[使用chmod修改文件权限以避免Syst...]的搜索结果

Nginx权限设置错误：从零开始的Nginx安全之旅 引言：Nginx与我 嘿，朋友们！今天我们要聊的是一个在互联网基础设施中扮演着关键角色的角色——Nginx。Nginx可是一款超级能打的HTTP服务器和反向代理神器，它以稳定著称，功能强大，配置文件简单易懂，而且用起来特别省资源，简直不要太棒！但就像任何其他软件一样，它也有自己的脆弱点，尤其是在权限设置方面。这次咱们要聊聊Nginx权限设置时容易踩的坑，还会告诉你咋样才能避开这些麻烦事儿。 一、权限设置的重要性 1.1 初识权限设置 想象一下，你是一个城堡的守护者，而Nginx就是那座城堡的大门。要是你没把权限设好，那可就麻烦了。到时候，不管是心怀不轨的坏蛋还是啥的，都能大摇大摆地闯进你的地盘，随便拿走你的财宝，甚至把整个城堡都给拆了！权限设置对于保护服务器资源免受未授权访问至关重要。如果配置不当，可能会导致敏感数据泄露、服务被滥用等严重后果。 1.2 权限设置的基本概念 - 用户（User）：操作系统中的账户，比如root或普通用户。 - 组（Group）：用户可以归属于多个组，这样就可以对一组文件或目录进行统一管理。 - 权限（Permissions）：读（read）、写（write）和执行（execute）权限，分别用r、w、x表示。 1.3 示例代码 假设我们有一个网站，其根目录位于/var/www/html。为了让Web服务器能顺利读取这个目录里的文件，我们得确保Nginx使用的用户账户有足够的权限。通常情况下，Nginx以www-data用户身份运行： bash sudo chown -R www-data:www-data /var/www/html sudo chmod -R 755 /var/www/html 这里，755权限意味着所有者（即www-data用户）可以读、写和执行文件，而组成员和其他用户只能读和执行（但不能修改）。 二、常见的权限设置错误 2.1 错误示例1：过度宽松的权限 bash sudo chmod -R 777 /var/www/html 这个命令将使任何人都可以读、写和执行该目录及其下所有文件。虽然这个方法在开发时挺管用的，但真要是在生产环境里用，那简直就是一场灾难啊！要是谁有了这个目录的权限，那他就能随便改或者删里面的东西，这样可就麻烦大了，安全隐患多多啊。 2.2 错误示例2：忽略SELinux/AppArmor 许多Linux发行版都默认启用了SELinux或AppArmor这样的强制访问控制（MAC）系统。要是咱们不重视这些安全措施，只靠老掉牙的Unix权限设置，那可就得做好准备迎接各种意料之外的麻烦了。例如，在CentOS上，如果我们没有正确配置SELinux策略，可能会导致Nginx无法访问某些文件。 2.3 错误示例3：不合理的用户分配 有时候，我们会不小心让Nginx以root用户身份运行。这样做虽然看似方便，但实际上是非常危险的。因为一旦Nginx被攻击，攻击者就有可能获得系统的完全控制权。因此，始终要确保Nginx以非特权用户身份运行。 2.4 错误示例4：忽略文件系统权限 即使我们已经为Nginx设置了正确的权限，但如果文件系统本身存在漏洞（如ext4的某些版本中的稀疏超级块问题），也可能导致安全风险。因此，定期检查并更新文件系统也是非常重要的。 三、如何避免权限设置错误 3.1 学习最佳实践 了解并遵循行业内的最佳实践是避免错误的第一步。比如，应该始终限制对敏感文件的访问，确保Web服务器仅能访问必要的资源。 3.2 使用工具辅助 利用如auditd这样的审计工具可以帮助我们监控和记录权限更改，以便及时发现潜在的安全威胁。 3.3 定期审查配置 定期审查和测试你的Nginx配置文件，确保它们仍然符合当前的安全需求。这就像是看看有没有哪里锁得不够紧，或者是不是该再加把锁来确保安全。 3.4 保持警惕 安全永远不是一次性的工作。随着网络环境的变化和技术的发展，新的威胁不断出现。保持对最新安全趋势的关注，并适时调整你的防御策略。 四、结语 让我们一起变得更安全 通过这篇文章，我希望你能对Nginx权限设置的重要性有所认识，并了解到一些常见的错误以及如何避免它们。记住，安全是一个持续的过程，需要我们不断地学习、实践和改进。让我们携手努力，共同打造一个更加安全的网络世界吧！ --- 以上就是关于Nginx权限设置错误的一篇技术文章。希望能帮到你，如果有啥不明白的或者想多了解点儿啥，尽管留言，咱们一起聊聊！

...个挺常见的小麻烦就是SystemCallError，这个错误说白了就是系统调用没成功，比如你想要创建个目录却搞不定，就可能碰上这个问题。这个问题可能会让我们的程序闹脾气罢工，所以咱们得学会怎么搞定这状况哈。 二、什么是SystemCallError？ SystemCallError是Ruby中的一种异常类型，它表示在执行系统调用时发生了错误。系统调用是一种操作系统的低级功能，用于控制硬件资源或者改变程序的运行环境。常见的系统调用包括创建文件、删除文件、读取文件等。 三、为什么会出现SystemCallError？ 出现SystemCallError的原因有很多，最常见的原因是权限不足。当你想打开或者改个文件的时候，如果电脑发现你现在用的账户权限不够，它就会蹦出一个SystemCallError，意思是“喂喂，你权限不够，干不了这事儿！” 四、如何解决SystemCallError？ 下面是一些解决SystemCallError的方法： 1. 检查权限 如果你尝试创建或者删除文件时遇到了SystemCallError，那么首先应该检查你的权限是否足够。你可以使用ls -l命令来查看文件的所有者和权限。 2. 使用sudo 如果权限不足，你可以使用sudo命令来提升你的权限。但是需要注意的是，sudo命令只能临时提升你的权限，并不能永久解决问题。而且过度使用sudo也会带来安全风险。 3. 更改文件权限 如果你知道这个文件是由其他用户创建的，那么你可以尝试更改它的权限。你可以使用chmod命令来更改文件的权限。 4. 尝试重启计算机 有时候，系统调用失败可能是由于操作系统的一些问题引起的。在这种情况下，重启计算机可能能够解决问题。 5. 使用try...catch语句 如果你的应用程序需要频繁地进行系统调用，那么可以考虑使用try...catch语句来捕获可能出现的SystemCallError。这样，即使出现了错误，你的应用程序也可以继续运行下去。 五、代码示例 以下是一个简单的例子，展示了如何使用try...catch语句来处理SystemCallError。 ruby begin 创建一个新文件 File.open('test.txt', 'w') do |f| f.write('Hello, World!') end rescue SystemCallError => e puts "Failed to create file: {e.message}" end 在这个例子中，我们尝试创建一个名为test.txt的新文件。如果文件创建成功，那么这段代码将正常结束。但是如果文件创建失败（例如，因为权限不足），那么就会抛出一个SystemCallError。我们使用try...catch语句来捕获这个异常，并打印出错误信息。 六、结论 总的来说，SystemCallError是一种非常常见的编程错误。通过了解其原因和解决方法，我们可以更好地应对这种问题。同时呢，咱们也得养成出色的编程习惯，就像是好好刷牙、天天健身一样重要。别让权限不足或者那些个乱七八糟的问题，偷偷摸摸地引发SystemCallError这种“小恶魔”，把咱们的代码世界搞得一团糟哈。 七、结尾 以上就是对SystemCallError的介绍和解决方案的探讨。希望大家能够从中学到一些有用的知识，提高自己的编程水平。如果你有任何疑问或者建议，欢迎随时联系我。谢谢大家！

...您将能够更好地理解和使用Nacos。 二、Nacos报错原因分析 首先，我们需要了解这个报错的具体含义。在Nacos的日常运行日志里头，要是你瞅见了“Nacos error”这样的警告字样，那就意味着在进行某个操作的时候出了点岔子，遇到了错误情况。而“dataId: gatewayserver-dev-${server.env}.yaml”则是指出了出现问题的数据id。 进一步分析，我们可以得知，这个报错是因为无法找到名为“gatewayserver-dev-${server.env}.yaml”的数据文件。这可能是由于以下几个原因导致的： 1. 文件路径错误 可能是数据文件的实际路径与在Nacos中设置的路径不一致。 2. 文件不存在 可能是数据文件尚未创建或者已被删除。 3. 权限问题 可能是用户没有权限访问该文件。 三、解决问题的方法 针对上述可能的原因，我们可以采取以下措施来解决这个问题： 1. 检查文件路径 确保Nacos中设置的文件路径与数据文件的实际路径一致。如果碰到了路径出错的情况，别担心，咱们可以简单地通过修改Nacos中的配置来把这个问题给解决了。 bash 修改Nacos的配置文件 vi /path/to/nacos/conf/application.properties 找到如下配置项并进行修改： properties spring.cloud.nacos.config.server-addr=127.0.0.1:8848 spring.cloud.nacos.config.file-extension=yaml 2. 创建文件 如果数据文件不存在，需要先创建该文件。可以使用文本编辑器打开一个新文件，并将其保存为“gatewayserver-dev-${server.env}.yaml”。 3. 设置权限 如果文件权限问题导致无法访问，可以尝试更改文件权限，使得用户拥有足够的权限来访问该文件。 bash 更改文件权限 chmod 755 /path/to/gatewayserver-dev-${server.env}.yaml 四、总结 通过以上的分析和解决方案，我们可以看出，Nacos报错“Nacos error, dataId: gatewayserver-dev-${server.env}.yaml”主要是由于文件路径错误、文件不存在或权限问题导致的。要搞定这些问题，关键一步就是得检查和调整相关的设置，确保Nacos能够顺利地访问并妥善管理那些数据文件。 需要注意的是，以上只是针对此特定问题的解决方法，不同情况下可能需要采取不同的策略。所以在使用Nacos的时候，咱们就得不断摸索、积累实战经验，这样一来，碰到各种状况就能更溜地应对了。同时，咱们也得养成一些接地气的编程好习惯，就比如说，记得时不时给重要文件做个“存档”以防万一，还有就是给文件权限安排得明明白白，这样一来，就能有效避免那些手滑、误操作引发的小插曲和大麻烦啦。 五、结尾语 最后，希望大家在使用Nacos时能保持耐心和细心，不断地学习和实践，不断提升自己的技能水平。希望通过这篇分享，能实实在在地帮到那些正被Nacos报错问题搞得焦头烂额的兄弟姐妹们，让大家伙儿都能顺利解决问题，继续愉快地编程之旅。如果您在使用Nacos的过程中还有其他疑问或问题，请随时留言提问，我们会尽力提供帮助和支持！

