隧道 被设计用于远端客户端和本地(可通过inetd启动)或远端服务器间的SSL加密封装。它可以用于为inetd进程增加SSL功能，像POP2（译注：厄，POP2这个服务还有人用么？），POP3和IMAP服务而不必改变程序代码。隧道使用OpenSSL库用于加密，因此它支持任何被编译进库的加密算法。简而言之，隧道可以使任何一个不安全的端口变得安全加密。

在本篇中，我会描述如何通过SSL水稻封装SSH。这个步骤非常简单。你需要在你的客户端PC和远程PC都已经安装运行了sshd。

我正在使用下面提到的两个系统。

远程系统:

操作系统: Debian 7
IP 地址: 192.168.1.200/24

客户端(本地) 系统:

操作系统: Ubuntu 13.04 desktop
IP 地址: 192.168.1.100/24

配置远程系统

让我们在远程Debian 7服务器上安装stunnel包。

# apt-get install stunnel4

现在让我们像下面那样创建一个SSL证书。

# openssl genrsa 1024 > stunnel.key

示例输出:

Generating RSA private key, 1024 bit long modulus
............................................++++++
...................++++++
e is 65537 (0x10001)

# openssl req -new -key stunnel.key -x509 -days 1000 -out stunnel.crt

你会被询问若干个问题如国家、州、公司细节等。

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:Tamilnadu
Locality Name (eg, city) []:Erode
Organization Name (eg, company) [Internet Widgits Pty Ltd]:unixmen
Organizational Unit Name (eg, section) []:Technical
Common Name (e.g. server FQDN or YOUR name) []:server.unixmen.com
Email Address []:[email protected]

# cat stunnel.crt stunnel.key > stunnel.pem
# mv stunnel.pem /etc/stunnel/

现在我们需要配置stunnel来将 443(https)隧道到22(ssh)。这可以通过在/etc/stunnel/目录下创建stunnel.conf文件来实现：

 # vi /etc/stunnel/stunnel.conf

并加入下面的行:

pid = /var/run/stunnel.pid
cert = /etc/stunnel/stunnel.pem
[ssh]
accept = 192.168.1.200:443
connect = 127.0.0.1:22

上面的几行说明了stunnel在哪里寻找证书文件和哪里接收和转发ssh链接。在本例中，stunnel会接收来自443端口的流量并会转发给22端口。

保存并关闭文件。

现在让我们启用stunnel服务。要这么做，编辑文件 /etc/default/stunnel4:

# vi /etc/default/stunnel4

改变行从 ENABLED = 0 到 1。

# /etc/default/stunnel
# Julien LEMOINE <[email protected]>
# September 2003

# Change to one to enable stunnel automatic startup
ENABLED=1
FILES="/etc/stunnel/*.conf"
OPTIONS=""

# Change to one to enable ppp restart scripts
PPP_RESTART=0

接着使用命令启用stunnel服务:

# service stunnel4 start

配置本地系统

用这个命令安装stunnel:

$ sudo apt-get install stunnel4

我们需要远程系统上相同的证书文件(stunnel.pem)。复制远程系统上的 stunnel.pem文件到我们本地系统中并在相同的位置保存(也就是 /etc/stunnel)。

在 /etc/stunnel/目录下创建新的文件stunnel.conf：

$ sudo vi /etc/stunnel/stunnel.conf

加入下面的行:

pid = /var/run/stunnel.pid
cert = /etc/stunnel/stunnel.pem
client=yes
[ssh]
accept=443
connect=192.168.1.200:443

保存并关闭文件。这里的192.168.1.200是我们的远程系统IP。

现在让我们启用stunnel服务。要这么做，编辑文件/etc/default/stunnel4:

$ sudo vi /etc/default/stunnel4

改变行从 ENABLED = 0 到 1.

# /etc/default/stunnel
# Julien LEMOINE <[email protected]>
# September 2003

# Change to one to enable stunnel automatic startup
ENABLED=1
FILES="/etc/stunnel/*.conf"
OPTIONS=""

# Change to one to enable ppp restart scripts
PPP_RESTART=0

接着使用命令启用stunnel服务:

$ sudo service stunnel4 start

测试SSH连接

现在这样已经很好了，你可以使用命令连接到你的远程机器上了：

$ ssh sk@localhost -v -p 443

示例输出:

