"一个真正的程序员是不用IDE（译者注：集成开发环境）的，他们都是用带着某某插件的文本编辑器来写代码。"我们总能在某些地方听到此类观点。然而，尽管越来越多的人同意这样的观点，但是一个IDE仍然非常有用，它设置简单，使用起来也很方便，因此不能比这样更合适编写一个项目了。所以鉴于这点，在这里我想给大家列一份在Linux平台上比较好的C/C++ IDE清单。为什么特地说C/C++呢？因为C语言是我最喜欢的编程语言，而且我们总要找个切入点来开始。另外要注意的是，通常有很多种编写C代码的方法，所以为了消减清单的篇幅，我只选择了"真正好用的IDE"，而不是诸如Gedit或Vim这种注入插件的文本编辑器。并不是说这些编辑器不好，只是如果我将文本编辑器包含进去那这份清单就将永无止境了。

1. Code::Blocks

用我个人的最爱来开篇，Code::Blocks是一款简单快速的专有C/C++ IDE。就像任何一款强大的IDE一样, 它集成了语法高亮、书签功能、自动补全功能、项目管理和一个调试器。它最闪亮的地方在于它简单的插件系统，里面添加了不可缺少的工具，像Valgrind和CppCheck，还有不太重要的比如像俄罗斯方块这样的小游戏。但是我特别喜欢它的理由是它连贯方便的快捷键设定和大量的却感受不到拥挤的选项设置。

2. Eclipse

我知道我只说"真正好用的IDE"而不是带着插件的文本编辑器，但是，Eclipse的确是一款"真正好用的IDE"，只是Eclipse需要一些插件（或经过一些改装）来编写C程序，所以严格来说我无法反驳我自己。而且，做一份IDE清单不提到Eclipse这个“巨人”是不可能的事情。无论喜欢它与否，Eclipse仍然是一款强大的Java编程工具。这里要感谢CDT 项目，让Eclipse编写C程序变得可能。你同样可以体验到Eclipse的强大功能，包括它的一些传统功能特点比如自动补全、代码大纲、代码生成器和先进的重构功能。照我话说，它的不足之处在于它不如Code::Blocks那么轻量级，它仍然很臃肿，要花费很多时间去载入。但是如果你的电脑可以驾驭它，或者你是个忠实的Eclipse粉，那么它一定是你的不二选择。

3. Geany

牺牲了很多特色功能但是增加了很多灵活性，Geany就是这样一款与Eclipse对立的软件。但是对于它所缺乏的地方（比如说没有调试器）, Geany用一些漂亮小巧的特色功能弥补了它们：一个可以做笔记的区域、基于模板创作、代码大纲、自定义快捷键和插件管理。相比于现在的IDE，Geany仍然是一款作用广泛的文本编辑器，然而，因为它的功能亮点和它的界面设计，所以我把它放在这份列表里。

4. MonoDevelop

这又是这份列表里的一个“巨人级”工具，MonoDevelop那无与伦比的体验来源于它的外表和界面。我个人非常喜爱它的项目管理体系和它的一体化版本控制系统。插件系统同样漂亮地让人震惊。但是由于一些原因，所有的设置和对所有编程语言的支持对于我来说让我感觉有点“资源过剩”了。它仍然是我在过去经常使用的伟大工具，但不是我在单单处理C语言时的第一选择。

5. Anjuta

它身上有着强烈的“GNOME即视感”，Anjuta的外观很具争议。我倾向于把它看作是带着调试器的Geany升级版，但是它的界面实际上要复杂得多。我确实很享受能在项目、文件夹和代码大纲视图之间来回切换的标签系统，我本想用诸如更多的快捷方法来移动文件，然而，这是一个很好的提供了显著编译功能和构建选项的工具，它能够支持哪些很有特点的需求。

