• 新文件系统 EulerFS：面向非易失性内存的新文件系统，采用软更新、目录双视图等技术减少文件元数据同步时间， 提升文件读写性能。 • 内存分级扩展 etMem：新增用户态 swap 功能，策略配置淘汰的冷内存交换到用户态存储，用户无感知，性能优于 内核态 swap。 • 内存 RAS 增强：内存可靠性分级技术，可以指定内核、关键进程等对内存故障敏感的数据优先使用高可靠内存，降 低宕机率，提升可靠性（技术预览特性）。 制，更加灵活和精准。 2. 冷热分级：用户态触发对指定进程进行内存访问扫描，根据分级策略配置文件，对内存访问结果进行分级，区分出 热内存和冷内存。 3. 淘汰策略：根据配置文件和系统环境配置，对冷内存进行淘汰，淘汰流程使用内核原生能力，安全可靠，用户无感知。 新增功能： 用户态交换：通过 etmem 的策略配置，对于淘汰的冷内存，通过用户态 swap 功能交换到用户态存储中，达到用户无 感知，性能优于内核态 在用户态存储框架的场景中，可通过策略框架的用户态 userswap 功能，使用用户态存储作为交换设备。 APP Container VM 内存页面扫描 用 户 态 产生 缺页 内 核 态 硬件 • 冷热页面的精准识别与业务无感的自动交换 • 可配置的进程策略控制 内存页面扫描模块 内存压缩 DRAM SCM XL-FLASH 内存迁移 内存交换 内存页面访问情况 内存冷热分级 页面淘汰策略 冷热内存

新文件系统 EulerFS：面向非易失性内存的新文件系统，采用软更新、目录双视图等技术减少文件元数据同步时间， 提升文件读写性能。 • 内存分级扩展 etMem：新增用户态 swap 功能，策略配置淘汰的冷内存交换到用户态存储，用户无感知，性能 优于内核态 swap。 夯实云化基座 容器操作系统 KubeOS：云原生场景，实现 OS 容器化部署、运维，提供与业务容器一致的基于 K8S 支持通过配置文件来进行内存扩展的进程，相比于操作系统原生的基于 LRU 淘汰的 kswap 机制，更加灵活和精准。 2. 冷热分级：用户态触发对指定进程进行内存访问扫描，根据分级策略配置文件，对内存访问结果进行分级，区分 出热内存和冷内存。 3. 淘汰策略：根据配置文件和系统环境配置，对冷内存进行淘汰，淘汰流程使用内核原生能力，安全可靠，用户无感知。 新增功能： 1. 进程级控制：etMem 支持通过配置 在用户态存储框架的场景中，可通过策略框架的用户态 userswap 功能，使用用户态存储作为交换设备。 APP Container VM 内存页面扫描 用 户 态 内 核 态 硬件 • 冷热页面的精准识别与业务无感的自动交换 • 可配置的进程策略控制 内存页面扫描模块 内存压缩 DRAM SCM XL-FLASH 内存迁移 内存交换 内存页面访问情况 内存冷热分级 页面淘汰策略 冷热内存 执行策略

...................................................................................... 190 8.2.1 策略与规则链 .............................................................................................. 防火墙与先前版本中 iptables 防火墙之间的区别，并分别使用 iptables、firewall-cmd、 firewall-config 和 TCP Wrappers 等防火墙策略配置服务来完成数十个根据真实工作需 求而设计的防火墙策略配置实验。在完成这些实验之后，读者不仅可以熟练地过滤请 求的流量，还可以基于服务程序的名称对流量进行允许和拒绝操作，使用 Cockpit 轻 松监控系统运行状态，确保 Apache ：本章通过对比当前主流的 Web 服务程序 来使读者更好地理解各自的优势及特点，并真正掌握在 Linux 系统中配置服务的技巧。 本章还详细讲解了 SELinux 服务的作用、三种工作模式以及策略管理方法，确保读者 掌握 SELinux 域和 SELinux 安全上下文的配置方法。 ➢ 11 vsftpd ：本章讲解了什么是文件传输协议（File Transfer Protocol，FTP），以及如何部署

