-
最小权限原则是防止Linux权限滥用的核心策略,具体包括:1.坚持最小权限原则,每个用户和服务仅分配必需的最低权限;2.强化认证机制,如禁用弱密码、使用SSH密钥和多因素认证;3.精细管理用户和组,及时清理无用账户;4.严格控制文件和目录权限,谨慎使用特殊权限位;5.限制sudo权限,禁止无密码提权;6.引入SELinux或AppArmor等强制访问控制机制;7.利用LinuxCapabilities细化特权,避免直接赋予root权限;8.结合容器化技术隔离应用环境;9.通过auditd和日志系统监控并响
-
在Docker容器中,shutdown或reboot命令无效,因容器无完整init系统,其生命周期由Docker引擎管理;应使用dockerstop发送SIGTERM信号实现优雅停止,允许应用清理资源,超时后自动发送SIGKILL;而dockerkill直接发送SIGKILL,强制终止容器,适用于无响应场景,但可能导致数据丢失;两者区别在于是否给予应用退出准备时间,推荐优先使用dockerstop以确保安全关闭。
-
通过在Ubuntu22.04上部署ISC-DHCP服务器,可实现局域网客户端自动获取IP地址。首先安装isc-dhcp-server软件包并更新源,随后配置/etc/dhcp/dhcpd.conf文件定义子网、地址池、网关、DNS及租约时间;接着在/etc/default/isc-dhcp-server中指定监听接口(如enp3s0);为关键设备配置基于MAC地址的静态IP绑定;最后启动服务并设置开机自启,使用systemctl命令验证运行状态。
-
首先确认是否存在僵尸进程,通过ps命令检测状态为Z的进程;随后记录其PID与PPID,优先向父进程发送SIGCHLD信号促使其回收;若无效,则重启或终止父进程以释放资源;最后利用pstree分析进程关系,定位并处理异常父进程,确保系统稳定。
-
硬链接是多个目录项指向同一inode,删除一个不影响其他访问;软链接是独立文件,存储目标路径,原文件删除后失效。2.创建硬链接用ln源文件目标名,软链接需加-s参数。3.硬链接不能跨文件系统,因inode不通用;软链接可跨系统,仅依赖路径。4.普通用户不能为目录创建硬链接以防循环引用,但可创建目录软链接。5.用ls-l可识别软链接(显示指向路径),硬链接无标记,需ls-i查inode或stat看链接数确认。
-
Replacedefaultsoftwaresourceswithfastermirrorstospeedupaptoryumdownloads;2.Backuporiginalsourcelistandeditrepositoryfiletoaddlocaloroptimizedmirror;3.Updatepackageindextoapplychangesandimprovedownloadperformance.
-
journalctl可查看Systemd日志,支持按时间(如--sincetoday)、服务(-ussh.service)、PID(_PID=1234)、用户(UID=1000)、优先级(-perr)筛选,还能导出(>file)或清理(--vacuum-time=7d)日志。
-
可通过top、htop、ps、pidstat和sar五种命令监控Linux进程CPU占用:top实时动态排序,htop增强可视化,ps快照筛选,pidstat周期采样,sar分析历史数据。
-
使用dd命令可对Linux分区进行完整备份与恢复,首先通过ddif=/dev/sda1of=~/backup_sda1.img生成镜像,结合gzip压缩节省空间,恢复时用ddof=/dev/sda1写入数据,最后通过sha256sum校验确保完整性。
-
SELinux配置不是一劳永逸,其核心在于理解并调整标签与策略规则。1.检查SELinux状态与模式:使用sestatus查看运行状态和模式,通过/etc/selinux/config修改模式(enforcing/permissive/disabled),临时切换可用setenforce。2.理解与操作安全上下文:ls-Z和ps-Z分别查看文件和进程的上下文,chcon临时修改,semanagefcontext配置永久规则,restorecon应用更改。3.管理布尔值:getsebool-a查看所有布尔值
-
使用mkdir命令创建空目录,语法为“mkdir目录名”,如mkdirmyfolder;加-p可递归创建父目录,-v显示过程,用ls验证结果。
-
使用GPG工具可对Linux系统中的敏感文件进行加密保护。1、通过sudoapt安装GPG并生成密钥对;2、导入接收方公钥后用gpg--encrypt加密文件;3、对称加密使用gpg--symmetric设置密码保护;4、解密统一用gpg--decrypt命令,自动识别类型;5、数字签名通过gpg--sign确保文件完整性;6、验证签名需导入公钥并运行gpg--verify确认“Goodsignature”。
-
掌握Linuxsed命令:1.执行文本替换;2.无需打开文件即可编辑流;3.在脚本中应用替换实现自动化处理。
-
cp命令用于复制文件或目录,基本语法为cp源路径目标路径;2.复制文件时直接指定源和目标路径,如cpfile.txt/home/user/documents/;3.可一次性复制多个文件到同一目录,如cpfile1.txtfile2.txt/home/user/documents/;4.复制目录需加-r选项实现递归复制,如cp-rmyfolder/backup/;5.常用选项包括-i(覆盖前询问)、-v(显示过程)、-u(更新复制)、-a(归档模式);6.推荐使用cp-rv等组合确保操作可见且安全。
-
cgroups的核心作用是进程分组并控制资源。1.它通过层级结构对进程进行分组管理。2.利用控制器模块限制CPU、内存、I/O等资源使用。3.支持优先级设置、审计和隔离功能。4.可结合systemd实现自动化资源管理。5.需配合监控工具优化资源配置。