6. Komodo Edit

我不是非常熟悉Komodo Edit，但是在试用了一段时间之后，我被它很多很多的优点给惊喜到了。首先，基于标签的导航功能有很强的可预见性。其次它奇特的代码大纲让我想到了Sublime Text。此外，它的宏系统和文件比较器使得Komodo Edit非常实用。它的插件库让它几乎是完美的，说“几乎”是因为在其它IDE里我的确找不到能与之相媲美的快捷方法了。而且我们能享受到更多特别的C/C++工具，这往往是普通IDE的不足之处。然而，Komodo Edit就能做到。

7. NetBeans

就好像Eclipse一样，这又是一款不得不提的“巨人级”软件。拥有的功能包括通过标签进行导航、项目管理、代码大纲、更改历史追踪和大量工具，NetBeans可能是最完整的IDE了，我能用半页来列出它所有让人震惊的特色功能。但是这同时也很容易地向你透露了它的主要缺点，它太臃肿了。比起它的强大，我更喜欢基于插件的软件，因为我觉得不太会有人为了一个同样的项目同时需要Git和Mercurial相结合来工作，我是不是很疯狂？但是如果你有耐心去掌握它所有的选项，那你差不多无论到哪里都是IDE大师了。

8. KDevelop

说到这，肯定照顾到所有的KDE粉丝，KDevelop会是你希望的答案。它拥有许多配置选项，如果你设法去征服KDevelop，那它就是你的。你们说我肤浅，但是我真的从来没有深入过除它界面以外的层次了，对于我来说编辑器本身就携带着大量的导航选项和可定制的快捷键简直是一个再糟糕不过的事了。它的调试器也是相当高级，要去练习掌握。然而，这样的耐心是有回报的，就是能领会到这款灵活的IDE的全部能力，并且由于它令人吃惊的嵌入式文件编制，你会给予它一种特殊的信任。

9. CodeLite

留在最后的不代表是最差的，CodeLite展现给你一种传统的编程规则却仍然能让你从它身上那特有的感觉上有所收获，即使它的界面一开始的确让我想到了Code::Blocks和Anjuta，只是不包括大量的插件库。无论你想要比较文件、插入一条版权块、定义缩略语或者用Git来工作，总有一款插件适合你。如果我不得不挑点毛病，我想说它缺乏一些符合我口味的导航快捷键，但这是真的。

最后，我希望这份清单能让你给自己最喜欢的语言探索到更多新的IDE。虽然Code::Blocks仍然是我的最爱，不过它有一些很强大的对手。当然我们也可以远离Linux上的IDE，而用文本编辑器去编写C/C++代码。所以如果你有什么其它的建议想法，在评论中让我们获悉。或者如果你想要我再说说关于一些其它语言的IDE，也可以评论里提出。

via: http://xmodulo.com/good-ide-for-c-cpp-linux.html

作者：Adrien Brochard 译者：ZTinoZ 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

生产环境中的 Apache 服务器可能会受到不同的攻击。攻击者或许试图通过暴力攻击或者执行恶意脚本来获取未经授权或者禁止访问的目录。一些恶意爬虫或许会扫描你网站下的各种安全漏洞，或者通过收集email地址和web表单来发送垃圾邮件。

Apache服务器具有全面的日志功能，可以捕捉到各种攻击所反映的异常事件。然而，它还不能系统地解析具体的apache 日志并迅速地对潜在的攻击进行反应（比如，禁止/解禁IP地址）。这时候fail2ban可以解救这一切，解放了系统管理员的工作。

fail2ban是一款入侵防御工具，可以基于系统日志检测不同的工具并且可以自动采取保护措施比如：通过iptables禁止ip、通过 /etc/hosts.deny 阻止连接、或者通过邮件发送通知。fail2ban具有一系列预定义的“监狱”，它使用特定程序日志过滤器来检测通常的攻击。你也可以编写自定义的规则来检测来自任意程序的攻击。

