本指南中所谓的服务器被入侵或者说被黑了的意思，是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源，通常会产生不好的影响。

免责声明：若你的服务器被类似 NSA 这样的国家机关或者某个犯罪集团入侵，那么你并不会注意到有任何问题，这些技术也无法发觉他们的存在。

然而，大多数被攻破的服务器都是被类似自动攻击程序这样的程序或者类似“脚本小子”这样的廉价攻击者，以及蠢蛋罪犯所入侵的。

这类攻击者会在访问服务器的同时滥用服务器资源，并且不怎么会采取措施来隐藏他们正在做的事情。

被入侵服务器的症状

当服务器被没有经验攻击者或者自动攻击程序入侵了的话，他们往往会消耗 100% 的资源。他们可能消耗 CPU 资源来进行数字货币的采矿或者发送垃圾邮件，也可能消耗带宽来发动 DoS 攻击。

因此出现问题的第一个表现就是服务器 “变慢了”。这可能表现在网站的页面打开的很慢，或者电子邮件要花很长时间才能发送出去。

那么你应该查看那些东西呢?

检查 1 - 当前都有谁在登录?

你首先要查看当前都有谁登录在服务器上。发现攻击者登录到服务器上进行操作并不复杂。

其对应的命令是 w。运行 w 会输出如下结果：

 08:32:55 up 98 days,  5:43,  2 users,  load average: 0.05, 0.03, 0.00
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    113.174.161.1    08:26    0.00s  0.03s  0.02s ssh root@coopeaa12
root     pts/1    78.31.109.1      08:26    0.00s  0.01s  0.00s w

第一个 IP 是英国 IP，而第二个 IP 是越南 IP。这个不是个好兆头。

停下来做个深呼吸, 不要恐慌之下只是干掉他们的 SSH 连接。除非你能够防止他们再次进入服务器，否则他们会很快进来并踢掉你，以防你再次回去。

请参阅本文最后的“被入侵之后怎么办”这一章节来看找到了被入侵的证据后应该怎么办。

whois 命令可以接一个 IP 地址然后告诉你该 IP 所注册的组织的所有信息，当然就包括所在国家的信息。

检查 2 - 谁曾经登录过?

Linux 服务器会记录下哪些用户，从哪个 IP，在什么时候登录的以及登录了多长时间这些信息。使用 last 命令可以查看这些信息。

输出类似这样：

root     pts/1        78.31.109.1      Thu Nov 30 08:26   still logged in
root     pts/0        113.174.161.1    Thu Nov 30 08:26   still logged in
root     pts/1        78.31.109.1      Thu Nov 30 08:24 - 08:26  (00:01)
root     pts/0        113.174.161.1    Wed Nov 29 12:34 - 12:52  (00:18)
root     pts/0        14.176.196.1     Mon Nov 27 13:32 - 13:53  (00:21)

这里可以看到英国 IP 和越南 IP 交替出现，而且最上面两个 IP 现在还处于登录状态。如果你看到任何未经授权的 IP，那么请参阅最后章节。

登录后的历史记录会记录到二进制的 /var/log/wtmp 文件中（LCTT 译注：这里作者应该写错了，根据实际情况修改），因此很容易被删除。通常攻击者会直接把这个文件删掉，以掩盖他们的攻击行为。 因此, 若你运行了 last 命令却只看得见你的当前登录，那么这就是个不妙的信号。

如果没有登录历史的话，请一定小心，继续留意入侵的其他线索。

检查 3 - 回顾命令历史

这个层次的攻击者通常不会注意掩盖命令的历史记录，因此运行 history 命令会显示出他们曾经做过的所有事情。 一定留意有没有用 wget 或 curl 命令来下载类似垃圾邮件机器人或者挖矿程序之类的非常规软件。

命令历史存储在 ~/.bash_history 文件中，因此有些攻击者会删除该文件以掩盖他们的所作所为。跟登录历史一样，若你运行 history 命令却没有输出任何东西那就表示历史文件被删掉了。这也是个不妙的信号，你需要很小心地检查一下服务器了。（LCTT 译注，如果没有命令历史，也有可能是你的配置错误。）

