我们是聪明地工作，而不是刻苦工作，但仍能把工作做好。

Linux 的系统管理员的工作总是复杂的，并且总是伴随着各种陷阱和障碍。做每件事都没有足够时间，当你想完成那个半秃头老板（PHB）给的任务时，他（只会）不停在你的后面盯着，而最核心的服务器总是在最不合时宜的时间点崩溃，问题和挑战比比皆是。而我发现，成为一名 懒惰的系统管理员 Lazy SysAdmin 可以解决这一困境。

（LCTT 译注： 半秃头老板 Pointy-Haired Boss （PHB），那是呆伯特漫画中的角色，缺乏一般知识常识及其职位所应具有的管理能力，爱说大话且富有向物理显示挑战的精神，大概长成下图这样。）

我在即将在 Apress 出版的新书 《The Linux Philosophy for SysAdmins》（LCTT 译注：暂译《系统管理员的 Linux 哲学》）中更详细地讨论如何成为一个懒惰的系统管理员，那书预计会在 9 月出版（LCTT 译注：已于 2018 年 8 月出版）。这本的部分内容摘录自该书，特别是第九章，“成为一名懒惰的系统管理员”。在我们讨论如何做到这点前，让我们简单了解一下成为一个名懒惰的系统管理员意味着什么。

真实生产力 vs. 虚假生产力

虚假生产力

在我工作的地方，半秃头老板相信的管理风格叫“ 走动式管理 management by walking around ”。通过判断某人在不在他的键盘上输入东西，或者至少要看看他们显示器上显示的东西，来判断他们的工作是否有效率。这是一个糟糕的工作场所。各部门间有道很高的行政墙，这会造就了许多的、微小的沟通壁垒，大量无用的文书工作，以及获得任何事情的许可都要等待漫长的时间。因为这样、那样的原因，不可能高效地做任何事情，如果真的是这样，那是非常低效。为了看起来很忙，我们都有自己的一套 “看起来很忙”的工具包 Look Busy Kits （LBK），可能是一些短小的、用来显示一些行为活动的 Bash 脚本，或者是 top、htop、iotop 之类的程序，或者是一些持续显示某些行为活动的监控工具。这种工作场所的风气让人不可能真正高效，我讨厌这种地方，也讨厌那个几乎不可能完成任何有价值的事情的事实。

这种糟糕场所对真实的系统管理员来讲是场噩梦。没有人会感到快乐。在那里花费四五个月才能完成的事，在其他地方只需的一个早晨。我们没有什么实际工作要做，却要花大量的时间干活来让自己看起来很忙。我们在默默地竞赛，看谁能创造最好的“看起来很忙”的工具包，这就是我们花费最多时间的地方了。那份工作我只做了几个月，但好像已经耗费了一生。如果你看到的这个监狱的表面，你可能会说我们是很懒，因为我们只完成了几乎为 0 的实际工作。

这是个极端的例子，它完全与我所说的“我是一个懒惰的系统管理员”的意思相反，而做一个懒惰的系统管理是件好事。

真实生产力

我很幸运，曾为一些真正的管理者工作过 —— 他们明白，系统管理员的生产力并不是以每天花多少小时敲键盘来衡量。毕竟，即使一只猴子能敲击他们的键盘，但也不能说明结果的价值。

正如我书中所言：

“我是一个懒惰的系统管理员，同时我也是一个高效的系统管理员。这两者看似矛盾的说法不是相互排斥的，而是会以一种非常积极的方式相辅相成……

“系统管理员在思考的时候是最高效的 —— 思考关于如何解决现有问题和避免未来的问题；思考怎样监控 Linux 计算机，以便找到预测和预示这些未来的问题的线索；思考如何让他们的工作更有效率；思考如何自动化所有这些要执行的任务，无论是每天还是每年一次的任务。

“系统管理员冥思苦想的那一面是不会被非系统管理员所熟知的，那些人包括很多管理着系统管理员的人，比如那个半秃头老板。系统管理员都会以不同的方式解决他们工作中苦思的部分。一些我认识的系统管理员会在沙滩、骑自行车、参加马拉松或者攀岩时找到最好的想法。另一些人会认为静坐或听音乐的时候思考得最好。还有一些会在阅读小说、学习不相关的学科、甚至在学习 Linux 系统的时候可以最佳思考。关键是我们都有不同的方式激发我们的创造力，而这些创造力的推进器中很多并不涉及键盘上的任何一个按键。我们真正的生产力对于系统管理员周围的人来说可能是完全看不见的。”

成为懒惰的系统管理员有一些简单的秘诀 —— 系统管理员要完成一切需要完成的事，而且更多的是，当所有人都处于恐慌的状态时要保持冷静和镇定。秘诀的一部分是高效工作，另一部分是把预防问题放在首位。

成为懒惰系统管理员的方法

多思考

我相信关于懒惰系统管理员最重要的秘诀在于思考。正如上面的摘录所言，优秀的系统管理员会花大量的时候思考这些事情，如何更有效率地工作，在异常成为问题前如何定位，更聪明地工作，做其它事情的同时会考虑如何完成这些事情等等。

例如，除了撰写本文之外，我现在正在想一个项目，我打算在从亚马逊和本地计算机商店采购的新部件到达时才开始。我有一台不太关键的计算机上的主板坏了，最近它的崩溃更频率。但我的一台非常老的小服务器并没有出现故障，它负责处理我的电子邮件和外部网站，以及为我的网络的其余部分提供 DHCP 和 DNS 服务，但需要解决由于各种外部攻击而导致的间歇性过载。

