这篇文章是 Vim 用户指南系列文章中的一篇：

• Vim 初学者入门指南
• Vim 快捷键速查表
• 5 个针对有经验用户的 Vim 技巧
• 3 个针对高级用户的 Vim 编辑器实用技巧

毫无疑问， Vim 是一个很强大的文本编辑器。它提供了大量的特性，这意味着学习并记住 Vim 的所有功能实际上是不可能的。但是我们至少可以不断学习简单的方法来完成事情，从而随着时间的增长，我们使用编辑器的经验将会变得更好。

请记住，在这篇文章中我们将讨论的一些 Vim 编辑器技巧是针对高级用户的。

注：如果你是第一次接触 Vim，你可以首先阅读我们的入门指南。对于已经使用过 Vim 编辑器的用户，我确信 Vim 快捷键速查表将会对你很有帮助。如果你已经是一名有经验的用户，你可能对一些针对有经验用户的技巧比较感兴趣。

请注意文中提到的所有技巧绝大多数都是在简单、易于理解的代码环境中进行阐述的，因为它们在软件开发中确实很实用。但这并不意味着普通用户（非程序员、没有把 Vim 作为一般的文本编辑器）在他们的工作中用不到。

1、为文件设置特定的变量

有时候，在一个特定文件中，你可能想把输入的制表符用空格代替，或者想要把源代码文件使用两个空格缩进，即便编辑器的默认缩进是四个空格。

基本上我们在这儿讨论对针对文件的的更改。 Vim 提供的这个特性允许你对一个指定的文件更改特定的设置。这个特性叫做 “ 模式行 （ Modeline ） ” 。

比如，如果你想把输入的每一个制表符（Tab）用空格代替，那么你只需要在文件的前几行或最后几行加入下面的模式行：

# vim: set expandtab:

如果想把默认缩进从 4 个空格变成 2 个空格，可以在源文件中添加下面的模式行：

// vim: noai:ts=2:sw=2

在使用模式行时，请记住下面这几个重要的点：

• 模式行只能添加在文件中的前五行或者最后五行。
• 为了使用模式行这个特性，必须在 .vimrc 文件中添加 :set modeline 。
• 在以 root 用户身份对文件进行编辑的时候该特性失效。

了解更多的信息，请阅读该特性的官方文档。

2、 关键字补全

当你开始写的复杂代码越来越多或者开始在一个大的源文件上编辑时，你会遇到一些变量名字。有时，要记住所有的变量名字不太容易，所以当需要输入变量名字的时候，你通常从已经使用过的地方复制过来。

幸运的是，使用 Vim 你只需要输入变量的几个起始字母即可。在’插入模式’中，按 Ctrl + n 或者 Ctrl + p 可以得到一个匹配的关键词列表。 Ctrl + n 用来插入下一个匹配词； Ctrl + p 给出一个之前匹配的关键词列表。

下图是该特性的一个展示：

正如上面的屏幕截图清晰展示的那样，列表中也会出现其他源文件中包含的词。关于该特性的更多信息，请访问这儿。

3、 搜索

假设你正在调试代码，其中一个需要做的工作是快速查看一个变量在一个文件中所有出现的地方。一个常用的方法是退出‘插入模式’，输入 /[变量名字] 命令，按回车 ，然后返回‘插入模式’，使用 n 和 p 在关键字之间导航。

上面讲到的这种方法没毛病，但是还有一种更简单、更快捷的方法可以来完成这样的搜索。使用这种方法，首先你需要退出‘插入模式’，然后把光标移动到你想要搜索的词/变量下面，这并不费时。接下来，你只需要按 Shift + * 即可。

重复这样做，然后编辑器将会带你找到在文件中所有使用了这个词/变量的地方。

结论

尽管是针对高级用户，但文章中讨论的这些技巧并不难理解，也比较容易使用。如果你具有一定的基础，那么你能够从中获益很多。不必多说，无论是任何新特性或观念，你需要勤于练习这些技巧才能够把它们变成一种习惯。

via: https://www.maketecheasier.com/vim-tips-tricks-advanced-users/

作者：Himanshu Arora 译者：ucasFL 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这篇文章是 Vim 用户指南系列文章中的一篇：

