化、轻量级容器、LibOS、可信执行环境（TEE）、异构部署等多种实现形态。不 同的形态有各自的特点： 1. 裸金属：基于 openAMP 实现裸金属混合部署方案，支持外设分区管理，性能最好，但隔离性和灵活性较差。目前支持 UniProton/Zephyr/RT-Thread 和 openEuler Embedded Linux 混合部署。 系统架构图 南向生态 嵌入式弹性虚拟化底座 openEuler Embedded 可广泛应用于工业控制、机器人控制、电力控制、航空航天、汽车及医疗等领域。 应用场景 2. 分区虚拟化：基于 Jailhouse 实现工业级硬件分区虚拟化方案，性能和隔离性较好，但灵活性较差。目前支持 UniProton/ Zephyr/FreeRTOS 和 openEuler Embedded Linux 混合部署，也支持 openHarmony 和 openEuler 通过委派机制允许非特权用户创建和管理自己的 cgroup 层次结构。通过合理利用委派，系统管理员可以提供给用户或应用程 序必要的控制权限，提供更细粒度的资源管理，同时保持系统的稳定性和安全性。 4）更丰富的特性支持： 基于统一的文件树管理，支持 psi、页面缓存回写、跨多个资源的增强资源分配管理和隔离、统一核算不同类型的内存分配， MemoryQoS 等特性。 • Maple Tree 和 Per VMA

处理，增强资 源的局部性；当业务负载高时，突破 preferred cpus 范围限制，通过增加 CPU 核的供给提高业务的 QoS。 • CPU QoS 优先级负载均衡特性：在离线混部 CPU QoS 隔离增强，支持多核 CPU QoS 负载均衡，进一步降低离线业 务 QoS 干扰。 • SMT 驱离优先级反转特性：解决混部 SMT 驱离特性的优先级反转问题，减少离线任务对在线任务 QoS 的影响。 行的一系列技术的集合，包含了裸金属、嵌入式虚拟化、轻量级容器、LibOS、可信执行环境（TEE）、异构部署等多种实 现形态。不同的形态有各自的特点，例如裸金属可以得到最佳的性能、嵌入式虚拟化可以实现更好的隔离与保护、轻量级 容器则有更好的易用性与灵活性等等。 功能描述 维测 MICA ( 混合关键性部署框架 ) 应用领域 硬件 分布式软总线 欧 拉 生 态 + 鸿 蒙 生 态 • 裸金属：基于 openAMP 实现裸金属混合部署方案，支持外设分区管理，性能最好，但隔离性和灵活性较差。目前 支持 UniProton/Zephyr/RT-Thread 和 openEuler 嵌入式 Linux 混合部署。 • 分区虚拟化：基于 Jailhouse 实现工业级硬件分区虚拟化方案，性能和隔离性较好，但灵活性较差。目前支持 FreeRTOS 和 openEuler 嵌入式 Linux

. . . . . . . . . . . . . . 7 1.2.3 文件系统权限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.2.4 控制新建文件的权限：umask . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.2.5 一组用户的权限（组） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.2.6 时间戳 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.5 chmod(1) 命令文件权限的数字模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.6 umask 值举例

虚机和虚机混部 CPU 调度 内存管理 Cache QOS 网络 QOS 在线抢占 离线 Kill SMT 负载均衡 OOM 优先级内存回收 动态水线控制策略 Cache 干扰预测 Cache 租户隔离 流量标签化管理 租户宽带分配 openEuler 21.09 技术白皮书 15 功能描述 1. 全局管理器 OS-Controller，监控所有节点上的 OS 实例，收集所有节点 OS 面优势明显。容器可以直接访问 主机资源，容器间共享主机内核，存在容器逃逸等诸多安全问题，无法满足典型金融多租户安全隔离诉求。业界阿里和 Intel 主导 kata 开源项目，使用虚拟化隔离层容器形成安全容器方案，Google 推出 GVisor 安全沙箱，结合进程级虚拟 化隔离容器应用安全风险。 openEuler 结合虚拟化运行时 StratoVirt，容器管理引擎 isulad 形成安全容器方案，较传统 形成安全容器方案，较传统 docker+qemu 方案，底噪 和启动时间优化 40%+，为应用提供一个轻量、安全的执行环境，隔离容器和宿主机操作系统间、容器间的安全风险。 Kubelet iSulad Shim v2 client Containerd-kata- shim-v2 grpc ttrpc StratoVirt Export c interface Lib shim v2 Pod

