要在三天内打造一个可玩的游戏，你需要一些快速而稳定的好工具。

在十月初，我们的俱乐部马歇尔大学的 Geeks and Gadgets 参加了首次 Open Jam，这是一个庆祝最佳开源工具的游戏 Jam。游戏 Jam 是一种活动，参与者以团队协作的方式来开发有趣的计算机游戏。Jam 一般都很短，仅有三天，并且非常累。Opensource.com 在八月下旬发布了 Open Jam 活动，足有 45 支游戏 进入到了竞赛中。

我们的俱乐部希望在我们的项目中创建和使用开放源码软件，所以 Open Jam 自然是我们想要参与的 Jam 了。我们提交的游戏是一个实验性的游戏，名为 Mark My Words。我们使用了多种自由和开放源码 (FOSS) 工具来开发它；在这篇文章中，我们将讨论一些我们使用的工具和我们注意到可能有潜在阻碍的地方。

音频工具

MilkyTracker

MilkyTracker 是一个可用于编曲老式视频游戏中的音乐的软件包。它是一种 音乐声道器 music tracker ，是一个强大的 MOD 和 XM 文件创建器，带有基于特征网格的模式编辑器。在我们的游戏中，我们使用它来编曲大多数的音乐片段。这个程序最好的地方是，它比我们其它的大多数工具消耗更少的硬盘空间和内存。虽然如此，MilkyTracker 仍然非常强大。

其用户界面需要一会来习惯，这里有对一些想试用 MilkyTracker 的音乐家的一些提示：

• 转到 “Config > Misc.” ，设置编辑模式的控制风格为 “MilkyTracker”，这将给你提供几乎全部现代键盘快捷方式。
• 用 Ctrl+Z 撤销
• 用 Ctrl+Y 重做
• 用空格键切换模式编辑方式
• 用退格键删除先前的音符
• 用插入键来插入一行
• 默认情况下，一个音符将持续作用，直到它在该频道上被替换。你可以明确地结束一个音符，通过使用一个反引号（`）键来插入一个 KeyOff 音符
• 在你开始谱写乐曲前，你需要创建或查找采样。我们建议在诸如 Freesound 或 ccMixter 这样的网站上查找采用 Creative Commons 协议的采样，

另外，把 MilkyTracker 文档页面 放在手边。它含有数不清的教程和手册的链接。一个好的起点是在该项目 wiki 上的 MilkyTracker 指南。

LMMS

我们的两个音乐家使用多用途的现代音乐创建工具 LMMS。它带有一个绝妙的采样和效果库，以及多种多样的灵活的插件来生成独特的声音。LMMS 的学习曲线令人吃惊的低，在某种程度上是因为其好用的节拍/低音线编辑器。

我们对于想试试 LMMS 的音乐家有一个建议：使用插件。对于 chiptune式音乐，我们推荐 sfxr、BitInvader 和 FreeBoy。对于其它风格，ZynAddSubFX 是一个好的选择。它配备了各种合成仪器，可以根据您的需要进行更改。

图形工具

Tiled

在开放源码游戏开发中，Tiled 是一个流行的贴片地图编辑器。我们使用它为来为我们在游戏场景中组合连续的、复古式的背景。

Tiled 可以导出地图为 XML、JSON 或普通的图片。它是稳定的、跨平台的。

Tiled 的功能之一允许你在地图上定义和放置随意的游戏对象，例如硬币和提升道具，但在 jam 期间我们没有使用它。你需要做的全部是以贴片集的方式加载对象的图像，然后使用“插入平铺”来放置它们。

一般来说，对于需要一个地图编辑器的项目，Tiled 是我们所推荐的软件中一个不可或缺的部分。

Piskel

Piskel 是一个像素艺术编辑器，它的源文件代码以 Apache 2.0 协议 发布。在这次 Jam 期间，们的大多数的图像资源都使用 Piskel 来处理，我们当然也将在未来的工程中使用它。

在这个 Jam 期间，Piskel 极大地帮助我们的两个功能是 洋葱皮 Onion skin 和 精灵序列图 spritesheet 导出。

洋葱皮

洋葱皮功能将使 Piskel 以虚影显示你编辑的动画的前一帧和后一帧的，像这样:

洋葱皮是很方便的，因为它适合作为一个绘制指引和帮助你在整个动画进程中保持角色的一致形状和体积。 要启用它，只需单击屏幕右上角预览窗口下方的洋葱形图标即可。

精灵序列图导出

Piskel 将动画导出为精灵序列图的能力也非常有用。精灵序列图是一个包含动画所有帧的光栅图像。例如，这是我们从 Piskel 导出的精灵序列图：

该精灵序列图包含两帧。一帧位于图像的上半部分，另一帧位于图像的下半部分。精灵序列图通过从单个文件加载整个动画，大大简化了游戏的代码。这是上面精灵序列图的动画版本：

Unpiskel.py

在 Jam 期间，我们很多次想批量转换 Piskel 文件到 PNG 文件。由于 Piskel 文件格式基于 JSON，我们写一个基于 GPLv3 协议的名为 unpiskel.py 的 Python 小脚本来做转换。

它像这样被调用的：

python unpiskel.py input.piskel

这个脚本将从一个 Piskel 文件（这里是 input.piskel）中提取 PNG 数据帧和图层，并将它们各自存储。这些文件采用模式 NAME_XX_YY.png 命名，在这里 NAME 是 Piskel 文件的缩减名称，XX 是帧的编号，YY 是层的编号。