... 将 selinux文件中的SELINUX值修改为disabledwget -O /etc/yum.repos.d/openEulerOS.repo https://repo.huaweicloud.com/repository/conf/openeuler_aarch64.repo 增加openEulerOS.repo yum clean all 清除之前的所有仓库缓存yum makecache 生成软件包信息缓存,以提高搜索安装软件的速度dnf install mysqlmkdir /var/lib/mysql // 在 /var/lib 目录下创建一个mysql 目录cd /var/lib/mysql/ // 切换到这个目录mkdir data tmp run log // 在 mysql目录下 创建 data, tmp,run,log 四个子目录touch /var/lib/mysql/log/mysql.log // 在log 目录下 创建mysql.log空文件chown -R mysql:mysql /var/lib/mysql/ // 将 mysql目录下的所有文件 所有者及群组都设为 mysqlrm -f /etc/my.cnf// 将一些信息导入到 my.cnf 中echo -e "[mysqld_safe]\nlog-error=/var/lib/mysql/log/mysql.log\npid-file=/var/lib/mysql/run/mysqld.pid\n\n[mysqldump]\nquick\n\n[mysql]\nno-auto-rehash\n\n[client]\nport=3306\nmax_allowed_packet=64M\ndefault-character-set=utf8\n\n[mysqld]\nuser=root\nport=3306\nbasedir=/usr/local/mysql\nsocket=/var/lib/mysql/run/mysql.sock\ntmpdir=/var/lib/mysql/tmp\ndatadir=/var/lib/mysql/data\ndefault_authentication_plugin=mysql_native_password\nskip-grant-tables\nkey_buffer_size=16M" > /etc/my.cnfcat /etc/my.cnf // 查看文件内容chown mysql:mysql /etc/my.cnf // 将该文件的所有者及群组 都设为 mysqlll /etc/my.cnfchmod 777 /usr/local/mysql/support-files/mysql.server //对mysql.server的所有者,群组,其他用户设置读，写，执行，权限cp /usr/local/mysql/support-files/mysql.server /etc/init.d/mysqlchkconfig mysql on // 开机自动启动chown -R mysql:mysql /etc/init.d/mysqlvi /etc/profile // 把 export PATH=$PATH:/usr/local/mysql/bin 放到文件尾端,设置环境变量source /etc/profile // 重新执行刚修改的文件,使之立即生效env // 显示系统的环境变量mysqld --defaults-file=/etc/my.cnf --initializechown -R mysql:mysql /var/lib/mysql/datall /var/lib/mysql/dataservice mysql startservice mysql status // 查看服务状态ps -ef | grep mysqlnetstat -anptnetstat -anpt | grep mysqlnetstat -anpt | grep 3306 显示有关mysql的进程mysql -u root -p -S /var/lib/mysql/run/mysql.sock // 输入密码进入到了mysqlalter user 'root'@'localhost' identified by "123456";flush privileges;create user 'user'@'%' identified by '123456';grant all privileges on . to 'user'@'%' with grant option;flush privileges;select user,host from mysql.user; service mysql stop 停止服务\q回到命令行vi /etc/ld.so.confldconfig 搜索出可共享的动态链接库(格式如lib.so),进而创建出动态装入程序(ld.so)所需的连接和缓存文件。缓存文件默认为/etc/ld.so.cacheln -s /var/ldconfiglib/mysql/run/mysql.sock /tmp/mysql.sock 建立软连接 service 和 chkconfig 都可以用 systemctl 来代替 遇到 Can’t connect to local MySQL server through socket ‘/tmp/mysql.sock’ (2) service mysql stop // 先停用ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock // 建立软连接vi /etc/my.cnf // 修改里面的 socket 路径service mysql start // 重启 Linux chmod 命令 Linux文件的所有者、群组和其他人 本篇文章为转载内容。原文链接：https://blog.csdn.net/qq_53318060/article/details/121664128。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...-a：显示所有目录，文件夹，隐藏文件/目录 ls -l：显示文件的权限、修改时间等 ls -al：上面两个结合 ls 目录：显示该目录下的文件 – cd /：进入linux根目录 cd ~：/home/jl – uname ：查看系统信息 uname -a ：查看全部系统信息 – cat 文件名：显示某文件内容 – sudo ：临时切换root用户 sudo apt-get install 软件名 ：装某软件 sudo su：直接切换root用户（少用） sudo su jl：切换回普通用户 – touch 文件名：创建文件 rm -r 目录/文件：删除文件/目录及它包含的所有内容 rm -f 文件：直接删除，无需确认 rm -i 文件：删除文件，会逐一询问是否删除 rmdir 目录：专门删除目录 mv ：可以用来移动文件/目录，也可以用来重命名 – ifconfig：显示网络配置信息（lo：本地回环测试） ifconfig -a：显示所有网卡（上面只显示工作的，本条显示所有工作和未工作的） ifconfig eth0 up：打开eth0这个网卡 ifconfig eth0 down:关闭eth0这个网卡（0一般要sudo来执行） ifconfig eth0 你想设置的地址：重设eth0的ip地址 – 命令 --help：看看这个命令的帮助信息 reboot：重启 – sync：数据同步写入磁盘命令（一般来说，用户写的内容先保存在一个缓冲区，系统是隔一定时间像磁盘写入缓冲区内写入磁盘），用sync立刻写入 grep ”“ -i ：搜索时忽略大小写 grep 默认是匹配字符， -w 选项默认匹配一个单词 例如我想匹配 “like”， 不加 -w 就会匹配到 “liker”， 加 -w 就不会匹配到 du 目录/文件 -sh ： 查看某一文件/目录的大小，也可以到一个目录下du -sh，查看这个目录的大小 目录下使用du -sh 查看目录总的大小 du 文件名 -sh 查看指定文件的大小 df：检查linux服务器的文件系统磁盘空间占用情况，默认以kb为单位 gedit 文件：使用gedit软件打开一个文件（类似于windows下面的记事本） ps：查看您当前系统有哪些进程，ubuntu（多用户）下是ps -aux，嵌入式linux（单用户）下面是ps top：进程实时运行状态查询 file 文件名：查看文件类型 ubuntu的fs cd / ：根目录，一切都是从根目录发散开来的 /bin：存放二进制可执行文件，比如一些命令 /boot：ubuntu的内核与启动文件 /cdrom：有光盘是存放光盘文件 /dev：存放设备驱动文件 /etc：存放配置文件，如账号和密码文件（加密后的） /home：系统默认的用户主文件夹 /lib：存放库文件 /lib64：存放库文件，. so时linux下面的动态库文件 /media：存放可插拔设备，如sd，u盘就是挂载到这个文件下面 /mnt：用户可使用的挂载点，和media类似，可以手动让可插拔设备挂载到/mnt /opt：可选的文件和程序存放目录，给第三方软件放置的目录 /proc：存放系统的运行信息，实在内存上的不是在flash上，如cat /proc/cpuinfo /root：系统管理员目录，root用户才能访问的文件 /sbin：和bin类似，存放一些二进制可执行文件，sbin下面一般是系统开机过程中所需要的命令 /srv：服务相关的目录，如网络服务 /sys：记录内核信息，是虚拟文件系统 /tmp：临时目录 /usr：不是user的缩写，而是UNIX Software Resource的缩写，存放系统用户有关的文件，占很大空间 /var：存放变化的文件，如日志文件 – 移植就是移植上面这些文件 磁盘管理 linux开发一定要选用FAT32格式的U盘或者SD卡 u盘在/dev中的名字是sd,要确定是哪个，拔了看少了哪个。就是哪个 /dev/sdb表示U盘，/dev/sdb1表示U盘的第一个分区，一般U盘 sd卡只有一个分区 df：显示linux系统的磁盘占用情况 在一个目录里使用du -sh：查看这个目录里面所有内容所占用的资源 du 文件名 -sh：一般用来看单个文件/目录的大小 du -h --max-depth=n:显示n级目录的大小 – 磁盘的挂载与取消挂载： mount 和 umount sudo mount /dev/sdb1 /media/jl/udisk sudo umount /media/jl/u盘名 （-f 强制取消挂载），如果u盘正在使用，如被另一个终端打开，那么该指令无效 mount挂载后中文显示乱码的解决方法 sudo mount -o iocharset=utf8 /dev/sdb1 udisk – 磁盘的分区和格式化 sudo fdisk -l /dev/sdb 查看所有分区信息（–help查看别的用法） sudo fdisk /dev/sdb1 ----> m ( 进入帮助 ) ----> d 删除该分区 ----> wq 保存并退出 mkfs -t vfat /dev/sdb1 mkfs -t vfat /dev/sdb2 mkfs -t vfat /dev/sdb3 给分区1，2，3分别格式化，完成后能在图形界面看见三个u盘图标 格式化u盘之前一定要先卸载u盘已经挂载的系统。 – 压缩和解压缩 linux下常用的压缩扩展名： .tar .tar.bz2 .tar.gz 后两个linux常用 windows下面用7zip软件 右键选中文件，选择7zip，添加到压缩包，压缩格式选择tar，仅存储 生成tar文件，这里只是打包，没有压缩 右键上面的tar文件，选择7zip，添加到压缩包，压缩格式选择bzip2，确定 生成.tar.bz2文件，把它放到ubuntu解压 ubuntu也支持解压.tar和.zip，但后面两个常用 – ubuntu下面的压缩工具时gzip 压缩文件 gzip 文件名：压缩文件，变成 原文件名.gz，原来的文件就不见了 解压缩文件 gzip -d .gz：还原 文件 gzip -r 目录：递归，将该目录里的各个文件压缩，不提供打包服务 – bzip2工具负责压缩和解压缩.bz2格式的压缩包 bzip2 -z 文件名，压缩成 文件名.bz2 bzip2 -d 文件名.bz2，解压缩成 文件名 bzip2不能压缩/解压缩 目录 – 打包工具 tar 常用参数 -f：使用归档文件（必须要在所有选项后面） -c：创建一个新归档 -x：从归档中解出文件 -j：使用bzip2压缩格式 -z：使用gzip压缩格式 -v：打印出命令执行过程 如以bzip2格式压缩，打包 tar -vcjf 目录名.tar.bz2 目录名 如将上面的压缩包解包 tar -vxjf 目录名.tar.bz2 – 其他压缩工具 rar工具 sudo apt-get install rar（用dhcp连不上阿里云的镜像） rar a test.rar test 把test压缩成test.rar rar x test.rar 把test.rar解压缩成test – zip工具 压缩 zip -rv test.zip test 解压缩 unzip test.zip – ubuntu的用户和用户组 linux是多用户的os，不同的用户有不同的权限，可以查看和操作不同的文件 有三种用户 1、初次用户 2、root用户 3、普通用户 root用户可以创建普通用户 linux用户记录在/etc/passwd这个文件内 linux用户密码记录在/etc/shadow这个文件内，不是以明文记录的 每个用户都有一个id，叫做UID – linux用户组 为了方便管理，将用户进行分组，每个用户可以属于多个组 可以设置非本组人员不能访问一些文件 用户和用户组的存在就是为了控制文件的访问权限的 每个用户组都有一个ID，叫做GID 用户组信息存储在/etc/group中 passwd 用户名：修改该用户的密码 – ubuntu文件权限 ls -al 文件名 如以b开头： -brwx - rwx - rwx -：b表示 块文件，设备文件里面可供存储的周边设备 以d开头是目录 以b是块设备文件 以-开头是普通文件 以 l 开头表示软连接文件 以c开头是设备文件里的串行端口设备 -rwx - rwx - rwx -：用户权限，用户组内其他成员，其它组用户 数字 1 表示链接数，包括软链接和硬链接 第三列 jl 表示文件的拥有者 第四列 jl 表示文件的用户组 第五列 3517 表示这个文件的大小，单位是字节 ls -l 显示的文件大小单位是字节 ls -lh 现实的文件大小单位是 M / G 第六七八列是最近修改时间 最后一列是文件名 – 修改文件权限命令 chmod 777 文件名 修改文件所属用户 sudo chown root 文件 修改文件用户组 sudo chown .root 文件 同时修改文件用户和用户组 sudo chown jl.jl 文件 修改目录的用户/用户组 sudo chown -r jl.jl 目录（ root.root ） – linux连接文件 1、硬连接 2、符号连接（软连接） linux有两种连接文件，软连接/符号连接，硬连接 符号连接类似于windows下面的快捷方式 硬连接通过文件系统的inode连接来产生新文件名，而不是产生新文件 inode：记录文件属性，一个文件对应一个inode， inode相当于文件ID 查找文件要先找到inode，然后才能读到文件内容 – ln 命令用于创建连接文件 ln 【选项】源文件 目标文件 不加选项就是默认创建硬连接 -s 创建软连接 -f 强制创建连接文件，如果目标存在，就先删掉目标文件，再创建连接文件 – 硬连接：多个文件都指向同一个inode 具有向inode的多个文件互为硬连接文件，创建硬连接相当于文件实体多了入口 只有删除了源文件、和它所有的硬连接文件，晚间实体才会被删除 可以给文件创建硬连接来防止文件误删除 改了源文件还是硬连接文件，另一个文件的数据都会被改变 硬连接不能跨文件系统（另一个格式的u盘中的文件） 硬连接不能连接到目录 出于以上原因，硬连接不常用 ls -li：此时第一列显示的就是每个文件的inode – 软连接/符号连接 类似windows下面的快捷方式 使用较多 软连接相当于串联里一个独立的文件，该文件会让数据读取指向它连接的文件 ln -s 源文件 目标文件 特点： 可以连接到目录 可以跨文件系统 删除源文件，软连接文件也打不开了 软连接文件通过 “ -> ” 来指示具体的连接文件（ls -l） 创建软连接的时候，源文件一定要使用绝对路径给出，（硬连接无此要求） 软连接文件直接用cp复制到别的目录下，软连接文件就会变成实体文件，就算你把源文件删掉，该文件还是有效 正确的复制、移动软连接的用法是：cp -d 如果不用绝对路径，cp -d 软连接文件到别的目录，该软连接文件就会变红，失效 如果用了绝对路径，cp -d 软连接文件到别的目录，该软连接文件还是有效的，还是软连接文件 不用绝对路径，一拷贝就会出问题 – 软连接一个目录，也是可以用cp -d复制到其他位置的 – gedit 是基于图形界面的 vim有三种模式： 1、一般模式：默认模式，用vim打开一个文件就自动进入这个模式 2、编辑模式：按 i，a等进入，按esc回到一般模式 3、命令行/底行模式：在一般模式下输入：/ ？可进入命令行模式 ，按esc回到一般模式 一般模式下，dd删除光标所在的一整行； ndd，删除掉光标所在行和下面的一共n行 点 . 重复上一个操作 yy复制光标所在行 小p复制到光标下一行 大p复制到光标上一行n nyy复制光标所在往下n行 设置vim里的tab是四个空格：在/etc/vim/vimrc里面添加：set ts=4 设置vim中显示行号：在上面那个文件里添加：set nu – vscode是编辑器 gcc能编译汇编，c，cpp 电脑上的ubuntu自带的gcc用来编译x86架构的程序，而嵌入式设备的code要用针对于该芯片架构如arm的gcc编译器，又叫做交叉编译器（在一种架构的电脑上编译成另一种架构的代码） gcc -c 源文件:只编译不链接，编译成.o文件 -o 输出文件名（ 默认名是 .out ） -O 对程序进行优化编译，这样产生的可执行文件执行效率更高 -O2：比-O幅度更大的优化，但编译速度会很慢 -v：显示编译的过程 gcc main.c 输出main.out的可执行文件 预处理 --> 编译 --> 汇编 --> 链接 – makefile里第一个目标默认是终极目标 其他目标的顺序可以变 makefile中的变量都是字符串 变量的引用方法 ： $ （ 变量名 ） – Makefile中执行shell命令默认会把命令本身打印出来 如果在shell命令前加 @ ，那么shell’命令本身就不会被打印 – 赋值符：= 变量的有效值取决于他最后一次被赋值的值 ： = 赋值时右边的值只是用前面已经定义好的，不会使用后面的 ？= 如果左边的前面没有被赋值，那么在这里赋值，佛则就用前面的赋值 + = 左边前面已经复制了一些字串，在这里添加右边的内容，用空格隔开 – 模式规则 % . o : % . c %在这里意思是通配符，只能用于模式规则 依赖中 % 的内容取决于目标 % 的内容 – CFLAGS:指定头文件的位置 LDFLAGS：用于优化参数，指定库文件的位置 LIBS：告诉链接器要链接哪些库文件 VPATH：特殊变量，指定源文件的位置，冒号隔开，按序查找源文件 vpath：关键字，三种模式，指定、清除 – 自动化变量 $ @ 规则中的目标集合 $ % 当目标是函数库的时候，表示规则中的目标成员名 $ < 依赖文件集合中的第一个文件，如果依赖文件是以 % 定义的，那么 $ < 就是符合模式的一系列文件的集合 $ ? 所有比目标新的依赖文件的集合，以空格分开 $ ^ 所有依赖文件的集合，用空格分开，如果有重复的依赖文件，只保留一次 $ + 和 $ ^ 类似，但有多少重复文件都会保留 $ 表明目标模式中 % 及其以前的部分 如果目标是 test/a.test.c，目标模式是 a.%.c，那么 $ 就表示 test/a.test – 常用的是 $@ , $< , $^ – Makefile的伪目标 不生成目标文件，只是执行它下面的命令 如果被错认为是文件，由于伪目标一般没有依赖，那么目标就被认为是最新的，那么它下面的命令就不会执行 。 如果目录下有同名文件，伪目标错认为是该文件，由于没有依赖，伪目标下面的指令不会被执行 伪目标声明方法 .PHONY : clean 那么就算目录下有伪目标同名文件，伪目标也同样会执行 – 条件判断 ifeq ifneq ifdef ifndef – makefile函数使用 shell脚本 类似于windoes的批处理文件 将连续执行的命令写成一个文件 shell脚本可以提供数组，循环，条件判断等功能 开头必须是：!/bin/bash 表示使用bash 脚本的扩展名：.sh – 交互式shell 有输入有输出 输入：read 第三行 name在这里作为变量，read输入这个变量 下一行使用这个变量直接是 $name，不用像 Makefile 里面那样子加括号 read -p “读取前你想打印的内容” 变量1 变量2 变量3… – 数值计算 第五行等于号两边不能有空格 右边计算的时候是 $( ( ) )，注意要两个括号 – test 测试命令 文件状态查询，字符、数字比较 && cmd1 && cmd2 当cmd1执行完并且正确，那么cmd2也执行 当cmd2执行完并且错误，那么cmd2不执行 || cmd1 || cmd2 当cmd1执行完并且正确，那么cmd2不执行 当cmd2执行完并且错误，那么cmd2也执行 查看一个文件是否存在 – 测试两个字符串是否相等 ==两边必须要有空格，如果不加空格，test这句就一直是对的。 – 中括号判断符 [ ] 作用和test类似 里面只能输入 == 或者 ！= 四个箭头所指必须用空格隔开 而且如果变量是字符串的话，一定要加双引号 – 默认变量 $0——shell脚本本身的命令 $——最后一个参数的标号（1，2，3，4…） $@——表示 $1 , $2 , $3 … $1 $2 $3 – shell 脚本的条件判断 if [ 条件判断 ];then //do something fi 红点处都要加空格 exit 0——表示退出 – if 条件判断;then //do something elif 条件判断;them //do something else //do something fi 红线处要加空格 – case 语句 case $var in “第一个变量的内容”) //do something ;; “第二个变量的内容”) // do something ;; . . . “第n个变量的内容”) //do something ;; esac 不能用 “”，否则就不是通配符的意思，而是表示字符 – shell 脚本函数 function fname(){ //函数代码段 } 其中function可以写也可以不写 调用函数的时候不要加括号 shell 脚本函数传参方式 – shell 循环 while[条件] //括号内的状态是判断式 do //循环代码段 done – until [条件] do //循环代码段 done – for循环，使用该循环可以知道有循环次数 for var con1 con2 con3 … … do //循环代码段 done – for 循环数值处理 for((初始值；限制值；执行步长)) do //循环代码段 done – 红点处必须要加空格！！ loop 环 – – 注意变量有的地方用了 $ ，有的地方不需要 $ 这里的赋值号两边都不用加 空格 $(())数值运算 本篇文章为转载内容。原文链接：https://blog.csdn.net/engineer0/article/details/107965908。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

一、引言 在使用 Tomcat 运行 Java 程序时，我们可能会遇到一些文件权限问题。这些问题通常发生在我们尝试修改服务器配置或者上传新的应用包时。本文将详细介绍这些文件权限问题以及如何解决它们。 二、文件权限问题的原因 1. 默认设置 当我们在首次安装 Tomcat 时，它会默认设置所有文件夹和文件的权限为读取、执行和写入。 2. 配置错误 如果我们手动更改了某些文件的权限设置，而没有正确地同步这些更改到 Tomcat 的配置中，那么就可能导致文件权限问题。 三、文件权限问题的解决方法 1. 修改文件权限 我们可以使用 chmod 命令来修改文件的权限。例如，如果我们要将某个文件的权限更改为只读模式，可以使用以下命令： bash chmod 444 yourfile.txt 其中，444 表示只读模式（r--r--r--）。 2. 修改 Tomcat 配置 我们需要在 Tomcat 的 conf 目录下找到 server.xml 文件，并找到以下代码片段： xml ... 在这段代码中，...代表一系列的属性，我们需要将它们修改为我们想要的权限。例如，如果我们想让某个目录对所有人都可读，但不能被写入，可以这样修改： xml ... 这里的 readonly 属性表示该目录是否可写入。要是你把它设成 false，那就意味着任何人都能往这个目录里乱写文件，没有任何限制。 3. 使用 Unix/Linux 文件权限系统 Unix/Linux 提供了一套强大的文件权限系统，可以帮助我们更好地控制文件的访问权限。嘿，你知道吗？想要给文件换个主人或者家族（也就是所属组），咱们可以用“chown”和“chgrp”这两个小工具来轻松搞定。而要是想调整文件的访问权限，让文件变得更私密或者更开放，那就得请出我们的“chmod”大侠了。这样解释是不是感觉更接地气，不像AI在说话啦？例如，我们可以使用以下命令将某个文件的所有权和组改为当前用户： bash chown -R $USER:yourgroup yourfile.txt 然后，我们可以使用 chmod 命令来改变该文件的权限： bash chmod 755 yourfile.txt 这里，755 表示所有者具有读、写和执行权限，同组用户和其他用户只能具有读和执行权限。 四、总结 在使用 Tomcat 运行 Java 程序时，我们可能会遇到一些文件权限问题。这些问题通常是由于我们的误操作或者其他原因导致的。明白了文件权限的概念并正确运用，咱们就能像魔法师挥舞魔杖一样，轻松把那些可能出现的问题通通赶跑，让一切运作得妥妥的。同时呢，咱们也得学着如何巧妙地使上各种工具和手段，来把这些难题给顺顺当当地解决掉。

...y”，表示试图访问的文件或目录不存在。当开发人员在代码中尝试打开、读取或操作一个实际并不存在于文件系统中的文件或目录时，程序会抛出这个错误。 fs.existsSync() , 这是Node.js内置文件系统（fs）模块提供的一个同步方法，用于检测指定路径的文件或目录是否存在。该函数返回一个布尔值，如果路径对应的实体存在则返回true，否则返回false。在文章语境中，开发者使用这个方法来预先检查文件是否存在，从而避免因文件不存在而导致的ENOENT错误。 EISDIR , 这是另一个在Node.js中与文件系统操作相关的错误代码，代表“Error IS DIRECTORY”。当程序尝试以某种不适合目录的方式去操作一个实际是目录的文件系统实体时（例如，试图读取一个目录作为普通文件），就会触发这个错误。在文章中，通过检查错误代码是否为EISDIR，开发者可以判断是否由于误将目录当作文件处理而引发问题，并给出相应的错误提示。 fs.stat() , 此方法属于Node.js文件系统模块，用于获取给定路径的文件或目录的状态信息。它返回一个fs.Stats对象，包含了文件或目录的各种属性，如大小、修改时间、权限以及是否为目录等。在文章的解决方案部分，开发者使用fs.stat()方法来确定文件的实际类型，以便正确区分文件和目录，防止发生ENOTDIR错误。

... 问题概述 系统日志文件过大或无法写入是一个常见的问题，它可能会导致系统性能下降，甚至完全无法运行。这些问题通常发生在处理大量数据或者长时间运行的系统中。 什么是PostgreSQL？ PostgreSQL是一款强大的开源关系型数据库管理系统（RDBMS）。这个家伙能够应对各种刁钻复杂的查询，而且它的内功深厚，对数据完整性检查那是一把好手，存储能力也是杠杠的，绝对能给你稳稳的安全感。然而，你知道吗，就像其他那些软件一样，PostgreSQL这小家伙有时候也会闹点小脾气，比如可能会出现系统日志文件长得像个大胖子，或者直接耍起小性子、拒绝写入新内容的情况。 系统日志文件过大或无法写入的原因 系统日志文件过大通常是由于以下原因： 1. 日志级别设置过高 如果日志级别被设置为DEBUG或TRACE，那么每次执行操作时都会生成一条日志记录，这将迅速增加日志文件的大小。 2. 没有定期清理旧的日志文件 如果没有定期删除旧的日志文件，新的日志记录就会不断地追加到现有的日志文件中，使得日志文件越来越大。 3. 数据库服务器内存不足 如果数据库服务器的内存不足，那么操作系统可能会选择将部分数据写入磁盘而不是内存，这就可能导致日志文件增大。 系统日志文件无法写入通常是由于以下原因： 1. 磁盘空间不足 如果磁盘空间不足，那么新的日志记录将无法被写入磁盘，从而导致无法写入日志文件。 2. 文件权限错误 如果系统的用户没有足够的权限来写入日志文件，那么也无法写入日志文件。 3. 文件系统错误 如果文件系统出现错误，那么也可能会导致无法写入日志文件。 如何解决系统日志文件过大或无法写入的问题 解决系统日志文件过大的问题 要解决系统日志文件过大的问题，我们可以采取以下步骤： 1. 降低日志级别 我们可以通过修改配置文件来降低日志级别，只记录重要的日志信息，减少不必要的日志记录。 2. 定期清理旧的日志文件 我们可以编写脚本，定期删除旧的日志文件，释放磁盘空间。 3. 增加数据库服务器的内存 如果可能的话，我们可以增加数据库服务器的内存，以便能够更好地管理日志文件。 以下是一个使用PostgreSQL的示例代码，用于降低日志级别： sql ALTER LOGGING lc_messages TO WARNING; 以上命令会将日志级别从DEBUG降低到WARNING，这意味着只有在发生重要错误或警告时才会生成日志记录。 以下是一个使用PostgreSQL的示例代码，用于删除旧的日志文件： bash !/bin/bash 获取当前日期 today=$(date +%Y%m%d) 删除所有昨天及以前的日志文件 find /var/log/postgresql/ -type f -name "postgresql-.log" -mtime +1 -exec rm {} \; 以上脚本会在每天凌晨执行一次，查找并删除所有的昨天及以前的日志文件。 解决系统日志文件无法写入的问题 要解决系统日志文件无法写入的问题，我们可以采取以下步骤： 1. 增加磁盘空间 我们需要确保有足够的磁盘空间来保存日志文件。 2. 更改文件权限 我们需要确保系统的用户有足够的权限来写入日志文件。 3. 检查和修复文件系统 我们需要检查和修复文件系统中的错误。 以下是一个使用PostgreSQL的示例代码，用于检查和修复文件系统： bash sudo fsck -y / 以上命令会检查根目录下的文件系统，并尝试修复任何发现的错误。 结论 总的来说，系统日志文件过大或无法写入是一个常见的问题，但是只要我们采取适当的措施，就可以很容易地解决这个问题。咱们得养成定期检查系统日志文件的习惯，这样一来，一旦有啥小状况冒出来，咱们就能第一时间发现，及时对症下药，拿出应对措施。同时呢，咱们也得留个心眼儿，好好保护咱的系统日志文件，别一不留神手滑给删了，或者因为其他啥情况把那些重要的日志记录给弄丢喽。