我一开始想，我只要替换故障设备的主板及其直接部件：内存、CPU，可能还有电源。但是在考虑了一段时间之后，我决定将新部件放到服务器中，并将旧的（但仍然可用的）部件从服务器移到故障设备中。可以这样做的，只需一、两个小时就可以从服务器上移除旧部件并安装新的。然后我就可以花时间更换出故障的电脑里的部件了。太好了，所以我开始在脑海中列出要完成的任务。

然而，当我查看这个任务列表时，我意识到服务器中唯一不能替换的部件是机箱和硬盘驱动器，这两台计算机的机箱几乎完全相同。在有了这个小小的发现之后，我开始考虑用新的部件替换出了故障的计算机的部件，并将之作为我的服务器。经过一些测试之后，我只需从当前的服务器移除硬盘，并将它安装到用了新组件的机箱中，改下网络配置项，再更改 KVM 交换机端口上的主机名，并更改机箱上的主机名标签，就可以了。这将大大减少服务器停机时间，大大减少我的压力。此外，如果出现故障，我可以简单地将硬盘移回原来的服务器，直到我可以用新服务器解决问题为止。

所以，现在我在脑海中已经创建了一个完成这项工作我所需要做的任务清单。而且，我希望你能仔细观察，当我脑子里想着这一切的时候，我的手指从来没有碰过键盘。我新的心理行动计划风险很低，与我最初的计划相比，涉及的服务器停机时间要少得多。

当我在 IBM 工作的时候，我经常看到很多语言中都有写着“思考”的标语。思考可以节省时间和压力，是懒散的系统管理员的主要标志。

做预防性维护

在 1970 年代中期，我被 IBM 聘为客户工程师，我的领地由相当多的穿孔卡片设备组成。这也就是说，它们是处理打孔卡的重型机械设备，其中一些可以追溯到 20 世纪 30 年代。因为这些机器主要是机械的，所以它们的部件经常磨损或失调。我的部分工作是在它们损坏时修复它们。我工作的主要部分，也是最重要的部分，是首先要防止它们损坏。预防性维护的目的是在磨损部件损坏之前进行更换，并对还在运行的部件进行润滑和调整，以确保它们工作正常。

正如我在《系统管理员的 Linux 哲学》中所言：

“我在 IBM 的经理们明白这只是冰山一角；他们和我都知道，我的工作是让顾客满意。虽然这通常意味着修复损坏的硬件，但也意味着减少硬件损坏的次数。这对客户来说是好事，因为他们的机器在工作时工作效率更高。这对我有好处，因为我从那些快乐的客户那里接到的电话要少得多。我也睡了更多的觉，因为这样做的结果是更少的非工作时间的紧急电话。我是个懒惰的（客户工程师）。通过提前做额外的工作，从长远来看，我需要做的工作要少得多。

“这一原则已成为系统管理员的 Linux 哲学的功能原则之一。作为系统管理员，我们的时间最好用在最大限度地减少未来工作量的任务上。”

在 Linux 计算机中查找要解决的问题相当于项目管理。我检查系统日志，寻找以后可能会变得非常危险的问题的迹象。如果出现了一些小问题，或者我注意到我的工作站、服务器没有做出该有的响应，或者如果日志显示了一些不寻常的东西，所有这些都可以暗示出潜在的问题，而对于用户或半秃头老板来说，这些问题并没有产生明显的症状。

我经常检查 /var/log/ 中的文件，特别是 messages 和 security 文件。我最常见的问题之一是许多脚本小子在我的防火墙系统上尝试各种类型的攻击。而且，不，我不依赖 ISP 提供的调制解调器/路由器中的所谓的防火墙。这些日志包含了大量关于企图攻击来源的信息，非常有价值。但是要扫描不同主机上的日志并将解决方案部署到位，需要做大量的工作，所以我转向自动化。

自动化

我发现我的工作有很大一部分可以通过某种形式的自动化来完成。系统管理员的 Linux 哲学的原则之一是 “自动化一切”，这包括每天扫描日志文件等枯燥乏味的任务。

像是 Logwatch 这类的程序能够监控你的日志文件中的异常条目，并在异常条目发生时通知您。Logwatch 通常作为 cron 任务每天运行一次，并向本地主机上的 root 用户发送电子邮件。你可以从命令行运行 Logwatch，并立即在显示器上查看结果。现在我只需要每天查看 Logwatch 的电子邮件通知。

但现实是，仅仅收到通知是不够的，因为我们不能坐以待毙。有时需要立即作出反应。我喜欢的另一个程序是——它能为我做所有事（看，这就是懒惰的管理员）——它就是 Fail2ban。Fail2Ban 会扫描指定的日志文件，查找各种类型的黑客攻击和入侵尝试，如果它发现某个 IP 地址在持续做特定类型的活动，它会向防火墙添加一个条目，在指定的时间内阻止来自该 IP 地址的任何进一步的黑客尝试。默认值通常在 10 分钟左右，但我喜欢为大多数类型的攻击指定为 12 或 24 小时。每种类型的黑客攻击都是单独配置的，例如尝试通过 SSH 登录和那些 Web 服务器的攻击。

写脚本

自动化是这种哲学的关键组成部分之一。一切可以自动化的东西都应该自动化的，其余的尽可能地自动化。所以，我也写了很多脚本来解决问题，也就是说我编写了脚本来完成我的大部分工作。