OpenSSH_6.1p1 Debian-4, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to localhost [127.0.0.1] port 443.
debug1: Connection established.
debug1: identity file /home/sk/.ssh/id_rsa type -1
debug1: identity file /home/sk/.ssh/id_rsa-cert type -1
debug1: identity file /home/sk/.ssh/id_dsa type -1
debug1: identity file /home/sk/.ssh/id_dsa-cert type -1
debug1: identity file /home/sk/.ssh/id_ecdsa type -1
debug1: identity file /home/sk/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.0p1 Debian-4
debug1: match: OpenSSH_6.0p1 Debian-4 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.1p1 Debian-4
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ECDSA 78:05:ba:1b:73:02:75:86:10:33:8c:0f:21:61:d4:de
debug1: Host '[localhost]:443' is known and matches the ECDSA host key.
debug1: Found key in /home/sk/.ssh/known_hosts:12
debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/sk/.ssh/id_rsa
debug1: Trying private key: /home/sk/.ssh/id_dsa
debug1: Trying private key: /home/sk/.ssh/id_ecdsa
debug1: Next authentication method: password
sk@localhost's password: #   ## Enter your remote system user password
debug1: Authentication succeeded (password).
Authenticated to localhost ([127.0.0.1]:443).
debug1: channel 0: new [client-session]
debug1: Requesting [email protected]
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LC_PAPER = en_IN.UTF-8
debug1: Sending env LC_ADDRESS = en_IN.UTF-8
debug1: Sending env LC_MONETARY = en_IN.UTF-8
debug1: Sending env LC_NUMERIC = en_IN.UTF-8
debug1: Sending env LC_TELEPHONE = en_IN.UTF-8
debug1: Sending env LC_IDENTIFICATION = en_IN.UTF-8
debug1: Sending env LANG = en_US.UTF-8
debug1: Sending env LC_MEASUREMENT = en_IN.UTF-8
debug1: Sending env LC_TIME = en_IN.UTF-8
debug1: Sending env LC_NAME = en_IN.UTF-8
Linux server 3.2.0-4-486 #1 Debian 3.2.51-1 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.
Last login: Mon Dec 30 15:12:22 2013 from localhost
sk@server:~$

或者你可以简单地使用下面的命令:

$ ssh -p 443 sk@localhost

示例输出:

sk@localhost's password: 
Linux server 3.2.0-4-486 #1 Debian 3.2.51-1 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.
Last login: Mon Dec 30 15:22:08 2013 from localhost
sk@server:~$

现在你可以用ssh连接到你的远程机器上了，但是所有的流量通过SSL隧道。

你已经完成了！即使ssh的默认端口被防火墙阻止了，你仍然可以使用SSH到你的远程系统。

参考链接:

• stunnel 主页

via: http://www.unixmen.com/tunnel-ssh-connections-ssl-using-stunnel-debian-7-ubuntu-13-10/

译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Ubuntu 13.10发布前后引起了很大的反响。这个操作系统让Canonical达到了一个全新的等级，尤其是在2013年这样一个Linux大年。但现在已经尘埃落定，外界的声音也小了，让我们看看这个系统让你喜欢的五件事，和让你讨厌的五件事。

爱

OpenStack APIs:Ubuntu 13.10兼容OpenStack APIs。事实上，内部和外部Ubuntu-主机云现在与OpenStack APIs兼容。

GUI: Unity的GUI正在从个人电脑到智能手机和平板电脑很好的转变。

升级后的Dashboard: 为用户提供了搜索甚至是Ubuntu One cloud的Ubuntu Dash已经升级了。

好用的Juju: 在活泼的火蜥蜴中，您可以使用Juju在Linux容器或LXC中创建应用程序实例。

GUI更加顺滑:也许正因为它的多功能性,活泼的火蜥蜴的漂亮的用户界面比过去版本的用户界面更为顺滑。

恨

没有Mir: Unity界面还没有从X.org转移到Mir 编译器。这是让很多人失望的主要的地方。

没有MariaDB: MySQL数据库的替代产品——MariaDB尚未被Canonical引入。这与其说让人失望，不如说是让人震惊,因为大多数其他发行版已经这么做了。Canonical的Ubuntu 13.10还在用MySQL作为LAMP的默认数据库。

老版本的landscape管理工具:Canonical的landscape服务还不够先进，实际上，甚至比微软的跟着Windows发布的系统中心还要古老。

只支持两款手机:现在只有Galaxy Nexus4和Galaxy Nexus智能手机支持Ubuntu 13.10。此外,这两个设备只能使用核心和shell程序。

LXC仍然是测试版: 我们说Juju和LXC一起使用,但LXC本身仍在测试模式。它今年2月应该能出一个稳定版。

via: http://www.networkworld.com/slideshow/134353/ubuntu-1310-5-things-we-love-5-things-we-hate.html

译者：Kingname 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Ubuntu 是一个处在牛 A 和牛 C 之间的现代操作系统，全世界数百万用户和公司都在使用它。无论是充当工作台还是高级工程机器，Ubuntu 都游刃有余。

如果你是 Ubuntu 初学者，使用过程还需要高手指导，那就关注本站吧。我们已经写了数百篇 Ubuntu 教程，足以带你入门。从安装 Ubuntu 到系统基本设置，我们都有涉猎。

这篇简单的教程为你介绍当笔记本盖子合上时该干嘛还是干嘛，而不是进入睡眠模式或者直接关机。

大多数现代操作系统（包括 Windows）会在笔记本合上时进入睡眠状态。Ubuntu 也是如此。如果你想让你的笔记本盖子合上时不睡眠，就跟着我们学习吧。

要达到这个目的，Ubuntu 有两种方法。第一种是打开 System Settings –> Power（中文版是打开 系统设置 -> 电源），然后进行设置。一些用户设置后不会生效。

