问题：我发现我的一个应用程序在尝试通过IPv6建立连接，但是由于我们本地网络不允许分配IPv6的流量，IPv6连接会超时，应用程序的连接会回退到IPv4，这样就会造成不必要的延迟。由于我目前对IPv6没有任何需求，所以我想在我的Linux主机上禁用IPv6。有什么比较合适的方法呢？

IPv6被认为是IPv4——互联网上的传统32位地址空间——的替代产品，它用来解决现有IPv4地址空间即将耗尽的问题。然而，由于已经有大量主机、设备用IPv4连接到了互联网上，所以想在一夜之间将它们全部切换到IPv6几乎是不可能的。许多IPv4到IPv6的转换机制(例如：双协议栈、网络隧道、代理) 已经被提出来用来促进IPv6能被采用，并且很多应用也正在进行重写，如我们所提倡的，来增加对IPv6的支持。有一件事情可以确定，就是在可预见的未来里IPv4和IPv6势必将共存。

理想情况下，向IPv6过渡的进程不应该被最终的用户所看见，但是IPv4/IPv6混合环境有时会让你碰到各种源于IPv4和IPv6之间不经意间的相互碰撞的问题。举个例子，你会碰到应用程序超时的问题，比如apt-get或ssh尝试通过IPv6连接失败、DNS服务器意外清空了IPv6的AAAA记录、或者你支持IPv6的设备不兼容你的互联网服务提供商遗留下的IPv4网络，等等等等。

当然这不意味着你应该盲目地在你的Linux机器上禁用IPv6。鉴于IPv6许诺的种种好处，作为社会的一份子我们最终还是要充分拥抱它的，但是作为给最终用户进行故障排除过程的一部分，如果IPv6确实是罪魁祸首，那你可以尝试去关闭它。

这里有一些让你在Linux中部分(例如：对于某个特定的网络接口)或全部禁用IPv6的小技巧。这些小贴士应该适用于所有主流的Linux发行版包括Ubuntu、Debian、Linux Mint、CentOS、Fedora、RHEL以及Arch Linux。

查看IPv6在Linux中是否被启用

所有现代Linux发行版默认都自动启用IPv6。为了能看到IPv6在你的Linux中是否被激活，可以使用ifconfig或ip命令。如果你在输入这些命令之后看到"inet6"字样的输出，那就意味着你的Linux系统启用了IPv6。

$ ifconfig 

$ ip addr 

临时禁用IPv6

如果你想要在你的Linux系统上临时关闭IPv6，你可以用 /proc 文件系统。"临时"的意思是我们所做的禁用IPv6的更改在系统重启后将不被保存。IPv6会在你的Linux机器重启后再次被启用。

要将一个特定的网络接口禁用IPv6，使用以下命令：

$ sudo sh -c 'echo 1 > /proc/sys/net/ipv6/conf/<interface-name>/disable_ipv6' 

举个例子，将eth0接口禁用IPv6：

$ sudo sh -c 'echo 1 > /proc/sys/net/ipv6/conf/eth0/disable_ipv6' 

重新启用eth0接口的IPv6：

$ sudo sh -c 'echo 0 > /proc/sys/net/ipv6/conf/eth0/disable_ipv6' 

如果你想要将整个系统所有接口包括回环接口禁用IPv6，使用以下命令：

$ sudo sh -c 'echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6' 

永久禁用IPv6

以上方法是不能永久禁用IPv6的，你一旦重启系统IPv6还是会被启用。如果你想要永久关闭它，有几个方法你可以试试。

方法一

第一种方法是通过 /etc/sysctl.conf 文件对 /proc 进行永久修改。

换句话说，就是用文本编辑器打开 /etc/sysctl.conf 然后添加以下内容：

# 禁用整个系统所有接口的IPv6
net.ipv6.conf.all.disable_ipv6 = 1

# 禁用某一个指定接口的IPv6(例如：eth0, lo)
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1

在 /etc/sysctl.conf 使这些更改生效，运行以下命令：

$ sudo sysctl -p /etc/sysctl.conf 

或者直接重启。

方法二

另一个永久禁用IPv6的方法是在开机的时候传递一个必要的内核参数。

用文本编辑器打开 /etc/default/grub 并给GRUBCMDLINELINUX变量添加"ipv6.disable=1"。

$ sudo vi /etc/default/grub

GRUB_CMDLINE_LINUX="xxxxx ipv6.disable=1"