在本教程中，我会演示如何配置fail2ban来保护你的apache服务器。我假设你已经安装了apache和fail2ban。对于安装，请参考另外一篇教程。

什么是 Fail2ban 监狱

让我们更深入地了解 fail2ban 监狱。监狱定义了具体的应用策略，它会为指定的程序触发一个保护措施。fail2ban在 /etc/fail2ban/jail.conf 下为一些流行程序如Apache、Dovecot、Lighttpd、MySQL、Postfix、SSH 等预定义了一些监狱。每个监狱都通过特定的程序日志过滤器（在/etc/fail2ban/fileter.d 下面）来检测通常的攻击。让我看一个例子监狱：SSH监狱。

[ssh]
enabled   = true
port      = ssh
filter    = sshd
logpath   = /var/log/auth.log
maxretry  = 6
banaction = iptables-multiport

SSH监狱的配置定义了这些参数：

• [ssh]： 方括号内是监狱的名字。
• enabled：是否启用监狱
• port： 端口号(或者对应的服务名称)
• filter： 检测攻击的日志解析规则
• logpath： 所检测的日志文件
• maxretry： 最大失败次数
• banaction： 所进行的禁止操作

定义在监狱配置中的任意参数都会覆盖fail2ban-wide 中相应的默认配置参数。相反，任何缺少的参数都会使用定义在[DEFAULT] 字段的默认值。

预定义的日志过滤器都放在/etc/fail2ban/filter.d，而可以采取的禁止操作放在 /etc/fail2ban/action.d。

如果你想要覆盖fail2ban的默认操作或者定义任何自定义监狱，你可以创建/etc/fail2ban/jail.local*文件。本篇教程中，我会使用/etc/fail2ban/jail.local。

启用预定义的apache监狱

fail2ban的默认安装为Apache服务提供了一些预定义监狱和过滤器。我要启用这些内建的Apache监狱。由于Debian和RedHat配置的稍微不同，我会分别提供它们的配置文件。

在Debian 或者 Ubuntu启用Apache监狱

要在基于Debian的系统上启用预定义的apache监狱，如下创建/etc/fail2ban/jail.local。

$ sudo vi /etc/fail2ban/jail.local 

# 检测密码认证失败
[apache]
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6

# 检测漏洞和 PHP 脆弱性扫描 
[apache-noscript]
enabled  = true
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 6

# 检测 Apache 溢出攻击 
[apache-overflows]
enabled  = true
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 2

# 检测在服务器寻找主目录的尝试
[apache-nohome]
enabled  = true
port     = http,https
filter   = apache-nohome
logpath  = /var/log/apache*/*error.log
maxretry = 2

由于上面的监狱没有指定措施，这些监狱都将会触发默认的措施。要查看默认的措施，在/etc/fail2ban/jail.conf中的[DEFAULT]下找到“banaction”。

banaction = iptables-multiport

本例中，默认的操作是iptables-multiport（定义在/etc/fail2ban/action.d/iptables-multiport.conf）。这个措施使用iptable的多端口模块禁止一个IP地址。

在启用监狱后，你必须重启fail2ban来加载监狱。

$ sudo service fail2ban restart 

在CentOS/RHEL 或者 Fedora中启用Apache监狱

要在基于红帽的系统中启用预定义的监狱，如下创建/etc/fail2ban/jail.local。

$ sudo vi /etc/fail2ban/jail.local 

# 检测密码认证失败
[apache]
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/httpd/*error_log
maxretry = 6

# 检测抓取邮件地址的爬虫
[apache-badbots]
enabled  = true
port     = http,https
filter   = apache-badbots
logpath  = /var/log/httpd/*access_log
bantime  = 172800
maxretry = 1

# 检测漏洞和 PHP 脆弱性扫描 
[apache-noscript]
enabled  = true
port     = http,https
filter   = apache-noscript
logpath  = /var/log/httpd/*error_log
maxretry = 6

# 检测 Apache 溢出攻击 
[apache-overflows]
enabled  = true
port     = http,https
filter   = apache-overflows
logpath  = /var/log/httpd/*error_log
maxretry = 2

