以下是如何使用 iptables 和 firewalld 工具来管理 Linux 防火墙规则。

这篇文章摘自我的书《Linux in Action》，尚未发布的第二个曼宁出版项目。

防火墙

防火墙是一组规则。当数据包进出受保护的网络区域时，进出内容（特别是关于其来源、目标和使用的协议等信息）会根据防火墙规则进行检测，以确定是否允许其通过。下面是一个简单的例子:

防火墙可以根据协议或基于目标的规则过滤请求。

一方面， iptables 是 Linux 机器上管理防火墙规则的工具。

另一方面，firewalld 也是 Linux 机器上管理防火墙规则的工具。

你有什么问题吗？如果我告诉你还有另外一种工具，叫做 nftables，这会不会糟蹋你的美好一天呢？

好吧，我承认整件事确实有点好笑，所以让我来解释一下。这一切都从 Netfilter 开始，它在 Linux 内核模块级别控制访问网络栈。几十年来，管理 Netfilter 钩子的主要命令行工具是 iptables 规则集。

因为调用这些规则所需的语法看起来有点晦涩难懂，所以各种用户友好的实现方式，如 ufw 和 firewalld 被引入，作为更高级别的 Netfilter 解释器。然而，ufw 和 firewalld 主要是为解决单独的计算机所面临的各种问题而设计的。构建全方面的网络解决方案通常需要 iptables，或者从 2014 年起，它的替代品 nftables (nft 命令行工具)。

iptables 没有消失，仍然被广泛使用着。事实上，在未来的许多年里，作为一名管理员，你应该会使用 iptables 来保护的网络。但是 nftables 通过操作经典的 Netfilter 工具集带来了一些重要的崭新的功能。

从现在开始，我将通过示例展示 firewalld 和 iptables 如何解决简单的连接问题。

使用 firewalld 配置 HTTP 访问

正如你能从它的名字中猜到的，firewalld 是 systemd 家族的一部分。firewalld 可以安装在 Debian/Ubuntu 机器上，不过，它默认安装在 RedHat 和 CentOS 上。如果您的计算机上运行着像 Apache 这样的 web 服务器，您可以通过浏览服务器的 web 根目录来确认防火墙是否正在工作。如果网站不可访问，那么 firewalld 正在工作。

你可以使用 firewall-cmd 工具从命令行管理 firewalld 设置。添加 –state 参数将返回当前防火墙的状态:

# firewall-cmd --state
running

默认情况下，firewalld 处于运行状态，并拒绝所有传入流量，但有几个例外，如 SSH。这意味着你的网站不会有太多的访问者，这无疑会为你节省大量的数据传输成本。然而，这不是你对 web 服务器的要求，你希望打开 HTTP 和 HTTPS 端口，按照惯例，这两个端口分别被指定为 80 和 443。firewalld 提供了两种方法来实现这个功能。一个是通过 –add-port 参数，该参数直接引用端口号及其将使用的网络协议（在本例中为TCP）。 另外一个是通过 –permanent 参数，它告诉 firewalld 在每次服务器启动时加载此规则：

# firewall-cmd --permanent --add-port=80/tcp
# firewall-cmd --permanent --add-port=443/tcp

–reload 参数将这些规则应用于当前会话：

# firewall-cmd --reload

查看当前防火墙上的设置，运行 –list-services：

# firewall-cmd --list-services
dhcpv6-client http https ssh

假设您已经如前所述添加了浏览器访问，那么 HTTP、HTTPS 和 SSH 端口现在都应该是和 dhcpv6-client 一样开放的 —— 它允许 Linux 从本地 DHCP 服务器请求 IPv6 IP 地址。

使用 iptables 配置锁定的客户信息亭

我相信你已经看到了信息亭——它们是放在机场、图书馆和商务场所的盒子里的平板电脑、触摸屏和 ATM 类电脑，邀请顾客和路人浏览内容。大多数信息亭的问题是，你通常不希望用户像在自己家一样，把他们当成自己的设备。它们通常不是用来浏览、观看 YouTube 视频或对五角大楼发起拒绝服务攻击的。因此，为了确保它们没有被滥用，你需要锁定它们。

一种方法是应用某种信息亭模式，无论是通过巧妙使用 Linux 显示管理器还是控制在浏览器级别。但是为了确保你已经堵塞了所有的漏洞，你可能还想通过防火墙添加一些硬性的网络控制。在下一节中，我将讲解如何使用iptables 来完成。

关于使用 iptables，有两件重要的事情需要记住：你给出的规则的顺序非常关键；iptables 规则本身在重新启动后将无法保持。我会一次一个地在解释这些。

信息亭项目

为了说明这一切，让我们想象一下，我们为一家名为 BigMart 的大型连锁商店工作。它们已经存在了几十年；事实上，我们想象中的祖父母可能是在那里购物并长大的。但是如今，BigMart 公司总部的人可能只是在数着亚马逊将他们永远赶下去的时间。

尽管如此，BigMart 的 IT 部门正在尽他们最大努力提供解决方案，他们向你发放了一些具有 WiFi 功能信息亭设备，你在整个商店的战略位置使用这些设备。其想法是，登录到 BigMart.com 产品页面，允许查找商品特征、过道位置和库存水平。信息亭还允许进入 bigmart-data.com，那里储存着许多图像和视频媒体信息。

除此之外，您还需要允许下载软件包更新。最后，您还希望只允许从本地工作站访问 SSH，并阻止其他人登录。下图说明了它将如何工作：

*信息亭业务流由 iptables 控制。 *

脚本

以下是 Bash 脚本内容：

#!/bin/bash
iptables -A OUTPUT -p tcp -d bigmart.com -j ACCEPT
iptables -A OUTPUT -p tcp -d bigmart-data.com -j ACCEPT
iptables -A OUTPUT -p tcp -d ubuntu.com -j ACCEPT
iptables -A OUTPUT -p tcp -d ca.archive.ubuntu.com -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j DROP
iptables -A OUTPUT -p tcp --dport 443 -j DROP
iptables -A INPUT -p tcp -s 10.0.3.1 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP

我们从基本规则 -A 开始分析，它告诉 iptables 我们要添加规则。OUTPUT 意味着这条规则应该成为输出链的一部分。-p 表示该规则仅使用 TCP 协议的数据包，正如 -d 告诉我们的，目的地址是 bigmart.com。-j 参数的作用是当数据包符合规则时要采取的操作是 ACCEPT。第一条规则表示允许（或接受）请求。但，往下的规则你能看到丢弃（或拒绝）的请求。

规则顺序是很重要的。因为 iptables 会对一个请求遍历每个规则，直到遇到匹配的规则。一个向外发出的浏览器请求，比如访问 bigmart.com 是会通过的，因为这个请求匹配第一条规则，但是当它到达 dport 80 或 dport 443 规则时——取决于是 HTTP 还是 HTTPS 请求——它将被丢弃。当遇到匹配时，iptables 不再继续往下检查了。（LCTT 译注：此处原文有误，径改。）

另一方面，向 ubuntu.com 发出软件升级的系统请求，只要符合其适当的规则，就会通过。显然，我们在这里做的是，只允许向我们的 BigMart 或 Ubuntu 发送 HTTP 或 HTTPS 请求，而不允许向其他目的地发送。

最后两条规则将处理 SSH 请求。因为它不使用端口 80 或 443 端口，而是使用 22 端口，所以之前的两个丢弃规则不会拒绝它。在这种情况下，来自我的工作站的登录请求将被接受，但是对其他任何地方的请求将被拒绝。这一点很重要：确保用于端口 22 规则的 IP 地址与您用来登录的机器的地址相匹配——如果不这样做，将立即被锁定。当然，这没什么大不了的，因为按照目前的配置方式，只需重启服务器，iptables 规则就会全部丢失。如果使用 LXC 容器作为服务器并从 LXC 主机登录，则使用主机 IP 地址连接容器，而不是其公共地址。

如果机器的 IP 发生变化，请记住更新这个规则；否则，你会被拒绝访问。

在家玩（是在某种一次性虚拟机上）？太好了。创建自己的脚本。现在我可以保存脚本，使用 chmod 使其可执行，并以 sudo 的形式运行它。不要担心“igmart-data.com 没找到”之类的错误 —— 当然没找到；它不存在。

chmod +X scriptname.sh
sudo ./scriptname.sh

你可以使用 cURL 命令行测试防火墙。请求 ubuntu.com 奏效，但请求 manning.com 是失败的 。

curl ubuntu.com
curl manning.com

配置 iptables 以在系统启动时加载

现在，我如何让这些规则在每次信息亭启动时自动加载？第一步是将当前规则保存。使用 iptables-save 工具保存规则文件。这将在根目录中创建一个包含规则列表的文件。管道后面跟着 tee 命令，是将我的sudo 权限应用于字符串的第二部分：将文件实际保存到否则受限的根目录。

然后我可以告诉系统每次启动时运行一个相关的工具，叫做 iptables-restore 。我们在上一章节（LCTT 译注：指作者的书）中看到的常规 cron 任务并不适用，因为它们在设定的时间运行，但是我们不知道什么时候我们的计算机可能会决定崩溃和重启。

有许多方法来处理这个问题。这里有一个：

在我的 Linux 机器上，我将安装一个名为 anacron 的程序，该程序将在 /etc/ 目录中为我们提供一个名为 anacrontab 的文件。我将编辑该文件并添加这个 iptables-restore 命令，告诉它加载那个 .rule 文件的当前内容。当引导后，规则每天（必要时）01:01 时加载到 iptables 中（LCTT 译注：anacron 会补充执行由于机器没有运行而错过的 cron 任务，因此，即便 01:01 时机器没有启动，也会在机器启动会尽快执行该任务）。我会给该任务一个标识符（iptables-restore），然后添加命令本身。如果你在家和我一起这样，你应该通过重启系统来测试一下。

sudo iptables-save | sudo tee /root/my.active.firewall.rules
sudo apt install anacron
sudo nano /etc/anacrontab
1 1 iptables-restore iptables-restore < /root/my.active.firewall.rules

我希望这些实际例子已经说明了如何使用 iptables 和 firewalld 来管理基于 Linux 的防火墙上的连接问题。

via: https://opensource.com/article/18/9/linux-iptables-firewalld

作者：David Clinton 选题：lujun9972 译者：heguangzhi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

那些常见编辑任务的快捷键可以使 Vi 编辑器更容易使用，更有效率。

学习使用 vi 文本编辑器 确实得花点功夫，不过 vi 的老手们都知道，经过一小会儿的锻炼，就可以将基本的 vi 操作融汇贯通。我们都知道“肌肉记忆”，那么学习 vi 的过程可以称之为“手指记忆”。

当你抓住了基础的操作窍门之后，你就可以定制化地配置 vi 的快捷键，从而让其处理的功能更为强大、流畅。我希望下面描述的技术可以加速您的协作、编程和数据操作。

在开始之前，我想先感谢下 Chris Hermansen（是他雇佣我写了这篇文章）仔细地检查了我的另一篇关于使用 vi 增强版本 Vim 的文章。当然还有他那些我未采纳的建议。

首先，我们来说明下面几个惯例设定。我会使用符号 <RET> 来代表按下回车，<SP> 代表按下空格键，CTRL-x 表示一起按下 Control 键和 x 键（x 可以是需要的某个键）。

