你可能会根据你的需要执行以下命令。我会在这里列举一些你会用到这些命令的例子。

当你添加一个网卡或者从一个物理网卡创建出一个虚拟网卡的时候，你可能需要使用这些命令将新网卡启用起来。另外，如果你对网卡做了某些修改或者网卡本身没有启用，那么你也需要使用以下的某个命令将网卡启用起来。

启用、禁用网卡有很多种方法。在这篇文章里，我们会介绍我们使用过的最好的 5 种方法。

启用禁用网卡可以使用以下 5 个方法来完成：

• ifconfig 命令：用于配置网卡。它可以提供网卡的很多信息。
• ifdown/up 命令：ifdown 命令用于禁用网卡，ifup 命令用于启用网卡。
• ip 命令：用于管理网卡，用于替代老旧的、不推荐使用的 ifconfig 命令。它和 ifconfig 命令很相似，但是提供了很多 ifconfig 命令所不具有的强大的特性。
• nmcli 命令：是一个控制 NetworkManager 并报告网络状态的命令行工具。
• nmtui 命令：是一个与 NetworkManager 交互的、基于 curses 图形库的终端 UI 应用。

以下显示的是我的 Linux 系统中可用网卡的信息。

# ip a
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp0s3:  mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:c2:e4:e8 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.4/24 brd 192.168.1.255 scope global dynamic noprefixroute enp0s3
       valid_lft 86049sec preferred_lft 86049sec
    inet6 fe80::3899:270f:ae38:b433/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
3: enp0s8:  mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:30:5d:52 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute enp0s8
       valid_lft 86049sec preferred_lft 86049sec
    inet6 fe80::32b7:8727:bdf2:2f3/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

1、如何使用 ifconfig 命令启用禁用网卡？

ifconfig 命令用于配置网卡。

在系统启动过程中如果需要启用网卡，调用的命令就是 ifconfig。ifconfig 可以提供很多网卡的信息。不管我们想修改网卡的什么配置，都可以使用该命令。

ifconfig 的常用语法：

# ifconfig [NIC_NAME] Down/Up

执行以下命令禁用 enp0s3 网卡。注意，这里你需要输入你自己的网卡名字。

# ifconfig enp0s3 down

从以下输出结果可以看到网卡已经被禁用了。

# ip a | grep -A 1 "enp0s3:"
2: enp0s3:  mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether 08:00:27:c2:e4:e8 brd ff:ff:ff:ff:ff:ff

执行以下命令启用 enp0s3 网卡。

# ifconfig enp0s3 up

从以下输出结果可以看到网卡已经启用了。

# ip a | grep -A 5 "enp0s3:"
2: enp0s3:  mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:c2:e4:e8 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.4/24 brd 192.168.1.255 scope global dynamic noprefixroute enp0s3
       valid_lft 86294sec preferred_lft 86294sec
    inet6 fe80::3899:270f:ae38:b433/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

2、如何使用 ifdown/up 命令启用禁用网卡？

ifdown 命令用于禁用网卡，ifup 命令用于启用网卡。

注意：这两个命令不支持以 enpXXX 命名的新的网络设备。

ifdown/ifup 的常用语法：

# ifdown [NIC_NAME]
# ifup [NIC_NAME]

执行以下命令禁用 eth1 网卡。

# ifdown eth1

从以下输出结果可以看到网卡已经被禁用了。

# ip a | grep -A 3 "eth1:"
3: eth1:  mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    link/ether 08:00:27:d5:a0:18 brd ff:ff:ff:ff:ff:ff

执行以下命令启用 eth1 网卡。

# ifup eth1

从以下输出结果可以看到网卡已经启用了。

# ip a | grep -A 5 "eth1:"
3: eth1:  mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 08:00:27:d5:a0:18 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.7/24 brd 192.168.1.255 scope global eth1
    inet6 fe80::a00:27ff:fed5:a018/64 scope link tentative dadfailed
       valid_lft forever preferred_lft forever

ifup 和 ifdown 不支持以 enpXXX 命名的网卡。当执行该命令时得到的结果如下：

# ifdown enp0s8
Unknown interface enp0s8

3、如何使用 ip 命令启用禁用网卡？

ip 命令用于管理网卡，用于替代老旧的、不推荐使用的 ifconfig 命令。

它和 ifconfig 命令很相似，但是提供了很多 ifconfig 命令不具有的强大的特性。

ip 的常用语法：

# ip link set  Down/Up

执行以下命令禁用 enp0s3 网卡。

# ip link set enp0s3 down

从以下输出结果可以看到网卡已经被禁用了。

# ip a | grep -A 1 "enp0s3:"
2: enp0s3:  mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether 08:00:27:c2:e4:e8 brd ff:ff:ff:ff:ff:ff

