本文勘误与补充

长文预警： 这是一个目前严格限制的、禁止披露的安全 bug（LCTT 译注：目前已经部分披露），它影响到目前几乎所有实现虚拟内存的 CPU 架构，需要硬件的改变才能完全解决这个 bug。通过软件来缓解这种影响的紧急开发工作正在进行中，并且最近在 Linux 内核中已经得以实现，并且，在 11 月份，在 NT 内核中也开始了一个类似的紧急开发。在最糟糕的情况下，软件修复会导致一般工作负载出现巨大的减速（LCTT 译注：外在表现为 CPU 性能下降）。这里有一个提示，攻击会影响虚拟化环境，包括 Amazon EC2 和 Google 计算引擎，以及另外的提示是，这种精确的攻击可能涉及一个新的 Rowhammer 变种（LCTT 译注：一个由 Google 安全团队提出的 DRAM 的安全漏洞，在文章的后面部分会简单介绍）。

我一般不太关心安全问题，但是，对于这个 bug 我有点好奇，而一般会去写这个主题的人似乎都很忙，要么就是知道这个主题细节的人会保持沉默。这让我在新年的第一天（元旦那天）花了几个小时深入去挖掘关于这个谜团的更多信息，并且我将这些信息片断拼凑到了一起。

注意，这是一件相互之间高度相关的事件，因此，它的主要描述都是猜测，除非过一段时间，它的限制禁令被取消。我所看到的，包括涉及到的供应商、许多争论和这种戏剧性场面，将在限制禁令取消的那一天出现。

LWN

这个事件的线索出现于 12 月 20 日 LWN 上的 内核页面表的当前状况：页面隔离这篇文章。从文章语气上明显可以看到这项工作的紧急程度，内核的核心开发者紧急加入了 KAISER 补丁系列的开发——它由奥地利的 TU Graz 的一组研究人员首次发表于去年 10 月份。

这一系列的补丁的用途从概念上说很简单：为了阻止运行在用户空间的进程在进程页面表中通过映射得到内核空间页面的各种攻击方式，它可以很好地阻止了从非特权的用户空间代码中识别到内核虚拟地址的攻击企图。

这个小组在描述 KAISER 的论文《KASLR 已死：KASLR 永存》摘要中特别指出，当用户代码在 CPU 上处于活动状态的时候，在内存管理硬件中删除所有内核地址空间的信息。

这个补丁集的魅力在于它触及到了核心，内核的全部基柱（以及与用户空间的接口），显然，它应该被最优先考虑。遍观 Linux 中内存管理方面的变化，通常某个变化的首次引入会发生在该改变被合并的很久之前，并且，通常会进行多次的评估、拒绝、以及因各种原因爆发争论的一系列过程。

而 KAISER（就是现在的 KPTI）系列（从引入到）被合并还不足三个月。

ASLR 概述

从表面上看，这些补丁设计以确保 地址空间布局随机化 Address Space Layout Randomization （ASLR）仍然有效：这是一个现代操作系统的安全特性，它试图将更多的随机位引入到公共映射对象的地址空间中。

例如，在引用 /usr/bin/python 时，动态链接将对系统的 C 库、堆、线程栈、以及主要的可执行文件进行排布，去接受随机分配的地址范围：

$ bash -c ‘grep heap /proc/$$/maps’
019de000-01acb000 rw-p 00000000 00:00 0                                  [heap]
$ bash -c 'grep heap /proc/$$/maps’
023ac000-02499000 rw-p 00000000 00:00 0                                  [heap]

注意两次运行的 bash 进程的堆（heap）的开始和结束偏移量上的变化。

如果一个缓存区管理的 bug 将导致攻击者可以去覆写一些程序代码指向的内存地址，而那个地址之后将在程序控制流中使用，这样这种攻击者就可以使控制流转向到一个包含他们所选择的内容的缓冲区上。而这个特性的作用是，对于攻击者来说，使用机器代码来填充缓冲区做他们想做的事情（例如，调用 system() C 库函数）将更困难，因为那个函数的地址在不同的运行进程上不同的。

