麒麟OS启用KYSEC内核级配置不可变策略需执行kysecctl --set config-immutable=on和file-protect=on,验证后重启kysec服务,并通过挂载/proc/sys为只读、冻结模块加载及MAC策略限制工具行为实现纵深防御。
直接对内核配置实施不可变锁定,不是修改几个参数,而是让系统在启动后拒绝任何对关键内核运行时状态的动态更改,从而切断攻击者利用配置篡改实现持久化或提权的路径。这属于纵深防御中“运行时加固”的关键一环,比单纯关服务、设密码更底层、更难绕过。
麒麟OS等国产系统内置的KYSEC框架提供原生支持,能将内核配置项标记为只读状态,连root进程也无法覆盖。
kysecctl --set config-immutable=on
kysecctl --set file-protect=on,防止配置文件被替换getstatus | grep "config-immutable",输出应为config-immutable: on
systemctl restart kysec
/proc/sys/ 是用户空间修改内核参数的主要入口,禁用写入可阻断多数运行时调优类攻击。
mount -o remount,ro /proc/sys
/etc/fstab中添加:proc /proc/sys proc defaults,ro 0 0
mount -o remount,rw /proc/sys/net/ipv4
阻止未签名或未知内核模块加载,是防范Rootkit和内核级后门的核心手段。
module.sig_unenforce=0(强制签名验证)echo 'install * /bin/true' > /etc/modprobe.d/disable-modload.conf
chattr +i /etc/modprobe.d/*.conf
lsmod | awk '{print $1}' | xargs modinfo --field signature | grep -v 'signature:'
即使配置接口存在,也可通过MAC策略限制谁、在什么条件下能调用sysctlinsmodrmmod等命令。
semanage fcontext -a -t bin_t "/usr/sbin/sysctl",再restorecon
sysctl -w且目标键名限定在白名单内(如net.ipv4.ip_forward)setsebool -P secure_mode_policyload off(关闭策略热加载)