精通SELinux

目录
1、什么是SELinux
2、SELinux的运行模式
3、安全性本文（Security Context）
4、SELinux的启动、关闭与查看
5、SELinux网络服务运行范例
6、SELinux日志
7、SELinux的策略与规则管理

1、什么是SELinux
SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上，也可以作为其他发行版上容易安装的包得到。
SELinux是2.6版本的Linux内核中提供的强制访问控制(MAC）系统。对于目前可用的 Linux安全模块来说，SELinux 是功能最全面，而且测试最充分的，它是在 20 年的 MAC 研究基础上建立的。SELinux在类型强制服务器中合并了多级安全性或一种可选的多类策略，并采用了基于角色的访问控制概念。
大部分使用 SELinux 的人使用的都是SELinux就绪的发行版，例如 Fedora、Red Hat Enterprise Linux（RHEL）、Debian或 Centos。它们都是在内核中启用SELinux的，并且提供一个可定制的安全策略，还提供很多用户层的库和工具，它们都可以使用 SELinux 的功能。
SELinux是一种基于域-类型模型（domain-type）的强制访问控制（MAC）安全系统，它由NSA编写并设计成内核模块包含到内核中，相应的某些安全相关的应用也被打了SELinux的补丁，最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下，那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX权限更好的访问控制

2、SELinux的运行模式
● 主体 (Subject)：
SELinux 主要想要管理的就是程序，因此你可以将『主体』跟 process 划上等号；

● 目标 (Object)：
主体程序能否存取的『目标资源』一般就是文件系统。因此这个目标项目可以等文件系统划上等号；

● 策略 (Policy)：
由于程序与档案数量庞大，因此 SELinux 会依据某些服务来制订基本的存取安全性政策。这些政策内还会有详细的规则 (rule) 来指定不同的服务开放某些资源的存取与否。在目前的 CentOS 6.x 里面仅有提供两个主要的政策如下，一般来说，使用预设的 target 政策即可。
targeted：针对网络服务限制较多，针对本机限制较少，是预设的政策；
strict：完整的 SELinux 限制，限制方面较为严格。

● 安全性本文 (security context)：
我们刚刚谈到了主体、目标与政策面，但是主体能不能存取目标除了要符合政策指定之外，主体与目标的安全性本文必须一致才能够顺利存取。这个安全性本文 (security context) 有点类似文件系统的 rwx 啦！安全性本文的内容与设定是非常重要的！如果设定错误，你的某些服务(主体程序)就无法存取文件系统(目标资源)，当然就会一直出现“权限不符”的错误讯息了！
精通SELinux
（1）主体程序必须要通过 SELinux 政策内的规则放行后，就可以与目标资源进行安全性本文的比对。
（2）若比对失败则无法存取目标，若比对成功则可以开始存取目标。

3、安全性本文（Security Context）
[root@localhost ~]# ll -Z
total 4
-rw-------. 1 root root system_u:object_r:admin_home_t:s0 1193 Feb 9 09:16 anaconda-ks.cfg

● 身份标识 (Identify)：相当于账号方面的身份识别！主要的身份识别则有底下三种常见的类型：
root：表示 root 的账号身份，如同上面的表格显示的是 root 家目录下的数据！
system_u：表示系统程序方面的识别，通常就是程序；
user_u：代表的是一般使用者账号相关的身份。

● 角色 (Role)：透过角色字段，我们可以知道这个数据是属于程序、档案资源还是代表使用者。一般的角色有：
object_r：代表的是档案或目录等档案资源，这应该是最常见的；
system_r：代表的就是程序啦！不过，一般使用者也会被指定成为 system_r ！

● 类型 (Type)：在预设的 targeted 政策中， Identify 与 Role 字段基本上是不重要的！重要的在于这个类型 (type) 字段！基本上，一个主体程序能不能读取到这个档案资源，与类型字段有关！而类型字段在档案与程序的定义不太相同，分别是：
type：在档案资源 (Object) 上面称为类型 (Type)；
domain：在主体程序 (Subject) 则称为领域 (domain) 了！
domain 需要与 type 搭配，则该程序才能够顺利的读取档案资源啦！