我的脚本帮我节省了大量时间，因为它们包含执行特定任务的命令，这大大减少了我需要输入的数量。例如，我经常重新启动我的电子邮件服务器和垃圾邮件过滤软件（当修改 SpamAssassin 的 local.cf 配置文件时，就需要重启）。必须按特定顺序停止并重新启动这些服务。因此，我用几个命令编写了一个简短的脚本，并将其存储在可访问的 /usr/local/bin 中。现在，不用键入几个命令并等待每个命令都完成，然后再键入下一个命令，更不用记住正确的命令顺序和每个命令的正确语法，我输入一个三个字符的命令，其余的留给我的脚本来完成。

简化键入

另一种成为懒惰的系统管理员的方法是减少我们需要键入的数量。而且，我的打字技巧真的很糟糕（也就是说，我一点也没有，顶多是几个笨拙的手指）。导致错误的一个可能原因是我糟糕的打字技巧，所以我会尽量少打字。

绝大多数 GNU 和 Linux 核心实用程序都有非常短的名称。然而，它们都是有意义的名字。诸如用于更改目录的 cd 、用于列出目录内容的 ls 和用于磁盘转储的 dd 等工具都一目了然。短名字意味着更少的打字和更少的产生错误机会。我认为短的名字通常更容易记住。

当我编写 shell 脚本时，我喜欢保持名称简短而意义（至少对我来说是），比如用于 rsync 备份的 rsbu（LCTT 译注，Rsync Backup 的简写）。但在某些情况下，我喜欢使用更长的名称，比如 doUpdates 来执行系统更新。在后一种情况下，更长一点的名字让脚本的目的更明显。这可以节省时间，因为很容易记住脚本的名称。

其他减少键入的方法包括命令行别名、历史命令调回和编辑。别名只是你在 Bash shell 键入命令时才做的替换。键入 alias 命令会看到默认配置的别名列表。例如，当你输入命令 ls 时，会被条目 alias ls='ls –color=auto' 替成较长的命令，因此你只需键入 2 个字符而不是 14 个字符即可获得带有颜色的文件列表。还可以使用 alias 命令添加你自己定义的别名。

历史命令调回允许你使用键盘的向上和向下箭头键滚动浏览命令历史记录。如果需要再次使用相同的命令，只需在找到所需的命令时按回车键即可。如果在找到命令后需要更改该命令，则可以使用标准命令行编辑功能进行更改。

结束语

一名懒惰的系统管理员实际上也有很多的工作。但我们是聪明地工作，而不是刻苦工作。早在一堆小问题汇聚成大问题之前，我们就花时间探索我们负责的主机，并处理好所有的小问题。我们花了很多时间思考解决问题的最佳方法，我们也花了很多时间来发现新的方法，让自己更聪明地工作，成为懒惰的系统管理员。

除了这里描述的少数方法外，还有许多其他的方式可以成为懒惰的系统管理员。我相信你也有一些自己的方式；请在评论中和我们分享。

via: https://opensource.com/article/18/7/how-be-lazy-sysadmin

作者：David Both 选题：lujun9972 译者：zgj1024 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Tarball 提供了一种在 Linux 系统上备份和管理一组文件的通用方法。请按照以下提示了解如何创建它们，以及从中提取和删除单个文件。

“tarball” （LCTT 译注：国内也常称为“tar 包”）一词通常用于描述备份一组选择的文件并将它们打包在一个文件中的一种文件格式。该名称来自 .tar 文件扩展名和 tar 命令，它用于将文件打包到一个文件中，有时还会压缩该文件，使其在移动到其它系统时更小。

tarball 通常用于备份个人或系统文件来创建存档，特别是在进行可能需要撤消的更改之前。例如，Linux 系统管理员通常会在更改应用之前创建包含一系列配置文件的 tarball，以防必须撤消这些更改。从 tarball 中解压文件通常比在备份中搜索文件快。

如何在 Linux 上创建 tarball

使用如下命令，你可以在单条命令中创建 tarball 并压缩它。

$ tar -cvzf PDFs.tar.gz *.pdf

其结果是一个压缩文件（gzip 压缩的），其中包含了当前目录中的所有 PDF 文件。当然，压缩是可选的。一个稍微简单的只是将 PDF 文件打包成未压缩 tarball 的命令：

$ tar -cvf PDFs.tar *.pdf

注意，选项中的 z 将文件变成压缩的。 c 表明创建文件，v（详细）表示你在命令运行时需要一些反馈。如果你不想查看列出的文件，请忽略 v。

另一个常见的命名约定是给压缩的 tarball 命名成 .tgz 而不是双扩展名 .tar.gz，如下所示：

$ tar cvzf MyPDFs.tgz *.pdf

如何从 tarball 中解压文件

要从 gzip 压缩包中解压所有文件，你可以使用如下命令：

$ tar -xvzf file.tar.gz

如果使用 .tgz 命名约定，该命令将如下所示：

$ tar -xvzf MyPDFs.tgz

要从 gzip 包中解压单个文件，你可以执行几乎相同的操作，只需添加文件名：

$ tar -xvzf PDFs.tar.gz ShenTix.pdf
ShenTix.pdf
ls -l ShenTix.pdf
-rw-rw-r-- 1 shs shs 122057 Dec 14 14:43 ShenTix.pdf

如果未压缩 tarball，你甚至可以从 tarball 中删除文件。例如，如果我们想从 PDFs.tar.gz 中删除我们上面解压过的文件，我们会这样做：

$ gunzip PDFs.tar.gz
$ ls -l PDFs.tar
-rw-rw-r-- 1 shs shs 10700800 Dec 15 11:51 PDFs.tar
$ tar -vf PDFs.tar --delete ShenTix.pdf
$ ls -l PDFs.tar
-rw-rw-r-- 1 shs shs 10577920 Dec 15 11:45 PDFs.tar

