麒麟OS系统安全加固模式开启方法
银河麒麟OSV10集成KYSEC安全加固模块,需手动激活。通过getstatus检查状态,临时启用执行kysecenable,永久启用需修改 etc kysec kysec conf并重启服务。还应启用文件保护、进程保护、设备管控等子功能组件以形成完整防护。
如果您正在运维一台基于银河麒麟操作系统的服务器或桌面终端,却尚未启用系统自带的深度安全加固机制,那么系统极易面临弱口令泛滥、未授权服务调用、内核模块被恶意加载等基础性威胁。从银河麒麟V10版本开始,系统内置了KYSEC(Kylin Security Enhancement Component)作为核心的安全增强模块——它并非一个简单的开关式功能,而是需要按模式激活并精细配置各子功能组件才能真正发挥防护作用。

检查KYSEC运行状态并切换安全模式
打开终端,执行以下命令即可确认当前KYSEC的实时运行状态:
【必须使用普通用户权限执行】 getstatus
查看输出结果中的“Kysecstatus”字段值:如果显示“disable”,表示安全加固尚未开启;若显示“normal”,则表明已进入强制模式;若显示“warning”,则为仅告警模式。如需临时启用强制模式,可执行:
kysec enable
这条命令仅对当前会话生效,系统重启后即失效。要实现永久启用,还必须配合配置文件修改。
永久启用KYSEC强制模式的方法
编辑KYSEC主配置文件:
sudo vim /etc/kysec/kysec.conf
找到行 kysec_status=disable,将其修改为 kysec_status=normal。请注意:配置文件中所有参数均不可添加空格或中文符号,否则将导致KYSEC服务启动失败。
保存并退出后,重启KYSEC服务使配置正式生效:
sudo systemctl restart kysec
再次运行 getstatus,确认“Kysecstatus”显示为“normal”,且各项子功能(如file protect、process protect)状态不再为“off”。
启用核心子功能组件
仅仅开启KYSEC框架本身还不足以形成完整防护,必须手动激活具体的控制项:
第一步:启用文件保护功能,有效防止非授权程序篡改系统关键二进制文件:
sudo kysecctl --file-protect on
第二步:启用进程保护,阻止未签名进程注入或劫持系统服务:
sudo kysecctl --process-protect on
第三步:启用设备管控,严格限制USB存储设备自动挂载行为——这是政务场景下的刚性需求:
sudo kysecctl --device-control on
执行完上述三步后,运行 kysecctl --status 即可查看各组件是否显示“enabled”。【若某组件返回disabled,请检查是否已安装对应的内核模块:kysec-file、kysec-process、kysec-device】