...而，在容器化环境中，文件系统管理和目录访问成为了一个新的挑战。例如，最近某知名互联网公司在其Kubernetes集群中部署了一个新的应用，由于容器内的文件系统与宿主机上的文件系统隔离，导致频繁出现“无法访问目录”的错误。经过排查，发现是因为容器内指定的目录路径与宿主机上的实际路径不匹配，且权限设置不当。 这一案例提醒我们，即使是成熟的容器化技术，也需仔细规划文件系统的挂载和权限设置。例如，在Kubernetes中，可以使用hostPath卷类型将宿主机上的目录挂载到容器内，但需要注意路径的一致性和权限的正确配置。此外，还可以考虑使用存储类（StorageClass）和持久卷（PersistentVolume）等高级功能，以更好地管理数据和目录访问。 除了容器化环境外，对于传统的PHP应用部署，随着DevOps理念的普及，自动化部署工具如Jenkins、GitLab CI/CD等也被广泛使用。这些工具在执行构建和部署任务时，可能会遇到与文件系统相关的各种问题，包括目录不存在或权限不足。因此，在编写自动化脚本时，应加入必要的检查和处理逻辑，例如使用shell_exec()函数执行mkdir命令创建目录，或使用chmod命令调整目录权限，确保应用能够正常运行。 综上所述，无论是容器化环境还是传统部署方式，合理规划文件系统管理和目录访问策略，都是保障应用稳定运行的重要环节。希望这些信息能为正在面临类似问题的技术人员提供一些参考和启示。

...少算多少，公网可选择使用或者不使用。使用的情况下又可分为按带宽计费或按流量计费，你可以根据需要灵活配置。你可以选择适合自己的规格套餐。 容器名称填写集群名称，一般由 3~32 位字母或数字组成，以字母开头。 公网如果需要使用公网 IP，则选择「使用」，计费方式可分为按带宽计费或按流量计费，你可以按需选择。 SSH 密钥在创建容器的过程中，可选择 SSH 密钥(即公钥)，选择的密钥在创建容器时会注入容器中。创建成功后，即可通过私钥进行 SSH 登录。重要：出于安全考虑，蜂巢不提供采用密码登录的方式，仅支持密钥登录。 倘若使用原生 SSH 客户端登录，需在「创建容器」时，注入 SSH 密钥；否则，可以选择创建密钥。 注入已有密钥「创建容器」时，选择已有 SSH 密钥： 创建容器时，最多支持注入五个密钥； 容器创建成功后，出于安全考虑，不支持在「容器设置」页直接修改密钥； 创建密钥点击「创建密钥」，蜂巢提供两种创建 SSH 密钥方式： 创建新密钥：选择「创建新密钥」，蜂巢生成随机密钥，自动下载至本地； 导入密钥：选择「导入密钥」，上传本地公钥文件或填写公钥内容导入本地密钥。 环境变量你可在创建容器过程中，将所填环境变量注入到即将生成的容器中，这样可以避免常用环境变量的重复添加。 设置容器创建成功后，可对容器进行设置。在容器列表中点击相应的「设置」按钮,可设置的内容有：容器描述和环境变量。 删除容器容器删除需近摄操作。如何需要删除不再使用的容器，在容器列表中点击相应容器的「设置」按钮，进入容器设置页面，点击最下方的「删除容器」按钮进行删除即可，如下图所示： 容器管理容器管理入口位于网易蜂巢首页的容器管理选项，点击「容器管理」，显示当前用户的所有容器列表。 你可以在此创建容器，设置容器，查看容器状态等。点击容器名称，进入容器详情。 容器详情点击容器列表中的容器名称，可进入容器详情，查看容器的详细信息。包含容器的基本信息、创建自定义镜像、性能监控、最近日志与 Console 等。具体如下图所示： 创建自定义镜像在容器详情页点击「保存为镜像」按钮，在弹出框中输入相应信息提交后即可创建自定义镜像(即快照)，如下图所示： 创建的自定义镜像可通过左侧的镜像仓库导航菜单查看。创建的自定义镜像如下图所示： 性能监控在容器详情页面，点击「性能监控」标签，展示了相应容器的性能监控详情。性能监控主要针对 CPU 利用率、内存利用率、磁盘空间利用率、磁盘读写次数进行监控，实时显示当前容器的 CPU 利用率及内存使用大小，如下图所示。 最近操作日志在容器详情页面，点击「最近操作日志」标签，将会显示该容器最近的操作日志，创建、设置等操作都会有相应日志产生，具体如下图所示： 运行日志运行日志主要显示容器最近的运行情况，下图为 Redis 镜像的运行日志示例： ConsoleConsole 主要为用户提供 Web Shell 操作, 这样用户日常的一些操作可直接通过 Web 进行，无需使用 SSH 工具。Console 功能如下图所示： 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_33007357/article/details/113894561。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...e I/O错误：磁盘文件访问异常详解 在使用PostgreSQL数据库系统时，我们可能会遇到一种常见的且令人困扰的错误——“File I/O error: an error occurred while accessing a file on the disk”。这种错误呢，一般就是操作系统这家伙没能准确地读取或者保存PostgreSQL需要用到的数据文件，这样一来，就很可能会影响到数据的完整性，让系统也变得不太稳定。这篇文章呢，咱们要来好好唠唠这个问题，打算通过实实在在的代码实例、深度剖析和实用解决方案，手把手带你摸清门道，解决这一类问题。 1. File I/O错误的背景与原因 首先，让我们理解一下File I/O错误的本质。在PostgreSQL中，所有的表数据、事务日志以及元数据都存储在硬盘上的文件中。当数据库想要读取或者更新这些文件的时候，如果碰到了什么幺蛾子，比如硬件罢工啦、权限不够使唤、磁盘空间见了底，或者其他一些藏在底层的I/O小故障，这时就会蹦出一个错误提示来。 例如，以下是一个典型的错误提示： sql ERROR: could not write to file "base/16384/1234": No space left on device HINT: Check free disk space. 此错误说明PostgreSQL在尝试向特定数据文件写入数据时，遇到了磁盘空间不足的问题。 2. 实际案例分析 假设我们在进行大规模数据插入操作时遇到File I/O错误： sql INSERT INTO my_table VALUES (...); 运行上述SQL语句后，如果出现“File I/O error”，可能是由于磁盘已满或者对应的文件系统出现问题。此时，我们需要检查相关目录的磁盘使用情况： bash df -h /path/to/postgresql/data 同时，我们也需要查看PostgreSQL的日志文件（默认位于pg_log目录下），以便获取更详细的错误信息和定位到具体的文件。 3. 解决方案与预防措施 针对File I/O错误，我们可以从以下几个方面来排查和解决问题： 3.1 检查磁盘空间 如上所述，确保数据库所在磁盘有足够的空间是避免File I/O错误的基本条件。一旦发现磁盘空间不足，应立即清理无用文件或扩展磁盘容量。 3.2 检查文件权限 确认PostgreSQL进程对数据文件所在的目录有正确的读写权限。可通过如下命令查看： bash ls -l /path/to/postgresql/data 并确保所有相关的PostgreSQL文件都属于postgres用户及其所属组，并具有适当的读写权限。 3.3 检查硬件状态 确认磁盘是否存在物理损坏或其他硬件故障。可以利用系统自带的SMART工具（Self-Monitoring, Analysis and Reporting Technology）进行检测，或是联系硬件供应商进行进一步诊断。 3.4 数据库维护与优化 定期进行VACUUM FULL操作以释放不再使用的磁盘空间；合理设置WAL（Write-Ahead Log）策略，以平衡数据安全性与磁盘I/O压力。 3.5 配置冗余与备份 为防止突发性的磁盘故障造成数据丢失，建议配置RAID阵列提高数据可靠性，并实施定期的数据备份策略。 4. 结论与思考 处理PostgreSQL的File I/O错误并非难事，关键在于准确识别问题源头，并采取针对性的解决方案。在整个这个过程中，咱们得化身成侦探，一丁点儿线索都不能放过，得仔仔细细地捋清楚。这就好比破案一样，得把日志信息和实际状况结合起来，像福尔摩斯那样抽丝剥茧地分析判断。同时，咱们也要重视日常的数据库管理维护工作，就好比要时刻盯着磁盘空间够不够用，定期给它做个全身检查和保养，还要记得及时备份数据，这些可都是避免这类问题发生的必不可少的小窍门。毕竟，数据库健康稳定地运行，离不开我们持续的关注和呵护。

Linux系统文件权限错误：深度解析与实战解决方案 在Linux的世界中，每一个文件和目录都有其严格的权限管理机制，这既保证了系统的安全性，也可能在日常操作中带来一些困扰——“系统文件权限错误”。这篇文会手牵手带你畅游Linux的权限天地，咱们一起通过实际例子，掰开揉碎那些问题的来龙去脉、影响范围，还有如何见招拆招搞定它们。 1. Linux文件权限概述 首先，让我们来温习一下Linux的基本权限模型。你知道吗，任何一个文件或者目录都有三种关键权限，就像给不同角色分配“通行证”一样。这三种权限分别是读取（r）、写入（w）和执行（x）。具体来说，就是针对三个不同的身份进行分配：第一个是拥有文件的主人，我们叫他“用户”（u）；第二个是与这个主人同在一个团队的伙伴们，他们被称为“组”（g）；第三个则是除了用户和组之外的所有其他人，统称为“其他”（o）。这样一来，每个文件或目录都能根据需要，灵活控制哪些人可以看、改或运行它啦！例如，-rw-r--r--表示一个文件，拥有者有读写权限，所在组和其他用户只有读权限。 bash ls -l /path/to/file 运行上述命令后，你会看到类似于上述的权限信息。理解这个基础是解决权限问题的第一步。 2. 系统文件权限错误案例分析 案例一：无法编辑文件 假设你遇到这样的情况，尝试编辑一个文件时，系统提示“Permission denied”。 bash vim /etc/someconfig.conf 如果你看到这样的错误，那是因为当前用户没有对这个配置文件的写权限。 案例二：无法删除或移动文件 类似地，当你试图删除或移动某个文件时，也可能因为权限不足而失败。 bash rm /path/to/protectedfile mv /path/to/oldfile /path/to/newlocation 如果出现“Operation not permitted”之类的提示，同样是在告诉你，你的用户账号对于该文件的操作权限不够。 3. 解析及解决策略 3.1 查看并理解权限 面对权限错误，首要任务是查看文件或目录的实际权限： bash ls -l /path/to/file_or_directory 然后根据权限信息判断为何无法进行相应操作。 3.2 更改文件权限 对于上述案例一，你可以通过chmod命令更改文件权限，赋予当前用户必要的写权限： bash sudo chmod u+w /etc/someconfig.conf 这里我们使用了sud0以超级用户身份运行命令，这是因为通常系统配置文件由root用户拥有，普通用户需要提升权限才能修改。 3.3 改变文件所有者或所在组 有时，我们可能需要将文件的所有权转移到另一个用户或组，以便于操作。这时可以使用chown或chgrp命令： bash sudo chown yourusername:yourgroup /path/to/file 或者仅更改组： bash sudo chgrp yourgroup /path/to/file 3.4 使用SUID、SGID和粘滞位 在某些高级场景下，还可以利用SUID、SGID和粘滞位等特殊权限来实现更灵活的权限控制，但这是进阶主题，此处不再赘述。 4. 思考与讨论 在实际工作中，理解并正确处理Linux文件权限至关重要。它关乎着系统的稳定性和安全性，也关系到我们的工作效率。每次看到电脑屏幕上跳出个“Permission denied”的小提示，就相当于生活给咱扔来一个探索Linux权限世界的彩蛋。只要我们肯一步步地追根溯源，把问题给捯饬清楚，那就能更上一层楼地领悟Linux的独门绝技。这样一来，在实际操作中咱们就能玩转Linux，轻松得就像切豆腐一样。 记住，虽然权限设置看似复杂，但它背后的设计理念是为了保护数据安全和系统稳定性，因此我们在调整权限时应谨慎行事，尽量遵循最小权限原则。在这个过程中，我们可不能光有解决问题的能耐，更重要的是，得对系统怀有一份尊重和理解的心，就像敬畏大自然一样去对待它。毕竟，在Linux世界里，一切皆文件，一切皆权限。

...伙伴头疼的问题——在使用Nacos作为配置中心时，遇到配置信息无法正确写入本地存储的情况。这不只是一篇简单的技术文章，更像是我们探索解决之道的旅程。在这个过程中，我会尝试以一种更贴近日常对话的方式，带你一起深入理解问题，找到解决方案。 1. 理解问题背景 首先，让我们快速了解一下Nacos。Nacos就像是一个超级助手，专门帮开发者们搞定服务发现、配置管理和各种服务的管理工作。有了它，开发者就能更轻松地打造既灵活又强大的应用程序了。今天我们聊的重点问题是：为啥有时候明明已经在Nacos里更新了配置信息，但实际用起来却没有变化呢？说得再具体点，就是这些配置信息没能成功保存到本地存储里。 2. 探索可能的原因 2.1 配置文件权限问题 最直观的一个原因就是配置文件的权限设置。要是现在用的这个程序权限不够，那它就没法修改或者创建那些配置文件，自然也就没法把配置信息成功存到本地了。想象一下，如果你正试图在一个需要管理员权限才能写的文件夹里保存东西，那肯定行不通吧！ 示例代码： java // 在Java中检查并修改文件权限（伪代码） File file = new File("path/to/your/config.properties"); if (!file.canWrite()) { // 尝试更改文件权限 file.setWritable(true); } 2.2 Nacos客户端配置错误 另一个常见原因可能是Nacos客户端的配置出了问题。比如说，如果你在客户端设置里搞错了存储路径或者用了不对的数据格式，就算你在Nacos控制台里改了一大堆，程序还是读不到正确的配置信息。 示例代码： java // Java中初始化Nacos配置客户端 Properties properties = new Properties(); properties.put(PropertyKeyConst.SERVER_ADDR, "localhost:8848"); ConfigService configService = NacosFactory.createConfigService(properties); String content = configService.getConfig("yourDataId", "yourGroup", 5000); 这里的关键在于确保SERVER_ADDR等关键属性配置正确，并且CONFIG方法中的参数与你在Nacos上的配置相匹配。 3. 实践中的调试技巧 当遇到配置信息写入失败的问题时，我们可以采取以下几种策略来排查和解决问题： - 日志分析：查看应用程序的日志输出，特别是那些与文件操作相关的部分。这能帮助你了解是否真的存在权限问题，或者是否有其他异常被抛出。 - 网络连接检查：确保你的应用能够正常访问Nacos服务器。有时候，网络问题也会导致配置信息未能及时同步到本地。 - 重启服务：有时，简单地重启应用或Nacos服务就能解决一些临时性的故障。 4. 结语与反思 虽然我们讨论的是一个具体的技术问题，但背后其实涉及到了很多关于系统设计、用户体验以及开发流程优化的思考。比如说，怎么才能设计出一个既高效又好维护的配置管理系统呢？还有，在开发的时候，怎么才能尽量避免这些问题呢？这些都是我们在实际工作中需要不断琢磨和探索的问题。 总之，通过今天的分享，希望能给正在经历类似困扰的小伙伴们带来一些启发和帮助。记住，面对问题时保持乐观的心态，积极寻找解决方案，是成为一名优秀开发者的重要一步哦！ --- 希望这篇带有个人色彩和技术实践的分享对你有所帮助。如果有任何疑问或想进一步探讨的内容，请随时留言交流！

