麒麟OS通过三员分立、MLS强制访问控制、双通道审计、越权阻断及差异化密码策略实现安全体系落地:初始化三员角色并验证权限,配置MLS密级标签与客体策略,启用audadm独立审计,设定strict拒绝模式并强化敏感文件标签,实施三员独立密码策略同步。
麒麟OS作为国产操作系统,在安全体系设计上强调三员管理与强制访问控制机制的协同运作。以下是针对该安全体系中三员管理职责划分及强制访问控制策略落地的具体实践步骤:
一、三员角色定义与权限边界设定
三员管理指系统管理员、安全保密管理员和安全审计员三类独立角色,各自拥有不可交叉的权限集合,确保权责分离与操作制衡。系统需在初始化阶段完成角色创建与基础策略绑定。
1、使用root账户登录系统终端,执行命令sudo /opt/kylin/bin/role-init --mode=three-officials启动三员角色初始化向导。
2、在交互界面中依次输入系统管理员用户名sysadm、安全保密管理员用户名secadm、安全审计员用户名audadm,系统自动生成对应UID与初始密码策略。
3、运行kysecctl -r list验证三员角色已注册,并确认各角色的capability_mask字段分别显示为0x0001(系统管理)、0x0002(安全保密)、0x0004(安全审计)。
二、强制访问控制策略配置
麒麟OS基于MLS(Multi-Level Security)模型实施强制访问控制,通过标签化主体与客体的安全级别实现细粒度访问裁决。所有进程与文件必须具备有效安全标签才能参与访问决策。
1、执行sudo kysecctl -m set mls-enabled启用MLS模式,系统将自动重启安全子系统服务。
2、使用kysecctl -l add level:S0、kysecctl -l add level:S1、kysecctl -l add level:S2逐级添加密级标签,其中S0为最低密级,S2为最高密级。
3、对目标目录/data/confidential设置强制标签:sudo kysecctl -o setlabel /data/confidential S2:C1,C2,确保仅持有S2及以上密级且具备C1或C2范畴权限的进程可读写。
三、三员协同审计日志采集
安全审计员需独立获取全量访问行为记录,且日志生成过程不受系统管理员与安全保密管理员干预。审计日志采用双写机制,分别存储于本地加密分区与可信时间戳服务器。
1、以audadm身份执行kyauditctl -c enable --mode=remote+local,开启本地与远程双通道日志输出。
2、检查/var/log/kylin/audit/目录下是否存在以audadm_开头的加密日志文件,其文件权限应为600且属主为audadm。
3、运行kyauditctl -q filter --subject=sysadm --action=write查询系统管理员发起的写操作记录,确认返回结果中不包含任何secadm或audadm账户的敏感操作条目。
四、强制访问控制异常响应处置
当主体尝试越权访问客体时,系统依据预设策略执行拒绝、降级或告警动作。策略响应类型由客体安全标签中的policy_flag字段决定,需在策略部署前明确配置。
1、编辑策略模板文件/etc/kylin/secpolicy/mls-policy.conf,在[default_action]段落中将deny_mode设为strict,确保所有越权请求均被阻断。
2、对高敏感文件/etc/shadow执行标签强化:sudo kysecctl -o setlabel /etc/shadow S2:C0 --policy-flag=deny-on-fail,强制该文件在访问失败时立即终止进程。
3、触发一次越权测试:以sysadm身份执行cat /etc/shadow,验证终端返回Permission denied by MAC policy错误提示,且系统日志中生成对应AUDIT_MAC_POLICY_DENY事件ID。
五、三员密码策略强制同步
三员账户密码须满足差异化强度要求并定期轮换,密码策略由安全保密管理员统一配置,但各角色密码修改操作必须独立完成,禁止共享凭证或批量更新。
1、安全保密管理员执行kysecctl -p set sysadm minlen=12 complexity=high expire-days=90,设定系统管理员密码最小长度、复杂度与有效期。
2、分别以sysadm、secadm、audadm身份登录图形界面,在“用户与组”设置中点击“修改密码”,系统将强制校验新密码是否符合各自策略参数。
3、查看/etc/shadow中三员账户的passwd_last_change字段,确认三者数值互不相同,且passwd_max_age值分别为90、60、120,体现差异化轮换周期。