请注意，我们在删除 ShenTix.pdf 后，缩小了一点 tarball 文件占用的空间。如果我们想要，我们可以再次压缩文件：

$ gzip -f PDFs.tar
ls -l PDFs.tar.gz
-rw-rw-r-- 1 shs shs 10134499 Dec 15 11:51 PDFs.tar.gzFlickr / James St. John

丰富的命令行选项使得 tarball 使用起来简单方便。

via: https://www.networkworld.com/article/3328840/linux/working-with-tarballs-on-linux.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

当你可以用两个设备、浏览器和网络连接就能免费搭建一个婴儿监视器时，谁还会花钱去买呢？

新父母和准父母很快就会知道将会有一个既长且昂贵的新生儿所需设备的清单，清单中的首位是一个婴儿监视器，借此他们可以在做其他事情时照看自己的婴儿，但这儿有一件不必消耗你的婴儿经费的设备，Gonimo 是一个可以将现有的设备转换成婴儿监控系统的自由开源解决方案，附近大型婴儿用品商店的过道中有数以千计的其他必备或时尚物品，就可以为其中某一个腾出一些婴儿的预算。

Gonimo 诞生时，它的开发者，一个有双胞胎的开源粉丝，发现现有选择存在问题：

• 现有硬件婴儿监视器价格昂贵，使用范围有限，需要您带着额外的设备。
• 虽然有移动监控应用程序，但大多数现有的 iOS / Android 婴儿监控应用程序都不可靠且不安全，不太容易找到开源产品。
• 如果您有两个小孩（例如双胞胎），您将需要两台监视器，使您的成本翻倍。

Gonimo 是作为一个解决典型的监视器的缺点的开源解决方案而创建的：

• 昂贵？不，它是免费的！
• 使用范围有限？不，它适用于互联网 / WiFi，无论您身在何处。
• 下载并安装应用程序？噢不，它适用于您现有的网络浏览器。
• 购买新设备？不用，你可以使用任何笔记本电脑、手机或平板电脑与网络浏览器和麦克风和/或相机。

（注意：遗憾的是，Apple iOS 设备尚不支持，但预计很快就会发生变化 —— 请继续阅读，了解如何帮实现这一目标。）

开始

将您的设备转换为婴儿监视器很容易。从您设备的浏览器（理想情况下为 Chrome），访问 gonimo.com 并单击 “Start baby monitor” 以访问该 Web 应用程序。

1、创建家庭：在首次启动的屏幕上，你会看到一只可爱的兔子在地球上奔跑。这是您创建新家庭的地方。单击 “+” 按钮并接受随机生成的姓氏或键入您自己的选择。

从开始屏幕创建一个新家庭

2、邀请设备：建立完家庭以后，下个屏幕将指示您邀请其他设备加入你的 Gonimo 家庭。您可以通过电子邮件直接发送一次性邀请链接，也可以将其复制并粘贴到消息中。对其他设备，只需打开该链接并接受邀请。对您要邀请的任何其他设备重复此过程。您的设备现在属于同一家庭，可以作为一个完全正常工作的婴儿监视器系统进行配合。

邀请家庭成员

3、启动婴儿站流：接下来，通过转到 Gonimo 主屏，点击带有奶嘴的按钮，并允许网络浏览器访问设备的麦克风和摄像头，选择将婴儿的音频和视频流式传输到父母的设备。调整相机以指向宝宝的床，或关闭它以节省设备电池（音频仍将流式传输）。点击“Start”。该流现在处于活动状态。

选择婴儿站

按“Start”开始以流式传输视频

4、连接到父母站流：要查看婴儿站流，请转到 Gonimo 家族中的另外的设备 —— 即父母站。点击 Gonimo 主屏幕上的 “Parent” 按钮。您将看到该系列中所有设备的列表；旁边有一个闪动的“Connect”按钮的是活跃的婴儿站。选择“Connect”，您可以通过点对点音频/视频流看到和听到您的宝宝。音量条为传输的音频流提供可视化。

选择父母站

按下“Connect”开始观看婴儿流。

5、恭喜！您已成功将设备直接通过网络浏览器转换为婴儿监视器，无需下载或安装任何应用程序！

有关重命名设备，从系列中删除设备或删除系列的详细信息和详细说明，请查看 gonimo.com 的视频教程。

家庭系统的灵活性

Gonimo 的优势之一是其基于家庭的系统，它为即使在商业 Android 或 iOS 应用中也无法提供的各种情况提供了极大的灵活性。要深入了解这些功能，我们假设您创建了一个由三个设备组成的家庭系统。

• 多婴儿：如果你想留意你在两个不同房间睡觉的两个小孩怎么办？在每个孩子的房间放一个设备，并将其设置为婴儿站。第三个设备将充当父母站，您可以在其上连接到两个流并通过分屏查看您的幼儿。您甚至可以通过向该家庭系统提供更多设备，并将其设置为婴儿站来将此用例扩展到两个以上的婴儿站。只要您的父母站连接到第一个婴儿站，请单击左上角的后退箭头返回“设备概述”屏幕。现在您可以连接到第二个（以及依次为第三个、第四个、第五个和第五个等）设备，并自动建立分屏。酷！
• 多父母：如果爸爸想在他上班的时候看孩子怎么办？只需邀请第四个设备（例如，他的办公室 PC ）到家庭并将其设置为父母站。父母双方都可以通过他们自己的设备同时检查他们的孩子，甚至可以独立地选择他们希望连接的孩子。
• 多家庭：单个设备也可以是几个家庭系统的一部分。当您的婴儿站与您一起时，如平板电脑，您经常访问亲戚或朋友时，这非常有用。为“奶奶的房子”或“约翰叔叔的房子”创建另一个家庭，其中包括您的婴儿站设备与奶奶或约翰叔叔的设备配对。您可以随时通过婴儿站设备的 Gonimo 主屏幕在这些家庭中切换婴儿站设备。