• 新文件系统 EulerFS：面向非易失性内存的新文件系统，采用软更新、目录双视图等技术减少文件元数据同步时间，提 升文件读写性能。 • 内存分级扩展 etMem：新增用户态 swap 功能，策略配置淘汰的冷内存交换到用户态存储，用户无感知，性能优于内 核态 swap。 • 内存 RAS 增强：内存可靠性分级技术，可以指定内核、关键进程等对内存故障敏感的数据优先使用高可靠内存，降低宕 机率，提升可靠性（技术预览特性）。 的可编程调度框架，支持内核调度器动态扩展调度策略，以满足不同负载的性能需求，具备以下特点： 1. 标签管理机制，开放对任务和任务组进行标签标记的能力，用户和内核子系统可通过接口对特定工作负载进行标记，调 度器通过标签可以感知特定工作负载的任务。 2. 支持抢占、选核、选任务等功能点的策略扩展，可编程调度框架支持 CFS 调度类抢占，选核，选任务等功能的策略扩展， 提供精心设计的扩展点和丰富的辅助方法，帮助用户简单，高效的扩展策略。 提供精心设计的扩展点和丰富的辅助方法，帮助用户简单，高效的扩展策略。 功能描述 hook export User programmable policy Kernel programmable framework event/map syscall/map A策略 B策略 C策略 …… 基础策略库 (.lib) 标签管理（任务/讲程/组/用户） 可编程基础库 (tools) 选核 内 存 网 络 文 件

的可编程调度框架，支持内核调度器动态扩展调度策略，以满足不同负载的性能需求，具备 以下特点： （1） 标签管理机制：开放对任务和任务组进行标签标记的能力，用户和内核子系统可通过接口对特定工作负载进行 标记，调度器通过标签可以感知特定工作负载的任务。 （2） 抢占、选核、选任务等功能点的策略扩展：可编程调度框架支持 CFS 调度类抢占、选核、选任务等功能的策略扩展， 提供精心设计的扩展点和丰富的 提供精心设计的扩展点和丰富的辅助方法，帮助用户简单，高效的扩展策略。 • Numa Aware spinlock：基于 MCS 自旋锁在锁传递算法上针对多 NUMA 系统优化，通过优先在本 NUMA 节点内传递， 能大量减少跨 NUMA 的 Cache 同步和乒乓，从而提升锁的整体吞吐量，提升业务性能。 • 支持 TCP 压缩：大数据等场景节点间数据传输量大，网络传输是性能瓶颈。在 TCP 层对指定端口的数据进行压缩后 了一种灵活的 方式来管理文件系统缓存的写回行为，以满足不同应用场景下的需求。它可以帮助优化系统的 IO 性能，并提供更好的 资源控制和管理能力。主要功能包括：缓存写回控制、IO 优先级控制、写回策略调整等。 • 支持核挂死检测特性：解决 PMU 停止计数导致 hardlockup 无法检测系统卡死的问题，利用核间 CPU 挂死检测机制， 让每个 CPU 检测相邻 CPU 是否挂死，保障系统在部分

名:8834。 通过以上步骤的详细介绍，Nessus就配置好了，现在就可以使用Nessus扫描各种 的漏洞。使用Nessus扫描漏洞之前需要新建扫描策略和扫描任务，为了后面能顺利 的扫描各种漏洞，接下来将介绍新建策略和扫描任务的方法。 1. 添加策略 添加策略的具体操作步骤如下所示。 （1）登录Nessus。Nessus是一个安全链接，所以需要添加信任后才允许登录。在 浏览器地址栏中输入https://192 9所示的界面。 大学霸 Kali Linux 安全渗透教程 176 5.1 使用Nessus 图5.9 策略界面 （7）在该界面单击New Policy按钮，将显示如图5.10所示的界面。 图5.10 策略向导 （8）该界面选择创建策略类型。Nessus默认支持10种策略类型，在策略类型上有 绿色条的表示订阅。这里选择Advanced Policy类型，单击该图标后，将显示如图 5.11所示的界面。 11 新建策略 （9）在该界面设置策略名、可见性和描述信息（可选项）。这里设置策略名为 Local VulnerabilityAssessment、可见性为private。然后单击左侧的Plugins标签， 将显示如图5.12所示的界面。在图5.11中Visibility有两个选项。 图5.12 插件程序 private：仅自己能使用该策略扫描。 shared：其他用户也能使用该策略扫描。 大学霸

