桌面环境，丰富社区桌面环境生态。 • 欧拉 DevKit：支持操作系统迁移、兼容性评估、简化安全配置 secPaver 等更多开发工具。 系统框架 openEuler 社区与上下游生态建立连接，构建多样性的社区合作伙伴和协作模式，共同推进版本演进。 平台框架 国际开源社区 处理器 行业 ISV 厂商 更广泛的 社区合作伙伴 操作系统厂商 共同参与 多样算力厂商 政府 运营商 安平 金融 电力 其他上游社区 用的高层内存管理逻辑。加速器只需要注册底层函数，不再需要实现任何统一地址空间协同的高层逻辑。 Remote Pager 内存消息交互框架 Remote Pager 作为 OS 内核外延的内存管理框架，设计并实现了主机和加速器设备之间协作的消息通道、进程管理、 内存交换和内存预取等模块，由独立驱动 remote_pager.ko 使能。通过 Remote Pager 抽象层可以让第三方加速器很容易 的接入 GMEM 系统，简化设备适配难度。 4B、Hi3093、X86_64 设备上通过裸金属模式和 openEuler Embedded Linux 混合部署。 • 支持通过 gdb 在 openEuler Embedded Linux 侧远程调试。 • 支持 360+ POSIX 接口，支持文件系统、设备管理、shell 控制台。 特性增强 18 openEuler 23.09 技术白皮书 GCC for openEuler GCC

openEuler 21.03 技术白皮书 openEuler WHITE PAPER 运行环境 平台框架 openEuler 社区与上下游生态建立连接，构建多样性的社区合作伙伴和协作模式，共同推进版本演进。 国际开源社区 处理器 行业ISV厂商 更广泛的 社区合作 伙伴 操作系统厂商 共同参与 多样算力 厂商 政府 运营商 安平 金融 电力 其他上游社区 Upstream 能、定位故障。 24 25 openEuler 21.03 技术白皮书 openEuler WHITE PAPER 社区治理 • 支持可信执行环境状态下的数据加密和持久化，支持本地和远程证明。 • 提供必要的代码辅助生成工具及机密计算二进制签名工具。 • 提供 C 编程语言支持。 • 支持 Intel SGX 和 ARM TrustZone。 应用场景 应用场景 1：多方计算 据，而且每个公司的数据只能自己公司可以访问，有一种情景， 三家公司的数据进行合并通过 AI 训练进行运算，如何避免数据 的泄露？ 这三家公司可以通过机密计算技术，将数据通过加密的通道传输给对方的可信执行环境，通过远程证明的方式保证可信 执行环境及运行的代码可信，保障各家公司共享数据做 AI 训练而不泄露各自的数据。 应用场景 2：密钥管理服务 目前公有云的密钥管理服务，一般会基于硬件 HSM 来实现秘钥的安全管理。这些服务可以基于

旨在为 "攻击" / "防御"⽅ 提供更加全⾯实⽤的参考 还是那句⽼闲话 "未知攻焉知防", 所有单纯去说 "攻" 或者 "防" 的都是耍流氓, 攻守兼备才能把路越⾛越宽 ⼆来, 也是为秉承共享协作, 希望能为 红队 及 部分实战攻防研究⼈员 做出⾃⼰应有的贡献 个⼈⼀直坚信, 真正的价值来源于实实在在的奉献,与其天天到处嘴炮,不如静下⼼来多反思下⾃⼰,好好踏踏实实做 些对⼤家都有益的事 组件的 已知 Nday 漏洞利⽤ IIS 6.0 RCE 短⽂件漏洞 PUT 任意写 Webdav RCE CVE-2017-7269 禅道项⽬管理系统 SQL注⼊ ⽂件读取 远程执⾏ 通达 OA SQL注⼊ 任意上传 Exchange 利⽤接⼝进⾏邮箱⽤户名枚举 针对各个接⼝的弱⼝令爆破 CVE-2020-0688 [ 利⽤前提是需要先得有任意⼀个邮箱⽤户权限 Nagios CVE-2016-9565 控制台弱⼝令 Webmin RCE CVE-2019-15107 PHPMailer CVE-2016-10033 泛微 OA 远程代码执⾏ ⾦蝶 OA SQL 注⼊ Coremail 敏感⽂件泄露 UEditor 任意⽂件上传 OpenSSL ⼼脏滴⾎抓明⽂账号密码 [Heartbleed] 破壳漏洞 [Shellshock]

