银河麒麟系统安全机制 保险 三权分立

kylin麒麟系统中如若出现root用户登录下，也执行不了可执行文件，文件权限有可执行权限，但是报权限不足，可以看看这边文章，需要修改KYSEC，对应第三部分。

以下内容为转载，感谢博主提供的讲解，写的非常好，附原文。

麒麟系统为什么称为国内最安全的Linux系统？秘密就在于KYSEC，麒麟系统安全机制。一般情况下Linux下默认的接入控制是DAC，其特点是资源的拥有者可以对他进行任何操作（读、写、执行）。当一个进程准备操作资源时，Linux内核会比较进程和资源的UID和GID，如果权限允许，就可以进行相应的操作。这种方式在实际使用中往往会带来一些问题，如果一个进程是以root的身份运行的，也就是他能对系统的任何资源进行操作，而且不被限制。假如我们的软件存在漏洞呢？这往往是一个灾难性的问题。因此，就引出了另外一种安全接入控制机制MAC。默认情况下，MAC不允许任何访问，组织可以开发任意数量的策略规则指定允许什么，从而避免很多攻击。MAC强制访问控制有三种实现方式：Apparmor、SELinux、kysec。

一、Apparmor

Apparmor是内核模块的一个安全框架，使用文件名作为安全标签。系统管理员通过将每个程序与一个安全配置文件关联，从而限制程序的功能。通过配置文件，你可以指定程序可以读、写或者运行哪些文件，是否可以打开网络端口等。

Apparmor是Ubuntu的默认选择。

二、SELinux

SELinux是美国国家安全局（NSA）对于强制访问控制的实现，是Linux历史上最杰出的系统安全子系统。通过给系统所有用户、进程、文件分别赋予一个安全标记，通过安全策略规则来实施安全控制；只有安全策略允许的操作才能执行成功，安全策略禁止或者没有定制安全策略的操作则执行失败。

三、KYSEC

KYSEC是基于kysec安全标记对执行程序、脚