nftables 日志解决方案实践

最新推荐文章于 2024-04-23 17:23:51 发布
最新推荐文章于 2024-04-23 17:23:51 发布
阅读量1.3k 收藏 2
点赞数
文章标签: linux 运维 centos 数据库 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alex_yangchuansheng/article/details/118741032
版权


nftables 重要规则进行日志记录,并配置日志切割、nftables 规则固定到文件,保证重启不丢失。

最后更新时间:2021/7/13

根据官方 wiki 中Logging traffic[1]这篇文章的说明:从 Linux 内核 3.17 开始提供完整的日志支持。如果您运行较旧的内核,则必须 modprobe ipt_LOG 以启用日志记录。从 nftables v0.7 开始,支持 log 标志。

那么我们的内核是5.13.0-1.el7.elrepo.x86_64,nftables 版本是nftables v0.8 (Joe Btfsplk),应该不需要手动加载内核模块。

前置条件:

  • openvpn 网卡 tun0、openvpn 用户虚拟 IP 网段为 10.121.0.0/16;

  • wireguard 网卡 wg0、wireguard 虚拟 IP 网段 10.122.0.0/16;

1. nftables 规则创建及测试

我这边需要在这台 VPN 中枢服务器进行路由转发和控制,并且需要监控哪个 VPN 用户访问了哪些服务的日志;

1.1. 简单测试-权限粒度从 ip 到目的 ip.端口

首先测试确定的用户虚拟 IP 到确定的服务器的控制转发规则:

## 添加单条规则如下:
nft add rule ip nat POSTROUTING oifname eth0 ip saddr 10.121.6.6 ip daddr 192.168.5.71 counter log masquerade
nft add rule ip nat POSTROUTING oifname eth0 ip saddr 10.121.6.6 ip daddr 10.10.210.9 counter log masquerade
## 查询到的规则如下
table ip filter {
 chain INPUT {
  type filter hook input priority 0; policy accept;
  counter packets 248456 bytes 62354809 ## handle 4
 }

 chain FORWARD {
  type filter hook forward priority 0; policy accept;
  iifname "wg0" counter packets 97 bytes 6924 accept ## handle 5
  oifname "wg0" counter packets 121 bytes 7776 accept ## handle 6
 }

 chain OUTPUT {
  type filter hook output priority 0; policy accept;
 }
}
table ip nat {
 chain PREROUTING {
  type nat hook prerouting priority 0; policy accept;
 }

 chain INPUT {
  type nat hook input priority 0; policy accept;
 }

 chain OUTPUT {
  type nat hook output priority 0; policy accept;
 }

 chain POSTROUTING {
  type nat hook postrouting priority 0; policy accept;
  counter packets 76584 bytes 5488498 ## handle 7
  oifname "eth0" ip saddr 10.121.6.6 ip daddr 192.168.5.71 counter packets 1 bytes 60 log masquerade ## handle 27
  oifname "eth0" ip saddr 10.121.6.6 ip daddr 10.10.210.9 counter packets 0 bytes 0 log masquerade ## handle 28
 }
}

openvpn 客户端 ping 10.10.210.9 和 192.168.5.71 测试,查看日志 tail -100f /var/log/nftables.log,需要先做第二步骤的日志设置

值得注意的是,短时间内再次 ping 同一个 IP 的话,不会出现新的记录,conntrack -E看也是一样的,有网友说可能是按照比例输出的日志,后面根据生产经验看其实日志是有的,只不过 tail 没全部展现。

Jul  9 17:32:12 test-openvpn kernel: IN=tun0 OUT=eth0 MAC= SRC=10.121.6.6 DST=10.10.210.9 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=59753 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=716
Jul  9 17:32:17 test-openvpn kernel: IN=tun0 OUT=eth0 MAC= SRC=10.121.6.6 DST=192.168.5.71 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=36231 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=720

