2025年10月11日
Docker 架构
摘要: Docker 架构组件 整体架构图 Docker Client 功能: 用户与Docker交互的主要方式 接收用户命令并发送给Docker Daemon 可以与远程Docker Daemon通信 常用命令: docker run - 运行容器 docker build - 构建镜像 docker p 阅读全文
posted @ 2025-10-11 10:43 云long 阅读(13) 评论(0) 推荐(0)
Docker概念
摘要: 概述 Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。 Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。 容器是完全使用沙箱机制,相互之间不会有任何接口(类似 阅读全文
posted @ 2025-10-11 10:32 云long 阅读(33) 评论(0) 推荐(0)
2025年9月19日
SPDM和RMS的关联
摘要: 在 DMTF 的体系里,SPDM 与 RMS 并不是“并列”关系,而是“把 RMS 当作信任锚(Root-of-Trust)去喂养 SPDM”的上下游关系。一句话:RMS 负责“造信任”,SPDM 负责“用信任”。下面按“是什么-怎么存-怎么传-怎么用”四个维度拆开说明。 1. 角色定位:RMS 是 阅读全文
posted @ 2025-09-19 16:04 云long 阅读(27) 评论(0) 推荐(0)
Security Protocol and Data Model (SPDM) 简介
摘要: Security Protocol and Data Model (SPDM) – 详尽介绍 SPDM 是 DMTF(Distributed Management Task Force)制定的一套开放标准,目标是让两个互联设备(如主板与扩展卡、主机与加速器、芯片与芯片)在无需预共享密钥的前提下,完成 阅读全文
posted @ 2025-09-19 10:44 云long 阅读(198) 评论(0) 推荐(0)
2025年9月16日
模型上下文协议(Model Context Protocol,MCP)
摘要: 一. MCP 概述 模型上下文协议(Model Context Protocol,MCP),是由Anthropic推出的开源协议,旨在实现大语言模型与外部数据源和工具的集成,用来在大模型和数据源之间建立安全双向的连接。 模型上下文协议是专为高效获得模型所需要上下文信息而设计的通用接口,可以将推动大语 阅读全文
posted @ 2025-09-16 10:30 云long 阅读(263) 评论(0) 推荐(0)
2025年9月1日
Trusted Computing Base(可信计算基)
摘要: Trusted Computing Base(可信计算基)初步理解 也可以看看这篇https://zhuanlan.zhihu.com/p/636986528 1. 定义:TCB 到底是什么? 标准定义(DoD 5200.28-STD,即“橘皮书”):“TCB 是硬件、固件、软件的集合,它们共同负责 阅读全文
posted @ 2025-09-01 14:54 云long 阅读(60) 评论(0) 推荐(0)
2025年8月28日
EREPORT for TD
摘要: TDX 语境下的 EREPORT——即 Trust Domain(TD,信任域)内部主动生成的、专门用于远程证明(Remote Attestation)的一种结构化报告。 中文解释(TDX 场景) EREPORT 是 TD 在执行过程中,由 TDX 模块(SEAM 模块)根据 TD 的请求生成的一份 阅读全文
posted @ 2025-08-28 11:22 云long 阅读(21) 评论(0) 推荐(0)
2025年8月19日
TDX下,event log和RTMR的关系。 及他们的相关知识 --来自kimi
摘要: event log和RTMR的关系 在 Intel TDX(Trust Domain Extensions)中,event log 与 RTMR(Run-Time Measurement Register) 的关系可以理解为“日志与度量寄存器之间的记录与验证关系”。 一、RTMR 是什么? RTMR 阅读全文
posted @ 2025-08-19 16:22 云long 阅读(85) 评论(1) 推荐(1)
2025年8月12日
NBD(Network Block Device)简介及基本使用
摘要: nbd3 是 Network Block Device #3 的简写,它是 Linux 内核提供的 网络块设备(NBD) 机制中的一个虚拟磁盘设备节点。 ✅ 一句话解释 /dev/nbd3 是一个 虚拟磁盘接口,可以把一个 文件(如 qcow2 镜像) 当作 真实磁盘 来读写。 📌 类比理解 真实 阅读全文
posted @ 2025-08-12 15:41 云long 阅读(204) 评论(0) 推荐(0)
2025年8月7日
SGX Externals sgx外部组件
摘要: 英文版:https://blog.quarkslab.com/overview-of-intel-sgx-part-2-sgx-externals.html#keys%20directory 在这篇文章中,我首先会快速解释一下应用程序如何与其enclave的相互作用过程,然后详细介绍SDK和PSW中 阅读全文
posted @ 2025-08-07 14:17 云long 阅读(14) 评论(0) 推荐(0)
Sealing Enclave相关知识点, 来自kimi
摘要: Enclave 详细介绍下 一、什么是 EnclaveEnclave 是 Intel SGX(Software Guard Extensions)技术里的一段 受 CPU 硬件保护的执行区域。 位于 用户态进程地址空间 内; CPU 加解密 所有内存页,外部 OS/VMM/Root 无法窥探或篡改; 阅读全文
posted @ 2025-08-07 11:14 云long 阅读(44) 评论(0) 推荐(0)
2025年7月30日
IMA Integrity Audit Events(完整性审计事件)
摘要: IMA 在内核审计子系统(auditd)中新增了一组专用事件类型(不同于 IMA-Measurement 或 IMA-Audit 自身日志),专门记录与“完整性校验失败、TPM 扩展失败、策略加载失败”等关键场景相关的审计痕迹。下面按“事件类别 → 日志格式 → 典型示例 → 排查思路”逐层说明。 阅读全文
posted @ 2025-07-30 15:15 云long 阅读(22) 评论(0) 推荐(0)
IMA-Audit