使用 map 命令来进行按键的映射。第一个例子是 write 命令，通常你之前保存使用这样的命令：

:w<RET>

虽然这里只有三个键，不过考虑到我用这个命令实在是太频繁了，我更想“一键”搞定它。在这里我选择逗号键，它不是标准的 vi 命令集的一部分。这样设置：

:map , :wCTRL-v<RET>

这里的 CTRL-v 事实上是对 <RET> 做了转义的操作，如果不加这个的话，默认 <RET> 会作为这条映射指令的结束信号，而非映射中的一个操作。 CTRL-v 后面所跟的操作会翻译为用户的实际操作，而非该按键平常的操作。

在上面的映射中，右边的部分会在屏幕中显示为 :w^M，其中 ^ 字符就是指代 control，完整的意思就是 CTRL-m，表示就是系统中一行的结尾。

目前来说，就很不错了。如果我编辑、创建了十二次文件，这个键位映射就可以省掉了 2*12 次按键。不过这里没有计算你建立这个键位映射所花费的 11 次按键（计算 CTRL-v 和 : 均为一次按键）。虽然这样已经省了很多次，但是每次打开 vi 都要重新建立这个映射也会觉得非常麻烦。

幸运的是，这里可以将这些键位映射放到 vi 的启动配置文件中，让其在每次启动的时候自动读取：文件为 .exrc，对于 vim 是 .vimrc。只需要将这些文件放在你的用户根目录中即可，并在文件中每行写入一个键位映射，之后就会在每次启动 vi 生效直到你删除对应的配置。

在继续说明 map 其他用法以及其他的缩写机制之前，这里在列举几个我常用提高文本处理效率的 map 设置：

上面的 map 指令的意思是写入并关闭当前的编辑文件。其中 :x 是 vi 原本的命令，而下面的版本说明之前的 map 配置可以继续用作第二个 map 键位映射。

上面的指令意思是在 vi 编辑器内部切换文件，使用这个时候，只需要按 v 并跟着输入文件名，之后按 <RET> 键。

# 在这里是 vi 中标准的符号，意思是最后使用的文件名。所以切换当前与上一个文件的方法就使用上面的映射。

（注意：在两个例子中出现的第一个 CRTL-v 在某些 vi 的版本中是不需要的）其中，:! 用来运行一个外部的（非 vi 内部的）命令。在这个拼写检查的例子中，% 是 vi 中的符号用来指代目前的文件， > 用来重定向拼写检查中的输出到 err 文件中，之后跟上 & 说明该命令是一个后台运行的任务，这样可以保证在拼写检查的同时还可以进行编辑文件的工作。这里我可以键入 verr<RET>（使用我之前定义的快捷键 v 跟上 err），进入 spell 输出结果的文件，之后再输入 CTRL-e 来回到刚才编辑的文件中。这样我就可以在拼写检查之后，使用 CTRL-r 来查看检查的错误，再通过 CTRL-e 返回刚才编辑的文件。

还用很多字符串输入的缩写，也使用了各种 map 命令，比如：

:map! CTRL-o \fI
:map! CTRL-k \fP

这个映射允许你使用 CTRL-o 作为 groff 命令的缩写，从而让让接下来书写的单词有斜体的效果，并使用 CTRL-k 进行恢复。

还有两个类似的映射：

:map! rh rhinoceros
:map! hi hippopotamus

上面的也可以使用 ab 命令来替换，就像下面这样（如果想这么用的话，需要首先按顺序运行： 1、 unmap! rh，2、umap! hi）：

:ab rh rhinoceros
:ab hi hippopotamus

在上面 map! 的命令中，缩写会马上的展开成原有的单词，而在 ab 命令中，单词展开的操作会在输入了空格和标点之后才展开（不过在 Vim 和我的 vi 中，展开的形式与 map! 类似）。

想要取消刚才设定的按键映射，可以对应的输入 :unmap、 unmap! 或 :unab。

在我使用的 vi 版本中，比较好用的候选映射按键包括 g、K、q、 v、 V、 Z，控制字符包括：CTRL-a、CTRL-c、 CTRL-k、CTRL-n、CTRL-p、CTRL-x；还有一些其他的字符如 #、 *，当然你也可以使用那些已经在 vi 中有过定义但不经常使用的字符，比如本文选择 X 和 I，其中 X 表示删除左边的字符，并立刻左移当前字符。

最后，下面的命令

:map<RET>
:map!<RET>
:ab

将会显示，目前所有的缩写和键位映射。

希望上面的技巧能够更好地更高效地帮助你使用 vi。

via: https://opensource.com/article/18/5/shortcuts-vi-text-editor

作者：Dan Sonnenschein 
选题：lujun9972 
译者：sd886393 
校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

对于 Linux 系统管理员来说，清楚某个服务是否正确地绑定或监听某个端口，是至关重要的。如果你需要处理端口相关的问题，这篇文章可能会对你有用。

端口是 Linux 系统上特定进程之间逻辑连接的标识，包括物理端口和软件端口。由于 Linux 操作系统是一个软件，因此本文只讨论软件端口。软件端口始终与主机的 IP 地址和相关的通信协议相关联，因此端口常用于区分应用程序。大部分涉及到网络的服务都必须打开一个套接字来监听传入的网络请求，而每个服务都使用一个独立的套接字。

推荐阅读：

• 在 Linux 上查看进程 ID 的 4 种方法
• 在 Linux 上终止进程的 3 种方法

套接字是和 IP 地址、软件端口和协议结合起来使用的，而端口号对传输控制协议（TCP）和用户数据报协议（UDP）协议都适用，TCP 和 UDP 都可以使用 0 到 65535 之间的端口号进行通信。