1.2. 权限粒度控制到网段

若要对用户以及目的地址进行批量配置和控制用户可以目的地址的粒度

需要新增VPN 用户虚拟 IP 集合目的服务集合(粒度到端口)目的服务器(粒度服务器或网段)

然后用三条规则控制这样的处理流程。以下是三个集合的创建和新增规则过程【只需要关注 nat 表的 POSTROUTING 链即可】:

我们需要将刚才的表删掉nft delete table filternft delete table nat,并从头创建覆盖范围更广的通用规则:

## -i参数进入交互模式 从头开始创建表filter、nat以及链和新增规则
nft -i
add table ip filter
add chain ip filter INPUT { type filter hook input priority 0; policy accept; }
add chain ip filter FORWARD { type filter hook forward priority 0; policy accept; }
add chain ip filter OUTPUT { type filter hook output priority 0; policy accept; }
add table ip nat
add chain ip nat PREROUTING { type nat hook prerouting priority 0; policy accept; }
add chain ip nat INPUT { type nat hook input priority 0; policy accept; }
add chain ip nat OUTPUT { type nat hook output priority 0; policy accept; }
add chain ip nat POSTROUTING { type nat hook postrouting priority 0; policy accept; }
## 测量流量
add rule filter INPUT counter
add rule nat POSTROUTING counter

## 决定是否增加的测试规则
add rule ip nat POSTROUTING oifname eth0 ip saddr 10.11.6.6 ip daddr 192.168.5.71 counter masquerade
add rule ip nat POSTROUTING oifname eth0 ip saddr 10.11.6.6 ip daddr 10.10.210.18 counter masquerade

## 允许wg0网卡转发流量
add rule filter FORWARD iifname wg0 counter accept
add rule filter FORWARD oifname wg0 counter accept

## user_vips 用户虚拟IP
add set nat user_vips { type ipv4_addr \; flags interval\; }
## dest_addrs 目标地址/网段
add set nat dest_addrs { type ipv4_addr \; flags interval\; }

## 查看 退出i交互模式操作
nft list ruleset

## 【核心地址】
## 添加用户虚拟地址 若想直接给所有虚拟用户添加,则需要删除单个ip,添加成10.121.0.0/16
nft add element nat user_vips { 10.121.6.6, 10.121.6.7 }
##查看结果
nft list set nat user_vips
## 添加目标服务【粒度到端口协议】 【这里此阶段没有测试!】
nft add element nat dest_svcs { 192.168.5.15 . tcp . 80, 192.168.5.15 . tcp . 22 }
## 添加目标网段【粒度粗一些】【此阶段测试了】
nft add element nat dest_addrs { 10.10.210.99, 192.168.5.77 }
##查看结果
nft list set nat dest_addrs

## 【核心规则】
## tun0 进 精确到端口 tcp协议
nft insert rule ip nat POSTROUTING oifname eth0 counter log ip saddr @user_vips ip daddr . meta l4proto . tcp dport @dest_svcs masquerade
## tun0 进 精确到端口 udp协议
nft insert rule ip nat POSTROUTING oifname eth0 counter log ip saddr @user_vips ip daddr . meta l4proto . udp dport @dest_svcs masquerade
## tun0 进 eth0 出
nft insert rule ip nat POSTROUTING oifname eth0 counter log ip saddr @user_vips ip daddr @dest_addrs masquerade
## tun0 进 wg0 出
nft insert rule ip nat POSTROUTING oifname wg0 counter log ip saddr @user_vips ip daddr @dest_addrs masquerade
##查看结果
nft list ruleset -a -nn
table ip filter {
        chain INPUT {
                type filter hook input priority 0; policy accept;
                counter packets 1245244 bytes 478473640 ## handle 4
        }

        chain FORWARD {
                type filter hook forward priority 0; policy accept;
                iifname "wg0" counter packets 429596 bytes 254444866 accept ## handle 5
                oifname "wg0" counter packets 566722 bytes 80498891 accept ## handle 6
        }

