QQ三地混合云 群/讨论组 SSO接入 鉴权平台 资料关系链 OIDB 漫游系统 消息系统 状态系统 群/讨论组 SSO接入 鉴权平台 资料关系链 OIDB 漫游系统 消息系统 状态系统 群/讨论组 SSO接入 鉴权平台 资料关系链 OIDB 漫游系统 消息系统 状态系统 华北云 华东云 深圳自研 群/讨论组 SSO接入 鉴权平台 资料关系链 OIDB 漫游系统 •基于业务维度管理 •关联CMDB •基于业务维度鉴权 业务管理 •使用Ipamd •采用弹性网卡 •实现Pod IP跨集群访问 网络 •支持CLB •支持L5/CMLB •支持VIP 路由与服务发现 •StatefulsetPlus •原地重启 分批发布 •接口证书认证 •基于RBAC授权 权限控制 •基于项目管理 •角色鉴权认证 镜像仓库 •CBS(SSD/SATA)

技术白皮书 openEuler 24.03 LTS CONTENTS 场景创新 运行环境 特性增强 云化基座 内核创新 平台架构 商标 附录 著作权说明 概述 01 41 42 43 15 18 20 04 07 10 01 openEuler 24.03 LTS 技术白皮书 概述 概述 02 openEuler 24.03 LTS 技术白皮书 概述 OpenAtom 操作系统提供了可信执行环境（TEE）的支持，利用 RISC-V 架构下的硬件安全机制（例如： Physical Memory Protection），使能高安全性要求的应用场景：如安全通信、密钥保护、代码鉴权等。 蓬莱 TEE 系统的主要组件包括开发工具 SDK、安全监控器（Secure monitor）、Enclave 实例以及 PMP 硬件扩展支持。安 全监控器作为蓬莱 TEE 的核心，管理 Enclave 开发框架，自行下载与编译。 • 安全通信：在需要加密通信和数据保护的场合，如金融服务和军事通信，蓬莱 TEE 可以提供安全的加解密、签名验签以及哈 希算法支持。 • 安全启动与鉴权：在设备启动和远程访问控制中，蓬莱补丁可以提供安全的启动流程和鉴权机制，防止未授权的访问和篡改。 • 数据加密处理：对于需要在加密环境下处理的数据，如个人隐私信息、企业敏感数据等，蓬莱 TEE 提供了一个安全的执行环境。 • 物联网设备：在物联网领域，蓬莱

与真实普通用户区分开来，这类用户最大的特点是安装系统后默认就会存在，且默认情况大多数不能登录系统 普通用户： UID:500~65535 具备系统管理员root的权限的运维人员添加的，权限很小，一般用sudo管理提权 用户和用户组的关系： 一对一、一对多、多对一、多对多 文件系统用户权限管理 对mode的管理 uidgidmode message Inode { required uint64 inodeId VolumeExtentList volumeExtentList = 13; // TYPE_FILE only } 创建目录、文件时设置uid、gid、mode信息 client对文件操作前进行鉴权 实现chown chmod进行权限更改© XXX Page 20 of 33 fuseuid gid struct fuse_ctx { uid_t uid;

告警标准化 • 告警收敛 • 告警渠道管理理 • 告警升级 • 告警报表 核⼼心功能 API⽹网关 服务树 告警收敛 屏蔽规则 事件管理理 告警渠道 报表系统 ⼯工单系统 鉴权 频控 标准化 时间维度 业务维度 关联关系 rms 告警升级 企业微信 钉钉 邮件 短信 ACK应答 屏蔽 告警等级
 对应处理理⽅方式 监控系统 其他系统 告警中⼼心

