应用虚拟化

第四章 系统安全 4.1 操作系统概述 计算机是由硬件、操作系统软件、应用软件共同构成的复杂系统。 操作系统是一组管理与控制计算机软、硬件资源，为用户提供便捷计算服务的计算机程序的集合。 计算机操作系统的功能主要包括： 1）进程管理：也称处理器管理，主要对CPU的时间进行分配、对处理器的运行进行有效的管理。 2）内存管理 3）设备管理 4)文件管理 5）用户接口：用户接口主要分为命令行接口、图形界面接口和程序调用接口几种类型。 4.2 操作系统安全 4.2.1 操作系统的安全威胁与脆弱性 操作系统的安全威胁 威胁计算机操作系统安全的因素有很多，主要有以下几个方面： （1）非法用户或假冒用户入侵系统 （2）数据被非法破坏或者数据丢失 （3）不明病毒的破坏和黑客入侵 （4）操作系统运行不正常 操作系统的脆弱性 操作系统的脆弱性主要来自以下几方面： （1）操作系统的远程调用和系统漏洞 （2）进程管理体系存在问题 操作系统的常见漏洞包括： 1）空口令或弱口令 2）默认共享密钥 3）系统组件漏洞 4）应用程序漏洞 4.2.2 操作系统中常见的安全保护机制 安全保护机制有如下几种： 进程隔离和内存保护 运行模式：现代CPU的运行模式通常分为内核模式与用户模式两种运行模式：1） 内核模式：也称为特权模式。 2）用户模式：也称为非特权模式。 用户权限控制 文件系统访问控制

2019-2020-1学期 20192403 《网络空间安全专业导论》第十周学习总结 第四章 学习收获 操作系统概述 操作系统的主要功能 进程管理、内存管理、文件管理、用户接口、设备管理 操作系统安全 操作系统的安全威胁 非法用户或假冒用户入侵系统 数据被非法破坏或数据丢失 不明病毒的破坏和黑客入侵 操作系统运行不正常 操作系统的脆弱性 操作系统的远程调用和系统漏洞 进程管理体系存在问题：进程管理是操作系统的核心功能 空口令或弱口令 默认共享密钥 系统组件漏洞 应用程序漏洞 操作系统的常见安全保护机制 进程隔离和内存保护 运行模式：内核模式、用户模式 用户权限控制 文件系统访问保护控制 安全评估标准：A、B、C、D 常见操作系统 Windows系统用户可通过以下手段提升系统安全性 正确设置和管理系统用户账户 安全管理系统对外的网络服务 启用Windows系统日志功能，并对日志文件进行保护 Rooikit的组成 以太网嗅探器程序 隐藏攻击者的目录和进程的程序 一些复杂的Rooikit可以向攻击者提供telnet、shell、finger等服务 用来清理文件脚本 移动终端安全 移动终端概念 移动终端是指可以在移动中使用的计算机设备，可分为有线可移动终端和无线移动终端两类 安全问题 敏感信息本地存储 网络数据传输 应用安全问题 恶意软件 系统安全问题 Android平台及其安全 平台特性

1.过去20年中可编程网络的发展可以分为几个阶段？每个阶段的贡献是什么？ 分为的阶段 在过去20年中可编程网络的发展可以分为三个阶段，第一个阶段是主动网络（从20世纪90年代中期到21世纪初），它在网络中引入了可编程功能，以实现更大的创新；第二个阶段是控制和数据平面分离（从2001年到2007年左右），开发了控制和数据平面之间的开放接口；以及第三个阶段的OpenFlow API和网络操作系统（2007年至2010年左右），代表了广泛采用开放接口的第一个实例，并开发了使控制数据平面分离可扩展且实用的方法。 主要贡献 - 主动网络阶段 对主动网络的研究开创了可编程网络的概念，降低l了网络创新的障碍 SDN的最初动机通常引用了生产网络难以创新和提高可编程性的观点，其早期愿景大多集中在控制平面可编程性上，而主动网络则更多地集中在数据平面可编程性上。 网络可虚拟化，以及基于数据包头对软件程序进行多路分解的能力 主动网络产生了一个架构框架，描述了这样一个平台的组件。这个平台的关键组件是一个管理共享资源的共享节点操作系统（NodeOS）和一组执行环境（EEs），每个环境定义一个用于数据包操作的虚拟机，以及一组在给定EE内工作以提供端到端服务的活动应用程序（AAs）。 为middlebox编排提供统一架构的构想 尽管这一设想可能没有直接影响到最近关于NFV的工作