openEulerDevKit：支持操作系统迁移、兼容性评估、简化安全配置 secPaver 等更多开发工具。 系统框架 openEuler 社区与上下游生态建立连接，构建多样性的社区合作伙伴和协作模式，共同推进版本演进。 平台框架 平台架构 06 openEuler 24.03 LTS 技术白皮书 openEuler 社区当前已与多个设备厂商建立丰富的南向生态，比如 Intel、AMD 4B、Hi3093、RK3588、x86_64 设备上通过裸金属模式和 openEuler Embedded Linux 混合部署。 • 支持通过 gdb 在 openEuler Embedded Linux 侧远程调试。 • 支持 890+ POSIX 接口，支持文件系统、设备管理、shell 控制台、网络。 openEuler Embedded 可广泛应用于工业控制、机器人控制、电力控制、航空航天、汽车及医疗等领域。 指纹、指静脉、Ukey、虹膜和人脸，在控制面板 -> 认证管理可录入信息，并 配置是否启用。 • 桌面图标：登录系统后，桌面图标说明如下。 1) 计算机：双击可以显示从本计算机访问的所有本地和远程磁盘和文件夹。 2) 主文件夹：双击可以显示用户家目录下的内容。 3) 回收站：存放已删除的文件。 • 系统面板：系统面板位于桌面下方区域，包括了任务栏、托盘区域和日期与时间。任务栏用于查看系统启动应用，默认放置

桌面环境，丰富社区桌面环境生态。 • 欧拉 DevKit：支持操作系统迁移、兼容性评估、简化安全配置 secPaver 等更多开发工具。 系统框架 openEuler 社区与上下游生态建立连接，构建多样性的社区合作伙伴和协作模式，共同推进版本演进。 平台框架 国际开源社区 处理器 行业 ISV 厂商 更广泛的 社区合作伙伴 操作系统厂商 共同参与 多样算力厂商 政府 运营商 安平 金融 电力 其他上游社区 应用场景 24 openEuler 22.03 LTS SP2 技术白皮书 特性增强 kunpengsecl 软件包支持平台和 TEE 远程证明 鲲鹏安全库（kunpengsecl）是开发运行在鲲鹏处理器上的基础安全软件组件，先期主要聚焦在远程证明等可信计算 相关领域，使能社区安全开发者。 鲲鹏安全库的每个特性都可以由两大部分组成：组件和服务。组件部署在提供资源（计算、存储、网络）为用户运行 全可信设计的具体要求。 鲲鹏安全库的首个安全特性就是远程证明，目的就是帮助用户获取工作服务器节点的软硬件可信状态，支持端到端的 可信计算远程证明解决方案，让各种资源管理工具可以根据可信报告制定策略，对各种服务器资源进行差异化的调度和使用。 鲲鹏安全库的远程证明特性目前支持： 1. 基于 TPM 的通用平台远程证明。 2. 对鲲鹏服务器 TEE 的远程证明。 详情请参见项目 readme：https://gitee

存储转发 存储转发 存储转发 存储转发 业务读SET dispatch 业务读SET dispatch 上海云 深圳自研 广州云 云原生 开发方法 敏捷开发、DevOps 团队 协作式DevOps团队 交付周期 短且持续 应用架构 微服务，基于API的通信 基础架构 以容器为中心 部署可预测性 可预测 弹性能力 弹性调度 恢复能力 自动化运维，快速恢复 蓝盾/TencentHub…… 应用服务管理 集群监控 集群日志 集群告警 基础设施监控 基础设施日志 基础设施告警 管理体系 业务管理 用户体系 权限 审计 安全 资源调度 服务监控 服务告警 远程日志 自动扩缩容 负载均衡 服务发现 CI/CD 蓝盾 OCI QCI 镜像仓库 CSIGHUB DockerImage Docker Hub 跨地域、跨集群部署 分批灰度升级 •接口证书认证 •基于RBAC授权 权限控制 •基于项目管理 •角色鉴权认证 镜像仓库 •CBS(SSD/SATA) •Cehp/NFS 网络存储 •远端日志挂载 •页面日志查询 远程日志 CI/CD/CO 需求 设计 开发 构建 测试 部署 搭建 监控 计划 运营 业务上云总结 ⚫ 拥抱云原生 ⚫ 借上云革新研发模式，全面DevOps（CI/CD/CO） ⚫ 组件&工具上云，服务化，培育工程师文化

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 2.1.11 怎样和不一致的要求协作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 2.2 基础软件包管理操作 操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 6.3 服务器远程访问和工具 (SSH) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 . . . . . . . . . . . . . . . . 112 6.3.2 远程主机上的用户名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 6.3.3 免密码远程连接 . . . . . . . . . . . . . . . . . . . .