的溯源成本 另外,作为⼀名合格的攻防⼈员,⼯具的熟练掌握仅仅只是极⼩的⼀部分,对各种利⽤原理的深度理解和⼆次定制能⼒ 才是你的核⼼ ⽇常流程简要说明 ⼊⼝权限 => 内⽹搜集/探测 => 免杀提权[⾮必须] => 抓取登录凭证 => 跨平台横向 => ⼊⼝维持 => 数据回 传 => 定期权限维护 0x01 ⼊⼝权限获取 [前期侦察，搜集阶段本身就不存在太多可防御的点，⾮防 御重⼼] 为标准进⾏了详细排序 如下,就每个端⼝的具体攻击利⽤⽅式,进⾏了简要说明 Top Port List Mssql [ 默认⼯作在tcp 1433端⼝, 弱⼝令, 敏感账号密码泄露, 提权, 远程执⾏, 后⻔植⼊ ] SMB [ 默认⼯作在tcp 445端⼝, 弱⼝令, 远程执⾏, 后⻔植⼊ ] WMI [ 默认⼯作在tcp 135端⼝, 弱⼝令, 远程执⾏ 默认⼯作在tcp 1521端⼝, 弱⼝令, 敏感账号密码泄露, 提权, 远程执⾏, 后⻔植⼊ ] Mysql [ 默认⼯作在tcp 3306端⼝, 弱⼝令, 敏感账号密码泄露, 提权(只适⽤于部分⽼系统) ] REDIS [ 默认⼯作在tcp 6379端⼝, 弱⼝令, 未授权访问, 写⽂件(webshell,启动项,计划任务), 提权 ] POSTGRESQL[ 默认⼯作在tcp 5432端⼝

通用公共授权非正式的中文翻译。它并非由自由软件基金会所发 表，亦非使用 GNU 通用公共授权的软件的法定发布条款—只有 GNU 通用公共授 权英文原文的版本始具有此等效力。然而，我们希望这份翻译能帮助中文的使用 者更了解 GNU 通用公共授权。 第二版, 1991 年 6 月 b’’ 著 b’’b’’ 作 b’’b’’ 权 b’’b’’ 所 b’’b’’ 有 b’’ (C) 1989b’’， b’’1991 Free Software 许 b’’b’’ 每 b’’b’’ 个 b’’b’’ 人 b’’b’’ 复 b’’b’’ 制 b’’b’’ 和 b’’b’’ 发 b’’b’’ 布 b’’b’’ 本 b’’b’’ 授 b’’b’’ 权 b’’b’’ 文 b’’b’’ 件 b’’b’’ 的 b’’b’’ 完 b’’b’’ 整 b’’b’’ 副 b’’b’’ 本 b’’b’’，b’’ b’’ 但 b’’b’’ 不 b’’b’’ 允 b’’b’’ ，您必须将您所享有的一切权利给予收受 者。您也必须确保他们也能收到或得到原始程序码。而且您必须向他们展示这些条款的內容，使他们知 到他们所享有的权利。 我们采取两项措施來保护您的权利：(1) 以著作权保护软件，以及 (2) 提供您本授权，赋与您复制、发 布并且／或者修改软件的法律许可。 80 APPENDIX F. GNU 通用公共授权 F.2. GNU 通用公共授权 同时，为了保护作者与我

通用公共授权非正式的中文翻译。它并非由自由软件基金会所发 表，亦非使用 GNU 通用公共授权的软件的法定发布条款—只有 GNU 通用公共授 权英文原文的版本始具有此等效力。然而，我们希望这份翻译能帮助中文的使用 者更了解 GNU 通用公共授权。 第二版, 1991 年 6 月 b’’ 著 b’’b’’ 作 b’’b’’ 权 b’’b’’ 所 b’’b’’ 有 b’’ (C) 1989b’’， b’’1991 Free Software 许 b’’b’’ 每 b’’b’’ 个 b’’b’’ 人 b’’b’’ 复 b’’b’’ 制 b’’b’’ 和 b’’b’’ 发 b’’b’’ 布 b’’b’’ 本 b’’b’’ 授 b’’b’’ 权 b’’b’’ 文 b’’b’’ 件 b’’b’’ 的 b’’b’’ 完 b’’b’’ 整 b’’b’’ 副 b’’b’’ 本 b’’b’’，b’’ b’’ 但 b’’b’’ 不 b’’b’’ 允 b’’b’’ ，您必须将您所享有的一切权利给予收受 者。您也必须确保他们也能收到或得到原始程序码。而且您必须向他们展示这些条款的內容，使他们知 到他们所享有的权利。 我们采取两项措施來保护您的权利：(1) 以著作权保护软件，以及 (2) 提供您本授权，赋与您复制、发 布并且／或者修改软件的法律许可。 83 APPENDIX F. GNU 通用公共授权 F.2. GNU 通用公共授权 同时，为了保护作者与我