1. 虚拟化 1）什么是虚拟化 在计算机中，虚拟化(英语:Virtualization)是一种资源管理技术，是将计算机的各种 实体资源，如服务器、网络、内存及存储等，予以抽象、转换后呈现出来，打破实体结构间 的不可切割的障碍，使用户可以比原本的组态更好的方式来应用这些资源。这些资源的新虚 拟部份是不受现有资源的架设方式，地域或物理组态所限制。一般所指的虚拟化资源包括计 算能力和资料存储。 在实际的生产环境中，虚拟化技术主要用来解决高性能的物理硬件产能过剩和老的旧的 硬件产能过低的重组重用，透明化底层物理硬件，从而最大化的利用物理硬件 对资源充 分利用 虚拟化技术种类很多，例如:软件虚拟化、硬件虚拟化、内存虚拟化、网络虚拟化(vip)、 桌面虚拟化、服务虚拟化、虚拟机等等。 2）虚拟化种类 1）全虚拟化架构 虚拟机的监视器(hypervisor)是类似于用户的应用程序运行在主机的 OS 之上，如 VMware 的 workstation，这种虚拟化产品提供了虚拟的硬件。 2）OS层虚拟化架构 3）硬件层虚拟化 硬件层的虚拟化具有高性能和隔离性，因为 hypervisor 直接在硬件上运行，有利于控制 VM 的 OS 访问硬件资源，使用这种解决方案的产品有 VMware ESXi 和 Xen server Hypervisor 是一种运行在物理服务器和操作系统之间的中间软件层

很早之前，就有关于“每台机器（machine)应该有多少个服务”的讨论。在我们继续之 前，应该找一个比“机器”更好的术语。在前虚拟化时代，单个运行操作系统的主机与底 层物理基础设施之间的映射形式有很多种。因此，我倾向于使用“主机”（host)这个词来 做通用的隔离单元，也就是能够运行服务的一个操作系统。如果你直接在物理机上部署， 那么一台物理机映射到一台主机（在当前上下文中，这个词可能不完全正确，但确实也找 不到更好的了）。如果你使用了虚拟化，单个物理机会映射到多个独立的主机，并且每个 都可以包含一个或者多个服务。 所以在考虑不同的部署模型时，我会使用主机这个词。那么每台主机应该有多少个服 务呢？ 我有自己倾向的模型，但要考虑多个因素，来决定哪个模型最适合你。需要注意的一点 是：某些决定会限制可用的部署方式。 6.9.1单主机多服务 如图6-6所示，在每个主机上部署多个服务是很有吸引力的。首先，从主机管理的角度来 看它更简单。在一个团队管理基础设施，另一个团队管理软件的模式下，管理基础设施团 队的工作量通常与所要管理的主机量成正比。如果单个主机包含更多的服务，那么主机管 理的工作量不会随着服务数量的增加而增加。其次是关于成本。即使你有一个能够提供一 些配置和更改虚拟主机大小等服务的虚拟化平台，虚拟化的基础设施本身也会占用一部分 资源，从而减少服务可用的资源。在我看来

1. 虚拟化基础概念 01. 什么是虚拟化？ 虚拟化，是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机，每个逻辑计算机可运行不同的操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率 虚拟化使用软件的方法重新定义划分IT资源，可以实现IT资源的动态分配、灵活调度、跨域共享，提高IT资源利用率，使IT资源能够真正成为社会基础设施，服务于各行各业中灵活多变的应用需求。 02. 为什么要用虚拟化？ 提高计算机资源的利用率和程序运行环境的安全隔离，还可以有效限制程序的资源占用 优势： 1.降低运营成本 　　服务器虚拟化降低了IT基础设施的运营成本，令系统管理员摆脱了繁重的物理服务器、OS、中间件及兼容性的管理工作，减少人工干预频率，使管理更加强大、便捷。 　　 2.提高应用兼容性 　　服务器虚拟化提供的封装性和隔离性使大量应用独立运行于各种环境中，管理人员不需频繁根据底层环境调整应用，只需构建一个应用版本并将其发布到虚拟化后的不同类型平台上即可。 　　 3.加速应用部署 　　采用服务器虚拟化技术只需输入激活配置参数、拷贝虚拟机、启动虚拟机、激活虚拟机即可完成部署，大大缩短了部署时间，免除人工干预，降低了部署成本。 　　 4.提高服务可用性 　　用户可以方便地备份虚拟机，在进行虚拟机动态迁移后，可以方便的恢复备份

运维工程师—李晨星 一、虚拟化 1. 什么是虚拟化 虚拟化，是指通过虚拟化技术模拟计算机的硬件，虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机，每个逻辑计算机可运行不同的操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率。 虚拟化使用软件的方法重新定义划分IT资源，可以实现IT资源的动态分配、灵活调度、跨域共享，提高IT资源利用率，使IT资源能够真正成为社会基础设施，服务于各行各业中灵活多变的应用需求。 2. 虚拟化软件的差别 Linux虚拟化软件： qemu：软件纯模拟全虚拟化软件，特别慢！AIX，兼容性好！ Xen：性能特别好，需要使用专门修改之后的内核，兼容性差！ KVM：虚拟机，它有硬件支持CPU，基于Linux内核，而且不需要使用专门的内核！性能较好，兼容较好 VMware：图形界面，虚拟机管理管理软件，同时可运行多个操作系统在主系统的平台上，可以进行虚拟的分区、配置而不影响真实硬盘的数据，可通过网卡将虚拟机连为局域网，极其方便。 virtual box：号称最强的免费虚拟机软件，Oracle已收购，非常小。使用上和VMware差不多，有点耗CPU。 二、XenServer服务器虚拟化平台 1. 首先从Xen开始说起 Xen体系的架构 Xen 的 VMM ( Xen Hypervisor ) 位于操作系统和硬件之间