上面的"xxxxx"代表任何已有的内核参数，在它后面添加"ipv6.disable=1"。

最后，不要忘记用以下方法保存对GRUB/GRUB2的修改：

Debian、Ubuntu或Linux Mint系统：

$ sudo update-grub 

Fedora、CentOS/RHEL系统：

$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg 

现在只要你重启你的Linux系统，IPv6就会完全被禁用。

禁用IPv6之后的其它可选步骤

这里有一些在你禁用IPv6后需要考虑的可选步骤，这是因为当你在内核里禁用IPv6后，其它程序也许仍然会尝试使用IPv6。在大多数情况下，应用程序的这种行为不太会影响到什么，但是出于效率或安全方面的原因，你可以为他们禁用IPv6。

/etc/hosts

根据你的设置， /etc/hosts 会包含一条或多条IPv6的hosts和它们的地址。用文本编辑器打开 /etc/hosts 并注释掉包含IPv6 hosts的脚本行。

$ sudo vi /etc/hosts

# comment these IPv6 hosts
# ::1     ip6-localhost ip6-loopback
# fe00::0 ip6-localnet
# ff00::0 ip6-mcastprefix
# ff02::1 ip6-allnodes
# ff02::2 ip6-allrouters

Network Manager

如果你在用NetworkManager来管理你的网络设置，你可以在NetworkManager里禁用IPv6。在NetworkManager打开wired connection，点击"IPv6 Settings"选项并在"Method"一栏选择"Ignore"，保存退出。

SSH服务

默认情况下，OpenSSH服务(sshd)会去尝试捆绑IPv4和IPv6的地址。

要强制sshd只捆绑IPv4地址，用文本编辑器打开 /etc/ssh/sshd\_config 并添加以下行。inet只适用于IPv4，而inet6是适用于IPv6的。

$ sudo vi /etc/ssh/sshd_config

AddressFamily inet

然后重启sshd服务。

via: http://ask.xmodulo.com/disable-ipv6-linux.html

作者：Dan Nanni 译者：ZTinoZ 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Red Hat Enterprise Linux 7 与 CentOS 7 中默认的网络服务由 NetworkManager 提供，这是动态控制及配置网络的守护进程，它用于保持当前网络设备及连接处于工作状态，同时也支持传统的 ifcfg 类型的配置文件。

NetworkManager 可以用于以下类型的连接：Ethernet，VLANS，Bridges，Bonds，Teams，Wi-Fi，mobile boradband（如移动3G）以及 IP-over-InfiniBand。针对与这些网络类型，NetworkManager 可以配置他们的网络别名，IP 地址，静态路由，DNS，VPN连接以及很多其它的特殊参数。

