一、kysec安全框架管理

开启kysec

getstatus

Copy

security-switch --set default

Copy

重启系统

reboot

Copy

刷新页面，等待几分钟，即可完成文件的扫描。

查看kysec状态

getstatus

Copy

切换到管理员身份（密码：devuser_123）

sudo -i

Copy

修改kysec保护级别为Softmode

setstatus Softmode
getstatus

Copy

关闭 模块防卸载保护

setstatus -f kmod off
getstatus

生成grub配置文件

grub2-mkconfig --output=/boot/grub2/grub.cfg

Copy

将关闭kysec安全的相关配置写入grub的配置文件中

sed -i '/security=kysec kysec_status=2 kysec_3adm=0/s/security=kysec\ kysec_status=2\ kysec_3adm=0//' /boot/grub2/grub.cfg

Copy

二、文件标记管理

查看文件的文件标记

查看文件/root/anaconda-ks.cfg 文件保护标签

kysec_get /root/anaconda-ks.cfg

Copy

设置/root/anaconda-ks.cfg文件标记

文件身份标记: secadm

kysec_set -n userid -v secadm anaconda-ks.cfg
kysec_get anaconda-ks.cfg

Copy

文件保护标记: readonly

kysec_set -n protect -v readonly anaconda-ks.cfg
kysec_get anaconda-ks.cfg

Copy

文件执行标记：unknown

kysec_set -n exectl -v unknown anaconda-ks.cfg
kysec_get anaconda-ks.cfg

Copy

恢复文件初始化标签

kysec_set -n userid -x anaconda-ks.cfg
kysec_get anaconda-ks.cfg

Copy

二、三权分立

密码设置为：devuser_456（密码要大于8个字符）

security-switch --set strict

Copy

重启计算机

reboot

Copy

重启之后看到屏幕上面多出来secadm、auditadm用户