经过多年以来的无数次审查、讨论和代码重写,Linus Torvalds 通过了一项 Linux 内核新的安全功能,它被称为“锁定”(lockdown)。 这项新功能将作为 LSM(Linux Security Module,Linux 安全模块)包含在即将发布的 Linux kernel 5.4 中。由于存在破坏现有系统的风险,因此该功能是可选的,并非默认开启。 这一新的锁定功能主要是为了防止 root 帐户篡改内核代码,从而在用户态进程和代码之间划清界限。启用该功能后,即便是 root...
假设我有两个线程,T1和T2. 线程T1在TCP套接字S上进行阻塞write()调用,以发送大量字节B1的缓冲区.字节B1的缓冲区很大,以至于(a)写调用块和(b)TCP必须使用多个段来发送缓冲区. 线程T2还在同一个TCP套接字S上进行阻塞write()调用,以发送一些其他大的字节B2缓冲区. 我的问题是: 在UNIX上实现TCP是否保证B1的所有字节都将在B2的所有字节之前发送(反之亦然)? 或者TCP是否可以交错B1和B2的内容(例如,TCP发送带有B1数据的段,然后是带有B2...
非对称加密算法:RSA,DSA/DSS 对称加密算法:AES,RC4,3DES HASH算法:MD5,SHA1,SHA256 hash就是找到一种数据内容和数据存放地址之间的映射关系 (1) 文件校验 有奇偶校验和CRC校验,这2种校验并没有抗数据篡改的能力,它们一定程度上能检测并纠正数据传输中的信道误码,但却不能防止对数据的恶意破 MD5 Hash算法的"数字指纹"特性,应用最广泛的一种文件完整性校验和(Checksum)算法,不少Unix系统有提供计算md5 checksum的命令...
# C7 锁定SU权限仅wheel 组的用户可以使用 step.1 usermod -G wheel <用户名> step.2 vi /etc/pam.d/su #auth required pam_wheel.so use_uid ## 打开“#”注释 step.3 echo "SU_WHEEL_ONLY yes" >> /etc/login.defs ## 添加语句到行末
有没有办法在没有用户/密码的情况下从命令行重置所有(或者只是禁用安全设置),因为我已经设法将自己完全锁定在Jenkins之外?解决方法:最简单的解决方案是完全禁用安全性 – 在/var/lib/jenkins/config.xml文件中将true更改为false.<useSecurity>true</useSecurity>然后重新启动Jenkinssudo service jenkins restart然后转到管理面板并再次设置所有内容. 如果你是从一个docker在k8s pod中运行你的Jenkins,这是我的情况并且无法运行服...
对于互联网IT从业人员来说,越来越多的工作会逐渐转移到Linux系统之上,这一点,无论是开发、运维、测试都应该是深有体会。曾有技术调查网站W3Techs于2018年11月就发布一个调查报告,报告显示Linux在网站服务器的系统中使用率高达37.2%,这一数据也表明,Linux系统被广泛应用。其实,除了在网站服务器中的应用,Linux系统还被用于DNS域名解析服务器、电子邮件服务器、一些开源软件的应用(大数据应用:据Linux基金会的研究,86%的企...
(一)了解SELinux是如何工作的SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上,也可以作为其他发行版上容易安装的包得到。SELinux是2.6版本的Linux内核中提供的强制访问控制...
条件变量 条件变量本身不是锁!但它也可以造成线程阻塞。通常与互斥锁配合使用。给多线程提供一个会合的场所。 主要应用函数:pthread_cond_init 函数 pthread_cond_destroy 函数 pthread_cond_wait 函数 pthread_cond_timedwait 函数 pthread_cond_signal 函数 pthread_cond_broadcast 函数 以上 6 个函数的返回值都是:成功返回 0, 失败直接返回错误号。 pthread_cond_t 类型 用于定义条件变量 pthread_cond_tcond;pthread_cond...
在Linux中的防火墙有 ipables 和firewalld两种,今天主要说一下firewalld的使用 前言: 平时我们一些网站开启服务以后本地可以访问,其他电脑不可访问可能就是防火墙没有关或者设置许可。 开启防火墙[root@localhost gogs]# systemctl start firewalld 关闭防火墙[root@localhost gogs]# systemctl stop firewalld 重启防火墙[root@localhost gogs]# systemctl restart firewalld 查看防火墙当前状态[root@localhost gogs]# ...
简介SSH 由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、...
作为一种开放源代码的操作系统,Linux服务器以其安全,高效和稳定的显著优势而得以广泛应用,但是,若不加以控制,也不见得安全到哪里,这篇博文主要从账号安全控制、系统引导和登录控制的角度,来进行Linux系统安全优化。并且使用辅助工具来查找安全隐患,以便我们及时采取相应的措施。 基本安全措施: 1、 系统各种冗余账号,如“games”等,可直接删除,包括一些程序账号,若卸载程序后,账号没能被删除,则需要我们手动进行删除...
centos6启动流程 1、上电POST自检,加载BIOS的硬件信息,获取第一个启动设备 2、读取第一个启动设备MBR里的引导加载程序(grub)的启动信息 3、加载核心操作系统的核心信息,核心开始解压缩,并尝试驱动所有的硬件设备 4、核心执行init程序,并获取默认的运行信息 5、init程序执行/etc/rc.d/rc.sysinit文件 6、启动核心的外挂模块 7、init执行运行的各个批处理文件(scripts) 8、init执行/etc/rc.d/rc.local 9、执行/bin/login程序...
通过保证Linux系统安全之firewalld防火墙入门详解认识Linux系统firewalld防火墙,并可以编写一些相对简单一些的防火墙规则。Linux防火墙可以充当路由器(网关)。路由器上的NAT技术,同样可以通过Linux防火墙来实现。地址伪装和端口转发说白了就是路由器中的NAT技术。 一、地址伪装和端口转发简介 firewalld防火墙支持两种类型的NAT: (1)地址伪装 地址伪装:基于源地址进行转换,通过地址伪装,NAT设备将经过设备的数据包转发到...
作为一种开放源代码的操作系统,Linux服务器以其安全,高效和稳定的显著优势而得以广泛应用,但是,若不加以控制,也不见得安全到哪里,这篇博文主要从账号安全控制、系统引导和登录控制的角度,来进行Linux系统安全优化。并且使用辅助工具来查找安全隐患,以便我们及时采取相应的措施。基本安全措施:1、 系统各种冗余账号,如“games”等,可直接删除,包括一些程序账号,若卸载程序后,账号没能被删除,则需要我们手动进行删除。...
在Internet中,企业通过架设各种应用系统来为用户提供各种网络服务,比如Web网站、电子邮件、FTP服务器等。而且大部分都是使用Linux服务器进行搭建的。那么,想要保护这些服务器,过滤非授权的访问,甚至恶意进入内部网络 。就需要使用到——防火墙。 防火墙除了硬件防火墙之外,Linux系统的防火墙也十分强大,今天主要认识CentOS 7系统的防火墙——firewalld。 一、Linux防火墙基础 不管是Linux系统、Windows系统的防火墙或者是硬...