可以用命令行工具 nmcli 来控制 NetworkManager。

nmcli 用法

# nmcli [ OPTIONS ] OBJECT { COMMAND | help }

我们可以通过 TAB 键补全命令，当你忘记这个命令的语法时只需要按下 TAB 就可以看到选项列表。

使用 nmcli 的一些例子：

# nmcli general status

这条命令将 NetworkManager 的所有状态都打印出来。

# nmcli connection show

显示所有连接。

# nmcli connection show -a

仅显示当前活动的连接。

# nmcli device status

列出 NetworkManager 识别出的设备列表及他们的状态。

启动/停止 网络接口

使用 nmcli 工具启动或停止网络接口，与 ifconfig 的 up/down 是一样的。

使用下列命令停止某个接口：

# nmcli device disconnect eno16777736

下列命令用来启动接口：

# nmcli device connect eno16777736

添加静态IP的以太网连接

以下命令可以添加一个静态IP地址的以太网连接：

# nmcli connection add type ethernet con-name NAME_OF_CONNECTION ifname interface-name ip4 IP_ADDRESS gw4 GW_ADDRESS

根据你需要的配置更改 NAME\_OF\_CONNECTION,IP\_ADDRESS, GW\_ADDRESS 参数（如果不需要网关的话可以省略最后一部分）。

# nmcli connection add type ethernet con-name NEW ifname eno16777736 ip4 192.168.1.141 gw4 192.168.1.1

使用下列命令设置DNS服务器：

# nmcli connection modify NEW ipv4.dns "8.8.8.8 8.8.4.4"

下列命令启动新的 Ethernet 连接：

# nmcli connection up NEW ifname eno16777736

查看新连接的配置信息：

# nmcli -p connection show NEW

增加一个使用 DHCP 的新连接

增加新的连接，使用DHCP自动分配IP地址，网关，DNS等，你要做的就是将命令行后 ip/gw 地址部分去掉就行了，DHCP会自动分配这些参数。

例，在 eno 16777736 设备上配置一个 名为 NEW\_DHCP 的 DHCP 连接

# nmcli connection add type ethernet con-name NEW_DHCP ifname eno16777736

via: http://linoxide.com/linux-command/nmcli-tool-red-hat-centos-7/

作者：Adrian Dinu 译者：SPccman 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

这些天我正在体验Elementary OS Freya，在这期间，我遇到了一个非常常见的更新错误：Failed to fetch cdrom Please use apt-cdrom to make this CD-ROM recognized by APT. apt-get update cannot be used to add new CD-ROMs。完整的错误在运行apt-get update后看上去像这样：

W: Failed to fetch cdrom://elementary OS 0.3 Freya – Daily amd64 (20150208)/dists/trusty/main/binary-amd64/Packages Please use apt-cdrom to make this CD-ROM recognized by APT. apt-get update cannot be used to add new CD-ROMs

W: Failed to fetch cdrom://elementary OS 0.3 Freya – Daily amd64 (20150208)/dists/trusty/restricted/binary-amd64/Packages Please use apt-cdrom to make this CD-ROM recognized by APT. apt-get update cannot be used to add new CD-ROMs

E: Some index files failed to download. They have been ignored, or old ones used instead.

本篇中，我们会了解如何修复这个错误。

修复apt-get update无法添加新的CD-ROM的错误

这个错误的原因是cdrom已经被包含在源之中。要修复这个问题，我们需要将它从软件源中移除。

在Ubuntu中，找到“软件与更新”：

在Ubuntu Software的第一个标签中，找到cdrom，如果它是勾选的，那么取消勾选。

关闭软件源并再次运行更新。现在应该可以用了。

进一步故障排除：

上面描述的方法已经修复了这个apt-get update cannot be used to add new CD-ROMs错误。但是这个方法对我无效，因为cdrom的选项这时是灰色的，因为我使用的live版本。

现在要修复我们的问题了，我们是要采用命令行路线。打开终端并查看软件源中包含了哪些源：

cat /etc/apt/sources.list

我的输出是下面这样：

deb cdrom:[elementary OS 0.3 _Freya_ – Daily amd64 (20150208)]/ trusty main restricted
deb http://archive.ubuntu.com/ubuntu/ trusty main restricted universe multiverse
deb-src http://archive.ubuntu.com/ubuntu/ trusty main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu/ trusty-security main restricted universe multiverse
deb-src http://security.ubuntu.com/ubuntu/ trusty-security main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu/ trusty-updates main restricted universe multiverse
deb-src http://archive.ubuntu.com/ubuntu/ trusty-updates main restricted universe multiverse

在上面的第一行中。它包含了cdrom。我们需要用‘#’来注释掉这行：

#deb cdrom:[elementary OS 0.3 _Freya_ – Daily amd64 (20150208)]/ trusty main restricted

要用下面的命令来：

sudo gedit /etc/apt/sources.list

在你编辑完软件源后，再次运行apt-get update。“apt-get update cannot be used to add new CD-ROMs”这个错误应该已经修复了。如果你还遇到其他的问题，看一下这篇收集了大部分Ubuntu常见更新错误修复的文章。

