Linux系统调优与SELinux管理实战 - 实践

调优系统性能

通过1.系统管理员能够采用哪个命令来更改 tuned 守护进程的设置？

答： tuned-adm 命令

2.nice 值是什么？

答： nice 值是控制进程优先级的数字，范围 - 20 到 19。

3.如何使用 top 和 ps 命令查看 nice 级别？

答： top 命令：

直接运行top，按r键进入 renice 模式，可看到进程的NI列（即 nice 值）。

按f键，选中NI后按q保存，让NI列常驻显示。

ps 命令：

ps -eo pid,user,ni,cmd：表明 PID、用户、nice 值和命令。

ni列为 nice 值，负值表示高优先级，正值表示低优先级。

4.使用 nice 命令启动进程时，进程的默认值是多少？

答：使用nice命令启动进程时，若不指定-n选项，默认继承父进程的 nice 值（通常是 0）。若指定nice -n <值>，则设置为指定值（范围 - 20 到 19）。

5.如何更改现有进程的 nice 级别？

答：用 renice 命令（需 root 权限改负值）或在top 中按 r，输入 PID 和新 nice 值。

管理 SELinux安全性

1.SELinux 是如何保护资源的？

答：SELinux 主要通过给系统里的进程和文件贴标签，再用规则严格限制它们之间的互动来保护资源。

2.什么是自由决定的访问控制(DAC)？它有什么特点？

答：DAC通过：资源所有者能自己决定谁（用户 / 程序）能够访问自己的东西，比如你能随便改文件 “只读” 或 “所有人可编辑”。
特点：灵活但不安全 —— 如果用户乱设权限（比如给程序全开），攻击者容易钻空子。

强制访问控制(MAC)？它有什么特点？就是3.什么

答： MAC：系统强制规定谁能访问什么资源，不管资源所有者怎么想。比如 SELinux，就算你是文件主人，也不能随便让某个程序访问它。
特点：严格死板但安全 —— 权限由环境规则说了算，用户瞎管理也难搞出漏洞，适合高安全场景。

4.什么是 SELinux 上下文？

答： SELinux 上下文就是给系统里的文件、进程等贴的「身份标签」，包含类型、用户、角色等信息。比如一个网页文件可能贴着「httpd_sys_content_t」，进程贴「httpd_t」，SELinux 就靠这些标签判断谁能访问谁。

什么？就是5.setenforce 0 命令的作用

答： 临时关闭 SELinux 强制模式不拦违规操作了）。常用于排查 SELinux 导致的程序异常，但不建议长期用，会降低架构安全性。就是，让架构暂时不严格检查进程和文件的标签权限（但 SELinux 还在运行，只

6. 定义一条 SELinux 记录上下文规则，以便将 /custom 目录及目录中所有记录的上下文类型设置为 httpd_sys_content_t。

答: semanage fcontext -a -t httpd_sys_content_t '/custom(/.*)?'

restorecon -Rv /custom