检查 4 - 哪些进程在消耗 CPU？

你常遇到的这类攻击者通常不怎么会去掩盖他们做的事情。他们会运行一些特别消耗 CPU 的进程。这就很容易发现这些进程了。只需要运行 top 然后看最前的那几个进程就行了。

这也能显示出那些未登录进来的攻击者。比如，可能有人在用未受保护的邮件脚本来发送垃圾邮件。

如果你最上面的进程对不了解，那么你可以 Google 一下进程名称，或者通过 losf 和 strace 来看看它做的事情是什么。

使用这些工具，第一步从 top 中拷贝出进程的 PID，然后运行：

strace -p PID

这会显示出该进程调用的所有系统调用。它产生的内容会很多，但这些信息能告诉你这个进程在做什么。

lsof  -p PID

这个程序会列出该进程打开的文件。通过查看它访问的文件可以很好的理解它在做的事情。

检查 5 - 检查所有的系统进程

消耗 CPU 不严重的未授权进程可能不会在 top 中显露出来，不过它依然可以通过 ps 列出来。命令 ps auxf 就能显示足够清晰的信息了。

你需要检查一下每个不认识的进程。经常运行 ps （这是个好习惯）能帮助你发现奇怪的进程。

检查 6 - 检查进程的网络使用情况

iftop 的功能类似 top，它会排列显示收发网络数据的进程以及它们的源地址和目的地址。类似 DoS 攻击或垃圾机器人这样的进程很容易显示在列表的最顶端。

检查 7 - 哪些进程在监听网络连接?

通常攻击者会安装一个后门程序专门监听网络端口接受指令。该进程等待期间是不会消耗 CPU 和带宽的，因此也就不容易通过 top 之类的命令发现。

lsof 和 netstat 命令都会列出所有的联网进程。我通常会让它们带上下面这些参数：

lsof -i

netstat -plunt

你需要留意那些处于 LISTEN 和 ESTABLISHED 状态的进程，这些进程要么正在等待连接（LISTEN），要么已经连接（ESTABLISHED）。如果遇到不认识的进程，使用 strace 和 lsof 来看看它们在做什么东西。

被入侵之后该怎么办呢?

首先，不要紧张，尤其当攻击者正处于登录状态时更不能紧张。你需要在攻击者警觉到你已经发现他之前夺回机器的控制权。如果他发现你已经发觉到他了，那么他可能会锁死你不让你登陆服务器，然后开始毁尸灭迹。

如果你技术不太好那么就直接关机吧。你可以在服务器上运行 shutdown -h now 或者 systemctl poweroff 这两条命令之一。也可以登录主机提供商的控制面板中关闭服务器。关机后，你就可以开始配置防火墙或者咨询一下供应商的意见。

如果你对自己颇有自信，而你的主机提供商也有提供上游防火墙，那么你只需要以此创建并启用下面两条规则就行了：

1. 只允许从你的 IP 地址登录 SSH。
2. 封禁除此之外的任何东西，不仅仅是 SSH，还包括任何端口上的任何协议。

这样会立即关闭攻击者的 SSH 会话，而只留下你可以访问服务器。

如果你无法访问上游防火墙，那么你就需要在服务器本身创建并启用这些防火墙策略，然后在防火墙规则起效后使用 kill 命令关闭攻击者的 SSH 会话。（LCTT 译注：本地防火墙规则 有可能不会阻止已经建立的 SSH 会话，所以保险起见，你需要手工杀死该会话。）

最后还有一种方法，如果支持的话，就是通过诸如串行控制台之类的带外连接登录服务器，然后通过 systemctl stop network.service 停止网络功能。这会关闭所有服务器上的网络连接，这样你就可以慢慢的配置那些防火墙规则了。

