![](https://img-blog.csdnimg.cn/20201014180756754.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Linux
文章平均质量分 71
大囚长
大丈夫遗世独立,孑然一身。
展开
-
systemd的unit
是一个用于管理 Linux 系统初始化和服务的系统和服务管理器。中,不同类型的单元(unit)用于配置不同的系统资源和服务。原创 2024-04-12 10:09:27 · 246 阅读 · 0 评论 -
生成perf flame性能分析图
最后,可以使用flamegraph.pl脚本来将stacks.out文件转换为flame svg图,并保存在flame.svg文件中。这个脚本也可以在以下网址下载。flame svg图是一种用来可视化CPU的调用栈的图形,可以帮助分析程序的性能瓶颈。flame svg图的每一列代表一个CPU的采样点,每一行代表一个函数调用,颜色代表不同的函数或模块。stackcollapse-perf.pl是一个Perl脚本,可以用来将perf script的输出转换为一种适合生成flame svg图的格式。原创 2023-11-20 15:13:28 · 170 阅读 · 0 评论 -
Linux基础知识之systemd详解
描述:为了避免和 pacman 冲突,不应该直接编辑软件包提供的文件. 要更改由软件包提供的单元文件,先创建名为/etc/systemd/system/.d/ 的文件夹(如 /etc/systemd/system/httpd.service.d/然后放入 *.conf 文件,当中能够加入或重置參数,这里设置的參数优先级高于原来的单元文件。实际案例:登录后复制#1.比如假设想加入一个额外的依赖。转载 2023-03-07 13:52:12 · 4295 阅读 · 0 评论 -
13款入侵检测系统介绍(HIDS)
入侵检测系统IDS是入侵检测系统,IPS是入侵防御系统。尽管IDS可以检测对网络和主机资源的未授权访问,但是IPS可以完成所有这些工作,并实施自动响应以将入侵者拒之门外,并保护系统免遭劫持或数据被盗。IPS是具有内置工作流程的IDS,该工作流程由检测到的入侵事件触发。入侵检测系统(IDS)仅需要识别对网络或数据的未授权访问即可获得标题。被动IDS将记录入侵事件并生成警报以引起操作员的注意。被动IDS还可以存储有关每个检测到的入侵和支持分析的信息。转载 2023-03-07 11:17:32 · 7667 阅读 · 0 评论 -
TCP重传与超时(Linux)
【代码】TCP重传与超时(Linux)转载 2023-02-23 10:34:22 · 646 阅读 · 0 评论 -
TCP异常终止(reset报文)
的建立是通过三次握手完成的,而TCP正常释放连接是通过四次挥手来完成,但是有些情况下,TCP在交互的过程中会出现一些意想不到的情况,导致TCP无法按照正常的四次挥手来释放连接,**如果此时不通过其他的方式来释放TCP连接的话,这个TCP连接将会一直存在,占用系统的部分资源。安全设备可以利用reset报文达到安全防护的效果,黑客和攻击者也可以利用reset报文实现对某些主机的入侵和攻击,最常见的就是TCP会话劫持攻击。转载 2023-02-22 18:57:00 · 879 阅读 · 0 评论 -
ss命令和Recv-Q和Send-Q状态
tcp_diag是一个用于分析统计的模块,可以获得Linux 内核中第一手的信息,这就确保了ss的快捷高效。当然,如果你的系统中没有tcp_diag,ss也可以正常运行,只是效率会变得稍慢。注意,之前我对 Recv-Q/Send-Q 的理解有些误差,使用 ss 获取到的 Recv-Q/Send-Q 在 LISTEN 状态以及非 LISTEN 状态所表达的含义是不同的。可能你不会有切身的感受,但请相信我,当服务器维持的连接达到上万个的时候,使用netstat等于浪费 生命,而用ss才是节省时间。转载 2023-02-22 17:53:26 · 2181 阅读 · 0 评论 -
TCP报文( tcp dup ack 、TCP Retransmission)
