1. 授权管理
| 功能模块 | 配置命令 | 说明 |
| 查看授权状态 | sm-authorize -l | 查询当前授权情况 |
| 添加授权 | sudo sm-authorize -a sm-example -f /usr/sbin/sm-example sudo sm-authorize -a sm-example -f /usr/sbin/sm-safeguard |
为安全套件添加授权 |
| 取消授权 | sudo sm-authorize -d sm-example | 取消安全套件授权 |
2. 壁纸管控
| 功能模块 | 配置命令 | 说明 |
| 添加壁纸管控 | sudo sm-safeguard --add -f bgset /usr/share/backgrounds/xxx.jpg | 设置统一壁纸 |
| 取消壁纸管控 | sudo sm-safeguard --remove -f bgset /usr/share/backgrounds/xxx.jpg | 取消统一壁纸设置 |
| 更换壁纸 | sudo sm-safeguard --add -f bgset /home/kylin/2.jpg | 更换已管控的壁纸 |
3. 外设管控 – USB设备
USB设备类型管控
| 设备类型 | 启用命令 | 禁用命令 | 删除策略 |
| 物理设备 | sudo sm-example --set -u Physical -v on | sudo sm-example --set -u Physical -v off | sudo sm-example --remove -u Physical |
| 音频设备 | sudo sm-example --set -u Audio -v on | sudo sm-example --set -u Audio -v off | sudo sm-example --remove -u Audio |
| 人体工学设备 | sudo sm-example --set -u Hid -v on | sudo sm-example --set -u Hid -v off | sudo sm-example --remove -u Hid |
| 视频设备 | sudo sm-example --set -u Video -v on | sudo sm-example --set -u Video -v off | sudo sm-example --remove -u Video |
| 打印机 | sudo sm-example --set -u Printer -v on | sudo sm-example --set -u Printer -v off | sudo sm-example --remove -u Printer |
| 大容量存储 | sudo sm-example --set -u MassStorage -v on | sudo sm-example --set -u MassStorage -v off | sudo sm-example --remove -u MassStorage |
| 集线器 | sudo sm-example --set -u Hub -v on | sudo sm-example --set -u Hub -v off | sudo sm-example --remove -u Hub |
USB设备细粒度管控(PID+VID)
| 配置操作 | 命令格式 | 说明 |
| 启用特定设备 | sudo sm-example --set -x pid:vid -t [设备类型] -v on | 按PID:VID启用特定设备 |
| 禁用特定设备 | sudo sm-example --set -x pid:vid -t [设备类型] -v off | 按PID:VID禁用特定设备 |
| 删除策略 | sudo sm-example --remove -x pid:vid -t [设备类型] | 删除细粒度策略 |
4. 外设管控 – 接口设备
| 接口类型 | 启用命令 | 禁用命令 | 删除策略 |
| Type-C | sudo sm-example --set -i Type-C -v on | sudo sm-example --set -i Type-C -v off | sudo sm-example --remove -i Type-C |
| DisplayPort | sudo sm-example --set -i DisplayPort -v on | sudo sm-example --set -i DisplayPort -v off | sudo sm-example --remove -i DisplayPort |
| HDMI | sudo sm-example --set -i HDMI -v on | sudo sm-example --set -i HDMI -v off | sudo sm-example --remove -i HDMI |
| 串口 | sudo sm-example --set -i Serial -v on | sudo sm-example --set -i Serial -v off | sudo sm-example --remove -i Serial |
5. 外设管控 – 设备类型
| 设备类型 | 启用命令 | 禁用命令 | 删除策略 |
| 打印机总策略 | sudo sm-example --set -d Printer -v on | sudo sm-example --set -d Printer -v off | sudo sm-example --remove -d Printer |
| 本地打印机 | sudo sm-example --set -d PrinterLocal -v on | sudo sm-example --set -d PrinterLocal -v off | sudo sm-example --remove -d PrinterLocal |
| 网络打印机 | sudo sm-example --set -d PrinterNet -v on | sudo sm-example --set -d PrinterNet -v off | sudo sm-example --remove -d PrinterNet |
| 刻录设备 | sudo sm-example --set -d CDRom -v on sudo sm-example --set -d CDRom -v readonly |
sudo sm-example --set -d CDRom -v off | sudo sm-example --remove -d CDRom |
| 图像设备 | sudo sm-example --set -d Image -v on | sudo sm-example --set -d Image -v off | sudo sm-example --remove -d Image |
