Month: June 2019

Linux Security Mode Linux系统先做DAC检查.如果没有通过DAC权限检查,则操作直接失败.通过DAC检查之后,再做MAC权限检查. DAC SELinux出现之前,Linux上的安全模型叫DAC,全称是Discretionary Access Control,翻译为自主访问控制. 核心思想： 进程理论上所拥有的权限与执行它的用户的权限相同.比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情. MAC SELinux在DAC之外,设计了一个新的安全模型,叫MAC(Mandatory Access Control),翻译为强制访问控制. 核心思想： 任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限.凡是没有出现在安全策略配置文件中的权限,进程就没有该权限. Security-Enhanced Linux (SELinux) SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统.…

Read More→

来自知乎的答案整理 报文 数据经IP协议封装后称为报文，经MAC层封装后叫做以太网帧。通常不做严格区分，都叫报文。 主机通信 主机A向主机B发报文，知道B的IP地址，但不知道B的MAC地址。 主机A首先会发ARP报文， ARP报文最终在MAC层被封装成以太网帧，其源MAC地址是主机A自己，目的MAC地址是广播地址，就是向外广播询问，请求主机B回答。 交换机接收到主机A的包含ARP广播报文的Frame，会解析该Frame，发现目的MAC地址是广播地址，就是向自己的所有端口广播该Frame， 源MAC地址依然是主机A，目的MAC地址依然是广播地址。 同时如果源MAC地址，交换机之前没有学习过，就会添加到自己的MAC地址表中，也就是交换机学习到主机A的MAC地址。 经交换机广播后，ARP报文被主机B接收到， 主机B发现被请求的IP是自己，就会发一个回应报文，同样在MAC层被封装成以太网帧，源MAC地址是主机B，目的MAC地址是主机A， 告诉主机A你请求的IP就是我，这是一个单播报文。 交换机接收到主机B发送的回应报文后，解析到源MAC地址是主机B，从而添加到自己的MAC地址表中，学习到主机B。 目的地址是主机A，之前学习到了，就直接将报文转发到主机A对应的端口，源和目的MAC地址不变。 主机A接收到主机B的回应后，就知道主机B的MAC，添加到自己的ARP表中，下次再和B通信就不需要再发ARP报文了。 整个过程可以看出， 一是没有出现交换机的MAC地址， 二是报文的源MAC地址和目的MAC地址都不变。 交换机的网络端口对应一个MAC，但通常不需要MAC地址，因为转发不需要。…

Read More→

install yum install tigervnc-server xorg-x11-fonts-Type1 init 使vncserver运行在5905端口. /etc/systemd/system/vncserver@:5.service [Unit] Description=Remote desktop service (VNC) After=syslog.target network.target [Service] Type=forking #相应用户user的uid. XDG_RUNTIME_DIR=”/run/user/1002″ #…

Read More→