因为脚本可以从一个 shell 中调用，它可以用在整个文件列表中。

for f in *.piskel; do python unpiskel.py "$f"; done

Python、Pygame 和 cx\_Freeze

Python 和 Pygame

我们使用 Python 语言来制作我们的游戏。它是一个脚本语言，通常被用于文本处理和桌面应用程序开发。它也可以用于游戏开发，例如像 Angry Drunken Dwarves 和 Ren'Py 这样的项目所展示的。这两个项目都使用一个称为 Pygame 的 Python 库来显示图形和产生声音，所以我们也决定在 Open Jam 中使用这个库。

Pygame 被证明是既稳定又富有特色，并且它对我们创建的街机式游戏来说是很棒的。在低分辨率时，库的速度足够快的，但是在高分辨率时，它只用 CPU 的渲染开始变慢。这是因为 Pygame 不使用硬件加速渲染。然而，开发者可以充分利用 OpenGL 基础设施的优势。

如果你正在寻找一个好的 2D 游戏编程库，Pygame 是值得密切注意的一个。它的网站有 一个好的教程 可以作为起步。务必看看它！

cx\_Freeze

准备发行我们的游戏是有趣的。我们知道，Windows 用户不喜欢装一套 Python，并且要求他们来安装它可能很过分。除此之外，他们也可能必须安装 Pygame，在 Windows 上，这不是一个简单的工作。

很显然：我们必须放置我们的游戏到一个更方便的格式中。很多其他的 Open Jam 参与者使用专有的游戏引擎 Unity，它能够使他们的游戏在网页浏览器中来玩。这使得它们非常方便地来玩。便利性是一个我们的游戏中根本不存在的东西。但是，感谢生机勃勃的 Python 生态系统，我们有选择。已有的工具可以帮助 Python 程序员将他们的游戏做成 Windows 上的发布版本。我们考虑过的两个工具是 cx\_Freeze 和 Pygame2exe（它使用 py2exe）。我们最终决定用 cx\_Freeze，因为它是跨平台的。

在 cx\_Freeze 中，你可以把一个单脚本游戏打包成发布版本，只要在 shell 中运行一个命令，像这样：

cxfreeze main.py --target-dir dist

cxfreeze 的这个调用将把你的脚本（这里是 main.py）和在你系统上的 Python 解释器捆绑到到 dist 目录。一旦完成，你需要做的是手动复制你的游戏的数据文件到 dist 目录。你将看到，dist 目录包含一个可以运行来开始你的游戏的可执行文件。

这里有使用 cx\_Freeze 的更复杂的方法，允许你自动地复制数据文件，但是我们发现简单的调用 cxfreeze 足够满足我们的需要。感谢这个工具，我们使我们的游戏玩起来更便利一些。

庆祝开源

Open Jam 是庆祝开源模式的软件开发的重要活动。这是一个分析开源工具的当前状态和我们在未来工作中需求的一个机会。对于游戏开发者探求其工具的使用极限，学习未来游戏开发所必须改进的地方，游戏 Jam 或许是最好的时机。

开源工具使人们能够在不损害自由的情况下探索自己的创造力，而无需预先投入资金。虽然我们可能不会成为专业的游戏开发者，但我们仍然能够通过我们的简短的实验性游戏 Mark My Words 获得一点点体验。它是一个以语言学为主题的游戏，描绘了虚构的书写系统在其历史中的演变。还有很多其他不错的作品提交给了 Open Jam，它们都值得一试。 真的，去看看！

在本文结束前，我们想要感谢所有的 参加俱乐部的成员，使得这次经历真正的有价值。我们也想要感谢 Michael Clayton、Jared Sprague 和 Opensource.com 主办 Open Jam。简直酷毙了。

现在，我们对读者提出了一些问题。你是一个 FOSS 游戏开发者吗？你选择的工具是什么？务必在下面留下一个评论！

via: https://opensource.com/article/18/1/graphics-music-tools-game-dev

作者：Charlie Murphy 译者：robsean 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

我们继续创建和管理用户和组的 Linux 教程之旅。

在正在进行的 Linux 之旅中，我们了解了如何操作文件夹或目录，现在我们继续讨论 权限、用户 和 组，这对于确定谁可以操作哪些文件和目录是必要的。上次，我们展示了如何创建新用户，现在我们将重新起航：

你可以使用 groupadd 命令创建新组，然后随意添加用户。例如，使用：

sudo groupadd photos

这将会创建 photos 组。

你需要在根目录下创建一个目录：

sudo mkdir /photos

如果你运行 ls -l /，结果中会有如下这一行：

drwxr-xr-x 1 root root 0 jun 26 21:14 photos

输出中的第一个 root 是所属的用户，第二个 root 是所属的组。

要将 /photos 目录的所有权转移到 photos 组，使用：

chgrp photos /photos

chgrp 命令通常采用两个参数，第一个参数是将要获得文件或目录所有权的组，第二个参数是希望交给组的文件或目录。

接着，运行 ls -l /，你会发现刚才那一行变了：

drwxr-xr-x 1 root photos 0 jun 26 21:14 photos

你已成功将新目录的所有权转移到了 photos 组。

然后，将你自己的用户和 guest 用户添加到 photos 组：

sudo usermod <你的用户名> -a -G photos
sudo usermod guest -a -G photos

你可能必须注销并重新登录才能看到更改，但是当你这样做时，运行 groups 会将 photos 显示为你所属的组之一。

关于上面提到的 usermod 命令，需要指明几点。第一：注意要使用 -G 选项而不是 -g 选项。-g 选项更改你的主要组，如果你意外地使用它，它可能会锁定你的一些东西。另一方面，-G 将你添加到列出的组中，并没有干扰主要组。如果要将用户添加到多个组中，在 -G 之后逐个列出它们，用逗号分隔，不要有空格：

sudo usermod <your username> -a -G photos,pizza,spaceforce

第二点：小心点不要忘记 -a 参数。-a 参数代表追加，将你传递给 -G 的组列表附加到你已经属于的组。这意味着，如果你不包含 -a，那么你之前所属的组列表将被覆盖，再次将你拒之门外。