摘要: IMA-Audit includes file hashes in the system audit log, which can be used to augment existing system security analytics and/or forensics. IMA-Audit ex 阅读全文
posted @ 2025-07-30 14:16 云long 阅读(20) 评论(0) 推荐(0)
IMA-Appraisal 简单介绍
摘要: IMA-Appraisal(IMA 评估模式)是 Linux 内核 Integrity Measurement Architecture(IMA)子系统的核心能力之一,用于在系统运行时对文件进行主动完整性验证,防止被篡改的文件被访问或执行。以下从“原理→机制→部署→运行→优化”五个维度进行详解。 一 阅读全文
posted @ 2025-07-30 14:05 云long 阅读(83) 评论(0) 推荐(0)
IMA-Appraisal 中相关的知识点
摘要: ima_appraise The ima_appraise= argument can change the default enforce appraise mode. Note The mode can only be changed if secure boot in the UEFI fi 阅读全文
posted @ 2025-07-30 13:42 云long 阅读(11) 评论(0) 推荐(0)
IMA中append和extend有什么区别
摘要: 在 IMA 的语境里,append 与 extend 这两个关键词看似只差一个字,却对应两套完全不同的工作方式;一旦混用就会导致“签名放错位置”或“校验不通过”。下面把它们的区别一次性说清。 作用对象不同• append(追加)针对文件本身:把签名数据(CMS/PKCS#7)直接写到文件末尾,像给 阅读全文
posted @ 2025-07-30 11:22 云long 阅读(35) 评论(0) 推荐(0)
IMA-Appraisal Signatrue 介绍
摘要: 在 IMA(Integrity Measurement Architecture)的 appraisal 模式 中,Signature(签名机制) 是对文件完整性进行加密级验证的核心手段,区别于哈希校验,它通过数字签名确保文件未被篡改且来源可信。以下是详细解释: 一、IMA 签名的作用与位置 项目说 阅读全文
posted @ 2025-07-30 11:21 云long 阅读(32) 评论(0) 推荐(0)
IMA-Appraisal HASH fix mode和enforce mode的解释
摘要: 在 IMA(Integrity Measurement Architecture)的 appraisal(评估)子系统 中,ima_appraise= 启动参数控制文件完整性校验的行为,其中涉及 hash(文件哈希值) 的两种关键模式:fix 和 enforce。以下详细说明: 1. fix 模式( 阅读全文
posted @ 2025-07-30 11:09 云long 阅读(27) 评论(0) 推荐(0)
2025年7月17日
配置docker代理
摘要: 配置docker代理 1、创建 dockerd 相关的 systemd 目录,这个目录下的配置将覆盖 dockerd 的默认配置 $ sudo mkdir -p /etc/systemd/system/docker.service.d 新建配置文件 /etc/systemd/system/docke 阅读全文
posted @ 2025-07-17 15:30 云long 阅读(17) 评论(0) 推荐(0)
2025年4月14日
Linux下磁盘空间不足
摘要: 思路:找到大文件的路径,然后删除。 1. 使用 du 命令 du(disk usage)命令可以显示目录或文件的磁盘使用情况。 查找当前目录及其子目录中的大文件 du -ah | sort -rh | head -n 20 du -ah:显示所有文件和目录的大小(以人类可读的格式,如KB、MB、GB 阅读全文
posted @ 2025-04-14 10:55 云long 阅读(166) 评论(0) 推荐(0)
2025年3月18日
Pod 安全性标准(PSS) & Pod 安全性准入(PSA) & 强制实施 Pod 安全性标准
摘要: Pod 安全准入控制器打算替换已弃用的 PodSecurityPolicy。(V1.25及以上) Pod 安全性标准 详细了解 Pod 安全性标准(Pod Security Standard)中所定义的不同策略级别。 Pod 安全性标准定义了三种不同的策略(Policy),以广泛覆盖安全应用场景。 阅读全文
posted @ 2025-03-18 11:10 云long 阅读(115) 评论(0) 推荐(0)
Pod安全策略--PodSecurityPolicy(1.25被移除)
摘要: PodSecurityPolicy 在 Kubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除 遇到PodSecurityPolicy ,来看看吧。 PodSecurityPolicy 类型的对象能够控制,是否可以向 Pod 发送请求,该 Pod 能够影响被应用 阅读全文
posted @ 2025-03-18 10:44 云long 阅读(109) 评论(0) 推荐(0)
2025年2月18日
kubernets 资源对象--Pod
摘要: 1. 概述 k8s 中特有的一个概念,可以理解为对容器的包装,是 k8s 的基本调度单位,实际的容器是运行在 Pod 中的,一个节点可以启动一个或多个 Pod。支持多容器。Pod 里的容器共享存储、网络等。 也就是说,应该把整个 pod 看作虚拟机,然后每个容器相当于运行在虚拟机的进程。以通过进程间 阅读全文
posted @ 2025-02-18 11:22 云long 阅读(71) 评论(0) 推荐(0)
2025年2月14日
k8s各个组件及用途
摘要: 一个kubernetes集群主要是由控制节点(master)、工作节点(node)构成,每个节点上都会安装不同的组件。 Master 节点是集群的控制节点,负责整个集群的管理和控制, 主节点主要用于暴露 API,调度部署和节点的管理。 工作节点主要是运行容器的。node:集群的数据平面,负责为容器提 阅读全文
posted @ 2025-02-14 16:21 云long 阅读(247) 评论(0) 推荐(0)
kubernets 架构
摘要: 阅读全文
posted @ 2025-02-14 15:55 云long 阅读(18) 评论(0) 推荐(0)
下一页