内核提供软实时能力，软实时中断响应时延微秒级。 4. 嵌入式弹性虚拟化底座：提供多种虚拟化方案，满足用户不同硬件和业务场景需要： • baremetal：基于 openAMP 实现裸金属混合部署方案，支持外设分区管理，性能最好，但隔离性和灵活性较差。目 前支持 UniProton/Zephyr/RT-Thread 和 openEuler 嵌入式 Linux 混合部署。 功能描述 南向生态 QEMU ARM RISC-V 龙芯 疗等领域。 应用场景 • 分区虚拟化：基于 Jailhouse 实现工业级硬件分区虚拟化方案，性能和隔离性较好，但灵活性较差。目前支持 FreeRTOS 和 openEuler 嵌入式 Linux 混合部署。 • 实时虚拟化：openEuler 社区自研虚拟化方案，兼顾性能、隔离性和灵活性，综合最优。目前支持 Zephyr 和 openEuler 嵌入式 Linux 混合部署。 5 创新特性： • SMT 驱离优先级反转特性：解决混部 SMT 驱离特性的优先级反转问题，减少离线任务对在线任务 QoS 的影响。 • CPU QoS 优先级负载均衡特性：在线、离线混部 CPU QoS 隔离增强 , 支持多核 CPU QoS 负载均衡，进一步降低离线 业务 QoS 干扰。 • 潮汐 affinity 调度特性：感知业务负载动态调整业务 CPU 亲和性，当业务负载低时使用 prefered

CentOS、 Fedora 等系统。本书共分为 20 章，内容涵盖了部署 Linux 系统，常用的 Linux 命令，与文件读写操作 有关的技术，使用 Vim 编辑器编写和修改配置文件，用户身份与文件权限的设置，硬盘设备分区、格 式化以及挂载等操作，部署 RAID 磁盘阵列和 LVM，firewalld 防火墙与 iptables 防火墙的区别和配置， 使用 ssh 服务管理远程主机，使用 Apache ........................ 116 5.2 文件权限与归属 ...................................................................................................... 116 5.3 文件的特殊权限 .................................... 访问命令行； ➢ 使用命令行管理文件； ➢ 创建、查看和编辑文本文件； ➢ 管理本地用户和群组； ➢ 监控和管理 Linux 进程； ➢ 控制服务和守护进程； ➢ 利用文件系统权限控制文件访问； ➢ 分析和存储日志文件； ➢ 配置和确保 OpenSSH 服务的安全； ➢ 安装和更新软件包； ➢ 访问 Linux 文件系统； ➢ 管理 Linux 网络； ➢

修改对象（文件）的安全上下文 chfn 用来改变finger命令显示的信息 chgrp 用来变更文件或目录的所属群组 chkconfig 检查或设置系统的各种服务 chmod 用来变更文件或目录的权限 chown 用来变更文件或目录的拥有者或所属群组 chpasswd 批量更新用户口令的工具 chroot 把根目录换成指定的目的目录 chsh 用来更换登录系统时使用的shell cksum make GNU的工程化编译工具 man 查看Linux中的指令帮助 mapfile 从标准输入读取行并赋值到数组 md5sum 计算和校验文件报文摘要的工具程序 mesg 设置当前终端的写权限 mii-tool 配置网络设备协商方式的工具 mkbootdisk 可建立目前系统的启动盘 mkdir 用来创建目录 mke2fs 创建磁盘分区上的“etc2/etc3”文件系统 mkfs · BookStack.CN 构建 tty 显示连接到当前标准输入的终端设备文件名 type 显示指定命令的类型 U ulimit 控制shell程序的资源 umask 显示或设置创建文件的权限掩码 umount 用于卸载已经加载的文件系统 unalias 删除由alias设置的别名 uname 打印系统信息 unarj 解压缩由arj命令创建的压缩包 uncompress 用来解压