...一道关卡，对已知且有权限用户的操作合规性验证是缺一不可的！ 1.什么是准入控制器？ 准入控制器（Admission Controller）位于API Server中，在对象被持久化之前，准入控制器拦截对API Server的请求，一般用来做身份验证和授权。 其中包含两个特殊的控制器钩子： MutatingAdmissionWebhook和ValidatingAdmissionWebhook 1.变更（Mutating）准入控制 工作逻辑为修改请求的对象 2.验证（Validating）准入控制 工作逻辑为验证请求的对象 以上两类控制器可以分而治之，也能合作运行 2.为什么我们需要它？ 就像我在上一章节提到的那样，准入控制器的引入可以很好的帮助我们运维人员，站在一个集群管理者的角度，去“限定”和规划集群资源的合理利用策略和期望状态。 同时，很多kubernetes的高级功能，也是基于准入控制器之上进行建设的。 3.常用的准入控制器 1.AlwaysPullImages 总是拉取远端镜像； 好处：可以避免本地系统处于非安全状态时，被别人恶意篡改了本地的容器镜像 2.LimitRanger 此准入控制器将确保所有资源请求不会超过namespace级别的LimitRange（定义Pod级别的资源限额，如cpu、mem） 3.ResourceQuota 此准入控制器负责集群的计算资源配额，并确保用户不违反命名空间的ResourceQuota对象中列举的任何约束（定义名称空间级别的配额，如pod数量） 4.PodSecurityPolicy 此准入控制器用于创建和修改pod，并根据请求的安全上下文和可用的Pod安全策略确定是否应该允许它。 4.如何开启准入控制器 在kubernetes环境中，你可以使用kube-apiserver命令结合enable-admission-plugins的flag，后面需要跟上以逗号分割的准入控制器清单，如下所示： kube-apiserver --enable-admission-plugins=NamespaceLifecycle,LimitRanger … 5.如何关闭准入控制器 同理，你可以使用flag：disable-admission-plugins，来关闭不想要的准入控制器，如下所示： kube-apiserver --disable-admission-plugins=PodNodeSelector,AlwaysDeny … 6.实战：控制器的使用 1.LimitRanger 1)首先，编辑limitrange-demo.yaml文件，我们定义了一个cpu的准入控制器。 其中定义了默认值、最小值和最大值等。 apiVersion: v1kind: LimitRangemetadata:name: cpu-limit-rangenamespace: mynsspec:limits:- default: 默认上限cpu: 1000mdefaultRequest:cpu: 1000mmin:cpu: 500mmax:cpu: 2000mmaxLimitRequestRatio: 定义最大值是最小值的几倍，当前为4倍cpu: 4type: Container 2)apply -f之后，我们可以通过get命令来查看LimitRange的配置详情 [root@centos-1 dingqishi] kubectl get LimitRange cpu-limit-range -n mynsNAME CREATED ATcpu-limit-range 2021-10-10T07:38:29Z[root@centos-1 dingqishi] kubectl describe LimitRange cpu-limit-range -n mynsName: cpu-limit-rangeNamespace: mynsType Resource Min Max Default Request Default Limit Max Limit/Request Ratio---- -------- --- --- --------------- ------------- -----------------------Container cpu 500m 2 1 1 4 2.ResourceQuota 1)同理，编辑配置文件resoucequota-demo.yaml，并apply； 其中，我们定义了myns名称空间下的资源配额。 apiVersion: v1kind: ResourceQuotametadata:name: quota-examplenamespace: mynsspec:hard:pods: "5"requests.cpu: "1"requests.memory: 1Gilimits.cpu: "2"limits.memory: 2Gicount/deployments.apps: "2"count/deployments.extensions: "2"persistentvolumeclaims: "2" 2)此时，也可以查看到ResourceQuota的相关配置，是否生效 [root@centos-1 dingqishi] kubectl get ResourceQuota -n mynsNAME CREATED ATquota-example 2021-10-10T08:23:54Z[root@centos-1 dingqishi] kubectl describe ResourceQuota quota-example -n mynsName: quota-exampleNamespace: mynsResource Used Hard-------- ---- ----count/deployments.apps 0 2count/deployments.extensions 0 2limits.cpu 0 2limits.memory 0 2Gipersistentvolumeclaims 0 2pods 0 5requests.cpu 0 1requests.memory 0 1Gi 大家可以将生效后的控制器，结合相关pod自行测试资源配额的申请、限制和使用的情况 本篇文章为转载内容。原文链接：https://blog.csdn.net/flq18210105507/article/details/120845744。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...率和降低开销，我们会使用数据库连接池。然而，在某些情况下，可能会遇到“数据库连接池耗尽”的问题。本文将详细介绍这个问题以及如何在Beego框架中解决它。 2. 什么是数据库连接池？ 数据库连接池是一种管理数据库连接的技术。它可以预先创建多个数据库连接，并将它们放入一个池中。当应用程序需要访问数据库时，可以从连接池中获取一个可用的连接。使用完后，将连接放回池中，而不是立即关闭，以便下次再使用。这种方式可以避免频繁地打开和关闭数据库连接，从而提高了性能。 3. 为什么会出现“数据库连接池耗尽”？ 数据库连接池中的连接数量是有限的。要是请求量太大，把连接池的承受极限给顶破了，那么新的请求就得暂时等等啦，等到有足够的连接资源能用的时候才能继续进行。这就是“数据库连接池耗尽”的原因。 4. 如何解决“数据库连接池耗尽”？ 以下是几种解决“数据库连接池耗尽”的方法： 4.1 增加数据库连接池的大小 如果你的应用对数据库的访问量很大，但是连接池的大小不足以满足需求，那么你可以考虑增加连接池的大小。这可以通过修改配置文件来实现。比如，在使用Beego时，你完全可以调整DBConfig.MaxIdleConns和DBConfig.MaxOpenConns这两个属性，这样一来，就能轻松控制数据库的最大空闲连接数和最大活跃连接数了，就像在管理你的小团队一样，灵活调配人手。 go beego.BConfig.WebConfig.Database = "mysql" beego.BConfig.WebConfig.DbName = "testdb" beego.BConfig.WebConfig.Driver = "github.com/go-sql-driver/mysql" beego.BConfig.WebConfig.DefaultDb = "default" beego.BConfig.WebConfig.MaxIdleConns = 100 beego.BConfig.WebConfig.MaxOpenConns = 200 4.2 使用连接池分片策略 这种方法可以将连接池划分为多个子池，每个子池独立处理来自不同用户的应用程序请求。这样可以防止单个子池由于过高的并发访问而耗尽连接。在Beego中，你可以在启动服务器时自定义数据库连接池，如下所示： go db, err := sql.Open("mysql", "root:password@/dbname") if err != nil { log.Fatal(err) } defer db.Close() pool := &sqlx.Pool{ DSN: "user=root password=pass dbname=testdb sslmode=disable", MaxIdleTime: time.Minute 5, } beego.InsertFilter("", beego.BeforeRouter, pool.Ping问一) 4.3 使用更高效的查询语句 高效的查询语句可以减少数据库连接的使用。例如，你可以避免在查询中使用不必要的表连接，尽量使用索引等。另外，我跟你说啊，尽量别一次性从数据库里捞太多数据，你想想哈，拿的数据越多，那连接数据库的“负担”就越重。就跟你一次性提太多东西，手上的袋子不也得承受更多压力嘛，道理是一样的。所以呢，咱悠着点，分批少量地拿数据才更明智。 4.4 调整应用负载均衡策略 如果你的应用在一个多台机器上运行，那么你可以通过调整负载均衡策略来平衡数据库连接的分配。比如，你完全可以根据每台机器上当前的实际连接使用状况，灵活地给它们分配对数据库的访问权限，就像在舞池里根据音乐节奏调整舞步那样自然流畅。 5. 结论 以上就是我在Beego中解决“数据库连接池耗尽”问题的一些方法。需要注意的是，不同的应用场景可能需要采用不同的解决方案。所以在实际动手干的时候，你得根据自己具体的需求和所处的环境，灵活机动地挑出最适合自己的方法。就像是在超市选商品，不同的需求对应不同的货架，不同的环境就像不同的购物清单，你需要智慧地“淘宝”，选出最对的那个“宝贝”方式。

...Tomcat环境配置文件丢失或损坏：修复与恢复指南 一、引言 Tomcat的魅力与挑战 Tomcat，作为Apache基金会下的顶级项目之一，以其轻量级、高性能、开放源代码的特性，成为了众多Java应用服务器的首选。然而，就像任何技术工具一样，Tomcat也面临着一些常见问题，其中之一便是配置文件的丢失或损坏。在这篇文章中，我们将深入探讨如何面对这种挑战，通过一系列的步骤和实践，帮助你找回或重建Tomcat的正常运行状态。 二、理解配置文件的重要性 在开始之前，让我们先理解配置文件对Tomcat的重要性。配置文件通常位于/conf目录下，包括server.xml、web.xml等。哎呀，这些玩意儿可是Tomcat服务器的灵魂呢！它们掌控着服务器怎么干活，干得多快，安全不安全，还有你放上去的网页程序咋整，都得靠它们来调教。就像厨房里的大厨，得掌握好火候，菜才做得香，服务器这事儿也是一样，得让它们发挥出最佳状态，才能让网站跑得又快又稳，用户们用起来才舒心！一旦这些文件丢失或损坏，可能会导致Tomcat无法启动或者无法正确运行已部署的应用程序。 三、常见的问题与症状 当配置文件出现问题时，你可能会遇到以下症状： - 启动失败：尝试启动Tomcat时，可能收到错误信息，指示找不到特定的配置文件。 - 服务不可用：即使成功启动，服务也可能无法提供预期的功能，比如HTTP请求处理异常。 - 部署失败：尝试部署新的Web应用程序时，可能会因缺少必要的配置信息而失败。 四、诊断与解决策略 1. 检查目录结构 首先，确保/conf目录存在且完整。使用命令行（如Windows的CMD或Linux的Terminal）进行检查： bash ls -l /path/to/tomcat/conf/ 如果发现某些文件缺失，这可能是问题所在。 2. 复制默认配置 如果文件确实丢失，可以从Tomcat的安装目录下的bin子目录复制默认配置到/conf目录。例如，在Linux环境下： bash cp /path/to/tomcat/bin/catalina.sh /path/to/tomcat/conf/ 请注意，这里使用的是示例命令，实际操作时应根据你的Tomcat版本和系统环境调整。 3. 修改配置 对于特定于环境或应用的配置（如数据库连接、端口设置等），需要手动编辑server.xml和web.xml。这一步通常需要根据你的应用需求进行定制。 4. 测试与验证 修改配置后，重新启动Tomcat，通过访问服务器地址（如http://localhost:8080）检查服务是否正常运行，并测试关键功能。 五、最佳实践与预防措施 - 定期备份：定期备份/conf目录，可以使用脚本自动执行，以减少数据丢失的风险。 - 版本管理：使用版本控制系统（如Git）管理Tomcat的配置文件，便于追踪更改历史和团队协作。 - 权限设置：确保/conf目录及其中的文件具有适当的读写权限，避免因权限问题导致的配置问题。 六、总结与反思 面对Tomcat配置文件的丢失或损坏，关键在于迅速定位问题、采取正确的修复策略，并实施预防措施以避免未来的困扰。通过本文的指导，希望能帮助你在遇到类似情况时，能够冷静应对，快速解决问题，让Tomcat再次成为稳定可靠的应用服务器。记住，每一次挑战都是提升技能和经验的机会，让我们在技术的道路上不断前进。

在使用ClickHouse外部表时遇到的问题及解决方案：文件系统权限和文件不存在问题详解 1. 引言 ClickHouse，作为一款高性能的列式数据库管理系统，以其卓越的实时数据分析能力广受青睐。不过在实际动手操作的时候，特别是当我们想要利用它的“外部表”功能和外界的数据源打交道的时候，确实会碰到一些让人头疼的小插曲。比如说，可能会遇到文件系统权限设置得不对劲儿，或者压根儿就找不到要找的文件这些让人抓狂的问题。本文将深入探讨这些问题，并通过实例代码解析如何解决这些问题。 2. ClickHouse外部表简介 在ClickHouse中，外部表是一种特殊的表类型，它并不直接存储数据，而是指向存储在文件系统或其他数据源中的数据。这种方式让数据的导入导出变得超级灵活，不过呢，也给我们带来了些新麻烦。具体来说，就是在权限控制和文件状态追踪这两个环节上，挑战可是不小。 3. 文件系统权限不正确的处理方法 3.1 问题描述 假设我们已创建一个指向本地文件系统的外部表，但在查询时收到错误提示：“Access to file denied”，这通常意味着ClickHouse服务账户没有足够的权限访问该文件。 sql CREATE TABLE external_table (event Date, id Int64) ENGINE = File(Parquet, '/path/to/your/file.parquet'); SELECT FROM external_table; -- Access to file denied 3.2 解决方案 首先，我们需要确认ClickHouse服务运行账户对目标文件或目录拥有读取权限。可以通过更改文件或目录的所有权或修改访问权限来实现： bash sudo chown -R clickhouse:clickhouse /path/to/your/file.parquet sudo chmod -R 750 /path/to/your/file.parquet 这里，“clickhouse”是ClickHouse服务默认使用的系统账户名，您需要将其替换为您的实际环境下的账户名。对了，你知道吗？这个“750”啊，就像是个门锁密码一样，代表着一种常见的权限分配方式。具体来说呢，就是文件的所有者，相当于家的主人，拥有全部权限——想读就读，想写就写，还能执行操作；同组的其他用户呢，就好比是家人或者室友，他们能读取文件内容，也能执行相关的操作，但就不能随意修改了；而那些不属于这个组的其他用户呢，就像是门外的访客，对于这个文件来说，那可是一点权限都没有，完全进不去。 4. 文件不存在的问题及其解决策略 4.1 问题描述 当我们在创建外部表时指定的文件路径无效或者文件已被删除时，尝试从该表查询数据会返回“File not found”的错误。 sql CREATE TABLE missing_file_table (data String) ENGINE = File(TSV, '/nonexistent/path/file.tsv'); SELECT FROM missing_file_table; -- File not found 4.2 解决方案 针对此类问题，我们的首要任务是确保指定的文件路径是存在的并且文件内容有效。若文件确实已被移除，那么重新生成或恢复文件是最直接的解决办法。另外，你还可以琢磨一下在ClickHouse的配置里头开启自动监控和重试功能，这样一来，万一碰到文件临时抽风、没法用的情况，它就能自己动手解决问题了。 另外，对于周期性更新的外部数据源，推荐结合ALTER TABLE ... UPDATE语句或MaterializeMySQL等引擎动态更新外部表的数据源路径。 sql -- 假设新文件已经生成，只需更新表结构即可 ALTER TABLE missing_file_table MODIFY SETTING path = '/new/existing/path/file.tsv'; 5. 结论与思考 在使用ClickHouse外部表的过程中，理解并妥善处理文件系统权限和文件状态问题是至关重要的。只有当数据能够被安全、稳定地访问，才能充分发挥ClickHouse在大数据分析领域的强大效能。这也正好敲响我们的小闹钟，在我们捣鼓数据架构和运维流程的设计时，千万不能忘了把权限控制和数据完整性这两块大骨头放进思考篮子里。这样一来，咱们才能稳稳当当地保障整个数据链路健健康康地运转起来。