以下是端口分配类别：

• 0 - 1023： 常用端口和系统端口
• 1024 - 49151： 软件的注册端口
• 49152 - 65535： 动态端口或私有端口

在 Linux 上的 /etc/services 文件可以查看到更多关于保留端口的信息。

# less /etc/services
# /etc/services:
# $Id: services,v 1.55 2013/04/14 ovasik Exp $
#
# Network services, Internet style
# IANA services version: last updated 2013-04-10
#
# Note that it is presently the policy of IANA to assign a single well-known
# port number for both TCP and UDP; hence, most entries here have two entries
# even if the protocol doesn't support UDP operations.
# Updated from RFC 1700, ``Assigned Numbers'' (October 1994). Not all ports
# are included, only the more common ones.
#
# The latest IANA port assignments can be gotten from
# http://www.iana.org/assignments/port-numbers
# The Well Known Ports are those from 0 through 1023.
# The Registered Ports are those from 1024 through 49151
# The Dynamic and/or Private Ports are those from 49152 through 65535
#
# Each line describes one service, and is of the form:
#
# service-name port/protocol [aliases ...] [# comment]

tcpmux 1/tcp # TCP port service multiplexer
tcpmux 1/udp # TCP port service multiplexer
rje 5/tcp # Remote Job Entry
rje 5/udp # Remote Job Entry
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users
systat 11/udp users
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote
qotd 17/udp quote
msp 18/tcp # message send protocol (historic)
msp 18/udp # message send protocol (historic)
chargen 19/tcp ttytst source
chargen 19/udp ttytst source
ftp-data 20/tcp
ftp-data 20/udp
# 21 is registered to ftp, but also used by fsp
ftp 21/tcp
ftp 21/udp fsp fspd
ssh 22/tcp # The Secure Shell (SSH) Protocol
ssh 22/udp # The Secure Shell (SSH) Protocol
telnet 23/tcp
telnet 23/udp
# 24 - private mail system
lmtp 24/tcp # LMTP Mail Delivery
lmtp 24/udp # LMTP Mail Delivery

可以使用以下六种方法查看端口信息。

• ss：可以用于转储套接字统计信息。
• netstat：可以显示打开的套接字列表。
• lsof：可以列出打开的文件。
• fuser：可以列出那些打开了文件的进程的进程 ID。
• nmap：是网络检测工具和端口扫描程序。
• systemctl：是 systemd 系统的控制管理器和服务管理器。

以下我们将找出 sshd 守护进程所使用的端口号。

方法 1：使用 ss 命令

ss 一般用于转储套接字统计信息。它能够输出类似于 netstat 输出的信息，但它可以比其它工具显示更多的 TCP 信息和状态信息。

它还可以显示所有类型的套接字统计信息，包括 PACKET、TCP、UDP、DCCP、RAW、Unix 域等。

# ss -tnlp | grep ssh
LISTEN 0 128 *:22 *:* users:(("sshd",pid=997,fd=3))
LISTEN 0 128 :::22 :::* users:(("sshd",pid=997,fd=4))

也可以使用端口号来检查。

# ss -tnlp | grep ":22"
LISTEN 0 128 *:22 *:* users:(("sshd",pid=997,fd=3))
LISTEN 0 128 :::22 :::* users:(("sshd",pid=997,fd=4))

方法 2：使用 netstat 命令

netstat 能够显示网络连接、路由表、接口统计信息、伪装连接以及多播成员。

默认情况下，netstat 会列出打开的套接字。如果不指定任何地址族，则会显示所有已配置地址族的活动套接字。但 netstat 已经过时了，一般会使用 ss 来替代。

# netstat -tnlp | grep ssh
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 997/sshd
tcp6 0 0 :::22 :::* LISTEN 997/sshd

也可以使用端口号来检查。

# netstat -tnlp | grep ":22"
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1208/sshd
tcp6 0 0 :::22 :::* LISTEN 1208/sshd

方法 3：使用 lsof 命令

lsof 能够列出打开的文件，并列出系统上被进程打开的文件的相关信息。

# lsof -i -P | grep ssh
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 11584 root 3u IPv4 27625 0t0 TCP *:22 (LISTEN)
sshd 11584 root 4u IPv6 27627 0t0 TCP *:22 (LISTEN)
sshd 11592 root 3u IPv4 27744 0t0 TCP vps.2daygeek.com:ssh->103.5.134.167:49902 (ESTABLISHED)

也可以使用端口号来检查。

# lsof -i tcp:22
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 1208 root 3u IPv4 20919 0t0 TCP *:ssh (LISTEN)
sshd 1208 root 4u IPv6 20921 0t0 TCP *:ssh (LISTEN)
sshd 11592 root 3u IPv4 27744 0t0 TCP vps.2daygeek.com:ssh->103.5.134.167:49902 (ESTABLISHED)

方法 4：使用 fuser 命令

fuser 工具会将本地系统上打开了文件的进程的进程 ID 显示在标准输出中。

# fuser -v 22/tcp
 USER PID ACCESS COMMAND
22/tcp: root 1208 F.... sshd
 root 12388 F.... sshd
 root 49339 F.... sshd

方法 5：使用 nmap 命令

nmap（“Network Mapper”）是一款用于网络检测和安全审计的开源工具。它最初用于对大型网络进行快速扫描，但它对于单个主机的扫描也有很好的表现。

nmap 使用原始 IP 数据包来确定网络上可用的主机，这些主机的服务（包括应用程序名称和版本）、主机运行的操作系统（包括操作系统版本等信息）、正在使用的数据包过滤器或防火墙的类型，以及很多其它信息。

# nmap -sV -p 22 localhost

Starting Nmap 6.40 ( http://nmap.org ) at 2018-09-23 12:36 IST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000089s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 0.44 seconds

方法 6：使用 systemctl 命令

systemctl 是 systemd 系统的控制管理器和服务管理器。它取代了旧的 SysV 初始化系统管理，目前大多数现代 Linux 操作系统都采用了 systemd。