        chain OUTPUT {
                type filter hook output priority 0; policy accept;
        }
}
table ip nat {
        set user_vips {
                type ipv4_addr
                flags interval
                elements = { 10.121.6.6, 10.121.6.7 }
        }

        set dest_svcs {
                type ipv4_addr . inet_proto . inet_service
        }

        set dest_addrs {
                type ipv4_addr
                flags interval
                elements = { 10.10.210.99, 192.168.5.77 }
        }

        chain PREROUTING {
                type nat hook prerouting priority 0; policy accept;
        }

        chain INPUT {
                type nat hook input priority 0; policy accept;
        }

        chain OUTPUT {
                type nat hook output priority 0; policy accept;
        }

        chain POSTROUTING {
                type nat hook postrouting priority 0; policy accept;
                oifname "eth0" counter packets 2010 bytes 128703 log ip saddr @user_vips ip daddr @dest_addrs masquerade ## handle 14
                oifname "wg0" counter packets 24631 bytes 1400846 log ip saddr @user_vips ip daddr @dest_addrs masquerade ## handle 13
                counter packets 26604 bytes 1536440 ## handle 5
        }
}

## 若以后nat表POSTROUTING链的规则粒度改成了更细的粒度,规则数目会变成人数*服务端口数 查询可以这么晒选
nft list table ip nat -a | grep "10.121.0.3"

2. 日志设置

简单配置并重启rsyslog服务,则 nftables 规则中写了 log 标志及符合正则的事件流将会出现在日志文件中。

vim /etc/rsyslog.d/nftables.conf
## 写入以下内容 此处的配置将匹配conntrack中符合正则的日志
:msg,regex,"IN=.*OUT=.*SRC=.*DST=.*" -/var/log/nftables.log
## 重启日志服务
systemctl restart rsyslog
## 查看日志
tail -100f /var/log/nftables.log

如何对日志文件进行管理呢?这就用到了日志切割:参考博客https://zhuanlan.zhihu.com/p/90507023

## 为nftables和openvpn设置切割规则,无需重启logrotate服务 因为nftables生产上有测试机器疯狂访问数据库,这里清理日志改成每3月
vim /etc/logrotate.d/nftables
/var/log/nftables.log {
    monthly
    rotate 3
    dateext
    compress
    delaycompress
    missingok
    notifempty
    create 644 root root
    postrotate
        /usr/bin/killall -HUP rsyslogd
    endscript
}
## openvpn日志也类似
vim /etc/logrotate.d/openvpn
/var/log/openvpn.log {
    monthly
    rotate 5
    dateext
    compress
    delaycompress
    missingok
    notifempty
    create 644 root root
    postrotate
        /usr/bin/killall -HUP rsyslogd
    endscript
}
## 手动测试
logrotate -vf /etc/logrotate.d/nftables
logrotate -vf /etc/logrotate.d/openvpn
## 测试结果
-rw-r--r--  1 root   root       69619 Jul 12 15:06 nftables.log
-rw-------  1 root   root     5959277 Jul 12 14:55 nftables.log-20210712
-rw-r--r--  1 root   root           0 Jul 12 14:57 openvpn.log
-rw-------  1 root   root   118663677 Jul 12 15:10 openvpn.log-20210712
## 规则说明
rotate 5 保留五个备份;dateext每次切割结果后面加上日期
考虑到nftables流量会很大的话,可以只存三个月、或者改成每周切割一次

3. nft 规则的备份恢复

若要临时备份规则,请如下操作:

## 备份
nft list ruleset >> backup.nft
## 恢复(原子性)
nft -f backup.nft

若想达成 nft 规则开机自动恢复的效果,需要将上面文件中的规则保存到/etc/sysconfig/nftables.conf

这样重启后无需做任何操作(wireguard、openvpn、nftables 都自动恢复);