4、SELinux的启动、关闭与查看
SELinux主配置文件介绍：
[root@localhost ~]# cat /etc/selinux/config
SELINUX=enforcing
目前SELinux支持三种模式，分别如下：
● enforcing：强制模式：代表SELinux正在运行中，且已经正确开始限制domain/type了。
● permissive：宽容模式：代表SELinux正在运行中，不过仅会有警告信息并不会实际限制domain/type的访问。这种模式可以用来作为SELinux的调试之用。
● disabled：关闭：SELinux并没有实际运行。
SELINUXTYPE=targeted

查看SELinux：
[root@localhost ~]# getenforce
Permissive

[root@localhost ~]# sestatus [-vb]
参数：
-v：检查列于/etc/sestatus.conf内的文件与程序的安全上下文内容；
-b：将目前策略的规则布尔值列出，及某些规则（rule）是否要启动（0/1）之意；

[root@localhost ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 31

[root@localhost ~]# setenforce [0|1]
参数：
0：转成permissive宽容模式；
1：转成Enforcing强制模式；

启动selinux：
配置文件中启动selinux（需要重启系统）
[root@localhost ~]# cat /etc/selinux/config
SELINUX=enforcing

命令行启动selinux
[root@localhost ~]# setenforce 1

关闭selinux：
配置文件中关闭selinux（需要重启系统）
[root@localhost ~]# cat /etc/selinux/config
SELINUX=disabled

命令行启动selinux
[root@localhost ~]# setenforce 0

5、SELinux网络服务运行范例
[root@localhost ~]# yum -y install httpd
[root@localhost ~]# echo "123456" > /var/www/html/index.html
[root@localhost ~]# systemctl restart httpd
精通SELinux
此时你的浏览器会通过httpd这个进程拥有的httpd_t这个domain去读取/var/www/html/index.html这个文件。
查看文件的权限和SELinux的安全上下文数据：
[root@localhost ~]# ll -Z /var/www/html/index.html
-rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 7 Feb 22 20:42 /var/www/html/index.html

创建错误的SELinux安全上下文：
[root@localhost ~]# echo "My httpd" > index.html
[root@localhost ~]# rm -rf /var/www/html/index.html
[root@localhost ~]# mv index.html /var/www/html/
精通SELinux
查看index.html的权限：
[root@localhost ~]# ll -Z /var/www/html/index.html
-rw-r--r--. 1 root root unconfined_u:object_r:admin_home_t:s0 9 Feb 22 20:50 /var/www/html/index.html

修改安全上下文：
chcon命令介绍（修改方式）：
[root@localhost ~]# chcon [-R] [-t type] [-u user] [-r role] 文件
[root@localhost ~]# chcon [-R] --reference=范例文件文件
参数：
-R：连同该目录下的子目录也同时修改；
-t：后面接安全上下文的类型字段！例如：httpd_sys_content_t；
-u：后面接身份识别，例如system_u；
-r：后面接角色，例如system_r；
--reference=范例文件：拿某个文件当范例来修改后续接的文件的类型！

范例一：以/etc/passwd为依据，将index.html修改成该类型
[root@localhost ~]# ll -Z /etc/passwd
-rw-r--r--. 1 root root system_u:object_r:passwd_file_t:s0 1133 Feb 22 20:42 /etc/passwd
[root@localhost ~]# chcon --reference=/etc/passwd /var/www/html/index.html
[root@localhost ~]# ll -Z /var/www/html/index.html
-rw-r--r--. 1 root root system_u:object_r:passwd_file_t:s0 9 Feb 22 20:50 /var/www/html/index.html

