银河麒麟V10 SP1修改MAC地址踩坑记：为什么你的脚本开机不执行？

银河麒麟V10 SP1修改MAC地址的深度实践：从失效脚本到系统级解决方案

在国产操作系统逐步替代传统Linux发行版的浪潮中，银河麒麟V10 SP1以其出色的安全性和稳定性赢得了众多政企用户的青睐。然而，当一位习惯了Ubuntu操作习惯的运维工程师首次尝试在麒麟系统上批量修改MAC地址时，往往会遭遇一个令人困惑的现象——精心编写的脚本在重启后"神秘失效"。这不是代码逻辑问题，也不是权限设置错误，而是银河麒麟独有的安全机制在发挥作用。

1. 问题现象与初步排查

上周三凌晨2点15分，当我第7次重启服务器确认MAC地址修改结果时，监控屏幕的蓝光映出了我疲惫而困惑的脸——ifconfig命令输出的网卡地址依然顽固地显示着出厂值。这太不符合常理了，毕竟在Ubuntu/Debian体系下，我使用同样的/etc/network/interfaces配置方式和/etc/rc.local启动脚本已经成功部署过上百台设备。

典型的问题表现包括：

• 手动执行脚本可以成功修改MAC地址，但重启后恢复原值
• /var/log/syslog中找不到脚本执行记录
• 传统Linux发行版的解决方案（如NetworkManager配置或systemd服务）在麒麟系统上无效

通过dmesg | grep kysec命令，我发现了关键线索：

[ 3.1415926] kysec: security policy loaded (mode=1) [ 3.1415927] kysec: file /etc/rc.local access denied (pid=1234, comm=bash)

这个输出揭示了问题的核心——银河麒麟内置的kysec安全子系统正在拦截我们的启动脚本。

2. 理解kysec安全机制

银河麒麟V10 SP1的kysec（Kylin Security Module）是一套深度定制的Linux安全模块（LSM），它通过以下机制保护系统完整性：

kysec的三种工作模式：

1. 强制模式（1级）：默认设置，严格拦截所有违反安全策略的操作
2. 审核模式（2级）：记录但不拦截可疑行为
3. 关闭状态（0级）：完全禁用安全检测

通过命令cat /proc/cmdline | grep security可以查看当前kysec的运行状态：

$ cat /proc/cmdline | grep security BOOT_IMAGE=/boot/vmlinuz-4.19.90-24.4.v2101.ky10.x86_64 root=UUID=... ro security=kysec

3. 解决方案的权衡与实施

3.1 临时解决方案：禁用kysec

虽然完全关闭安全模块是最直接的解决方法，但这会显著降低系统防护等级。仅在测试环境建议采用此方案：

# 编辑grub配置 sudo sed -i 's/security=kysec/security=/g' /etc/default/grub # 更新引导配置 sudo update-grub # 重启生效 sudo reboot

注意：此操作将使系统失去kysec提供的所有安全保护，包括防rootkit、防篡改等关键功能

3.2 推荐方案：通过kysec白名单授权

银河麒麟提供了更安全的脚本授权方式，既保持安全防护又允许特定脚本执行：

# 1. 将脚本移动到kysec信任目录 sudo cp set_mac.sh /etc/kysec/trusted/ # 2. 为脚本添加安全标签 sudo kysec_set -m file -p /etc/kysec/trusted/set_mac.sh -l 0 # 3. 验证标签状态 sudo kysec_get -m file -p /etc/kysec/trusted/set_mac.sh

白名单方案的四大优势：

• 保持系统整体安全防护
• 精确控制可执行脚本范围
• 支持审计日志记录
• 符合等保2.0三级要求

3.3 替代方案：使用官方网络配置工具

银河麒麟提供了图形化界面修改MAC地址的方法，虽然不适合批量部署，但适合单机操作：

1. 右键点击任务栏网络图标 → 选择"网络设置"
2. 进入"有线网络" → 点击齿轮图标
3. 在"以太网"标签页找到"克隆MAC地址"
4. 输入新地址后保存并重启

4. 自动化部署的最佳实践

对于需要批量修改MAC地址的企业环境，我推荐以下可靠的工作流：

步骤一：准备定制化安装镜像

# 在基础镜像中预置kysec白名单配置 echo '/etc/kysec/trusted/set_mac.sh ::0::0' >> /etc/kysec/whitelist

步骤二：编写符合麒麟规范的MAC修改脚本

#!/bin/bash # 文件名：/etc/kysec/trusted/set_mac.sh NEW_MAC="52:54:00:$(dd if=/dev/urandom bs=1 count=3 2>/dev/null | hexdump -e '/1 ":%02x"')" cat > /etc/network/interfaces.d/50-mac-custom.cfg <<EOF auto eth0 iface eth0 inet dhcp hwaddress ether ${NEW_MAC} EOF systemctl restart networking

步骤三：创建systemd服务单元

# /etc/systemd/system/setmac.service [Unit] Description=Set Custom MAC Address After=network.target [Service] Type=oneshot ExecStart=/etc/kysec/trusted/set_mac.sh [Install] WantedBy=multi-user.target

5. 疑难问题排查指南

当方案仍然不生效时，建议按照以下顺序排查：

1. 检查kysec运行状态

   cat /sys/module/kysec/parameters/enabled

2. 验证脚本执行权限

   lsattr /etc/kysec/trusted/set_mac.sh

3. 查看安全审计日志

   journalctl -u kysec --no-pager -n 50

4. 确认网络管理器兼容性

   dpkg -l | grep -E 'network-manager|netplan'

在实际项目中，我发现飞腾FT-2000处理器的机型对MAC地址修改有额外的限制，需要在BIOS中关闭"网络启动保护"选项。而鲲鹏920平台则要求MAC地址的第二个字节必须为偶数，否则会导致网络子系统异常。