Eryoung2的个人博客

池塘边的榕树上，知了在声声地叫着夏天，操场边的秋千上，只有蝴蝶儿停在上面。黑板上老师的粉笔，还在拼命唧唧喳喳写个不停，等待着下课，等待着放学，等待游戏的童年。 福利社里面什么都有，就是口袋里没有半毛钱，诸葛四郎和魔鬼党，到底谁抢到那支宝剑。隔壁班的那个女孩，怎么还没经过我的窗前，嘴里的零食，手里的漫画，心里初恋的童年。 总是要等到睡觉前，才知道功课只做了一点点，总是要等到考试以后，才知道该念的书还没有念。一寸光阴一寸金，老师说过寸金难买寸光阴，一天又一天，一年又一年，迷迷糊糊的童年。 没有人知道为什么，太阳总下到山的那一边，没有人能够告诉我，山里面有没有住着神仙。多少的日子总是，一个人面对着天空发呆，就这么好奇，就这么幻想，这么孤单的童年。 阳光下蜻蜓飞过来，一片片绿油油的稻田，水彩蜡笔和万花筒，画不出天边那一道彩虹。什么时候才能像高年级的同学，有张成熟和长大的脸，盼望着假期，盼望着明天，盼望长大的童年。 喔，一天又一天，一年又一年，盼望长大的童年。。。

前言由于本人在使用MacBook，而最近需要写一些python代码，所以就想着去装一个pip，但是安装的时候发现一些问题，所以做个记录以便查询。 错误报错如下： 123456789101112131415161718192021222324252627282930313233error: externally-managed-environment× This environment is externally managed╰─> To install Python packages system-wide, try brew install xyz, where xyz is the package you are trying to install. If you wish to install a Python library that isn't in Homebrew, use a virtual environment: python3 -m venv path/to/venv source path/to/venv/b ...

话题引子2024年5月17日，中国人民银行、国家金融监督管理总局发布通知。通知提出，对于贷款购买商品住房的居民家庭，首套住房商业性个人住房贷款最低首付款比例调整为不低于15%，二套住房商业性个人住房贷款最低首付款比例调整为不低于25%。在此基础上，中国人民银行各省级分行、国家金融监督管理总局各派出机构根据城市政府调控要求，按照因城施策原则，自主确定辖区各城市首套和二套住房商业性个人住房贷款最低首付款比例下限。 政策要点首先，总结一下以上通知的要点： 针对购房首付，首套房从30%～35%降低到15%，二套房从各种标准降低到最低25%，当然此处需要因城讨论，不同城市出台的具体规定必然不同。 针对公积金贷款利率，降低公积金25个基点，5年以下的公积金贷款利率为2.35%，5年以上为2.85%。 针对商业贷款利率，取消全国层面首套住房和二套住房商业性个人住房贷款利率政策下限。 观点输出本人基于自己浅薄的认知，对此进行一番解读，也希望能抛砖引玉，引发大家的讨论： 购房首付比例大幅度降低，对于想上车的人是巨大利好！因为过去大城市限购政策过于严苛，想上车的难度非常大；而现在不仅限购政策大大放 ...

任务检查在namespace development中运行的pod，并删除任何非无状态和非不可变的pod 名词解释：无状态应用：指应用本身不依赖于持久化的状态数据，没有存储挂载，更强调每个请求的独立性。不可变应用：一旦程序部署完成，其状态不会在运行时被直接修改，更强调pod的稳定性和不变性。 主要删除的就是两种pod: privileged: true的pod # 允许特权的pod readOnlyRootFileSystem: false #只读文件系统为false的pod 有pvc、hostpath挂载的 ConfigMap、Secret、Download API、emptyDir不算。 解题 检查development下所有pod 1kubectl get pod -n development 挨个检查，如果发现非无状态应用和非不可变应用就删掉。 12345kubectl get pod xxx -n development -oyaml |grep -E "privileged|readOnlyRootFileSystem" #检查非不可变应用kube ...