想要参加吗？

Gonimo 团队喜欢开源。代码来自社区，代码用于社区。Gonimo 的用户对我们非常重要，但它们只是 Gonimo 故事的一部分。幕后有创意的大脑是创造出色婴儿监视器体验的关键。

目前我们特别需要那些愿意成为 iOS 11 测试者的人的帮助，因为 Apple 在 iOS 11 中对 WebRTC 的支持意味着我们最终将能够支持 iOS 设备。如果可以，请帮助我们实现这个令人赞叹的里程碑。

如果您了解 Haskell 或想要了解它，您可以查看 GitHub 上我们的代码。欢迎发起拉取请求、审查代码以及提出问题。

最后，请通过向新父母和开源世界宣传 Gonimo 婴儿监视器是易于使用并且便携的。

关于作者

Robert Klotzner：我是双胞胎的父亲，一个程序员。当我听到普通人可以给计算机编程时，我买了一本 1200 页的关于 C++ 的书开始学习，我当时才十五岁。我坚持用 C++ 相当长的一段时间，学习了 Java 又回归到 C++，学习了 D、Python 等等，最终学习了 Haskell。我喜欢 Haskell 是因为它丰富的类型系统，这几乎可以避免我书写错误的代码。强壮的静态类型和性能让我爱上了 C++……

via: https://opensource.com/article/17/9/gonimo

作者：Robert Klotzner 译者：lintaov587 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

eSpeak 是一个可在 Linux 命令行中使用的开源的 TTS 合成器。

欢迎回到《24 天介绍 Linux 命令行小玩具》。如果这是你首次阅读本系列文章，你可能不知道什么是 Linux 命令行小玩具。无需担心，你只需要边看边体会。通常来说，它有可能是游戏或其它能让你在终端中娱乐的小程序。

或许你已经对一些玩具有了解了，不过我们相信，在本系列文章中总有那么几个你没见过的玩意。

年轻读者可能不知道，在 Alexa、Siri 或 Google Assistant 问世之前，计算机就能说话了。

我们也许永远不会忘记来自 2001 太空漫游) 中与机组人员交流的 HAL 9000。但是在 1960 年代到今天的时间里，是存在着许多能说话的计算机的。它们有些很出色，也有些不那么出色。

其中一个我最爱的是一个叫做 eSpeak 的开源项目。它以多种形式发布，比如可以嵌入你自己项目中的库。与此同时，它也提供了可供你安装的命令行版本。在我所用的发行版中，安装十分简单，只需使用：

$ sudo dnf install espeak

你既可以与 eSpeak 交互，也可以用它来输出其它程序的信息，甚至通过简单的 echo 命令来使用它。这里 有一些可供 eSpeak 使用的声音文件，你可以在无聊时切换他们。甚者你可以制作一个属于你自己的声音。

在 2015 年，一些希望继续 eSpeak 开发的开发者创建了一个名为 eSpeak NG （即 “Next Generation”，“下一代”的意思）的项目。eSpeak 目前在 GPL v3 许可证下开源，你可以在 SourceForge 上详细了解这个项目或下载源代码。

别急，我今天还会介绍一个额外的小程序，它叫 cava。我经常希望用一张独一无二的截图作为我文章的头图，更何况今天的玩具主要是关于声音的，这就图片更少了。因此，我需要一些东西来填补这些空白。Cava 是 基于 ALSA 的命令行音频可视化工具 console-based audio visualizer for ALSA 的简写（尽管它现在支持的比 ALSA 更多），它是一个优秀的命令行音频可视化工具，并且它正以 MIT 许可证开源。下面是一个将 eSpeak 输出可视化的命令：

$ echo "Rudolph, the red-nosed reindeer, had a very shiny nose." | espeak

你想让作者介绍你喜欢的命令行玩具吗？请前往原文下留言，作者可能会考虑介绍的。同时，你也可以去原文下评论你对文章的看法。

欢迎去看看我们昨天介绍的玩具，在 Linux 命令行中使用 nudoku 解决谜题。敬请期待我们明天的文章吧！

via: https://opensource.com/article/18/12/linux-toy-espeak

作者：Jason Baker 选题：lujun9972 译者：zhs852 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在这个系列教程中，将为你提供使用 PGP 和保护你的私钥的最佳体验。

在本系列教程中，我们将提供一个使用 PGP 的实用指南。如果你没有看过前面的文章，你可以通过下面的链接去查看。在这篇文章中，我们将继续讨论如何保护你的密钥，谈一谈将你的子密钥移到一个专门的硬件设备中的一些技巧。

• 第一部分：基本概念和工具
• 第二部分：生成你的主密钥
• 第三部分：生成 PGP 子密钥
• 第四部分：将主密钥移到离线存储中

清单

• 取得一个 GnuPG 兼容的硬件设备（必要）
• 配置 GnuPG 在设备上工作（必要）
• 设置用户和管理员的 PIN（必要）
• 移动子密钥到设备中（必要）