最近因使用FTP 上传数据的时候总是不能成功,抓包后发现 TCP 报文出现与两种类型的包。收集整理下。转载 2023-02-22 09:52:50 · 10976 阅读 · 0 评论 -
各应用/协议常用端口
下面我们来介绍一下 reset 数据包具体是什么,什么时候会被触发,它与应用的关系,以及如何构造 reset 数据包。转载 2023-02-21 17:57:28 · 17421 阅读 · 0 评论 -
Reset 数据包导致的灵异事件
下面我们来介绍一下 reset 数据包具体是什么,什么时候会被触发,它与应用的关系,以及如何构造 reset 数据包。转载 2023-02-21 14:04:46 · 431 阅读 · 0 评论 -
记一次TIME_WAIT网络故障
当多个客户端通过NAT方式联网并与服务端交互时,服务端看到的是同一个IP,也就是说对服务端而言这些客户端实际上等同于一个,可惜由于这些客户端的时间戳可能存在差异,于是乎从服务端的视角看,便可能出现时间戳错乱的现象,进而直接导致时间戳小的数据包被丢弃。可惜一旦关闭了tcp_timestamps,那么即便打开了tcp_tw_recycle,也没有效果。大概意思是说TCP有一种行为,可以缓存每个主机最新的时间戳,后续请求中如果时间戳小于缓存的时间戳,即视为无效,相应的数据包会被丢弃。首先是增加本地可用端口数量。转载 2023-02-21 09:45:36 · 113 阅读 · 0 评论 -
为什么不建议把数据库部署在 Docker 容器内?
近2年Docker非常的火热,各位开发者恨不得把所有的应用、软件都部署在Docker容器中,但是您确定也要把数据库也部署的容器中吗?这个问题不是子虚乌有,因为在网上能够找到很多各种操作手册和视频教程,小编整理了一些数据库不适合容器化的原因供大家参考,同时也希望大家在使用时能够谨慎一点。目前为止将数据库容器化是非常不合理的,但是容器化的优点相信各位开发者都尝到了甜头,希望随着技术的发展能够更加完美的解决方案出现。针对上面问题是不是说数据库一定不要部署在容器里吗?答案是:并不是。转载 2023-02-07 11:30:26 · 661 阅读 · 0 评论 -
欧洲天然气危机让Linux火了 -- 30个你应该知道的Linux趣事
衡量系统网络的使用情况,可以使用的命令有sar、ifconfig、netstat以及查看net的dev速率,通过查看收发包的吞吐率达到网卡的最大上限(**问题:**网络的最大上限怎么看呢?通过这些监控分析情况,我们可以用命令有vmstat、sar、dstat、mpstat、top、ps等命令来进行统计分析。在系统的内存分析定位过程中,当系统内存的利用率大于50%的时候,我们就需要注意了;:CPU、IO(磁盘IO、网络IO)、内存等,本文中,定性地给出了对于不同的系统资源瓶颈的度量方法和衡量标准。转载 2023-01-29 11:43:14 · 203 阅读 · 0 评论 -
Blueprint介绍和使用
衡量系统网络的使用情况,可以使用的命令有sar、ifconfig、netstat以及查看net的dev速率,通过查看收发包的吞吐率达到网卡的最大上限(**问题:**网络的最大上限怎么看呢?通过这些监控分析情况,我们可以用命令有vmstat、sar、dstat、mpstat、top、ps等命令来进行统计分析。在系统的内存分析定位过程中,当系统内存的利用率大于50%的时候,我们就需要注意了;:CPU、IO(磁盘IO、网络IO)、内存等,本文中,定性地给出了对于不同的系统资源瓶颈的度量方法和衡量标准。原创 2023-01-29 11:16:40 · 940 阅读 · 0 评论 -
Linux 性能瓶颈阈值分析
衡量系统网络的使用情况,可以使用的命令有sar、ifconfig、netstat以及查看net的dev速率,通过查看收发包的吞吐率达到网卡的最大上限(**问题:**网络的最大上限怎么看呢?通过这些监控分析情况,我们可以用命令有vmstat、sar、dstat、mpstat、top、ps等命令来进行统计分析。在系统的内存分析定位过程中,当系统内存的利用率大于50%的时候,我们就需要注意了;:CPU、IO(磁盘IO、网络IO)、内存等,本文中,定性地给出了对于不同的系统资源瓶颈的度量方法和衡量标准。转载 2023-01-18 17:27:25 · 474 阅读 · 0 评论 -
Linux查看与测试磁盘IO性能