任务注意：你必须在 cluster 的 master节点上完成整个考题，所有服务和文件都已被准备好并放置在该节点上。给定一个目录 /etc/kubernetes/epconfig中不完整的配置以及具有 HTTPS 端点 https://acme.local:8082/image_policy 的功能性容器镜像扫描器： 1. 启用必要的插件来创建镜像策略 2. 校验控制配置并将其更改为隐式拒绝（implicit deny） 3. 编辑配置以正确指向提供的 HTTPS 端点最后，通过尝试部署易受攻击的资源 /cks/img/web1.yaml 来测试配置是否有效。你可以在/var/log/imagepolicy/roadrunner.log 找到容器镜像扫描仪的日志文件。 解题 修改/etc/kubernetes/epconfig/admission_configuration.json，将defaultAllow设置为false 1 ...

任务重新配置 cluster 的Kubernetes APl 服务器，以确保只允许经过身份验证和授权的 REST 请求。使用授权模式 Node,RBAC 和准入控制器NodeRestriction。删除用户 system:anonymous 的 ClusterRoleBinding 来进行清理。 注意：所有 kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。 你不必更改它，但请注意，一旦完成 cluster的安全加固， kubectl 的配置将无法工作。 您可以使用位于 cluster 的 master 节点上，cluster 原本的kubectl 配置文件 /etc/kubernetes/admin.conf ，以确保经过身份验证的授权的请求仍然被允许。 解题 备份并修改kube-apiserver配置123# 备份mkdir -p /opt/backup/15cp -f /etc/kubernetes/manifests/kube-apiserver.yaml /opt/backup/15 12- --authoriz ...

任务通过TLS加强kube-apiserver安全配置，要求1、kube-apiserver除了VersionTLS13及以上的版本可以使用，其他版本都不允许使用。2、密码套件（Cipher suite）为TLS_AES_128_GCM_SHA256 通过TLS加强ETCD安全配置，要求1、密码套件（Cipher suite）为TLS_AES_128_GCM_SHA256 做题 备份相关配置文件 123mkdir -p /opt/backup/14cp -f /etc/kubernetes/manifests/kube-apiserver.yaml /opt/backup/14cp -f /etc/kubernetes/manifests/etcd.yaml /opt/backup/14 修改配置文件 1234567# kube-apiserver.yamlspec: containers: - command: - kube-apiserver - --tls-min-version=VersionTLS13 #任务1 - --tls-cipher-suite ...

任务按照如下要求修改sec-ns命名空间里的Deployment secdep1、用ID为30000的用户启动容器（设置用户1D为：30000）2、不允许进程获得超出其父进程的特权（禁止allowPrivilegeEscalation）3、以只读方式加载容器的根文件系统（对根文件的只读权限） 解题 修改deployment secdep，添加配置kubectl edit deploy secdep -n sec-ns 12345678910111213spec: securityContext: #增加这两行完成任务1 runAsUser: 30000 ... containers: securityContext: #增加这三行完成任务2，3 allowPrivilegeEscalation: false readOnlyRootFilesystem: true ... containers: ...

任务使用运行时检测工具来检测 Pod tomcat123 单个容器中频发生成和执行的异常进程。 有两种工具可供使用： sysdig falco注： 这些工具只预装在 cluster 的工作节点node02，不在 master 节点。 使用工具至少分析 30 秒，使用过滤器检查生成和执行的进程，将事件写到 /opt/KSR00101/incidents/summary 文 件中，其中包含检测的事件， 格式如下： [timestamp],[uid],[processName] 保持工具的原始时间戳格式不变。注：确保事件文件存储在集群的工作节点上。 做题 找到containerd的sock 12crictl info | grep sock"containerdEndpoint": "/run/containerd/containerd.sock", 找到目标container 1crictl ps|grep tomcat123 通过sysdig扫描容器并输出 1234sysdig -l | grep ...

任务在 cluster 的工作节点上，实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor配置文件。编辑位于 /home/candidate/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用AppArmor 配置文件。 最后，应用清单文件并创建其中指定的 Pod 。 做题 在集群所有节点上加载apparmor策略，并检查 12apparmor_parser /etc/apparmor.d/nginx_apparmorapparmor_status|grep nginx-profile 回到主节点，编辑清单文件，添加配置vim /home/candidate/KSSH00401/nginx-deploy.yaml 12345678910111213141516apiVersion: v1kind: Podmetadata: name: nginx-deploy annotations: # 从官 ...