执行以下命令启用 enp0s3 网卡。

# ip link set enp0s3 up

从以下输出结果可以看到网卡已经启用了。

# ip a | grep -A 5 "enp0s3:"
2: enp0s3:  mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:c2:e4:e8 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.4/24 brd 192.168.1.255 scope global dynamic noprefixroute enp0s3
       valid_lft 86294sec preferred_lft 86294sec
    inet6 fe80::3899:270f:ae38:b433/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

4、如何使用 nmcli 命令启用禁用网卡？

nmcli 是一个控制 NetworkManager 并报告网络状态的命令行工具。

nmcli 可以用做 nm-applet 或者其他图形化客户端的替代品。它可以用于展示、创建、修改、删除、启用和停用网络连接。除此之后，它还可以用来管理和展示网络设备状态。

nmcli 命令大部分情况下都是使用“配置名称”工作而不是“设备名称”。所以，执行以下命令，获取网卡对应的配置名称。（LCTT 译注：在使用 nmtui 或者 nmcli 管理网络连接的时候，可以为网络连接配置一个名称，就是这里提到的 配置名称 Profile name `）

# nmcli con show
NAME                UUID                                  TYPE      DEVICE
Wired connection 1  3d5afa0a-419a-3d1a-93e6-889ce9c6a18c  ethernet  enp0s3
Wired connection 2  a22154b7-4cc4-3756-9d8d-da5a4318e146  ethernet  enp0s8

nmcli 的常用语法：

# nmcli con  Down/Up

执行以下命令禁用 enp0s3 网卡。在禁用网卡的时候，你需要使用配置名称而不是设备名称。

# nmcli con down 'Wired connection 1'
Connection 'Wired connection 1' successfully deactivated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/6)

从以下输出结果可以看到网卡已经禁用了。

# nmcli dev status
DEVICE  TYPE      STATE         CONNECTION
enp0s8  ethernet  connected     Wired connection 2
enp0s3  ethernet  disconnected  --
lo      loopback  unmanaged     --

执行以下命令启用 enp0s3 网卡。同样的，这里你需要使用配置名称而不是设备名称。

# nmcli con up 'Wired connection 1'
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/7)

从以下输出结果可以看到网卡已经启用了。

# nmcli dev status
DEVICE  TYPE      STATE      CONNECTION
enp0s8  ethernet  connected  Wired connection 2
enp0s3  ethernet  connected  Wired connection 1
lo      loopback  unmanaged  --

5、如何使用 nmtui 命令启用禁用网卡？

nmtui 是一个与 NetworkManager 交互的、基于 curses 图形库的终端 UI 应用。

在启用 nmtui 的时候，如果第一个参数没有特别指定，它会引导用户选择对应的操作去执行。

执行以下命令打开 mntui 界面。选择 “Active a connection” 然后点击 “OK”。

# nmtui

选择你要禁用的网卡，然后点击 “Deactivate” 按钮，就可以将网卡禁用。

如果要启用网卡，使用上述同样的步骤即可。

via: https://www.2daygeek.com/enable-disable-up-down-nic-network-interface-port-linux-using-ifconfig-ifdown-ifup-ip-nmcli-nmtui/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：bodhix 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Android 模拟器允许我们直接从 Linux 系统上运行我们最喜欢的 Android 应用程序或游戏。对于 Linux 来说，有很多的这样的 Android 模拟器，在过去我们介绍过几个此类应用程序。

你可以通过导航到下面的网址回顾它们。

• 如何在 Linux 上安装官方 Android 模拟器 (SDK)
• 如何在 Linux 上安装 GenyMotion (Android 模拟器)