这些都不是灾难性问题，但这意味着你必须手动将用户添加回你所属的所有组，这可能是个麻烦，特别是如果你失去了对 sudo 和 wheel 组的访问权限。

权限

在将图像复制到 /photos 目录之前，还要做一件事情。注意，当你执行上面的 ls -l / 时，该文件夹的权限将以 drwxr-xr-x 形式返回。

如果你阅读我在本文开头推荐的文章，你将知道第一个 d 表示文件系统中的条目是一个目录，接着你有三组三个字符（rwx、r-x、r-x），它们表示目录的所属用户（rwx）的权限，然后是所属组（r-x）的权限，最后是其他用户（r-x）的权限。这意味着到目前为止唯一具有写权限的人，即能够在 /photos 目录中复制或创建文件的唯一人员是 root 用户。

但是我提到的那篇文章也告诉你如何更改目录或文件的权限：

sudo chmod g+w /photos

运行 ls -l /，你会看到 /photos 权限变为了 drwxrwxr-x。这就是你希望的：组成员现在可以对目录进行写操作了。

现在你可以尝试将图像或任何其他文件复制到目录中，它应该没有问题：

cp image.jpg /photos

guest 用户也可以从目录中读取和写入。他们也可以读取和写入，甚至移动或删除共享目录中其他用户创建的文件。

总结

Linux 中的权限和特权系统已经磨练了几十年，它继承自昔日的旧 Unix 系统。就其本身而言，它工作的非常好，而且经过了深思熟虑。熟悉它对于任何 Linux 系统管理员都是必不可少的。事实上，除非你理解它，否则你根本就无法做很多事情。但是，这并不难。

下一次，我们将深入研究文件，并以一个创新的方式查看创建，操作和销毁文件的不同方法。最后一个总是很有趣。

回头见！

通过 Linux 基金会和 edX 的免费“Linux 简介”课程了解有关 Linux 的更多信息。

via: https://www.linux.com/blog/learn/intro-to-linux/2018/7/users-groups-and-other-linux-beasts-part-2

作者：Paul Brown 选题：lujun9972 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

你甚至可以在终端里欣赏彩虹猫。

今天是《Linux 命令行小玩具介绍》的第六天。在本系列文章中，我们将会探索一些娱乐用途（甚至有时完全没用）的 Linux 命令行小玩具。所有我们介绍的小玩具都是开源的。

也许你会问，它们都很独特吗？是的。不过，它们对你是否独特，我就不知道了。但是，我们相信你应该能在这系列文章结束之前找到至少一个好玩的玩具。

从昨天的选题继续：我们谈到了猫和彩虹。不过，在 Linux 命令行下有更有趣的彩虹和猫结合的程序吗？答案是肯定的。

我们不妨看看之前可以在命令行中使用彩虹猫的方式吧。意料之中，2011 年发布的 彩虹猫 可以用 nyancat 呈现在终端中。你想念这只曾火遍网络的彩虹猫吗？看看下面这个视频记录吧，我会等你看完的。

现在，让我们在终端中重新感受这个令人惊奇的体验吧。nyancat 包正在很多发行版上（比如 Arch、Debian、Gentoo、Ubuntu 等等……）都有，不过我的系统（Fedora）没有，但是我们仍然可以很轻松地从源码编译它。

根据读者的一个很好的提醒，对于我来说，这应该在该系列中提及：要警惕从不受信任的来源安装应用程序，或者编译和运行你在网上找到的任何代码，就像你在这样的文章中找到这个一样。如果您不确定，请采取适当的预防措施，特别是如果您在生产机器上。

从这里克隆源代码：

git clone https://github.com/klange/nyancat.git

然后使用 make 编译，并用 ./nyancat 来运行。

这直接为我带来了彩虹猫体验，甚至还有个计时器来显示我享受 “彩虹猫魔法”的时间。

你可以在 GitHub 上找到 nyancat 的源码，它正以 NCSA 许可证 开源。

命令行版本的彩虹猫可在这个公共 Telnet 服务器上访问（或者用另外一个猫 netcat 也行），所以理论上来说你不必安装它。不过不幸的是，由于带宽限制，该服务器目前已经被关闭了。尽管如此，在各种老设备上连接老 Telnet 服务器上运行彩虹猫的照片还是值得一看的，说不准你还会萌生搭建一个能让大家连接的公共服务器的想法呢（如果你真的搭建了，请务必告知作者，万一他们可能会向公众分享呢？）。

你想让我介绍一下你最喜爱的命令行玩具吗？请在原文下留言，作者会考虑介绍的。

瞧瞧我们昨天介绍的小玩意：用 lolcat 为你的 Linux 终端增添些许色彩。明天再来看我们的下一篇文章吧！

via: https://opensource.com/article/18/12/linux-toy-nyancat

作者：Jason Baker 选题：lujun9972 译者：zhs852 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