过去20年中可编程网络的发展可以分为几个阶段？每个阶段的贡献是什么？ 分为三个阶段 1.主动网络阶段（从20世纪90年代中期到21世纪初） A.对主动网络的研究开创了可编程网络的概念，降低了网络创新的障碍 SDN的最初动机通常引用了生产网络难以创新和提高可编程性的观点，其早期愿景大多集中在控制平面可编程性上，而主动网络则更多地集中在数据平面可编程性上 网络可虚拟化，以及基于数据包头对软件程序进行多路分解的能力 B.主动网络产生了一个架构框架，描述了这样一个平台的组件。这个平台的关键组件是一个管理共享资源的共享节点操作系统（NodeOS）和一组执行环境（EEs），每个环境定义一个用于数据包操作的虚拟机，以及一组在给定EE内工作以提供端到端服务的活动应用程序（AAs） C.为middlebox编排提供统一架构的构想 尽管这一设想可能没有直接影响到最近关于NFV的工作，但随着我们进一步应用基于SDN的控制和协调中间盒，从主动网络研究中得到的各种教训可能会证明是有用的 D.20世纪90年代初，主动网络研究项目探索了传统互联网栈通过IP或异步传输模式(ATM)或另一种主流网络提供的服务的根本替代方案。 2.控制面与数据面分离（从2001年到2007年左右） A.催生了两项创新：控制平面与数据平面之间的开放接口和在逻辑上对网络的集中控制 例如，lIETF工作组提出了一个标准的

知识 =》技能 需要大量的练习 相当于复盘 要有成就感 在一个领域深挖，再迁移到其他领域 1、两周以后的知识留存率： 　　主动学习： 　　　　动手实践：40% 　　　　讲给别人听：70% 　　　　　　　　写博客：是写教程，便于以后复习（必须完成） 　　　　　　　　　　　　5W+1H（what， why， when， where，who， How） 　　被动学习： 　　　　听课：10% 　　　　笔记：20% 2、Linux运维课程体系 　　Linux入门 　　Linux系统管理 　　Linux服务及安全管理 ： 　　　　　　httpd，lamp，lnmp 　　　　　　Cache：memcached，varnish 　　　　　　DB:mysql (MariaDB) 　　Linux Cluster 　　　　LB Cluster：Nginx，LVS 　　　　HA Cluster： Keepalived 　　　　Linux Ops：ansible 　　　　Monitoring：zabbix 　　　　Ｓｈｅｌｌ脚本编程 　　　　httpd: 　　　　　　tomat，lnmt，lamt ，session replication Cluster 　　　　　　分布式存储系统： 　　　　　　　　　　MogileFS，GlusterFS 　　　　　　ＬＢ　Ｃｌｕｓｔｅｒ：　ｈａｐｒｏｘｙ 　　　　　

1.过去20年中可编程网络的发展可以分为几个阶段？每个阶段的贡献是什么？ 分为的阶段 在过去20年中可编程网络的发展可以分为三个阶段，第一个阶段是主动网络（从20世纪90年代中期到21世纪初），它在网络中引入了可编程功能，以实现更大的创新；第二个阶段是控制和数据平面分离（从2001年到2007年左右），开发了控制和数据平面之间的开放接口；以及第三个阶段的OpenFlow API和网络操作系统（2007年至2010年左右），代表了广泛采用开放接口的第一个实例，并开发了使控制数据平面分离可扩展且实用的方法。 主要贡献 - 主动网络阶段 对主动网络的研究开创了可编程网络的概念，降低l了网络创新的障碍 SDN的最初动机通常引用了生产网络难以创新和提高可编程性的观点，其早期愿景大多集中在控制平面可编程性上，而主动网络则更多地集中在数据平面可编程性上。 网络可虚拟化，以及基于数据包头对软件程序进行多路分解的能力 主动网络产生了一个架构框架，描述了这样一个平台的组件。这个平台的关键组件是一个管理共享资源的共享节点操作系统（NodeOS）和一组执行环境（EEs），每个环境定义一个用于数据包操作的虚拟机，以及一组在给定EE内工作以提供端到端服务的活动应用程序（AAs）。 为middlebox编排提供统一架构的构想 尽管这一设想可能没有直接影响到最近关于NFV的工作