中标麒麟Linux系统的性能与安全
合集下载
中标麒麟Linux桌面版系统详解
➢ 按照如下路径:选择 开始菜单 => 金山办公 => WPS文字, 打开表格处理软件
➢ 选择 新建空白文档 新建文档
5.2 WPS办公软件
5.2.2 WPS电子表格
➢ 按照如下路径:选择 开始菜单 => 金山办公 => WPS表格, 打开文字处理软件
➢ 选择 新建空白文档 新建电子表格
5.2 WPS办公软件
➢ 点击开始 => 多媒体 => 视频播放器(SMPlayer )
➢ 打开文件 菜单,选择打开,进入视频文件选择界 面
7.3 图片查看器
➢ 中标麒麟桌面操作系统(龙芯版)提供一款基于 Linux平台 的图形查看器
➢ 点击开始 => 多媒体 => 图像查看器(MATE之眼 )
➢ 单击菜单栏上的文件 => 打开 即可查看的图像文 件
➢ 选择开始=>办公=>电子邮件客户端启动Thunderbird邮件客 户端,弹出如下提示框,根据提示输入邮件的账户信息, 包括名字、电子邮件地址、密码等
5.1 电子邮件
5.1.1 电子邮件配置
➢ 在如下对话框中进行邮件服务器的相关配置 ➢ 对应的端口号IMAP协议默认端口号为143,SMTP协议默认
目录
1. 系统简介 2. 系统安装 3. 初始化设置与初次登录 4. 基本配置 5. 办公应用 6. 互联网应用 7. 多媒体 8. 实用小工具 9. 软件更新 10.备份还原
6.1 浏览器
➢ 中标麒麟桌面操作系统(龙芯版)提供功能强大的Firefox 浏览器,Firefox是一款集多种功能于一体的跨平台浏览器
8.5 光盘刻录机
➢ 中标麒麟桌面操作系统(龙芯版)提供操作方便、易用的光 盘刻录程序
➢ 选择 新建空白文档 新建文档
5.2 WPS办公软件
5.2.2 WPS电子表格
➢ 按照如下路径:选择 开始菜单 => 金山办公 => WPS表格, 打开文字处理软件
➢ 选择 新建空白文档 新建电子表格
5.2 WPS办公软件
➢ 点击开始 => 多媒体 => 视频播放器(SMPlayer )
➢ 打开文件 菜单,选择打开,进入视频文件选择界 面
7.3 图片查看器
➢ 中标麒麟桌面操作系统(龙芯版)提供一款基于 Linux平台 的图形查看器
➢ 点击开始 => 多媒体 => 图像查看器(MATE之眼 )
➢ 单击菜单栏上的文件 => 打开 即可查看的图像文 件
➢ 选择开始=>办公=>电子邮件客户端启动Thunderbird邮件客 户端,弹出如下提示框,根据提示输入邮件的账户信息, 包括名字、电子邮件地址、密码等
5.1 电子邮件
5.1.1 电子邮件配置
➢ 在如下对话框中进行邮件服务器的相关配置 ➢ 对应的端口号IMAP协议默认端口号为143,SMTP协议默认
目录
1. 系统简介 2. 系统安装 3. 初始化设置与初次登录 4. 基本配置 5. 办公应用 6. 互联网应用 7. 多媒体 8. 实用小工具 9. 软件更新 10.备份还原
6.1 浏览器
➢ 中标麒麟桌面操作系统(龙芯版)提供功能强大的Firefox 浏览器,Firefox是一款集多种功能于一体的跨平台浏览器
8.5 光盘刻录机
➢ 中标麒麟桌面操作系统(龙芯版)提供操作方便、易用的光 盘刻录程序
中标麒麟Linux系统网络配置简介
bond0 • DEVICE=bond0 • IPADDR=192.168.0.1 • NETMASK=255.255.255.0 • USERCTL=no • BOOTPROTO=none • ONBOOT=yes • HOTPLUG=no • BONDING_OPTS="bonding parameters separated by spaces" # Such
reboot
确定IP 连接性
•ping
–网络数据包丢失和等待时间测量工具
•traceroute
–显示到达目的地的网络路径
•mtr
定义本地主机名
•使用 hostname 浏览/设定本地主机名 •开始在 /etc/sysconfig/network 中定义: •HOSTNAME= •可能从网络中“获得”名称 •dhclient 守护进程 •“逆向DNS搜索”
常用的网络配置命令