• Vim 初学者入门指南
• Vim 快捷键速查表
• 5 个针对有经验用户的 Vim 实用技巧
• 3 个针对高级用户的 Vim 编辑器实用技巧

Vim 编辑器提供了很多的特性，要想全部掌握它们很困难。然而，花费更多的时间在命令行编辑器上总是有帮助的。毫无疑问，和 Vim 用户们进行交流能够让你更快地学习新颖有创造性的东西。

注： 本文中用到的例子，使用的 Vim 版本是 7.4.52 。

1、 同时编辑多个文件

如果你是一名软件开发者或者把 Vim 作为主要的编辑器，那么可能很多时候你需要同时编辑多个文件。“ 紧跟 （ following ） ”是在同时编辑多个文件时可用的实用技巧。

不需要在多个 shell 界面中打开多个文件，你可以通过把多个文件的文件名作为 Vim 命令的参数从而在一个 shell 界面中打开多个文件。比如：

vim 文件1 文件2 文件3

第一个文件（例子中的文件1）将成为当前文件并被读入缓冲区。

在编辑器中，使用 :next 或 :n 命令来移动到下一个文件，使用 :prev 或 :N 命令返回上一个文件。如果想直接切换到第一个文件或最后一个文件，使用 :bf 和 :bl 命令。特别地，如果想打开另外的文件并编辑，使用 :e 命令并把文件名作为参数（如果该文件不在当前目录中则需要完整路径做为参数）。

任何时候如果需要列出当前打开的所有文件，使用 :ls 命令。看下面展示的屏幕截图。

注意 ”%a” 表示文件在当前活动窗口，而 “#” 表示上一个活动窗口的文件。

2、 通过自动补全节约时间

想节约时间并提高效率吗？使用缩写吧。使用它们能够快速写出文件中多次出现、复杂冗长的词。在 Vim 中缩写命令写就是 ab 。

比如，当你运行下面的命令以后：

:ab asap as soon as possible

文件中出现的每一个 asap 都会被自动替换为 as soon as possible ，就像你自己输入的一样。

类似地，你可以使用缩写来更正常见的输入错误。比如，下面的命令

:ab recieve receive

将会自动更正拼写错误，就像你自己输入的一样。如果在一次特殊情况下你想阻止缩写展开或更正发生，那么你只需要在输入一个单词的最后一个字母以后按 Ctrl + V ，然后按空格键。

如果你想把刚才使用的缩写保存下来，从而当你下次使用 Vim 编辑器的时候可以再次使用，那么只需将完整的 ab 命令(没有起始的冒号)添加到　/etc/vim/vimrc 文件中。如果想删除某个缩写，你可以使用 una 命令。比如： una asap 。

3、 切分窗口便于复制/粘贴

有时，你需要从一个文件将一段代码或文本的一部分复制到另一个。当使用 GUI（图形界面）编辑器的时候，这很容易实现，但是当使用一个命令行编辑器的时候，这就变得比较困难并且很费时间。幸运的是， Vim 提供了一种高效、节约时间的方式来完成这件事。

打开两个文件中的一个然后切分 Vim 窗口来打开另一个文件。可以通过使用 split 命令并以文件名作为参数来完成这件事。比如：

:split test.c

上面的命令将分离窗口并打开文件 “test.c”

注意到 split 命令水平分离 Vim 窗口。如果你想垂直分离窗口，那么你可以使用 vsplit 命令。当同时打开了两个文件并从一个文件中复制好内容以后，按 Ctrl + W 切换到另一个文件，然后粘贴。

4、 保存一个没有权限的已编辑文件

有时候当你对一个文件做了大量更改以后才会意识到你对该文件仅有 只读 权限。

虽然把文件关闭，获取权限以后再重新打开是一种解决方法。但是如果你已经做了大量更改，这样做会很浪费时间，因为在这个过程中所有的更改都会丢失。 Vim 提供了一种方式来处理这种情况：你可以在编辑器中在保存文件前更改文件权限。命令是：

:w !sudo tee %

这个命令将会向你询问密码，就像在命令行中使用 sudo 一样，然后就能保存更改。

一个相关的技巧：在 Vim 中编辑一个文件的时候，如果想快速进入命令行提示符，可以在编辑器中运行 :sh 命令，从而你将进入一个交互的 shell 中。完成以后，运行 exit 命令可以快速回到 Vim 模式中。

5、 在复制/粘贴过程中保持缩进

大多数有经验的程序员在 Vim 上工作时都会启用自动缩进。虽然这是一个节约时间的做法，但是在粘贴一段已经缩进了的代码的时候会产生新的问题。比如，下图是我把一段已缩进代码粘贴到一个在自动缩进的 Vim 编辑器中打开的文件中时遇到的问题：