# 检测在服务器寻找主目录的尝试
[apache-nohome]
enabled  = true
port     = http,https
filter   = apache-nohome
logpath  = /var/log/httpd/*error_log
maxretry = 2

# 检测执行不存在的脚本的企图
# 这些都是流行的网站服务程序
# 如：webmail， phpMyAdmin，WordPress
port     = http,https
filter   = apache-botsearch
logpath  = /var/log/httpd/*error_log
maxretry = 2

注意这些监狱文件默认的操作是iptables-multiport（定义在/etc/fail2ban/jail.conf中[DEFAULT]字段下的“banaction”中）。这个措施使用iptable的多端口模块禁止一个IP地址。

启用监狱后，你必须重启fail2ban来加载监狱。

在 Fedora 或者 CentOS/RHEL 7中：

$ sudo systemctl restart fail2ban 

在 CentOS/RHEL 6中：

$ sudo service fail2ban restart 

检查和管理fail2ban禁止状态

监狱一旦激活后，你可以用fail2ban的客户端命令行工具来监测当前的禁止状态。

查看激活的监狱列表：

$ sudo fail2ban-client status 

查看特定监狱的状态（包含禁止的IP列表）：

$ sudo fail2ban-client status [监狱名] 

你也可以手动禁止或者解禁IP地址：

要用制定监狱禁止IP：

$ sudo fail2ban-client set [name-of-jail] banip [ip-address] 

要解禁指定监狱屏蔽的IP：

$ sudo fail2ban-client set [name-of-jail] unbanip [ip-address] 

总结

本篇教程解释了fail2ban监狱如何工作以及如何使用内置的监狱来保护Apache服务器。依赖于你的环境以及要保护的web服务器类型，你或许要调整已有的监狱或者编写自定义监狱和日志过滤器。查看outfail2ban的官方Github页面来获取最新的监狱和过滤器示例。

你有在生产环境中使用fail2ban么？分享一下你的经验吧。

via: http://xmodulo.com/configure-fail2ban-apache-http-server.html

作者：Dan Nanni 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Pinta 是一款免费的开源绘图应用软件，它在Linux用户中很受欢迎。你也可以把它看作是微软画图软件的开源替代品。Pinta 可以在很多平台上使用，如 Linux、Windows 以及 Mac OS X。

Gimp 作为一款功能齐全的图像编辑软件而流行，相比Pinta则单纯是一种绘图工具。我常用它在我的截图上画箭头和曲线，而且我可以说这是我在 Linux 上最喜欢的绘图应用软件。

Pinta 1.6 的新功能

经过一年多的时间，Pinta发布了1.6版本，修复了50多个漏洞并且增加了一些新功能。增加的新功能如下：

• 线条工具现在支持绘制曲线和箭头
• 绘制好的图形可以编辑形状
• 所有的图形工具现在支持绘制虚线
• 所有的选择工具现在支持并集、排除，异或和交集模式
• 插件可通过插件管理器安装
• 命令行中加入新选项

新版本同时也修复了一个很烦人的漏洞——右键菜单选项，在打开方式中使用Pinta不能打开文件。你可以在发布说明阅读所有的改变。

在 Ubuntu 和 Linux Mint 中安装 Pinta 1.6

Pinta 1.5 可以在 Ubuntu 14.04，14.10，Linux Mint 17 和 elementary OS 中使用。如果你想安装最新的 1.6 版本，你可以使用 Pinta 团队的官方PPA源。如果你已经安装了 Pinta 1.5 也不必担心。再安装一次将会使版本升级。

打开终端并使用以下命令：

sudo add-apt-repository ppa:pinta-maintainers/pinta-stable
sudo apt-get update
sudo apt-get install pinta