我希望这篇教程对你有用。如果你还有其他的问题和建议，请在下面留言。

via: http://itsfoss.com/fix-failed-fetch-cdrom-aptget-update-add-cdroms/

作者：Abhishek 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

[TL;DR] 这是系列文章的第三篇，讲述了我的公司是如何将基础设施从PaaS移植到Docker上的。

• 第一部分:谈论了我接触Docker之前的经历；
• 第二部分:一步步搭建一个安全而又私有的registry。

在系列文章的最后一篇里，我们将用一个实例来学习如何自动化整个部署过程。

基本的Rails应用程序

现在让我们启动一个基本的Rails应用。为了更好的展示，我使用Ruby 2.2.0和Rails 4.1.1

在终端运行：

$ rvm use 2.2.0
$ rails new  && cd docker-test

创建一个基本的控制器：

$ rails g controller welcome index

……，然后编辑 routes.rb ，以便让该项目的根指向我们新创建的welcome#index方法：

root 'welcome#index'  

在终端运行 rails s ，然后打开浏览器，登录http://localhost:3000，你会进入到索引界面当中。我们不准备给应用加上多么神奇的东西，这只是一个基础的实例，当我们将要创建并部署容器的时候，用它来验证一切是否运行正常。

安装webserver

我们打算使用Unicorn当做我们的webserver。在Gemfile中添加 gem 'unicorn'和 gem 'foreman'然后将它bundle起来(运行 bundle install命令）。

启动Rails应用时，需要先配置好Unicorn，所以我们将一个unicorn.rb文件放在config目录下。这里有一个Unicorn配置文件的例子，你可以直接复制粘贴Gist的内容。

接下来，在项目的根目录下添加一个Procfile，以便可以使用foreman启动应用，内容为下：

web: bundle exec unicorn -p $PORT -c ./config/unicorn.rb  

现在运行foreman start命令启动应用，一切都将正常运行，并且你将能够在http://localhost:5000上看到一个正在运行的应用。

构建一个Docker镜像

现在我们构建一个镜像来运行我们的应用。在这个Rails项目的根目录下，创建一个名为Dockerfile的文件，然后粘贴进以下内容：

# 基于镜像 ruby 2.2.0
FROM ruby:2.2.0

# 安装所需的库和依赖
RUN apt-get update && apt-get install -qy nodejs postgresql-client sqlite3 --no-install-recommends && rm -rf /var/lib/apt/lists/*

# 设置 Rails 版本
ENV RAILS_VERSION 4.1.1

# 安装 Rails
RUN gem install rails --version "$RAILS_VERSION"

# 创建代码所运行的目录 
RUN mkdir -p /usr/src/app  
WORKDIR /usr/src/app

# 使 webserver 可以在容器外面访问
EXPOSE 3000

# 设置环境变量
ENV PORT=3000

# 启动 web 应用
CMD ["foreman","start"]

# 安装所需的 gems 
ADD Gemfile /usr/src/app/Gemfile  
ADD Gemfile.lock /usr/src/app/Gemfile.lock  
RUN bundle install --without development test

# 将 rails 项目（和 Dockerfile 同一个目录）添加到项目目录
ADD ./ /usr/src/app

# 运行 rake 任务
RUN RAILS_ENV=production rake db:create db:migrate  

使用上述Dockerfile，执行下列命令创建一个镜像（确保boot2docker已经启动并在运行当中）:

$ docker build -t localhost:5000/your_username/docker-test .

然后，如果一切正常，长长的日志输出的最后一行应该类似于：

Successfully built 82e48769506c  
$ docker images
REPOSITORY                                       TAG                 IMAGE ID            CREATED              VIRTUAL SIZE  
localhost:5000/your_username/docker-test         latest              82e48769506c        About a minute ago   884.2 MB  

让我们运行一下容器试试！

$ docker run -d -p 3000:3000 --name docker-test localhost:5000/your_username/docker-test

通过你的boot2docker虚拟机的3000号端口（我的是http://192.168.59.103:3000），你可以观察你的Rails应用。（如果不清楚你的boot2docker虚拟地址，输入$ boot2docker ip命令查看。）