这个问题的解决方法是 pastetoggle 选项。在 /etc/vim/vimrc 文件中加入下面这行内容：

set pastetoggle=<F2>

然后当你在 插入 模式中准备粘贴代码前先按 F2 键，就不会再出现上图中的问题，这样会保留原始的缩进。注意，你可以用其他的任何键来代替 F2，如果它已经映射到了别的功能上。

结论

更进一步的提高你的 Vim 编辑器技巧的唯一方法是，在你日复一日的工作中使用命令行编辑器。留意那些耗时多的操作，然后尝试去寻找是否有编辑器命令可以很快地完成这个操作。

via: https://www.maketecheasier.com/vim-tips-tricks-for-experienced-users/

作者：Himanshu Arora 译者：ucasFL 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

更新：我原文推荐的是 xsel，但几个用户报告说它禁用了他们的声音。这对我来说不是问题，但我发现了另一种方式（使用 xclip ）来实现同样的目标，这样应该就能回避这个问题。文章已更新，切换到了 xclip。

在你的操作系统上复制/粘贴的能力是必不可少的。无论你写的是代码还是剧本，这两个功能是在计算机上处理文本的核心。当你复制文本时，它会进入内存驻留的剪贴板。除非安装了可以容纳多个条目的剪贴板管理器，否则剪贴板默认情况下只会处理一个复制事件，当你复制其他东西的时候，它之前的条目才会消失。在标准 Linux 设置中，剪贴板内容存储在控制它的程序的内存中（通常是 Xorg）。

剪贴板应该有所限制，因为任何程序都可以读取其内容，如果放任它，它保存的东西就会一直呆在那里。此外，现代浏览器允许恶意网站以多种方式从剪贴板读取（和写入）。

虽然不是默认设置，但浏览器可以设置为禁止访问剪贴板。虽然也有用于浏览器和操作系统管理剪贴板的附加组件，但是，在此链条的源头解决问题更容易、更可靠，并使系统范围内的剪贴板安全。有很多理由使用一个剪贴板，但没有足够的理由让内容在那里保留一两分钟以上。

密码管理器最近变得很受欢迎，如果你使用过的话，你已经了解了它们如何将密码复制到剪贴板，以便你可以将其粘贴到浏览器中，并登录到你的帐户。接下来会发生什么？你的密码会保留在剪贴板上，直到另一个复制事件或重新启动。

即使你使用单独的浏览器来处理银行等事务，复制密码时，通过剪贴板会将其带回其他浏览器，并将其暴露在基于 web 的剪贴板收集技术中。

我的解决方案是在后台进行处理，每分钟自动清除剪贴板的内容。它使用 xclip 这个命令行工具、一个小脚本和 cron。cron 的一分钟间隔给你足够的时间来复制密码，然后它会清空剪贴板。此动作会每分钟执行一次，保证复制无忧。

我们需要使用 xclip 工具清除终端中的剪贴板。在基于 apt 的发行版中，输入：

sudo apt-get install xclip

我们在终端中测试一下程序。首先从某处复制一些文字，复制到其他地方，并输入这两条命令：

touch blank
xclip -selection clipboard blank

接着再次尝试复制文本 - 它应该就会消失了。现在把这个命令放在脚本中。创建一个脚本（用你的文本编辑器代替 leafpad）：

leafpad nukeclipboard.sh

并在新文件中输入下面的内容：

#!/bin/sh
touch blank && xclip -selection clipboard blank

保存并关闭文件，接着加上可执行权限：

chmod +x nukeclipboard.sh

现在让 cron 任务每分钟运行一次。首先要小心，不同的发行版有不同的 cron 选项。以下设置适用于 Ubuntu（基于）的发行版，并且在你的发行版中过程可能不同，因此请阅读手册。

要设置 cron 任务，请在终端输入：

crontab -e

在最后被注释掉的行后，输入下面的行（将 /home/user/ 替换为你的脚本位置）：

* * * * * export DISPLAY=:0 && /home/user/nukeclipboard.sh

现在按下 ctrl-o 保存（使用你的 cron 任务编辑器的保存快捷键），然后点击回车保存你的 crontab。最后，按下 ctrl-x 退出程序。从现在起，你的剪贴板的使用寿命为一分钟。