重夺服务器的控制权后，也不要以为就万事大吉了。

不要试着修复这台服务器，然后接着用。你永远不知道攻击者做过什么，因此你也永远无法保证这台服务器还是安全的。

最好的方法就是拷贝出所有的数据，然后重装系统。（LCTT 译注：你的程序这时已经不可信了，但是数据一般来说没问题。）

via: https://bash-prompt.net/guides/server-hacked/

作者：Elliot Cooper 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

今天，我们很高兴地宣布我们最近几周做的新功能。它是 Whois 聚合工具，现在可以在 DNSTrails 上获得。

在过去，查找一个域名的所有者会花费很多时间，因为大部分时间你都需要把域名翻译为一个 IP 地址，以便找到同一个人拥有的其他域名。

使用老的方法，在得到你想要的域名列表之前，你在一个工具和另外一个工具的一日又一日的研究和交叉比较结果中经常会花费数个小时。

感谢这个新工具和我们的智能 WHOIS 数据库，现在你可以搜索任何域名，并获得组织或个人注册的域名的完整列表，并在几秒钟内获得准确的结果。

我如何使用 Whois 聚合功能？

第一步：打开 DNSTrails.com

第二步：搜索任何域名，比如：godaddy.com

第三步：在得到域名的结果后，如下所见，定位下面的 Whois 信息：

第四步：你会看到那里有有关域名的电话和电子邮箱地址。

第五步：点击右边的链接，你会轻松地找到用相同电话和邮箱注册的域名。

如果你正在调查互联网上任何个人的域名所有权，这意味着即使域名甚至没有指向注册服务商的 IP，如果他们使用相同的电话和邮件地址，我们仍然可以发现其他域名。

想知道一个人拥有的其他域名么？亲自试试 DNStrails 的 WHOIS 聚合功能或者使用我们的 API 访问。

via: https://securitytrails.com/blog/find-every-domain-someone-owns

作者：SECURITYTRAILS TEAM 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

了解如何通过配置 Linux 计算机来根据时间自动唤醒和关闭。

不要成为一个电能浪费者。如果你的电脑不需要开机就请把它们关机。出于方便和计算机宅的考虑，你可以通过配置你的 Linux 计算机实现自动唤醒和关闭。

宝贵的系统运行时间

有时候有些电脑需要一直处在开机状态，在不超过电脑运行时间的限制下这种情况是被允许的。有些人为他们的计算机可以长时间的正常运行而感到自豪，且现在我们有内核热补丁能够实现只有在硬件发生故障时才需要机器关机。我认为比较实际可行的是，像减少移动部件磨损一样节省电能，且在不需要机器运行的情况下将其关机。比如，你可以在规定的时间内唤醒备份服务器，执行备份，然后关闭它直到它要进行下一次备份。或者，你可以设置你的互联网网关只在特定的时间运行。任何不需要一直运行的东西都可以将其配置成在其需要工作的时候打开，待其完成工作后将其关闭。

系统休眠

对于不需要一直运行的电脑，使用 root 的 cron 定时任务（即 /etc/crontab）可以可靠地关闭电脑。这个例子创建一个 root 定时任务实现每天晚上 11 点 15 分定时关机。

# crontab -e -u root
# m h  dom mon dow   command
15 23 * * * /sbin/shutdown -h now

以下示例仅在周一至周五运行：

15 23 * * 1-5 /sbin/shutdown -h now

您可以为不同的日期和时间创建多个 cron 作业。 通过命令 man 5 crontab 可以了解所有时间和日期的字段。

一个快速、容易的方式是，使用 /etc/crontab 文件。但这样你必须指定用户：

15 23 * * 1-5 root shutdown -h now

自动唤醒

实现自动唤醒是一件很酷的事情；我大多数 SUSE （SUSE Linux）的同事都在纽伦堡，因此，因此为了跟同事能有几小时一起工作的时间，我不得不需要在凌晨五点起床。我的计算机早上 5 点半自动开始工作，而我只需要将自己和咖啡拖到我的桌子上就可以开始工作了。按下电源按钮看起来好像并不是什么大事，但是在每天的那个时候每件小事都会变得很大。

唤醒 Linux 计算机可能不如关闭它可靠，因此你可能需要尝试不同的办法。你可以使用远程唤醒（Wake-On-LAN）、RTC 唤醒或者个人电脑的 BIOS 设置预定的唤醒这些方式。这些方式可行的原因是，当你关闭电脑时，这并不是真正关闭了计算机；此时计算机处在极低功耗状态且还可以接受和响应信号。只有在你拔掉电源开关时其才彻底关闭。