缺点:需要每次服务器重启前尽量将最新的规则覆盖更新到此文件中,这点暂时未考虑方案~

目前的全部规则如下,ICMP 和 22 端口咱们用云服务器的安全组作了限制,不允许外部访问!

table ip filter {
        chain INPUT {
                type filter hook input priority 0; policy accept;
                counter packets 22510792 bytes 7510722663 ## handle 4
        }

        chain FORWARD {
                type filter hook forward priority 0; policy accept;
                iifname "wg0" counter packets 10352763 bytes 4340019433 accept ## handle 5
                oifname "wg0" counter packets 10642518 bytes 1781990328 accept ## handle 6
                oifname "eth0" log counter packets 26348 bytes 1381110 accept ## handle 8
                iifname "eth0" log counter packets 23762 bytes 57192818 accept ## handle 9
        }

        chain OUTPUT {
                type filter hook output priority 0; policy accept;
        }
}
table ip nat {
        set user_vips {
                type ipv4_addr
                flags interval
                elements = { 10.111.0.0/16, 10.122.0.0/16 }
        }

        set dest_svcs {
                type ipv4_addr . inet_proto . inet_service
        }

        set dest_addrs {
                type ipv4_addr
                flags interval
                elements = { 10.1.0.0-10.3.255.255, 10.10.0.0/16,
                             192.168.0.0/16 }
        }

        chain PREROUTING {
                type nat hook prerouting priority 0; policy accept;
        }

        chain INPUT {
                type nat hook input priority 0; policy accept;
        }

        chain OUTPUT {
                type nat hook output priority 0; policy accept;
        }

        chain POSTROUTING {
                type nat hook postrouting priority 0; policy accept;
                oifname "eth0" counter packets 10674 bytes 669286 log ip saddr @user_vips ip daddr @dest_addrs masquerade ## handle 14
                oifname "wg0" counter packets 272649 bytes 14720638 log ip saddr @user_vips ip daddr @dest_addrs masquerade ## handle 13
                counter packets 35014 bytes 2061579 ## handle 5
        }
}

4.未成功的方案(ulogd & ulogd2)

因为系统环境是 centos7,不是 debian,所以 yum 源没有匹配ulogd的软件;于是需求 netfilter 官网下载包,编译安装的方式:

## 下载ulogd包并编译安装
cd /opt
curl -O https://www.netfilter.org/projects/ulogd/files/ulogd-2.0.7.tar.bz2
tar xvf ulogd-2.0.7.tar.bz2
cd ulogd-2.0.7
./configure
## 编译报错 没有libnetfilter_acct包
configure: error: Package requirements (libnetfilter_acct >= 1.0.1) were not met:
No package 'libnetfilter_acct' found
## 于是又去官网找libnetfilter_acct
https://www.netfilter.org/projects/libnetfilter_acct/downloads.html
## 下载源码包 编译安装 没有任何报错
curl -O https://www.netfilter.org/projects/libnetfilter_acct/files/libnetfilter_acct-1.0.3.tar.bz2
tar xvf libnetfilter_acct-1.0.3.tar.bz2
cd libnetfilter_acct-1.0.3
./configure
make && make install

## 但是此时再回去编译ulogd2还是报一样的错误找不到libnetfilter_acct包
## 这里并不了解是不是因为源码编译安装包后需要让系统知道安装完的包有哪些,我理解make & install后系统会识别出来的;

如果有任何想法的前辈请告诉我!感激无比~

5. 设置 nf_log 内核参数【未用到】

未修改过内核日志模块的机器

sudo sysctl -a | grep nf_log
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
sysctl: reading key "net.ipv6.conf.wg0.stable_secret"
net.netfilter.nf_log.0 = NONE
net.netfilter.nf_log.1 = NONE
net.netfilter.nf_log.10 = NONE
net.netfilter.nf_log.11 = NONE
net.netfilter.nf_log.12 = NONE
net.netfilter.nf_log.2 = NONE
net.netfilter.nf_log.3 = NONE
net.netfilter.nf_log.4 = NONE
net.netfilter.nf_log.5 = NONE
net.netfilter.nf_log.6 = NONE
net.netfilter.nf_log.7 = NONE
net.netfilter.nf_log.8 = NONE
net.netfilter.nf_log.9 = NONE
net.netfilter.nf_log_all_netns = 0