所进行的操作和dump指令相反 restorecon 恢复文件的安全上下文 return 从函数中退出并返回数值 rev 将文件内容以字符为单位反序输出 rexec 远程执行Linux系统下命令 rlogin 从当前终端登录到远程Linux主机 rm 用于删除给定的文件和目录 rmdir 用来删除空目录 rmmod 从运行的内核中移除指定的内核模块 route 显示并设置Linux中静态路由表 rpmsign 使用RPM软件包的签名管理工具 rpmverify 验证已安装的RPM软件包的正确性 rsh 连接远程主机并执行命令 rsync 远程数据同步工具 runlevel 打印当前Linux系统的运行等级 S sar 系统运行状态统计工具 scp 加密的方式在本地主机和远程主机之间复制文件 screen 用于命令行终端切换 sed 功能强大的流式文本编辑器 seinfo 查询SELinux的策略提供多少相关规则 包附带的另一个工具，允许你查询 socket 的有关 统计信息 ssh-add 把专用密钥添加到ssh-agent的高速缓存中 ssh-agent ssh密钥管理器 ssh-copy-id 把本地的ssh公钥文件安装到远程主机对应的账户下 ssh-keygen 为ssh生成、管理和转换认证密钥 ssh-keyscan 收集主机公钥的使用工具 ssh openssh套件中的客户端连接工具 sshd openssh软件套件中的服务器守护进程

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 还可以通过 proxy 代理本身执行远程命令或全局脚本，这种方式作为执行操作/全局脚本配置中的新选项提供 . . . . . . . . . . 152 2. 定义 . . . . . . . . . . . . . . . . . . - 重要信息 2 - 错误信息 3 - 警告 4 - 调试 (产生大量信息) 5 - 扩展调试 (产生更多信息) EnableRemoteCommands no 0 是否允许 server 远程执行命令. 0 - 禁止 1 - 允许 HostMetadata no 0-255 characters 可选参数用来定义主机元数据， 只有主机自动注册时才用到主 机元数据。 如果没有定义，该值通过 日志文件中, system - 写入 Windows 事件 日志, console - 控制台输出. Zabbix 3.0.0 后支持该参数. LogRemoteCommands no 0 允许执行远程命令记录日志. 0 - 禁止 1 - 允许 MaxLinesPerSecond no 1-1000 20 每秒向 server 发送数据的最大 行数， 或者 proxy 进程’log’, ’logrt’

统一的 OnCall 中心功能更强大，我们留待工具实践篇再详细阐述。 接下来我们聊一下“告警疏漏、无法闭环”的问题，核心就是告警发出来得有人处理，所谓的闭环，就是 指告警发出、认领、协作处理、问题恢复、复盘改进的整个过程。 虽然事件降噪的几个手段落实之后，事件数量确实变少了，但是处理告警事件显然不是一个让人愉快的事 情，不愉快的事情就要团队共担，所以第一个手段就是排班，专人做专事。 查看、管理，就会相互打扰。所以，OnCall 中心首先要设计一个协作空间的概念，来归类处理不同的事 件，比如根据团队划分，或者根据系统、子系统划分。FlashDuty 第一个菜单就是协作空间，就是这个设 计初衷。 比如我们团队是负责公司的支付系统，我们就可以创建一个以“支付”命名的协作空间。之后把支付团队 相关的告警都接入这个协作空间，支付团队可能用了 Zabbix、Prometheus Prometheus 类型的集成（Integration），要接 入 Nightingale 的告警事件，就需要创建一个 Nightingale 类型的集成（Integration），点击上例中的 “支付”协作空间，进入协作空间详情，其中有个【集成数据】的入口： 上例中我已经创建过多个集成了，你的环境是新的，只需要点击【+新增一个集成】，选择集成类型，随便 输入一个集成名称，就可以创建一个集成。