考虑事项

虽然现在主密钥已经不用担心泄露或失窃了，但子密钥仍然在你的家目录中。任何得到它的人都能够解密你的通讯或假冒你的签名（如果他们知道密钥的密码）。并且，每次执行一个 GnuPG 操作都要将密钥加载到操作系统内存中，这将使一些更高级的恶意软件有机会得到你的密钥（想想 Meltdown 和 Spectre）。

完全保护密钥的最好方式就是，将它移到一个专门的硬件设备中，这种硬件设备是一个可操作的智能卡。

智能卡的好处

一个智能卡包含一个加密芯片，它能够存储私钥，并且直接在智能卡内部执行秘密操作。因为密钥内容从来没有离开过智能卡，计算机操作系统并不能检索你插入的智能卡上的私钥。这与前面用于备份目的的加密 USB 存储是不同的 —— 虽然 USB 设备也是插入并解密的，但操作系统是能够去访问私钥内容的。使用外置的加密 USB 介质并不能代替智能卡设备的功能。

智能卡的一些其它好处：

• 它们很便宜且易于获得
• 它们小巧且易于携带
• 它们可以用于多种设备上
• 它们中的很多都具有防篡改功能（取决于制造商）

可用的智能卡设备

智能卡最初是嵌入到真实钱包大小的卡中，故而得名智能卡。你肯定可以买到并使用 GnuPG 功能的智能卡，并且它们是你能得到的最便宜的可用设备之一。但是，事实上智能卡有一个很重要的缺点：它们需要一个智能卡读卡器，只有极小数的笔记本电脑上有这种读卡器。

由于这个原因，制造商开始推出小型 USB 设备，它的大小和 U 盘类似，内置有微型智能卡，并且在芯片上简单地实现了智能卡协议特性。下面推荐几个这样的设备：

• Nitrokey Start：开源硬件和自由软件，可用于 GnuPG 的最便宜的选择之一，但是额外的安全特性很少。
• Nitrokey Pro：类似于 Nitrokey Start，它提供防篡改及更多的安全特性（但没有 U2F，具体查看指南的 U2F 节）。
• Yubikey 4：专利硬件和软件，但比 Nitrokey Pro 便宜，并且可以用在最新的笔记本电脑上的 USB-C 接口；也提供像 U2F 这样的额外的安全特性。

我们推荐选一个同时具备智能卡功能和 U2F 的设备，在写这篇文章时，只能选择 Yubikey 4。

配置智能卡设备

你的智能卡设备插入任何一台现代的 Linux 或 Mac 工作站上都应该能正常工作。你可以通过运行如下的命令去验证它：

$ gpg --card-status

如果你没有收到错误，有一个完整的卡列表，就表示一切正常。不幸的是，排除为什么设备不能正常工作的所有可能原因，已经超出了本指南的范围。如果你的智能卡使用 GnuPG 时有问题，请通过你的操作系统的常见支持通道寻求支持。

PIN 不一定是数字

注意，尽管名为 “PIN”（暗示你它必须是一个“数字”），不论是用户 PIN 还是管理员 PIN 都不必非要是数字。

当你收到一个新设备时，它可能设置有一个默认的用户和管理员 PIN，对于 Yubikey，它分别是 123456 和 12345678。如果它们的 PIN 不是默认的，请查看设备附带的说明书。

快速设置

为配置你的智能卡，你需要使用 GnuPG 菜单系统，因此这里并没有更方便的命令行开关：

$ gpg --card-edit
[...omitted...]
gpg/card> admin
Admin commands are allowed
gpg/card> passwd

你应该去设置用户 PIN (1)、管理员 PIN (3)、和重置码 (4)。请确保把它们记录并保存到一个安全的地方 —— 尤其是管理员 PIN 和重置码（它允许你去擦除整个智能卡内容）。你很少使用到管理员 PIN，因此如果你不记录下来，很可能会忘掉它。

返回到智能卡主菜单，你也可以设置其它值（比如名字、性别、登入日期、等等），但是这些都不是必需的，一旦你的智能卡丢失了，将导致额外的信息泄露。

将子密钥移到你的智能卡中

退出卡菜单（使用 q 命令）保存所有更改。接下来，我们将你的子密钥移到智能卡中。将需要用到你的 PGP 密钥的密码，在大多数的智能卡操作中都将用到管理员 PIN。记住，那个 [fpr] 表示你的密钥的完整的 40 个字符的指纹。

$ gpg --edit-key [fpr]

Secret subkeys are available.

pub  rsa4096/AAAABBBBCCCCDDDD
    created: 2017-12-07  expires: 2019-12-07 usage: C
    trust: ultimate      validity: ultimate
ssb  rsa2048/1111222233334444
    created: 2017-12-07  expires: never usage: E
ssb  rsa2048/5555666677778888
    created: 2017-12-07  expires: never usage: S
[ultimate] (1). Alice Engineer <[email protected]>
[ultimate] (2)  Alice Engineer <[email protected]>

gpg>

使用 --edit-key 再次进入到菜单模式，你将注意到那个密钥清单有一点小差别。从现在开始，所有的命令都是在这个菜单模式下运行，它用 gpg> 提示符来表示。

首先，我们来选择移到智能卡中的密钥 —— 你可以通过键入 key 1（它表示选择清单中的第一个密钥）来实现：

gpg> key 1

这个输出会有一点细微的差别：

pub  rsa4096/AAAABBBBCCCCDDDD
    created: 2017-12-07  expires: 2019-12-07 usage: C
    trust: ultimate      validity: ultimate
ssb* rsa2048/1111222233334444
    created: 2017-12-07  expires: never usage: E
ssb  rsa2048/5555666677778888
    created: 2017-12-07  expires: never usage: S
[ultimate] (1). Alice Engineer <[email protected]>
[ultimate] (2)  Alice Engineer <[email protected]>