...内容。 概述 分布式文件系统 适合：一次写入，多次读出，且不支持修改 文件块大小 128M HDFS的shell操作（重点） 基本语法 hadoop fs 具体命令或者hdfs dfs 具体命名 命令大全 Usage: hadoop fs [generic options][-appendToFile <localsrc> ... <dst>] 追加[-cat [-ignoreCrc] <src> ...] 查看[-checksum <src> ...][-chgrp [-R] GROUP PATH...] 改组[-chmod [-R] <MODE[,MODE]... | OCTALMODE> PATH...] 改权限[-chown [-R] [OWNER][:[GROUP]] PATH...] 改所有者[-copyFromLocal [-f] [-p] [-l] [-d] [-t <thread count>] <localsrc> ... <dst>] 上传[-copyToLocal [-f] [-p] [-ignoreCrc] [-crc] <src> ... <localdst>] 下载[-count [-q] [-h] [-v] [-t [<storage type>]] [-u] [-x] [-e] <path> ...][-cp [-f] [-p | -p[topax]] [-d] <src> ... <dst>] 复制[-createSnapshot <snapshotDir> [<snapshotName>]][-deleteSnapshot <snapshotDir> <snapshotName>][-df [-h] [<path> ...]][-du [-s] [-h] [-v] [-x] <path> ...] 统计磁盘文件大小[-expunge][-find <path> ... <expression> ...][-get [-f] [-p] [-ignoreCrc] [-crc] <src> ... <localdst>] 下载[-getfacl [-R] <path>][-getfattr [-R] {-n name | -d} [-e en] <path>][-getmerge [-nl] [-skip-empty-file] <src> <localdst>][-head <file>][-help [cmd ...]][-ls [-C] [-d] [-h] [-q] [-R] [-t] [-S] [-r] [-u] [-e] [<path> ...]] 查看列表[-mkdir [-p] <path> ...] 创建[-moveFromLocal <localsrc> ... <dst>] 剪切到hdfs[-moveToLocal <src> <localdst>] 剪切到本地[-mv <src> ... <dst>] 移动[-put [-f] [-p] [-l] [-d] <localsrc> ... <dst>] 上传[-renameSnapshot <snapshotDir> <oldName> <newName>][-rm [-f] [-r|-R] [-skipTrash] [-safely] <src> ...] 删除[-rmdir [--ignore-fail-on-non-empty] <dir> ...][-setfacl [-R] [{-b|-k} {-m|-x <acl_spec>} <path>]|[--set <acl_spec> <path>]][-setfattr {-n name [-v value] | -x name} <path>][-setrep [-R] [-w] <rep> <path> ...] 设置副本数[-stat [format] <path> ...][-tail [-f] <file>][-test -[defsz] <path>][-text [-ignoreCrc] <src> ...][-touch [-a] [-m] [-t TIMESTAMP ] [-c] <path> ...][-touchz <path> ...][-truncate [-w] <length> <path> ...][-usage [cmd ...]]Generic options supported are:-conf <configuration file> specify an application configuration file-D <property=value> define a value for a given property-fs <file:///|hdfs://namenode:port> specify default filesystem URL to use, overrides 'fs.defaultFS' property from configurations.-jt <local|resourcemanager:port> specify a ResourceManager-files <file1,...> specify a comma-separated list of files to be copied to the map reduce cluster-libjars <jar1,...> specify a comma-separated list of jar files to be included in the classpath-archives <archive1,...> specify a comma-separated list of archives to be unarchived on the compute machinesThe general command line syntax is:command [genericOptions] [commandOptions] 查看详细命令 hadoop fs -help 命令（如cat） 更改hdfs的权限 vi core-site.xml <property><name>hadoop.http.staticuser.user</name><value>root</value></property> HDFS客户端API操作 Windows环境配置 将Windows依赖放到文件夹， 配置环境变量，添加HADOOP_HOME ，编辑Path添加%HADOOP_HOME%/bin 拷贝hadoop.dll和winutils.exe到C:\Windows\System32 创建java项目 配置 编辑pom.xml <dependencies><dependency><groupId>junit</groupId><artifactId>junit</artifactId><version>4.12</version></dependency><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-slf4j-impl</artifactId><version>2.12.0</version></dependency><dependency><groupId>org.apache.hadoop</groupId><artifactId>hadoop-client</artifactId><version>3.1.3</version></dependency></dependencies> 在src/main/resources中建立log4j2.xml 打印日志到控制台 <?xml version="1.0" encoding="UTF-8"?><Configuration status="WARN"><Appenders><Console name="Console" target="SYSTEM_OUT"><PatternLayout pattern="%d{HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/></Console></Appenders><Loggers><Root level="error"><AppenderRef ref="Console"/></Root></Loggers></Configuration> 编写代码 在/src/main/java/cn.zcx.hdfs创建TestHDFS类 public class TestHDFS {// 创建全局变量private FileSystem fs;private Configuration conf;private URI uri;private String user;// 从本地上传文件@Testpublic void testUpload() throws IOException {fs.copyFromLocalFile(false,true,new Path("F:\\Download\\使用前说明.txt"),new Path("/testhdfs"));}/ @Before 方法在@Test方法执行之前执行 /@Beforepublic void init() throws IOException, InterruptedException {uri = URI.create("hdfs://master:8020");conf = new Configuration();user = "root";fs = FileSystem.get(uri,conf,user);}/ @After方法在@Test方法结束后执行 /@Afterpublic void close() throws IOException {fs.close();}@Testpublic void testHDFS() throws IOException, InterruptedException {//1. 创建文件系统对象/URI uri = URI.create("hdfs://master:8020");Configuration conf = new Configuration();String user = "root";FileSystem fs = FileSystem.get(uri,conf,user);System.out.println("fs: " + fs);/// 2. 创建一个目录boolean b = fs.mkdirs(new Path("/testhdfs"));System.out.println(b);// 3. 关闭fs.close();} } 参数优先级 xxx-default.xml < xxx-site.xml < IDEA中resource中创建xxx-site.xml < 在代码中通过更改Configuration 参数 文件下载 @Testpublic void testDownload() throws IOException {fs.copyToLocalFile(false,new Path("/testhdfs/使用前说明.txt"),new Path("F:\\Download\\"),true);} 文件更改移动 //改名or移动（路径改变就可以）@Testpublic void testRename() throws IOException {boolean b = fs.rename(new Path("/testhdfs/使用前说明.txt"),new Path("/testhdfs/zcx.txt"));System.out.println(b);} 查看文件详细信息 // 查看文件详情@Testpublic void testListFiles() throws IOException {RemoteIterator<LocatedFileStatus> listFiles = fs.listFiles(new Path("/"), true);//迭代操作while (listFiles.hasNext()){LocatedFileStatus fileStatus = listFiles.next();//获取文件详情System.out.println("文件路径："+fileStatus.getPath());System.out.println("文件权限："+fileStatus.getPermission());System.out.println("文件主人："+fileStatus.getOwner());System.out.println("文件组："+fileStatus.getGroup());System.out.println("文件大小："+fileStatus.getLen());System.out.println("文件副本数："+fileStatus.getReplication());System.out.println("文件块位置："+ Arrays.toString(fileStatus.getBlockLocations()));System.out.println("===============================");} } 文件删除 第二参数，true递归删除 //文件删除@Testpublic void testDelete() throws IOException {boolean b = fs.delete(new Path("/testhdfs/"), true);System.out.println(b);} NN与2NN工作原理 本篇文章为转载内容。原文链接：https://blog.csdn.net/Python1One/article/details/108546050。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...全认证流程 五.限制使用su命令的用户（pam-wheel认证模块） 1.su命令概述： 2. su命令的用途以及用法： 3.配置su的授权（加入wheel组）（pam_wheel认证模块：）： 4.配置/etc/sudoers文件(授权用户较多的时候使用)： 六.开关机安全控制 1.调整BIOS引导设置 2.GRUB限制 七.终端以及登录控制 1.限制root只在安全终端登录 2..禁止普通用户登录 八.系统弱口令检测 1.JOHN the Ripper，简称为JR 2.安装弱口令账号 3.密码文件的暴力破解 九.网络端口扫描 1.NMAP 2.格式 总结： 一.账号安全基本措施 1.系统账号清理 1.将非登录用户的Shell设为/sbin/nologin （ps：在我们使用Linux系统时，除了用户创建的账号之外，还会产生系统或程序安装过程中产生的许多其他账号，除了超级用户root外，其他账号都是用来维护系统运作的，一般不允许登录，常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。） 格式：usermod -s /sbin/nologin 用户名 2锁定长期不使用的账号： [root@hehe ~] usermod -L test2 锁定用户账号方法一[root@hehe ~] passwd -l test3 锁定用户账号方法二[root@hehe ~] usermod -U test2 解锁用户账号方法一[root@hehe~] passwd -u test3 解锁用户账号方法二查看账户有没有被锁：passwd -S [用户名] 3.删除无用的账号 [root@hehe ~] userdel test1[root@hehe~] userdel -r test2 4.锁定账号文件passwd，shadow [root@hehe ~] chattr +i /etc/passwd /etc/shadow 锁定文件，包括root也无法修改[root@hehe ~] chattr -i /etc/passwd /etc/shadow 解锁文件[root@hehe ~] lsattr /etc/passwd /etc/shadow查看文件状态属性 举个例子： 二.密码安全控制： 1.设置密码有效期： 1.[root@localhost ~] chage -M 60 test3 这种方法适合修改已经存在的用户1​2.[root@localhost ~] vim /etc/login.defs 这种适合以后添加新用户PASS_MAX_DAYS 30 1.这个方法适用于早就已经存在的用户： 2.这个方法适用于新用户 2.要求用户下次登录时改密码： [root@hehe ~] chage -d 0 [用户名] 强制要求用户下次登陆时修改密码 三.命令历史限制与自动注销 1.命令历史限制： 1.减少记录的命令条数 减少记录命令的条数：1.[root@hehe ~] vim /etc/profile 进入配置文件修改限制命令条数。适合新用户HISTSIZE=200 修改限制命令为200条，系统默认是1000条profile [root@lhehe ~] source /etc/ 刷新配置文件，使文件立即生效2.[root@hehe~] export HISTSIZE=200 适用于当前（之后）用户[root@hehe~] source /etc/profile [root@hehe ~] source /etc/profile 刷新配置文件，使文件立即生效 1.减少记录命令的条数（适用之前的用户）： 2.注销时自动清空命令历史 3. 注销时自动清空命令：[root@hehe ~] vim ~/.bash_logout（临时清除，重启缓存的话还在）echo "" > ~/.bash_history（永久删除）history是查你使用过的命令 2.终端自动注销： 1.闲置600秒后自动注销 闲置600秒后自动注销：[root@hehe ~]vim .bash_profile 进入配置文件export TMOUT=600 全局声明超过60秒闲置后自动注销终端[root@hehe ~] source .bash_profile [root@hehe ~] echo $TMOUT[root@hehe ~] export TMOUT=600 如果不在配置文件输入这条命令，那么是对当前用户生效​[root@hehe ~]vim .bash_profile export TMOUT=600 注释掉这条命令，就不会自动注销了 四.PAM安全认证 1.su的命令的安全隐患 1.，默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root) 的登录密码，带来安全风险； 2.为了加强su命令的使用控制，可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。 2.什么是PAM 1.PAM(Pluggable Authentication Modules)可插拔式认证模块 2.是一种高效而且灵活便利的用户级别的认证方式； 3.也是当前Linux服务器普遍使用的认证方式。 4.PAM提供了对所有服务进行认证的中央机制，适用于login，远程登陆，su等应用 5.系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略 3.PAM认证原理 1.PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_.so;， 2.PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认 模块(位于/lib64/security/下）进行安全认证。 3.用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。 4.如果想查看某个程序是否支持PAM认证，可以用ls命令进行查看/etc/pam.d/。 ls /etc/pam.d/ | grep su 5.PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用。 4.PAM安全认证流程 控制类型也称做Control Flags，用于PAM验证类型的返回结果 用户1 用户2 用户3 用户4 auth required 模块1 pass fail pass pass auth sufficient 模块2 pass pass fail pass auth required 模块3 pass pass pass fail 结果 pass fail pass pass 4 五.限制使用su命令的用户（pam-wheel认证模块） 1.su命令概述： 通过su命令可以非常方便切换到另一个用户，但前提条件是必须知道用户登录密码。对于生产环境中的Linux服务器，每多一个人知道特权密码，安全风险就多一分。于是就多了一种折中的办法，使用sudo命令提升执行权限，不过需要由管理员预先进行授权， 指定用户使用某些命令： 2. su命令的用途以及用法： 用途：以其他用户身份（如root）执行授权命令用法：sudo 授权命令 3.配置su的授权（加入wheel组）（pam_wheel认证模块：）： 进入授权命令：1.visudo 或者 vim /etc/sudoers语法格式：1.用户 主机名=命令程序列表2.用户 主机名=（用户）命令程序列表-l：列出用户在主机上可用的和被禁止的命令;一般配置好/etc/sudoers后，要用这个命令来查看和测试是不是配置正确的;-v：验证用户的时间戳;如果用户运行sudo后，输入用户的密码后，在短时间内可以不用输入口令来直接进行sudo操作;用-v可以跟踪最新的时间戳;-u：指定以以某个用户执行特定操作;-k：删除时间戳，下一个sudo命令要求用求提供密码; 1.首先创建3个组 2.vim /etc/pam.d/su把第六行注释去掉保存退出 1. 以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的 2.两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码: 3.如果第–行不注释，则root 使用su切换普通用户就不需要输入密码( pam_ rootok. so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码。) 4.如果开启第二行，表示只有root用户和wheel1组内的用户才可以使用su命令。 5.如果注释第一行，开启第二行，表示只有whee1组内的用户才能使用su命令，root用户也被禁用su命令。 3.将liunan加入到wheel之后，hehe就有了使用su命令的权限 4.使用pam_wheel认证后，没有在wheel里的用户都不能再用su 5.whoami命令确定当前用户是谁 4.配置/etc/sudoers文件(授权用户较多的时候使用)： visudo单个授权visudo 或者 vim /etc/sudoers记录格式：user MACHINE=COMMANDS可以使用通配符“ ”号任意值和“ ！”号进行取反操作。%组名代表一整个组权限生效后，输入密码后5分钟可以不用重新输入密码。例如：visudo命令下user kiro=(root)NOPASSWD:/usr/sbin/useradd,PASSWD:/usr/sbin/usermod代表 kiro主机里的user用户，可以无密码使用useradd命令，有密码使用usermod/etc/sudoers多个授权Host_Alias MYHOST= localhost 主机别名：主机名、IP、网络地址、其他主机别名!取反Host_Alias MAILSVRS=smtp,pop（主机名）User_Alias MYUSER = kiro，user1,lisi 用户别名：包含用户、用户组（%组名（使用引导))、还可以包含其他其他已经用户的别名User_Alias OPERATORS=zhangsan,tom,lisi（需要授权的用户）Cmnd_Alias MYCMD = /sbin/,/usr/bin/passwd 命令路劲、目录（此目录内的所有命令)、其他事先定义过的命令别名Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum（授权）MYUSER MYHOST = NOPASSWD : MYCMDDS 授权格式sudo -l 查询目前sudo操作查看sudo操作记录需启用Defaults logfile配置默认日志文件: /var/log/sudosudo -l 查看当前用户获得哪些sudo授权（启动日志文件后，sudo操作过程才会被记录） 1.首先用visudo 或者 vim /etc/sudoers进入，输入需要授权的命令 2.切换到taojian用户，因为设置了它不能使用创建用户的命令所以无法创建 六.开关机安全控制 1.调整BIOS引导设置 1.将第一引导设备设为当前系统所在硬盘2.禁止从其他设备(光盘、U盘、网络)引导系统3.将安全级别设为setup，并设置管理员密码 2.GRUB限制 1.使用grub2-mkpasswd-pbkdf2生成密钥2.修改/etclgrub.d/00_header文件中，添加密码记录3.生成新的grub.cfg配置文件 方法一： 通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。grub2-mkpasswd-pbkdf2 根据提示设置GRUB菜单的密码PBKDF2 hash of your password is grub.pbkd..... 省略部分内容为经过加密生成的密码字符串cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak 8cp /etc/grub.d/00_header /etc/grub.d/00_header.bak 9vim /etc/grub.d/00_headercat << EOFset superusers="root" 设置用户名为rootpassword_pbkdf2 root grub.pbkd2..... 设置密码，省略部分内容为经过加密生成的密码字符串EOF16grub2-mkconfig -o /boot/grub2/grub.cfg 生成新的grub.cfg文件重启系统进入GRUB菜单时，按e键将需要输入账号密码才能修改引导参数。 方法二： 1.一步到位2.grub2-setpassword 七.终端以及登录控制 1.限制root只在安全终端登录 ​安全终端配置文件在 /etc/securetty 2..禁止普通用户登录 1.建立/etc/nologin文件 2.删除nologin文件或重启后即恢复正常 vim /etc/securetty在端口前加号拒绝访问touch /etc/nologin 禁止普通用户登录rm -rf /etc/nologin 取消禁止 八.系统弱口令检测 1.JOHN the Ripper，简称为JR 1.一款密码分析工具，支持字典式的暴力破解2.通过对shadow文件的口令分析，可以检测密码强度3.官网网站：http://www.openwall.com/john/ 2.安装弱口令账号 1.获得Linux/Unix服务器的shadow文件2.执行john程序，讲shadow文件作为参数 3.密码文件的暴力破解 1.准备好密码字典文件，默认为password.lst2.执行john程序，结合--wordlist=字典文件 九.网络端口扫描 1.NMAP 1.—款强大的网络扫描、安全检测工具,支持ping扫描，多端口检测等多种技术。2.官方网站: http://nmap.orgl3.CentOS 7.3光盘中安装包,nmap-6.40-7.el7.x86_64.rpm 2.格式 NMAP [扫描类型] [选项] <扫描目标....> 安装NMAP软件包rpm -qa | grep nmapyum install -y nmapnmap命令常用的选项和扫描类型-p：指定扫描的端口。-n：禁用反向DNS 解析 (以加快扫描速度)。-sS：TCP的SYN扫描（半开扫描)，只向目标发出SYN数据包，如果收到SYN/ACK响应包就认为目标端口正在监听，并立即断开连接;否则认为目标端口并未开放。-sT：TCP连接扫描，这是完整的TCP扫描方式(默认扫描类型)，用来建立一个TCP连接，如果成功则认为目标端口正在监听服务，否则认为目标端口并未开放。-sF：TCP的FIN扫描，开放的端口会忽略这种数据包，关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤，而忽略了其他形式的TCP attack 包。这种类型的扫描可间接检测防火墙的健壮性。