下载源代码或者获取 Windows 和 Mac OS X 的安装文件，请点击Pinta下载页面。在如下这篇相关文章中，你也可以选出Linux中最好的照片应用软件。

via: http://itsfoss.com/pinta-1-6-ubuntu-linux-mint/

作者：Abhishek 译者：linuhap 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

前面我们已经讨论了如何清理 Ubuntu GNU/Linux 系统，这篇教程将在原有教程的基础上，增加对新的 Ubuntu 发行版本的支持，并介绍更多的工具。

假如你想清理你的 Ubuntu 主机，你可以按照以下的一些简单步骤来移除所有不需要的垃圾文件。

（题图来自：amysplaceforyouth.org）

移除多余软件包

这又是一个内置功能，但这次我们不必使用新得立包管理软件(Synaptic Package Manager)，而是在终端中达到目的。

现在，在终端窗口中键入如下命令：

sudo apt-get autoclean

这便激活了包清除命令。这个命令所做的工作是： 自动清除那些当你安装或升级程序时系统所缓存的 .deb 包(即清除 /var/cache/apt/archives 目录，不过只清理过时的包)。如果需要使用清除命令，只需在终端窗口中键入以下命令：

sudo apt-get clean

然后你就可以使用自动移除命令。这个命令所做的工作是：清除那些 在系统中被某个已经卸载的软件 作为依赖所安装的软件包。要使用自动移除命令，在终端窗口中键入以下命令：

sudo apt-get autoremove

移除不需要的本地化数据

为达到此目的，我们需要安装 localepurge 软件，它将自动移除一些不需要的本地化数据（LCTT 译注：即各种语言翻译）。这个软件是一个简单的脚本，它将从那些不再需要的本地化文件和本地化联机手册( man pages ) 所占用的空间中回收磁盘空间。这个软件将在任何 apt 安装命令运行时 被自动激活。

在 Ubuntu 中安装 localepurge：

sudo apt-get install localepurge

在通过 apt-get install 安装任意软件后， localepurge 将移除所有不是使用你系统中所设定语言的翻译文件和翻译的联机手册。

假如你想设置 localepurge，你需要编辑 /ect/locale.nopurge 文件。

根据你已经安装的软件，这将为你节省几兆的磁盘空间。

例子：

假如我试着使用 apt-get 来安装 dicus软件：

sudo apt-get install discus

在软件安装完毕之后，你将看到如下提示：

localepurge: Disk space freed in /usr/share/locale: 41860K

移除孤包

假如你想移除孤包，你需要安装 deborphan 软件：

在 Ubuntu 中安装 deborphan :

sudo apt-get install deborphan

使用 deborphan，打开终端并键入如下命令即可:

sudo deborphan | xargs sudo apt-get -y remove --purge

使用 GtkOrphan 来移除孤包

GtkOrphan (一个针对 debian 系发行版本的 Perl/Gtk2 应用) 是一个分析用户安装过程状态并查找孤立库文件的图形化工具，它为 deborphan 提供了一个 GUI 前端，并具备移除软件包的功能。

在 Ubuntu 中安装 GtkOrphan，打开终端并运行如下命令：

sudo apt-get install gtkorphan

一张截图

使用 Wajig 移除孤包

Wajig是 Debian 包管理系统中一个简单的软件包管理前端。它将 apt、apt-cache、 dpkg、 /etc/init.d 中的脚本等 通过一个单一命令集成在一起，它的设计初衷是使用简单和为它的所有功能提供丰富的文档。

通过适当的 sudo配置，大多数（如果不是全部）的软件包安装和创建等任务可以通过一个用户 shell 来完成。Wajig 也适用于一般的系统管理。另外，一个 Gnome GUI 命令 gjig也被囊括在这个软件包之中。

在 Ubuntu 中安装 Wajig，打开终端并运行如下命令：

sudo apt-get install wajig

Debfoster --- 跟踪你在安装过程中的操作

debfoster 将会维护一个列有被明确需要安装的软件包的列表，但不包括那些作为某个软件的依赖而被安装的软件包。参数是完全可选的，你甚至可以使得在 dpkg 和/或 apt-get 每次运行之后马上激活 debfoster 。