范例二：将刚才的index.html类型改为httpd_sys_content_t的类型
[root@localhost ~]# chcon -t httpd_sys_content_t /var/www/html/index.html
[root@localhost ~]# ll -Z /var/www/html/index.html
-rw-r--r--. 1 root root system_u:object_r:httpd_sys_content_t:s0 9 Feb 22 20:50 /var/www/html/index.html

chcon是通过直接指定的方式来处理安全上下文的类型数据，我们都知道系统默认的目录都有特殊的SELinux安全上下文，而restorecon就是恢复模式的安全上下文的命令。

restorecon（还原方式）
[root@localhost ~]# restorecon [-Rv] 文件或目录
参数：
-R：连同子目录一起修改。
-v：将过程显示到屏幕上。

范例一：将刚才错误的index.html以默认的安全上下文改正过来
[root@localhost ~]# restorecon -Rv /var/www/html/index.html
Relabeled /var/www/html/index.html from unconfined_u:object_r:admin_home_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0
[root@localhost ~]# ll -Z /var/www/html/index.html
-rw-r--r--. 1 root root unconfined_u:object_r:httpd_sys_content_t:s0 7 Feb 22 21:07 /var/www/html/index.html

6、SELinux日志
setroubleshoot：将错误信息写入/var/log/message
[root@localhost ~]# cat /var/log/messages | grep setroubleshoot
Feb 22 21:28:27 localhost setroubleshoot[12759]: failed to retrieve rpm info for /var/www/html/index.html
Feb 22 21:28:27 localhost setroubleshoot[12759]: SELinux is preventing /usr/sbin/httpd from getattr access on the file /var/www/html/index.html. For complete SELinux messages run: sealert -l cf1dacbd-e06f-4c52-bbd4-abc3d3cde551

[root@localhost ~]# sealert -l cf1dacbd-e06f-4c52-bbd4-abc3d3cde551
SELinux is preventing /usr/sbin/httpd from getattr access on the file /var/www/html/index.html.
#<==就是刚才/var/log/messages的信息

* Plugin restorecon (99.5 confidence) suggests ****

If you want to fix the label.
/var/www/html/index.html default label should be httpd_sys_content_t.
Then you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.
Do

/sbin/restorecon -v /var/www/html/index.html

#<==若要允许访问，你需要执行如上操作。
* Plugin catchall (1.49 confidence) suggests **

If you believe that httpd should be allowed getattr access on the index.html file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:

ausearch -c 'httpd' --raw | audit2allow -M my-httpd

semodule -X 300 -i my-httpd.pp

Additional Information:
Source Context system_u:system_r:httpd_t:s0
Target Context unconfined_u:object_r:admin_home_t:s0
Target Objects /var/www/html/index.html [ file ]
Source httpd
Source Path /usr/sbin/httpd
Port <Unknown>
Host localhost.localdomain
Source RPM Packages
Target RPM Packages
Policy RPM selinux-policy-3.14.1-61.el8.noarch
Selinux Enabled True
Policy Type targeted
Enforcing Mode Enforcing
Host Name localhost.localdomain
Platform Linux localhost.localdomain 4.18.0-80.el8.x86_64
#1 SMP Tue Jun 4 09:19:46 UTC 2019 x86_64 x86_64
Alert Count 10
First Seen 2020-02-22 21:28:26 EST
Last Seen 2020-02-22 21:28:41 EST
Local ID cf1dacbd-e06f-4c52-bbd4-abc3d3cde551

Raw Audit Messages
type=AVC msg=audit(1582424921.167:319): avc: denied { getattr } for pid=11426 comm="httpd" path="/var/www/html/index.html" dev="dm-0" ino=33926150 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file permissive=0

Hash: httpd,httpd_t,admin_home_t,file,getattr

与setroubleshoot不同的是，audit会将许多的SELinux信息都记录下来，不只是错误信息而已，因此日志文件/var/log/audit/audit.log非常庞大。
[root@localhost ~]# audit2why < /var/log/audit/audit.log
type=USER_AVC msg=audit(1581914928.322:67): pid=783 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc: denied { send_msg } for msgtype=error error_name=org.freedesktop.NetworkManager.AlreadyEnabledOrDisabled dest=:1.16 spid=885 tpid=1415 scontext=system_u:system_r:NetworkManager_t:s0 tcontext=system_u:system_r:vmtools_unconfined_t:s0 tclass=dbus permissive=0 exe="/usr/bin/dbus-daemon" sauid=81 hostname=? addr=? terminal=?'UID="dbus" AUID="unset" SAUID="dbus"

Was caused by:Missing type enforcement (TE) allow rule.You can use audit2allow to generate a loadable module to allow this access.