BIOS 唤醒

BIOS 唤醒是最可靠的。我的系统主板 BIOS 有一个易于使用的唤醒调度程序 (图 1)。对你来说也是一样的容易。

图 1：我的系统 BIOS 有个易用的唤醒定时器。

主机远程唤醒（Wake-On-LAN）

远程唤醒是仅次于 BIOS 唤醒的又一种可靠的唤醒方法。这需要你从第二台计算机发送信号到所要打开的计算机。可以使用 Arduino 或 树莓派 Raspberry Pi 发送给基于 Linux 的路由器或者任何 Linux 计算机的唤醒信号。首先，查看系统主板 BIOS 是否支持 Wake-On-LAN ，要是支持的话，必须先启动它，因为它被默认为禁用。

然后，需要一个支持 Wake-On-LAN 的网卡；无线网卡并不支持。你需要运行 ethtool 命令查看网卡是否支持 Wake-On-LAN ：

# ethtool eth0 | grep -i wake-on
        Supports Wake-on: pumbg
        Wake-on: g

这条命令输出的 “Supports Wake-on” 字段会告诉你你的网卡现在开启了哪些功能： 　　　

• d -- 禁用
• p -- 物理活动唤醒
• u -- 单播消息唤醒
• m -- 多播（组播）消息唤醒
• b -- 广播消息唤醒
• a -- ARP 唤醒
• g -- 特定数据包 magic packet 唤醒
• s -- 设有密码的 特定数据包 magic packet 唤醒

ethtool 命令的 man 手册并没说清楚 p 选项的作用；这表明任何信号都会导致唤醒。然而，在我的测试中它并没有这么做。想要实现远程唤醒主机，必须支持的功能是 g —— 特定数据包 magic packet 唤醒，而且下面的“Wake-on” 行显示这个功能已经在启用了。如果它没有被启用，你可以通过 ethtool 命令来启用它。

# ethtool -s eth0 wol g

这条命令可能会在重启后失效，所以为了确保万无一失，你可以创建个 root 用户的定时任务（cron）在每次重启的时候来执行这条命令。

@reboot /usr/bin/ethtool -s eth0 wol g

另一个选择是最近的 网络管理器 Network Manager 版本有一个很好的小复选框来启用 Wake-On-LAN（图 2）。

图 2：启用 Wake on LAN

这里有一个可以用于设置密码的地方，但是如果你的网络接口不支持 安全开机 Secure On 密码，它就不起作用。

现在你需要配置第二台计算机来发送唤醒信号。你并不需要 root 权限，所以你可以为你的普通用户创建 cron 任务。你需要用到的是想要唤醒的机器的网络接口和MAC地址信息。

30 08 * * * /usr/bin/wakeonlan D0:50:99:82:E7:2B 

RTC 唤醒

通过使用实时闹钟来唤醒计算机是最不可靠的方法。对于这个方法，可以参看 Wake Up Linux With an RTC Alarm Clock ；对于现在的大多数发行版来说这种方法已经有点过时了。

下周继续了解更多关于使用 RTC 唤醒的方法。

通过 Linux 基金会和 edX 可以学习更多关于 Linux 的免费 Linux 入门教程。

（题图：The Observatory at Delhi）

via:https://www.linux.com/learn/intro-to-linux/2017/11/wake-and-shut-down-linux-automatically

作者：Carla Schroder 译者：HardworkFish 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

本教程可以了解如何通过用户组和访问控制表（ACL）来管理用户。

当你需要管理一台容纳多个用户的 Linux 机器时，比起一些基本的用户管理工具所提供的方法，有时候你需要对这些用户采取更多的用户权限管理方式。特别是当你要管理某些用户的权限时，这个想法尤为重要。比如说，你有一个目录，某个用户组中的用户可以通过读和写的权限访问这个目录，而其他用户组中的用户对这个目录只有读的权限。在 Linux 中，这是完全可以实现的。但前提是你必须先了解如何通过用户组和访问控制表（ACL）来管理用户。

我们将从简单的用户开始，逐渐深入到复杂的访问控制表（ACL）。你可以在你所选择的 Linux 发行版完成你所需要做的一切。本文的重点是用户组，所以不会涉及到关于用户的基础知识。

