先进的centos7文件安全与centos7.2--15.11发布说明--全网首发

关键词：

特别的文件属性:

    可以设置一个不可变的文件, 保障文件不被错误的操作以及黑客和攻击者而被删除，可以使用附加的旗（flag,)，使用户和服务可以附加数据到文件，但不能改变前面的数据、也不能删除数据。 

    使用：“lsattr” 命令看文件属性, 使用“chattr”命令修改文件属性。chattr 命令用+/-来增加和删除属性。

chattr +x file.txt    >> 增加属性 x 到 file.txt文件

chattr -x file.txt   >> 移除属性 x 到 file.txt文件

文件属性例子:

1. 显示属性

[[email protected] ~]# lsattr a.txt

---------------- a.txt

2. 设置不可变熟悉:

[[email protected] ~]# chattr +i a.txt

3. 显示属性:

[[email protected] ~]# lsattr a.txt

----i----------- a.txt

4. 禁止活动属性使用 “-”号 :

[[email protected] ~]#  chattr -i a.txt 

可以使用的属性:

a: 仅用于附加

i: 不可变文件, 不能用于删除、修改、重命名, 没有连接点到这个文件。

S: 同步写入磁盘文件.

u: 文件设置为删除, 但内容被保存,并且用户可以不删除它.

访问控制列表--FACL:

基本的文件有: 拥有者、组、其它用户三种访问控制。

“getfacl” 命令列出文件/目录的访问控制列表。

“setfacl” 改变文件和目录的访问控制列表/

1. 显示文件 a.txt的访问控制列表:

[[email protected] ~]# getfacl a.txt

# file: a.txt

# owner: en1

# group: en

user::rw-

user:en2:rwx                    #effective:---

group::r--                      #effective:---

mask::---

other::r—

 其中，mask为：

2. 给文件a.txt增加 read 和 write 权限到用户 “us1”

[[email protected] ~]# setfacl -m u:us1:rw a.txt

3. 给文件a.txt增加 read 和 write 权限到用户 “us2”, 同时增加只读权限到组“grp1”

[[email protected] ~]# setfacl -m u:us2:rwx,g:grp1:r a.txt

4. 现在在显示文件 a.tx的文件访问列表:

[[email protected] ~]# getfacl a.txt

# file: a.txt

# owner: en1

# group: en

user::rw-

user:us1:rw-

user:us2:rwx

group::r--

group:grp1:r--

mask::rwx

other::r—

5. 删除所有的文件访问列表规则:

[[email protected] ~]# setfacl -b a.txt

6. 删除用户 “us1”的所有文件访问列表规则

[[email protected] ~]# setfacl -x u:us1 a.txt

-R 选项提供递归访问所有文件列表，如果没有使用；为：目录后才是内容

“setfacl”命令:能使用的其它选项

-b : 删除所有用户访问列表

-x : 删除一个指定用户的访问列表

-k : 删除缺省的访问列表

-m : 修改访问列表

-R : 提供递归访问列表

centos7.2 15.11发布说明

1. 主要改动

此部份有待检阅。

• 从发行版 1503 （abrt>= 2.1.11-19.el7.centos.0.1）开始，CentOS-7 可以直接向bugs.centos.org报告bug，你在这里可以找到更多关于此特性的信息

• sudo 现在能够验证命令的校验和

• 一个 Kerberos https 代理现在可供进行身份管理

• NSS 不再接受 < 768 的 DH 密钥参数，也不再接受大小 < 1024 位的 RSA/DSA 证书。NSS现在默认启用了 TLS1.1/1.2

• 许多软件包现在支持 NSS TLS1.1/1.2 以及 EC 密码

• SCSI LUN 的最大数量已经被增加了。

• virt-v2v 命令行工具现在被完全支持

• dd 现在可以显示传输进度

• OpenJDK7 现在为 TLS 连接支持 ECC

• TPM 2.0版本的驱动级别支持已经被加入

• tcpdump 现在支持纳秒时间戳

• 更新了各种网络栈（即 VXLANs、Data Center TCP、TCP/IP Stack、IPSec 等）

• 更新了各种原子性操作相关的软件包

• 更新了 libATA、FCoE 以及 DCB 存储驱动

• 更新了各种存储、网络以及图形驱动

• 若在安装时添加了额外的软件仓库，则 Anaconda 现在可以支持 NFS

• 以下软件经过了 rebase 操作：Gnome 从 3.8 到 3.14、KDE 从 4.3 到 4.14, Xorg-X11-Server 从 1.15 到 1.17、libreoffice 从 4.2.8 到 4.3.7、openldap 从 2.4.39 到 2.4.40 等等

 因为这些 rebase 的第三方软件仓库（像是 EPEL、ELRepo、nux! 等等）也许没有把他们所有的软件包重新构建以便在这个发行版里使用最新的软件包，所以这也许会导致不能升级到新的发行版。直到他们修复软件仓库的依赖关系为止。你应该联系第三方软件仓库的所有者以便修复问题或者从第三方仓库里移除有问题的软件包以便完成发行版的升级。

