linux概念学习

vampire 2020年09月15日 19次浏览

管理Linux进程的优先级

进程优先级和“nice”概念

  • 进程调度程序

  • 相对优先级

    由SCHED_OTHER策略运行的进程制定相对优先级

    nice值范围:-20 ~ 19. 默认情况下为零

    PR值 = nice值+20

    nice级别越高,优先级越低

  • nice级别和权限

    root用户调整负级别和较低级别

    普通用户只能较高级别

使用nice和renice调整进程的nice级别

  • 报告nice级别

    top: nice值和pr值

    ps: nice值

  • 启动nice级别进程

    nice -n 15 进程名 &(发送进程到后台)

  • 更改进程nice级别

    renice -n -7 PID

    也可以在top中调整

    按r,更改PID和nice值

使用访问控制列表(ACL)控制对文件的访问

POSIX访问控制列表(ACL)

  • 对指定用户限制文件权限

  • 查看解释ACL权限

    权限字符串末尾有+,有ACL权限

    字符串解释:

    ​ 用户:与标准文件权限相同

    ​ 组:当前的ACL掩码设置

    ​ 其他:与标准文件权限相同

    • 查看文件ACL

      getfacl file

      1. 注释条目
      2. 用户条目
      3. 组条目
      4. 掩码条目
      5. 其他条目
    • 查看目录ACL

      默认ACL权限,子目录文件继承

    • ACL掩码

    • ACL权限优先级

使用ACL保护文件安全

  • setfacl 添加,修改,删除文件和目录的标准ACL

    ​ 用户:setfacl -m u:name:rx file

    ​ 组所有者:setfacl -m g:name:rw file

    ​ 掩码:chmod g+rw file

  • getfacl作为输入

    ​ getfacl fileA | setfacl --set-file=- fileB

  • 递归修改

    ​ setfacl -R -m u:name:rX dir

  • 删除

    ​ setfacl -x u:name file

    ​ setfacl -b file 删除所有ACL

  • 控制默认ACL文件权限

    ​ setfacl -m d:u:name:rx dir

    ​ d:或者-d均可

    ​ setfacl -k 删除所有默认ACL

    ​ setfacl -b 删除所有ACL

管理SELINUX安全性

SELinux权限基础

  • 上下文

    用户,角色,类型,敏感度

    目标策略根据类型上下文来制定规则

    web服务器: http_t **端口:**http_port_t

    /var/www/html: httpd_sys_content_t

    tmp和/var/tmp: tmp_t

  • 强制模式

    ​ 主动拒绝类型上下文为tmp_t的web服务器,不仅提供记录并保护

  • 许可模式

    ​ 暂时允许规则不允许的内容

  • 禁用模式

    ​ 完全禁用

使用setenforce更改为SELinux

  • 当前SELinux模式

    ​ setenforce [Enforcing | Permissive |1|0]

  • 默认SELinux模式

    ​ 配置文件 /etc/selinux/config

更改文件上下文

  • 查看上下文

    ls -Zd /var/www/html

  • 更改上下文

    chcon -t 上下文 文件

    restorecon -v 文件

管理SELinux布尔值

调整策略

  • 查看

    getsebool

  • 更改

    setsebool

    setsebool -p 永久修改

检查日志,进行故障排除

  • setroubleshoot在/var/log/messages中生成日志消息
  • sealert命令 显示有助于SELinux故障排除的有用信息

连接到网络定义的用户和组

身份管理服务

  • 集中式身份管理系统

    账户信息:

    身份验证信息:

  • LDAP配置

    1. authconfig:命令行工具
    2. authconfig-tui:
    3. authconfig-gtk:图形化工具
  • 连接到LDAP参数

    1. LDAP服务器的主机名称
    2. 查找用户的LDAP树部分的base DN
    3. CA证书
  • Kerberos参数

    1. Kerberos域的名称
    2. 分发中心
    3. 管理服务器的主机名称