今天我们将讨论 Anbox Android 模拟器。

Anbox 是什么？

Anbox 是 “Android in a box” 的缩写。Anbox 是一个基于容器的方法，可以在普通的 GNU/Linux 系统上启动完整的 Android 系统。

它是现代化的新模拟器之一。

Anbox 可以让你在 Linux 系统上运行 Android，而没有虚拟化的迟钝，因为核心的 Android 操作系统已经使用 Linux 命名空间（LXE）放置到容器中了。

Android 容器不能直接访问到任何硬件，所有硬件的访问都是通过在主机上的守护进程进行的。

每个应用程序将在一个单独窗口打开，就像其它本地系统应用程序一样，并且它可以显示在启动器中。

如何在 Linux 中安装 Anbox ？

Anbox 也可作为 snap 软件包安装，请确保你已经在你的系统上启用了 snap 支持。

Anbox 软件包最近被添加到 Ubuntu 18.10 (Cosmic) 和 Debian 10 (Buster) 软件仓库。如果你正在运行这些版本，那么你可以轻松地在官方发行版的软件包管理器的帮助下安装。否则可以用 snap 软件包安装。

为使 Anbox 工作，确保需要的内核模块已经安装在你的系统中。对于基于 Ubuntu 的用户，使用下面的 PPA 来安装它。

$ sudo add-apt-repository ppa:morphis/anbox-support
$ sudo apt update
$ sudo apt install linux-headers-generic anbox-modules-dkms

在你安装 anbox-modules-dkms 软件包后，你必须手动重新加载内核模块，或需要系统重新启动。

$ sudo modprobe ashmem_linux
$ sudo modprobe binder_linux

对于 Debian/Ubuntu 系统，使用 APT-GET 命令 或 APT 命令 来安装 anbox。

$ sudo apt install anbox

对于基于 Arch Linux 的系统，我们总是习惯从 AUR 储存库中获取软件包。所以，使用任一个的 AUR 助手 来安装它。我喜欢使用 Yay 工具。

$ yuk -S anbox-git

否则，你可以通过导航到下面的文章来 在 Linux 中安装和配置 snap。如果你已经在你的系统上安装 snap，其它的步骤可以忽略。

$ sudo snap install --devmode --beta anbox

Anbox 的必要条件

默认情况下，Anbox 并没有带有 Google Play Store。因此，我们需要手动下载每个应用程序（APK），并使用 Android 调试桥（ADB）安装它。

ADB 工具在大多数的发行版的软件仓库是轻易可获得的，我们可以容易地安装它。

对于 Debian/Ubuntu 系统，使用 APT-GET 命令 或 APT 命令 来安装 ADB。

$ sudo apt install android-tools-adb

对于 Fedora 系统，使用 DNF 命令 来安装 ADB。

$ sudo dnf install android-tools

对于基于 Arch Linux 的系统，使用 Pacman 命令 来安装 ADB。

$ sudo pacman -S android-tools

对于 openSUSE Leap 系统，使用 Zypper 命令 来安装 ADB。

$ sudo zypper install android-tools

在哪里下载 Android 应用程序？

既然我们不能使用 Play Store ，你就得从信得过的网站来下载 APK 软件包，像 APKMirror ，然后手动安装它。

如何启动 Anbox?

Anbox 可以从 Dash 启动。这是默认的 Anbox 外貌。

如何把应用程序推到 Anbox ？

像我先前所说，我们需要手动安装它。为测试目的，我们将安装 YouTube 和 Firefox 应用程序。

首先，你需要启动 ADB 服务。为做到这样，运行下面的命令。

$ adb devices

我们已经下载 YouTube 和 Firefox 应用程序，现在我们将安装。

语法格式：

$ adb install Name-Of-Your-Application.apk

安装 YouTube 和 Firefox 应用程序：

$ adb install 'com.google.android.youtube_14.13.54-1413542800_minAPI19(x86_64)(nodpi)_apkmirror.com.apk'
Success

$ adb install 'org.mozilla.focus_9.0-330191219_minAPI21(x86)(nodpi)_apkmirror.com.apk'
Success

我已经在我的 Anbox 中安装 YouTube 和 Firefox。查看下面的截图。

像我们在文章的开始所说，它将以新的标签页打开任何的应用程序。在这里，我们将打开 Firefox ，并访问 2daygeek.com 网站。

via: https://www.2daygeek.com/anbox-best-android-emulator-for-linux/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：robsean 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

