尤妤

ES单节点安装下载es并解压12[root@xiaowangc ~]# wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.5.3-linux-x86_64.tar.gz[root@xiaowangc ~]# tar -xzf elasticsearch-8.5.3-linux-x86_64.tar.gz -C /usr/local 创建用户1234# 使用elastic用户启动elasticsearch,使用root会报错[root@xiaowangc ~]# useradd elastic[root@xiaowangc ~]# cd /usr/local/[root@xiaowangc local]# chown -R elastic.elastic elasticsearch-8.5.3 更改配置文件1[root@xiaowangc local]# vi elasticsearch-8.5.3/config/elasticsearch.yml 123456789101112131 ...

Poste.io简介官网:Poste.io Poste.io是一款SMTP+IMAP+POP3+反垃圾邮件+防病毒+Web管理+Web电子邮件集一体的开源邮件服务器 特点： SPF、DKIM、DMARC、SRS的原生实现，带有简单的向导 可检测特洛伊木马、病毒、恶意软件 内置垃圾邮件过滤器 带有HTTPS的网络邮件客户端 电子邮件重定向，自动回复和通过Sieve脚本过滤 可限制邮件空间及电子邮件数量 对系统管理员、域管理员、电子邮件所有者具有不同权限的Web管理 内置微软产品的自动发现功能 内置邮件服务器的诊断功能 支持邮件TLS(SMTPS、POP3S、IMAPS) 默认情况使用SHA512算法加密，防止密码被黑客破解 可使用Docker部署并与其他应用程序隔离 邮件原理电子邮件结构 用户代理UA 用户与电子邮件系统的接口，具有编写、显示、邮件处理、通信等功能。例如：Foxmail 邮件服务器 邮件服务器是邮件系统的核心，用于发送和接受邮件，向发送人报告邮件传递情况，同时充当客户和服务器 电子邮件使用的协议 STMP协议 STMP客户端主动将邮件推到SMTP服务器端 P ...

Ubuntu安装CA证书 123[root@xiaowangc ~]# apt-get install -y ca-certificates[root@xiaowangc ~]# sudo cp xiaowang-CA.crt /usr/local/share/ca-certificates[root@xiaowangc ~]# sudo update-ca-certificates

RuntimeClass RuntimeClass 是一个用于选择容器运行时配置的特性，容器运行时配置用于运行 Pod 中的容器。 容器技术是通过namespace、cgroups等技术对进程实现隔离，相比于虚拟化，容器更小更快。传统虚拟化技术，通过虚拟化一套硬件并在这硬件上安装操作系统OS和部署应用程序。每个虚拟机都拥有属于自己的内核，虚拟机中病毒或被入侵对宿主机的影响较小。而容器和宿主机是共享内核，一旦容器被入侵、逃逸、中病毒等，会对宿主机产生较大影响。 RuntimeClass就是为了解决以上问题，也有称RuntimeClass为沙箱(沙箱容器)。Runtime主要有： runC 根据OCI规范生成的运行容器的Runtime，且作为Containerd runtime的默认配置类型 Crun 使用C语言开发兼容OCI规范用于运行容器的Runtime，具有快速轻量、低内存占用等 gVisor（runSC） 由Google开源使用Go语言编写的Application内核，其包含一个兼容OCI规范的Runtime（runSC），用于在应用程序和主机内核之间提供隔离边界；runS ...

Linux强制访问控制系统AppArmor(Application Armor)是Linux内核的一个安全模块，AppAromor允许系统管理员将每个程序与一个安全配置文件关联，从而限制程序的功能。AppArmor是与SELinux类似的一个访问控制系统，通过它可以指定程序可以读、写或运行哪些文件，是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充，AppAromor提供了强制访问控制机制。 AppArmor 可以配置为任何应用程序减少潜在的攻击面，并且提供更加深入的防御，AppArmor 可以通过限制允许容器执行的操作， 和通过系统日志提供更好的审计来帮助你运行更安全的部署 工作模式Apparmor有两种工作模式： enforcing（强制模式） 遵循配置文件的规则限制，阻止访问不允许访问的资源 complain（警告模式） 遵循配置文件的规则限制，对访问禁止的资源发出警告但不做限制 测试Kubernetes版本不低于v1.4，CentOS不支持AppArmor 查看AppArmor是否开启 123456root@node3:~# cat /sys/modu ...

Ubuntu-DNS解析问题当配置好DNS之后发现怎么都无法进行解析 1234567891011121314root@node3:~# cat /etc/netplan/00-installer-config.yaml# This is the network config written by 'subiquity'network: ethernets: ens33: addresses: - 192.168.10.13/24 routes: - to: default via: 192.168.10.254 nameservers: addresses: [192.168.10.254] search: ["xiaowangc.local"] version: 2 查看/etc/resolv.conf发现DNS服务器地址一直都是127.0.0.53，修改后临时有效，一旦重启后DNS将无法再次解析 123456 ...

join 工作流kubeadm join 初始化 Kubernetes 工作节点或控制平面节点并将其添加到集群中。 对于工作节点，该操作包括以下步骤： kubeadm 从 API 服务器下载必要的集群信息（Public名称空间下名为Cluster-info的Configmap）。 默认情况下，它使用引导令牌和 CA 密钥哈希来验证数据的真实性。 也可以通过文件或 URL 直接发现根 CA。 一旦知道集群信息，kubelet 就可以开始 TLS 引导过程。 TLS 引导程序使用共享令牌与 Kubernetes API 服务器进行临时的身份验证，以提交证书签名请求 (CSR)； 默认情况下，控制平面自动对该 CSR 请求进行签名。 最后，kubeadm 配置本地 kubelet 使用分配给节点的确定标识连接到 API 服务器。 对于控制平面节点，执行额外的步骤： 从集群下载控制平面节点之间共享的证书（如果用户明确要求）。 生成控制平面组件清单、证书和 kubeconfig。 添加新的本地 etcd 成员。

Pod1234567891011apiVersion: v1kind: Podmetadata: name: nginxspec: containers: - name: nginx image: nginx:1.14.2 ports: - name: nginx-port containerPort: 80 Deployment12345678910111213141516171819202122apiVersion: apps/v1kind: Deploymentmetadata: name: nginx-deployment labels: app: nginxspec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.14.2 ...

TrivyTrivy是一款全面且多功能的安全扫描仪。Trivy用扫描仪来寻找安全问题，并瞄准可以找到这些问题的目标。 Trivy可以扫描的目标： 容器镜像 文件系统 Git存储库 虚拟机映像 安装更多方式请到：安装 - Trivy (aquasecurity.github.io) 本次演示OS：CentOS8.5 123# 直接通过rpm包进行安装[root@harbor ~]# wget https://github.com/aquasecurity/trivy/releases/download/v0.35.0/trivy_0.35.0_Linux-64bit.rpm[root@harbor ~]# dnf -y install trivy_0.35.0_Linux-64bit.rpm Trivy除了扫描器本体还需要安装数据库，Trivy第一次扫描时会自动下载漏洞数据库，但是由于被墙可能导致数据库无法下载 可到墙外部署并扫描后将/root/cache/trivy缓存目录进行打包并COPY到本机进行覆盖 扫描12345--ignore-unfixed # 跳过无法修复的漏洞,暂 ...