,必须提供,可选值如 kid(主体标识),exectl(执行控制),protect(保护级别),userid(用户ID)等 |
| -v LABEL_VALUE | 标签值,根据所选标签名不同而不同 |
| -f FILE_PATH | 指定一个文件,文件内每一行是一个路径,对这些路径设置标签 |
| --package PACKAGE_NAME | 给指定安装包内所有文件设置标签 |
| -x | 清除某种类型的标签,例如 -n protect -x file1 表示清除 file1 的保护标签 |
| -h | 显示帮助信息 |
7.命令查看测试脚本权限标识
pdsyw@pdsyw1024:~/桌面$ kysec_get test.sh test.sh: none:none:verified:1
8.kysec_get命令解释
pdsyw@pdsyw1024:~/桌面$ kysec_get -h Usage:kysec_get [ -r ] [ -n LABEL_NAME ] PATH1 PATH2 ... kysec_get -p PID kysec_get --package PACKAGE_NAME -r: get kysec label recursively for directories -n: get the specified label only, label_name can be kid, exectl, protect or userid -p: get the label for process PID --package: get the label for a installed package -h: show help information.
*参数说明:*
| *参数* | *含义* |
|---|---|
| -r | 递归查看目录下所有文件的安全标签 |
| -n LABEL_NAME | 指定要查看的标签类型,如 kid、exectl、protect、userid |
| -p PID | 查看某个进程(通过进程ID)的安全标签 |
| --package PACKAGE_NAME | 查看某个已安装软件包中所有文件的标签 |
| -h | 显示帮助信息 |
*实用场景建议*
| *使用场景* | *推荐方式* |
|---|---|
| 运维脚本自动运行 | kysec_set -n exectl -v verified script.sh |
| 本地工具授信 | GUI 添加白名单或命令行配置 |
| 开发测试部署包统一授权 | 使用 --package 批量添加标签 |
| 避免重复授权弹窗 | 图形界面设置“始终允许”或预置标签 |
安全提示
执行控制是保护系统的一道防线,请仅对白名单文件赋予 verified 标签;
不要轻易对白来源不明的脚本或第三方程序赋权;
可结合 protect 标签设定不同级别的资源保护策略,提升整体安全性。
银河麒麟操作系统的 KYSEC 安全中心提供了强大的执行控制能力,既支持图形化设置,也支持命令行批量管理,是信创场景下提升操作系统主动防护能力的重要工具。学会灵活配置执行白名单,不仅能提升系统安全,也能显著提高工作效率!如果你觉得这篇文章对你有帮助,欢迎点赞、转发和点个在看哦~我们下次再见!