使用shell脚本进行自动化部署

前面的文章（指文章1和文章2）已经告诉了你如何将新创建的镜像推送到私有registry中，并将其部署在服务器上，所以我们跳过这一部分直接开始自动化进程。

我们将要定义3个shell脚本，然后最后使用rake将它们捆绑在一起。

清除

每当我们创建镜像的时候，

• 停止并重启boot2docker；
• 去除Docker孤儿镜像（那些没有标签，并且不再被容器所使用的镜像们）。

在你的工程根目录下的clean.sh文件中输入下列命令。

echo Restarting boot2docker...  
boot2docker down  
boot2docker up

echo Exporting Docker variables...  
sleep 1  
export DOCKER_HOST=tcp://192.168.59.103:2376  
export DOCKER_CERT_PATH=/Users/user/.boot2docker/certs/boot2docker-vm  
export DOCKER_TLS_VERIFY=1

sleep 1  
echo Removing orphaned images without tags...  
docker images | grep "<none>" | awk '{print $3}' | xargs docker rmi  

给脚本加上执行权限：

$ chmod +x clean.sh

构建

构建的过程基本上和之前我们所做的（docker build）内容相似。在工程的根目录下创建一个build.sh脚本，填写如下内容：

docker build -t localhost:5000/your_username/docker-test .  

记得给脚本执行权限。

部署

最后，创建一个deploy.sh脚本，在里面填进如下内容：

# 打开 boot2docker 到私有注册库的 SSH 连接
boot2docker ssh "ssh -o 'StrictHostKeyChecking no' -i /Users/username/.ssh/id_boot2docker -N -L 5000:localhost:5000 [email protected] &" &

# 在推送前先确认该 SSH 通道是开放的。
echo Waiting 5 seconds before pushing image.

echo 5...  
sleep 1  
echo 4...  
sleep 1  
echo 3...  
sleep 1  
echo 2...  
sleep 1  
echo 1...  
sleep 1

# Push image onto remote registry / repo
echo Starting push!  
docker push localhost:5000/username/docker-test  

如果你不理解这其中的含义，请先仔细阅读这部分第二部分。

给脚本加上执行权限。

使用rake将以上所有绑定

现在的情况是，每次你想要部署你的应用时，你都需要单独运行这三个脚本。

1. clean
2. build
3. deploy / push

这一点都不费工夫，可是事实上开发者比你想象的要懒得多！那么咱们就索性再懒一点！

我们最后再把工作好好整理一番，我们现在要将三个脚本通过rake捆绑在一起。

为了更简单一点，你可以在工程根目录下已经存在的Rakefile中添加几行代码，打开Rakefile文件，把下列内容粘贴进去。

namespace :docker do  
  desc "Remove docker container"
  task :clean do
    sh './clean.sh'
  end

  desc "Build Docker image"
  task :build => [:clean] do
    sh './build.sh'
  end

  desc "Deploy Docker image"
  task :deploy => [:build] do
    sh './deploy.sh'
  end
end  

即使你不清楚rake的语法（其实你真应该去了解一下，这玩意太酷了！），上面的内容也是很显然的吧。我们在一个命名空间（docker）里声明了三个任务。

三个任务是：

• rake docker:clean
• rake docker:build
• rake docker:deploy

Deploy独立于build，build独立于clean。所以每次我们输入命令运行的时候。

$ rake docker:deploy

所有的脚本都会按照顺序执行。

测试

现在我们来看看是否一切正常，你只需要在app的代码里做一个小改动：

$ rake docker:deploy

接下来就是见证奇迹的时刻了。一旦镜像文件被上传（第一次可能花费较长的时间），你就可以ssh登录产品服务器，并且（通过SSH管道）把docker镜像拉取到服务器并运行了。多么简单！

也许你需要一段时间来习惯，但是一旦成功，它几乎与用Heroku部署一样简单。

备注：像往常一样，请让我了解到你的意见。我不敢保证这种方法是最好，最快，或者最安全的Docker开发的方法，但是这东西对我们确实奏效。

via: http://cocoahunter.com/2015/01/23/docker-3/

作者：Michelangelo Chasseur 译者：DongShuaike 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