通过对招聘网站数据的仔细研究，我们发现，即使是非常有经验的 Linux 程序员，也会在面试中陷入困境。

这就导致了很多优秀并且有经验的人无缘无故地找不到合适的工作，因为如今的就业市场需要我们有一些手段来提高自己的竞争力。

我有两个同事和一个表哥，他们都有 RedHat 认证，管理过比较大的服务器机房，也都收到过前雇主的认真推荐。

可是，在他们应聘的时候，所有的这些证书、本身的能力、工作经验好像都没有起到任何作用，他们所面对的招聘广告是某人从技术词汇中临时挑选的一些“技能片段”所组成的。

现如今，礼貌变得过时了，不回应变成了发布招聘广告的公司的新沟通方式。

这同样也意味着大多公司的招聘或者人事可能会错过非常优秀的应聘者。

我之所以敢说的如此肯定，是因为现在招聘广告大多数看上去都非常的滑稽。

Reallylinux.com 另一位特约撰稿人 Walter ，发表过一篇关于 招聘广告疯掉了 的文章。

他说的也许是对的，可是我认为 Linux 工作应聘者可以通过注意招聘广告的三个关键点避免落入陷阱。

首先，很少会有 Linux 系统管理员的招聘广告只针对 Linux 有要求。

一定要注意很少有 Linux 系统管理员的职位是实际在服务器上跑 Linux的，反而，很多在搜索 “Linux 管理员” 得到的职位实际上是指大量的 *NX 操作系统的。

举个例子，有一则关于 Linux 管理员 的招聘广告：

该职位需要为建立系统集成提供支持，尤其是 BSD 应用的系统安装…

或者有一些其他的要求：

有 Windows 系统管理经验的。

最为讽刺的是，如果你在应聘面试的时候表现出专注于 Linux 的话，你可能不会被聘用。

另外，如果你直接把 Linux 写在你的特长或者专业上，他们可能都不会仔细看你的简历，因为他们根本区分不了 UNIX、BSD、Linux。

最终的结果就是，如果你太老实，只在简历上写了 Linux，你可能会被直接过掉，但是如果你把 Linux 改成 UNIX/Linux 的话，可能会走得更远。

我有两个同事最后修改了他们的简历，然后获得了更好的面试机会，虽然依旧没有被聘用，因为大多数招聘广告其实已经内定人员了，这些招聘信息被放出来仅仅是为了表现出他们有招聘的想法。

第二点，公司里唯一在乎系统管理员职位的只有技术主管，其他人包括人事或管理层根本不关心这个。

我记得有一次开会旁听的时候，听见一个执行副总裁把服务器管理人员说成“一毛钱一打的人”，这种想法是多么的奇怪啊。

讽刺的是，等到邮件系统出故障，电话交换机连接时不时会断开，或者核心商业文件从企业内网中消失的时候，这些总裁又是最先打电话给系统管理员的。

或许如果他们不整天在电话留言中说那么多空话，或者不往邮件里塞满妻子的照片和旅行途中的照片的话，服务器可能就不会崩溃。

请注意，招聘 Linux 运维或者服务器管理员的广告被放出来是因为公司技术层认为有迫切的需求。你也不需要和人事或者公司高层聊什么，搞清楚谁是招聘的技术经理然后打电话给他们。

你需要直接联系他们因为“有些技术问题”是人事回答不了的，即使你只有 60 秒的时间可以和他们交流，你也必须抓住这个机会和真正有需求并且懂技术的人沟通。

那如果人事的漂亮 MM 不让你直接联系技术怎么办呢？

开始记得问人事一些技术性问题，比如说他们的 Linux 集群是如何建立的，它们运行在独立的虚拟机上吗？这些技术性的问题会让人事变得不耐烦，最后让你有机会问出“我能不能直接联系你们团队的技术人员”。

如果对方的回答是“应该可以”或者“稍后回复你”，那么他们可能已经在两周前就已经计划好了找一个人来填补这个空缺，比如说人事部员工的未婚夫。他们只是不希望看起来太像裙带主义，而是带有一点利己主义的不确定主义。

所以一定要记得花点时间弄清楚到底谁是发布招聘广告的直接技术负责人，然后和他们聊一聊，这可能会让你少一番胡扯并且让你更有可能应聘成功。

第三点，现在的招聘广告很少有完全真实的内容了。

我以前见过一个招聘具有高级别专家也不会有的专门知识的初级系统管理员的广告，他们的计划是列出公司的发展计划蓝图，然后找到应聘者。

在这种情况下，你应聘 Linux 管理员职位应该提供几个关键性信息，例如工作经验和相关证书。

诀窍在于，用这些关键词尽量装点你的简历，以匹配他们的招聘信息，这样他们几乎不可能发现你缺失了哪个关键词。

这并不一定会让你成功找到一份工作，但它可以让你获得一次面试机会，这也算是一个巨大的进步。

通过理解和应用以上三点，或许可以让那些寻求 Linux 管理员工作的人能够比那些只有一线地狱机会的人领先一步。

即使这些建议不能让你马上得到面试机会，你也可以利用这些经验和意识去参加贸易展或公司主办的技术会议等活动。

我强烈建议你们也经常参加这种活动，尤其是当它们比较近的话，可以给你一个扩展人脉的机会。

请记住，如今的职业人脉已经失去了原来的意义了，现在只是可以用来获取“哪些公司实际上在招聘、哪些公司只是为了给股东带来增长的表象而在职位方面撒谎”的小道消息。

via: http://reallylinux.com/docs/gettinglinuxjobs.shtml

作者：Andrea W.Codingly 译者：Ryze-Borgia 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 如何构建一台网络引导服务器（一） 的文章中，我们展示了如何创建一个网络引导镜像，在那个镜像中使用了一个名为 liveuser 帐户，它的家目录位于内存中，重启后家目录中的内容将全部消失。然而很多用户都希望机器重启后保存他们的文件和设置。因此，在本系列的第二部分，我们将向你展示如何在第一部分的基础上，重新配置网络引导镜像，以便 活动目录 中的用户帐户可以进行登录，然后从一个 NFS 服务器上自动挂载他们的家目录。