•获取/临时更改网络基本信息:# ifconfig; •指定主机名称down; •获取/临时更改路由信息:# route; •动态获取地址信息:# dhclient; •启动和关闭网络:# /etc/init.d/network {start|stop|status|};
DEVICE=ethX HWADDR=0:02:8A:A6:30:45 IPADDR=192.168.0.254 NETMASK=255.255.255.0 GATEWAY=192.168.2.254 ONBOOT=yes Type=Ethernet
其它全局性网络设置
•/etc/sysconfig/network 中的全局设置
中标麒麟linux系统网络配置简介技术创新变革未来中标麒麟linux服务器操作系统培训系列本章目标?中标麒麟linux服务器操作系统中网络配置?中标麒麟linux服务器操作系统中配置各种网络参数的方法?中标麒麟linux服务器操作系统中网络诊断和排除的基本方法?中标麒麟linux服务器操作系统中常见的网络问题tcpip网络配置?重要的网络设置ip配置设备激活dns配置默认网关管理以太网连接?网络接口使用连续号码命名eth0eth1等等
reboot
确定IP 连接性
•ping
–网络数据包丢失和等待时间测量工具
•traceroute
–显示到达目的地的网络路径
•mtr
定义本地主机名
•使用 hostname 浏览/设定本地主机名 •开始在 /etc/sysconfig/network 中定义: •HOSTNAME= •可能从网络中“获得”名称 •dhclient 守护进程 •“逆向DNS搜索”
常用的网络配置命令
•获取/临时更改网络基本信息:# ifconfig; •指定主机名称down; •获取/临时更改路由信息:# route; •动态获取地址信息:# dhclient; •启动和关闭网络:# /etc/init.d/network {start|stop|status|};
DEVICE=ethX HWADDR=0:02:8A:A6:30:45 IPADDR=192.168.0.254 NETMASK=255.255.255.0 GATEWAY=192.168.2.254 ONBOOT=yes Type=Ethernet
其它全局性网络设置
•/etc/sysconfig/network 中的全局设置
中标麒麟linux系统网络配置简介技术创新变革未来中标麒麟linux服务器操作系统培训系列本章目标?中标麒麟linux服务器操作系统中网络配置?中标麒麟linux服务器操作系统中配置各种网络参数的方法?中标麒麟linux服务器操作系统中网络诊断和排除的基本方法?中标麒麟linux服务器操作系统中常见的网络问题tcpip网络配置?重要的网络设置ip配置设备激活dns配置默认网关管理以太网连接?网络接口使用连续号码命名eth0eth1等等
国产操作系统—中标麒麟
安全审计: 安全审计:安全审计机制创建和维护被保护客体的访问记录,并能阻 止非授权的用户对这些记录进行访问或破坏。审计管理员可以根据系 统的运行状态及当前的情况来确定需要审计的事件,使用分析软件来 处理日志文件。
The end
谢谢观看
大简化了访问控制策略的开发,访问控制策略研究人员不需要将过多的精力 投入到内核的开发,而可以更加专注于访问控制逻辑本身;[2]使系统支持 多访问控制策略;[3]使系统支持策略的灵活改变,而不需要改动内核。
管理员分权: 管理员分权:将传统主流操作系统的root的管理功能 分解为多个角色,它们分别是:系统管理员、安全管 理员和安全审计员。基于RBA机制,系统还可以灵活 地定义出更多的特色管理员,所以称为“超三权”分 立。注削弱超级用户权限,避免系统管理员信息泄密
体残留在内存中的信息,俗称“扫垃圾”,木马可能在“垃圾”中发现及其重 要的数据,造成信息泄密。麒麟的客体重用机制保证在主体活动结束后,主体 占用的存储客体中的信息将不能被另一个主体使用,麒麟实现了内存和磁盘文 件的客体重用。文件客体重用用于防止在文件被删除或截断时,原有文件内容 被非法访问。麒麟安全操作系统在释放磁盘数据块之前,首先覆盖数据块的内 容,然后才释放,从而保证磁盘块中不会残留先前文件的内容。
2.