这是一个简单的示例，ASLR 被设计用于去保护类似这样的许多场景，包括阻止攻击者了解有可能被用来修改控制流的程序数据的地址或者实现一个攻击。

KASLR 是应用到内核本身的一个 “简化的” ASLR：在每个重新引导的系统上，属于内核的地址范围是随机的，这样就使得，虽然被攻击者操控的控制流运行在内核模式上，但是，他们不能猜测到为实现他们的攻击目的所需要的函数和结构的地址，比如，定位当前进程的数据段，将活动的 UID 从一个非特权用户提升到 root 用户，等等。

坏消息：缓减这种攻击的软件运行成本过于贵重

之前的方式，Linux 将内核的内存映射到用户内存的同一个页面表中的主要原因是，当用户的代码触发一个系统调用、故障、或者产生中断时，就不需要改变正在运行的进程的虚拟内存布局。

因为它不需要去改变虚拟内存布局，进而也就不需要去清洗掉（flush）依赖于该布局的与 CPU 性能高度相关的缓存（LCTT 译注：意即如果清掉这些高速缓存，CPU 性能就会下降），而主要是通过 转换查找缓冲器 Translation Lookaside Buffer （TLB）（LCTT 译注：TLB ，将虚拟地址转换为物理地址）。

随着页面表分割补丁的合并，内核每次开始运行时，需要将内核的缓存清掉，并且，每次用户代码恢复运行时都会这样。对于大多数工作负载，在每个系统调用中，TLB 的实际总损失将导致明显的变慢：@grsecurity 测量的一个简单的案例，在一个最新的 AMD CPU 上，Linux du -s 命令变慢了 50%。

34C3

在今年的 CCC 大会上，你可以找到 TU Graz 的另外一位研究人员，《描述了一个纯 Javascript 的 ASLR 攻击》，通过仔细地掌握 CPU 内存管理单元的操作时机，遍历了描述虚拟内存布局的页面表，来实现 ASLR 攻击。它通过高度精确的时间掌握和选择性回收的 CPU 缓存行的组合方式来实现这种结果，一个运行在 web 浏览器的 Javascript 程序可以找回一个 Javascript 对象的虚拟地址，使得可以利用浏览器内存管理 bug 进行接下来的攻击。（LCTT 译注：本文作者勘误说，上述链接 CCC 的讲演与 KAISER 补丁完全无关，是作者弄错了）

因此，从表面上看，我们有一组 KAISER 补丁，也展示了解除 ASLR 化地址的技术，并且，这个展示使用的是 Javascript，它很快就可以在一个操作系统内核上进行重新部署。

虚拟内存概述

在通常情况下，当一些机器码尝试去加载、存储、或者跳转到一个内存地址时，现代的 CPU 必须首先去转换这个 虚拟地址 到一个 物理地址 ，这是通过遍历一系列操作系统托管的数组（被称为页面表）的方式进行的，这些数组描述了虚拟地址和安装在这台机器上的物理内存之间的映射。

在现代操作系统中，虚拟内存可能是最重要的强大特性：它可以避免什么发生呢？例如，一个濒临死亡的进程崩溃了操作系统、一个 web 浏览器 bug 崩溃了你的桌面环境、或者一个运行在 Amazon EC2 中的虚拟机的变化影响了同一台主机上的另一个虚拟机。

这种攻击的原理是，利用 CPU 上维护的大量的缓存，通过仔细地操纵这些缓存的内容，它可以去推测内存管理单元的地址，以去访问页面表的不同层级，因为一个未缓存的访问将比一个缓存的访问花费更长的时间（以实时而言）。通过检测页面表上可访问的元素，它可能能够恢复在 MMU（LCTT 译注：存储器管理单元）忙于解决的虚拟地址中的大部分比特（bits）。

这种动机的证据，但是不用恐慌

我们找到了动机，但是到目前为止，我们并没有看到这项工作引进任何恐慌。总的来说，ASLR 并不能完全缓减这种风险，并且也是一道最后的防线：仅在这 6 个月的周期内，即便是一个没有安全意识的人也能看到一些关于解除（unmasking） ASLR 化的指针的新闻，并且，实际上这种事从 ASLR 出现时就有了。

单独的修复 ASLR 并不足于去描述这项工作高优先级背后的动机。

它是硬件安全 bug 的证据

通过阅读这一系列补丁，可以明确许多事情。

第一，正如 @grsecurity 指出 的，代码中的一些注释已经被编辑掉了（redacted），并且，描述这项工作的附加的主文档文件已经在 Linux 源代码树中看不到了。