由于 Mozilla 方面的一个失误，导致许多 Firefox 用户在上周末遇到了附加组件无法使用的 bug 。后来该公司发布了更新，才让浏览器恢复正常。对于此事，这家机构现已发表正式道歉，详细解释发生了怎样的事情，且承诺会删除期间为了推出修复程序而收集的私人数据。据悉，为了修复 bug，Firefox 初期希望用户启用遥测选项。因为在默认的情况下，其出于隐私考量而禁用了此类数据收集选项。

现在，我们已经知道附加组件遇到的故障，源自安全证书方面的 bug 。在 Mozilla Hacks 的一篇博客文章中，首席技术官 Eric Rescorla 已经给出了详细的解释。

Joe Hidebrand 在另一篇文章中写到：

我们在努力为 Firefox 带来极棒的体验，但可惜上周遭遇了失败，对此我们深表歉意。

过去几年，我们花费了很多时间，来思考如何将附加组件（Add-ons）变得更加安全。然而鉴于附加组件的功能是如此的强大，我们也必须努力构建和部署一套系统，以免用户遭受恶意附加组件的侵扰。

至于上周的问题，其实源自防护系统中的一项错误部署—— 保险模式导致附加组件被禁用了。

尽管我们认为这套机制的基本设计原则是合理的，但仍会努力改进该系统，以防将来再次发生类似的问题。

此外，Hildebrand 还向关注 Firefox 最初“紧急修复”时段收集私人数据一事的网友们保证：

为尽快解决这个问题，我们曾呼吁用户开启遥测选项，以获取附加信息。

不过在 5 月 8 日 23:28 分的 Firefox 附加组件博客上，我们宣布已经不再需要开启遥测选项，所以请大家根据自己的真实意愿来选择是否退出。

为尽可能地尊重用户，Mozilla 决定删除 5 月 4 日 11:00 到 5 月 11 日 11:00 期间手机的所有用户的遥测与研究数据。

最后，Mozilla 表示将会披露与本次事件有关的更多细节，感兴趣的朋友可以留意后续发布的报告。

更多资讯

涉及 2.75 亿条印度公民信息的 MongoDB 数据库被曝光和公开索引

援引外媒Security Discovery报道，他们于5月1日发现了一个未经保护和公开索引的MongoDB数据库，其中包括了涉及印度公民的个人身份信息的275,265,298条记录。这些信息中包括姓名、电子邮件地址、性别、教育水平和专业领域、专业技能和职称、手机号码、就业经历和当前雇主、出生日期以及当前的薪资水平。

来源： cnBeta.COM

详情： http://www.dbsec.cn/zx/20190511-5.html

研究人员披露黑客入侵了三家美国杀毒软件公司

Advanced Intelligence (AdvIntel) 公司的研究人员透露，名叫 Fxmsp 的组织正在积极销售三家美国杀毒软件公司的源代码和网络访问。它提供了样本作为证据证明其声明是有效的。AdvIntel 的研究总监 Yelisey Boguslavskiy 称他们已经通知了相关公司和美国执法机构。在安全社区 Fxmsp 已经是名声在外，该组织在今年三月透露它能提供美国三家顶级杀毒软件公司的独有信息。它在地下黑客市场销售这些公司软件开发的源代码和网络访问，开价超过 30 万美元。

来源： solidot.org

详情： http://www.dbsec.cn/zx/20190511-3.html

恶意差评案件多发 侵蚀网络营商环境亟待立法规制

传统的网络评价机制亟待改进，以优化网络营商环境。近日在杭州互联网法院落槌的一起民事案件，将这一问题再次提上议事日程。在这起案件中，7 名 90 后组成的差评师团伙被判决赔偿阿里经济损失 8 万余元、合理支出 4 万余元。而这已经是他们因同一件事情所受到的第二次惩罚。