关于上面的 cron 条目的解释： cron 有环境变量的限制，当它失败时，你可能要花一整天试着一百种方法来解决它。在我找到了一个建议设置 DISPLAY 的快速修复 后，就解决了。感谢 Mike Q 的贡献。

现在，可能会发生当你要粘贴复制的东西时，正好剪贴板被清空，从而无法粘贴，但它只是安全的一个小的代价。 如果这是一个问题，您可以配置 cron 以任何适合您的间隔运行任务（比如 2 分钟）。 Ubuntu 的说明在此页。

我希望这个教程能帮助你把剪贴板锁定下来 - 如果你有可以工作的脚本或者更好的方法，欢迎来做评论。

via: https://www.darrentoback.com/your-computer-s-clipboard-is-a-security-problem-fix-it-in-linux-with-xsel-and-cron

作者：dmt 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 容器正在改变 IT 从业者的工作方式。相比于庞大、沉重的虚拟机，一些组织发现把他们的应用部署在容器中更有效，可以提供更快的速度，更加密集，提升他们操作的敏捷性。

从安全的角度看，容器带来了一些优势，但是也面临着它们自己的一些安全挑战。和传统的基础设施一样，为了避免安全缺陷，确保运行在一个容器内的组件和系统库的定期更新是至关重要的。但是你如何知道什么东西运行在你的容器内？为了帮助你应对这些的安全挑战，一个名为 Anchore的初创公司正在开发一个同名的开源项目，它用来帮助展示 Linux 容器中的内容。

为了了解更多关于 Anchore，我找到了 Anchore 的市场和产品的发言人 Andrew Cathrow，来了解更多关于这个开源项目背后的公司。

简而言之 Anchore 是什么? 它如何工作?

Anchore 的目标是提供一套工具，允许开发人员、运营团队、安全团队在容器的整个开发周期中保持对“监管链（Chain of Custody）”的全程可见，并提供生产部署所需的可见性、可预测性和控制性。Anchore 的引擎通过插件可以进行分析（通过提取镜像数据和元数据）、查询（允许对容器进行分析）、以及策略评估（这里的策略指可以被指定的管理的图像）。

虽然市场上有很多扫描工具，但是大部分不开源。我们认为安全合规的产品应该是开源的，否则你怎么才能信任他们。

Anchore 除了开源以外，还有两大优势，使它可以区别于市场中的商业产品。

首先，我们看的不止是操作系统的镜像。如今的扫描工具专注于操作系统的软件包，比如“你的 RPM 或 DEB 包中有CVE（安全漏洞）么？”这虽然是很重要的，你不希望你的镜像中有不安全的包，但是操作系统包只是镜像的基础。其他的层次都需要进行验证，包括配置文件、语言模块、中间件等等。你可以用的全是最新的软件包，但是可能一个配置文件配置出现错误，不安全就出现在里面。第二个不同就是允许用户添加自己的数据、查询或策略来扩展这个引擎。

什么推动了容器的校验和分析工具的需求出现？这个工具可以解决运营面临的什么问题呢？

企业使用 Docker 首要关注的就是安全，特别是他们正在部署的容器的分配和合规性。在生产环境中，从公共镜像库拉取一个镜像，运行它，并在几秒钟部署，是非常简单的，甚至不知道下面可能发生什么。终端用户在部署应用时，必须信任他们所部署的是安全、高效和易于维护的。

容器是不透明的，它们是一个包含应用程序的可部署的“黑盒”。虽然非常容易把这些镜像看作“打包的应用程序”，但是它们包括了系统的镜像和多达数百个包和成千上万个文件。如同所有在物理服务器、虚拟机或者云上的操作系统一样，镜像也需要维护。镜像或许包含了未补丁的安全缺陷、带有 bug 和错误配置的过期软件。

要对您的容器部署有信心，你需要知道底层是什么，并基于容器镜像的内容来做出决定。

如今容器的创新基本上都是开源的，你认为是为什么呢？是什么促使了它们开源呢？

在过去的 20 年中，各个组织已经经历了开源带来的优势，节省成本，减少锁定，提高了安全性和更快的创新。容器，特别是 Docker，都是非常好的例子。Docker 公司的团队不能在专有系统上创建一个新的软件部署模式，他们不能要求在修改专有系统的代码，而是与行业领导者比如谷歌、IBM、英特尔、红帽合作，朝着一个共同的目标。开源和 Linux 总是开启创新和激励产业困境。在过去，实现一个大的想法需要一个大的团队和很多资源。在开源世界，一个有着很大的创意的小公司可以工作在一个更大的社区中，通过知识共享的力量来协作，提供真正的企业创新。