通过检查该代码，这些补丁以运行时补丁的方式构建而成，在系统引导时仅当内核检测到该系统是受影响的系统时，这些补丁才会被应用。这里采用了和对著名的 Pentium F00F bug 的缓解措施完全相同的机制：

更多的线索：Microsoft 也已经实现了页面表的分割

通过对 FreeBSD 源代码的一个简单挖掘可以看出，目前，其它的自由操作系统没有实现页面表分割，但是，通过 Alex Ioniscu 在 Twitter 上的提示，这项工作已经不局限于 Linux 了：从 11 月起，公开的 NT 内核也已经实现了同样的技术。

猜测：Rowhammer

对 TU Graz 研究人员的工作的进一步挖掘，我们找到这篇 《当 rowhammer 仅敲一次》，这是 12 月 4 日通告的一个 新的 Rowhammer 攻击的变种：

在这篇论文中，我们提出了新的 Rowhammer 攻击和漏洞的原始利用方式，表明即便是组合了所有防御也没有效果。我们的新攻击技术，对一个位置的反复 “敲打”（hammering），打破了以前假定的触发 Rowhammer bug 的前提条件。

快速回顾一下，Rowhammer 是多数（全部？）种类的商业 DRAM 的一类根本性问题，比如，在普通的计算机中的内存上。通过精确操作内存中的一个区域，这可能会导致内存该区域存储的相关（但是逻辑上是独立的）内容被毁坏。效果是，Rowhammer 可能被用于去反转内存中的比特（bits），使未经授权的用户代码可以访问到，比如，这个比特位描述了系统中的其它代码的访问权限。

我发现在 Rowhammer 上，这项工作很有意思，尤其是它反转的位接近页面表分割补丁时，但是，因为 Rowhammer 攻击要求一个目标：你必须知道你尝试去反转的比特在内存中的物理地址，并且，第一步是得到的物理地址可能是一个虚拟地址，就像在 KASLR 中的解除（unmasking）工作。

猜测：它影响主要的云供应商

在我能看到的内核邮件列表中，除了该子系统维护者的名字之外，e-mail 地址属于 Intel、Amazon 和 Google 的雇员，这表示这两个大的云计算供应商对此特别感兴趣，这为我们提供了一个强大的线索，这项工作很大的可能是受虚拟化安全驱动的。

它可能会导致产生更多的猜测：虚拟机 RAM 和由这些虚拟机所使用的虚拟内存地址，最终表示为在主机上大量的相邻的数组，那些数组，尤其是在一个主机上只有两个租户的情况下，在 Xen 和 Linux 内核中是通过内存分配来确定的，这样可能会有（准确性）非常高的可预测行为。

最喜欢的猜测：这是一个提升特权的攻击

把这些综合到一起，我并不难预测，可能是我们在 2018 年会使用的这些存在提升特权的 bug 的发行版，或者类似的系统推动了如此紧急的进展，并且在补丁集的抄送列表中出现如此多的感兴趣者的名字。

最后的一个趣闻，虽然我在阅读补丁集的时候没有找到我要的东西，但是，在一些代码中标记，paravirtual 或者 HVM Xen 是不受此影响的。

吃瓜群众表示 2018 将很有趣

这些猜想是完全有可能的，它离实现很近，但是可以肯定的是，当这些事情被公开后，那将是一个非常令人激动的几个星期。

via: http://pythonsweetness.tumblr.com/post/169166980422/the-mysterious-case-of-the-linux-page-table

作者：python sweetness 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

概述：巴塞罗那城市管理署已为从其现存的来自微软和专有软件的系统转换到 Linux 和开源软件规划好路线图。

西班牙报纸 El País 日前报道，巴塞罗那城已在迁移其计算机系统至开源技术的进程中。

根据该新闻报道，巴塞罗那城计划首先用开源应用程序替换掉所有的用户端应用。所有的专有软件都会被替换，最后仅剩下 Windows，而最终它也会被一个 Linux 发行版替代。

巴塞罗那将会在 2019 年春季全面转换到开源

巴塞罗那城已经计划来年将其软件预算的 70% 投入到开源软件中。根据其城市议会技术和数字创新委员会委员 Francesca Bria 的说法，这一转换的过渡期将会在 2019 年春季本届城市管理署的任期结束前完成。