为了达到演示的目的，我将假设：

你需要用下面两个用户名新建两个用户：

• olivia
• nathan

你需要新建以下两个用户组：

• readers
• editors

olivia 属于 editors 用户组，而 nathan 属于 readers 用户组。reader 用户组对 /DATA 目录只有读的权限，而 editors 用户组则对 /DATA 目录同时有读和写的权限。当然，这是个非常小的任务，但它会给你基本的信息，你可以扩展这个任务以适应你其他更大的需求。

我将在 Ubuntu 16.04 Server 平台上进行演示。这些命令都是通用的，唯一不同的是，要是在你的发行版中不使用 sudo 命令，你必须切换到 root 用户来执行这些命令。

创建用户

我们需要做的第一件事是为我们的实验创建两个用户。可以用 useradd 命令来创建用户，我们不只是简单地创建一个用户，而需要同时创建用户和属于他们的家目录，然后给他们设置密码。

sudo useradd -m olivia
sudo useradd -m nathan

我们现在创建了两个用户，如果你看看 /home 目录，你可以发现他们的家目录（因为我们用了 -m 选项，可以在创建用户的同时创建他们的家目录。

之后，我们可以用以下命令给他们设置密码：

sudo passwd olivia
sudo passwd nathan

就这样，我们创建了两个用户。

创建用户组并添加用户

现在我们将创建 readers 和 editors 用户组，然后给它们添加用户。创建用户组的命令是：

addgroup readers
addgroup editors

（LCTT 译注：当你使用 CentOS 等一些 Linux 发行版时，可能系统没有 addgroup 这个命令，推荐使用 groupadd 命令来替换 addgroup 命令以达到同样的效果）

图一：我们可以使用刚创建的新用户组了。

创建用户组后，我们需要添加我们的用户到这两个用户组。我们用以下命令来将 nathan 用户添加到 readers 用户组：

sudo usermod -a -G readers nathan

用以下命令将 olivia 添加到 editors 用户组：

sudo usermod -a -G editors olivia

现在我们可以通过用户组来管理用户了。

给用户组授予目录的权限

假设你有个目录 /READERS 且允许 readers 用户组的所有成员访问这个目录。首先，我们执行以下命令来更改目录所属用户组：

sudo chown -R :readers /READERS 

接下来，执行以下命令收回目录所属用户组的写入权限：

sudo chmod -R g-w /READERS

然后我们执行下面的命令来收回其他用户对这个目录的访问权限（以防止任何不在 readers 组中的用户访问这个目录里的文件）：

sudo chmod -R o-x /READERS

这时候，只有目录的所有者（root）和用户组 reader 中的用户可以访问 /READES 中的文件。

假设你有个目录 /EDITORS ，你需要给用户组 editors 里的成员这个目录的读和写的权限。为了达到这个目的，执行下面的这些命令是必要的：

sudo chown -R :editors /EDITORS
sudo chmod -R g+w /EDITORS
sudo chmod -R o-x /EDITORS

此时 editors 用户组的所有成员都可以访问和修改其中的文件。除此之外其他用户（除了 root 之外）无法访问 /EDITORS 中的任何文件。

使用这个方法的问题在于，你一次只能操作一个组和一个目录而已。这时候访问控制表（ACL）就可以派得上用场了。

使用访问控制表（ACL）

现在，让我们把这个问题变得棘手一点。假设你有一个目录 /DATA 并且你想给 readers 用户组的成员读取权限，并同时给 editors 用户组的成员读和写的权限。为此，你必须要用到 setfacl 命令。setfacl 命令可以为文件或文件夹设置一个访问控制表（ACL）。

这个命令的结构如下：

setfacl OPTION X:NAME:Y /DIRECTORY

其中 OPTION 是可选选项，X 可以是 u（用户）或者是 g （用户组），NAME 是用户或者用户组的名字，/DIRECTORY 是要用到的目录。我们将使用 -m 选项进行修改。因此，我们给 readers 用户组添加读取权限的命令是：

sudo setfacl -m g:readers:rx -R /DATA

现在 readers 用户组里面的每一个用户都可以读取 /DATA 目录里的文件了，但是他们不能修改里面的内容。

为了给 editors 用户组里面的用户读写权限，我们执行了以下命令：

sudo setfacl -m g:editors:rwx -R /DATA 

上述命令将赋予 editors 用户组中的任何成员读取权限，同时保留 readers 用户组的只读权限。

更多的权限控制

使用访问控制表（ACL），你可以实现你所需的权限控制。你可以添加用户到用户组，并且灵活地控制这些用户组对每个目录的权限以达到你的需求。如果想了解上述工具的更多信息，可以执行下列的命令：