• 技术预览：支持 Btrfs 文件系统、OverlayFS、DNSSEC、kpatch、virt-p2v 工具以及 Cisco VIC 内核驱动

更多数据已收录在此处。

2. 废弃的功能

该发行版没有废弃的功能。

3. 已知问题

上游的已知问题清单已收录在此处。由于我们是从同一组源码所创建出来，上述的大部份问题，就算不是全部，都很有机会出现在 CentOS Linux。

• initramfs 文件现在明显比 CentOS-7（1503）大。如果你的 /boot 分区小于 400MB，你也许想减小 /etc/yum.conf 文件内的 installonly_limit 以便减少已安装内核的数量。新的系统安装应该考虑使用 1GB 作为 /boot 分区的大小。

• libreoffice 的电子表格组件calc引入了一个错误，这影响到电子表格的排序功能。请参见这里和这里的错误报告。

• 此发行版本内的新版 openssh 并不会像旧版本般于 .ssh/config 档内找到首个配对便离开。这意味了当配置文件有多个 host 部份同时配对某台主机时，它们全部都会获取纳。举个例说：要是你同时有 host1.example.com 的设置和 *.example.com 的设置，这两组设置都会被套用在 host1.example.com 上，但只有 *.example.com 会被套用在 host2.example.com。

• 很多用户投诉新缺省的 NetworkManager 工具不会启用乙太网络界面，安装时必须以人手启用。

• 安装和使用 CentOS-7(1511) 至少需要1024 MB的内存，当使用 Live ISO 安装时，1024 MB内存会造成安装缓慢或者安装失败。安装 LiveGNOME 或 LiveKDE 则推荐使用至少1344 MB的内存。

• 如果你画面的解像度是 800x600 或更低，安装画面的下端将会被裁掉。

• VMware Workstation／VMware ESXi 可让你安装两种不同的虚拟 SCSI 适配器：BusLogic 和 LsiLogic。然而 CentOS-7 的缺省内核并不包含对应的两个驱动程序，因此利用 CentOS Linux 的缺省值安装在 SCSI 硬盘上，系统将会不能开机。假如你选择 Red Hat Enterprise Linux 作为操作系统，它会选择适用的半虚拟化 SCSI 适配器。

• ifconfig／netstat 等常用工具已有一段时间被标签为降级，而 net-tools 组件亦不再纳入 @core 群组内，因此缺省是不会安装它。如果你真的需要它，请利用nmcli c up ifname <界面名称> 启用你的网络，然后通过 yum 安装该组件。Kickstart 用户可以在安装时加入 net-tools 这个组件。

• AlpsPS/2 的 ALPS DualPoint TouchPad 在 CentOS-7 的缺省下不能运用边沿滚动。

• 截至 VirtualBox 5.0.10 版，vBox additions 都不能创建。更多信息参见此处。这次修复开始于 5.0.12。

• 从 7.1 升级至 7.2 时，管理组件更新的 GNOME 应用程序会被删除。这多数是由于 gnome-packagekit 组件被分割起来。手动执行 yum install gnome-packagekit-updater 可修正这个问题。

4. 已修正问题

• 推荐去勘误页面这里查看所有已修正的问题，并查看2015年11月9号之后的修正。

5. 组件及应用程序

5.1. 被 CentOS 修改了的组件

• abrt

• anaconda

• apache-commons-net

• basesystem

• chrony

• compat-glibc

• dhcp

• firefox

• grub2

• httpd

• initial-setup

• ipa

• kabi-yum-plugins

• kernel

• libreport

• ntp

• openssl098e

• PackageKit

• plymouth

• redhat-lsb

• redhat-rpm-config

• shim-signed

• sos

• subscription-manager

• system-config-date

• system-config-kdump

• thunderbird

• xulrunner

• yum

5.2. 被 CentOS 删除但包含在上游发行内的组件

• Red_Hat_Enterprise_Linux-Release_Notes-7-*

• redhat-access-gui

• redhat-bookmarks

• redhat-indexhtml

• redhat-logos

• redhat-release-*

• subscription-manager-firstboot

• subscription-manager-migration

• subscription-manager-migration-data

5.3. 被 CentOS 新增但不包含在上游发行内的组件

• centos-bookmarks

• centos-indexhtml

• centos-logos

• centos-release

本文出自 “瑞航启程--下一代企业应用” 博客，谢绝转载！

centos7.2安装subversion（svn）

CentOS7.2安装Subversion（SVN）subversion简介Subversion是一个自由开源的版本控制系统。在Subversion管理下，文件和目录可以超越时空。 Subversion将文件存放在中心版本库里，这个版本库很像一个普通的文件服务器，不同的是，它可以... 查看详情

centos7.2关闭防火墙

CentOS7的防火墙配置跟以前版本有很大区别，CentOS7这个版本的防火墙默认使用的是firewall，与之前的版本使用iptables不一样1、关闭防火墙：systemctlstopfirewalld.service   2、开启防火墙：systemctlstartfirewalld.service   ... 查看详情