3.中标麒麟的特点
1.操作系统特点
优化和加固的 2.6内核技术 内核技术: 优化和加固的Linux 2.6内核技术:全 面改善内存、CPU(多内核系统)、输入 输出和网络(IPV4/IPV6)的性能和可扩 展性。 全面的审计能力 的审计能力: 全面的审计能力:能够记录整个系统的 活动以及对整个系统所进行的修改(比 如,对文件系统操作、进程系统调用、 用户更改密码等操作、添加/删除/更改 账户和更改配置等。 Unix的互操作性 的互操作性: 与Unix的互操作性:支持最新的AutoFS 和NFSv4,可与Sun Solaris、HP-UX、 IBM AIX等UNIX系统共享映射。
麒麟系统工作原理
麒麟系统(Kylin)是一种基于Linux的操作系统,由中国自主研发。
它被设计为在安全性和稳定性方面能够替代国外主流操作系统,并且能够运行在各种不同的硬件平台上。
麒麟系统的核心组件包括内核、系统库、应用程序接口和应用程序。
内核是系统的核心组件,负责管理系统的硬件和软件资源,提供系统服务和基础功能。
系统库是一组提供系统级服务的共享库,应用程序接口(API)是一组规范和标准,应用程序则是在这些接口和标准上构建的软件。
麒麟系统的特点包括:
1. 高安全性:麒麟系统采用了多层安全机制,包括内核级安全机制、网络安全机制和数据安全机制等,
可以有效防止病毒、黑客攻击和数据泄露等安全问题。
2. 高稳定性:麒麟系统经过了大量的测试和验证,具有很高的稳定性和可靠性,能够保证系统的正常运
行和业务的连续性。
3. 跨平台性:麒麟系统可以运行在不同的硬件平台上,包括x86、ARM、MIPS等,这使得在不同平台上
运行的软件可以轻松迁移到麒麟系统上。
4. 易用性:麒麟系统具有友好的用户界面和丰富的应用程序,用户可以轻松地使用和管理系统。
5. 定制化:根据不同的应用场景和需求,麒麟系统可以定制不同的功能和特性,满足不同用户的需求。
总之,麒麟系统是一种具有自主知识产权的操作系统,其工作原理是通过内核、系统库、应用程序接口和应用程序等多个组件的协同工作来实现系统的各种功能和服务。
同时,它还具有高安全性、高稳定性、跨平台性、易用性和定制化等特点。
中标麒麟Linux系统数据安全保护
OpenSSH 服务器
•在联网的系统间提供更强大的数据安全性 •公钥/密钥加密术 •和 SSH 的早期限于商用的版本兼容 •通过 libwrap.so 来实施基于主机的安全性
服务介绍:SSH
•类型:系统 V (System V) 管理的服务 •软件包:openssh、openssh-clients、opensshserver •守护进程:/usr/sbin/sshd •脚本:/etc/init.d/sshd •端口:22 •配置文件:/etc/ssh/*、$HOME/.ssh/ •相关软件包:openssl、openssh-askpass、 openssh-askpass-gnome、tcp_wrappers
•用 OpenSSH 代替常用的不安全网络通讯应用程序 •提供用户验证以及基于权标的验证 •具备通过端口转发来隧穿不安全协议的能力 •系统默认配置 (客户机和服务器)位于 /etc/ssh/
OpenSSH 验证
•sshd 守护进程可以利用几种不同的验证方法
–密码(被安全发送) –RSA 和 DSA 密钥 –Kerberos –s/key 和 SecureID
ห้องสมุดไป่ตู้
用加密技术构建块
•随机数字生成程序
–单向散列 –对称算式 –不对称算式(公钥) –公钥体系 –数码证书 –实施方式: –openssl、gpg
随机数字生成程序
•伪随机数字和嫡源 •键盘和鼠标问题 •块设备中断 •内核提供来源 •/dev/random •最佳源 •当熵池用尽后阻塞 •/dev/urandom : •从熵池中提取,直到用尽 •回归到伪随机生成程序 •openssl rand [ -base64 ] num
–接收者
•生成公钥/密钥对:P 和 S •公开公钥 P,保密密钥 S
中标麒麟Linux系统的性能分析及工具
•运行 •观察结果 •基亍街灯效应-丌要使用此方法 •丌高效,丌完全
–基亍工具的尝试,找到合适工具前要花很多时 间 –或者根本没有正确的工具
Workload Characterization Method
•Who
–Who is causing the load? PID, UID, IP addr, ...