为了深入的说明开源的使用，Anchroe 团队最近刚从多伦多的 LinuxCon 回来，在哪里，令人难以相信的是，微软作为钻石级的赞助商，展示了他们用在 Linux 上的产品投入的增长。Linus Toravlds 曾说过，“如果微软为 Linux 开发应用就意味着我赢了”。我要把这句话改为“开源赢了”。

容器领域的通用标准的创建还需要时间，在容器的几乎所有部分，仍有许多挑战。在这个领域，创业公司有哪些挑战？

这里有个很重要的点，就是没有开放的标准和开源，我们不可能看到快速推动容器的采用和改变行业格局的创新。开放容器倡议（OCI）由 Linux 和容器行业的行业领导者组成，正在为运行环境和镜像格式创造标准，这将使我们能够看到更多的创新。Anchore 很自豪能成为 OCI 的新成员，我们期待帮助形成标准。

你将如何围绕 Anchor 项目建立一个开源社区？

Anchore 团队来自 Ansible、Eucalyptus Systems 和 Red Hat 的领导团队，在开源社区中拥有丰富的工作经验。从一开始，Anchore 就准备创建一个强大的开源社区，我们正在应用我们在开源世界中学到的经验和教训。第一课，当然，发布要尽早尽快。我们在 6 月开源我们的检测和分析引擎，远远早于我们的商用产品，以便了确保开源项目能够独立运行，使更多的直接用户能够使用它，而无需购买 Anchore 的商用产品。通过支持、服务和增强型的数据源，有很多机会给商用产品创造更多价值，但是如果开源引擎本身没有用，我们将看不到活跃的社区。

我们将 Anchore 模块化，允许添加分析、报告和策略插件，而不需要更改核心的引擎。我们希望保证任何人都可以创建插件，所以我们选择了 Python 作为项目的基本语言，因为 Python 被开发者和系统管理员广泛应用。但是，即使你不熟悉 Python，你仍然可以使用任何你喜欢的语言或者脚本环境创建插件。如果你可以创建一个 Bash 脚本，那么你也可以创建一个 Anchore 插件。我们的目标是最大化的吸引社区的参与。虽然我们鼓励用户将贡献回馈给社区，但是我们也为这个项目构建并进行了授权，来确保可以独立创建和维护私有的插件和模块。

容器的用途不止是在服务器上更大密度的部署应用程序或者技术层面更快的速度，而且还有不同工具的组合，这些工具提供了一种不同的方式来拉近开发者和操作者共同工作。作为在这个领域工作的公司，你们希望提供一个什么样的消息来让开发者和运营产生共鸣？

随着越来越多的运行环境、编排、监控和集成产品，容器的生态系统正在快速发展。所以，我们的架构中的第一个考虑因素不是限定 Anchore 的部署和使用。我们需要确保我们可以适应任何 CI/CD 工作流，无论是私有部署还是云端部署。一个经常问到我们的问题是，Anchore 是否将提供一个包含了镜像扫描和分析的容器仓库。虽然这将大大简化我们的工作，但是这会迫使用户进入特定的部署架构，并限制了用户部署他们自己最好的组件的能力。我们已经确保 Anchore 可以和所有领先的仓库、运行环境平台、 CI/CD 平台和编排工具配合使用。

一些开发者掌握了运营技能，并转换为 DevOps 角色，我们看到系统管理员/运营团队也在更多的了解开发，转换成 DevOps 角色。我们也看到了具有混合能力的团队。我们设计了可供开发运营和安全团队使用的 Anchore ，以便他们共同定义规则和策略来评估开发周期中的任何一个环节。另外一个例子是插件/模块的架构，使任何人都可以在他们喜欢的环境中轻松创建一个模块 —— 无论是以 Python、Go、Perl、C 甚至是一个 Bash 脚本。

via: https://opensource.com/business/16/10/interview-andy-cathrow-anchore

作者：Jason Baker 译者：Bestony 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Linux 和其他的类 Unix 操作系统中，只有 root 用户可以运行所有的命令，才能在系统中执行那些需要鉴权的操作，比如安装、升级和移除软件包、创建用户和用户组、修改系统重要的配置文件等等。

