Linux on UOG的BLOG

SELinux 学习

Sat, 30 May 2026 21:25:58 +0800

SElinux简介链接到标题

SElinux 阻止小白学习linux的一大拦路虎
这东西其实就是用来防止小白误操作的。
但是你学linux怎么能不误操作几次呢
哪有每个命令都敲对的，不错几次不是人。
这个东西，主要是在rwx这个限制上加上另一种限制
防止进程访问一些他不能访问的资源。有些意思的是
限制是加在inode上的，ntfs其实有可能不能用这个（我没调查过）
具体的机制我很难几句话说清楚，所以建议看鸟哥书。

SElinux工作模式链接到标题

3个： disable：不工作 permissive：有问题只写写log enforcing：有问题直接禁止 SElinux的限制只发生在rwx这些权限后！！

SElinux某些概念链接到标题

政策（策略比较合适其实）与规则：其实有点像默认配置，说默认那种那种什么什么限制，有多种政策。

安全本文(security context):另一种rwx权限罢了，但是设计的很闹心，每个不同对象（进程，文件，端口）含义不一样

对象	安全本文	含义
进程如chronyd守护进程	system_u:system_r:chronyd_t	他是system用户权限，可以使用system_r角色（system_u还可以使用其他的），他这个的作用域是chrony_t（这个角色还可以使用其他的域），chrony_t基本决定他可以碰那些文件
文件如chronyd的2进制文件	system_u:object_r:chronyd_exec_t	第一个表示谁创建的，第2个表示他是文件，无意义，第3个表示他一般属于chronyd域（这个有默认命名规则的）

模式操作链接到标题

getenforce # 看看是3种的哪一种模式
setenforce 0 # 调成permissive
setenforce 1 # 调成enforcing

sestatus # 详细设置，看策略

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

设置开机下的模式

Linux_kvm

Wed, 27 May 2026 22:12:04 +0800

linux看cpu是否支持和kvm是否加载链接到标题

看cpu支不支持虚拟化链接到标题

lscpu | grep vmx # intel 用这个 
lscpu | grep svm # amd 用这个

lsmod | grep kvm # 看kvm是否加载
modeprone kvm # 加载kvm

安装虚拟化软件链接到标题

apt/yum/pacman qemu # 虚拟外围设备
apt/yum/pacman dnsmasq # dns服务器，虚拟网络需要
apt/yum/pacman libvirt # 虚拟化服务
systemctl start libvirtd.socket # 启动虚拟化服务

virsh 使用看虚拟化能力链接到标题

virsh是一个整合好的，用于启动配置虚拟化的工具包

# 检查本机的相关虚拟化能力
virsh capabilities | less # 具体参数是什么意思可以看鸟哥的网站
# 检查支持的 q35 芯片组，内部硬件仿真可以是什么样
virsh domcapabilities --machine q35 --arch x86_64 # 我是不懂为什么鸟哥书上要搞个machine，其实我感觉看一个架构x86_64就好
#结果中重要是看virtio是否可行,一般都行

systemd学习

Thu, 14 May 2026 11:35:43 +0800

systemd 是为了管理系统服务的程序链接到标题

systemd一般是第一个进程管理服务（这里的服务主要是指在后台运行的程序，输入\出都不为用户所知） systemd 中最小单元是unit也叫service，unit就是一个程序，可由systemd的配置文件配置好如何启动，如何运行，何时运行，运行多久，运行多少次（其实这个软件可以用来代替cron和at这两个东西，但不如这两个方便）

unit操作（其实也可以操作更多）链接到标题

操作	命令	说明
分析系统状态
查看系统状态	`systemctl status`
列出运行中的单元	`systemctl` 或 `systemctl list-units`
列出失败的单元	`systemctl --failed`
列出已安装的单元文件	`systemctl list-unit-files`
查看指定 PID 的进程状态	`systemctl status <pid>`	包括 cgroup slice、内存和父进程信息
检查单元状态
查看单元关联的手册页	`systemctl help <unit>`	需单元支持
查看单元状态	`systemctl status <unit>`	包括是否正在运行
检查单元是否已启用	`systemctl is-enabled <unit>`
启动、重启、重载单元
立即启动单元	`systemctl start <unit>`	需 root 权限
立即停止单元	`systemctl stop <unit>`	需 root 权限
重启单元	`systemctl restart <unit>`	需 root 权限
重载单元及其配置	`systemctl reload <unit>`	需 root 权限
重载 systemd 管理器配置	`systemctl daemon-reload`	需 root 权限；扫描新增或变更的单元
启用单元
设置单元开机自启	`systemctl enable <unit>`	需 root 权限
设置单元开机自启并立即启动	`systemctl enable --now <unit>`	需 root 权限
取消单元开机自启	`systemctl disable <unit>`	需 root 权限
取消单元开机自启并立即停止	`systemctl disable --now <unit>`	需 root 权限
重新启用单元	`systemctl reenable <unit>`	需 root 权限；即先禁用再重新启用
屏蔽单元
屏蔽单元（使其无法启动）	`systemctl mask <unit>`	需 root 权限
解除单元屏蔽	`systemctl unmask <unit>`	需 root 权限
这里注意

reload的启动的服务的配置文件
不要乱搞mask，搞之前看看依赖。systemctl list-dependencies 你要看的服务.target

soft reboot (不知道是什么,说是可以不停机切换内核，有点高级以后再看) 链接到标题

配置文件编写链接到标题

路径链接到标题

配置文件启动顺序超级复杂，有system层面的和user层面的（我是不知道这两个有什么区别，我都是默认的直接用系统层面的）用systemctl show --property=UnitPath | cat看那些是配置目录用系统层面要注意下面几个配置目录

Linux on UOG的BLOG

SELinux 学习

SElinux简介 链接到标题

SElinux工作模式 链接到标题

SElinux某些概念 链接到标题

模式操作 链接到标题

Linux_kvm

linux看cpu是否支持和kvm是否加载 链接到标题

看cpu支不支持虚拟化 链接到标题

安装虚拟化软件 链接到标题

virsh 使用 看虚拟化能力 链接到标题

推荐配置目录 链接到标题