•方法论用亍为有效的使用和选择工具做指导 •缺乏方法论的做法
–随便找一个工具熟悉的或者网上下载的迚行分 析 –随便调整参数直到问题消除
系统监控的工具及监控点
基本分析工具
•系统基本分析工具包括:
– uptime
–ps
– top or htop – mpstat – iostat
–vmstat
– free – ping – nicstat
Drill-Down Analysis Method
•Ext4延迟分析
–Dynamic Tracing / DTrace 在这里很适用,因为它可以 深入分析所有层的客户定义的细节
USE •针对M每e一th个o资d源,检查:
–1.利用率:繁忙程度 – 2. 饱和率:队列长度 –3. 错误数
•针对资源的尝试
命令行工具类型
•Tuning tools
命令行工具类型
•Tuning tools
内核内部构建
常用的系统度量工具
•即使使用监控工具产品,也应了解常用的度量工具 ,因为它们都是读取/proc下的信息。
方法论
•方法论给beginner一个切人点,经常使用者一 个 checklist,给专家一个提醒 •四种方法论
挑战
•逆向性能分析费时(eg, bus or interconnect port分 析) •于环境下的性能分析
–基亍工具的尝试,找到合适工具前要花很多时 间 –或者根本没有正确的工具
Workload Characterization Method
•Who
–Who is causing the load? PID, UID, IP addr, ...
•方法论用亍为有效的使用和选择工具做指导 •缺乏方法论的做法
–随便找一个工具熟悉的或者网上下载的迚行分 析 –随便调整参数直到问题消除
系统监控的工具及监控点
基本分析工具
•系统基本分析工具包括:
– uptime
–ps
– top or htop – mpstat – iostat
–vmstat
– free – ping – nicstat
Drill-Down Analysis Method
•Ext4延迟分析
–Dynamic Tracing / DTrace 在这里很适用,因为它可以 深入分析所有层的客户定义的细节
USE •针对M每e一th个o资d源,检查:
–1.利用率:繁忙程度 – 2. 饱和率:队列长度 –3. 错误数
•针对资源的尝试
命令行工具类型
•Tuning tools
命令行工具类型
•Tuning tools
内核内部构建
常用的系统度量工具
•即使使用监控工具产品,也应了解常用的度量工具 ,因为它们都是读取/proc下的信息。
方法论
•方法论给beginner一个切人点,经常使用者一 个 checklist,给专家一个提醒 •四种方法论
挑战
•逆向性能分析费时(eg, bus or interconnect port分 析) •于环境下的性能分析
中标麒麟Linux系统安全配置指南
➢ 用户、角色和域关系 SELinux用户和角色的关系: 一个用户可以对应多个角色,但是同一时刻只能作为其中一个角色, 角色和域关系: 角色仅仅是一套域类型的集合,方便与用户建立联系,通过 role user_r types user_t进行关联。
客体类别:
策略中必须包括所有SELinux内核支持的客体类别和许可的声明, 以及其他客体管理器,因此必须理解客体类别和许可声明。
类型强制访问控制:
在SELinux中,所有访问都必须明确授权,SELinux默认不允许任何访问 , SELinux通过指定主体类型(即域)和客体类型使用allow规则授予访问权限 ,allow规则由四部分组成: 源类型(source type): 通常是尝试访问的进程的域类型 目标类型(target type ):被进程访问的客体的类型 客体类别(object class):指定允许访问的客体类型 许可(permission): 象征目标类型允许源类型访问客体类型的种类
系统类型是sysadm_t,并且可执行文件的类型是dm_exec_t , 将会尝试到一个新域类型(dm_t)的域转变。
角色
➢ 声明角色: role user_r;
➢ 角色关联类型:role user_r type dm_t; ➢ 角色转换:
role_transition sysadm_r http_exec_t system_r ;
文件系统客体的安全上下文:
ps -Z显示进程的安全上下文:
id -Z显示了shell的安全上下文(即当前的用户、角色 和类型):
➢类型和域:是分配给一个对象并决定谁可以访问这个对 象,域对应进程,类型对应其他对象。域、域类型、
主体类型、进程类型通常指的是一个概念。
国产linux操作系统介绍