本系列的第三部分，我们将向你展示网络引导客户端如何与中心化配置的 iPXE 引导菜单进行交互。

设置使用 KRB5 认证的 NFS4 Home 目录

按以前的文章 “使用 Kerberos 强化共享的 NFS Home 目录安全性” 的指导来做这个设置。

删除 Liveuser 帐户

删除本系列文章第一部分中创建的 liveuser 帐户：

$ sudo -i
# sed -i '/automaticlogin/Id' /fc28/etc/gdm/custom.conf
# rm -f /fc28/etc/sudoers.d/liveuser
# for i in passwd shadow group gshadow; do sed -i '/^liveuser:/d' /fc28/etc/$i; done

配置 NTP、KRB5 和 SSSD

接下来，我们需要将 NTP、KRB5 和 SSSD 的配置文件复制进客户端使用的镜像中，以便于它们能够使用同一个帐户：

# MY_HOSTNAME=$(</etc/hostname)
# MY_DOMAIN=${MY_HOSTNAME#*.}
# dnf -y --installroot=/fc28 install ntp krb5-workstation sssd
# cp /etc/ntp.conf /fc28/etc
# chroot /fc28 systemctl enable ntpd.service
# cp /etc/krb5.conf.d/${MY_DOMAIN%%.*} /fc28/etc/krb5.conf.d
# cp /etc/sssd/sssd.conf /fc28/etc/sssd

在已配置的识别服务的基础上，重新配置 sssd 提供认证服务：

# sed -i '/services =/s/$/, pam/' /fc28/etc/sssd/sssd.conf

另外，配置成确保客户端不能更改这个帐户密码：

# sed -i '/id_provider/a \ \ ad_maximum_machine_account_password_age = 0' /fc28/etc/sssd/sssd.conf

另外，复制 nfsnobody 的定义：

# for i in passwd shadow group gshadow; do grep "^nfsnobody:" /etc/$i >> /fc28/etc/$i; done

加入活动目录

接下来，你将执行一个 chroot 将客户端镜像加入到活动目录。从删除预置在网络引导镜像中同名的计算机帐户开始：

# MY_USERNAME=jsmith
# MY_CLIENT_HOSTNAME=$(</fc28/etc/hostname)
# adcli delete-computer "${MY_CLIENT_HOSTNAME%%.*}" -U "$MY_USERNAME"

在网络引导镜像中如果有 krb5.keytab 文件，也删除它：

# rm -f /fc28/etc/krb5.keytab

chroot 到网络引导镜像中：

# for i in dev dev/pts dev/shm proc sys run; do mount -o bind /$i /fc28/$i; done
# chroot /fc28 /usr/bin/bash --login

执行一个加入操作：

# MY_USERNAME=jsmith
# MY_HOSTNAME=$(</etc/hostname)
# MY_DOMAIN=${MY_HOSTNAME#*.}
# MY_REALM=${MY_DOMAIN^^}
# MY_OU="cn=computers,dc=${MY_DOMAIN//./,dc=}"
# adcli join $MY_DOMAIN --login-user="$MY_USERNAME" --computer-name="${MY_HOSTNAME%%.*}" --host-fqdn="$MY_HOSTNAME" --user-principal="host/$MY_HOSTNAME@$MY_REALM" --domain-ou="$MY_OU"

现在登出 chroot，并清除 root 用户的命令历史：

# logout
# for i in run sys proc dev/shm dev/pts dev; do umount /fc28/$i; done
# > /fc28/root/.bash_history

安装和配置 PAM 挂载

我们希望客户端登入后自动挂载用户家目录。为实现这个目的，我们将要使用 pam_mount 模块。安装和配置 pam_mount：

# dnf install -y --installroot=/fc28 pam_mount
# cat << END > /fc28/etc/security/pam_mount.conf.xml
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<pam_mount>
<debug enable="0" />
<volume uid="1400000000-1499999999" fstype="nfs4" server="$MY_HOSTNAME" path="/home/%(USER)" mountpoint="/home/%(USER)" options="sec=krb5" />
<mkmountpoint enable="1" remove="0" />
<msg-authpw>Password:</msg-authpw>
</pam_mount>
END

重新配置 PAM 去使用 pam_mount：

# dnf install -y patch
# cp -r /fc28/usr/share/authselect/default/sssd /fc28/etc/authselect/custom
# echo 'initgroups: files' >> /fc28/etc/authselect/custom/sssd/nsswitch.conf
# patch /fc28/etc/authselect/custom/sssd/system-auth << END
@@ -12 +12,2 @@
-auth        sufficient                                   pam_sss.so forward_pass
+auth        requisite                                    pam_mount.so {include if "with-pammount"}
+auth        sufficient                                   pam_sss.so {if "with-pammount":use_first_pass|forward_pass}
@@ -35,2 +36,3 @@
 session     required                                     pam_unix.so
+session     optional                                     pam_mount.so {include if "with-pammount"}
 session     optional                                     pam_sss.so
END
# patch /fc28/etc/authselect/custom/sssd/password-auth << END
@@ -9 +9,2 @@
-auth        sufficient                                   pam_sss.so forward_pass
+auth        requisite                                    pam_mount.so {include if "with-pammount"}
+auth        sufficient                                   pam_sss.so {if "with-pammount":use_first_pass|forward_pass}
@@ -32,2 +33,3 @@
 session     required                                     pam_unix.so
+session     optional                                     pam_mount.so {include if "with-pammount"}
 session     optional                                     pam_sss.so
END
# chroot /fc28 authselect select custom/sssd with-pammount --force