推荐阅读：

• chkservice – Linux 终端上的 systemd 单元管理工具
• 如何查看 Linux 系统上正在运行的服务

# systemctl status sshd
● sshd.service - OpenSSH server daemon
 Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
 Active: active (running) since Sun 2018-09-23 02:08:56 EDT; 6h 11min ago
 Docs: man:sshd(8)
 man:sshd_config(5)
 Main PID: 11584 (sshd)
 CGroup: /system.slice/sshd.service
 └─11584 /usr/sbin/sshd -D

Sep 23 02:08:56 vps.2daygeek.com systemd[1]: Starting OpenSSH server daemon...
Sep 23 02:08:56 vps.2daygeek.com sshd[11584]: Server listening on 0.0.0.0 port 22.
Sep 23 02:08:56 vps.2daygeek.com sshd[11584]: Server listening on :: port 22.
Sep 23 02:08:56 vps.2daygeek.com systemd[1]: Started OpenSSH server daemon.
Sep 23 02:09:15 vps.2daygeek.com sshd[11589]: Connection closed by 103.5.134.167 port 49899 [preauth]
Sep 23 02:09:41 vps.2daygeek.com sshd[11592]: Accepted password for root from 103.5.134.167 port 49902 ssh2

以上输出的内容显示了最近一次启动 sshd 服务时 ssh 服务的监听端口。但它不会将最新日志更新到输出中。

# systemctl status sshd
● sshd.service - OpenSSH server daemon
 Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
 Active: active (running) since Thu 2018-09-06 07:40:59 IST; 2 weeks 3 days ago
 Docs: man:sshd(8)
 man:sshd_config(5)
 Main PID: 1208 (sshd)
 CGroup: /system.slice/sshd.service
 ├─ 1208 /usr/sbin/sshd -D
 ├─23951 sshd: [accepted]
 └─23952 sshd: [net]

Sep 23 12:50:36 vps.2daygeek.com sshd[23909]: Invalid user pi from 95.210.113.142 port 51666
Sep 23 12:50:36 vps.2daygeek.com sshd[23909]: input_userauth_request: invalid user pi [preauth]
Sep 23 12:50:37 vps.2daygeek.com sshd[23911]: pam_unix(sshd:auth): check pass; user unknown
Sep 23 12:50:37 vps.2daygeek.com sshd[23911]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=95.210.113.142
Sep 23 12:50:37 vps.2daygeek.com sshd[23909]: pam_unix(sshd:auth): check pass; user unknown
Sep 23 12:50:37 vps.2daygeek.com sshd[23909]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=95.210.113.142
Sep 23 12:50:39 vps.2daygeek.com sshd[23911]: Failed password for invalid user pi from 95.210.113.142 port 51670 ssh2
Sep 23 12:50:39 vps.2daygeek.com sshd[23909]: Failed password for invalid user pi from 95.210.113.142 port 51666 ssh2
Sep 23 12:50:40 vps.2daygeek.com sshd[23911]: Connection closed by 95.210.113.142 port 51670 [preauth]
Sep 23 12:50:40 vps.2daygeek.com sshd[23909]: Connection closed by 95.210.113.142 port 51666 [preauth]

大部分情况下，以上的输出不会显示进程的实际端口号。这时更建议使用以下这个 journalctl 命令检查日志文件中的详细信息。

# journalctl | grep -i "openssh\|sshd"
Sep 23 02:08:56 vps138235.vps.ovh.ca sshd[997]: Received signal 15; terminating.
Sep 23 02:08:56 vps138235.vps.ovh.ca systemd[1]: Stopping OpenSSH server daemon...
Sep 23 02:08:56 vps138235.vps.ovh.ca systemd[1]: Starting OpenSSH server daemon...
Sep 23 02:08:56 vps138235.vps.ovh.ca sshd[11584]: Server listening on 0.0.0.0 port 22.
Sep 23 02:08:56 vps138235.vps.ovh.ca sshd[11584]: Server listening on :: port 22.
Sep 23 02:08:56 vps138235.vps.ovh.ca systemd[1]: Started OpenSSH server daemon.

via: https://www.2daygeek.com/how-to-find-out-which-port-number-a-process-is-using-in-linux/

作者：Prakash Subramanian 选题：lujun9972 译者：HankChow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在多个 Ubuntu 系统上安装同一组软件包是一项耗时且无聊的任务。你不会想花时间在多个系统上反复安装相同的软件包。在类似架构的 Ubuntu 系统上安装软件包时，有许多方法可以使这项任务更容易。你可以方便地通过 Aptik 并点击几次鼠标将以前的 Ubuntu 系统的应用程序、设置和数据迁移到新安装的系统中。或者，你可以使用软件包管理器（例如 APT）获取备份的已安装软件包的完整列表，然后在新安装的系统上安装它们。今天，我了解到还有另一个专用工具可以完成这项工作。来看一下 apt-clone，这是一个简单的工具，可以让你为 Debian/Ubuntu 系统创建一个已安装的软件包列表，这些软件包可以在新安装的系统或容器上或目录中恢复。

apt-clone 会帮助你处理你想要的情况，

• 在运行类似 Ubuntu（及衍生版）的多个系统上安装一致的应用程序。
• 经常在多个系统上安装相同的软件包。
• 备份已安装的应用程序的完整列表，并在需要时随时随地恢复它们。

在本简要指南中，我们将讨论如何在基于 Debian 的系统上安装和使用 apt-clone。我在 Ubuntu 18.04 LTS 上测试了这个程序，但它应该适用于所有基于 Debian 和 Ubuntu 的系统。

备份已安装的软件包并在新安装的 Ubuntu 上恢复它们

apt-clone 在默认仓库中有。要安装它，只需在终端输入以下命令：

$ sudo apt install apt-clone

安装后，只需创建已安装软件包的列表，并将其保存在你选择的任何位置。

$ mkdir ~/mypackages
$ sudo apt-clone clone ~/mypackages

上面的命令将我的 Ubuntu 中所有已安装的软件包保存在 ~/mypackages 目录下名为 apt-clone-state-ubuntuserver.tar.gz 的文件中。