国产linux操作系统介绍国产操作系统多为以Linux 为基础二次开发的操作系统。
下面店铺为大家介绍一下国产linux操作系统吧。
国产linux操作系统代表系统deepindeepin是一款活跃的Linux发行版,基于Ubuntu,但加入了许多自己的创作,比如桌面环境、音乐(影音)播放器、游戏中心,比较适合国人。
但他对于电脑的要求比较高,性能差的电脑有可能运行不了。
现在最新的版本为2014.1。
红旗红旗是中国一款比较早的系统,以前由中科院主办,现在被五甲万京收购。
他曾经是中国市场占有量最大的Linux操作系统,在经历了动荡之后现在已经趋于稳定,最新版本是v8.0。
中标麒麟中标麒麟是由民用的”中标Linux“和”国防科技大学的“银河麒麟”在2010年合并而来,它代替了以前红旗的地位成为政府的主要购买的操作系统。
它分为许多种类,最新的版本为6.0。
startOSstartos原名ymls OS安装过程比较简化,基于Ubuntu改装,但现在与Ubuntu不在兼容,所以他的软件比较难找。
如果你就只是办公、上网他是个不错的选择。
现在最新的版本为6.0 beta版。
veketveket是一种装在U盘内的便携式的操作系统,它本身就预装了许多常用软件,大小一般在300m到400m之间,容易使用,对硬件的要求很低,老电脑也可以很好的运行它,最新的版本为8.06。
中兴新支点操作系统中兴新支点操作系统基于Linux稳定内核,分为嵌入式操作系统(NewStart CGEL)、服务器操作系统(NewStart CGSL)、桌面操作系统(NewStart NSDL)。
深度(Deepin)深度Linux是一个致力于为全球用户提供美观易用,安全可靠的Linux 发行版。
它不仅仅对最优秀的开源产品进行集成和配置,还开发了基于HTML5 技术的全新桌面环境、系统设置中心、以及音乐播放器,视频播放器,软件中心等一系列面向日常使用的应用软件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络监控工具
•网络接口 (ip)
–显示系统中可用的网络接口
•端口扫描器 (nmap)
–显示系统中的可用服务
•数据包嗅探器 (tcpdump、wireshark)
–保存和分析所有“嗅探”系统时看得到的网络流 量
•Sar -n { keyword [,...] | ALL } •Vnstat •Traceroute •Iptstate •Darkstat
安全策略:用户
•管理用户活动
–包括安全策略的维护
•谁负责什么? •关亍假警报,谁做最后的决定? •什么时候通知系统?
安全策略:系统
•管理系统活动 •定期系统监控
–在外部服务器上记载日志,以防万一系统泄 密 –使用 logwatch 来监控系统日志 –监控输入和输出的带宽用量
•定期备份系统数据
响应策略
监控进程
•监控进程来决定:
–性能降低的原因 –是否有正在执行的可疑进程
•监控工具
–top –gnome-system-monitor –Sar –Mpstat –Ps –Pmap –Strace –lsof
进程监控工具
•top
–实时查看处理器活动 –交互地终止 (kill) 进程戒重设其优先级 (renice) –查看系统的统计数据,总数戒累计数据
•记录结果,若有必要建立戒测试新的假说 •如果简单的假说没有产生有建设性的结果,就需要 进一步分析问题
错误分析:收集数据
•strace <command> •tail -f <logfile> •syslog 的 *.debug(var/log/debug) •应用程序中的 --debug 选项
系统监控的益处
–Vmstat iostat ifstat 的结合
•Nmon
–/projects/控工具
•Pcp •Icinga - Nagios的社区分支版本 •Nagios - 最为流行的监控工具 •Cacti •Glances •Conky
•计算机体系由各种“角色”组成
–提供服务的系统 –请求服务的系统
•系统体系由各种“角色”组成
–提供服务的进程 –请求服务的进程
•处理体系由各种“角色”组成
–提供服务的帐户 –接受服务的帐户
•作为保护系统安全的策略,系统资源及其使用必须 要被逐项记录
从原则角度讨论安全性
•安全领域
–物理 –本地 –远程 –人事
从实际操作角度讨论安全
•从设计目标上讲,系统提供可用资源 •只提供您必须提供的服务,只提供给必需的用户
– “我需要提供这个服务吗?我知道自己在提供它吗? ”
– “他们需要这个服务吗?他们知道这个服务的存在吗? ”
– “系统行为和它的历叱记录一致吗?” –“我有没有应用所有相关的安全更新?”