await 值的大小一般取决与 svctm 的值和 I/O 队列长度以 及I/O 请求模式,如果 svctm 的值与 await 很接近,表示几乎没有 I/O 等待,磁盘性能很好,如果 await 的值远高于 svctm 的值,则表示 I/O 队列等待太长,系统上运行的应用程序将变慢,此时可以通过更换更快的硬盘来解决问题。%util 项的值也是衡量磁盘 I/O 的一个重要指标,如果 %util 接近 100% ,表示磁盘产生的 I/O 请求太多,I/O 系统已经满负荷的在工作,该磁盘可能存在瓶颈。转载 2023-01-18 16:03:05 · 3961 阅读 · 0 评论 -
Docker容器镜像安全最佳实践指南
0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置为info2.3 允许 docker 更改iptables2.4 不使用不安全的镜像仓库2.5 建议不使用aufs存储驱动程序。转载 2023-01-17 19:51:52 · 1184 阅读 · 0 评论 -
系统硬件信息搜集
This chart summarizes all the commands covered in this article:转载 2023-01-16 11:48:44 · 82 阅读 · 0 评论 -
DAS, NAS, SAN 三种存储技术比较
指Direct Attached Storage,即。转载 2023-01-13 11:46:40 · 368 阅读 · 0 评论 -
超算系统需要躲开的NFS大坑
客户端CB读取文件区间[0-511]时,先从NFS服务器获取最新的文件属性,与本地缓存的文件数据的更新对比后发现NFS服务器上的数据是最新的,于是弃用本地缓存的数据,转而从NFS服务器读取最新的文件数据。仍然拿Lustre文件系统来对比,见图5,安装在计算服务器上的Lustre客户端先从元数据服务器(MDS)获得文件分布图(layout),然后就知道了每一个数据块都存放在哪个IO服务器的哪个位置, Lustre客户端直接从相应的IO服务器上读取数据块,没有中转,节省内部流量而且消除了中转延时。转载 2023-01-13 11:39:42 · 1052 阅读 · 0 评论 -
【云原生渗透】- docker runc容器逃逸漏洞(CVE-2019-5736)
运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。containerd 向下通过 containerd-shim 结合 runC,使得引擎可以独立升级,避免之前 Docker Daemon 升级会导致所有容器不可用的问题。将该payload拷贝到docker容器中(这就是模拟攻击者获取了docker容器权限,在容器中上传payload进行docker逃逸)转载 2023-01-11 11:06:58 · 1309 阅读 · 0 评论 -
kickstart详解(超级详细)
许多系统管理员宁愿使用自动化的安装方法来安装红帽企业 Linux.为了满足这种需要,红帽创建了kickstart安装方法.使用kickstart,系统管理员可以创建一个文件,这个文件包含了在典型的安装过程中所遇 到的问题的答案.Kickstart文件可以存放于单一的服务器上,在安装过程中被独立的机器所读取.这个安装方法可以支持使用单一kickstart文件在多台机器上安装红帽企业Linux,这对于网络和系统管理员来说是个理想的选择.Kickstart给用户提供了一种自动化安装红帽企业Linux的方法.转载 2023-01-09 16:35:55 · 2731 阅读 · 0 评论 -
keepalived介绍、安装及配置详解
keepalived起初是为LVS设计的专门用来监控集群系统中各个服务节点的状态如果某个服务节点出现异常或者工作出现故障,keepalived将检测到,并将出现故障的服务节点从集群系统中剔除,而在故障节点恢复正常后,keepalived又可以自动将该服务节点重新加入集群中,这些工作全部自动完成。这部分功能类似于nginx 等反向代理的应用探活功能实现后端服务高可用。转载 2023-01-03 10:12:50 · 9700 阅读 · 1 评论 -
性能调试工具——oprofile