然而，系统管理员，比如说 root 用户，可以通过 sudo 命令 和一些配置选项来给普通用户进行授权，从而让该普通用户可以运行某些命令已经上述的那些相当重要的系统级操作。

另外，系统管理员还可以分享 root 用户密码 (这个做法是不值得提倡的)，这样普通用户就可以通过 su 命令来转化为 root 用户角色。.

sudo 允许已授权用户按照指定的安全策略、以 root 用户 (或者是其他的用户角色) 权限来执行某个命令。

1. sudo 会读取和解析 /etc/sudoers 文件，查找调用命令的用户及其权限。
2. 然后提示调用该命令的用户输入密码 (通常是用户密码，但也可能是目标用户的密码，或者也可以通过 NOPASSWD 标志来跳过密码验证)。
3. 这之后， sudo 会创建一个子进程，调用 setuid() 来切换到目标用户。
4. 接着，它会在上述子进程中执行参数给定的 shell 或命令。

以下列出十个 /etc/sudoers 文件配置，使用 Defaults 项修改 sudo 命令的行为。

$ sudo cat /etc/sudoers

/etc/sudoers 文件：

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults    env_reset
Defaults    mail_badpass
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults    logfile="/var/log/sudo.log"
Defaults    lecture="always"
Defaults    badpass_message="Password is wrong, please try again"
Defaults    passwd_tries=5
Defaults    insults
Defaults    log_input,log_output

Defaults 项的类型

Defaults                parameter,   parameter_list     ### 对任意主机登录的所有用户起作用
Defaults@Host_List      parameter,   parameter_list     ### 对指定主机登录的所有用户起作用
Defaults:User_List      parameter,   parameter_list     ### 对指定用户起作用
Defaults!Cmnd_List      parameter,   parameter_list     ### 对指定命令起作用
Defaults>Runas_List     parameter,   parameter_list     ### 对以指定目标用户运行命令起作用

在本文讨论范围内，我们下面的将以第一个 Defaults 作为基准来参考。parameter 参数可以是标记 (flags)、整数值或者是列表 (list)。

值得注意的是，标记 (flag) 是指布尔类型值，可以使用 ! 操作符来进行取反，列表 (list) 有两个赋值运算符：+= (添加到列表) 和 -= (从列表中移除)。

Defaults     parameter
或
Defaults     parameter=值
或
Defaults     parameter -=值
Defaults     parameter +=值
或
Defaults     !parameter

1、 安置一个安全的 PATH 环境变量

该 PATH 环境变量应用于每个通过 sudo 执行的命令，需要注意两点：

1. 当系统管理员不信任 sudo 用户，便可以设置一个安全的 PATH 环境变量。
2. 该设置将 root 的 PATH 和用户的 PATH 分开，只有在 exempt_group 组的用户不受该设置的影响。

可以添加以下内容来设置：

Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

2、 允许 tty 用户会话使用 sudo

该设置允许在一个真实的 tty 中进行调用 sudo，但不允许通过 cron 或者 cgi-bin 脚本等方法来调用。添加以下内容来设置：

Defaults  requiretty   

3、 使用 pty 运行 sudo 命令

少数情况下，攻击者可以通过 sudo 来运行一个恶意程序 (比如病毒或者恶意代码)，这种恶意程序可能会分叉出一个后台运行的进程，即使主程序完成执行，它仍能够运行在用户的终端设备上。

为了防止出现这样的情况，你可以通过 use_pty 参数来设置 sudo 使用伪终端来运行其他命令，而不必管 I/O 日志的开启状态。如下：

Defaults  use_pty

4、 创建 sudo 日志文件

默认下，sudo 通过 syslog(3) 来记录到日志。但是我们可以通过 logfile 参数来指定一个自定义的日志文件。如下：

Defaults  logfile="/var/log/sudo.log"

使用 log_host 和 log_year 参数可以对应记录日志主机名和 4 位数年份到自定义日志文件。如下：

Defaults  log_host, log_year, logfile="/var/log/sudo.log"

下面是自定义 sudo 日志文件的例示：

创建 sudo 日志文件

5、 记录 sudo 命令的输入/输出

log_input 和 log_output 参数可以让 sudo 命令运行在伪终端，并可以对应地记录所有的用户输入和输出到屏幕上。

默认的 I/O 日志目录为 /var/log/sudo-io，如果存在会话序列号，它将被存储到该目录。你可以通过 iolog_dir 参数来指定一个目录。

Defaults   log_input, log_output

这其中支持转义字符，像 %{seq} —— 以 36 为基数的单调递增序列，比如 000001，这里每两个数字都分别用来形成一个新目录。请看下边例示 00/00/01：

