运维

简介 nvidia-smi – nvidia system management interface program nvidia smi（也称为NVSMI）为来自 Fermi 和更高体系结构系列的 nvidia Tesla、Quadro、GRID 和 GeForce 设备提供监控和管理…

先用iostat看系统IO整体情况，再用iotop定位高IO进程。iostat显示设备利用率%util和等待时间await，若%util>80%且await升高，说明存在IO瓶颈；结合iotop查看具体进程IO行为，按P键排序找出IO占用最高的进程，再用lsof分析其文件操作，进而优化应用或调…

cgroups是Linux资源管理核心工具，通过创建控制组限制进程CPU、内存等使用。支持cpu、memory等子系统，v2版本结构更优。可用mkdir创建组，写入cpu.max和memory.max设限，并将PID加入cgroup.procs生效。systemd可简化操作，通过服务单元配置CPUQ…

答案：通过visudo编辑/etc/sudoers文件可安全配置sudo权限。将用户加入sudo组（如Ubuntu的sudo或CentOS的wheel）即可快速授权，使用usermod -aG命令添加；需精细控制时，在sudoers中设置规则，如限制命令或免密执行；建议最小权限原则、启用日志审计并定…

答案：在CentOS和Ubuntu上安装Docker需先更新系统并安装依赖，再通过官方源安装Docker Engine，启动服务并设置开机自启，最后运行hello-world镜像验证安装，推荐将用户加入docker组以避免使用sudo。 在Linux系统上安装Docker环境并不复杂，只要按照标准流…

使用docker run可启动容器，支持后台运行、端口映射和数据卷挂载；2. 通过docker ps和docker logs可查看容器状态与日志；3. 用docker exec进入容器或执行命令；4. 通过docker stop、docker rm等命令管理容器生命周期，确保资源合理释放。 在Lin…

SYN Flood攻击可通过iptables和conntrack有效缓解。1. 限制每IP并发连接数，使用connlimit模块阻止超过阈值的SYN请求；2. 利用hashlimit控制单位时间内新连接速率，防止突发流量耗尽资源；3. 启用tcp_syncookies、调整synack重试次数和ma…

Go-kit通过分层设计实现微服务高可维护性，其核心为三层结构：业务逻辑（Endpoint）、传输层（Transport）和服务层（Service），并借助Middleware实现日志、监控、追踪等跨切面功能；以HTTP微服务为例，需定义业务接口UserService及User类型，创建对应Endp…

答案：为满足PCI-DSS和GDPR合规要求，Linux系统需实施用户最小权限、强密码与MFA、定期账户审查；关闭非必要服务，遵循CIS基线，加固SSH及启用SELinux/AppArmor；集中管理并保护日志完整性，记录关键操作；对静态和传输中的敏感数据加密，使用LUKS、TLS等技术；并通过持续…

启用SSH双因子认证需安装Google Authenticator PAM模块，配置TOTP验证，编辑/etc/pam.d/sshd添加auth required pam_google_authenticator.so，修改/etc/ssh/sshd_config启用ChallengeRespons…