要查看备份文件的详细信息，请运行：

$ apt-clone info mypackages/apt-clone-state-ubuntuserver.tar.gz
Hostname: ubuntuserver
Arch: amd64
Distro: bionic
Meta:
Installed: 516 pkgs (33 automatic)
Date: Sat Sep 15 10:23:05 2018

如你所见，我的 Ubuntu 服务器总共有 516 个包。

现在，将此文件复制到 USB 或外部驱动器上，并转至要安装同一套软件包的任何其他系统。或者，你也可以将备份文件传输到网络上的系统，并使用以下命令安装软件包：

$ sudo apt-clone restore apt-clone-state-ubuntuserver.tar.gz

请注意，此命令将覆盖你现有的 /etc/apt/sources.list 并将安装/删除软件包。警告过你了！此外，只需确保目标系统是相同的 CPU 架构和操作系统。例如，如果源系统是 18.04 LTS 64 位，那么目标系统必须也是相同的。

如果你不想在系统上恢复软件包，可以使用 --destination /some/location 选项将克隆复制到这个文件夹中。

$ sudo apt-clone restore apt-clone-state-ubuntuserver.tar.gz --destination ~/oldubuntu

在此例中，上面的命令将软件包恢复到 ~/oldubuntu 中。

有关详细信息，请参阅帮助部分：

$ apt-clone -h

或者手册页：

$ man apt-clone

建议阅读：

• Systemback - 将 Ubuntu 桌面版和服务器版恢复到以前的状态
• Cronopete - Linux 下的苹果时间机器

就是这些了。希望这个有用。还有更多好东西。敬请期待!

干杯!

via: https://www.ostechnix.com/backup-installed-packages-and-restore-them-on-freshly-installed-ubuntu-system/

作者：SK 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这个网络附属文件服务提供了一系列可靠的功能，并且易于安装和配置。

面对许多可供选择的云存储方案，一些人可能会质疑一个家庭 NAS（ 网络附属存储 network-attached storage ）服务器的价值。毕竟，当所有你的文件存储在云上，你就不需要为你自己云服务的维护、更新和安全担忧。

但是，这不完全对，是不是？你有一个家庭网络，所以你已经要负责维护网络的健康和安全。假定你已经维护一个家庭网络，那么一个家庭 NAS并不会增加额外负担。反而你能从少量的工作中得到许多的好处。

你可以为你家里所有的计算机进行备份（你也可以备份到其它地方）。构架一个存储电影、音乐和照片的媒体服务器，无需担心互联网连接是否连通。在家里的多台计算机上处理大型文件，不需要等待从互联网某个其它计算机传输这些文件过来。另外，可以让 NAS 与其他服务配合工作，如托管本地邮件或者家庭 Wiki。也许最重要的是，构架家庭 NAS，数据完全是你的，它始终处于在控制下，随时可访问。

接下来的问题是如何选择 NAS 方案。当然，你可以购买预先搭建好的商品，并在一天内搞定，但是这会有什么乐趣呢？实际上，尽管拥有一个能为你搞定一切的设备很棒，但是有一个可以修复和升级的钻机平台更棒。这就我近期的需求，我选择安装和配置 openmediavault。

为什么选择 openmediavault？

市面上有不少开源的 NAS 解决方案，其中有些肯定比 openmediavault 流行。当我询问周遭，例如 freeNAS 这样的最常被推荐给我。那么为什么我不采纳他们的建议呢？毕竟，用它的人更多。基于 FreeNAS 官网的一份对比数据，它包含了很多的功能，并且提供许多支持选项。这当然都对。但是 openmediavault 也不差。它实际上是基于 FreeNAS 早期版本的，虽然它在下载量和功能方面较少，但是对于我的需求而言，它已经相当足够了。

另外一个因素是它让我感到很舒适。openmediavault 的底层操作系统是 Debian，然而 FreeNAS 是 FreeBSD。由于我个人对 FreeBSD 不是很熟悉，因此如果我的 NAS 出现故障，必定难于在 FreeBSD 上修复故障。同样的，也会让我觉得难于优化或添加一些服务到这个机器上。当然，我可以学习 FreeBSD 以更熟悉它，但是我已经在家里构架了这个 NAS；我发现，如果完成它只需要较少的“学习机会”，那么构建 NAS 往往会更成功。

当然，每个人情况都不同，所以你要自己调研，然后作出最适合自己方案的决定。FreeNAS 对于许多人似乎都是不错的解决方案。openmediavault 正是适合我的解决方案。

安装与配置

在 openmediavault 文档里详细记录了安装步骤，所以我不在这里重述了。如果你曾经安装过任何一个 Linux 发行版，大部分安装步骤都是很类似的（虽然是在相对丑陋的 Ncurses 界面，而不像你或许在现代发行版里见到的）。我按照 专用的驱动器 的说明来安装它。这些说明不但很好，而且相当精炼的。当你搞定这些步骤，就安装好了一个基本的系统，但是你还需要做更多才能真正构建好 NAS 来存储各种文件。例如，专用驱动器方式需要在硬盘驱动器上安装 openmediavault，但那是指你的操作系统的驱动器，而不是和网络上其他计算机共享的驱动器。你需要自己把这些建立起来并且配置好。

你要做的第一件事是加载用来管理的网页界面，并修改默认密码。这个密码和之前你安装过程设置的 root 密码是不同的。这是网页界面的管理员账号，默认的账户和密码分别是 admin 和 openmediavault，当你登入后要马上修改。

