管理Linux进程的优先级

进程优先级和“nice”概念

• 进程调度程序

• 相对优先级

  由SCHED_OTHER策略运行的进程制定相对优先级

  nice值范围：-20 ~ 19. 默认情况下为零

  PR值 = nice值+20

  nice级别越高，优先级越低

• nice级别和权限

  root用户调整负级别和较低级别

  普通用户只能较高级别

使用nice和renice调整进程的nice级别

• 报告nice级别

  top: nice值和pr值

  ps: nice值

• 启动nice级别进程

  nice -n 15 进程名 &（发送进程到后台）

• 更改进程nice级别

  renice -n -7 PID

  也可以在top中调整

  按r，更改PID和nice值

使用访问控制列表（ACL）控制对文件的访问

POSIX访问控制列表（ACL）

• 对指定用户限制文件权限

• 查看解释ACL权限

  权限字符串末尾有+,有ACL权限

  字符串解释：

  ​ 用户：与标准文件权限相同

  ​ 组：当前的ACL掩码设置

  ​ 其他：与标准文件权限相同

  • 查看文件ACL

    getfacl file

    1. 注释条目
    2. 用户条目
    3. 组条目
    4. 掩码条目
    5. 其他条目

  • 查看目录ACL

    默认ACL权限，子目录文件继承

  • ACL掩码

  • ACL权限优先级

使用ACL保护文件安全

• setfacl 添加，修改，删除文件和目录的标准ACL

  ​ 用户：setfacl -m u:name:rx file

  ​ 组所有者：setfacl -m g:name:rw file

  ​ 掩码：chmod g+rw file

• getfacl作为输入

  ​ getfacl fileA | setfacl --set-file=- fileB

• 递归修改

  ​ setfacl -R -m u:name:rX dir

• 删除

  ​ setfacl -x u:name file

  ​ setfacl -b file 删除所有ACL

• 控制默认ACL文件权限

  ​ setfacl -m d:u:name:rx dir

  ​ d:或者-d均可

  ​ setfacl -k 删除所有默认ACL

  ​ setfacl -b 删除所有ACL

管理SELINUX安全性

SELinux权限基础

• 上下文

  用户，角色，类型，敏感度

  目标策略根据类型上下文来制定规则

  web服务器： http_t **端口：**http_port_t

  /var/www/html: httpd_sys_content_t

  tmp和/var/tmp: tmp_t

• 强制模式

  ​ 主动拒绝类型上下文为tmp_t的web服务器，不仅提供记录并保护

• 许可模式

  ​ 暂时允许规则不允许的内容

• 禁用模式

  ​ 完全禁用

使用setenforce更改为SELinux

• 当前SELinux模式

  ​ setenforce [Enforcing | Permissive |1|0]

• 默认SELinux模式

  ​ 配置文件 /etc/selinux/config

更改文件上下文

• 查看上下文

  ls -Zd /var/www/html

• 更改上下文

  chcon -t 上下文 文件

  restorecon -v 文件

管理SELinux布尔值

调整策略

• 查看

  getsebool

• 更改

  setsebool

  setsebool -p 永久修改

检查日志，进行故障排除

• setroubleshoot在/var/log/messages中生成日志消息
• sealert命令 显示有助于SELinux故障排除的有用信息

连接到网络定义的用户和组

身份管理服务

• 集中式身份管理系统

  账户信息：

  身份验证信息：

• LDAP配置

  1. authconfig:命令行工具
  2. authconfig-tui:
  3. authconfig-gtk:图形化工具

• 连接到LDAP参数

  1. LDAP服务器的主机名称
  2. 查找用户的LDAP树部分的base DN
  3. CA证书

• Kerberos参数

  1. Kerberos域的名称
  2. 分发中心
  3. 管理服务器的主机名称