迁移旨在帮助 IT 人才

为了完成向开源的迁移，巴塞罗那城将会在中小企业中探索 IT 相关的项目。另外，城市管理署将吸纳 65 名新的开发者来构建软件以满足特定的需求。

设想中的一项重要项目，是开发一个在线的数字市场平台，小型企业将会利用其参加公开招标。

Ubuntu 将成为替代的 Linux 发行版

由于巴塞罗那已经运行着一个 1000 台规模的基于 Ubuntu 桌面的试点项目，Ubuntu 可能会成为替代 Windows 的 Linux 发行版。新闻报道同时披露，Open-Xchange 将会替代 Outlook 邮件客户端和 Exchange 邮件服务器，而 Firefox 与 LibreOffice 将会替代 Internet Explorer 与微软 Office。

巴塞罗那市政当局成为首个参与「 公共资产，公共代码 Public Money, Public Code 」运动的当局

凭借此次向开源项目迁移，巴塞罗那市政当局成为首个参与欧洲的「 公共资产，公共代码 Public Money, Public Code 」运动的当局。

欧洲自由软件基金会发布了一封公开信，倡议公共筹资的软件应该是自由的，并发起了这项运动。已有超过 15,000 人和 100 家组织支持这一号召。你也可以支持一个，只需要签署请愿书并且为开源发出你的声音。

资金永远是一个理由

根据 Bria 的说法，从 Windows 到开源软件的迁移，就已开发的程序可以被部署在西班牙或世界上的其他地方当局而言，促进了重复利用。显然，这一迁移也是为了防止大量的金钱被花费在专有软件上。

你的想法如何？

对于开源社区来讲，巴塞罗那的迁移是一场已经赢得的战争，也是一个有利条件。当慕尼黑选择回归微软的怀抱时，这一消息是开源社区十分需要的。

你对巴塞罗那转向开源有什么看法？你有预见到其他欧洲城市也跟随这一变化吗？在评论中和我们分享你的观点吧。

來源: Open Source Observatory

via: https://itsfoss.com/barcelona-open-source/

作者：Derick Sullivan M. Lobga 译者：Purling Nayuki 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

系统管理员通常需要探索在不同负载对应用性能的影响。这意味着必须要重复地人为创造负载。当然，你可以通过专门的工具来实现，但有时你可能不想也无法安装新工具。

每个 Linux 发行版中都自带有创建负载的工具。他们不如专门的工具那么灵活，但它们是现成的，而且无需专门学习。

CPU

下面命令会创建 CPU 负荷，方法是通过压缩随机数据并将结果发送到 /dev/null：

cat /dev/urandom | gzip -9 > /dev/null

如果你想要更大的负荷，或者系统有多个核，那么只需要对数据进行压缩和解压就行了，像这样：

cat /dev/urandom | gzip -9 | gzip -d | gzip -9 | gzip -d > /dev/null

按下 CTRL+C 来终止进程。

内存占用

下面命令会减少可用内存的总量。它是通过在内存中创建文件系统然后往里面写文件来实现的。你可以使用任意多的内存，只需哟往里面写入更多的文件就行了。

首先，创建一个挂载点，然后将 ramfs 文件系统挂载上去：

mkdir z
mount -t ramfs ramfs z/

第二步，使用 dd 在该目录下创建文件。这里我们创建了一个 128M 的文件：

dd if=/dev/zero of=z/file bs=1M count=128

文件的大小可以通过下面这些操作符来修改：

• bs= 块大小。可以是任何数字后面接上 B（表示字节），K（表示 KB），M（ 表示 MB）或者 G（表示 GB）。
• count= 要写多少个块。

磁盘 I/O

创建磁盘 I/O 的方法是先创建一个文件，然后使用 for 循环来不停地拷贝它。

下面使用命令 dd 创建了一个全是零的 1G 大小的文件：

dd if=/dev/zero of=loadfile bs=1M count=1024

下面命令用 for 循环执行 10 次操作。每次都会拷贝 loadfile 来覆盖 loadfile1：

for i in {1..10}; do cp loadfile loadfile1; done

通过修改 {1..10} 中的第二个参数来调整运行时间的长短。（LCTT 译注：你的 Linux 系统中的默认使用的 cp 命令很可能是 cp -i 的别名，这种情况下覆写会提示你输入 y 来确认，你可以使用 -f 参数的 cp 命令来覆盖此行为，或者直接用 /bin/cp 命令。）

