麒麟桌面V11【安全套件功能配置方法】

3 周 ago
peturn
4 minutes
浏览次数: 84

1. 授权管理

功能模块 配置命令 说明
查看授权状态 sm-authorize -l 查询当前授权情况
添加授权 sudo sm-authorize -a sm-example -f /usr/sbin/sm-example
sudo sm-authorize -a sm-example -f /usr/sbin/sm-safeguard		 为安全套件添加授权
取消授权 sudo sm-authorize -d sm-example 取消安全套件授权

2. 壁纸管控

功能模块 配置命令 说明
添加壁纸管控 sudo sm-safeguard --add -f bgset /usr/share/backgrounds/xxx.jpg 设置统一壁纸
取消壁纸管控 sudo sm-safeguard --remove -f bgset /usr/share/backgrounds/xxx.jpg 取消统一壁纸设置
更换壁纸 sudo sm-safeguard --add -f bgset /home/kylin/2.jpg 更换已管控的壁纸

3. 外设管控 – USB设备

USB设备类型管控

设备类型 启用命令 禁用命令 删除策略
物理设备 sudo sm-example --set -u Physical -v on sudo sm-example --set -u Physical -v off sudo sm-example --remove -u Physical
音频设备 sudo sm-example --set -u Audio -v on sudo sm-example --set -u Audio -v off sudo sm-example --remove -u Audio
人体工学设备 sudo sm-example --set -u Hid -v on sudo sm-example --set -u Hid -v off sudo sm-example --remove -u Hid
视频设备 sudo sm-example --set -u Video -v on sudo sm-example --set -u Video -v off sudo sm-example --remove -u Video
打印机 sudo sm-example --set -u Printer -v on sudo sm-example --set -u Printer -v off sudo sm-example --remove -u Printer
大容量存储 sudo sm-example --set -u MassStorage -v on sudo sm-example --set -u MassStorage -v off sudo sm-example --remove -u MassStorage
集线器 sudo sm-example --set -u Hub -v on sudo sm-example --set -u Hub -v off sudo sm-example --remove -u Hub

USB设备细粒度管控(PID+VID)

配置操作 命令格式 说明
启用特定设备 sudo sm-example --set -x pid:vid -t [设备类型] -v on 按PID:VID启用特定设备
禁用特定设备 sudo sm-example --set -x pid:vid -t [设备类型] -v off 按PID:VID禁用特定设备
删除策略 sudo sm-example --remove -x pid:vid -t [设备类型] 删除细粒度策略

4. 外设管控 – 接口设备

接口类型 启用命令 禁用命令 删除策略
Type-C sudo sm-example --set -i Type-C -v on sudo sm-example --set -i Type-C -v off sudo sm-example --remove -i Type-C
DisplayPort sudo sm-example --set -i DisplayPort -v on sudo sm-example --set -i DisplayPort -v off sudo sm-example --remove -i DisplayPort
HDMI sudo sm-example --set -i HDMI -v on sudo sm-example --set -i HDMI -v off sudo sm-example --remove -i HDMI
串口 sudo sm-example --set -i Serial -v on sudo sm-example --set -i Serial -v off sudo sm-example --remove -i Serial

5. 外设管控 – 设备类型

设备类型 启用命令 禁用命令 删除策略
打印机总策略 sudo sm-example --set -d Printer -v on sudo sm-example --set -d Printer -v off sudo sm-example --remove -d Printer
本地打印机 sudo sm-example --set -d PrinterLocal -v on sudo sm-example --set -d PrinterLocal -v off sudo sm-example --remove -d PrinterLocal
网络打印机 sudo sm-example --set -d PrinterNet -v on sudo sm-example --set -d PrinterNet -v off sudo sm-example --remove -d PrinterNet
刻录设备 sudo sm-example --set -d CDRom -v on
sudo sm-example --set -d CDRom -v readonly		 sudo sm-example --set -d CDRom -v off sudo sm-example --remove -d CDRom
图像设备 sudo sm-example --set -d Image -v on sudo sm-example --set -d Image -v off sudo sm-example --remove -d Image
有线网卡 sudo sm-example --set -d Ethernet -v on sudo sm-example --set -d Ethernet -v off sudo sm-example --remove -d Ethernet
无线网卡 sudo sm-example --set -d Wireless -v on sudo sm-example --set -d Wireless -v off sudo sm-example --remove -d Wireless

6. 网卡细粒度管控

功能模块 配置命令 说明
禁用特定网卡 sm-example --netcard_a -n [网卡设备名] 按设备名禁用网卡
查看网卡策略 sm-example --netcard_l 查看细粒度网卡策略
删除网卡策略 sm-example --netcard_d -n [网卡设备名] 删除特定网卡禁用策略