此前，深圳市龙华区法院以敲诈勒索罪对他们分别判处 7 个月至 2 年不等的刑期。这意味着因为恶意差评，这一团伙遭到刑事民事的“双杀”。

来源： 法制日报

详情： http://www.dbsec.cn/zx/20190511-2.html

美国巴尔的摩市政网络遭勒索软件攻击

美国巴尔的摩市政网络 5 月 7 日遭勒索软件攻击后下线。攻击没有影响警察、消防和紧急反应系统，但市政府的其它部门都在某种程度上受到冲击。市政府的首席信息官 Frank Johnson 在新闻发布会上证实，攻击他们的勒索软件是 RobbinHood。

逆向工程 RobbinHood 样本的安全研究人员 Vitali Kremez 称，恶意程序在一个系统只针对文件，不会通过网络共享传播。这意味着恶意程序是逐个的部署到机器上的，攻击者需要在部署前已经获得了网络的管理级别的访问权限。

市长 Bernard “Jack” Young 表示， IT 部门有备份，但无法简单的替换备份。他说他不希望人们认为他们没有备份。

来源：solidot.org

详情： http://www.dbsec.cn/zx/20190511-1.html

Linux 操作系统非常适合进行独特的自定义和调整，以使你的计算机更好地为你工作。例如，i3 窗口管理器 就让用户认识到了构成现代 Linux 桌面的各种组件和部分。

Fedora 上有两个音乐爱好者会感兴趣的新软件包：mpris-scrobbler 和 playerctl。mpris-scrobbler 可以在 Last.fm 和/或 ListenBrainz 等音乐跟踪服务上跟踪你的音乐收听历史。 playerctl 是一个命令行的音乐播放器的控制器。

mpris-scrobbler：记录你的音乐收听趋势

mpris-scrobbler 是一个命令行应用程序，用于将音乐的播放历史记录提交给 Last.fm、Libre.fm 或 ListenBrainz 等服务。它监听 MPRIS D-Bus 接口 以检测正在播放的内容。它可以连接几个不同的音乐客户端，如 spotify 客户端、vlc、audacious、bmp、cmus 等。

安装和配置 mpris-scrobbler

mpris-scrobbler 在 Fedora 28 或更高版本以及 EPEL 7 存储库中可用。在终端中运行以下命令进行安装：

sudo dnf install mpris-scrobbler

安装完成后，使用 systemctl 启动并启用该服务。以下命令启动 mpris-scrobbler 并始终在系统重启后启动它：

systemctl --user enable --now mpris-scrobbler.service

提交播放信息给 ListenBrainz

这里将介绍如何将 mpris-scrobbler 与 ListenBrainz 帐户相关联。要使用 Last.fm 或 Libre.fm，请参阅其上游文档。

要将播放信息提交到 ListenBrainz 服务器，你需要有一个 ListenBrainz API 令牌。如果你有帐户，请从个人资料设置页面中获取该令牌。如果有了令牌，请运行此命令以使用 ListenBrainz API 令牌进行身份验证：

$ mpris-scrobbler-signon token listenbrainz
Token for listenbrainz.org:

最后，通过在 Fedora 上用你的音乐客户端播放一首歌来测试它。你播放的歌曲会出现在 ListenBrainz 个人资料页中。

playerctl 可以控制音乐回放

playerctl 是一个命令行工具，它可以控制任何实现了 MPRIS D-Bus 接口的音乐播放器。你可以轻松地将其绑定到键盘快捷键或媒体热键上。以下是如何在命令行中安装、使用它，以及为 i3 窗口管理器创建键绑定的方法。

安装和使用 playerctl

playerctl 在 Fedora 28 或更高版本中可用。在终端运行如下命令以安装：

sudo dnf install playerctl

现在已安装好，你可以立即使用它。在 Fedora 上打开你的音乐播放器。接下来，尝试用以下命令来控制终端的播放。

播放或暂停当前播放的曲目：

playerctl play-pause

如果你想跳过下一首曲目：

playerctl next

列出所有正在运行的播放器：

playerctl -l

仅使用 spotify 客户端播放或暂停当前播放的内容：

playerctl -p spotify play-pause

在 i3wm 中创建 playerctl 键绑定

你是否使用窗口管理器，比如 i3 窗口管理器？尝试使用 playerctl 进行键绑定。你可以将不同的命令绑定到不同的快捷键，例如键盘上的播放/暂停按钮。参照下面的 i3wm 配置摘录 看看如何做：