若你想要一直运行，直到按下 CTRL+C 来停止，则运行下面命令：

while true; do cp loadfile loadfile1; done

via: https://bash-prompt.net/guides/create-system-load/

作者：Elliot Cooper 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

今天，我们要讲的是一款有趣的命令行工具，名叫 Pick。它允许用户通过 ncurses(3X) 界面来从一系列选项中进行选择，而且还支持模糊搜索的功能。当你想要选择某个名字中包含非英文字符的目录或文件时，这款工具就很有用了。你根本都无需学习如何输入非英文字符。借助 Pick，你可以很方便地进行搜索、选择，然后浏览该文件或进入该目录。你甚至无需输入任何字符来过滤文件/目录。这很适合那些有大量目录和文件的人来用。

安装 Pick

对 Arch Linux 及其衍生品来说，Pick 放在 AUR 中。因此 Arch 用户可以使用类似 Pacaur，Packer，以及 Yaourt 等 AUR 辅助工具来安装它。

pacaur -S pick

或者，

packer -S pick

或者，

yaourt -S pick

Debian，Ubuntu，Linux Mint 用户则可以通过运行下面命令来安装 Pick。

sudo apt-get install pick

其他的发行版则可以从这里下载最新的安装包，然后按照下面的步骤来安装。在写本指南时，其最新版为 1.9.0。

wget https://github.com/calleerlandsson/pick/releases/download/v1.9.0/pick-1.9.0.tar.gz
tar -zxvf pick-1.9.0.tar.gz
cd pick-1.9.0/

使用下面命令进行配置：

./configure

最后，构建并安装 Pick：

make
sudo make install

用法

通过将它与其他命令集成能够大幅简化你的工作。我这里会给出一些例子，让你理解它是怎么工作的。

让们先创建一堆目录。

mkdir -p abcd/efgh/ijkl/mnop/qrst/uvwx/yz/

现在，你想进入目录 /ijkl/。你有两种选择。可以使用 cd 命令：

cd abcd/efgh/ijkl/

或者，创建一个快捷方式 或者说别名指向这个目录，这样你可以迅速进入该目录。

但，使用 pick 命令则问题变得简单的多。看下面这个例子。

cd $(find . -type d | pick)

这个命令会列出当前工作目录下的所有目录及其子目录，你可以用上下箭头选择你想进入的目录，然后按下回车就行了。

像这样：

而且，它还会根据你输入的内容过滤目录和文件。比如，当我输入 “or” 时会显示如下结果。

这只是一个例子。你也可以将 pick 命令跟其他命令一起混用。

这是另一个例子。

find -type f | pick | xargs less

该命令让你选择当前目录中的某个文件并用 less 来查看它。

还想看其他例子？还有呢。下面命令让你选择当前目录下的文件或目录，并将之迁移到其他地方去，比如这里我们迁移到 /home/sk/ostechnix。

mv "$(find . -maxdepth 1 |pick)" /home/sk/ostechnix/

通过上下按钮选择要迁移的文件，然后按下回车就会把它迁移到 /home/sk/ostechnix/ 目录中的。

从上面的结果中可以看到，我把一个名叫 abcd 的目录移动到 ostechnix 目录中了。

使用方式是无限的。甚至 Vim 编辑器上还有一个叫做 pick.vim 的插件让你在 Vim 中选择更加方便。

要查看详细信息，请参阅它的 man 页。

man pick

我们的讲解至此就结束了。希望这款工具能给你们带来帮助。如果你觉得我们的指南有用的话，请将它分享到您的社交网络上，并向大家推荐我们。

via: https://www.ostechnix.com/pick-commandline-fuzzy-search-tool-linux/

作者：SK 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

流行的防火墙是多数组织主要的边界防御。

基于网络的防火墙已经在美国企业无处不在，因为它们证实了抵御日益增长的威胁的防御能力。

通过网络测试公司 NSS 实验室最近的一项研究发现，高达 80% 的美国大型企业运行着下一代防火墙。研究公司 IDC 评估防火墙和相关的统一威胁管理市场的营业额在 2015 是 76 亿美元，预计到 2020 年底将达到 127 亿美元。