测试机器(自己折腾过日志内核,发现不需要折腾)

sysctl -a | grep nf_log
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
sysctl: reading key "net.ipv6.conf.wg0.stable_secret"
net.netfilter.nf_log.0 = NONE
net.netfilter.nf_log.1 = NONE
net.netfilter.nf_log.10 = nf_log_ipv6
net.netfilter.nf_log.11 = NONE
net.netfilter.nf_log.12 = NONE
net.netfilter.nf_log.2 = nf_log_ipv4
net.netfilter.nf_log.3 = nf_log_arp
net.netfilter.nf_log.4 = NONE
net.netfilter.nf_log.5 = nf_log_netdev
net.netfilter.nf_log.6 = NONE
net.netfilter.nf_log.7 = nf_log_bridge
net.netfilter.nf_log.8 = NONE
net.netfilter.nf_log.9 = NONE
net.netfilter.nf_log_all_netns = 0

6. 参考资料

  • Steve Suehring 的《Linux Firewalls_ Enhancing Security with nftables and Beyond-Addison-Wesley Professional》这本书中对防火墙有充分的介绍,很多方面都有可借鉴之处

  • 设置 nf_log 内核参数[2] (最终没用到)

  • 连接跟踪(conntrack):原理、应用及 Linux 内核实现[3]

脚注

[1]

Logging traffic: https://wiki.nftables.org/wiki-nftables/index.php/Logging_traffic

[2]

设置 nf_log 内核参数: https://forums.centos.org/viewtopic.php?t=54411#p230026

[3]

连接跟踪(conntrack):原理、应用及 Linux 内核实现: https://cloud.tencent.com/developer/article/1761367


你可能还喜欢

点击下方图片即可阅读

巧用 Prometheus 监控 Kubernetes 集群所有组件的证书

云原生是一种信仰 ????

关注公众号

后台回复◉k8s◉获取史上最方便快捷的 Kubernetes 高可用部署工具,只需一条命令,连 ssh 都不需要!

点击 "阅读原文" 获取更好的阅读体验!

发现朋友圈变“安静”了吗?