另外，要确保从客户端上总是可解析 NFS 服务器的主机名：

# MY_IP=$(host -t A $MY_HOSTNAME | awk '{print $4}')
# echo "$MY_IP $MY_HOSTNAME ${MY_HOSTNAME%%.*}" >> /fc28/etc/hosts

可选，允许所有用户可以使用 sudo：

# echo '%users ALL=(ALL) NOPASSWD: ALL' > /fc28/etc/sudoers.d/users

转换 NFS 根目录到一个 iSCSI 后备存储器

在一个 nfsroot 连接建立之后，目前版本的 nfs-utils 可能很难为家目录建立一个从客户端到 NFS 服务器的第二个连接。当尝试去访问家目录时，客户端将被挂起。因此，为了共享网络引导镜像，我们将使用一个不同的协议（iSCSI）来规避这个问题。

首先 chroot 到镜像中，重新配置它的 initramfs，让它从一个 iSCSI 根目录中去引导：

# for i in dev dev/pts dev/shm proc sys run; do mount -o bind /$i /fc28/$i; done
# chroot /fc28 /usr/bin/bash --login
# dnf install -y iscsi-initiator-utils
# sed -i 's/nfs/iscsi/' /etc/dracut.conf.d/netboot.conf
# echo 'omit_drivers+=" qedi "' > /etc/dracut.conf.d/omit-qedi.conf
# echo 'blacklist qedi' > /etc/modprobe.d/blacklist-qedi.conf
# KERNEL=$(ls -c /lib/modules | head -n 1)
# INITRD=$(find /boot -name 'init*' | grep -m 1 $KERNEL)
# dracut -f $INITRD $KERNEL
# logout
# for i in run sys proc dev/shm dev/pts dev; do umount /fc28/$i; done
# > /fc28/root/.bash_history

在测试时，qedi 驱动会破坏 iSCSI，因此我们将它禁用。

接着，创建一个 fc28.img 稀疏文件。这个稀疏文件代表 iSCSI 目标的后备存储器：

# FC28_SIZE=$(du -ms /fc28 | cut -f 1)
# dd if=/dev/zero of=/fc28.img bs=1MiB count=0 seek=$(($FC28_SIZE*2))

（如果你有一个可使用的独立分区或磁盘驱动器，也可以用它，而不用再去创建这个稀疏文件了。）

接着，使用一个文件系统去格式化镜像、挂载它、然后将网络引导镜像复制进去：

# mkfs -t xfs -L NETROOT /fc28.img
# TEMP_MNT=$(mktemp -d)
# mount /fc28.img $TEMP_MNT
# cp -a /fc28/* $TEMP_MNT
# umount $TEMP_MNT

在使用 SquashFS 测试时，客户端偶尔会出现小状况。似乎是因为 SquashFS 在多处理器客户端上没法执行随机 I/O。（更多内容见 squashfs 读取卡顿的奇怪案例）。如果你希望使用文件系统压缩来提升吞吐性能，ZFS 或许是个很好的选择。

如果你对 iSCSI 服务器的吞吐性能要求非常高（比如，成百上千的客户端要连接它），可能需要使用带 负载均衡) 的 Ceph 集群了。更多相关内容，请查看 使用 HAProxy 和 Keepalived 负载均衡的 Ceph 对象网关。

安装和配置 iSCSI

为了给我们的客户端提供网络引导镜像，安装 scsi-target-utils 包：

# dnf install -y scsi-target-utils

配置 iSCSI 守护程序去提供 fc28.img 文件：

# MY_REVERSE_HOSTNAME=$(echo $MY_HOSTNAME | tr '.' "\n" | tac | tr "\n" '.' | cut -b -${#MY_HOSTNAME})
# cat << END > /etc/tgt/conf.d/fc28.conf
<target iqn.$MY_REVERSE_HOSTNAME:fc28>
  backing-store /fc28.img
  readonly 1
</target>
END

开头的 iqn. 是 /usr/lib/dracut/modules.d/40network/net-lib.sh 所需要的。

添加一个防火墙例外，并启用和启动这个服务：

# firewall-cmd --add-service=iscsi-target
# firewall-cmd --runtime-to-permanent
# systemctl enable tgtd.service
# systemctl start tgtd.service

你现在应该能够使用 tatadm 命令看到这个镜像共享了：

# tgtadm --mode target --op show

上述命令的输出应该类似如下的内容：

Target 1: iqn.edu.example.server-01:fc28
    System information:
        Driver: iscsi
        State: ready
    I_T nexus information:
    LUN information:
        LUN: 0
            Type: controller
            SCSI ID: IET     00010000
            SCSI SN: beaf10
            Size: 0 MB, Block size: 1
            Online: Yes
            Removable media: No
            Prevent removal: No
            Readonly: No
            SWP: No
            Thin-provisioning: No
            Backing store type: null
            Backing store path: None
            Backing store flags: 
        LUN: 1
            Type: disk
            SCSI ID: IET     00010001
            SCSI SN: beaf11
            Size: 10488 MB, Block size: 512
            Online: Yes
            Removable media: No
            Prevent removal: No
            Readonly: Yes
            SWP: No 
            Thin-provisioning: No
            Backing store type: rdwr
            Backing store path: /fc28.img
            Backing store flags:
    Account information:
    ACL information:
        ALL

现在，我们可以去删除本系列文章的第一部分中创建的 NFS 共享了：

# rm -f /etc/exports.d/fc28.exports
# exportfs -rv
# umount /export/fc28
# rmdir /export/fc28
# sed -i '/^\/fc28 /d' /etc/fstab