多项性能与功能提升： 1. 支持调度器优化：优化 CFS Task 的公平性，新增 NUMA-Aware 异步调用机制，在 NVDIMM 初始 化方面有明显的提升；优化 SCHED_IDLE 的调度 策略，可以显著改善高优先级任务的调度延迟， 降低对其他任务的干扰。优化 NUMA balancing 机制，带来更好的亲和性、更高的使用率和更少 的无效迁移。 2. CPU 隔离机制增强：支持中断隔离，支持 CPU、内存、 数据读写压力的方法。准确的检测方法可以帮资 源使用者确定合适的工作量，帮助系统制定高效 的资源调度策略，最大化利用系统资源，改善用 户体验。 8. TCP 发包切换到了 Early Departure Time 模型： 解决原来 TCP 框架的限制，根据调度策略给数据 包设置 Early Departure Time 时间戳，避免大的 队列缓存带来的时延，同时大幅提升 TCP 机制，更加灵活和精准。 2. 内存扫描：新增内核功能，由用户态 etMem 进程触发，对指定进程进行内存访问扫描，并返回扫描结果。 3. 冷热分级：由用户选择冷热分级策略配置文件，对获取到的内存访问结果进行分级，区分出热内存和冷内存。 4. 淘汰策略：根据 etMem 配置文件和系统环境配置，对冷内存进行淘汰，淘汰流程使用内核原生能力，安全可靠， 用户无感知。 应用场景 应用场景：节点内业务进程内存分层扩展

功能强大的程序调试器 get_module 获取Linux内核模块的详细信息 getenforce 显示当前SELinux的应用模式，是强制、执行还是停用 getsebool 查询SElinux策略内各项规则的布尔值 git 是目前世界上最先进的分布式版本控制系统 gpasswd Linux下工作组文件的管理工具 gpm 提供文字模式下的滑鼠事件处理 grep 强大的文本搜索工具 groupadd 用于命令行终端切换 sed 功能强大的流式文本编辑器 seinfo 查询SELinux的策略提供多少相关规则 semanage 默认目录的安全上下文查询与修改 sendmail 著名电子邮件服务器 seq 以指定增量从首数开始打印数字到尾数 service 控制系统服务的实用工具 sesearch 查询SELinux策略的规则详情 set 显示或设置shell特性及shell变量 setfacl setfacl 设置文件访问控制列表 setpci 查询和配置PCI设备的使用工具 setsebool 修改SElinux策略内各项规则的布尔值 setsid 在新的会话中运行程序 sftp-server sftp协议的服务器端程序 - 13 - 本文档使用 书栈网 · BookStack.CN 构建 sftp 交互式的文件传输程序 sh shell命令解释器 shift 移动位置参数 shopt

KSM 全地址范围内存去重。 • Damon（Data Access MONitoring）特性增强：Damon 可在轻度内存压力下，实现主动、轻量级的线上内存访问监 控及回收，用户根据监控结果定制策略对内存区域做相应操作。 • uswap 特性增强：增加用户态换出内存页面的机制，支持用户态灵活换出内存到后端存储，节省内存。 • Intel EMR（Emerald Rapids）新平台支持：EMR 题。在开启 SMT 场景中，同时运行在同一个物理核上的在离线业务与在线业务之间存在干扰。针对这一诉求，设计混部 SMT 驱离方案，用于隔离离线任务对在线任务的 IPC 干扰。对于 CFS 任务运行策略的改变可能会带来优先级的问题，该特 性解决了由于被驱离离线任务占用临界资源无法释放的问题。 混部场景中，开启了 SMT 驱离离线任务特性，需要将 CONFIG_QOS_SCHED_SMT_EXPELLER 全可信设计的具体要求。 鲲鹏安全库的首个安全特性就是远程证明，目的就是帮助用户获取工作服务器节点的软硬件可信状态，支持端到端的 可信计算远程证明解决方案，让各种资源管理工具可以根据可信报告制定策略，对各种服务器资源进行差异化的调度和使用。 鲲鹏安全库的远程证明特性目前支持： 1. 基于 TPM 的通用平台远程证明。 2. 对鲲鹏服务器 TEE 的远程证明。 详情请参见项目 readme：https://gitee

--add-interface=ens33 //为指定区域添加接口 #firewall-cmd --zone=work --remove-interface=ens33 //为指定区域移除接口 ③管理区域中的服务（放行策略） #firewall-cmd --get-services //显示预定义的服务 #firewall-cmd --zone=work --list-services //显示指定区域内允许访问的服务 targeted //selinux 的类型 参数说明： SELINUX = disabled //不启用 selinux permissive //启用，违反策略时不会限制访问，只会记录日志 enforcing //启用，违反策略时会阻止访问目标文件 SELINUXTYPE = targeted //只对主要的网络服务进程访问资源时 进行限制 strict //对整个系统进程 都进行访问资源的限制 permissive 的状态 Selinux 对所有的文件（资源）都赋予一个叫 type 的文件类型标签 对所有的进程也都赋予一个叫 domain 的标签 然后，进程对所有资源的访问都是可以基于策略去设置的。 #ls -Z 或 ls --context //查看文件的标签 重新对文件系统赋予标签（谨慎操作） #/sbin/fixfiles relabel 或 #touch /.autorelabel