红帽RH134知识复习（2）

第4章 归档和传输文件

1. tar命令支持哪三种压缩方式？它们分别使用什么选项？

        tar 命令本身并不直接支持压缩，它只是一个打包工具。但是，它可以与压缩工具一起使用来创建压缩包。以下是三种常见的压缩方式及其对应的选项：

gzip：使用 -z 选项，例如 tar -czvf archive.tar.gz files-to-compress。

bzip2：使用 -j 选项，例如 tar -cjvf archive.tar.bz2 files-to-compress。

xz：使用 -J 选项，例如 tar -cJvf archive.tar.xz files-to-compress。

2.使用 rsync 和 scp 时二者有什么区别?

        scp（Secure Copy Protocol）是一个基于 SSH（Secure Shell）的文件传输工具，用于在两台计算机之间安全地复制文件。它主要用于一次性文件传输，不支持增量备份。

        rsync 是一个更强大的文件传输工具，也通过 SSH 工作，但它支持增量备份、文件同步和远程执行命令。rsync 可以更有效地处理大文件和大量文件的传输，因为它只传输文件的变更部分。

主要区别在于：

scp 更简单，适合一次性文件传输。

rsync 提供更多功能，如增量备份、同步和压缩，适合需要高效文件传输和同步的场景。

3.解释命令 scp -r root@remoteuser:/var/log /tmp 的作用。

这个命令使用 scp 工具从远程服务器复制文件。具体解释如下：

1. scp：命令名称，表示安全复制。

2. -r：选项，表示递归复制，即复制目录及其所有子目录和文件。

3. root@remoteuser：指定远程服务器的用户名和主机名。这里假设远程服务器的用户名是 root，主机名是 remoteuser。

4. /var/log：远程服务器上的源目录，即要复制的目录。

5. /tmp：本地计算机上的目标目录，即复制到的目录。

        整个命令的作用是：从名为 remoteuser 的远程服务器上，以 root 用户身份，递归地复制 /var/log 目录下的所有文件和子目录到本地计算机的 /tmp 目录中。

第5 章 调优系统性能

1.系统管理员可以使用哪个命令来更改tuned守护进程的设置？

系统管理员可以使用 tuned-adm 命令来更改 tuned 守护进程的设置。例如，使用 tuned-adm active 查看当前激活的配置文件，使用 tuned-adm profile <profile-name> 来激活一个新的配置文件

2.nice 值是什么？

nice 值是一个进程调度的优先级参数，用于影响进程的 CPU 时间片分配。

nice 值的范围通常是从 -20（最高优先级）到 19（最低优先级）。默认的 nice 值是 0。

3.如何使用 top 和 ps 命令查看 nice 级别?

在 top 命令的输出中，NI 列显示了进程的 nice 值。

使用 ps 命令时，可以通过 ps -l 来查看进程的 nice 值，它显示在 NI 列中。（-o选项也可）

4.使用 nice 命令启动进程时，进程的默认值是多少？

        使用 nice 命令启动进程时，如果没有指定 nice 值，进程将继承其父进程的 nice 值。通常情况下，如果没有特别设置，这个默认值是 0。

5.如何更改现有进程的nice级别？

可以使用 renice 命令来更改现有进程的 nice 级别。例如，renice -n 10 -p <PID> 将指定进程的 nice 值更改为 10。这里 -n 指定新的 nice 值，-p 后面跟进程的 ID。（只有root用户可以提升，普通用户只可以降低）

第六章 管理SElinux安全性

1.SELinux 是如何保护资源的?

SELinux 通过强制访问控制策略类型标签系统 实现了最小权限原则：进程仅能访问策略明确允许的资源。纵深防御：即使应用被入侵，攻击者也无法越权访问其他资源。策略灵活性：通过布尔值和策略模块适应复杂环境需求。

2.什么是强制访问控制(MAC)?它有什么特点?

强制访问控制（MAC）通过集中管理的安全策略、标签化系统和默认拒绝原则，实现权限最小化：进程仅能访问策略明确允许的资源。强制隔离：即使应用被入侵，攻击者无法横向移动。不可绕过性：规则由内核强制执行，用户或进程无法篡改。

正是这些特性使 MAC 成为 SELinux 抵御高级威胁的核心支柱。

3.什么是 SELinux 上下文?

SELinux 上下文（Security-Enhanced Linux Context）是附加在系统资源（如文件、目录、进程、端口等）上的安全标签，用于实现强制访问控制（MAC）。它是SELinux安全策略的核心组成部分，通过定义资源的安全属性来精细控制访问权限。

4.setenforce0 命令的作用是什么?

setenforce 0的核心作用是：临时禁用 SELinux 的强制拦截功能，转为仅记录违规。运维关键价值：在不降低系统安全状态的前提下（策略仍加载），排查权限问题。

5.定义一条SELinux文件上下文规则，以便将 /custom 目录及目录中所有文件的上下文类型设置为 httpd sys _content_t。

# 添加永久文件上下文规则

sudo semanage fcontext -a -t httpd_sys_content_t "/custom(/.*)?"

# 立即应用规则到目录

sudo restorecon -Rv /custom

# 查看目录上下文

ls -Zd /custom

# 正确输出示例：unconfined_u:object_r:httpd_sys_content_t:s0 /custom

# 查看目录内文件上下文

ls -Z /custom/*

# 所有文件应显示 httpd_sys_content_t 类型

# 确保目录权限允许 Apache 访问（DAC 层面）

sudo chown -R apache:apache /custom

sudo chmod -R 755 /custom