• man usradd
• man addgroup
• man usermod
• man sefacl
• man chown
• man chmod

via: https://www.linux.com/learn/intro-to-linux/2017/12/how-manage-users-groups-linux

作者：[Jack Wallen] 译者：imquanquan 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

没有路由和桥接，我们将会成为孤独的小岛，你将会在这个网络教程中学到更多知识。

上周，我们学习了本地网络硬件知识，本周，我们将学习网络互联技术和在移动网络中的一些很酷的黑客技术。

路由器

网络路由器就是计算机网络中的一切，因为路由器连接着网络，没有路由器，我们就会成为孤岛。图一展示了一个简单的有线本地网络和一个无线接入点，所有设备都接入到互联网上，本地局域网的计算机连接到一个连接着防火墙或者路由器的以太网交换机上，防火墙或者路由器连接到网络服务供应商（ISP）提供的电缆箱、调制调节器、卫星上行系统……好像一切都在计算中，就像是一个带着不停闪烁的的小灯的盒子。当你的网络数据包离开你的局域网，进入广阔的互联网，它们穿过一个又一个路由器直到到达自己的目的地。

图一：一个简单的有线局域网和一个无线接入点。

路由器可以是各种样式：一个只专注于路由的小巧特殊的小盒子，一个将会提供路由、防火墙、域名服务，以及 VPN 网关功能的大点的盒子，一台重新设计的台式电脑或者笔记本，一个树莓派计算机或者一个 Arduino，体积臃肿矮小的像 PC Engines 这样的单板计算机，除了苛刻的用途以外，普通的商品硬件都能良好的工作运行。高端的路由器使用特殊设计的硬件每秒能够传输最大量的数据包。它们有多路数据总线，多个中央处理器和极快的存储。（可以通过了解 Juniper 和思科的路由器来感受一下高端路由器书什么样子的，而且能看看里面是什么样的构造。）

接入你的局域网的无线接入点要么作为一个以太网网桥，要么作为一个路由器。桥接器扩展了这个网络，所以在这个桥接器上的任意一端口上的主机都连接在同一个网络中。一台路由器连接的是两个不同的网络。

网络拓扑

有多种设置你的局域网的方式，你可以把所有主机接入到一个单独的 平面网络 flat network ，也可以把它们划分为不同的子网。如果你的交换机支持 VLAN 的话，你也可以把它们分配到不同的 VLAN 中。

平面网络是最简单的网络，只需把每一台设备接入到同一个交换机上即可，如果一台交换上的端口不够使用，你可以将更多的交换机连接在一起。有些交换机有特殊的上行端口，有些是没有这种特殊限制的上行端口，你可以连接其中的任意端口，你可能需要使用交叉类型的以太网线，所以你要查阅你的交换机的说明文档来设置。

平面网络是最容易管理的，你不需要路由器也不需要计算子网，但它也有一些缺点。它们的伸缩性不好，所以当网络规模变得越来越大的时候就会被广播网络所阻塞。将你的局域网进行分段将会提升安全保障， 把局域网分成可管理的不同网段将有助于管理更大的网络。图二展示了一个分成两个子网的局域网络：内部的有线和无线主机，和一个托管公开服务的主机。包含面向公共的服务器的子网称作非军事区域 DMZ，（你有没有注意到那些都是主要在电脑上打字的男人们的术语？）因为它被阻挡了所有的内部网络的访问。

图二：一个分成两个子网的简单局域网。

即使像图二那样的小型网络也可以有不同的配置方法。你可以将防火墙和路由器放置在一台单独的设备上。你可以为你的非军事区域设置一个专用的网络连接，把它完全从你的内部网络隔离，这将引导我们进入下一个主题：一切基于软件。