-sU：UDP扫描，探测目标主机提供哪些UDP服务，UDP扫描的速度会比较慢。-sP：ICMP扫描，类似于ping检测，快速判断目标主机是否存活，不做其他扫描。-P0：跳过ping检测，这种方式认为所有的目标主机是存活的，当对方不响应ICMP请求时，使用这种方式可以避免因无法 ping通而放弃扫描。 总结： 1.账号基本安全措施：系统账号处理、密码安全控制、命令历史清理、自动注销 2.用户切换与提权（su、sudo） 3.开关机安全控制（BIOS引导设置、禁止Ctrl+Alt+Del快捷键、GRUB菜单设置密码） 4.终端控制 5.弱口令检测——John the Ripper 6.端口扫描——namp 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_67474417/article/details/123982900。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...SQL服务器实例配置文件 ---------------------------------------------------------------------- Generated by the MySQL Server Instance Configuration Wizard 由MySQL服务器实例配置向导生成 Installation Instructions 安装说明 ---------------------------------------------------------------------- On Linux you can copy this file to /etc/my.cnf to set global options, mysql-data-dir/my.cnf to set server-specific options (@localstatedir@ for this installation) or to ~/.my.cnf to set user-specific options. 在Linux上，您可以将该文件复制到/etc/my.cnf来设置全局选项，mysql-data-dir/my.cnf来设置特定于服务器的选项(此安装的@localstatedir@)，或者~/.my.cnf来设置特定于用户的选项。 On Windows you should keep this file in the installation directory of your server (e.g. C:\Program Files\MySQL\MySQL Server X.Y). To make sure the server reads the config file use the startup option "--defaults-file". 在Windows上你应该保持这个文件在服务器的安装目录(例如C:\Program Files\MySQL\MySQL服务器X.Y)。要确保服务器读取配置文件，请使用启动选项“——default -file”。 To run the server from the command line, execute this in a command line shell, e.g. mysqld --defaults-file="C:\Program Files\MySQL\MySQL Server X.Y\my.ini" 要从命令行运行服务器，请在命令行shell中执行，例如mysqld——default -file="C:\Program Files\MySQL\MySQL server X.Y\my.ini" To install the server as a Windows service manually, execute this in a command line shell, e.g. mysqld --install MySQLXY --defaults-file="C:\Program Files\MySQL\MySQL Server X.Y\my.ini" 要手动将服务器安装为Windows服务，请在命令行shell中执行此操作，例如mysqld——install MySQLXY——default -file="C:\Program Files\MySQL\MySQL server X.Y\my.ini" And then execute this in a command line shell to start the server, e.g. net start MySQLXY 然后在命令行shell中执行这个命令来启动服务器，例如net start MySQLXY Guidelines for editing this file编辑此文件的指南 ---------------------------------------------------------------------- In this file, you can use all long options that the program supports. If you want to know the options a program supports, start the program with the "--help" option. 在这个文件中，您可以使用程序支持的所有长选项。如果您想知道程序支持的选项，请使用“——help”选项启动程序。 More detailed information about the individual options can also be found in the manual. For advice on how to change settings please see https://dev.mysql.com/doc/refman/8.0/en/server-configuration-defaults.html 有关各个选项的更详细信息也可以在手册中找到。有关如何更改设置的建议，请参见https://dev.mysql.com/doc/refman/8.0/en/server-configuration-defaults.html CLIENT SECTION 客户端部分 ---------------------------------------------------------------------- The following options will be read by MySQL client applications. Note that only client applications shipped by MySQL are guaranteed to read this section. If you want your own MySQL client program to honor these values, you need to specify it as an option during the MySQL client library initialization. MySQL客户机应用程序将读取以下选项。注意，只有MySQL提供的客户端应用程序才能阅读本节。如果您希望自己的MySQL客户机程序遵守这些值，您需要在初始化MySQL客户机库时将其指定为一个选项。 [client] pipe= socket=MYSQL port=3306 [mysql] no-beep default-character-set= SERVER SECTION 服务器部分 ---------------------------------------------------------------------- The following options will be read by the MySQL Server. Make sure that you have installed the server correctly (see above) so it reads this file. MySQL服务器将读取以下选项。确保您已经正确安装了服务器(参见上面)，以便它读取这个文件。 server_type=3 [mysqld] The next three options are mutually exclusive to SERVER_PORT below. 下面的三个选项对SERVER_PORT是互斥的。skip-networking enable-named-pipe 共享内存 skip-networking enable-named-pipe shared-memory shared-memory-base-name=MYSQL The Pipe the MySQL Server will use socket=MYSQL The TCP/IP Port the MySQL Server will listen on port=3306 Path to installation directory. All paths are usually resolved relative to this. basedir="C:/Program Files/MySQL/MySQL Server 8.0/" Path to the database root datadir=C:/ProgramData/MySQL/MySQL Server 8.0/Data The default character set that will be used when a new schema or table is created and no character set is defined 创建新模式或表时使用的默认字符集，并且没有定义字符集 character-set-server= The default authentication plugin to be used when connecting to the server 连接到服务器时使用的默认身份验证插件 default_authentication_plugin=caching_sha2_password The default storage engine that will be used when create new tables when 当创建新表时将使用的默认存储引擎 default-storage-engine=INNODB Set the SQL mode to strict 将SQL模式设置为strict sql-mode="STRICT_TRANS_TABLES,NO_ENGINE_SUBSTITUTION" General and Slow logging. 一般和缓慢的日志。 log-output=NONE general-log=0 general_log_file="DESKTOP-NF9QETB.log" slow-query-log=0 slow_query_log_file="DESKTOP-NF9QETB-slow.log" long_query_time=10 Binary Logging. 二进制日志。 log-bin Error Logging. 错误日志记录。 log-error="DESKTOP-NF9QETB.err" Server Id. server-id=1 Indicates how table and database names are stored on disk and used in MySQL. 指示表名和数据库名如何存储在磁盘上并在MySQL中使用。 Value = 0: Table and database names are stored on disk using the lettercase specified in the CREATE TABLE or CREATE DATABASE statement. Name comparisons are case sensitive. You should not set this variable to 0 if you are running MySQL on a system that has case-insensitive file names (such as Windows or macOS). Value = 0:表名和数据库名使用CREATE Table或CREATE database语句中指定的lettercase存储在磁盘上。名称比较区分大小写。如果您在一个具有不区分大小写文件名(如Windows或macOS)的系统上运行MySQL，则不应将该变量设置为0。 Value = 1: Table names are stored in lowercase on disk and name comparisons are not case-sensitive. MySQL converts all table names to lowercase on storage and lookup. This behavior also applies to database names and table aliases. 表名以小写存储在磁盘上，并且名称比较不区分大小写。MySQL在存储和查找时将所有表名转换为小写。此行为也适用于数据库名称和表别名。 Value = 3, Table and database names are stored on disk using the lettercase specified in the CREATE TABLE or CREATE DATABASE statement, but MySQL converts them to lowercase on lookup. Name comparisons are not case sensitive. This works only on file systems that are not case-sensitive! InnoDB table names and view names are stored in lowercase, as for Value = 1.表名和数据库名使用CREATE Table或CREATE database语句中指定的lettercase存储在磁盘上，但是MySQL在查找时将它们转换为小写。名称比较不区分大小写。这只适用于不区分大小写的文件系统!InnoDB表名和视图名以小写存储，Value = 1。 NOTE: lower_case_table_names can only be configured when initializing the server. Changing the lower_case_table_names setting after the server is initialized is prohibited. lower_case_table_names=1 Secure File Priv. 权限安全文件 secure-file-priv="C:/ProgramData/MySQL/MySQL Server 8.0/Uploads" The maximum amount of concurrent sessions the MySQL server will allow. One of these connections will be reserved for a user with SUPER privileges to allow the administrator to login even if the connection limit has been reached. MySQL服务器允许的最大并发会话量。这些连接中的一个将保留给具有超级特权的用户，以便允许管理员登录，即使已经达到连接限制。 max_connections=151 The number of open tables for all threads. Increasing this value increases the number of file descriptors that mysqld requires. Therefore you have to make sure to set the amount of open files allowed to at least 4096 in the variable "open-files-limit" in 为所有线程打开的表的数量。增加这个值会增加mysqld需要的文件描述符的数量。因此，您必须确保在[mysqld_safe]节中的变量“open-files-limit”中将允许打开的文件数量至少设置为4096 section [mysqld_safe] table_open_cache=2000 Maximum size for internal (in-memory) temporary tables. If a table grows larger than this value, it is automatically converted to disk based table This limitation is for a single table. There can be many of them. 内部(内存)临时表的最大大小。如果一个表比这个值大，那么它将自动转换为基于磁盘的表。可以有很多。 tmp_table_size=94M How many threads we should keep in a cache for reuse. When a client disconnects, the client's threads are put in the cache if there aren't more than thread_cache_size threads from before. This greatly reduces the amount of thread creations needed if you have a lot of new connections. (Normally this doesn't give a notable performance improvement if you have a good thread implementation.) 我们应该在缓存中保留多少线程以供重用。当客户机断开连接时，如果之前的线程数不超过thread_cache_size，则将客户机的线程放入缓存。如果您有很多新连接，这将大大减少所需的线程创建量(通常，如果您有一个良好的线程实现，这不会带来显著的性能改进)。 thread_cache_size=10 MyISAM Specific options The maximum size of the temporary file MySQL is allowed to use while recreating the index (during REPAIR, ALTER TABLE or LOAD DATA INFILE. If the file-size would be bigger than this, the index will be created through the key cache (which is slower). MySQL允许在重新创建索引时(在修复、修改表或加载数据时)使用临时文件的最大大小。如果文件大小大于这个值，那么索引将通过键缓存创建(这比较慢)。 myisam_max_sort_file_size=100G If the temporary file used for fast index creation would be bigger than using the key cache by the amount specified here, then prefer the key cache method. This is mainly used to force long character keys in large tables to use the slower key cache method to create the index. myisam_sort_buffer_size=179M Size of the Key Buffer, used to cache index blocks for MyISAM tables. Do not set it larger than 30% of your available memory, as some memory is also required by the OS to cache rows. Even if you're not using MyISAM tables, you should still set it to 8-64M as it will also be used for internal temporary disk tables. 如果用于快速创建索引的临时文件比这里指定的使用键缓存的文件大，则首选键缓存方法。这主要用于强制大型表中的长字符键使用较慢的键缓存方法来创建索引。 key_buffer_size=8M Size of the buffer used for doing full table scans of MyISAM tables. Allocated per thread, if a full scan is needed. 用于对MyISAM表执行全表扫描的缓冲区的大小。如果需要完整的扫描，则为每个线程分配。 read_buffer_size=256K read_rnd_buffer_size=512K INNODB Specific options INNODB特定选项 innodb_data_home_dir= Use this option if you have a MySQL server with InnoDB support enabled but you do not plan to use it. This will save memory and disk space and speed up some things. 如果您启用了一个支持InnoDB的MySQL服务器，但是您不打算使用它，那么可以使用这个选项。这将节省内存和磁盘空间，并加快一些事情。skip-innodb skip-innodb If set to 1, InnoDB will flush (fsync) the transaction logs to the disk at each commit, which offers full ACID behavior. If you are willing to compromise this safety, and you are running small transactions, you may set this to 0 or 2 to reduce disk I/O to the logs. Value 0 means that the log is only written to the log file and the log file flushed to disk approximately once per second. Value 2 means the log is written to the log file at each commit, but the log file is only flushed to disk approximately once per second. 如果设置为1,InnoDB将在每次提交时将事务日志刷新(fsync)到磁盘，这将提供完整的ACID行为。如果您愿意牺牲这种安全性，并且正在运行小型事务，您可以将其设置为0或2，以将磁盘I/O减少到日志。值0表示日志仅写入日志文件，日志文件大约每秒刷新一次磁盘。值2表示日志在每次提交时写入日志文件，但是日志文件大约每秒只刷新一次磁盘。 innodb_flush_log_at_trx_commit=1 The size of the buffer InnoDB uses for buffering log data. As soon as it is full, InnoDB will have to flush it to disk. As it is flushed once per second anyway, it does not make sense to have it very large (even with long transactions).InnoDB用于缓冲日志数据的缓冲区大小。一旦它满了，InnoDB就必须将它刷新到磁盘。由于它无论如何每秒刷新一次，所以将它设置为非常大的值是没有意义的(即使是长事务)。 innodb_log_buffer_size=5M InnoDB, unlike MyISAM, uses a buffer pool to cache both indexes and row data. The bigger you set this the less disk I/O is needed to access data in tables. On a dedicated database server you may set this parameter up to 80% of the machine physical memory size. Do not set it too large, though, because competition of the physical memory may cause paging in the operating system. Note that on 32bit systems you might be limited to 2-3.5G of user level memory per process, so do not set it too high. 与MyISAM不同，InnoDB使用缓冲池来缓存索引和行数据。设置的值越大，访问表中的数据所需的磁盘I/O就越少。在专用数据库服务器上，可以将该参数设置为机器物理内存大小的80%。但是，不要将它设置得太大，因为物理内存的竞争可能会导致操作系统中的分页。注意，在32位系统上，每个进程的用户级内存可能被限制在2-3.5G，所以不要设置得太高。 innodb_buffer_pool_size=20M Size of each log file in a log group. You should set the combined size of log files to about 25%-100% of your buffer pool size to avoid unneeded buffer pool flush activity on log file overwrite. However, note that a larger logfile size will increase the time needed for the recovery process. 日志组中每个日志文件的大小。您应该将日志文件的合并大小设置为缓冲池大小的25%-100%，以避免在覆盖日志文件时出现不必要的缓冲池刷新活动。但是，请注意，较大的日志文件大小将增加恢复过程所需的时间。 innodb_log_file_size=48M Number of threads allowed inside the InnoDB kernel. The optimal value depends highly on the application, hardware as well as the OS scheduler properties. A too high value may lead to thread thrashing. InnoDB内核中允许的线程数。最优值在很大程度上取决于应用程序、硬件以及OS调度程序属性。过高的值可能导致线程抖动。 innodb_thread_concurrency=9 The increment size (in MB) for extending the size of an auto-extend InnoDB system tablespace file when it becomes full. 增量大小(以MB为单位)，用于在表空间满时扩展自动扩展的InnoDB系统表空间文件的大小。 