电子信息工程系部网站建设方案,商城网站建设 亚马逊,微信插件图片转换wordpress,新平台推广赚钱一、zyj 环境简介
1. ZYJ 概述
国产化 SMZYJ 是由国家 BM 主管部门鉴定并批准生产使用的国内自主开发的 整机 JM 国标设备#xff0c;设备采用了自主设备基础硬件#xff08;飞腾、国科微等#xff09;、安全硬 件自主固件#xff08;昆仑等#xff09;自主 SM 专用操作…一、zyj 环境简介
1. ZYJ 概述
国产化 SMZYJ 是由国家 BM 主管部门鉴定并批准生产使用的国内自主开发的 整机 JM 国标设备设备采用了自主设备基础硬件飞腾、国科微等、安全硬 件自主固件昆仑等自主 SM 专用操作系统麒麟的三层加密一体方式进 行整机生产。
麒麟 ZYJ 操作系统使用了国标架构通过了 BM 等级认证采用了三员分立
软硬一体化认证的主机管控措施内置操作系统内核、壳结构、服务及软件均通 过基线安全策略加固可通过操作系统内核安全策略控制专用机进程识别进程 动作实现基线策略触发告警功能。
⚫ 管理用户采用三权分立系统以分割管理权限。
⚫ 三合一软硬一体化设备实现了管控软件安装硬件接口放行文件输入 输出端口放行等相关功能.
⚫ 加入审计追溯机制强制保留用户使用踪迹。
⚫ 固件绑定安全卡进行加密硬件及相关部件监控一旦硬件信息被更改及 损坏即有告警禁入等相关安全措施。
这些软硬一体化认证的整机安全机制保证了涉密设备的使用的安全性从基 础架构、系统原理与交互机制上排除了泄密隐患和信息安全风险。
2. 背景
由于 ZYJ 的特殊安全机制用户 SAAS 级产品迁移适配需要遵循 ZYJ 适配 迁移的规则本文以常见 web 服务器软件 nginx 源码作为适配举例将详细 介绍适配流程及重点注意事项。
3. 相关机制简介
KYSEC 机制和白名单其中一种安全机制
KYSEC 是基于 kysec 安全标记对执行程序、脚本文件、共享库、内核模块 进行保护的一种安全机制。除了系统默认集成的执行程序、脚本文件、共享 库、内核模块任何外来的该 4 种文件如拷贝、移动、下载、重新编译生 成等都必须添加到麒麟安全管理工具的相应白名单列表中才能执行调用。 并且 KYSEC 会对白名单列表中的文件进行保护保护文件不被或限定修改、 移动、删除。
那么在 ZYJ 中KYSEC 不能强制关闭。使用配置管理工具进行签名并导 入安装包的过程就是给软件打白名单标签的过程。配置管理工具本身限定 了软件的导入和安装方式就是必须使用安全软介质通过图形配置管理软件 导入格式化安装包deb、rpm的形式进行安装。不能直接使用二进制安装 或编译安装也不能使用命令行进行安装。 ZYJ 内不允许安装编译环境那就要求开发者提前在其他通用操作系统环 境或开发板中做适配工作。
4. 开发板
开发板是麒麟软件为 ZYJ 各操作平台提供的开发适配专用版本开发板 提供了与 ZYJ 内环境内核、shell、服务、软件等完全相同的原生环境 并且去掉了相关的安全限制。用户可以使用开发板环境对应用进行开发、配 置仓库、补充依赖、打包、软件测试等适配工作。开发板可以安装在同架构 通用机型上也可以安装在 ZY 机型上。注意通用机型可以连接互联网、 公网ZY 机型不允许连接互联网、公网
各平台开发板镜像地址各整机厂商在整机出厂时会附带对应版本开发 盘。如未提供请直接联系整机厂商或麒麟软件销售。
5. zyj 适配流程示意图 6. 准备工具介绍 二、适配过程
1. 安装开发盘镜像
准备好相关版本镜像使用刻录软件进行刻录至相关介质作为镜像安装介质。这 里推荐 DVD-RW 光盘进行刻录安装。
ZYJ 安装方法
第一步开机---secadm 登录---F1 进入 bios---依次选择安全管理→安全维护 →启动项管理开启/关闭重启。如图 第二步重启后使用 root 登录---F1 进入 bios---更改启动项为光驱启动---F1 0 保存退出---重启后以 root 用户身份登录进入光盘引导。如图 第三步开始加载光盘加载完成后如需度量校验请按照提示进行度 量校验展示出安装欢迎界面正常安装系统即可如图 通用机型安装方法
第一步开机—按照各整机对应的 bios 菜单进入按钮进入 bios---选择光盘 启动或 usb 存储介质启动重启。 第二步启动后选择安装根据提示进行安装即可。 2. 在开发板上进行软件编译以及安装、测试等
因 zyj 必须使用格式化安装包形式并且不允许在 zyj 上直接执行编译动作 需要先将软件在开发板系统中编译完成后再进行打包上传安装。
请主要关注编译安装过程中的重点步骤
准备相关安装包
一般 GCC、make 工具开发板系统自动预装。如缺失请补充相关工具。
获取 nginx 主程序编译安装包及相关依赖。