设置你的驱动器

一旦你安装好 openmediavault，你需要它为你做一些工作。逻辑上的第一个步骤是设置好你即将用来作为存储的驱动器。在这里，我假定你已经物理上安装好它们了，所以接下来你要做的就是让 openmediavault 识别和配置它们。第一步是确保这些磁盘是可见的。侧边栏菜单有很多选项，而且被精心的归类了。选择“Storage -> Disks”。一旦你点击该菜单，你应该能够看到所有你已经安装到该服务器的驱动，包括那个你已经用来安装 openmediavault 的驱动器。如果你没有在那里看到所有驱动器，点击“Scan”按钮去看是否能够挂载它们。通常，这不会是一个问题。

你可以独立的挂载和设置这些驱动器用于文件共享，但是对于一个文件服务器，你会想要一些冗余。你想要能够把很多驱动器当作一个单一卷，并能够在某一个驱动器出现故障时恢复你的数据，或者空间不足时安装新驱动器。这意味你将需要一个 RAID。你想要的什么特定类型的 RAID 的这个主题是一个大坑，值得另写一篇文章专门来讲述它（而且已经有很多关于该主题的文章了），但是简而言之是你将需要不止一个驱动器，最好的情况下，你所有的驱动都存储一样的容量。

openmediavault 支持所有标准的 RAID 级别，所以这里很简单。可以在“Storage -> RAID Management”里配置你的 RAID。配置是相当简单的：点击“Create”按钮，在你的 RAID 阵列里选择你想要的磁盘和你想要使用的 RAID 级别，并给这个阵列一个名字。openmediavault 为你处理剩下的工作。这里没有复杂的命令行，也不需要试图记住 mdadm 命令的一些选项参数。在我的例子，我有六个 2TB 驱动器，设置成了 RAID 10。

当你的 RAID 构建好了，基本上你已经有一个地方可以存储东西了。你仅仅需要设置一个文件系统。正如你的桌面系统，一个硬盘驱动器在没有格式化的情况下是没什么用处的。所以下一个你要去的地方的是位于 openmediavault 控制面板里的“Storage -> File Systems”。和配置你的 RAID 一样，点击“Create”按钮，然后跟着提示操作。如果你在你的服务器上只有一个 RAID ，你应该可以看到一个像 md0 的东西。你也需要选择文件系统的类别。如果你不能确定，选择标准的 ext4 类型即可。

定义你的共享

亲爱的！你有个地方可以存储文件了。现在你只需要让它在你的家庭网络中可见。可以从在 openmediavault 控制面板上的“Services”部分上配置。当谈到在网络上设置文件共享，主要有两个选择：NFS 或者 SMB/CIFS. 根据以往经验，如果你网络上的所有计算机都是 Linux 系统，那么你使用 NFS 会更好。然而，当你家庭网络是一个混合环境，是一个包含Linux、Windows、苹果系统和嵌入式设备的组合，那么 SMB/CIFS 可能会是你合适的选择。

这些选项不是互斥的。实际上，你可以在服务器上运行这两个服务，同时拥有这些服务的好处。或者你可以混合起来，如果你有一个特定的设备做特定的任务。不管你的使用场景是怎样，配置这些服务是相当简单。点击你想要的服务，从它配置中激活它，和在网络中设定你想要的共享文件夹为可见。在基于 SMB/CIFS 共享的情况下，相对于 NFS 多了一些可用的配置，但是一般用默认配置就挺好的，接着可以在默认基础上修改配置。最酷的事情是它很容易配置，同时也很容易在需要的时候修改配置。

用户配置

基本上已将完成了。你已经在 RAID 中配置了你的驱动器。你已经用一种文件系统格式化了 RAID，并且你已经在格式化的 RAID 上设定了共享文件夹。剩下来的一件事情是配置那些人可以访问这些共享和可以访问多少。这个可以在“Access Rights Management”配置里设置。使用“User”和“Group”选项来设定可以连接到你共享文件夹的用户，并设定这些共享文件的访问权限。

一旦你完成用户配置，就几乎准备好了。你需要从不同客户端机器访问你的共享，但是这是另外一个可以单独写个文章的话题了。

玩得开心！

via: https://opensource.com/article/18/9/openmediavault

作者：Jason van Gumster 选题：lujun9972 译者：jamelouis 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

有几种获取屏幕截图并对其进行添加文字、箭头等编辑的方法，这里提及的的屏幕截图工具在 Ubuntu 和其它主流 Linux 发行版中都能够使用。

当我的主力操作系统从 Windows 转换到 Ubuntu 的时候，首要考虑的就是屏幕截图工具的可用性。尽管使用默认的键盘快捷键也可以获取屏幕截图，但如果使用屏幕截图工具，可以更方便地对屏幕截图进行编辑。

本文将会介绍在不适用第三方工具的情况下，如何通过系统自带的方法和工具获取屏幕截图，另外还会介绍一些可用于 Linux 的最佳截图工具。

方法 1：在 Linux 中截图的默认方式

你想要截取整个屏幕？屏幕中的某个区域？某个特定的窗口？

如果只需要获取一张屏幕截图，不对其进行编辑的话，那么键盘的默认快捷键就可以满足要求了。而且不仅仅是 Ubuntu ，绝大部分的 Linux 发行版和桌面环境都支持以下这些快捷键：

• PrtSc – 获取整个屏幕的截图并保存到 Pictures 目录。
• Shift + PrtSc – 获取屏幕的某个区域截图并保存到 Pictures 目录。
• Alt + PrtSc –获取当前窗口的截图并保存到 Pictures 目录。
• Ctrl + PrtSc – 获取整个屏幕的截图并存放到剪贴板。
• Shift + Ctrl + PrtSc – 获取屏幕的某个区域截图并存放到剪贴板。
• Ctrl + Alt + PrtSc – 获取当前窗口的 截图并存放到剪贴板。

如上所述，在 Linux 中使用默认的快捷键获取屏幕截图是相当简单的。但如果要在不把屏幕截图导入到其它应用程序的情况下对屏幕截图进行编辑，还是使用屏幕截图工具比较方便。