| 有线网卡 | sudo sm-example --set -d Ethernet -v on | sudo sm-example --set -d Ethernet -v off | sudo sm-example --remove -d Ethernet |
| 无线网卡 | sudo sm-example --set -d Wireless -v on | sudo sm-example --set -d Wireless -v off | sudo sm-example --remove -d Wireless |
6. 网卡细粒度管控
| 功能模块 | 配置命令 | 说明 |
| 禁用特定网卡 | sm-example --netcard_a -n [网卡设备名] | 按设备名禁用网卡 |
| 查看网卡策略 | sm-example --netcard_l | 查看细粒度网卡策略 |
| 删除网卡策略 | sm-example --netcard_d -n [网卡设备名] | 删除特定网卡禁用策略 |
7. 安全防护
进程黑名单
| 功能模块 | 配置命令 | 说明 |
| 添加进程黑名单 | sudo sm-safeguard --add -f pblk /usr/bin/virt-manager | 禁用指定程序 |
| 批量添加黑名单 | sudo sm-safeguard --add -f pblk /usr/share/virt-manager/virt-manager /usr/sbin/kylin-log-viewer | 批量禁用程序 |
| 删除黑名单 | sudo sm-safeguard --remove -f pblk /usr/bin/virt-manager | 从黑名单移除程序 |
| 查看黑名单 | sudo sm-safeguard --list -f pblk | 查看当前黑名单 |
文件保护
| 功能模块 | 配置命令 | 说明 |
| 添加文件保护 | sudo sm-safeguard --add -f fpro 1.txt | 保护单个文件 |
| 批量文件保护 | sudo sm-safeguard --add -f fpro /test | 保护目录下所有文件 |
| 删除文件保护 | sudo sm-safeguard --remove -f fpro 1.txt | 取消文件保护 |
| 查看保护列表 | sudo sm-safeguard --list -f fpro | 查看受保护文件 |
进程防杀死
| 功能模块 | 配置命令 | 说明 |
| 添加进程保护 | sudo sm-safeguard --add -f ppro /usr/bin/top | 保护指定进程 |
| 删除进程保护 | sudo sm-safeguard --remove -f ppro /usr/bin/top | 取消进程保护 |
| 查看保护列表 | sudo sm-safeguard --list -f ppro | 查看受保护进程 |
内核模块防卸载
| 功能模块 | 配置命令 | 说明 |
| 添加模块保护 | sudo sm-safeguard --add -f kmodpro test.ko | 保护内核模块 |
| 删除模块保护 | sudo sm-safeguard --remove -f kmodpro test.ko | 取消模块保护 |
| 查看保护列表 | sudo sm-safeguard --list -f kmodpro | 查看受保护模块 |
软件防卸载
| 功能模块 | 配置命令 | 说明 |
| 添加软件保护 | sudo sm-safeguard --add -f spro weixin | 保护软件不被卸载 |
| 删除软件保护 | sudo sm-safeguard --remove -f spro weixin | 取消软件保护 |
| 查看保护列表 | sudo sm-safeguard --list -f spro | 查看受保护软件 |
8. 网络流量管控
流量审计
| 功能模块 | 配置命令 | 说明 |
| 添加抓取策略 | sm-netaudit -c add -i [策略号] -e [进程名] -r [方向] | 按进程名添加抓取策略 |
| 五元组抓取策略 | sm-netaudit -c add -i [策略号] -v [IP类型] -s [源IP] -o [源端口] -d [目标IP] -t [目标端口] -p [协议] -r [方向] | 基于五元组的抓取策略 |
| 删除抓取策略 | sm-netaudit -c delete -i [策略号] | 删除指定抓取策略 |
| 清空抓取策略 | sm-netaudit -c clear | 清空所有抓取策略 |
| 查看抓取策略 | sm-netaudit -c getall | 查看所有抓取策略 |
| 查看抓取日志 | sm-netaudit -c log | 查看流量抓取日志 |
流量阻断
| 功能模块 | 配置命令 | 说明 |
| 添加阻断策略 | sm-netflow-ctl -c add -i [策略号] -v [IP类型] -s [源IP范围] -o [源端口范围] -d [目标IP范围] -t [目标端口范围] -p [协议] -r [方向] | 添加流量阻断策略 |
| 删除阻断策略 | sm-netflow-ctl -c delete -i [策略号] | 删除指定阻断策略 |
| 清空阻断策略 | sm-netflow-ctl -c clear | 清空所有阻断策略 |
| 查看阻断策略 | sm-netflow-ctl -c getall | 查看所有阻断策略 |
| 查看阻断日志 | sm-netflow-ctl -c log | 查看流量阻断日志 |
9. 策略查询命令
| 查询类型 | 命令 | 说明 |
| 查看设备策略 | sm-example --get -d [设备类型] | 查看设备管控策略状态 |
| 查看USB策略 | sm-example --get -u [USB类型] | 查看USB设备策略状态 |
| 查看接口策略 | sm-example --get -i [接口类型] | 查看接口策略状态 |
| 查看配置文件 | cat /sys/kernel/security/ksaf/common/policy_info \| grep -i [关键词] | 查看内核策略配置文件 |
10. 系统管理
| 功能模块 | 配置命令 | 说明 |
| 查看kysec状态 | setstatus | 查看kysec安全状态 |
| 修改kysec模式 | setstatus softmode | 修改kysec工作模式 |
| 关闭kysec | setstatus disable | 关闭kysec安全功能 |
使用说明
1.权限要求:所有配置命令都需要管理员权限(使用sudo)
2.重启生效:部分配置修改后需要重启系统才能完全生效
3.授权依赖:安全套件功能需要先进行授权才能正常使用
4.策略优先级:细粒度策略优先于通用策略生效
汇总了主要的功能配置方法,便于快速查找和使用相应的安全管控命令。