⚫ 在 nginx 官网下载 nginx 主程序
⚫ 在软件源仓库获取已有依赖相关库或下载编译包。
重点步骤重点文件安装目录规划
⚫ 自适配软件的安装目录 zyj 尽量统一为/opt/下方便统一管理。
⚫ 后续打包时应与规划目录一一对应不能修改
⚫ 如需指定用户以 root 为优先。zyj 中 root 非全权限用户
⚫ zyj 日志目录/var/log 为单独分区分区满后会限制用户登录可以删除。 日志分区大小固定不能扩容。在日志文件放置位置上请做好指定。
⚫ 规划示例 本次 nginx 安装统一目录下的优点是打包时填写配置较为方便。
编译参数
nginx 源文件自带已生成的 configure 文件相关支持参数可以支持指定位置安装。 且可以指定用户。 本地环境安装测试
第一步 配置软件源或离线安装依赖库桌面和服务器不相同如不了解 可咨询整机或联系麒麟销售
第二步 解压源码包
tar xf nginx-1.12.2.tar.gz
cd nginx-1.12.2
第三步 重点步骤注意指定目录生成 makefile 文件
./configure --prefix/opt/nginx-1.12.2 --userroot --grouproot --with-http_ssl_module --with-http_stub_status_module
第四步 make #软件编译
第五步 make install #软件编译安装
重点步骤验证测试程序先让软件在开发板上可用
第六步
启动 nginx 服务进入指定的安装目录找到启动文件
执行/opt/nginx/sbin/nginx
第七步
利用浏览器访问测试或使用 curl 命令获取 80 端口
可以看到 nginx 的 web 欢迎页信息。如图 第八步
测试配置环境变量将启动命令简单化不再使用绝对路径 export PATH$PATH:/opt/nginx/sbin
测试关闭 nginx
到这一步已可以验证在开发板上软件可用接下来就是需要进行将软件打包打 包完成后再迁移至 zyj 进行测试使用。
3. 软件打包注意事项
其实生成格式化安装包的方法是多种多样的并且方法各异只要掌握了其 中的的重点规则了解相关文件的具体配置和用法按照需求配置即可。
我们先来看下 zyj 不同平台的传统打包应用工具以及注意事项 4. 服务器打包方法(重点)
那么本次介绍的服务器传统打包方法是基于麒麟操作系统本身自带的 rpmbuild
ZYJ 软件适配参考示例 第 14
页
工具来进行实现的主要是配置好 spec 文件。其他方式的打包方法如 fpm 或 c heckinstall 等等可自行进行研究本次不做详细介绍后续整理好后会进行补 充。
三、ZYJ 已适配软件安装迁移
1. 安装工具介绍
zyj 安装软件必须使用使用配置管理工具然后进行签名导入安装包。
配置管理工具本身限定了一个软件的导入和安装方式就是必须使用安全介质 传输到系统内通过图形配置管理软件导入这种格式化安装包不能直接使用二 进制安装方式或者是编译的安装方式也不能使用命令行进行安装。
2. zyj 软件安装过程
导入安装包至系统
将 U 盘插入专用机以安全用户放行 U 盘启动左下角程序中的【三合一管 理】工具页面认证如图所示然后注销使用 root 用户将需要安装的 nginx 软件包导出到桌面
四、一些注意事项
1. 多个文件不同安装路径 spec 编写方法
假如我们需要将多个编译安装包或文件打成一个 rpm 包进行同时安装比如 我们想使用 systemd 管理 nginx 的启动及开机自启等相关功能需要将编写好的 的 service 文件导入到系统的 systemd 管理目录中跟本次 nginx 主目录不是同一 个目录的情况。可通过增加 Source 定义来指定多个文件通过增加 build 目录来 指定多个目录。
示例如下 2. jar 包打包时的注意事项
由于 jar 包本身就是压缩包针对此类包再 build 过程中如果执行了解压动作 可能会对 jar 包本身造成破坏导致不可用。所以如果需要导入 jar 包时需要 去掉解压缩定义%prep 下的%setup -q 参数。并且加入 jar 包安装支持参数避免jar 文件重新打包需要添加%define __jar_repack 0 定义。
3. 两种情况都包括
如过两种情况都包括既有 jar 包又需要其他文件放入其他目录且都是单文 件情况下可以不使用 tar 工具将文件压缩直接指定文件。
4. 保留软连接
如果软件包内存在软连接请添加此定义避免在打包过程中去除。 %define debug_package %{nil}
5. 目录及压缩包命名问题
如果命名不规范报如下错误 可添加此定义 %setup -n 软件目录名