软件思维

你可能已经注意到在这个简短的系列中我们所讨论的硬件，只有网络接口、交换机，和线缆是特殊用途的硬件。 其它的都是通用的商用硬件，而且都是软件来定义它的用途。Linux 是一个真实的网络操作系统，它支持大量的网络操作：网关、虚拟专用网关、以太网桥、网页、邮箱以及文件等等服务器、负载均衡、代理、服务质量、多种认证、中继、故障转移……你可以在运行着 Linux 系统的标准硬件上运行你的整个网络。你甚至可以使用 Linux 交换应用（LISA）和VDE2 协议来模拟以太网交换机。

有一些用于小型硬件的特殊发行版，如 DD-WRT、OpenWRT，以及树莓派发行版，也不要忘记 BSD 们和它们的特殊衍生用途如 pfSense 防火墙/路由器，和 FreeNAS 网络存储服务器。

你知道有些人坚持认为硬件防火墙和软件防火墙有区别？其实是没有区别的，就像说硬件计算机和软件计算机一样。

端口聚合和以太网绑定

聚合和绑定，也称链路聚合，是把两条以太网通道绑定在一起成为一条通道。一些交换机支持端口聚合，就是把两个交换机端口绑定在一起，成为一个是它们原来带宽之和的一条新的连接。对于一台承载很多业务的服务器来说这是一个增加通道带宽的有效的方式。

你也可以在以太网口进行同样的配置，而且绑定汇聚的驱动是内置在 Linux 内核中的，所以不需要任何其他的专门的硬件。

随心所欲选择你的移动宽带

我期望移动宽带能够迅速增长来替代 DSL 和有线网络。我居住在一个有 25 万人口的靠近一个城市的地方，但是在城市以外，要想接入互联网就要靠运气了，即使那里有很大的用户上网需求。我居住的小角落离城镇有 20 分钟的距离，但对于网络服务供应商来说他们几乎不会考虑到为这个地方提供网络。 我唯一的选择就是移动宽带；这里没有拨号网络、卫星网络（即使它很糟糕）或者是 DSL、电缆、光纤，但却没有阻止网络供应商把那些我在这个区域从没看到过的 Xfinity 和其它高速网络服务的传单塞进我的邮箱。

我试用了 AT&T、Version 和 T-Mobile。Version 的信号覆盖范围最广，但是 Version 和 AT&T 是最昂贵的。 我居住的地方在 T-Mobile 信号覆盖的边缘，但迄今为止他们给了最大的优惠，为了能够能够有效的使用，我必须购买一个 WeBoost 信号放大器和一台中兴的移动热点设备。当然你也可以使用一部手机作为热点，但是专用的热点设备有着最强的信号。如果你正在考虑购买一台信号放大器，最好的选择就是 WeBoost，因为他们的服务支持最棒，而且他们会尽最大努力去帮助你。在一个小小的 APP SignalCheck Pro 的协助下设置将会精准的增强你的网络信号，他们有一个功能较少的免费的版本，但你将一点都不会后悔去花两美元使用专业版。

那个小巧的中兴热点设备能够支持 15 台主机，而且还有拥有基本的防火墙功能。 但你如果你使用像 Linksys WRT54GL这样的设备，可以使用 Tomato、OpenWRT，或者 DD-WRT 来替代普通的固件，这样你就能完全控制你的防护墙规则、路由配置，以及任何其它你想要设置的服务。

（题图：Pixabay）

via: https://www.linux.com/learn/intro-to-linux/2017/10/linux-networking-hardware-beginners-think-software

作者：CARLA SCHRODER 译者：FelixYFZ 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

昨天我在编写我的 vimrc 的时候了解到一个很酷的 vim 功能！（主要为了添加 fzf 和 ripgrep 插件）。这是一个内置功能，不需要特别的插件。

所以我画了一个漫画。

基本上你可以用下面的命令保存所有你打开的文件和当前的状态

:mksession ~/.vim/sessions/foo.vim

接着用 :source ~/.vim/sessions/foo.vim 或者 vim -S ~/.vim/sessions/foo.vim 还原会话。非常酷！

一些 vim 插件给 vim 会话添加了额外的功能：

• https://github.com/tpope/vim-obsession
• https://github.com/mhinz/vim-startify
• https://github.com/xolox/vim-session

这是漫画：

via: https://jvns.ca/blog/2017/09/10/vim-sessions/

作者：Julia Evans 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出