你也可以删除 /fc28 文件系统，但为了以后进一步更新，你可能需要保留它。

更新 ESP 去使用 iSCSI 内核

更新 ESP 去包含启用了 iSCSI 的 initramfs：

$ rm -vf $HOME/esp/linux/*.fc28.*
$ MY_KRNL=$(ls -c /fc28/lib/modules | head -n 1)
$ cp $(find /fc28/lib/modules -maxdepth 2 -name 'vmlinuz' | grep -m 1 $MY_KRNL) $HOME/esp/linux/vmlinuz-$MY_KRNL
$ cp $(find /fc28/boot -name 'init*' | grep -m 1 $MY_KRNL) $HOME/esp/linux/initramfs-$MY_KRNL.img

更新 boot.cfg 文件去传递新的 root 和 netroot 参数：

$ MY_NAME=server-01.example.edu
$ MY_EMAN=$(echo $MY_NAME | tr '.' "\n" | tac | tr "\n" '.' | cut -b -${#MY_NAME})
$ MY_ADDR=$(host -t A $MY_NAME | awk '{print $4}')
$ sed -i "s! root=[^ ]*! root=/dev/disk/by-path/ip-$MY_ADDR:3260-iscsi-iqn.$MY_EMAN:fc28-lun-1 netroot=iscsi:$MY_ADDR::::iqn.$MY_EMAN:fc28!" $HOME/esp/linux/boot.cfg

现在，你只需要从 $HOME/esp/linux 目录中复制更新后的文件到所有客户端系统的 ESP 中。你应该会看到类似下面屏幕截图的结果：

更新镜像

首先，复制出一个当前镜像的副本：

# cp -a /fc28 /fc29

chroot 进入到镜像的新副本：

# for i in dev dev/pts dev/shm proc sys run; do mount -o bind /$i /fc29/$i; done
# chroot /fc29 /usr/bin/bash --login

允许更新内核：

# sed -i 's/^exclude=kernel-\*$/#exclude=kernel-*/' /etc/dnf/dnf.conf

执行升级：

# dnf distro-sync -y --releasever=29

阻止更新过的内核被再次更新：

# sed -i 's/^#exclude=kernel-\*$/exclude=kernel-*/' /etc/dnf/dnf.conf

上述命令是可选的，但是在以后，如果在镜像中添加和更新了几个包，在你的客户端之外保存有一个最新内核的副本，会在关键时刻对你非常有帮助。

清理 dnf 的包缓存：

# dnf clean all

退出 chroot 并清理 root 的命令历史：

# logout
# for i in run sys proc dev/shm dev/pts dev; do umount /fc29/$i; done
# > /fc29/root/.bash_history

创建 iSCSI 镜像：

# FC29_SIZE=$(du -ms /fc29 | cut -f 1)
# dd if=/dev/zero of=/fc29.img bs=1MiB count=0 seek=$(($FC29_SIZE*2))
# mkfs -t xfs -L NETROOT /fc29.img
# TEMP_MNT=$(mktemp -d)
# mount /fc29.img $TEMP_MNT
# cp -a /fc29/* $TEMP_MNT
# umount $TEMP_MNT

定义一个新的 iSCSI 目标，指向到新的镜像并导出它：

# MY_HOSTNAME=$(</etc/hostname)
# MY_REVERSE_HOSTNAME=$(echo $MY_HOSTNAME | tr '.' "\n" | tac | tr "\n" '.' | cut -b -${#MY_HOSTNAME})
# cat << END > /etc/tgt/conf.d/fc29.conf
<target iqn.$MY_REVERSE_HOSTNAME:fc29>
 backing-store /fc29.img
 readonly 1
</target>
END
# tgt-admin --update ALL

添加新内核和 initramfs 到 ESP：

$ MY_KRNL=$(ls -c /fc29/lib/modules | head -n 1)
$ cp $(find /fc29/lib/modules -maxdepth 2 -name 'vmlinuz' | grep -m 1 $MY_KRNL) $HOME/esp/linux/vmlinuz-$MY_KRNL
$ cp $(find /fc29/boot -name 'init*' | grep -m 1 $MY_KRNL) $HOME/esp/linux/initramfs-$MY_KRNL.img

更新 ESP 的 boot.cfg：

$ MY_DNS1=192.0.2.91
$ MY_DNS2=192.0.2.92
$ MY_NAME=server-01.example.edu
$ MY_EMAN=$(echo $MY_NAME | tr '.' "\n" | tac | tr "\n" '.' | cut -b -${#MY_NAME})
$ MY_ADDR=$(host -t A $MY_NAME | awk '{print $4}')
$ cat << END > $HOME/esp/linux/boot.cfg
#!ipxe

kernel --name kernel.efi \${prefix}/vmlinuz-$MY_KRNL initrd=initrd.img ro ip=dhcp rd.peerdns=0 nameserver=$MY_DNS1 nameserver=$MY_DNS2 root=/dev/disk/by-path/ip-$MY_ADDR:3260-iscsi-iqn.$MY_EMAN:fc29-lun-1 netroot=iscsi:$MY_ADDR::::iqn.$MY_EMAN:fc29 console=tty0 console=ttyS0,115200n8 audit=0 selinux=0 quiet
initrd --name initrd.img \${prefix}/initramfs-$MY_KRNL.img
boot || exit
END

最后，从我的 $HOME/esp/linux 目录中复制文件到所有客户端系统的 ESP 中去使用它吧！

via: https://fedoramagazine.org/how-to-build-a-netboot-server-part-2/

作者：Gregory Bartholomew 选题：lujun9972 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这是一个听起来几乎不可能的事情……我甚至有点后悔将它发到网上，因为它在一个会议上成了一则著名的酒后故事。这个故事略有改动，以保护故事中的人物，以及忽略了一些无关的细节使之更有趣一些。