另外，你还可以在命令行中使用 debfoster 来安装或移除某些特定的软件包。那些后缀为 --- 的软件包将会被移除，而没有后缀的软件包将会被安装。

假如一个新的软件包或 debfoster 注意到作为某个软件包的依赖的软件包是一个孤包，则 debfoster 将会询问你下一步如何操作。若你决定保留这个孤包， debfoster 将只会进行记录并继续安装过程；若你觉得这个软件包不足以引起你的兴趣，在 debfoster 询问这个问题后，它将移除这个软件包。进一步的，如果你的决定使得其他的软件包变为孤包，更多的提问将会接踵而来。

在 Ubuntu 中安装 debfoster，打开终端并运行如下命令：

sudo apt-get install debfoster

使用 debfoster

为了创建一个初始跟踪文件，可以使用如下命令：

sudo debfoster -q

你总可以编辑 /var/lib/debfoster/keepers 文件，来定义那些你想留在系统中的软件包。

为了编辑这个文件，可以键入：

sudo vi /var/lib/debfoster/keepers

要强制使 debfoster 去移除所有没有被列在上面这个文件的软件包，或安装作为某些列在这个文件中的软件包的依赖，它也同时会添加所有在这个列表中没有被安装的软件包。若要根据这个列表来执行相关操作，只需执行：

sudo debfoster -f

若需要跟踪你新安装的软件包，你需要时不时地执行如下命令：

sudo debfoster

xdiskusage -- 查看你的硬盘空间都去哪儿了

图形化地展示磁盘使用情况的 du。xdiskusage 是一个用户友好型的程序，它将为你展示你所有磁盘的使用情况。 它是在 Phillip C. Dykstra 所写的 “xdu” 程序的基础上设计的。做了一些修改以使得它可以为你运行 “du”命令，并显示磁盘的剩余空间，并且假如你想清晰地了解你的磁盘空间都去哪儿了，它还可以生成一个 PostScript 格式的名为 display.xdiskusage 的文件。

在 Ubuntu 中安装 xdiskusage，只需使用如下命令：

sudo apt-get install xdiskusage

若你想打开这个应用，你需要使用如下命令：

sudo xdiskusage

一旦这个应用被打开，你将看到如下图所示的界面：

Bleachbit

BleachBit 能快速地释放磁盘空间并不知疲倦地保护你的隐私。它可以释放缓存，删除 cookie，清除 Internet 上网历史，粉碎临时文件，删除日志，丢弃你所不知道存在何处的垃圾。为 Linux 和 Windows 系统而设计，它支持擦除清理数以千计的应用程序，如 Firefox, Internet Explorer, Adobe Flash, Google Chrome, Opera, Safari 等等。除了简单地删除文件，BleachBit 还包括许多高级功能，诸如粉碎文件以防止恢复，擦除磁盘空间来隐藏被其他应用程序所删除文件的痕迹，为火狐“除尘”，使其速度更快等。比免费更好，BleachBit 是一个开源软件。

在 Ubuntu 中安装 Bleachbit，打开终端并运行如下命令：

sudo apt-get install bleachbit

一张截图

使用 Ubuntu-Tweak

最后，你也可以使用 Ubuntu-Tweak 来清理你的系统。

via: http://www.ubuntugeek.com/cleaning-up-a-ubuntu-gnulinux-system-updated-with-ubuntu-14-10-and-more-tools-added.html

作者：ruchi 译者：FSSlc 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

对于SSH服务的常见的攻击就是暴力破解攻击——远程攻击者通过不同的密码来无限次地进行登录尝试。当然SSH可以设置使用非密码验证验证方式来对抗这种攻击，例如公钥验证或者双重验证。将不同的验证方法的优劣处先放在一边，如果我们必须使用密码验证方式怎么办？你是如何保护你的 SSH 服务器免遭暴力破解攻击的呢？

fail2ban 是 Linux 上的一个著名的入侵保护的开源框架，它会监控多个系统的日志文件（例如：/var/log/auth.log 或者 /var/log/secure）并根据检测到的任何可疑的行为自动触发不同的防御动作。事实上，fail2ban 在防御对SSH服务器的暴力密码破解上非常有用。