oprofile利用cpu硬件层面提供的性能计数器(performance counter),通过计数采样,帮助我们从进程、函数、代码层面找出占用cpu的"罪魁祸首"。使用oprofile进行cpu使用情况检测,需要经过初始化、启动检测、导出检测数据、查看检测结果等步骤,以下为常用的oprofile命令。转载 2022-12-29 13:15:56 · 510 阅读 · 0 评论 -
nf_conntrack模块开机不自动加载
你当然可以通过手动modprobe的方式来加载模块,或者在/etc/modules中配置上开机加载的模块,但这也只是解决了表像问题,深入的问题还是可能导致你后续的使用中遇到阻碍。iptables的配置是很重要的一个根源,需要添加以下规则重启iptables,会是nf_conntrack模块自动加载,并且为你之后的iptables连接限制铺平道路。同样说明nf_conntrack模块没有被加载,导致sysctl参数不能正确配置。发现没有加载nf_conntrack模块的情况。查看系统日志发现如下信息。原创 2022-11-17 13:04:19 · 870 阅读 · 0 评论 -
Foreman部署裸机
修改名称,网关,DNS,其他默认,提交,这里我们使用VMWare的NAT网关和foreman proxy的DNS服务,所以下图中的DNS应该修改为10.1.1.138(下文涉及DNS均应为10.1.1.138),引导模式默认使用DHCP,这就是我们为什么关闭VMWare的NAT模式DHCP的原因,IPAM地址管理可以指定分配的IP范围,这里我们忽略。有一些在Kickstart中没有的软件,我们直接忽略就好,实际在生产环境中需要自己定义安装镜像和kickstart模板,添加需要的源和安装包。原创 2022-11-02 17:46:10 · 821 阅读 · 0 评论 -
15 Kubernetes Best Practices Every Developer Should Know
【代码】15 Kubernetes Best Practices Every Developer Should Know。转载 2022-10-10 17:16:47 · 114 阅读 · 0 评论 -
我用了这么久的加密软件居然是个骗局!
估计有不少人用过这款叫做“黑甲虫”软件加密自己的文件夹,我自己就用了好几年,是买移动硬盘附带的,最近才发里边的猫腻,原来加密方式居然这么弱智!偶然的出错居然让这款软件露出了马脚。原创 2022-09-08 10:27:16 · 955 阅读 · 0 评论 -
【k8s】Service代理模式之IPVS模式、无头服务、发布service五种类型、Fannel原理及Flannel vxlan类型
同一个pod内的多个容器间的通信,通过lo回环网络接口即可实现;同一节点的pod之间通过cni网桥转发数据包。不同节点的pod之间的通信需要网络插件支持。通过iptables或ipvs实现通信,ipvs取代不了iptables,因为ipvs只能做负载均衡,而做不了nat转换。iptables的MASQUERADE。**Service与集群外部客户端的通信:**ingress、nodeport、loadbalancer。转载 2022-08-25 13:35:41 · 1930 阅读 · 0 评论 -
K8S中iptables和ipvs区别
从k8s的1.8版本开始,kube-proxy引入了IPVS模式,IPVS模式与iptables同样基于Netfilter,但是ipvs采用的hash表,iptables采用一条条的规则列表。iptables又是为了防火墙设计的,集群数量越多iptables规则就越多,而iptables规则是从上到下匹配,所以效率就越是低下。对于每个service,它都生成相应的iptables规则,这些规则捕获到service的clusterIP和port的流量,并将这些流量随机重定向到service后端Pod。转载 2022-08-24 14:43:58 · 1760 阅读 · 0 评论 -
k8s containerd集群配置安装完整踩坑教程
完整踩坑和精简内容。原创 2022-08-24 14:37:17 · 5644 阅读 · 0 评论 -
K8S集群入门:运行一个应用程序究竟需要多少集群?