几年前，当我接到统计系主任的电话时，我正在从事维护校园电子邮件系统的工作。

“我们从部门发送电子邮件时遇到了问题。”

“有什么问题？” 我问。

“我们不能发送超过 500 英里的邮件，”主任解释说。

“咳咳”，我被我喝的拿铁呛了一口，“您再说一遍？”

“我们不能发送距这里超过 500 英里的邮件，”他重复道。 “实际上，更远一点，是 520 英里，但不能更远了。”

“嗯......电子邮件真的不会这样，通常，”我说，试着让我的声音听起来不那么慌乱。我不能和一个系主任说话时显得慌乱，即使是一个像统计系这样的相对没钱的院系。 “是什么让你觉得你不能发送邮件超过 500 英里？”

“这不是我认为的，”主任有点急躁地回答道。 “我们首先注意到了这种情况是几天前。”

“你等了几天？” 我打断他，带点颤音说道。 “这段时间你一直你不能发送电子邮件？”

“我们可以发送电子邮件。只是不超过 ——”

“—— 500 英里，我知道，”我接过他的话，“我知道了。但为什么没有你早点打电话呢？”

“好吧，我们没有收集到足够的数据来确定发生了什么，直到现在。”没错，这是统计系的主任。“不管怎么说，我请了一位地理统计学家研究它 ——”

“地理统计学家……”

“—— 是的，她制作了一张地图，显示了我们发送电子邮件能够达到的半径略超过 500 英里。在那个半径范围内有零星的几个无法到达的目的地，但我们永远不能发送比这半径更远的电子邮件。”

“我明白了，”我说，把头埋在我的手中。 “这是什么时候开始的？几天前，你说过，但是那时你的系统做了什么改变？”

“嗯，服务顾问来给我们的服务器打了补丁，并重新启动了它。但我打电话给他，他说他没有碰过邮件系统。”

“好的，让我来看看，我稍后会给你回电话，”我说。我简直觉得我在做梦，这不是愚人节。我试着回想是不是有人恶作剧报复我。

我登录了他们系的服务器，并发送了一些测试邮件。在北卡罗来纳州的 三角研究园 （ Research Triangle Park ） ，我自己的帐户的测试邮件顺利投递。发往里士满、亚特兰大和华盛顿的也是如此。发往普林斯顿（400 英里）的另一个邮件也正常。

但后来我尝试向孟菲斯（600 英里）发送电子邮件，失败了。波士顿，失败了。底特律，也失败了。我拿出了我的地址簿，开始试图缩小它的范围。纽约（420 英里）成功，但普罗维登斯（580 英里）失败了。

我开始怀疑自己是不是疯了。我试过给住在北卡罗来纳州的朋友发电子邮件，但他的 ISP 在西雅图。谢天谢地，它失败了。如果问题与收件人的地理位置有关，而不是他的邮件服务器，我想我要哭了。

已经确定！虽然令人难以置信，但所报告的问题是真实的、可重复的，我看了一下 sendmail.cf 文件。它看起来很正常。事实上，它看起来很熟悉。

我把它与我主目录中的 sendmail.cf 做了个对比。它没有被改过 —— 这是我写的 sendmail.cf。 而且我相当确定我没有启用某种 “FAIL_MAIL_OVER_500_MILES” 选项。我不知所措，我 telnet 到 SMTP 端口。 服务器愉快地回复了 SunOS sendmail 的横幅消息。

等一下……一个 SunOS sendmail 的横幅消息？当时，即使 Sendmail 8 已经相当成熟，Sun 公司在其操作系统中装的仍然是 Sendmail 5。作为一名优秀的系统管理员，我已经对 Sendmail 8 进行了标准化。并且作为一名优秀的系统管理员，我编写了一个 sendmail.cf，它使用了 Sendmail 8 中提供的很长的、具有自我描述意义的选项和变量，而不是 Sendmail 5 中使用的那种神秘的标点符号式配置选项。

这个细节一下子又回到了起点，我再次被我现在已经冷掉了的拿铁咖啡渣呛了。 当服务顾问“对服务器打补丁”时，他显然升级了 SunOS 的版本，并且这样做降级了 Sendmail。这次升级会将 sendmail.cf 单独留下，即使它现在是错误的版本。

事实上，Sendmail 5 —— 至少是 Sun 所带的版本，是有一些调整的 —— 它可以处理 Sendmail 8 的 sendmail.cf，因为大多数规则在那时保持不变。但新的长配置选项 —— 它被视为垃圾，并跳过。 并且 sendmail 二进制文件编译时没有针对其中大多数设置默认值，因此，在 sendmail.cf 文件中找不到合适的配置，它们被设置为 0。

被设置为 0 的配置之一是连接到远程 SMTP 服务器的超时选项。 一些实验证明，在具有典型负载的特定机器上，0 超时将在稍微超过 3 毫秒的时间内中止连接调用。

当时我们校园网络的一个奇怪的特点是它是 100％ 交换的。传出的数据包不会出现路由器延迟，直到命中 POP 服务器并到达远端的路由器。因此，连接到附近网络上的轻负载的远程主机的时间实际上主要取决于到目的地的光速的速度，而不是偶然的路由器延迟。

这让我有点晕，我在我的 shell 中输入：

$ units
1311 units, 63 prefixes

You have: 3 millilightseconds
You want: miles
* 558.84719
/ 0.0017893979

“500 英里，或者稍微多一点点。”