方法 2：在 Linux 中使用 Flameshot 获取屏幕截图并编辑

功能概述：

• 注释 (高亮、标示、添加文本、框选)
• 图片模糊
• 图片裁剪
• 上传到 Imgur
• 用另一个应用打开截图

Flameshot 在去年发布到 GitHub，并成为一个引人注目的工具。

如果你需要的是一个能够用于标注、模糊、上传到 imgur 的新式截图工具，那么 Flameshot 是一个好的选择。

下面将会介绍如何安装 Flameshot 并根据你的偏好进行配置。

如果你用的是 Ubuntu，那么只需要在 Ubuntu 软件中心上搜索，就可以找到 Flameshot 进而完成安装了。要是你想使用终端来安装，可以执行以下命令：

sudo apt install flameshot

如果你在安装过程中遇到问题，可以按照官方的安装说明进行操作。安装完成后，你还需要进行配置。尽管可以通过搜索来随时启动 Flameshot，但如果想使用 PrtSc 键触发启动，则需要指定对应的键盘快捷键。以下是相关配置步骤：

• 进入系统设置中的“键盘设置”
• 页面中会列出所有现有的键盘快捷键，拉到底部就会看见一个 “+” 按钮

• 点击 “+” 按钮添加自定义快捷键并输入以下两个字段：

  • “名称”： 任意名称均可。
  • “命令”： /usr/bin/flameshot gui
• 最后将这个快捷操作绑定到 PrtSc 键上，可能会提示与系统的截图功能相冲突，但可以忽略掉这个警告。

配置之后，你的自定义快捷键页面大概会是以下这样：

将键盘快捷键映射到 Flameshot

方法 3：在 Linux 中使用 Shutter 获取屏幕截图并编辑

功能概述：

• 注释 (高亮、标示、添加文本、框选)
• 图片模糊
• 图片裁剪
• 上传到图片网站

Shutter 是一个对所有主流 Linux 发行版都适用的屏幕截图工具。尽管最近已经不太更新了，但仍然是操作屏幕截图的一个优秀工具。

在使用过程中可能会遇到这个工具的一些缺陷。Shutter 在任何一款最新的 Linux 发行版上最常见的问题就是由于缺少了任务栏上的程序图标，导致默认禁用了编辑屏幕截图的功能。 对于这个缺陷，还是有解决方案的。你只需要跟随我们的教程在 Shutter 中修复这个禁止编辑选项并将程序图标在任务栏上显示出来。问题修复后，就可以使用 Shutter 来快速编辑屏幕截图了。

同样地，在软件中心搜索也可以找到进而安装 Shutter，也可以在基于 Ubuntu 的发行版中执行以下命令使用命令行安装：

sudo apt install shutter

类似 Flameshot，你可以通过搜索 Shutter 手动启动它，也可以按照相似的方式设置自定义快捷方式以 PrtSc 键唤起 Shutter。

如果要指定自定义键盘快捷键，只需要执行以下命令：

shutter -f

方法 4：在 Linux 中使用 GIMP 获取屏幕截图

功能概述：

• 高级图像编辑功能（缩放、添加滤镜、颜色校正、添加图层、裁剪等）
• 截取某一区域的屏幕截图

如果需要对屏幕截图进行一些预先编辑，GIMP 是一个不错的选择。

通过软件中心可以安装 GIMP。如果在安装时遇到问题，可以参考其官方网站的安装说明。

要使用 GIMP 获取屏幕截图，需要先启动程序，然后通过 “File-> Create-> Screenshot” 导航。

打开 Screenshot 选项后，会看到几个控制点来控制屏幕截图范围。点击 “Snap” 截取屏幕截图，图像将自动显示在 GIMP 中可供编辑。

方法 5：在 Linux 中使用命令行工具获取屏幕截图

这一节内容仅适用于终端爱好者。如果你也喜欢使用终端，可以使用 “GNOME 截图工具”或 “ImageMagick” 或 “Deepin Scrot”，大部分流行的 Linux 发行版中都自带这些工具。

要立即获取屏幕截图，可以执行以下命令：

GNOME 截图工具（可用于 GNOME 桌面）

gnome-screenshot

GNOME 截图工具是使用 GNOME 桌面的 Linux 发行版中都自带的一个默认工具。如果需要延时获取屏幕截图，可以执行以下命令（这里的 5 是需要延迟的秒数）：

gnome-screenshot -d -5

ImageMagick

如果你的操作系统是 Ubuntu、Mint 或其它流行的 Linux 发行版，一般会自带 ImageMagick 这个工具。如果没有这个工具，也可以按照官方安装说明使用安装源来安装。你也可以在终端中执行这个命令：

sudo apt-get install imagemagick

安装完成后，执行下面的命令就可以获取到屏幕截图（截取整个屏幕）：

import -window root image.png

这里的 “image.png” 就是屏幕截图文件保存的名称。

要获取屏幕一个区域的截图，可以执行以下命令:

import image.png

Deepin Scrot

Deepin Scrot 是基于终端的一个较新的截图工具。和前面两个工具类似，一般自带于 Linux 发行版中。如果需要自行安装，可以执行以下命令：

sudo apt-get install scrot

安装完成后，使用下面这些命令可以获取屏幕截图。

获取整个屏幕的截图：

scrot myimage.png

获取屏幕某一区域的截图：

scrot -s myimage.png

总结

以上是一些在 Linux 上的优秀截图工具。当然还有很多截图工具没有提及（例如用于 KDE 发行版的 Spectacle），但相比起来还是上面几个工具更为好用。

如果你有比文章中提到的更好的截图工具，欢迎讨论！

via: https://itsfoss.com/take-screenshot-linux/

作者：Ankush Das 选题：lujun9972 译者：HankChow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出