开发人员称，EvilAP\_Defender甚至可以攻击流氓Wi-Fi接入点

这是一个新的开源工具，可以定期扫描一个区域，以防出现恶意 Wi-Fi 接入点，同时如果发现情况会提醒网络管理员。

这个工具叫做 EvilAP\_Defender，是为监测攻击者所配置的恶意接入点而专门设计的，这些接入点冒用合法的名字诱导用户连接上。

这类接入点被称做假面猎手（evil twin），使得黑客们可以从所接入的设备上监听互联网信息流。这可以被用来窃取证书、钓鱼网站等等。

大多数用户设置他们的计算机和设备可以自动连接一些无线网络，比如家里的或者工作地方的网络。通常，当面对两个同名的无线网络时，即SSID相同，有时候甚至连MAC地址（BSSID）也相同，这时候大多数设备会自动连接信号较强的一个。

这使得假面猎手攻击容易实现，因为SSID和BSSID都可以伪造。

EvilAP\_Defender是一个叫Mohamed Idris的人用Python语言编写，公布在GitHub上面。它可以使用一个计算机的无线网卡来发现流氓接入点，这些坏蛋们复制了一个真实接入点的SSID，BSSID，甚至是其他的参数如通道，密码，隐私协议和认证信息等等。

该工具首先以学习模式运行，以便发现合法的接入点[AP]，并且将其加入白名单。然后可以切换到正常模式，开始扫描未认证的接入点。

如果一个恶意[AP]被发现了，该工具会用电子邮件提醒网络管理员，但是开发者也打算在未来加入短信提醒功能。

该工具还有一个保护模式，在这种模式下，应用会发起一个denial-of-service [DoS]攻击反抗恶意接入点，为管理员采取防卫措施赢得一些时间。

“DoS 将仅仅针对有着相同SSID的而BSSID（AP的MAC地址）不同或者不同信道的流氓 AP，”Idris在这款工具的文档中说道。“这是为了避免攻击到你的正常网络。”

尽管如此，用户应该切记在许多国家，攻击别人的接入点很多时候都是非法的，甚至是一个看起来像是攻击者操控的恶意接入点。

要能够运行这款工具，需要Aircrack-ng无线网套装，一个支持Aircrack-ng的无线网卡，MySQL和Python运行环境。

via: http://www.infoworld.com/article/2905725/security0/this-tool-can-alert-you-about-evil-twin-access-points-in-the-area.html

作者：Lucian Constantin 译者：wi-cuckoo 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

FreeBSD是全文本模式的系统，然而有些新用户想要使用GUI桌面环境。这个教程就是帮助你在Freebsd 10.1中安装Mate桌面。

下面是我的系统细节：

root@Freebsd-unixmen:~ # uname -a
FreeBSD Freebsd-unixmen 10.1-RELEASE FreeBSD 10.1-RELEASE #0 r274401: Tue Nov 11 21:02:49 UTC 2014     [email protected]:/usr/obj/usr/src/sys/GENERIC  amd64
root@Freebsd-unixmen:~

要在FreeBSD 10.1 中开始安装Mate桌面，按照下面的步骤。

pkg install xf86-video-fbdev mate-desktop mate xorg

在 /etc/rc.conf 中加入下面的行

moused_enable="YES"
dbus_enable="YES"
hald_enable="YES"

测试安装

xinit mate-session

Mate本身没有显示管理器。因此我们会使用其他的显示管理器如XDM、GDM、slim等等来作为登录管理器。这里让我们看看如何在Mate桌面中配置Slim DM

安装 Slim

pkg install slim

在/etc/rc.conf中加入下面的行：

slim_enable="YES"

在用户的家目录下的.xinitrc文件加入下面的行。

exec mate-session

重启电脑。现在在你登录Mate时就会进入Slim登录界面了。

就是这样。干杯！

via: http://www.unixmen.com/install-mate-desktop-freebsd-10-1/

作者：M.el Khamlichi 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出