注意与密钥对应的 ssb 行旁边的 * —— 它表示这是当前选定的密钥。它是可切换的，意味着如果你再次输入 key 1，这个 * 将消失，这个密钥将不再被选中。

现在，我们来将密钥移到智能卡中：

gpg> keytocard
Please select where to store the key:
  (2) Encryption key
Your selection? 2

由于它是我们的 [E] 密钥，把它移到加密区中是有很有意义的。当你提交了你的选择之后，将会被提示输入你的 PGP 密钥的保护密码，接下来输入智能卡的管理员 PIN。如果命令没有返回错误，表示你的密钥已经被移到智能卡中了。

重要： 现在再次输入 key 1 去取消选中第一个密钥，并输入 key 2 去选择 [S] 密钥：

gpg> key 1
gpg> key 2
gpg> keytocard
Please select where to store the key:
  (1) Signature key
  (3) Authentication key
Your selection? 1

你可以使用 [S] 密钥同时做签名和验证，但是我们希望确保它在签名区，因此，我们选择 (1)。完成后，如果你的命令没有返回错误，表示操作已成功。

最后，如果你创建了一个 A 密钥，你也可以将它移到智能卡中，但是你需要先取消选中 key 2。完成后，选择 q：

gpg> q
Save changes? (y/N) y

保存变更将把你的子密钥移到智能卡后，把你的家目录中的相应子密钥删除（没有关系，因为我们的备份中还有，如果更换了智能卡，你需要再做一遍）。

验证移动后的密钥

现在，如果你执行一个--list-secret-keys 操作，你将看到一个稍有不同的输出：

$ gpg --list-secret-keys
sec#  rsa4096 2017-12-06 [C] [expires: 2019-12-06]
     111122223333444455556666AAAABBBBCCCCDDDD
uid           [ultimate] Alice Engineer <[email protected]>
uid           [ultimate] Alice Engineer <[email protected]>
ssb>  rsa2048 2017-12-06 [E]
ssb>  rsa2048 2017-12-06 [S]

在 ssb> 的输出中的 > 表示子密钥仅在智能卡上有效。如果你进入到你的密钥目录中，查看目录的内容，你将会看到那个 .key 文件已经被存根替换：

$ cd ~/.gnupg/private-keys-v1.d
$ strings *.key

这个输出将包含一个影子私钥，它表示那个文件仅是个存根，真正的内容在智能卡中。

验证智能卡的功能

验证智能卡能否如期正常运行，你可以通过创建一个签名来验证：

$ echo "Hello world" | gpg --clearsign > /tmp/test.asc
$ gpg --verify /tmp/test.asc

首次运行这个命令时将询问你智能卡的 PIN，在你运行 gpg —verify 之后，它将显示 “Good signature”。

祝贺你，你已经成功将窃取你的开发者数字身份变得更加困难了！

其它常见 GnuPG 操作

下面是使用你的 PGP 密钥需要做的一些常见操作的快速指南。

在下面的所有命令中，[fpr] 表示你的密钥指纹。

挂载主密钥离线存储

下面的一些操作将需要你的主密钥，因此首先需要去挂载你的主密钥离线存储，并告诉 GnuPG 去使用它。首先，找出介质挂载路径，可以通过查看 mount 命令的输出找到它。接着，设置你的 GnuPG 目录为你的介质上备份的目录，并告诉 GnuPG 将那个目录做为它的家目录：

$ export GNUPGHOME=/media/disk/name/gnupg-backup
$ gpg --list-secret-keys

确保你在输出中看到的是 sec 而不是 sec#（这个 # 表示密钥不可用，仍然使用的是惯常的那个 Home 目录）。

更新你惯常使用的那个 GnuPG 工作目录

在你的离线存储上做了任何更改之后，你应该将这些更改同步应用到你惯常使用的工作目录中：

$ gpg --export | gpg --homedir ~/.gnupg --import
$ unset GNUPGHOME

延长密钥过期日期

我们创建的主密钥的默认过期日期是自创建之日起两年后。这样做都是为安全考虑，这样将使淘汰密钥最终从密钥服务器上消失。

延长你的密钥过期日期，从当前日期延长一年，只需要运行如下命令：

$ gpg --quick-set-expire [fpr] 1y

如果为了好记住，你也可以使用一个特定日期（比如，你的生日、1 月 1 日、或加拿大国庆日）：

$ gpg --quick-set-expire [fpr] 2020-07-01

记得将更新后的密钥发送到密钥服务器：

$ gpg --send-key [fpr]

吊销身份

如果你需要吊销一个身份（比如，你换了雇主并且旧的邮件地址不再有效了），你可以使用一行命令搞定：

$ gpg --quick-revoke-uid [fpr] 'Alice Engineer <[email protected]>'

你也可以通过使用 gpg --edit-key [fpr] 在菜单模式下完成同样的事情。

完成后，记得将更新后的密钥发送到密钥服务器上：

$ gpg --send-key [fpr]

下一篇文章中，我们将谈谈 Git 如何支持 PGP 的多级别集成。

通过来自 Linux 基金会和 edX 的免费课程 “Linux 入门”学习更多 Linux 知识。

via: https://www.linux.com/blog/learn/pgp/2018/3/protecting-code-integrity-pgp-part-5-moving-subkeys-hardware-device