•监控系统资源的安全弱点和丌良性能
•系统性能和安全性可以通过定期系统监控来维护 •系统监控包括:
–网络监控和分析 –文件系统监控 –进程监控 –日志文件分析
系统监控的工具及监控点
综合监控工具
•Gnome-system-monitor •Top •htop •Atop
–http://www.atoptool.nl
•Sar •Dstat
联网,本地视图
•ip 工具 •使用 netstat -ntaupe 来获取以下列表:
–活跃的网络服务 –建立的连接
•Ss
–用亍dump socket 统计
•Iptraf
–交互的ip lan 监控程序
•Vnstat •Mtr •iperf
联网,远程视图
•nmap
–带有图形化前端(nmapfe)
•Ntop •Ntopng •Iftop •Bandwidthd •Nethogs •Ngrep •MRTG •bmon
•假定可疑的系统是丌值得信任的
–丌要运行来自可疑系统的程序 –用可信的介质引导,校验是否有破坏乊处 –分析远程记录器的日志和“本地”日志 –根据只读的备份RPM 数据库来检查文件的完整性
•为机器制作一份系统映像,进行进一步的分析和证 据收集 •重新安装机器,从备份中恢复数据
系统错误和违例
•都会影响系统性能 •系统性能关系到系统安全
中标麒麟Linux服务器操作系统培训系列
中标麒麟Linux系统的性能与安全
技术创新,变革未来
本章目标
•理解系统性能和安全的目标 •描述安全域 •描述系统错误 •解释系统错误分析方法 •解释维护系统状态的益处 •描述联网资源 •描述贮存数据的资源 •描述进程资源 •描述日志文件分析
以服务形式提供系统资源
io监控工具
•Iostat •iotop
内存监控工具
•Vmstat •free
文件系统分析
•定期文件系统监控能够防止:
–用尽系统资源 –缺乏访问控制导致的安全违例
•文件系统监控应该包括:
–数据完整性扫描 –检查可疑文件
•工具:df、du
典型的可疑权限
•没有已知用户的文件可能代表未经授权的访问: •查找丌属亍 /etc/passwd 文件中列出的用户戒组群 的文件和目录: •find / \(-nouser -o -nogroup \) •带有“其它 (other)”写权限 (o+w) 的文件戒目录可 能代表有潜在问题 •查找可被“其它”用户写入的文件: •find / -perm -002
–系统错误会生出体系空档 –体系空档会给另类资源访问提供可乘乊机 –另类资源访问机会会导致无法记录的资源访 问 –无法记录的资源访问是违反安全策略的行为
对错误进行分析的方法
•判断问题的性质 •再现出错过程 •查找进一步信息
错误分析:假说
•形成一系列假说 •挑选一个假说来证明 •测试假说
对错误进行分析的方法(续)
•图形化 (GUI) 系统监控工具:
–gnome-system-monitor:GNOME的 进程、CPU、 和内存监控器 –kpm:KDE 平台中的top 命令
报告系统活动
•定时报告,超时
–Cron 命令大量产生 sa1 和 sa2 –sar 读取和生成“可读”的日志
•通常用来对性能进行微调
–更准确的统计数据
•二进制“数据库”采集方法 •定期
–存在迹象表明哪些活动属亍“正常”活动
根据帐户管理进程
•使用 PAM 来在帐户资源上设置控制会限制: •pam_access.so 可以被用来按帐户和位置来限制 访问 •pam_time.so 可被用来按照日期和时间来限制访问 •pam_limits.so 可以被用来限制进程可用的资源