如果你想升级，这里是《当部署下一代防火墙时要考虑什么》

什么是防火墙？

防火墙作为一个边界防御工具，其监控流量——要么允许它、要么屏蔽它。 多年来，防火墙的功能不断增强，现在大多数防火墙不仅可以阻止已知的一些威胁、执行高级访问控制列表策略，还可以深入检查流量中的每个数据包，并测试包以确定它们是否安全。大多数防火墙都部署为用于处理流量的网络硬件，和允许终端用户配置和管理系统的软件。越来越多的软件版防火墙部署到高度虚拟化的环境中，以在被隔离的网络或 IaaS 公有云中执行策略。

随着防火墙技术的进步，在过去十年中创造了新的防火墙部署选择，所以现在对于部署防火墙的最终用户来说，有了更多选择。这些选择包括：

有状态的防火墙

当防火墙首次创造出来时，它们是无状态的，这意味着流量所通过的硬件当单独地检查被监视的每个网络流量包时，屏蔽或允许是隔离的。从 1990 年代中后期开始，防火墙的第一个主要进展是引入了状态。有状态防火墙在更全面的上下文中检查流量，同时考虑到网络连接的工作状态和特性，以提供更全面的防火墙。例如，维持这个状态的防火墙可以允许某些流量访问某些用户，同时对其他用户阻塞同一流量。

基于代理的防火墙

这些防火墙充当请求数据的最终用户和数据源之间的网关。在传递给最终用户之前，所有的流量都通过这个代理过滤。这通过掩饰信息的原始请求者的身份来保护客户端不受威胁。

Web 应用防火墙（WAF）

这些防火墙位于特定应用的前面，而不是在更广阔的网络的入口或者出口上。基于代理的防火墙通常被认为是保护终端客户的，而 WAF 则被认为是保护应用服务器的。

防火墙硬件

防火墙硬件通常是一个简单的服务器，它可以充当路由器来过滤流量和运行防火墙软件。这些设备放置在企业网络的边缘，位于路由器和 Internet 服务提供商（ISP）的连接点之间。通常企业可能在整个数据中心部署十几个物理防火墙。 用户需要根据用户基数的大小和 Internet 连接的速率来确定防火墙需要支持的吞吐量容量。

防火墙软件

通常，终端用户部署多个防火墙硬件端和一个中央防火墙软件系统来管理该部署。 这个中心系统是配置策略和特性的地方，在那里可以进行分析，并可以对威胁作出响应。

下一代防火墙（NGFW）

多年来，防火墙增加了多种新的特性，包括深度包检查、入侵检测和防御以及对加密流量的检查。下一代防火墙（NGFW）是指集成了许多先进的功能的防火墙。

有状态的检测

阻止已知不需要的流量，这是基本的防火墙功能。

反病毒

在网络流量中搜索已知病毒和漏洞，这个功能有助于防火墙接收最新威胁的更新，并不断更新以保护它们。

入侵防御系统（IPS）

这类安全产品可以部署为一个独立的产品，但 IPS 功能正逐步融入 NGFW。 虽然基本的防火墙技术可以识别和阻止某些类型的网络流量，但 IPS 使用更细粒度的安全措施，如签名跟踪和异常检测，以防止不必要的威胁进入公司网络。 这一技术的以前版本是入侵检测系统（IDS），其重点是识别威胁而不是遏制它们，已经被 IPS 系统取代了。

深度包检测（DPI）

DPI 可作为 IPS 的一部分或与其结合使用，但其仍然成为一个 NGFW 的重要特征，因为它提供细粒度分析流量的能力，可以具体到流量包头和流量数据。DPI 还可以用来监测出站流量，以确保敏感信息不会离开公司网络，这种技术称为数据丢失防御（DLP）。

SSL 检测

安全套接字层（SSL）检测是一个检测加密流量来测试威胁的方法。随着越来越多的流量进行加密，SSL 检测成为 NGFW 正在实施的 DPI 技术的一个重要组成部分。SSL 检测作为一个缓冲区，它在送到最终目的地之前解码流量以检测它。

沙盒

这个是被卷入 NGFW 中的一个较新的特性，它指防火墙接收某些未知的流量或者代码，并在一个测试环境运行，以确定它是否存在问题的能力。

via: https://www.networkworld.com/article/3230457/lan-wan/what-is-a-firewall-perimeter-stateful-inspection-next-generation.html