如果你使用Kubernetes作为应用程序的操作平台,那么你应该会遇到一些有关使用集群的方式的基本问题:你应该有多少集群?它们应该多大?它们应该包含什么?本文将深入讨论这些问题,并分析你所拥有的一些选择的利弊。转载 2022-08-22 13:48:17 · 1520 阅读 · 0 评论 -
Ubuntu软件包升级失败的终极修复方法
找到之前安装的包,逐个降级。原创 2022-08-18 14:13:15 · 1451 阅读 · 0 评论 -
云主机中的docker DNS问题导致的容器重启问题
docker-compose在aws云ubuntu20部署nakama和cockroachdb服务。无效,继续解决DNS问题,修改resolv.conf配置文件。云主机的resolv.conf文件会被定期更新,配置会被冲掉。删除重启docker-compose。查看网络也没有正常运行。.........原创 2022-08-17 19:26:20 · 610 阅读 · 0 评论 -
Docker网络详解
如何自定义一个网络?查看新创键的mynet详细信息:# 创建两个使用相同自定义网络的容器# 测试容器互连^C^C。转载 2022-08-15 14:33:55 · 560 阅读 · 0 评论 -
hping3工具介绍
其攻击原理是攻击者A向受害者B发送一些尺寸超大的ICMP(Ping命令使用的是ICMP报文)报文对其进行攻击(对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启)通过eth1,发送SYN报文到 192.168.180.133:80。通过 eth1,发送SYN报文到192.168.180.133:80,伪造随机源地址,发动洪水攻击,不会显示数据和丢包的统计。通过eth1,发送SYN报文到192.168.180.133:80,伪造随机源地址,时间间隔1000us。...转载 2022-08-10 15:10:27 · 1045 阅读 · 0 评论 -
进程优先级 nice
UbuntuTouch的ssh服务会有卡顿的问题,实际上可以通过nice值调高ssh连接优先级来缓解。转载 2022-07-29 11:26:29 · 1138 阅读 · 0 评论 -
TCP拥塞控制技术 与BBR的加速原理
拥塞现象,是指数据到达通信子网的过程中,某一部分的分组数量过多,使得该部分网络来不及处理,以致引起这部分乃至整个网络性能下降的现象。严重时会导致网络陷入死锁。这种现象好比公路上常见的交通拥挤,当节假日公路车辆大量增加时,道路拥堵,使每辆车到达目的地的时间增加,即发生了拥塞。拥塞控制(TcpCongestionControl),就是针对此问题的控制技术(应对方案),但也不能说是应对,拥塞控制只能尽量缓解拥塞。...转载 2022-07-27 17:37:51 · 1952 阅读 · 0 评论 -
linux查看服务器是否开启超线程
超线程技术是在一颗CPU同时执行多个程序而共同分享一颗CPU内的资源,理论上要像两颗CPU一样在同一时间执行两个线程,虽然采用超线程技术能同时执行两个线程,但它并不象两个真正的CPU那样,每个CPU都具有独立的资源。如果“siblings”是“cpucores”的两倍,则说明支持超线程,并且超线程已打开。CPU物理个数cat/proc/cpuinfo|grep“physicalid”|sort|uniq|wc-l。操作系统和软件,减少了CPU的闲置时间,提高的CPU的运行效率。...转载 2022-07-27 16:50:46 · 2275 阅读 · 0 评论 -
魅族MX4安装Ubuntu Touch 16.04
推荐使用kingoroot PC端,可以顺利root,使用官方账号解锁的办法已经不可用安装“魅族手机综合工具箱”中unlock.apk(ApkIDE_MX4_Unlock_BL.apk),一键解锁,同时会刷入第三方recovery,注意需要上一步获取的root权限按住音量+和电源键,重启进入recovery模式运行adb进行分区,分区之前在recovery中卸载data,cache和system分区recovery设置中依次格式化cache,system,data(data要选格式化包括内置储存的一项)原创 2022-07-26 19:19:23 · 2712 阅读 · 0 评论