1、Linux系统构成
linux系统分为内核空间和用户空间,内核空间提供功能,可对系统中的各个组件和设备进行寻址;用户空间提供管理,用户空间的应用程序通过内核空间调用硬件来完成。
①内核空间
a 内核空间从系统模块角度分为系统调用接口、进度调度、进度通信、内存管理、虚拟文件系统、网络栈、设备驱动程序。从组件角度分为系统调用接口(SCI层提供了某些机制执行从用户空间到内核的函数调用,提供了一个应用程序编程接口(API)来创建一个新进程(fork、exec 或 Portable Operating System Interface [POSⅨ] 函数),停止进程(kill、exit),并在它们之间进行通信和同步(signal 或者 POSⅨ 机制))、进程管理、内存管理、虚拟文件系统、硬件架构代码、设备驱动程序、网络堆栈等。
b 内核空间通过namespace对系统资源进行隔离,通过cgroup对系统资源大小进行限制。
c linux系统内核通过namespace隔离了主机名及域名信息、进程通信信息、进程编号、网络信息、当前加载文件系统信息、用户和用户组及权限信息(资源配额信息)。
②用户空间和内核空间调用流程图
2、Linux系统配置
①文件权限(切入到某个目录需要执行权限,w具有新建、修改、删除的权限)
a 登录Linux服务器终端,输入umask 022(-----w--w-),设置umask完成后,umask为默认去除权限,则文件权限为-rw-r--r--(文件的满权限为-rw-rw-rw-),此时普通用户不具有删除文件的权限;目录的权限为-rwx-r-x-r-x(目录的满权限为-rwx-rwx-rwx),使用权限对应的字母相减,而不是权限对应的数字相减。
b 设置账户和服务配置文件可读,不可更改:chattr +i /etc/passwd /etc/shadow /etc/group /etc/gpasswd /etc/services
②修改ssh配置
禁止root用户远程登录,:vim /etc/ssh/sshd_confg PermitRootLogin no
禁止使用dns解析主机名和ip地址: vim /etc/ssh/sshd_confg UseDNS no
修改默认端口22: vim /etc/ssh/sshd_confg port 2518
使用ssh密钥对代替密码登录: ssh-keygen -t rsa; ssh-copy-id username@目标服务器地址
允许指定用户alice、bob登录: vim /etc/ssh/sshd_confg AllowUsers alice bob
③防火墙配置
a 服务器禁止ping: vim /etc/rc.d/rc.local echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all(1表示禁止,0表示允许)
b 配置iptables规则,放行ssh2518端口。
iptables -A INPUT -p tcp --dport 2518 -j ACCEPT
④系统更新及系统补丁
a sudo yum update (确保所有的软件处于最新状态)
b 在服务器上要指定软件更新(如yum -y install kubectl-1.22.9),不要执行yum upgrade使全部软件升级,可能会造成系统崩溃。
c diff -Naur a.txt b.txt > new.txt
patch Pn3 < new.txt (n为1-3,是补丁文件的路径)
151
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