也不会知道是哪里 出问题！ 而当某个服务器软件出问题的时候，您永远也不晓得是发生了什么事情！老人家说『对症下药才有效』， 随便吃药是不可能『无病强身』的！因此，对于网络服务器来说最重要的基础档案权限、程序之启动关闭与管理、 Bash shell 之操作与 script 、使用者账号的管理等等，您都必须要具备最基础的认知才行，否则，服务器真的 不好碰！ 在这一篇当中，鸟哥会介绍一下架设服务 而一般数据的存在就是使用档案啰！那你有 没有权限取得？最终与该文件系统的设定有关啦！ 上图显示的是：首先，客户端到服务器的网络要能够通，等到客户端到达服务器后，会先由服务器的防火墙判断该联 机能否放行， 等到放行之后才能使用到服务器软件的功能。而该功能又得要通过 SELinux 这个细部权限设定的项 目后，才能够读取到文件系统。 但能不能读到文件系统呢？这又跟文件系统的权限 (rwx) 有关啦！上述的每个部分 有关啦！上述的每个部分 都要能够成功，否则就无法顺利读取数据啰。 所以，根据上面的流程我们大概可以将整个联机分为几个部分，包括：网络、服务器本身、内部防火墙软件设定、各 项服务配置文件、细部权限的 SELinux 以及最终最重要的档案权限。底下就分几个细项来谈谈啰。 1.2 基本架设服务器流程 1.2.1 网络服务器成功联机的分析 3.2. 1.2 基本架设服务器流程 - 17 - 本文档使用 书栈(BookStack

第五章、Linux 的文件权限与目录配置 5.1 使用者与群组 5.2 Linux 文件权限概念 5.3 Linux目录配置 5.4 重点回顾 5.5 本章练习 5.6 参考资料与延伸阅读 第六章、Linux 文件与目录管理 6.1 目录与路径 6.2 文件与目录管理 6.3 文件内容查阅 6.4 文件与目录的默认权限与隐藏权限 6.5 指令与文件的搜寻 6.6 极重要的复习！权限与指令间的关系 （loop） 12.6 shell script 的追踪与 debug 12.7 重点回顾 12.8 本章习题 第十三章、Linux 帐号管理与 ACL 权限设置 13.1 Linux 的帐号与群组 13.2 帐号管理 13.3 主机的细部权限规划：ACL 的使用 13.4 使用者身份切换 13.5 使用者的特殊 shell 与 PAM 模块 13.6 Linux 主机上的使用者讯息传递 因此您可以轻易的使用命令行界面来 进行诸多的动作与工作。那么接着下来呢？当然就是想要知道 Linux 里面有什么东西啰，所 以，在这一个部分当中，我们将介绍 Linux 最基本的文件权限概念， 与每个文件目录所带有 的意涵。 当然啰，要了解权限的概念，那么对于不同的“身份”就需要了解一下才行， 不同的身份的 人，所创建的或拥有的文件是否会相同呢？例如系统管理员与一般身份使用者的文件？ 当然 不太一样！除此

5 正确的关机方法 6.6. 4.6 重点回顾 6.7. 4.7 本章习题 6.8. 4.8 参考资料与延伸阅读 7. 第五章、Linux 的文件权限与目录配置 7.1. 5.1 使用者与群组 7.2. 5.2 Linux 文件权限概念 7.3. 5.3 Linux目录配置 7.5. 5.5 本章练习 7.6. 5.6 参考资料与延伸阅读 8. 第六章、Linux 文件与目录管理 文件与目录管理 8.1. 6.1 目录与路径 8.2. 6.2 文件与目录管理 8.3. 6.3 文件内容查阅 8.4. 6.4 文件与目录的默认权限与隐藏权限 8.5. 6.5 指令与文件的搜寻 8.6. 6.6 极重要的复习！权限与指令间的关系 8.7. 6.7 重点回顾 8.8. 6.8 本章习题： 8.9. 6.9 参考资料与延伸阅读 9. 第七章、Linux 磁盘与文件系统管理 本文档使用 书栈(BookStack.CN) 构建 14.8. 12.8 本章习题 15. 第十三章、Linux 帐号管理与 ACL 权限设置 15.1. 13.1 Linux 的帐号与群组 15.2. 13.2 帐号管理 15.3. 13.3 主机的细部权限规划：ACL 的使用 15.4. 13.4 使用者身份切换 15.5. 13.5 使用者的特殊 shell 与 PAM 模块 15