centos7常用命令大全

CentOS7常用命令集合       这两天一直在对CentOS7.2进行初体验，各种学习命令肿么用，不过其实大多和DOS是一样的，只是命令的表达上可能有点儿不一样，毕竟这些都不是一家出来的嘛~    &... 查看详情

checkpoint/restoreinuserspace（criu）的安装与使用（centos7.2）

参考网址：Installation-CRIUCRIU安装：获取CRIU的源代码gitclonehttps://github.com/xemul/criu或者wgethttp://download.openvz.org/criu/criu-x.x.tar.bz2tar-xvfcriu-x.x.tar.bz2安装编译依赖软件yuminstallgccmake-yyuminstallglibc-deve 查看详情

centos7.2搭建yum的注意事项

       最近，在做yum本地源的测试下面分享几点：        关于安全机制（防火墙和SELinux):       在centos7下防火墙的设置在/usr/sbin/f 查看详情

centos7.2fastdfs_v5.05集群的安装与配置

环境：Centos7.2/64位 两台服务器都为tracker和storage10.100.0.1 storagetracker10.100.0.2 storagetracker1和2安装配置类似，下面以一台为例  1,安装依赖包，添加fastDFS运行用户yum install -y zlib zlib-d 查看详情

sonar6.0基于centos7.2安装与使用

  Sonar是一个用于代码质量管理的开源平台，用于管理源代码的质量，可以从多个维度检测代码质量，通过插件形式，可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测。一、安装... 查看详情

centos7.2安装与配置jdk8

系统环境：centos7安装方式：rpm安装软件：jdk-8u25-linux-x64.rpm下载地址：http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html检验系统原版本[[email protected]~]#java-versionjavaversion"1.7.0_"O 查看详情

centos7.2编译安装dropbear

    Dropbear是一个相对较小的SSH服务器和客户端。是另一款ssh协议的开源实现；主要功能：    类似于OpenSSH，实现完整的SSH客户端和服务器版本2协议。但它不支持SSH版本1，以节省空间和资源，并避免... 查看详情

centos7常用命令集合

CentOS7常用命令集合       这两天一直在对CentOS7.2进行初体验，各种学习命令肿么用，不过其实大多和DOS是一样的，只是命令的表达上可能有点儿不一样，毕竟这些都不是一家出来的嘛~    &... 查看详情

centos7.2安装svn服务

简介Subversion(SVN)是一个开源的版本控制系統,也就是说Subversion管理着随时间改变的数据。这些数据放置在一个中央资料档案库(repository)中。这个档案库很像一个普通的文件服务器,不过它会记住每一次文件的变动。这样你就可以把... 查看详情

centos7.2下搭建zabbix3.2（简）

一、简介      zabbix（音同zbix）是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。    zabbix能监视各种网络参数，保证服务器系统的安全运营；并提供灵活... 查看详情

【chrony】centos7.2上chrony的安装与配置

...一直以来众多发行版里标配的都是ntpd对时服务，自rhel7/centos7起，Chrony做为了发行版里的标配服务，不过老的ntpd服务依旧在rhel7/centos7里可以找到。Chrony有两个核心组件：chronyd：是守护进程，主要用于调整内核中运行的系统时间... 查看详情

centos7.2如何升级到centos7.3最新版本

最近centos发布了最近版本7.3。centos7.0，7.1，7.2支持升级到7.3最新版本。centos中“update”命令可以一次性更新所有软件到最新版本。注意：不推荐使用update的y选项，-y选项会让你在安装每项更新前都进行确认（注：这样会非常费时... 查看详情

centos7.2离线安装gcc(代码片段)

1、查看有没有挂载centos7.2的镜像源文件 2、如果没有就通过服务端挂载 如果不知怎么挂载，就解压CentOS-7-x86_64-DVD-1511.iso镜像文件，在Packages找到所需要的rpm包，上传安装  3、运行命令cd/run/media/root/CentOS\\7\\x86_64/Pac... 查看详情

centos7.2安装zabbix3.0lts

1、zabbix简介　　zabbix（音同z?bix）是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。　　zabbix能监视各种网络参数，保证服务器系统的安全运营；并提供灵活的通知机制以让系统管理员快速定... 查看详情

修改centos7.2系统的默认启动内核模式

...顺序，只需要修改/etc/grub.conf里的default项配置即可。那么centos7系统该如何修改呢？ 下面就centos7系统修改内核，做如下记录：一般在编译安装新内核完成后，系统默认启动的还是旧内核，你需要告诉系统我要启动新内核，系... 查看详情

centos7本地yum源

本地yum源搭建环境介绍：1、虚拟机版本：VMwareWorkstation12Pro2、安装系统：CentOS7.23、光盘或镜像文件：CentOS7.2镜像文件 (1)挂载CentOS7.2镜像文件到/mnt目录    [[email protected]~]#mount/dev/cdrom/mnt/    查看详情