7、SELinux的策略与规则管理
一个主体进程能否读取到目标文件资源的重点在于SELinux的策略以及策略内的各项规则，然后再通过该规则的定义去处理各目标文件的安全上下文，尤其是“类型”的部分。

● 策略查询
CentOS 8.x默认使用targeted策略，那么这个策略提供多少相关规则呢？
可以通过seinfo来查询。
[root@localhost ~]# yum -y install setools-console.x86_64 #<==安装命令
[root@localhost ~]# seinfo [-Atrub]
参数：
-A：列出SELinux的状态、规则布尔值、身份识别、角色、类型等所有信息；
-t：列出SELinux的所有类型（type）种类；
-r：列出SELinux的所有角色（role）种类；
-u：列出SELinux的所有身份标识（user）种类；
-b：列出所有规则的种类（布尔值）。

范例一：列出SELinux在此策略下的统计状态
[root@localhost ~]# seinfo
Statistics for policy file: /sys/fs/selinux/policy
Policy Version: 31 (MLS enabled) #<==列出策略所在文件与版本
Target Policy: selinux
Handle unknown classes: allow
Classes: 129 Permissions: 452
Sensitivities: 1 Categories: 1024
Types: 4914 Attributes: 251
Users: 8 Roles: 14
Booleans: 324 Cond. Expr.: 370
Allow: 111263 Neverallow: 0
Auditallow: 159 Dontaudit: 10271
Type_trans: 237483 Type_change: 74
Type_member: 35 Range_trans: 6015
Role allow: 39 Role_trans: 424
Constraints: 71 Validatetrans: 0
MLS Constrain: 72 MLS Val. Tran: 0
Permissives: 0 Polcap: 5
Defaults: 7 Typebounds: 0
Allowxperm: 0 Neverallowxperm: 0
Auditallowxperm: 0 Dontauditxperm: 0
Initial SIDs: 27 Fs_use: 33
Genfscon: 105 Portcon: 627
Netifcon: 0 Nodecon: 0

范例二：列出与httpd有关的规则（booleana）有哪些
[root@localhost ~]# seinfo -b | grep httpd
httpd_anon_write
httpd_builtin_scripting
httpd_can_check_spam
httpd_can_connect_ftp
httpd_can_connect_ldap
httpd_can_connect_mythtv
httpd_can_connect_zabbix
......（下面省略）......

如果查询到相关的类型或者是布尔值后，想要知道详细的规则时，就得要使用sesearch这个命令了！
[root@localhost ~]# sesearch [-A] [-s 主体类型] [-t 目标类型] [-b 布尔值]
参数：
-A：列出该类型或布尔值的所有相关信息；
-t：后面还要接类型，例如-t httpd_t；
-b：后面还要接布尔值的规则，例如-b httpd_enable_ftp_server；

范例一：找出目标文件资源类型为httpd_sys_content_t的有关信息
[root@localhost ~]# sesearch -a -t httpd_sys_content_t

范例二：找出主体进程为httpd_t且目标文件类型为httpd相关的所有信息
[root@localhost ~]# sesearch -s httpdt -t httpd* -a

范例三：我知道有个布尔值为httpd_enable_homedirs，请问该布尔值设置了多少规则？
[root@localhost ~]# sesearch -b httpd_enable_homedirs -A

● 布尔值的查询与修改
上面我们通过sesearch知道了，其实Subject与Object能否有访问的权限是与布尔值有关的，那么系统有多少布尔值可以通过“seinfo -b”来查询，但是每个布尔值是启动还是关闭的呢？
这就来查询一下吧：
[root@localhost ~]# getsebool [-a] [布尔值条款]
参数：
-a：列出目前系统上面的所有布尔值条款设置为开启或关闭值

范例一：查询本系统内所有的布尔值设置状况
[root@localhost ~]# getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
auditadm_exec_content --> on
......（下面省略）......