innodb_autoextend_increment=128 The number of regions that the InnoDB buffer pool is divided into. For systems with buffer pools in the multi-gigabyte range, dividing the buffer pool into separate instances can improve concurrency, by reducing contention as different threads read and write to cached pages. InnoDB缓冲池划分的区域数。对于具有多gb缓冲池的系统，将缓冲池划分为单独的实例可以提高并发性，因为不同的线程对缓存页面的读写会减少争用。 innodb_buffer_pool_instances=8 Determines the number of threads that can enter InnoDB concurrently. 确定可以同时进入InnoDB的线程数 innodb_concurrency_tickets=5000 Specifies how long in milliseconds (ms) a block inserted into the old sublist must stay there after its first access before it can be moved to the new sublist. 指定插入到旧子列表中的块必须在第一次访问之后停留多长时间(毫秒)，然后才能移动到新子列表。 innodb_old_blocks_time=1000 It specifies the maximum number of .ibd files that MySQL can keep open at one time. The minimum value is 10. 它指定MySQL一次可以打开的.ibd文件的最大数量。最小值是10。 innodb_open_files=300 When this variable is enabled, InnoDB updates statistics during metadata statements. 当启用此变量时，InnoDB会在元数据语句期间更新统计信息。 innodb_stats_on_metadata=0 When innodb_file_per_table is enabled (the default in 5.6.6 and higher), InnoDB stores the data and indexes for each newly created table in a separate .ibd file, rather than in the system tablespace. 当启用innodb_file_per_table(5.6.6或更高版本的默认值)时，InnoDB将每个新创建的表的数据和索引存储在单独的.ibd文件中，而不是系统表空间中。 innodb_file_per_table=1 Use the following list of values: 0 for crc32, 1 for strict_crc32, 2 for innodb, 3 for strict_innodb, 4 for none, 5 for strict_none. 使用以下值列表:0表示crc32, 1表示strict_crc32, 2表示innodb, 3表示strict_innodb, 4表示none, 5表示strict_none。 innodb_checksum_algorithm=0 The number of outstanding connection requests MySQL can have. This option is useful when the main MySQL thread gets many connection requests in a very short time. It then takes some time (although very little) for the main thread to check the connection and start a new thread. The back_log value indicates how many requests can be stacked during this short time before MySQL momentarily stops answering new requests. You need to increase this only if you expect a large number of connections in a short period of time. MySQL可以有多少未完成连接请求。当MySQL主线程在很短的时间内收到许多连接请求时，这个选项非常有用。然后，主线程需要一些时间(尽管很少)来检查连接并启动一个新线程。back_log值表示在MySQL暂时停止响应新请求之前的短时间内可以堆多少个请求。只有当您预期在短时间内会有大量连接时，才需要增加这个值。 back_log=80 If this is set to a nonzero value, all tables are closed every flush_time seconds to free up resources and synchronize unflushed data to disk. This option is best used only on systems with minimal resources. 如果将该值设置为非零值，则每隔flush_time秒关闭所有表，以释放资源并将未刷新的数据同步到磁盘。这个选项最好只在资源最少的系统上使用。 flush_time=0 The minimum size of the buffer that is used for plain index scans, range index scans, and joins that do not use 用于普通索引扫描、范围索引扫描和不使用索引执行全表扫描的连接的缓冲区的最小大小。 indexes and thus perform full table scans. join_buffer_size=200M The maximum size of one packet or any generated or intermediate string, or any parameter sent by the mysql_stmt_send_long_data() C API function. 由mysql_stmt_send_long_data() C API函数发送的一个包或任何生成的或中间字符串或任何参数的最大大小 max_allowed_packet=500M If more than this many successive connection requests from a host are interrupted without a successful connection, the server blocks that host from performing further connections. 如果在没有成功连接的情况下中断了来自主机的多个连续连接请求，则服务器将阻止主机执行进一步的连接。 max_connect_errors=100 Changes the number of file descriptors available to mysqld. You should try increasing the value of this option if mysqld gives you the error "Too many open files". 更改mysqld可用的文件描述符的数量。如果mysqld给您的错误是“打开的文件太多”，您应该尝试增加这个选项的值。 open_files_limit=4161 If you see many sort_merge_passes per second in SHOW GLOBAL STATUS output, you can consider increasing the sort_buffer_size value to speed up ORDER BY or GROUP BY operations that cannot be improved with query optimization or improved indexing. 如果在SHOW GLOBAL STATUS输出中每秒看到许多sort_merge_passes，可以考虑增加sort_buffer_size值，以加快ORDER BY或GROUP BY操作的速度，这些操作无法通过查询优化或改进索引来改进。 sort_buffer_size=1M The number of table definitions (from .frm files) that can be stored in the definition cache. If you use a large number of tables, you can create a large table definition cache to speed up opening of tables. The table definition cache takes less space and does not use file descriptors, unlike the normal table cache. The minimum and default values are both 400. 可以存储在定义缓存中的表定义的数量(来自.frm文件)。如果使用大量表，可以创建一个大型表定义缓存来加速表的打开。与普通的表缓存不同，表定义缓存占用更少的空间，并且不使用文件描述符。最小值和默认值都是400。 table_definition_cache=1400 Specify the maximum size of a row-based binary log event, in bytes. Rows are grouped into events smaller than this size if possible. The value should be a multiple of 256. 指定基于行的二进制日志事件的最大大小，单位为字节。如果可能，将行分组为小于此大小的事件。这个值应该是256的倍数。 binlog_row_event_max_size=8K If the value of this variable is greater than 0, a replication slave synchronizes its master.info file to disk. (using fdatasync()) after every sync_master_info events. 如果该变量的值大于0，则复制奴隶将其主.info文件同步到磁盘。(在每个sync_master_info事件之后使用fdatasync())。 sync_master_info=10000 If the value of this variable is greater than 0, the MySQL server synchronizes its relay log to disk. (using fdatasync()) after every sync_relay_log writes to the relay log. 如果这个变量的值大于0,MySQL服务器将其中继日志同步到磁盘。(在每个sync_relay_log写入到中继日志之后使用fdatasync())。 sync_relay_log=10000 If the value of this variable is greater than 0, a replication slave synchronizes its relay-log.info file to disk. (using fdatasync()) after every sync_relay_log_info transactions. 如果该变量的值大于0，则复制奴隶将其中继日志.info文件同步到磁盘。(在每个sync_relay_log_info事务之后使用fdatasync())。 sync_relay_log_info=10000 Load mysql plugins at start."plugin_x ; plugin_y". 开始时加载mysql插件。“plugin_x;plugin_y” plugin_load The TCP/IP Port the MySQL Server X Protocol will listen on. MySQL服务器X协议将监听TCP/IP端口。 loose_mysqlx_port=33060 本篇文章为转载内容。原文链接：https://blog.csdn.net/mywpython/article/details/89499852。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...其中数据处理相关代码文件看到了剑桥和AT&T实验室的文件头GPL声明注释，中国菜刀 这证实这些文件是直接从最初剑桥实验室版本VNC移植过来的，且使用方式是 直接代码包含，而非独立库引用方式。在官方开源发布并停止更新后，LibVNC使用的这部分代码基本没有改动——除了少数变量命名方式的统一，以及本次漏洞修复。通过搜索，我找到了2000年发布的相关代码文件，确认这些文件与LibVNC中引入的原始版本一致。 另外，Pavel同时反馈了TightVNC中相同的问题。TightVNC与LibVNC没有继承和直接引用关系，但上述VNC代码同样被TightVNC使用，问题的模式不约而同。Pavel测试发现在Ubuntu最新版本TightVNC套件（1.3.10版本）中同样存在该问题，上报给当前软件所有者GlavSoft公司，但对方声称目前精力放在不受GPL限制的TightVNC 2.x版本开发中，对开源的1.x版本漏洞代码“可能会进行修复”。看起来，这个问题被踢给了各大Linux发行版社区来焦虑了——如果他们愿意接锅。 问题思考 在披露邮件中，Pavel认为，这些代码bug“如此明显，让人无法相信之前没被人发现过……也许是因为某些特殊理由才始终没得到修复”。 事实上，我们都知道目前存在一些对开源基础软件进行安全扫描的大型项目，例如Google的OSS；同时，仍然存活的开源项目也越来越注重自身代码发布前的安全扫描，Fortify、Coverity的扫描也成为很多项目和平台的标配。在这样一些眼睛注视下，为什么还有这样的问题？我认为就这个具体事例来说，可能有如下两个因素： ·上游已死。仍然在被维护的代码，存在版本更迭，也存在外界的持续关注、漏洞报告和修复、开发的迭代，对于负责人的开发者，持续跟进、评估、同步代码的改动是可能的。但是一旦一份代码走完了生命周期，就像一段史实一样会很少再被改动。 ·对第三方上游代码的无条件信任。我们很多人都有过基础组件、中间件的开发经历，不乏有人使用Coverity开启全部规则进行代码扫描、严格修复所有提示的问题甚至编程规范warning；报告往往很长，其中也包括有源码形式包含的第三方代码中的问题。但是，我们一方面倾向于认为这些被广泛使用的代码不应存在问题（不然早就被人挖过了），一方面考虑这些引用的代码往往是组件或库的形式被使用，应该有其上下文才能认定是否确实有可被利用的漏洞条件，现在单独扫描这部分代码一般出来的都是误报。所以这些代码的问题都容易被忽视。 但是透过这个具体例子，再延伸思考相关的实践，这里最根本的问题可以总结为一个模式： 复制粘贴风险。复制粘贴并不简单意味着剽窃，实际是当前软件领域、互联网行业发展的基础模式，但其中有一些没人能尝试解决的问题： ·在传统代码领域，如C代码中，对第三方代码功能的复用依赖，往往通过直接进行库的引入实现，第三方代码独立而完整，也较容易进行整体更新；这是最简单的情况，只需要所有下游使用者保证仅使用官方版本，跟进官方更新即可；但在实践中很难如此贯彻，这是下节讨论的问题。 ·有些第三方发布的代码，模式就是需要被源码形式包含到其他项目中进行统一编译使用（例如腾讯的开源Json解析库RapidJSON，就是纯C++头文件形式）。在开源领域有如GPL等规约对此进行规范，下游开发者遵循协议，引用代码，强制或可选地显式保留其GPL声明，可以进行使用和更改。这样的源码依赖关系，结合规范化的changelog声明代码改动，侧面也是为开发过程中跟进考虑。但是一个成型的产品，比如企业自有的服务端底层产品、中间件，新版本的发版更新是复杂的过程，开发者在旧版本仍然“功能正常”的情况下往往倾向于不跟进新版本；而上游代码如果进行安全漏洞修复，通常也都只在其最新版本代码中改动，安全修复与功能迭代并存，如果没有类似Linux发行版社区的努力，旧版本代码完全没有干净的安全更新patch可用。 ·在特定场景下，有些开发实践可能不严格遵循开源代码协议限定，引入了GPL等协议保护的代码而不做声明（以规避相关责任），丢失了引入和版本的信息跟踪；在另一些场景下，可能存在对开源代码进行大刀阔斧的修改、剪裁、定制，以符合自身业务的极端需求，但是过多的修改、人员的迭代造成与官方代码严重的失同步，丧失可维护性。 ·更一般的情况是，在开发中，开发者个体往往心照不宣的存在对网上代码文件、代码片段的复制-粘贴操作。被参考的代码，可能有上述的开源代码，也可能有各种Github作者练手项目、技术博客分享的代码片段、正式开源项目仅用来说明用法的不完备示例代码。这些代码的引入完全无迹可寻，即便是作者自己也很难解释用了什么。这种情况下，上面两条认定的那些与官方安全更新失同步的问题同样存在，且引入了独特的风险：被借鉴的代码可能只是原作者随手写的、仅仅是功能成立的片段，甚至可能是恶意作者随意散布的有安全问题的代码。由此，问题进入了最大的发散空间。 在Synopsys下BLACKDUCK软件之前发布的《2018 Open Source Security and Risk Analysis Report》中分析，96%的应用中包含有开源组件和代码，开源代码在应用全部代码中的占比约为57%，78%的应用中在引用的三方开源代码中存在历史漏洞。也就是说，现在互联网上所有厂商开发的软件、应用，其开发人员自己写的代码都是一少部分，多数都是借鉴来的。而这还只是可统计、可追溯的；至于上面提到的非规范的代码引用，如果也纳入进来考虑，三方代码占应用中的比例会上升到多少？曾经有分析认为至少占80%，我们只期望不会更高。 Ⅱ. 从碎片到乱刃：OpenSSH在野后门一览 在进行基础软件梳理时，回忆到反病毒安全软件提供商ESET在2018年十月发布的一份白皮书《THE DARK SIDE OF THE FORSSHE: A landscape of OpenSSH backdoors》。其站在一个具有广泛用户基础的软件提供商角度，给出了一份分析报告，数据和结论超出我们对于当前基础软件使用全景的估量。以下以我的角度对其中一方面进行解读。 一些必要背景 SSH的作用和重要性无需赘言；虽然我们站在传统互联网公司角度，可以认为SSH是通往生产服务器的生命通道，但当前多样化的产业环境已经不止于此（如之前libssh事件中，不幸被我言中的，SSH在网络设备、IoT设备上（如f5）的广泛使用）。 OpenSSH是目前绝大多数SSH服务端的基础软件，有完备的开发团队、发布规范、维护机制，本身是靠谱的。如同绝大多数基础软件开源项目的做法，OpenSSH对漏洞有及时的响应，针对最新版本代码发出安全补丁，但是各大Linux发行版使用的有各种版本的OpenSSH，这些社区自行负责将官方开发者的安全补丁移植到自己系统搭载的低版本代码上。天空彩 白皮书披露的现状 如果你是一个企业的运维管理人员，需要向企业生产服务器安装OpenSSH或者其它基础软件，最简单的方式当然是使用系统的软件管理安装即可。但是有时候，出于迁移成本考虑，可能企业需要在一个旧版本系统上，使用较新版本的OpenSSL、OpenSSH等基础软件，这些系统不提供，需要自行安装；或者需要一个某有种特殊特性的定制版本。这时，可能会选择从某些rpm包集中站下载某些不具名第三方提供的现成的安装包，或者下载非官方的定制化源码本地编译后安装，总之从这里引入了不确定性。 这种不确定性有多大？我们粗估一下，似乎不应成为问题。但这份白皮书给我们看到了鲜活的数据。 ESET研究人员从OpenSSH的一次历史大规模Linux服务端恶意软件Windigo中获得启示，采用某种巧妙的方式，面向在野的服务器进行数据采集，主要是系统与版本、安装的OpenSSH版本信息以及服务端程序文件的一个特殊签名。整理一个签名白名单，包含有所有能搜索到的官方发布二进制版本、各大Linux发行版本各个版本所带的程序文件版本，将这些标定为正常样本进行去除。最终结论是： ·共发现了几百个非白名单版本的OpenSSH服务端程序文件ssh和sshd； ·分析这些样本，将代码部分完全相同，仅仅是数据和配置不同的合并为一类，且分析判定确认有恶意代码的，共归纳为 21个各异的恶意OpenSSH家族； ·在21个恶意家族中，有12个家族在10月份时完全没有被公开发现分析过；而剩余的有一部分使用了历史上披露的恶意代码样本，甚至有源代码； ·所有恶意样本的实现，从实现复杂度、代码混淆和自我保护程度到代码特征有很大跨度的不同，但整体看，目的以偷取用户凭证等敏感信息、回连外传到攻击者为主，其中有的攻击者回连地址已经存在并活跃数年之久； ·这些后门的操控者，既有传统恶意软件黑产人员，也有APT组织； ·所有恶意软件或多或少都在被害主机上有未抹除的痕迹。ESET研究者尝试使用蜜罐引诱出攻击者，但仍有许多未解之谜。这场对抗，仍未取胜。 白皮书用了大篇幅做技术分析报告，此处供细节分析，不展开分析，以下为根据恶意程序复杂度描绘的21个家族图谱： 问题思考 问题引入的可能渠道，我在开头进行了一点推测，主要是由人的原因切入的，除此以外，最可能的是恶意攻击者在利用各种方法入侵目标主机后，主动替换了目标OpenSSH为恶意版本，从而达成攻击持久化操作。但是这些都是止血的安全运维人员该考虑的事情；关键问题是，透过表象，这显露了什么威胁形式？ 这个问题很好回答，之前也曾经反复说过：基础软件碎片化。 如上一章节简单提到，在开发过程中有各种可能的渠道引入开发者不完全了解和信任的代码；在运维过程中也是如此。二者互相作用，造成了软件碎片化的庞杂现状。在企业内部，同一份基础软件库，可能不同的业务线各自定制一份，放到企业私有软件仓库源中，有些会有人持续更新供自己产品使用，有些由系统软件基础设施维护人员单独维护，有些则可能是开发人员临时想起来上传的，他们自己都不记得；后续用到的这个基础软件的开发和团队，在这个源上搜索到已有的库，很大概率会倾向于直接使用，不管来源、是否有质量背书等。长此以往问题会持续发酵。而我们开最坏的脑洞，是否可能有黑产人员入职到内部，提交个恶意基础库之后就走人的可能？现行企业安全开发流程中审核机制的普遍缺失给这留下了空位。 将源码来源碎片化与二进制使用碎片化并起来考虑，我们不难看到一个远远超过OpenSSH事件威胁程度的图景。但这个问题不是仅仅靠开发阶段规约、运维阶段规范、企业内部管控、行业自查、政府监管就可以根除的，最大的问题归根结底两句话： 不可能用一场战役对抗持续威胁；不可能用有限分析对抗无限未知。 Ⅲ. 从自信到自省：RHEL、CentOS backport版本BIND漏洞 2018年12月20日凌晨，在备战冬至的软件供应链安全大赛决赛时，我注意到漏洞预警平台捕获的一封邮件。但这不是一个漏洞初始披露邮件，而是对一个稍早已披露的BIND在RedHat、CentOS发行版上特定版本的1day漏洞CVE-2018-5742，由BIND的官方开发者进行额外信息澄(shuǎi)清(guō)的邮件。 一些必要背景 关于BIND 互联网的一个古老而基础的设施是DNS，这个概念在读者不应陌生。而BIND“是现今互联网上最常使用的DNS软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会负责开发与维护参考。”所以BIND的基础地位即是如此，因此也一向被大量白帽黑帽反复测试、挖掘漏洞，其开发者大概也一直处在紧绷着应对的处境。 关于ISC和RedHat 说到开发者，上面提到BIND的官方开发者是互联网系统协会（ISC）。ISC是一个老牌非营利组织，目前主要就是BIND和DHCP基础设施的维护者。而BIND本身如同大多数历史悠久的互联网基础开源软件，是4个UCB在校生在DARPA资助下于1984年的实验室产物，直到2012年由ISC接管。 那么RedHat在此中是什么角色呢？这又要提到我之前提到的Linux发行版和自带软件维护策略。Red Hat Enterprise Linux（RHEL）及其社区版CentOS秉持着稳健的软件策略，每个大的发行版本的软件仓库，都只选用最必要且质量久经时间考验的软件版本，哪怕那些版本实在是老掉牙。这不是一种过分的保守，事实证明这种策略往往给RedHat用户在最新漏洞面前提供了保障——代码总是跑得越少，潜在漏洞越多。 但是这有两个关键问题。一方面，如果开源基础软件被发现一例有历史沿革的代码漏洞，那么官方开发者基本都只为其最新代码负责，在当前代码上推出修复补丁。另一方面，互联网基础设施虽然不像其上的应用那样爆发性迭代，但依然持续有一些新特性涌现，其中一些是必不可少的，但同样只在最新代码中提供。两个刚需推动下，各Linux发行版对长期支持版本系统的软件都采用一致的策略，即保持其基础软件在一个固定的版本，但对于这些版本软件的最新漏洞、必要的最新软件特性，由发行版维护者将官方开发者最新代码改动“向后移植”到旧版本代码中，即backport。这就是基础软件的“官宣”碎片化的源头。 讲道理，Linux发行版维护者与社区具有比较靠谱的开发能力和监督机制，backport又基本就是一些复制粘贴工作，应当是很稳当的……但真是如此吗？ CVE-2018-5742漏洞概况 CVE-2018-5742是一个简单的缓冲区溢出类型漏洞，官方评定其漏洞等级moderate，认为危害不大，漏洞修复不积极，披露信息不多，也没有积极给出代码修复patch和新版本rpm包。因为该漏洞仅在设置DEBUG_LEVEL为10以上才会触发，由远程攻击者构造畸形请求造成BIND服务崩溃，在正常的生产环境几乎不可能具有危害，RedHat官方也只是给出了用户自查建议。 这个漏洞只出现在RHEL和CentOS版本7中搭载的BIND 9.9.4-65及之后版本。RedHat同ISC的声明中都证实，这个漏洞的引入原因，是RedHat在尝试将BIND 9.11版本2016年新增的NTA机制向后移植到RedHat 7系中固定搭载的BIND 9.9版本代码时，偶然的代码错误。NTA是DNS安全扩展（DNSSEC）中，用于在特定域关闭DNSSEC校验以避免不必要的校验失败的机制；但这个漏洞不需要对NTA本身有进一步了解。 漏洞具体分析 官方没有给出具体分析，但根据CentOS社区里先前有用户反馈的bug，我得以很容易还原漏洞链路并定位到根本原因。 若干用户共同反馈，其使用的BIND 9.9.4-RedHat-9.9.4-72.el7发生崩溃（coredump），并给出如下的崩溃时调用栈backtrace： 这个调用过程的逻辑为，在9 dns_message_logfmtpacket函数判断当前软件设置是否DEBUG_LEVEL大于10，若是，对用户请求数据包做日志记录，先后调用8 dns_message_totext、7 dns_message_sectiontotext、6 dns_master_rdatasettotext、5 rdataset_totext将请求进行按协议分解分段后写出。 由以上关键调用环节，联动RedHat在9.9.4版本BIND源码包中关于引入NTA特性的源码patch，进行代码分析，很快定位到问题产生的位置，在上述backtrace中的5，masterdump.c文件rdataset_totext函数。漏洞相关代码片段中，RedHat进行backport后，这里引入的代码为： 这里判断对于请求中的注释类型数据，直接通过isc_buffer_putstr宏对缓存进行操作，在BIND工程中自定义维护的缓冲区结构对象target上，附加一字节字符串（一个分号）。而漏洞就是由此产生：isc_buffer_putstr中不做缓冲区边界检查保证，这里在缓冲区已满情况下将造成off-by-one溢出，并触发了缓冲区实现代码中的assertion。 