另一个方法是直接编辑 Login Manager 的配置文件（logind.conf）。这个方法基本能生效，建议使用这个。

要开始了，按下 Ctrl – Alt – T 组合键，打开终端。然后运行下面的命令打开 logind.conf 文件。你的所有修改都在这个文件内。

sudo gedit /etc/systemd/logind.conf

打开文件后修改下面这行：

#HandleLidSwitch=suspend

改成这样：

HandleLidSwitch=ignore

保存文件，重启 Login Manager 服务：

sudo restart systemd-logind

工作完成！

配置文件的 “ignore” 值告诉 Ubuntu 当笔记本合上后不要睡眠或挂起。不要改动其它设置然后保存文件。

via: http://www.liberiangeek.net/2013/12/daily-ubuntu-tips-do-nothing-when-laptop-lid-is-closed/

译者：bazz2 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

• 2014-01-14: FreeBSD 10.0
• 2014-01-21: Tails 0.22.1
• 2014-01-23: Ubuntu 14.04 Alpha 2
• 2014-01-31: OpenMandriva 2014.0 Alpha
• 2014-02-01: Mageia 4
• 2014-02-06: Ubuntu 12.04.4
• 2014-02-27: Ubuntu 14.04 Beta 1
• 2014-02-28: OpenMandriva 2014.0 Beta
• 2014-03-04: Tails 0.23
• 2014-03-21: OpenMandriva 2014.0 RC1
• 2014-03-27: Ubuntu 14.04 Final Beta
• 2014-04-04: OpenMandriva 2014.0 RC2
• 2014-04-15: Tails 1.0
• 2014-04-17: Ubuntu 14.04
• 2014-04-18: OpenMandriva 2014.0
• 2014-05-27: Tails 1.1

在2013年结束前，Linux Torvalds宣布Linux内核3.13分支中的第六个候选版本已发布，即时可用。

Linux内核3.13 RC6仅包含了很小数量的一些提交，使得此次候选版本成为了迄今体积最小的一个，至少在这一个开发周期中如此。

Linus Torvalds在官方发布中说道：“正如我们之前期望的那样，整个一周假期都没有什么大的bug出现。因此，我们这次只有一些小的随机更新：驱动方面（例如无限宽带、GPU、CPUfreg、libata、块设备等），一些小的文件系统修复（ext4/jdb2)，以及一些ARM SoC方面的更新。x86、perCPU 和 cgroup 方面的更新很少。甚至没什么值得注意的，只有81个很平常的小提交。”

大神平常是非常健谈的，但是对于年底的这次小发布却如此惜字如金，估计是为了避免更多的非议，打算过个好年。

Linus Torvalds还在12月18号庆祝了自己的生日，但并没有大操大办。

Linux内核 3.13 RC6 的亮点

• 修正了音频pins的数目（drm/radeon/dce6)
• 在Cayman上禁用了SS(drm/radeon/dpm)
• 检查了扬声器分配和SAD代码中的0计数（drm/radeon)
• 修复了拔掉块设备时的内存泄露问题
• 修复了SDHI资源的大小
• 修复了执行缓存中分配内存失败后仍然释放引用的问题（drm/i9150)
• 修复了 resetstatus 中对 batchobj 的错误引用释放
• Sandybridge+ 启用了正确的 GMCH\_CTRL 注册
• 对废弃的消息 JBD->JBD2 进行了重命名
• 增加对 ValleyView Soc 的支持
• 增加对 PWM 背光电源的支持

完整的修改、改进以及修复列表请参看官方修改日志。

下载Linux内核3.13 RC6：

• Linux kernel 3.13 Release Candidate 6 tar.xz[源码] [73.60 MB]

请注意这是一个测试版本，仅用于测试目的，请不要用在任何生产环境中。

via: http://news.softpedia.com/news/Linus-Torvalds-Releases-Last-Linux-Kernel-3-13-RC-for-2013-412622.shtml

译者：Mr小眼儿 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Ubuntu可能不像你想象的那么安全．据报道，Linux驱动的发行版在主目录外存储Wi-Fi配置文件，这使得它们更易于被访问。这包括Wi-Fi配置文件的密码。报道说，一个用户指出，Wi-Fi密码在Ubuntu上是不加密的，因为它们都存储在主目录之外。此文件夹虽然可以在操作系统的安装过程中进行加密。

"最近，我偶然发现了一个事实，NetworkManager默认存储WiFi配置文件包括明文密码到/etc/NetworkManager/system-connections/。我认为当他/她开启了主目录加密时，肯定不希望存储密码到主目录之外，应该以某种方式纠正。" - Softpedia引用邮件列表中Per Guth的话。

这个问题显然是为了让“所有用户都可以连接到这个网络”，即默认情况下启用该选项的结果。为了关掉此功能，用户必须打开Network Indicator，然后去Edit Connection。然后选择在Edit上的Select Network and clock。在General选项卡，取消勾选，以将其关闭。

取消选中该选项据说会移动这个密码进入到所需的文件夹（主目录），但Softpedia报告推测，大多数用户不会注意到这个问题。Canonical是否会进行任何更改，还有待观察。

via: http://www.efytimes.com/e1/fullnews.asp?edid=125483

译者：Akagi201 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出