关闭和启动某个布尔值：
[root@localhost ~]# setsebool [-P] 布尔值=[0|1]
参数：
-P：直接将设置值写入配置文件，该设置数据将来会生效的！

范例一：查询httpd_enable_homedirs是否为关闭，若不为关闭，请关闭它！
[root@localhost ~]# getsebool httpd_enable_homedirs
httpd_enable_homedirs --> on
[root@localhost ~]# setsebool -P httpd_enable_homedirs=0
[root@localhost ~]# getsebool httpd_enable_homedirs
httpd_enable_homedirs --> off

● 默认目录的安全上下文查询与修改
使用semanage查看目录的默认安全上下文：
[root@localhost ~]# semanage {login,user,port,interface,fcontext,translation} -l
[root@localhost ~]# semanage fcontext -{a|d|m} [-frst] file_spec
参数：
fcontext：主要用在安全上下文方面的用途，-l为查询的意思；
-a：增加的意思，你可以增加一些目录的默认安全上下文类型设置；
-m：修改的意思；
-d：删除的意思；

范例一：查询一下/var/www/html的默认安全上下文设置
[root@localhost ~]# semanage fcontext -l
......（前面省略）......
/var/www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
......（后面省略）......

范例二：利用semanage设置/srv/samba目录的默认安全上下文为public_content_t
[root@localhost ~]# mkdir /srv/samba
[root@localhost ~]# ll -Zd /srv/samba/
drwxr-xr-x. 2 root root unconfined_u:object_r:var_t:s0 6 Feb 22 22:46 /srv/samba/
[root@localhost ~]# semanage fcontext -l|grep '/srv'
/srv all files system_u:object_r:var_t:s0
/srv/([^/]/)?ftp(/.)? all files system_u:object_r:public_content_t:s0
/srv/([^/]/)?rsync(/.)? all files system_u:object_r:public_content_t:s0
/srv/([^/]/)?www(/.)? all files system_u:object_r:httpd_sys_content_t:s0
/srv/([^/]/)?www/logs(/.)? all files system_u:object_r:httpd_log_t:s0
/srv/. all files system_u:object_r:var_t:s0
/srv/gallery2(/.)? all files system_u:object_r:httpd_sys_content_t:s0
/srv/gallery2/smarty(/.)? all files system_u:object_r:httpd_sys_rw_content_t:s0
/srv/lib/gitosis(/.)? all files system_u:object_r:gitosis_var_lib_t:s0
/srv/loopback-device(/.)? all files system_u:object_r:swift_data_t:s0
/srv/node(/.)? all files system_u:object_r:swift_data_t:s0
#上面则是默认的/srv下面的安全上下文数据，不过，并没有指定到/srv/samba

[root@localhost ~]# semanage fcontext -a -t public_content_t "/srv/samba(/.)?"
[root@localhost ~]# semanage fcontext -l | grep '/srv/samba(/.)?'
/srv/samba(/.*)? all files system_u:object_r:public_content_t:s0
[root@localhost ~]# cat /etc/selinux/targeted/contexts/files/file_contexts.local

This file is auto-generated by libsemanage

Do not edit directly.

/srv/samba(/.*)? system_u:object_r:public_content_t:s0
#其实就是写这个文件
[root@localhost ~]# ll -Zd /srv/samba
drwxr-xr-x. 2 root root unconfined_u:object_r:var_t:s0 6 Feb 22 22:46 /srv/samba
[root@localhost ~]# restorecon -Rv /srv/samba
[root@localhost ~]# ll -Zd /srv/samba
drwxr-xr-x. 2 root root unconfined_u:object_r:public_content_t:s0 6 Feb 22 22:46 /srv/samba
#有默认值，以后用restorecon来修改比较简单！