作者：KONSTANTIN RYABITSEV 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

假如你在命令行模式下渡过了很长时间，那么你必定使用过或者听说过 BASH 的 反向搜索 功能，在 Bash 中执行反向搜索功能的快捷键是 Ctrl+r。通过使用这个特性，我们可以找到我们执行过的命令而无需再次输入它们。当然，你可以使用上下键来搜索你的 bash 命令记录，但使用 Ctrl+r 快捷键可以让这个搜索过程更简单快速。今天我找寻到了 Bash 历史命令搜索特性 Ctrl+r 的一个替代品，它就是 McFly。McFly 是一个使用 Rust 编程语言写就的简洁工具，自带一个智能的搜索引擎，用来替换默认的 Ctrl+r 这个 Bash 历史命令搜索功能。 McFly 提供的命令建议都是通过一个小巧的 神经网络 来实时排序给出的。

McFly 重新绑定了 Ctrl+r 快捷键，可以从你的 Bash 历史命令中找到所有最近执行过的命令。它通过追溯下面的信息来增强你的 shell 历史命令搜索特性：

• 命令结束状态
• 当你运行命令时的时间戳
• 以及你运行命令的执行目录

它将所有追溯的信息保存在一个 SQLite 数据库中。由于它追溯了命令的历史结束状态，所以你可以很轻易地忽略掉失败的命令。听起来很酷，对吧？

在给出一个命令建议时，它将考虑如下因素：

• 你在哪个目录执行的这个命令，将来你很有可能在相同的目录重复这个命令
• 在你执行这个命令之前，执行过什么命令
• 你执行这个命令有多频繁
• 你最后执行该命令的时间
• 你是否在 McFly 中选择过这个命令
• 以及这个命令的历史结束状态。因为你很有可能不会去执行失败过的命令，对吧？

McFly 维护着你的默认 Bash 历史文件，所以你可以随时停止使用它。McFly 也并不只服务于 BASH， 它也可以扩展到其他 shell 程序。

安装 McFly

在 Linux 中，McFly 可以使用 Linuxbrew 来安装。如若你还没有安装过 Linuxbrew，那么你可以参考下面的这个链接。（LCTT 译注：从其 GitHub 主页了解到也可以下载其二进制来使用。）

• Linuxbrew：一个用于 Linux 和 Mac OS X 的通用包管理

一旦安装好了 Linuxbrew，运行下面的命令来安装 McFly：

$ brew tap cantino/mcfly https://github.com/cantino/mcfly

$ brew install mcfly

在安装完成后，你将看到下面的输出：

==> Installing mcfly from cantino/mcfly
==> Downloading https://github.com/cantino/mcfly/releases/download/v0.2.5/mcfly-v0
==> Downloading from https://github-production-release-asset-2e65be.s3.amazonaws.c
######################################################################## 100.0%
==> ONE MORE STEP! Edit ~/.bashrc and add the following:

if [ -f $(brew --prefix)/opt/mcfly/mcfly.bash ]; then
. $(brew --prefix)/opt/mcfly/mcfly.bash
fi
/home/linuxbrew/.linuxbrew/Cellar/mcfly/v0.2.5: 4 files, 3.5MB, built in 33 seconds

正如你上面看到的那样，在使用 McFly 之前我们需要再做一些配置。

将下面几行添加到你的 ~/.bashrc 文件中：

if [ -f $(brew --prefix)/opt/mcfly/mcfly.bash ]; then
. $(brew --prefix)/opt/mcfly/mcfly.bash
fi

最后，再运行下面的命令来让更改生效。

$ source ~/.bashrc

当你第一次执行上面的这个命令时，你的 BASH 历史将会被导入 McFly 的数据库。依据你的 bash 历史文件的大小，这个过程将花费一些时间。一旦导入完成，你讲看到下面的提示信息。

McFly: Importing Bash history for the first time. This may take a minute or two...done.

现在你就可以使用 McFly 了。

使用方法

要在你的命令历史中执行搜索，只需要键入 mcfly search 再加上命令名的一部分，最后敲击回车键即可。Mcfly 将会基于你刚才键入的搜索查询语句给出命令建议。

$ mcfly search <part-of-the-command>

例如我键入了下面的命令：

$ mcfly search mk

下面展示的是我 Ubuntu 机子上的示例输出：

如你所见，我已经使用过 mkdir 这个命令两次。假如你想从这些命令建议中执行其中之一，只需使用上下键来选择它，然后敲击回车键来执行它就可以了。假如你想编辑其中一个命令，则需要先选择它，然后敲 TAB 键将这个命令放置到终端中，最后在运行它之前更改它就行了。要从历史中删除已经选择的命令，按 F2 即可。

或者，输入下面的命令来打开历史搜索，然后输入任意一个命令或者命令的一部分来从你的历史命令中查看它提供的建议。

$ mcfly search

在你输入的同时， McFly 将会展示命令的提示。

下面是一个介绍 McFly 的简短演示视频：

你还可以使用下面的命令来查看帮助：

$ mcfly --help

移除 McFly

不喜欢 McFly，没问题！可以使用下面的命令来移除它：

$ brew uninstall mcfly

$ brew untap cantino/mcfly

最后，移除先前添加到 ~/.bashrc 文件中的几行命令。

好了，这些就是所有了，更多精彩内容敬请期待，请保存关注！

干杯！

via: https://www.ostechnix.com/mcfly-a-replacement-to-ctrlr-bash-history-search-feature/

作者：SK 选题：lujun9972 译者：FSSlc 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出