通用公共授权非正式的中文翻译。它并非由自由软件基金会所发 表，亦非使用 GNU 通用公共授权的软件的法定发布条款—只有 GNU 通用公共授 权英文原文的版本始具有此等效力。然而，我们希望这份翻译能帮助中文的使用 者更了解 GNU 通用公共授权。 第二版, 1991 年 6 月 b’’ 著 b’’b’’ 作 b’’b’’ 权 b’’b’’ 所 b’’b’’ 有 b’’ (C) 1989b’’， b’’1991 Free Software 许 b’’b’’ 每 b’’b’’ 个 b’’b’’ 人 b’’b’’ 复 b’’b’’ 制 b’’b’’ 和 b’’b’’ 发 b’’b’’ 布 b’’b’’ 本 b’’b’’ 授 b’’b’’ 权 b’’b’’ 文 b’’b’’ 件 b’’b’’ 的 b’’b’’ 完 b’’b’’ 整 b’’b’’ 副 b’’b’’ 本 b’’b’’，b’’ b’’ 但 b’’b’’ 不 b’’b’’ 允 b’’b’’ ，您必须将您所享有的一切权利给予收受 者。您也必须确保他们也能收到或得到原始程序码。而且您必须向他们展示这些条款的內容，使他们知 到他们所享有的权利。 我们采取两项措施來保护您的权利：(1) 以著作权保护软件，以及 (2) 提供您本授权，赋与您复制、发 布并且／或者修改软件的法律许可。 80 APPENDIX F. GNU 通用公共授权 F.2. GNU 通用公共授权 同时，为了保护作者与我

通用公共授权非正式的中文翻译。它并非由自由软件基金会所发 表，亦非使用 GNU 通用公共授权的软件的法定发布条款—只有 GNU 通用公共授 权英文原文的版本始具有此等效力。然而，我们希望这份翻译能帮助中文的使用 者更了解 GNU 通用公共授权。 第二版, 1991 年 6 月 b’’ 著 b’’b’’ 作 b’’b’’ 权 b’’b’’ 所 b’’b’’ 有 b’’ (C) 1989b’’， b’’1991 Free Software 许 b’’b’’ 每 b’’b’’ 个 b’’b’’ 人 b’’b’’ 复 b’’b’’ 制 b’’b’’ 和 b’’b’’ 发 b’’b’’ 布 b’’b’’ 本 b’’b’’ 授 b’’b’’ 权 b’’b’’ 文 b’’b’’ 件 b’’b’’ 的 b’’b’’ 完 b’’b’’ 整 b’’b’’ 副 b’’b’’ 本 b’’b’’，b’’ b’’ 但 b’’b’’ 不 b’’b’’ 允 b’’b’’ ，您必须将您所享有的一切权利给予收受 者。您也必须确保他们也能收到或得到原始程序码。而且您必须向他们展示这些条款的內容，使他们知 到他们所享有的权利。 我们采取两项措施來保护您的权利：(1) 以著作权保护软件，以及 (2) 提供您本授权，赋与您复制、发 布并且／或者修改软件的法律许可。 83 APPENDIX F. GNU 通用公共授权 F.2. GNU 通用公共授权 同时，为了保护作者与我

通用公共授权非正式的中文翻译。它并非由自由软件基金会所发 表，亦非使用 GNU 通用公共授权的软件的法定发布条款—只有 GNU 通用公共授 权英文原文的版本始具有此等效力。然而，我们希望这份翻译能帮助中文的使用 者更了解 GNU 通用公共授权。 第二版, 1991 年 6 月 b’’ 著 b’’b’’ 作 b’’b’’ 权 b’’b’’ 所 b’’b’’ 有 b’’ (C) 1989b’’， b’’1991 Free Software 许 b’’b’’ 每 b’’b’’ 个 b’’b’’ 人 b’’b’’ 复 b’’b’’ 制 b’’b’’ 和 b’’b’’ 发 b’’b’’ 布 b’’b’’ 本 b’’b’’ 授 b’’b’’ 权 b’’b’’ 文 b’’b’’ 件 b’’b’’ 的 b’’b’’ 完 b’’b’’ 整 b’’b’’ 副 b’’b’’ 本 b’’b’’，b’’ b’’ 但 b’’b’’ 不 b’’b’’ 允 b’’b’’ ，您必须将您所享有的一切权利给予收受 者。您也必须确保他们也能收到或得到原始程序码。而且您必须向他们展示这些条款的內容，使他们知 到他们所享有的权利。 我们采取两项措施來保护您的权利：(1) 以著作权保护软件，以及 (2) 提供您本授权，赋与您复制、发 布并且／或者修改软件的法律许可。 85 APPENDIX F. GNU 通用公共授权 F.2. GNU 通用公共授权 同时，为了保护作者与我