在这篇指导教程中，我会演示如何安装并配置 fail2ban 来保护 SSH 服务器以避免来自远程IP地址的暴力攻击。

在linux上安装Fail2ban

为了在CentOS 或 RHEL上安装fail2ban,首先设置EPEL仓库，然后运行以下命令。

$ sudo yum install fail2ban

在Fedora上安装fail2ban，简单地运行以下命令：

$ sudo yum install fail2ban

在ubuntu，Debian 或 Linux Mint上安装fail2ban：

$ sudo apt-get install fail2ban

为SSH服务器配置Fail2ban

现在你已经准备好了通过配置 fail2ban 来加强你的SSH服务器。你需要编辑其配置文件 /etc/fail2ban/jail.conf。 在配置文件的“[DEFAULT]”区，你可以在此定义所有受监控的服务的默认参数，另外在特定服务的配置部分，你可以为每个服务（例如SSH，Apache等）设置特定的配置来覆盖默认的参数配置。

在针对服务的监狱区（在[DEFAULT]区后面的地方），你需要定义一个[ssh-iptables]区，这里用来定义SSH相关的监狱配置。真正的禁止IP地址的操作是通过iptables完成的。

下面是一个包含“ssh-iptables”监狱配置的/etc/fail2ban/jail.conf的文件样例。当然根据你的需要，你也可以指定其他的应用监狱。

$ sudo vi /etc/fail2ban/jail.local

[DEFAULT]
# 以空格分隔的列表，可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24

# 客户端主机被禁止的时长（秒）
bantime = 86400

# 客户端主机被禁止前允许失败的次数 
maxretry = 5

# 查找失败次数的时长（秒）
findtime = 600

mta = sendmail

[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
# Debian 系的发行版 
logpath = /var/log/auth.log
# Red Hat 系的发行版
logpath = /var/log/secure
# ssh 服务的最大尝试次数 
maxretry = 3

根据上述配置，fail2ban会自动禁止在最近10分钟内有超过3次访问尝试失败的任意IP地址。一旦被禁，这个IP地址将会在24小时内一直被禁止访问 SSH 服务。这个事件也会通过sendemail发送邮件通知。

一旦配置文件准备就绪，按照以下方式重启fail2ban服务。

在 Debian, Ubuntu 或 CentOS/RHEL 6:

$ sudo service fail2ban restart

在 Fedora 或 CentOS/RHEL 7:

$ sudo systemctl restart fail2ban

为了验证fail2ban成功运行，使用参数'ping'来运行fail2ban-client 命令。 如果fail2ban服务正常运行，你可以看到“pong（嘭）”作为响应。

$ sudo fail2ban-client ping
Server replied: pong

测试 fail2ban 保护SSH免遭暴力破解攻击

为了测试fail2ban是否能正常工作，尝试通过使用错误的密码来用SSH连接到服务器模拟一个暴力破解攻击。与此同时，监控 /var/log/fail2ban.log，该文件记录在fail2ban中发生的任何敏感事件。

$ sudo tail -f /var/log/fail2ban.log

根据上述的日志文件，Fail2ban通过检测IP地址的多次失败登录尝试，禁止了一个IP地址192.168.1.8。

检查fail2ban状态并解禁被锁住的IP地址

由于fail2ban的“ssh-iptables”监狱使用iptables来阻塞问题IP地址，你可以通过以下方式来检测当前iptables来验证禁止规则。

$ sudo iptables --list -n

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-SSH (1 references)
target     prot opt source               destination
DROP       all  --  192.168.1.8          0.0.0.0/0
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

