前言 SELinux 是强制访问控制（Mandatory Access Control, MAC）的一种实现，提供了额外的安全层。SELinux 策略定义了用户和进程如何与系统中的文件进行交互。 SELinux fundamentally answers the question: May <subject> do <action> t…

前言 我们在校园或者图书馆，会连接一些公共网络。在连接后，初次访问访问网络时，浏览器会自动跳转到一个登陆页面。这背后的原理嘛，不知道。 本文，将有个类似的实现。当访问任意一个地址的 80 端口时，这个访问将被劫持，并返回一个自定义的界面。这里，是为了感受下 tproxy(transparent proxy，透明代理) 的使用。 接着，我们将从内核源…

问题描述 主机：AMD Ryzen 5 6600H with Radeon Graphics windows 版本：windows11 24H2 vmware 版本：Workstation 17 Pro 17.6.3 vmware 中的虚拟机：Rocky Linux 9.5 perf 版本：perf version 5.14.0-570.33.2.…

前言 平时在工作中，接触到的还基本是 iptables 。 nftables 是 iptables的继任者。自 Linux 内核 3.13 开始，nftables即得到了支持，现在已经挺成熟的了。 所以，在日常工作中，当遇到需要 iptables的时候，或许应该优先使用 nftables。 关于 nftables的使用文档可参考：nftables …

前言 本文介绍 iptables 的基本使用。 iptables 的四表五链 相关链接：来，今天飞哥带你理解 Iptables 原理！-iptables原理详解 首先得对四表五链有个基础的理解，否则没法写/理解规则。 网上查资料，我们能看到这个图。我搞不懂这个图，但这个图能让我知道不同规则的触发顺序。 下面将介绍介绍 iptables 的四表五链。…

原理介绍 相关链接： 2.2.11. Reverse Path Forwarding Red Hat Documentation RFC 3704 - Ingress Filtering for Multihomed Networks Linux内核参数之rp_filter - 知乎 rp_filter，即 Reverse Path fi…

前言 昨天看到同事用了下 pstack(1): print stack trace of running process - Linux man page 命令。 感觉这个命令有点意思。它名字起的好，用法简单，在特定的场景下有点作用。 时间不着急，我尝试了下。 pstack 命令介绍 pstack是 gstack的软连接。 root@localho…

Rocky Rocky9 使用阿里源 参考： rockylinux镜像_rockylinux下载地址_rockylinux安装教程-阿里巴巴开源镜像站 Rocky Linux yum/dnf repo/mirrors 国内镜像列表及更换方法 - sysin - 博客园 cp -a /etc/yum.repos.d /etc/yum.repos.d.…

前言 有时候 ebpf 程序不好写。因为想要写好ebpf，需要对内核中的处理流程有些了解。 照葫芦画瓢是程序员的强项。可是有时候没有合适的葫芦参考，不好画瓢。比如，在 nftables 的 output 链 上，挂载 hook 函数，提取四元组。这并不好做，至少我还没写出来。写 ebpf 是一个痛苦的过程：程序可能会加载到内核失败；加载成功了，运行…

问题描述 早上准备敲敲代码，从github上拉仓库时，提示我输入密码。 尝试了几次后，我定睛一看，域名解析不对。域名被污染。 问题解决思路 最终级的解决方案肯定时把DNS解析过程给代理出去。 但是，我感觉，这里换一个DNS服务器应该就没问题了。我当前的环境时ubuntu24。所以我来刷新下DNS解析缓存，换个DNS服务器试试。 resolvectl…