DSELinuxV6.5(x64+x86)版本安装使用

本文档主要介绍了迅软DSE Linux客户端的安装使用。 迅软DSE LinuxV6.5(x64+x86)客户端支持的Linux系统：Ubuntu、Centos、银河麒麟、优麒麟、湖南麒麟、Deepin、UOS、Debian、Fedora、openSUSE等，支持但不局限于以上。具体安装过程中，需要匹配详细的内核版本信息，如果存在不支持的内核，需要进行适配测试。

一、DSE安装卸载

1、 通过网络下载安装

①打开终端，进入root用户

②一条命令下载安装，填入服务器IP地址、端口即可

#wget -O install.sh http://linuxkernel.e-docs.cn:5080/install.sh && bash install.sh

2、通过迅软提供的安装包安装（获取最新DSELinux安装包）

①将安装包DSEClientSetup_x.x.xxxx.xx.run拷贝到Linux系统中。

②打开终端，进入root用户

$ su

③更改安装包DSEClientSetup_x.x.xxxx.xx.run文件的权限

# chmod +x DSEClientSetup_x.x.xxxx.xx.run

④运行安装程序

# ./DSEClientSetup_x.x.xxxx.xx.run

⑤根据输出信息Find kernel module for dse确保存在相应内核，再输入DSE服务器IP地址及端口，若出现输出信息[default 172.17.18.116] [default 5558]表示默认的IP地址或端口，直接回车表示输入该值，也可输入新的IP地址、端口。

