管理Linux进程的优先级
进程优先级和“nice”概念
-
进程调度程序
-
相对优先级
由SCHED_OTHER策略运行的进程制定相对优先级
nice值范围:-20 ~ 19. 默认情况下为零
PR值 = nice值+20
nice级别越高,优先级越低
-
nice级别和权限
root用户调整负级别和较低级别
普通用户只能较高级别
使用nice和renice调整进程的nice级别
-
报告nice级别
top: nice值和pr值
ps: nice值
-
启动nice级别进程
nice -n 15 进程名 &(发送进程到后台)
-
更改进程nice级别
renice -n -7 PID
也可以在top中调整
按r,更改PID和nice值
使用访问控制列表(ACL)控制对文件的访问
POSIX访问控制列表(ACL)
-
对指定用户限制文件权限
-
查看解释ACL权限
权限字符串末尾有+,有ACL权限
字符串解释:
用户:与标准文件权限相同
组:当前的ACL掩码设置
其他:与标准文件权限相同
-
查看文件ACL
getfacl file
- 注释条目
- 用户条目
- 组条目
- 掩码条目
- 其他条目
-
查看目录ACL
默认ACL权限,子目录文件继承
-
ACL掩码
-
ACL权限优先级
-
使用ACL保护文件安全
-
setfacl 添加,修改,删除文件和目录的标准ACL
用户:setfacl -m u:name:rx file
组所有者:setfacl -m g:name:rw file
掩码:chmod g+rw file
-
getfacl作为输入
getfacl fileA | setfacl --set-file=- fileB
-
递归修改
setfacl -R -m u:name:rX dir
-
删除
setfacl -x u:name file
setfacl -b file 删除所有ACL
-
控制默认ACL文件权限
setfacl -m d:u:name:rx dir
d:或者-d均可
setfacl -k 删除所有默认ACL
setfacl -b 删除所有ACL
管理SELINUX安全性
SELinux权限基础
-
上下文
用户,角色,类型,敏感度
目标策略根据类型上下文来制定规则
web服务器: http_t **端口:**http_port_t
/var/www/html: httpd_sys_content_t
tmp和/var/tmp: tmp_t
-
强制模式
主动拒绝类型上下文为tmp_t的web服务器,不仅提供记录并保护
-
许可模式
暂时允许规则不允许的内容
-
禁用模式
完全禁用
使用setenforce更改为SELinux
-
当前SELinux模式
setenforce [Enforcing | Permissive |1|0]
-
默认SELinux模式
配置文件 /etc/selinux/config
更改文件上下文
-
查看上下文
ls -Zd /var/www/html
-
更改上下文
chcon -t 上下文 文件
restorecon -v 文件
管理SELinux布尔值
调整策略
-
查看
getsebool
-
更改
setsebool
setsebool -p 永久修改
检查日志,进行故障排除
- setroubleshoot在/var/log/messages中生成日志消息
- sealert命令 显示有助于SELinux故障排除的有用信息
连接到网络定义的用户和组
身份管理服务
-
集中式身份管理系统
账户信息:
身份验证信息:
-
LDAP配置
- authconfig:命令行工具
- authconfig-tui:
- authconfig-gtk:图形化工具
-
连接到LDAP参数
- LDAP服务器的主机名称
- 查找用户的LDAP树部分的base DN
- CA证书
-
Kerberos参数
- Kerberos域的名称
- 分发中心
- 管理服务器的主机名称