7. 安全防护

进程黑名单

功能模块 配置命令 说明
添加进程黑名单 sudo sm-safeguard --add -f pblk /usr/bin/virt-manager 禁用指定程序
批量添加黑名单 sudo sm-safeguard --add -f pblk /usr/share/virt-manager/virt-manager /usr/sbin/kylin-log-viewer 批量禁用程序
删除黑名单 sudo sm-safeguard --remove -f pblk /usr/bin/virt-manager 从黑名单移除程序
查看黑名单 sudo sm-safeguard --list -f pblk 查看当前黑名单

文件保护

功能模块 配置命令 说明
添加文件保护 sudo sm-safeguard --add -f fpro 1.txt 保护单个文件
批量文件保护 sudo sm-safeguard --add -f fpro /test 保护目录下所有文件
删除文件保护 sudo sm-safeguard --remove -f fpro 1.txt 取消文件保护
查看保护列表 sudo sm-safeguard --list -f fpro 查看受保护文件

进程防杀死

功能模块 配置命令 说明
添加进程保护 sudo sm-safeguard --add -f ppro /usr/bin/top 保护指定进程
删除进程保护 sudo sm-safeguard --remove -f ppro /usr/bin/top 取消进程保护
查看保护列表 sudo sm-safeguard --list -f ppro 查看受保护进程

内核模块防卸载

功能模块 配置命令 说明
添加模块保护 sudo sm-safeguard --add -f kmodpro test.ko 保护内核模块
删除模块保护 sudo sm-safeguard --remove -f kmodpro test.ko 取消模块保护
查看保护列表 sudo sm-safeguard --list -f kmodpro 查看受保护模块

软件防卸载

功能模块 配置命令 说明
添加软件保护 sudo sm-safeguard --add -f spro weixin 保护软件不被卸载
删除软件保护 sudo sm-safeguard --remove -f spro weixin 取消软件保护
查看保护列表 sudo sm-safeguard --list -f spro 查看受保护软件

8. 网络流量管控

流量审计

功能模块 配置命令 说明
添加抓取策略 sm-netaudit -c add -i [策略号] -e [进程名] -r [方向] 按进程名添加抓取策略
五元组抓取策略 sm-netaudit -c add -i [策略号] -v [IP类型] -s [源IP] -o [源端口] -d [目标IP] -t [目标端口] -p [协议] -r [方向] 基于五元组的抓取策略
删除抓取策略 sm-netaudit -c delete -i [策略号] 删除指定抓取策略
清空抓取策略 sm-netaudit -c clear 清空所有抓取策略
查看抓取策略 sm-netaudit -c getall 查看所有抓取策略
查看抓取日志 sm-netaudit -c log 查看流量抓取日志

流量阻断

功能模块 配置命令 说明
添加阻断策略 sm-netflow-ctl -c add -i [策略号] -v [IP类型] -s [源IP范围] -o [源端口范围] -d [目标IP范围] -t [目标端口范围] -p [协议] -r [方向] 添加流量阻断策略
删除阻断策略 sm-netflow-ctl -c delete -i [策略号] 删除指定阻断策略
清空阻断策略 sm-netflow-ctl -c clear 清空所有阻断策略
查看阻断策略 sm-netflow-ctl -c getall 查看所有阻断策略
查看阻断日志 sm-netflow-ctl -c log 查看流量阻断日志

9. 策略查询命令

查询类型 命令 说明
查看设备策略 sm-example --get -d [设备类型] 查看设备管控策略状态
查看USB策略 sm-example --get -u [USB类型] 查看USB设备策略状态
查看接口策略 sm-example --get -i [接口类型] 查看接口策略状态
查看配置文件 cat /sys/kernel/security/ksaf/common/policy_info \| grep -i [关键词] 查看内核策略配置文件

10. 系统管理

功能模块 配置命令 说明
查看kysec状态 setstatus 查看kysec安全状态
修改kysec模式 setstatus softmode 修改kysec工作模式
关闭kysec setstatus disable 关闭kysec安全功能

使用说明

  1. 权限要求:所有配置命令都需要管理员权限(使用sudo)
  2. 重启生效:部分配置修改后需要重启系统才能完全生效
  3. 授权依赖:安全套件功能需要先进行授权才能正常使用
  4. 策略优先级:细粒度策略优先于通用策略生效

汇总了主要的功能配置方法,便于快速查找和使用相应的安全管控命令。

发表回复 0

Your email address will not be published.