⑥若安装过程中出现以下输入密码，表示需要MOK验证（参考：五、DSE驱动签名处理）

⑦建议安装后关闭内核自动升级，Linux系统内核自动升级后内核文件可能会加载失败。

⑧至此客户端安装完毕。

3、重启DSE客户端服务（以下两种方法中的一种）

# sudo systemctl restart DSELinuxClient

# sudo service DSELinuxClient restart

4、卸载DSE客户端命令

# sudo /usr/local/DSELinuxClient/scripts/uninstall.sh

二、DSE命令介绍

1、配置客户端连接服务器的IP地址、端口设置以及客户端在服务器显示的IP地址的所属网卡名称

#DSEMainService configure

2、更新控制台配置下发的策略

#DSEMainService update

3、查看当前DSE的状态

#DSEMainService status

Drivers status: 1表示加载驱动模块成功，0表示加载驱动模块失败

Local IP: 本地地址，可通过Setting.ini设置clientnic字段选择需要显示的IP值

Server IP: 服务器地址

Connect status: 1表示连接服务器成功，0表示连接服务器失败

WorkState: 1表示工作模式，0表示个人模式

NetworkCtl: 1表示启用网关控制

4、查看当前DSE客户端版本

#DSEMainService version

5、查看本机的机器码

#DSEMainService machineid

6、加密文件或文件夹，支持同时加密多个文件夹以及选择多种加密文件类型

#DSEMainService encrypt path/file –t filetypes

No encrypt privilege right, file :xxx.          表示没有加密权限，可在控制台配置

Encrypt file :xxx succeeded.                      表示文件加密成功

Encrypt file :xxx failed.                                   表示文件加密失败

Ignore the file type: xxx.                                  表示忽略该文件类型，不需要加密

The file is encrypted: xxx.                         表示文件已经加密

xxx: No such file or directory                           表示不存在该文件或者目录

①不存在加密权限，可在控制台配置

②加密某个文件或文件夹，可添文件路径或文件夹路径

③加密某个文件夹内的某个文件类型

7、解密文件或文件夹，支持同时解密多个文件夹以及选择多种解密文件类型。

#DSEMainService decrypt path/file –t filetypes

No decrypt privilege right, file :xxx.          表示没有解密权限，可在控制台配置

Decrypt file :xxx succeeded.                     表示文件解密成功

Decrypt file :xxx failed.                                   表示文件解密失败

Ignore the file type: xxx.                                  表示忽略该文件类型，不需要解密

The file is not encrypted: xxx.                   表示文件没有加密，无需解密

xxx: No such file or directory                           表示不存在该文件或者目录

①不存在解密权限，可在控制台配置

②解密某个文件或文件夹，可添文件路径或文件夹路径

③解密某个文件夹内的某个文件类型

④控制台配置解密密码时，需要输入密码

8、检测文件或文件夹里面的文件，支持同时检测多个文件夹以及选择多种加密文件类型

#DSEMainService check path/file –t filetypes

文件加密：Encrypt file

文件未加密：Not encrypt file

9、切换到个人模式

#DSEMainService stopdrv

若报错为not allow switch work state，需要控制台勾选加密策略-文档基本策略-允许工作模式与个人模式切换功能，保存后下发策略，几分钟后在linux端DSEMainService update更新策略

切换到个人模式成功set work stat ok，并且WorkState值为0

10、切换到工作模式

#DSEMainService startdrv

若报错为not allow switch work state，需要控制台勾选加密策略-文档基本策略-允许工作模式与个人模式切换功能，保存后下发策略，几分钟后在linux端DSEMainService update更新策略

切换到工作模式成功set work stat ok，并且WorkState值为1

11、启动系统托盘（只支持ubuntu）

#DSEMainService tray

首次安装和退出托盘后需要通过此命令启动，之后重启系统会自启动。

Update 更新策略

Quit Tray 退出系统托盘

图标及其状态

后台服务未启动或内核驱动启动失败

连接到服务器，工作模式

未连接服务器，工作模式

连接到服务器，个人模式

未连接服务器，个人模式

12、开启dmesg记录

#DSEMainService trace

带参数on或off，可以开启dmesg记录非加密进程打开加密文件日志，调试时使用。

使用DSEMainService trace on查找非加密进程打开加密文件

①DSEMainService trace on

②dmesg –C

③cat users.txt

④dmesg |grep auto

⑤通过上面显示步骤可以看出，cat不能自动解密users.txt文件。

13、支持个别内核自动适配

#DSEMainService upgrade

在迅软内核支持库中下载对应当前系统内核的加密模块，若不存在尝试通过内核相近的加密模块适配当前系统内核的加密模块。

14、进程运行日志

dmesg |grep DSE:execve                           查看运行过所有进程

dmesg |grep DSE:execve |grep match         查看运行过所有加密进程

dmesg |grep DSE:execve |grep NOT          查看运行过所有未加密进程

dmesg |grep DSE:execve |grep inherit        查看运行过所有加密进程的调用进程

dmesg |grep auto                                      DSEMainService trace on时查看打开加密文件

三、DSE使用示例

1、配置控制台

进入windows系统登陆控制台

①在计算机管理栏选中linux客户端

②选择加密策略的Linux文档加密进程策略

③点击增加，添加进程

④显示组下所有的文件类型，可以在上方选择加密文件类型

⑤选择需要的加密进程和文件类型

⑥或者注册新的加密进程和类型

⑦确定后保存下发策略（策略下发完成后两分钟左右客户端策略自动更新）

2、Linux客户端使用

①客户端使用DSEMainServer update（几分钟后更新策略可以看到The current encrypt program number由0变为在控制台设置的加密程序数量）

#DSEMainServer update

②使用vi编写一个demo.c

# vi demo.c

③同一台电脑未配置加密进程的程序查看#cat demo.c

④使用file命令查看文件类型（正常.c文件为ASCII text）#file demo.c

⑤拷贝到外界不含有DSE客户端的电脑查看

四、DSE网关配置

1、网络控制模块是针对文件服务器实现上传解密下载加密的功能。

2、在Windows控制台端启用Linux网络控制，保存后点击下发策略。

3、在Linux客户端输入DSEMainService update更新策略，通过DSEMainService status查看状态。

存在NetworkCtl:1则表示成功。

new socket mod值1表示启用网关控制HOOK技术Linux端口管控通过对端口数据加密模式，不用设置网卡属性，支持云服务器、docker等服务器环境。