如果你想要从fail2ban中解锁某个IP地址，你可以使用iptables命令：

$ sudo iptables -D fail2ban-SSH -s 192.168.1.8 -j DROP

当然你可以使用上述的iptables命令手动地检验和管理fail2ban的IP阻塞列表，但实际上有一个适当的方法就是使用fail2ban-client命令行工具。这个命令不仅允许你对"ssh-iptables"监狱进行管理，同时也是一个标准的命令行接口，可以管理其他类型的fail2ban监狱。

为了检验fail2ban状态（会显示出当前活动的监狱列表）：

$ sudo fail2ban-client status

为了检验一个特定监狱的状态（例如ssh-iptables):

$ sudo fail2ban-client status ssh-iptables

上面的命令会显示出被禁止IP地址列表。

为了解锁特定的IP地址：

$ sudo fail2ban-client set ssh-iptables unbanip 192.168.1.8

注意，如果你停止了Fail2ban 服务，那么所有的IP地址都会被解锁。当你重启 Fail2ban，它会从/etc/log/secure(或 /var/log/auth.log)中找到异常的IP地址列表，如果这些异常地址的发生时间仍然在禁止时间内，那么Fail2ban会重新将这些IP地址禁止。

设置 Fail2ban 自动启动

一旦你成功地测试了fail2ban之后，最后一个步骤就是在你的服务器上让其在开机时自动启动。在基于Debian的发行版中，fail2ban已经默认让自动启动生效。在基于Red-Hat的发行版中，按照下面的方式让自动启动生效。

在 CentOS/RHEL 6中:

$ sudo chkconfig fail2ban on

在 Fedora 或 CentOS/RHEL 7:

$ sudo systemctl enable fail2ban

总结

在该教程中，我演示了如何安装并配置fail2ban来保护一个SSH服务器。当然fail2ban可以缓解暴力密码攻击，但是请注意，这并不能保护SSH服务器避免来自复杂的分布式暴力破解组织，这些攻击者通过使用成千上万个机器控制的IP地址来绕过fail2ban的防御机制。

via: http://xmodulo.com/how-to-protect-ssh-server-from-brute-force-attacks-using-fail2ban.html

作者：Dan Nanni 译者：theo-l 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

在拥抱开源的道路上，意大利似乎走在了最前面。我们已经知道，很多意大利的城市如乌迪内，都灵，Todi和都灵过去已经选择了开源办公套件以取代微软的Office。现在，位于意大利北部的艾米利亚-罗马涅大区（位于意大利北部，是意大利20个大区之一）也将在下个月完成向Apache OpenOffice的过渡。

切换到 OpenOffice

这次向OpenOffice的迁移将会在下个月完成，而且将会覆盖4200个计算机工作站，涉及到10个部门和5个代理机构。 而且，开源文档格式（ODF）也将成为默认的文档格式。向OpenOffice的过渡最初在2013年底被提出来，原本打算在2014年底完成。这次从商业办公产品改用OpenOffice，从授权费用来说，据信会节约大概2 000 000欧元。

为了使这次顺利搬家和方便内部操作，负责这次搬家的团队正在开发许多定制工具和插件。

本次项目的负责人，Giovanni Grazia对本次“搬家”充满激情，但同时他也做好了应对批评的准备：

“改用新的办公套件并不是一件容易完成的工作，我们借这次机会来拥护免费和开源的软件。一些地区的公务员表示高度支持，而另一些则感到厌烦，因为他们已经使用商业产品二十年了。为了处理任何在迁移中发生的问题，一个有着三个IT专家的五人支持团队正在一个部门接一个部门，逐渐地完成这次迁移。”

祝愿

我希望其他的国家也能使用OpenOffice套件，祝愿所有迁移到开源软件的人或国家都顺利完成。

via: http://itsfoss.com/emiliaromagna-completes-switch-openoffice/

作者：Abhishek 译者：wi-cuckoo 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出