米开朗基杨
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nfproxy:基于nftables的kubernetes代理
05-28
基于nftables的kubernetes代理功能 目标 nfproxy的目标是提供同时支持ipv4和ipv6的高性能和可扩展的kubernetes代理。 就功能而言,nfproxy不是kube-proxy(iptables)的1:1副本。 如果nfproxy违反了nfproxy的设计原则,则它们不会涵盖kube-proxy所涉及的所有极端情况和特殊功能。 “每个服务或每个终结点都没有规则” 。 这意味着一个链中的规则数量不会与许多服务或端点相关。 该原理将限制nfproxy的应用,但另一方面,对于可以使用nfproxy的情况,与kube-proxy(iptables)实现相比,它将提供卓越的性能和可伸缩性。 建造 要构建nfproxy二进制文件,请执行: make nfproxy 生成的二进制文件将放置在./bin文件夹中。 要构建容器: make container I
nftables code
10-13
code from git, only for my self
openwrt基于nftables开启ARP防火墙
coolbi5的博客
10-29 797
事情是这样的,我用路由器中继一个上层wifi上网,然而这个wifi很混乱,各种攻击,之前用arptables 这个老的防火墙效果挺不错,但是arptables没有日志功能。下面是我的脚本代码,并且用我粗浅的表达能力做了简单的注释,这并不是nftables的教学,只是一个nftables的示例,主打一个改改就能用,给同样需要的人一个参考,抛砖引玉。nftables自带了arp过滤功能,但是这个网上资料太少了,我就对着机器翻译过来的wiki琢磨了一下,发现语法也没多难,只是有点繁杂,功能太多了。
CentOS 8 都上生产了,你还在用 iptables 吗,是时候拥抱下一代防火墙 nftables 了!...
easylife206的专栏
11-18 5515
什么是 nftables?nftables 是一个新式的数据包过滤框架,旨在替代现用的 iptables的新的包过滤框架。nftables 诞生于 2008 年,2013 年底合并到 Linux 内核,从 Linux 内核 3.13 版本开始大多数场景下 nftables 已经可以使用,但是完整的支持(即:nftables 优先级高于 iptables)应该是在 Linux 内核 3.15 版本...
linux添加理由,Linux 首次引入 nftables,你可能会喜欢 nftables 的理由
weixin_28843191的博客
05-12 268
Linux 3.13 带来了很多特性。nftables也是第一次正式发布。nftables是一个致力于替换现有的{ip,ip6,arp,eb}tables框架(也就是大家熟知的iptables)的项目。然而,Linux3.13中的nftables版本还是不完整的,还缺少一些重要的特性。这些特性会在后续的Linux版本中发布。大多数场景下nftables已经可以使用,但是完整的支持(即,nftabl...
日志审计系统解决方案
热门推荐
chengfangang的专栏
01-05 1万+
一、 背景 随着信息化的快速发展,信息化应用在银行业务、资金流通中发挥着不可替代的重要作用,各项业务工作对信息网的依赖程度日益加深,信息网尤其是银行门户已成为银行和用户交流和交互的重要工具。银行门户网站在发挥巨大作用的同时,自身安全也变得越来越重要。该用户已部署了多种安全设备及系统来提高对网站的保护和监管。通过“金盾工程”的多期建设,完成了网站综合防护系统、防病毒系统、防火墙、入侵检测系统、监
继iptables之后的新一代包过滤框架是nftables
weixin_34183910的博客
11-12 569
夜已深然未央,准备接着讲述有关Netfilter的故事,行文有点松散,由于未打草稿,有点随意识而流,一气呵成不知是自夸还是自嘲,权当小时候写的日 记吧,自幼喜欢每天写日记,中学时更是以退士为名折腾了几箱子抄本,前几年由于喝酒就改为周记了,现在意识到了生命短暂,时间甚是不够用,不能在迷迷糊糊 中得过且过,就准备把自己知道的关于Linux网络的东西一点一...
Nftables代替iptables
yazhouren的专栏
07-02 3467
== 防火墙简述 == 新的防火墙子系统/包过滤引擎 Nftables 将在 Linux 3.13 中替代有十多年历史的iptables。iptables/netfilter在2001年加入到2.4内核中。诞生于2008年的 NFTables 设计替代 iptables, 它提供了一个更简单的kernel ABI,减少重复代码,改进错误报告,更有效的支持过滤规则。除了iptables,NFT
大规模日志收集处理项目的技术总结
sdjcw的小结
02-25 469
以下是2012年一个公司内部项目的技术总结,涉及到的方面比较多比较杂,拿出来和大家分享下。如果有更好的方案或者想法请联系我,谢谢~!注:文章中提到的其他系统(如哈勃Agent、EagleEye)是公司内部的其他系统,这里就不详细介绍了。 简介 TLog是一个分布式的,可靠的,对大量数据进行收集、分析、展现的的系统。主要应用场景是收集大量的运行时日志,分析并结构化存储,提供数据查询和展现。 ...