而ISC上游官方版本的代码在这里是怎么写的呢？找到ISC版本BIND 9.11代码，这里是这样的： 这里可以看到，官方代码在做同样的“附加一个分号”这个操作时，审慎的使用了做缓冲区剩余空间校验的str_totext函数，并额外做返回值成功校验。而上述提到的str_totext函数与RETERR宏，在移植版本的masterdump.c中，RedHat开发者也都做了保留。但是，查看代码上下文发现，在RedHat开发者进行代码移植过程中，对官方代码进行了功能上的若干剪裁，包括一些细分数据类型记录的支持；而这里对缓冲区写入一字节，也许开发者完全没想到溢出的可能，所以自作主张地简化了代码调用过程。 问题思考 这个漏洞本身几乎没什么危害，但是背后足以引起思考。 没有人在“借”别人代码时能不出错 不同于之前章节提到的那种场景——将代码文件或片段复制到自己类似的代码上下文借用——backport作为一种官方且成熟的做法，借用的代码来源、粘贴到的代码上下文，是具有同源属性的，而且开发者一般是追求稳定性优先的社区开发人员，似乎质量应该有足够保障。但是这里的关键问题是：代码总要有一手、充分的语义理解，才能有可信的使用保障；因此，只要是处理他人的代码，因为不够理解而错误使用的风险，只可能减小，没办法消除。 如上分析，本次漏洞的产生看似只是做代码移植的开发者“自作主张”之下“改错了”。但是更广泛且可能的情况是，原始开发者在版本迭代中引入或更新大量基础数据结构、API的定义，并用在新的特性实现代码中；而后向移植开发人员仅需要最小规模的功能代码，所以会对增量代码进行一定规模的修改、剪裁、还原，以此适应旧版本基本代码。这些过程同样伴随着第三方开发人员不可避免的“望文生义”，以及随之而来的风险。后向移植操作也同样助长了软件碎片化过程，其中每一个碎片都存在这样的问题；每一个碎片在自身生命周期也将有持续性影响。 多级复制粘贴无异于雪上加霜 这里简单探讨的是企业通行的系统和基础软件建设实践。一些国内外厂商和社区发布的定制化Linux发行版，本身是有其它发行版，如CentOS特定版本渊源的，在基础软件上即便同其上游发行版最新版本间也存在断层滞后。RedHat相对于基础软件开发者之间已经隔了一层backport，而我们则人为制造了二级风险。 在很多基础而关键的软件上，企业系统基础设施的维护者出于与RedHat类似的初衷，往往会决定自行backport一份拷贝；通过早年心脏滴血事件的洗礼，即暴露出来OpenSSL一个例子。无论是需要RHEL还没来得及移植的新版本功能特性，还是出于对特殊使用上下文场景中更高执行效率的追求，企业都可能自行对RHEL上基础软件源码包进行修改定制重打包。这个过程除了将风险幂次放大外，也进一步加深了代码的不可解释性（包括基础软件开发人员流动性带来的不可解释）。 Ⅳ. 从武功到死穴：从systemd-journald信息泄露一窥API误用 1月10日凌晨两点，漏洞预警平台爬收取一封漏洞披露邮件。披露者是Qualys，那就铁定是重型发布了。最后看披露漏洞的目标，systemd？这就非常有意思了。 一些必要背景 systemd是什么，不好简单回答。Linux上面软件命名，习惯以某软件名后带个‘d’表示后台守护管理程序；所以systemd就可以说是整个系统的看守吧。而即便现在描述了systemd是什么，可能也很快会落伍，因为其初始及核心开发者Lennart Poettering（供职于Red Hat）描述它是“永无开发完结完整、始终跟进技术进展的、统一所有发行版无止境的差异”的一种底层软件。笼统讲有三个作用：中央化系统及设置管理；其它软件开发的基础框架；应用程序和系统内核之间的胶水。如今几乎所有Linux发行版已经默认提供systemd，包括RHEL/CentOS 7及后续版本。总之很基础、很底层、很重要就对了。systemd本体是个主要实现init系统的框架，但还有若干关键组件完成其它工作；这次被爆漏洞的是其journald组件，是负责系统事件日志记录的看守程序。 额外地还想简单提一句Qualys这个公司。该公司创立于1999年，官方介绍为信息安全与云安全解决方案企业，to B的安全业务非常全面，有些也是国内企业很少有布局的方面；例如上面提到的涉及碎片化和代码移植过程的历史漏洞移动，也在其漏洞管理解决方案中有所体现。但是我们对这家公司粗浅的了解来源于其安全研究团队近几年的发声，这两年间发布过的，包括有『stack clash』、『sudo get_tty_name提权』、『OpenSSH信息泄露与堆溢出』、『GHOST：glibc gethostbyname缓冲区溢出』等大新闻（仅截至2017年年中）。从中可见，这个研究团队专门啃硬骨头，而且还总能开拓出来新的啃食方式，往往爆出来一些别人没想到的新漏洞类型。从这个角度，再联想之前刷爆朋友圈的《安全研究者的自我修养》所倡导的“通过看历史漏洞、看别人的最新成果去举一反三”的理念，可见差距。 CVE-2018-16866漏洞详情 这次漏洞披露，打包了三个漏洞： ·16864和16865是内存破坏类型 ·16866是信息泄露 ·而16865和16866两个漏洞组和利用可以拿到root shell。 漏洞分析已经在披露中写的很详细了，这里不复述；而针对16866的漏洞成因来龙去脉，Qualys跟踪的结果留下了一点想象和反思空间，我们来看一下。 漏洞相关代码片段是这样的（漏洞修复前）： 读者可以先肉眼过一遍这段代码有什么问题。实际上我一开始也没看出来，向下读才恍然大悟。 这段代码中，外部信息输入通过buf传入做记录处理。输入数据一般包含有空白字符间隔，需要分隔开逐个记录，有效的分隔符包括空格、制表符、回车、换行，代码中将其写入常量字符串；在逐字符扫描输入数据字符串时，将当前字符使用strchr在上述间隔符字符串中检索是否匹配，以此判断是否为间隔符；在240行，通过这样的判断，跳过记录单元字符串的头部连续空白字符。 但是问题在于，strchr这个极其基础的字符串处理函数，对于C字符串终止字符'\0'的处理上有个坑：'\0'也被认为是被检索字符串当中的一个有效字符。所以在240行，当当前扫描到的字符为字符串末尾的NULL时，strchr返回的是WHITESPACE常量字符串的终止位置而非NULL，这导致了越界。 看起来，这是一个典型的问题：API误用（API mis-use），只不过这个被误用的库函数有点太基础，让我忍不住想是不是还会有大量的类似漏洞……当然也反思我自己写的代码是不是也有同样情况，然而略一思考就释然了——我那么笨的代码都用for循环加if判断了:) 漏洞引入和消除历史 有意思的是，Qualys研究人员很贴心地替我做了一步漏洞成因溯源，这才是单独提这个漏洞的原因。漏洞的引入是在2015年的一个commit中： 在GitHub中，定位到上述2015年的commit信息，这里commit的备注信息为： journald: do not strip leading whitespace from messages. Keep leading whitespace for compatibility with older syslog implementations. Also useful when piping formatted output to the logger command. Keep removing trailing whitespace. OK，看起来是一个兼容性调整，对记录信息不再跳过开头所有连续空白字符，只不过用strchr的简洁写法比较突出开发者精炼的开发风格（并不），说得过去。 之后在2018年八月的一个当时尚未推正式版的另一次commit中被修复了，先是还原成了ec5ff4那次commit之前的写法，然后改成了加校验的方式： 虽然Qualys研究者认为上述的修改是“无心插柳”的改动，但是在GitHub可以看到，a6aadf这次commit是因为有外部用户反馈了输入数据为单个冒号情况下journald堆溢出崩溃的issue，才由开发者有目的性地修复的；而之后在859510这个commit再次改动回来，理由是待记录的消息都是使用单个空格作为间隔符的，而上一个commit粗暴地去掉了这种协议兼容性特性。 如果没有以上纠结的修改和改回历史，也许我会倾向于怀疑，在最开始漏洞引入的那个commit，既然改动代码没有新增功能特性、没有解决什么问题（毕竟其后三年，这个改动的代码也没有被反映issue），也并非出于代码规范等考虑，那么这么轻描淡写的一次提交，难免有人为蓄意引入漏洞的嫌疑。当然，看到几次修复的原因，这种可能性就不大了，虽然大家仍可以保留意见。但是抛开是否人为这个因素，单纯从代码的漏洞成因看，一个传统但躲不开的问题仍值得探讨：API误用。 API误用：程序员何苦为难程序员 如果之前的章节给读者留下了我反对代码模块化和复用的印象，那么这里需要正名一下，我们认可这是当下开发实践不可避免的趋势，也增进了社会开发速度。而API的设计决定了写代码和用代码的双方“舒适度”的问题，由此而来的API误用问题，也是一直被当做单纯的软件工程课题讨论。在此方面个人并没有什么研究，自然也没办法系统地给出分类和学术方案，只是谈一下自己的经验和想法。 一篇比较新的学术文章总结了API误用的研究，其中一个独立章节专门分析Java密码学组件API误用的实际，当中引述之前论文认为，密码学API是非常容易被误用的，比如对期望输入数据（数据类型，数据来源，编码形式）要求的混淆，API的必需调用次序和依赖缺失（比如缺少或冗余多次调用了初始化函数、主动资源回收函数）等。凑巧在此方面我有一点体会：曾经因为业务方需要，需要使用C++对一个Java的密码基础中间件做移植。Java对密码学组件支持，有原生的JDK模块和权威的BouncyCastle包可用；而C/C++只能使用第三方库，考虑到系统平台最大兼容和最小代码量，使用Linux平台默认自带的OpenSSL的密码套件。但在开发过程中感受到了OpenSSL满满的恶意：其中的API设计不可谓不反人类，很多参数没有明确的说明（比如同样是表示长度的函数参数，可能在不同地方分别以字节/比特/分组数为计数单位）；函数的线程安全没有任何解释标注，需要自行试验；不清楚函数执行之后，是其自行做了资源释放还是需要有另外API做gc，不知道资源释放操作时是否规规矩矩地先擦除后释放……此类问题不一而足，导致经过了漫长的测试之后，这份中间件才提供出来供使用。而在业务场景中，还会存在比如其它语言调用的情形，这些又暴露出来OpenSSL API误用的一些完全无从参考的问题。这一切都成为了噩梦；当然这无法为我自己开解是个不称职开发的指责，但仅就OpenSSL而言其API设计之恶劣也是始终被人诟病的问题，也是之后其他替代者宣称改进的地方。 当然，问题是上下游都脱不了干系的。我们自己作为高速迭代中的开发人员，对于二方、三方提供的中间件、API，又有多少人能自信地说自己仔细、认真地阅读过开发指南和API、规范说明呢？做过通用产品技术运营的朋友可能很容易理解，自己产品的直接用户日常抛出不看文档的愚蠢问题带来的困扰。对于密码学套件，这个问题还好办一些，毕竟如果在没有背景知识的情况下对API望文生义地一通调用，绝大多数情况下都会以抛异常形式告终；但还是有很多情况，API误用埋下的是长期隐患。 不是所有API误用情形最终都有机会发展成为可利用的安全漏洞，但作为一个由人的因素引入的风险，这将长期存在并困扰软件供应链（虽然对安全研究者、黑客与白帽子是很欣慰的事情）。可惜，传统的白盒代码扫描能力，基于对代码语义的理解和构建，但是涉及到API则需要预先的抽象，这一点目前似乎仍然是需要人工干预的事情；或者轻量级一点的方案，可以case by case地分析，为所有可能被误用的API建模并单独扫描，这自然也有很强局限性。在一个很底层可信的开发者还对C标准库API存在误用的现实内，我们需要更多的思考才能说接下来的解法。 Ⅴ. 从规则到陷阱：NASA JIRA误配置致信息泄露血案 软件的定义包括了代码组成的程序，以及相关的配置、文档等。当我们说软件的漏洞、风险时，往往只聚焦在其中的代码中；关于软件供应链安全风险，我们的比赛、前面分析的例子也都聚焦在了代码的问题；但是真正的威胁都来源于不可思议之处，那么代码之外有没有可能存在来源于上游的威胁呢？这里就借助实例来探讨一下，在“配置”当中可能栽倒的坑。 引子：发不到500英里以外的邮件？ 让我们先从一个轻松愉快的小例子引入。这个例子初见于Linux中国的一篇译文。 简单说，作者描述了这么一个让人啼笑皆非的问题：单位的邮件服务器发送邮件，发送目标距离本地500英里范围之外的一律失败，邮件就像悠悠球一样只能飞出一定距离。这个问题本身让描述者感到尴尬，就像一个技术人员被老板问到“为什么从家里笔记本上Ctrl-C后不能在公司台式机上Ctrl-V”一样。 经过令人窒息的分析操作后，笔者定位到了问题原因：笔者作为负责的系统管理员，把SunOS默认安装的Senmail从老旧的版本5升级到了成熟的版本8，且对应于新版本诸多的新特性进行了对应配置，写入配置文件sendmail.cf；但第三方服务顾问在对单位系统进行打补丁升级维护时，将系统软件“升级”到了系统提供的最新版本，因此将Sendmail实际回退到了版本5，却为了软件行为一致性，原样保留了高版本使用的配置文件。但Sendmail并没有在大版本间保证配置文件兼容性，这导致很多版本5所需的配置项不存在于保留下来的sendmail.cf文件中，程序按默认值0处理；最终引起问题的就是，邮件服务器与接收端通信的超时时间配置项，当取默认配置值0时，邮件服务器在1个单位时间（约3毫秒）内没有收到网络回包即认为超时，而这3毫秒仅够电信号打来回飞出500英里。 这个“故事”可能会给技术人员一点警醒，错误的配置会导致预期之外的软件行为，但是配置如何会引入软件供应链方向的安全风险呢？这就引出了下一个重磅实例。 JIRA配置错误致NASA敏感信息泄露案例 我们都听过一个事情，马云在带队考察美国公司期间问Google CEO Larry Page自视谁为竞争对手，Larry的回答是NASA，因为最优秀的工程师都被NASA的梦想吸引过去了。由此我们显然能窥见NASA的技术水位之高，这样的人才团队大概至少是不会犯什么低级错误的。 但也许需要重新定义“低级错误”……1月11日一篇技术文章披露，NASA某官网部署使用的缺陷跟踪管理系统JIRA存在错误的配置，可分别泄漏内部员工（JIRA系统用户）的全部用户名和邮件地址，以及内部项目和团队名称到公众，如下： 问题的原因解释起来也非常简单：JIRA系统的过滤器和配置面板中，对于数据可见性的配置选项分别选定为All users和Everyone时，系统管理人员想当然地认为这意味着将数据对所有“系统用户”开放查看，但是JIRA的这两个选项的真实效果逆天，是面向“任意人”开放，即不限于系统登录用户，而是任何查看页面的人员。看到这里，我不厚道地笑了……“All users”并不意味着“All ‘users’”，意不意外，惊不惊喜？ 但是这种字面上把戏，为什么没有引起NASA工程师的注意呢，难道这样逆天的配置项没有在产品手册文档中加粗标红提示吗？本着为JIRA产品设计找回尊严的态度，我深入挖掘了一下官方说明，果然在Atlassian官方的一份confluence文档（看起来更像是一份增补的FAQ）中找到了相关说明： 所有未登录访客访问时，系统默认认定他们是匿名anonymous用户，所以各种权限配置中的all users或anyone显然应该将匿名用户包括在内。在7.2及之后版本中，则提供了“所有登录用户”的选项。 可以说是非常严谨且贴心了。比较讽刺的是，在我们的软件供应链安全大赛·C源代码赛季期间，我们设计圈定的恶意代码攻击目标还包括JIRA相关的敏感信息的窃取，但是却想不到有这么简单方便的方式，不动一行代码就可以从JIRA中偷走数据。 软件的使用，你“配”吗？ 无论是开放的代码还是成型的产品，我们在使用外部软件的时候，都是处于软件供应链下游的消费者角色，为了要充分理解上游开发和产品的真实细节意图，需要我们付出多大的努力才够“资格”？ 上一章节我们讨论过源码使用中必要细节信息缺失造成的“API误用”问题，而软件配置上的“误用”问题则复杂多样得多。从可控程度上讨论，至少有这几种因素定义了这个问题： ·软件用户对必要配置的现有文档缺少了解。这是最简单的场景，但又是完全不可避免的，这一点上我们所有有开发、产品或运营角色经验的应该都曾经体会过向不管不顾用户答疑的痛苦，而所有软件使用者也可以反省一下对所有软件的使用是否都以完整细致的文档阅读作为上手的准备工作，所以不必多说。 ·软件拥有者对配置条目缺少必要明确说明文档。就JIRA的例子而言，将NASA工程师归为上一条错误有些冤枉，而将JIRA归为这条更加合适。在边角但重要问题上的说明通过社区而非官方文档形式发布是一种不负责任的做法，但未引发安全事件的情况下还有多少这样的问题被默默隐藏呢？我们没办法要求在使用软件之前所有用户将软件相关所有文档、社区问答实现全部覆盖。这个问题范围内一个代表性例子是对配置项的默认值以及对应效果的说明缺失。 ·配置文件版本兼容性带来的误配置和安全问题。实际上，上面的SunOS Sendmail案例足以点出这个问题的存在性，但是在真实场景下，很可能不会以这么戏剧性形式出现。在企业的系统运维中，系统的版本迭代常见，但为软件行为一致性，配置的跨版本迁移是不可避免的操作；而且软件的更新迭代也不只会由系统更新推动，还有大量出于业务性能要求而主动进行的定制化升级，对于中小企业基础设施建设似乎是一个没怎么被提及过的问题。 ·配置项组合冲突问题。尽管对于单个配置项可能明确行为与影响，但是特定的配置项搭配可能造成不可预知的效果。这完全有可能是由于开发者与用户在信息不对等的情况下产生：开发者认为用户应该具有必需的背景知识，做了用户应当具备规避配置冲突能力的假设。一个例子是，对称密码算法在使用ECB、CBC分组工作模式时，从密码算法上要求输入数据长度必须是分组大小的整倍数，但如果用户搭配配置了秘钥对数据不做补齐（nopadding），则引入了非确定性行为：如果密码算法库对这种组合配置按某种默认补齐方式操作数据则会引起歧义，但如果在算法库代码层面对这种组合抛出错误则直接影响业务。 ·程序对配置项处理过程的潜在暗箱操作。这区别于简单的未文档化配置项行为，仅特指可能存在的蓄意、恶意行为。从某种意义上，上述“All users”也可以认为是这样的一种陷阱，通过浅层次暗示，引导用户做出错误且可能引起问题的配置。另一种情况是特定配置组合情况下触发恶意代码的行为，这种触发条件将使恶意代码具有规避检测的能力，且在用户基数上具有一定概率的用户命中率。当然这种情况由官方开发者直接引入的可能性很低，但是在众包开发的情况下如果存在，那么扫描方案是很难检测的。 Ⅵ. 从逆流到暗流：恶意代码溯源后的挑战 如果说前面所说的种种威胁都是面向关键目标和核心系统应该思考的问题，那么最后要抛出一个会把所有人拉进赛场的理由。除了前面所有那些在软件供应链下游被动污染受害的情况，还有一种情形：你有迹可循的代码，也许在不经意间会“反哺”到黑色产业链甚至特殊武器中；而现在研究用于对程序进行分析和溯源的技术，则会让你陷入百口莫辩的境地。 案例：黑产代码模块溯源疑云 1月29日，猎豹安全团队发布技术分析通报文章《电信、百度客户端源码疑遭泄漏，驱魔家族窃取隐私再起波澜》，矛头直指黑产上游的恶意信息窃取代码模块，认定其代码与两方产品存在微妙的关联：中国电信旗下“桌面3D动态天气”等多款软件，以及百度旗下“百度杀毒”等软件（已不可访问）。 文章中举证有三个关键点。 首先最直观的，是三者使用了相同的特征字符串、私有文件路径、自定义内部数据字段格式； 其次，在关键代码位置，三者在二进制程序汇编代码层面具有高度相似性； 最终，在一定范围的非通用程序逻辑上，三者在经过反汇编后的代码语义上显示出明显的雷同，并提供了如下两图佐证（图片来源）： 文章指出的涉事相关软件已经下线，对于上述样本文件的相似度试验暂不做复现，且无法求证存在相似、疑似同源的代码在三者中占比数据。对于上述指出的代码雷同现象，猎豹安全团队认为： 我们怀疑该病毒模块的作者通过某种渠道(比如“曾经就职”)，掌握有中国电信旗下部分客户端/服务端源码，并加以改造用于制作窃取用户隐私的病毒，另外在该病毒模块的代码中，我们还发现“百度”旗下部分客户端的基础调试日志函数库代码痕迹，整个“驱魔”病毒家族疑点重重，其制作传播背景愈发扑朔迷离。 这样的推断，固然有过于直接的依据（例如三款代码中均使用含有“baidu”字样的特征注册表项）；但更进一步地，需要注意到，三个样本在所指出的代码位置，具有直观可见的二进制汇编代码结构的相同，考虑到如果仅仅是恶意代码开发者先逆向另外两份代码后借鉴了代码逻辑，那么在面临反编译、代码上下文适配重构、跨编译器和选项的编译结果差异等诸多不确定环节，仍能保持二进制代码的雷同，似乎确实是只有从根本上的源代码泄漏（抄袭）且保持相同的开发编译环境才能成立。 但是我们却又无法做出更明确的推断。这一方面当然是出于严谨避免过度解读；而从另一方面考虑，黑产代码的一个关键出发点就是“隐藏自己”，而这里居然如此堂而皇之地照搬了代码，不但没有进行任何代码混淆、变形，甚至没有抹除疑似来源的关键字符串，如果将黑产视为智商在线的对手，那这里背后是否有其它考量，就值得琢磨了。 代码的比对、分析、溯源技术水准 上文中的安全团队基于大量样本和粗粒度比对方法，给出了一个初步的判断和疑点。那么是否有可能获得更确凿的分析结果，来证实或证伪同源猜想呢？ 无论是源代码还是二进制，代码比对技术作为一种基础手段，在软件供应链安全分析上都注定仍然有效。在我们的软件供应链安全大赛期间，针对PE二进制程序类型的题目，参赛队伍就纷纷采用了相关技术手段用于目标分析，包括：同源性分析，用于判定与目标软件相似度最高的同软件官方版本；细粒度的差异分析，用于尝试在忽略编译差异和特意引入的混淆之外，定位特意引入的恶意代码位置。当然，作为比赛中针对性的应对方案，受目标和环境引导约束，这些方法证明了可行性，却难以保证集成有最新技术方案。那么做一下预言，在不计入情报辅助条件下，下一代的代码比对将能够到达什么水准？ 这里结合近一年和今年内，已发表和未发表的学术领域顶级会议的相关文章来简单展望： ·针对海量甚至全量已知源码，将可以实现准确精细化的“作者归属”判定。在ACM CCS‘18会议上曾发表的一篇文章《Large-Scale and Language-Oblivious Code Authorship Identification》，描述了使用RNN进行大规模代码识别的方案，在圈定目标开发者，并预先提供每个开发者的5-7份已知的代码文件后，该技术方案可以很有效地识别大规模匿名代码仓库中隶属于每个开发者的代码：针对1600个Google Code Jam开发者8年间的所有代码可以实现96%的成功识别率，而针对745个C代码开发者于1987年之后在GitHub上面的全部公开代码仓库，识别率也高达94.38%。这样的结果在当下的场景中，已经足以实现对特定人的代码识别和跟踪（例如，考虑到特定开发人员可能由于编码习惯和规范意识，在时间和项目跨度上犯同样的错误）；可以预见，在该技术方向上，完全可以期望摆脱特定已知目标人的现有数据集学习的过程，并实现更细粒度的归属分析，例如代码段、代码行、提交历史。 ·针对二进制代码，更准确、更大规模、更快速的代码主程序分析和同源性匹配。近年来作为一项程序分析基础技术研究，二进制代码相似性分析又重新获得了学术界和工业界的关注。在2018年和2019（已录用）的安全领域四大顶级会议上，每次都会有该方向最新成果的展示，如S&P‘2019上录用的《Asm2Vec: Boosting Static Representation Robustness for Binary Clone Search against Code Obfuscation and Compiler Optimization》，实现无先验知识的条件下的最优汇编代码级别克隆检测，针对漏洞库的漏洞代码检测可实现0误报、100%召回。而2018年北京HITB会议上，Google Project Zero成员、二进制比对工具BinDiff原始作者Thomas Dullien，探讨了他借用改造Google自家SimHash算法思想，用于针对二进制代码控制流图做相似性检测的尝试和阶段结果；这种引入规模数据处理的思路，也可期望能够在目前其他技术方案大多精细化而低效的情况下，为高效、快速、大规模甚至全量代码克隆检测勾出未来方案。 ·代码比对方案对编辑、优化、变形、混淆的对抗。近年所有技术方案都以对代码“变种”的检测有效性作为关键衡量标准，并一定程度上予以保证。上文CCS‘18论文工作，针对典型源代码混淆（如Tigress）处理后的代码，大规模数据集上可有93.42%的准确识别率；S&P‘19论文针对跨编译器和编译选项、业界常用的OLLVM编译时混淆方案进行试验，在全部可用的混淆方案保护之下的代码仍然可以完成81%以上的克隆检测。值得注意的是以上方案都并非针对特定混淆方案单独优化的，方法具有通用价值；而除此以外还有很多针对性的的反混淆研究成果可用；因此，可以认为在采用常规商用代码混淆方案下，即便存在隐藏内部业务逻辑不被逆向的能力，但仍然可以被有效定位代码复用和开发者自然人。 代码溯源技术面前的“挑战” 作为软件供应链安全的独立分析方，健壮的代码比对技术是决定性的基石；而当脑洞大开，考虑到行业的发展，也许以下两种假设的情景，将把每一个“正当”的产品、开发者置于尴尬的境地。 代码仿制 在本章节引述的“驱魔家族”代码疑云案例中，黑产方面通过某种方式获得了正常代码中，功能逻辑可以被自身复用的片段，并以某种方法将其在保持原样的情况下拼接形成了恶意程序。即便在此例中并非如此，但这却暴露了隐忧：将来是不是有这种可能，我的正常代码被泄漏或逆向后出现在恶意软件中，被溯源后扣上黑锅？ 这种担忧可能以多种渠道和形式成为现实。 从上游看，内部源码被人为泄漏是最简单的形式（实际上，考虑到代码的完整生命周期似乎并没有作为企业核心数据资产得到保护，目前实质上有没有这样的代码在野泄漏还是个未知数），而通过程序逆向还原代码逻辑也在一定程度上可获取原始代码关键特征。 从下游看，则可能有多种方式将恶意代码伪造得像正常代码并实现“碰瓷”。最简单地，可以大量复用关键代码特征（如字符串，自定义数据结构，关键分支条件，数据记录和交换私有格式等）。考虑到在进行溯源时，分析者实际上不需要100%的匹配度才会怀疑，因此仅仅是仿造原始程序对于第三方公开库代码的特殊定制改动，也足以将公众的疑点转移。而近年来类似自动补丁代码搜索生成的方案也可能被用来在一份最终代码中包含有二方甚至多方原始代码的特征和片段。 基于开发者溯源的定点渗透 既然在未来可能存在准确将代码与自然人对应的技术，那么这种技术也完全可能被黑色产业利用。可能的忧患包括强针对性的社会工程，结合特定开发者历史代码缺陷的漏洞挖掘利用，联动第三方泄漏人员信息的深层渗透，等等。这方面暂不做联想展开。 〇. 没有总结 作为一场旨在定义“软件供应链安全”威胁的宣言，阿里安全“功守道”大赛将在后续给出详细的分解和总结，其意义价值也许会在一段时间之后才能被挖掘。 但是威胁的现状不容乐观，威胁的发展不会静待；这一篇随笔仅仅挑选六个侧面做摘录分析，可即将到来的趋势一定只会进入更加发散的境地，因此这里，没有总结。 本篇文章为转载内容。原文链接：https://blog.csdn.net/systemino/article/details/90114743。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...SELinux相关的权限问题时，除了临时关闭或永久禁用SELinux外，更安全且推荐的做法是调整SELinux策略以适应Zabbix服务的运行需求。实际上，针对特定应用如Zabbix进行SELinux上下文和模块的定制化配置，可以在保持系统安全的同时确保服务正常运行。 近期（根据实际日期填写），Zabbix官方社区发布了一篇关于如何在启用SELinux环境下正确配置Zabbix的文章，详细阐述了如何编写自定义SELinux模块，为Zabbix服务创建适当的端口、文件和目录类型的标签，以及如何设置布尔值以允许Zabbix与必要的套接字进行交互。通过遵循这些指导步骤，用户可以在享受SELinux提供的强大安全保障的同时，避免因权限问题导致的服务启动失败。 此外，Linux内核开发者和安全专家也不断强调，不应轻易禁用SELinux，而是应深入了解并利用其规则来优化系统安全性。例如，在一篇由Red Hat发布的技术博客中，作者深入剖析了SELinux的工作原理，并给出了针对类似“Permission denied”错误的实战解决方案，其中包括如何查看和修改SELinux上下文，以及使用audit2allow工具生成自定义模块。 总之，面对Zabbix等应用程序与SELinux之间的兼容性问题，应当优先选择细化SELinux策略，而不是简单地禁用它。通过查阅最新的官方文档、社区讨论和技术博客，可以获取到实时有效的解决方案，帮助系统管理员更好地驾驭SELinux，确保系统的安全稳定运行。