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

mysql5.7_xtraBackup_备份脚本
# 备份脚本XtraBackup.sh： #!/bin/bash# filename : XtraBackup.sh# Author : 00000day=date +%wdt=date +%Y%m%dlastday=date -d 1 days ago +%Y%m%duser=backupuserlog=backuplog.date +%Y%m%d case $day in 0) # Monday Relatively Sundays incremental back…...
2024/4/16 14:55:39
SHELL脚本中运算符、逻辑运算以及用法
一、算数运算1. bash中的算术运算:可用help let查看帮助常见的算数运算符：+（加）, -（减）, *（乘）, /（除）, %取模（取余）, **（乘方）实现算术运算：①　let var=算术表达式注：let运算只保留整数位 ②　var=$[算术表达式] 其余算数表达式同理③　var=$((算术表达式…...
2024/5/1 21:21:50
Linux软件管理 - 编译安装
Linux软件管理 - 编译安装文本关键字：Linux、软件管理、configure、make、make install 一、环境准备很多软件下载之后是一个源码包，是不能够直接运行的，需要先进行编译安装，生成可执行程序。在进行编译时，需要先使用yum安装编译工具。1. 核心组件必须要安装的就是gcc（G…...
2024/4/17 0:36:47
邮件服务配置(虚拟域&虚拟用户)
邮件服务配置(虚拟域&虚拟用户) 本文首发：https://www.somata.net/2019/virtual_mail_server_config_with_mariadb.html 现在我做的是:Linux + httpd + php + mariadb + postfix + dovecot + phpMyAdmin + postfixadmin + roundcubemail 这里我将会讲解如何制作基于虚拟…...
2024/5/1 21:09:30
初级SHELL脚本示例
1. 编写脚本/root/bin/backup.sh，可实现每日将/etc/目录备份到 /root/etcYYYY-mm-dd中 2. 编写脚本/root/bin/nologin.sh和login.sh,实现禁止和充许普通用户登录系统 3. 编写脚本/root/bin/disk.sh,显示当前硬盘分区中空间利用率最大的值...
2024/4/24 8:33:09
WGCLOUD-v2.3安装脚本，安装说明文档
WGCLOUD-v2.3安装说明WGCLOUD基于java语言开发，是微服务架构的分布式监控系统，核心模块包括：服务器集群监控，ES集群状态监控，CPU监控，内存监控，数据监控，服务心跳检测，应用进程管理，磁盘IO监控，系统负载监控，监控告警信息推送。比起zabbix监控工具，它更轻量，界面…...
2024/4/24 8:33:06
RedHat 第25期在线培训班---第4课
一、知识点：重定向：分输入重定向和输出重定向；标准输入重定向（STDIN，文件描述符为0）：默认从键盘输入，也可从其他文件或命令中输入。标准输出重定向（STDOUT，文件描述符为1）：默认输出到屏幕。错误输出重定向（STDERR，文件描述符为2）：默认输出到屏幕。命令 <…...
2024/4/24 8:33:04
Linux发行版元数据信息软连接和硬连接区别
1描述Linux发行版的系统目录名称命名规则以及用途。答；命名规则如下：文件名最长255个字节包括路径在内文件名称最长4095个字节蓝色-->目录绿色-->可执行文件红色-->压缩文件浅蓝色-->链接文件灰色-->其他文件除了斜杠和NUL,所有字符都有效.但使用特…...
2024/4/24 8:33:03
shell脚本之echo命令颜色输出(二）
在shell脚本中一般echo命令也是我们经常用到的，而echo -e选项除了可以实现转移符来讲我们还可以进行对文本输出进行渲染，增加描述视觉效果它输出的结构是这样的示例"\033[32m xxx \033[0m" "\033[32m 输出内容 \033[0m" \033相当…...
2024/4/24 8:33:02
（一）Kubernetes/K8s 集群架构与组件
K8s相关概念：master/nodemasterMaster 是 Cluster 的大脑，它的主要职责是调度，即决定将应用放在哪里运行，实现高可用，可以运行多个 Master。运行的相关组件：Kubernetes API Server(kube-apiserver)，集群的统一入口，各组件协调者，以RESTful API提供接口服务，所有对象资…...