日志管理系统,多种方式总结
【积累】,是一个长期持续的过程。
02-28 3862
好记性不如好Log。项目中日志的管理是基础功能之一,不同的用户和场景下对日志都有特定的需求,从而需要用不同的策略进行日志采集和管理,如果是在分布式的项目中,日志的体系设计更加复杂。
nftables日志解决方案实践.docx
10-26
nftables日志解决方案实践.docx
gonft:nftables Go 包装器
07-13
Linux nftables 的高级接口,支持从 Go 代码对 nftables 进行基本操作 注意:这是目前的概念验证,尚未准备好实际使用 要求 库文件 libmnl 包含 nf_tables 子系统的 linux 内核 (>= 3.14) 示例用法 看看
nftables-gui:使用 ncurses 用 c 编写的 nftables 的图形界面
06-05
nftables-gui nftables-gui 是 nftables [1] 的图形界面,使用 ncurses 用 c 编写,方便 nft 工具的使用。 它是最终学位项目的一部分,因此将遵循该软件的状态 整个学年 14/15 一直持续到 6 月。 这并不是说以后...
Linux】解决切换用户出现bash-4.2$问题
weixin_44628581的博客
04-23 186
etc/skel/.bashrc /etc/skel/.bash_profile 传过去后显示登录成功。cp /etc/skel/.bash_profile /opt/孙悟空。cp /etc/skel/.bash_profile /opt/沙悟净。cp /etc/skel/.bash_profile /opt/猪八戒。cp /etc/skel/.bash_profile /opt/唐僧。cp /etc/skel/.bashrc /opt/猪八戒。切换用户出现 bash 4.2 问题。
Linux操作系统
nuts66的博客
04-18 1719
Docker是一个开源的应用容器引擎,可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的Linux机器上,也可实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口,并且容器性能开销极低。传统虚拟机技术是虚拟出一套硬件后,在其上运行一个完整操作系统。而Docker容器内的应用进程直接运行于宿主的内核,容器内没有自己的内核,因此比传统虚拟机更轻便。JDK是Java的开发工具包,因为tomcat是用Java开发的,所以需要先安装好JDK。3.部署网站war包。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
最新发布
jianjian的博客
04-23 566
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
Spectre-v2 以及 Linux Retpoline技术简介
小立仔
04-19 1137
Spectre-v2 以及 Linux Retpoline技术简介
Linux(磁盘管理与文件系统)
m0_61187759的博客
04-17 525
1. 磁盘基础1.1 磁盘结构 磁盘的物理结构盘片:硬盘有多个盘片,每盘片2面磁头:每面一个磁头 硬盘的数据结构扇区:盘片被分为多个扇形区域,每个扇区存放512字节的数据,硬盘的最小存储单位磁道:同一盘片不同半径的同心圆,是由磁头在盘片表面划出的圆形轨迹柱面:不同盘片相同半径构成的圆柱面,由同一半径圆的多个磁道组成 硬盘存储容量=磁头数x磁道(柱面)数x每道扇区数x每扇区字节数(512字节)可以用柱面/磁头/扇区来唯一定位磁盘上每一个区域 磁盘接口类型 :SATA M.2 SCSI IDE 1.2
Linux:Win10平台上,用VMware安装Centos7.x及系统初始化关键的相关配置(分步骤操作,详细,一篇足以)
Brave_heart4pzj的博客
04-22 101
Linux
关闭nftables
09-08
关闭nftables是通过停止nftables服务来完成的。以下是一种简单的方法来关闭nftables: 首先,以管理员身份登录操作系统。 然后,打开终端或命令提示符。 在Linux上,使用以下命令停止nftables服务: sudo systemctl stop nftables 在某些旧版本的Linux上,可以使用以下命令来停止nftables服务: sudo service nftables stop 这将停止正在运行的nftables服务,从而关闭nftables防火墙。 要确保nftables服务不会在系统重启时自动启动,请使用以下命令: sudo systemctl disable nftables 或者,如果你使用的是旧版本的Linux,请使用以下命令: sudo update-rc.d -f nftables remove 这样,nftables将不会在下次系统启动时自动启动。 关闭nftables后,系统将恢复到默认的防火墙设置,可能是iptables。如果你想使用其他防火墙软件,请确保它已经安装并正确配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值