Linux Dolphin安全设置怎么做

Linux 下 Dolphin 安全设置指南

一 基础防护与系统加固

• 保持系统与软件更新：执行sudo apt update && sudo apt upgrade，及时修补漏洞。
• 配置防火墙：启用UFW，仅放行必要端口（示例：SSH 22/tcp、HTTP 80/tcp），并默认拒绝入站/出站：
  sudo ufw enable
  sudo ufw allow 22/tcp
  sudo ufw allow 80/tcp
  sudo ufw default deny incoming
  sudo ufw default deny outgoing
• 加固 SSH：编辑**/etc/ssh/sshd_config**，设置PermitRootLogin no、PasswordAuthentication no，重启 SSH 服务。
• 启用强制访问控制：根据发行版启用AppArmor或SELinux，为进程与文件系统访问提供额外边界。
• 备份与监控：定期用rsync/duplicity备份关键数据；用logwatch/fail2ban监控日志与暴力登录。

二 Dolphin 隐私与视图设置

• 隐藏敏感文件/目录：在 Dolphin 中进入设置 → 配置 Dolphin → 行为 → 隐藏文件 → 添加；或使用 Linux 约定将文件/目录重命名为以**.开头（如mv file ~/file**），需要查看时按Ctrl+H切换显示。
• 禁用缩略图：进入设置 → 配置 Dolphin → 常规 → 预览，取消勾选显示缩略图，避免缓存中可能存在的敏感图片/文档预览。
• 清除历史与隐私记录：在 Dolphin 的隐私选项中清除文件访问历史、下载记录等；部分版本支持退出时自动清除。

三 加密与访问控制

• 文件级加密（GPG）：安装kgpg后在 Dolphin 中右键文件选择Encrypt生成**.gpg**；解密时双击**.gpg**并输入口令。
• 目录级加密（eCryptfs）：安装ecryptfs-utils，执行ecryptfs-setup-private按向导创建如**~/Private**的加密目录，登录自动挂载、退出自动卸载。
• 分区/设备级加密（cryptsetup）：安装cryptsetup后对分区或磁盘进行LUKS加密，系统启动或按需解锁挂载。
• 权限与所有权：对敏感目录设置chmod 700（仅所有者读写执行），必要时用chown user:group修正所有者，避免给其他用户访问。

四 限制脚本执行与执行策略

• 移除脚本执行位：对不需要直接执行的脚本执行chmod -x /path/script.py，是最直接的限制方式。
• 使用 ACL 精细化控制：例如setfacl -m u:username:— /path/script.py禁止特定用户对脚本的执行。
• 通过 AppArmor 限制 Dolphin 调用解释器：创建/编辑**/etc/apparmor.d/usr.bin.dolphin**，加入
  deny /usr/bin/python3 ix,
  deny /usr/local/bin/python3 ix,
  然后执行sudo apparmor_parser -r /etc/apparmor.d/usr.bin.dolphin使策略生效。
• 使用 SELinux 限制执行：为 Dolphin 定义受限类型与策略模块，编译并加载后限制其执行能力（适用于启用 SELinux 的发行版）。
• 配置 Dolphin 禁用外部脚本执行：在**~/.config/dolphinsettings中添加NoExternalScriptExecution=true**，重启 Dolphin（如kquitapp5 dolphin后dolphin &）。

五 不同发行版与桌面环境的差异与建议

• 在Ubuntu/KDE上：Dolphin 可直接使用上述隐私/加密/权限设置；若需更强隔离，可结合AppArmor策略。
• 在CentOS/RHEL上：默认桌面多为GNOME（Nautilus）。如需使用 Dolphin，先安装KDE Plasma与 Dolphin：
  sudo yum groupinstall “Desktop” “Desktop Platform” “X Window System” -y
  sudo yum install dolphin -y
  sudo systemctl set-default graphical.target
  sudo reboot
  图形界面权限修改在 Dolphin 的属性 → 权限中完成；系统级安全建议启用SELinux并遵循最小权限原则。