2024/4/24 8:33:02
Linux | 文件的时间属性
在我们进行系统运维的时候，会需要去查看系统下文件的一些时间属性，如创建时间、修改时间等，比如查看一个应用的配置文件的修改时间，用于初步判断该文件是否被篡改过。那么本文就针对Linux系统下的文件的时间属性来做一个介绍。文件的时间属性在Linux系统下，文件的时间属性…...
2024/4/24 8:33:07
ORACLE12C静默安装－个人总结
一、安装依赖包及新建用户与目录1、首先安装需求相关的环境[root@oracle ~]#hostnamectl set-hostname oracle[root@oracle ~]#yum -y update && init 6[root@oracle ~]#yum -y install binutils compat-libcap1 compat-libstdc++-33 compat-libstdc++-33i686 ksh l…...
2024/4/24 8:32:59
2019年网络安全威胁统计
这些年网络的发展的确给我们带来了很多便利，但是同样也给***们带来更多的可能。今天小聪就给大家分享一下让我们极其厌烦的几种网络安全威胁。说到网络威胁可能很多人都会深恶痛绝，因为实在是备受困扰。小到个人的信息泄露，大到企业、国家的财务损失以及机密信息外漏。最近看…...
2024/4/24 8:32:58
中国国产Linux系统UOS安装教程
其中第一项是“安装UOS桌面版”，第二项是“校验安装镜像的完整性”，既然都国产了，不明白他为什么不把这个也汉化过来。使用的是一个64位版本的镜像文件“uos-20-desktop-amd64.iso”，手边暂时没有闲置的电脑，使用的VMware安装的虚拟机版本。1、启动界面其中第一项是“安装…...
2024/4/24 8:32:57
redis安装文档
1、官网下载最新的redis安装文档：我这里下载目前最新的5.0版本wget http://download.redis.io/releases/redis-5.0.7.tar.gztar -xvf redis-5.0.7.tar.gzmv redis-5.0.7 rediscd redis可以使用gcc -v检查安装环境然后在redis目录下编译安装make编译成功后，会在src目录下生成…...
2024/4/24 8:32:56
sqoop部署
1.sqoop下载https://mirrors.tuna.tsinghua.edu.cn/apache/sqoop/1.4.7/ 2.sqoop上传到服务器并解压到相应的目录3.修改sqoop的配置文件4.修改配置文件5.拷贝sqoop需要的mysql 数据库驱动cp /home/nflow/servers/hive/lib/mysql-connector-java-5.1.26-bin.jar /home/nflo…...
2024/4/24 8:32:55
部署LAMP动静分离
一、LAMP动静分离当需要搭建一个高效的web架构时，采用动静分离无疑是最好的选择，这篇博文将写下来LAMP的动静分离部署方式。所谓LAMP？LAMP架构是目前最成熟的企业网站应用模式之一，指的是协同工作的一整套系统和相关软件，能够提供动态web站点服务及其应用开发环境。与之并…...
2024/4/16 14:56:15
Zabbix-Network-Weathermap 插件
项目描述：Network weathermap for Zabbix like Network Weathermap最早Cacti上有一个Network Weathermap项目，不是为Zabbix做的，不过似乎也能搬到Zabbix上用。不过现在方便了，有Zabbix的版本。部署到zabbix4.4版本也没问题。项目地址：https://github.com/Prototype-X/Za…...
2024/4/22 12:16:07
shell脚本基础用法
shell脚本确切一点说，Shell就是一个命令行解释器，它的作用就是遵循一定的语法将输入的命令加以解释并传给系统。它为用户提供了一个向Linux发送请求以便运行程序的接口系统级程序，用户可以用Shell来启动、挂起、停止甚至是编写一些程序。 Shell本身是一个用C语言编写的程序，…...
2024/4/16 14:56:05
CentOS 7部署DNS主从复制及Apache域名虚拟主机
一、安装主DNS服务器 1、配置主DNS [root@centos01 ~]# yum -y install bind bind-chroot bind-utils  [root@centos01 ~]# cp /etc/named.conf /etc/named.conf.bak  [root@centos01 ~]# echo "" >…...
2024/4/16 14:56:05