$ cd /var/log/sudo-io/
$ ls
$ cd  00/00/01
$ ls
$ cat log

记录 sudo 命令的输入/输出

cat 命令 来查看该目录的其余部分。

6、 为 sudo 用户提示命令用法

如下，使用 lecture 参数可以在系统中为 sudo 用户提示命令的用法：

参数属性值有三个选择：

1. always – 一直提示
2. once – 用户首次运行 sudo 时提示 (未指定参数属性值时的默认值)
3. never – 从不提示

Defaults  lecture="always"

此外，你还可以使用 lecture_file 参数类自定义提示内容，在指定的文件中输入适当的提示内容即可：

Defaults  lecture_file="/path/to/file"

为 sudo 用户提示命令用法

7、 输入错误的 sudo 密码是显示自定义信息

当某个用户输错密码时，会有一个对应的信息显示在屏幕上。默认是“抱歉，请重新尝试。(sorry, try again)”，你可以通过 badpass_message 参数来修改该信息：

Defaults  badpass_message="Password is wrong, please try again"

8、 增加 sudo 密码尝试限制次数

passwd_tries 参数用于指定用户尝试输入密码的次数。

默认为 3。

Defaults   passwd_tries=5

增加 sudo 密码尝试限制次数

使用 passwd_timeout 参数设置密码超时 (默认为 5 分钟)，如下：

Defaults   passwd_timeout=2

9、 在输错密码时让 sudo 羞辱用户

使用了 insults 参数之后，一旦你输出了密码，sudo 便会在命令窗口中显示羞辱你的信息。这个参数会自动关闭 badpass_message 参数。

Defaults  insults

在输错密码时让 sudo 羞辱用户

10、 更多关于 sudo 的配置

此外，欲了解更多 sudo 命令的配置，请自行阅读：su 与 sudo 的差异以及如何配置 sudo。

文毕。你也可以在评论区分享其他有用的 sudo 配置或者 Linux 技巧。

作者简介：Aaron Kili 是一名 Linux 和 F.O.S.S 忠实拥护者、高级 Linux 系统管理员、Web 开发者，目前在 TecMint 是一名活跃的博主，热衷于计算机并有着强烈的只是分享意愿。

译者简介：GHLandy —— 欲得之，则为之奋斗。 If you want it, work for it.

via: http://www.tecmint.com/sudoers-configurations-for-setting-sudo-in-linux/

作者：Aaron Kili 译者：GHLandy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

本文是 Vim 用户指南 系列的其中一篇：

• Vim 初学者入门指南
• Vim 快捷键速查表
• 5 个针对有经验用户的 Vim 技巧
• 3 个针对高级用户的 Vim 编辑器实用技巧

Vim 编辑器是一个基于命令行的工具，是传奇编辑器 vi 的增强版。尽管图形界面的富文本编辑有很多，但是熟悉 Vim 对于每一位 Linux 的使用者都能有所帮助——无论你是经验丰富的系统管理员，还是刚上手树莓派的新手用户。

这个轻量级的编辑器是个非常强大的工具。在有经验的使用者手中，它能完成不可思议的任务。除了常规的文本编辑功能以外，它还支持一些进阶特性。例如，基于正则表达式的搜索和替换、编码转换，以及语法高亮、代码折叠等的编程特性。

使用 Vim 时有一个非常重要的一点需要注意，那就是按键的功能取决于编辑器当前的“模式”。例如，在“普通模式”输入字母j时，光标会向下移动一行。而当你在“插入模式”下输入字符，则只是正常的文字录入。

下面就是速查表，以便于你充分利用 Vim。

基本操作

方向键

浏览文档

插入文本

特殊插入

删除文本

简单替换文本

复制/粘贴文本

撤销/重做操作

搜索和替换

书签

选择文本

改动选中文本

保存并退出

下载 Vim 快捷键速查表

仅仅是这样是否还不足以满足你？别担心，我们已经为你整理好了一份下载版的速查表，以备不时之需。

点此下载（英文）

via: https://www.maketecheasier.com/vim-keyboard-shortcuts-cheatsheet/

作者：Himanshu Arora 译者：martin2011qi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出