作者：Brandon Butler 译者：zjon 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Linux 系统上，有时你可能想从命令行快速地了解系统的已使用和未使用的内存空间。如果你是一个 Linux 新手，有个好消息：有一条系统内置的命令可以显示这些信息：free。

在本文中，我们会讲到 free 命令的基本用法以及它所提供的一些重要的功能。文中提到的所有命令和用法都是在 Ubuntu 16.04LTS 上测试过的。

Linux free 命令

让我们看一下 free 命令的语法：

free [options]

free 命令的 man 手册如是说：

free 命令显示了系统的可用和已用的物理内存及交换内存的总量，以及内核用到的缓存空间。这些信息是从 /proc/meminfo 中得到的。

接下来我们用问答的方式了解一下 free 命令是怎么工作的。

Q1. 怎么用 free 命令查看已使用和未使用的内存？

这很容易，您只需不加任何参数地运行 free 这条命令就可以了：

free

这是 free 命令在我的系统上的输出：

这些列是什么意思呢？

• total - 安装的内存的总量（等同于 /proc/meminfo 中的 MemTotal 和 SwapTotal）
• used - 已使用的内存（计算公式为：used = total - free - buffers - cache）
• free - 未被使用的内存（等同于 /proc/meminfo 中的 MemFree 和 SwapFree）
• shared - 通常是临时文件系统使用的内存（等同于 /proc/meminfo 中的 Shmem；自内核 2.6.32 版本可用，不可用则显示为 0）
• buffers - 内核缓冲区使用的内存（等同于 /proc/meminfo 中的 Buffers）
• cache - 页面缓存和 Slab 分配机制使用的内存（等同于 /proc/meminfo 中的 Cached 和 Slab）
• buff/cache - buffers 与 cache 之和
• available - 在不计算交换空间的情况下，预计可以被新启动的应用程序所使用的内存空间。与 cache 或者 free 部分不同，这一列把页面缓存计算在内，并且不是所有的可回收的 slab 内存都可以真正被回收，因为可能有被占用的部分。（等同于 /proc/meminfo 中的 MemAvailable；自内核 3.14 版本可用，自内核 2.6.27 版本开始模拟；在其他版本上这个值与 free 这一列相同）

Q2. 如何更改显示的单位呢？

如果需要的话，你可以更改内存的显示单位。比如说，想要内存以兆为单位显示，你可以用 -m 这个参数：

free -m

同样地，你可以用 -b 以字节显示、-k 以 KB 显示、-m 以 MB 显示、-g 以 GB 显示、--tera 以 TB 显示。

Q3. 怎么显示可读的结果呢？

free 命令提供了 -h 这个参数使输出转化为可读的格式。

free -h

用这个参数，free 命令会自己决定用什么单位显示内存的每个数值。例如：

Q4. 怎么让 free 命令以一定的时间间隔持续运行？

您可以用 -s 这个参数让 free 命令以一定的时间间隔持续地执行。您需要传递给命令行一个数字参数，做为这个时间间隔的秒数。

例如，使 free 命令每隔 3 秒执行一次：

free -s 3

如果您需要 free 命令只执行几次，您可以用 -c 这个参数指定执行的次数：

free -s 3 -c 5

上面这条命令可以确保 free 命令每隔 3 秒执行一次，总共执行 5 次。

注：这个功能目前在 Ubuntu 系统上还存在 问题，所以并未测试。

Q5. 怎么使 free 基于 1000 计算内存，而不是 1024？

如果您指定 free 用 MB 来显示内存（用 -m 参数），但又想基于 1000 来计算结果，可以用 --sj 这个参数来实现。下图展示了用与不用这个参数的结果：

Q6. 如何使 free 命令显示每一列的总和？

如果您想要 free 命令显示每一列的总和，你可以用 -t 这个参数。

free -t

如下图所示：

请注意 Total 这一行出现了。

总结

free 命令对于系统管理来讲是个极其有用的工具。它有很多参数可以定制化您的输出，易懂易用。我们在本文中也提到了很多有用的参数。练习完之后，请您移步至 man 手册了解更多内容。

via: https://www.howtoforge.com/linux-free-command/

作者：Himanshu Arora 译者：jessie-pang 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出