检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果云服务希望执行更多的安全加固项目,可以参考《HCE 2.0安全配置基线》或华为云其他OS安全加固规范。 SElinux开启会影响系统性能,HCE默认关闭。启用SElinux需要多次重启操作系统,不具备一键开启的能力,如果需要开启,请参考如何开启HCE操作系统的SELinux功能?。 gen
cfg文件,增加启动参数module.sig_enforce=1。 Kernel参数 值 说明 module.sig_enforce 0 关闭内核对ko模块的校验,重启生效。 1 开启内核对ko模块的校验,重启生效。 HCE 2.0签名公钥证书 HCE 2.0 KEK证书和HCE
如何开启HCE操作系统的SELinux功能? HCE操作系统默认关闭SELinux功能。如果业务需要开启SELinux 功能,请参照本节指导操作。 请按照本节指导开启SELinux功能,勿直接通过/etc/selinux/config开启SELinux功能,否则可能会出现无法登录的问题。
n.txt文档列出了可能触发RCU stall的场景:cpu在rcu reader临界区一直循环,cpu在关闭中断或关闭抢占场景中一直循环等。 hung task 当内核检测到进程处于D状态超过设定的时间时,上报hung task异常。 原理 进程其中一个状态是TASK_UNIN
后,及时修补漏洞。 HSS和VSS的漏洞检测和修复功能可以满足。如果有其他漏洞检查方式,可自行举证并忽略此项。 e)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 HSS入侵检测和告警功能可以满足。如果已有其他检测与告警方式,可自行举证并忽略此项。 恶意代码防范
已配置真实服务器 如上图是完整的有真实服务器的配置。 如果希望排除该IPVS错误日志在VNC上对用户操作的干扰,可以按如下的方式处理(选择其中一种即可) 关闭业务发送的网络请求,具体操作需要用户根据自身业务情况来处理。 执行以下命令调整内核printk打印等级。 echo 3 4 1 7 > /
python3 //任意目录执行安装命令 如果CentOS 7.9系统已经安装python3,请忽略此步骤。 关闭selinux。 为了保证迁移前后系统配置文件一致,需要关闭selinux。 修改/etc/selinux/config文件,将config文件中SELINUX的值设置成disabled。
Apache安装 简介 Apache HTTP Server(简称Apache)是Apache软件基金会的一个开源网页服务器,可以在大多数操作系统中运行,由于其能跨平台、安全性高而被广泛使用,是最流行的Web服务器软件之一,其拥有的特性包括支持FastCGI、支持SSL、集成Perl处理模块等。本教程介绍如何在HCE
装RPM包。HCE不支持此种安装方式。因此系统迁移前,须关闭module功能。 “yes”表示系统迁移前会自动关闭系统上的modules,默认为“yes”。 “no”表示系统迁移前不会自动关闭系统上的modules,且若检测到有modules开启时,迁移操作中断。 [system]
当前加速状态(Initialized/DataCollecting/Optimizing/HotPatching/Done/Failed) check check <PID> 检测当前进程是否支持静态/动态加速,展示文字结果。 show show <PID> 查询进程的依赖关系 conf conf <PID> 为目标
chroot进入临时目录,进行如下配置。 chroot /tmp/docker_rootfs 使用HCE security-tool.sh关闭不必要服务。 export EULEROS_SECURITY=0 echo "export TMOUT=300" >> /etc/bashrc
隔,单位是秒。默认值为3600秒。 motd_setup: 设置登录提示是否开启。默认为True。 True:开启登录提示。 False:关闭登录提示,设置后会立刻删除登录提示,并且不会再次生成。如果重新开启,需要使用osmt update -s或任意升级命令重新触发生成。 [Package]
在线网卡。 示例:关闭eth0网卡收包方向Qos功能。 tbwmcli -d eth0 ingress disable eth0 ingress success tbwmcli -d ethx 强制关闭某个网卡的所有Qos功能,并关闭ifb功能。 示例:强制关闭eth0网卡的所有Qos功能,并关闭ifb功能。
升级XGPU服务 XGPU服务采用冷升级的方式。 关闭所有运行中的容器。 docker ps -q | xargs -I {} docker stop {} 升级xgpu的rpm包。 rpm -U hce_xgpu 卸载XGPU服务 关闭所有运行中的容器。 docker ps -q |
OOM优先级配置时(即memcg_qos_enable配置为1或2),须先执行sysctl -w vm.panic_on_oom=0命令,关闭系统参数vm.panic_on_oom。 memcg OOM优先级接口功能说明 接口 说明 取值 memcg_qos_enable memcg
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