# Media player controls
bindsym XF86AudioPlay exec "playerctl play-pause"
bindsym XF86AudioNext exec "playerctl next"
bindsym XF86AudioPrev exec "playerctl previous"

体验一下音乐播放器

想了解关于在 Fedora 上定制音乐聆听体验的更多信息吗？Fedora Magazine 为你提供服务。看看 Fedora 上这五个很酷的音乐播放器。

也可以通过使用 MusicBrainz Picard 对音乐库进行排序和组织，为你的混乱的音乐库带来秩序。

via: https://fedoramagazine.org/2-new-apps-for-music-tweakers-on-fedora-workstation/

作者：Justin W. Flory 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

学习如何安装和配置 Designate，这是一个 OpenStack 的多租户 DNS 即服务（DNSaaS）。

Designate 是一个多租户的 DNS 即服务，它包括一个用于域名和记录管理的 REST API 和集成了 Neutron 的框架，并支持 Bind9。

DNSaaS 可以提供：

• 一个管理区域和记录的干净利落的 REST API
• 自动生成记录（集成 OpenStack）
• 支持多个授权名字服务器
• 可以托管多个项目/组织

这篇文章解释了如何在 CentOS 和 RHEL 上手动安装和配置 Designate 的最新版本，但是同样的配置也可以用在其它发行版上。

在 OpenStack 上安装 Designate

在我的 GitHub 仓库里，我已经放了 Ansible 的 bind 和 Designate 角色的示范设置。

这个设置假定 bing 服务是安装 OpenStack 控制器节点之外（即使你可以在本地安装 bind）。

1、在 OpenStack 控制节点上安装 Designate 和 bind 软件包：

# yum install openstack-designate-* bind bind-utils -y

2、创建 Designate 数据库和用户：

MariaDB [(none)]> CREATE DATABASE designate CHARACTER SET utf8 COLLATE utf8_general_ci;
       
MariaDB [(none)]> GRANT ALL PRIVILEGES ON designate.* TO \
'designate'@'localhost' IDENTIFIED BY 'rhlab123';

MariaDB [(none)]> GRANT ALL PRIVILEGES ON designate.* TO 'designate'@'%' \
IDENTIFIED BY 'rhlab123';

注意：bind 包必须安装在控制节点之外才能使 远程名字服务控制 Remote Name Daemon Control （RNDC）功能正常。

配置 bind（DNS 服务器）

1、生成 RNDC 文件：

rndc-confgen -a -k designate -c /etc/rndc.key -r /dev/urandom

cat <<EOF> etcrndc.conf
include "/etc/rndc.key";
options {
  default-key "designate";
  default-server {{ DNS_SERVER_IP }};
  default-port 953;
};
EOF

2、将下列配置添加到 named.conf：

include "/etc/rndc.key"; 
controls {
  inet {{ DNS_SERVER_IP }} allow { localhost;{{ CONTROLLER_SERVER_IP }}; } keys { "designate"; };
};

在 option 节中，添加：

options {
  ...
  allow-new-zones yes;
  request-ixfr no;
  listen-on port 53 { any; };
  recursion no;
  allow-query { 127.0.0.1; {{ CONTROLLER_SERVER_IP }}; };
};

添加正确的权限：

chown named:named /etc/rndc.key
chown named:named /etc/rndc.conf
chmod 600 /etc/rndc.key
chown -v root:named /etc/named.conf
chmod g+w /var/named

# systemctl restart named
# setsebool named_write_master_zones 1

3、把 rndc.key 和 rndc.conf 推入 OpenStack 控制节点：

# scp -r /etc/rndc* {{ CONTROLLER_SERVER_IP }}:/etc/

创建 OpenStack Designate 服务和端点

输入：

# openstack user create --domain default --password-prompt designate
# openstack role add --project services --user designate admin
# openstack service create --name designate --description "DNS" dns

# openstack endpoint create --region RegionOne dns public http://{{ CONTROLLER_SERVER_IP }}:9001/
# openstack endpoint create --region RegionOne dns internal http://{{ CONTROLLER_SERVER_IP }}:9001/  
# openstack endpoint create --region RegionOne dns admin http://{{ CONTROLLER_SERVER_IP }}:9001/

配置 Designate 服务

1、编辑 /etc/designate/designate.conf：

在 [service:api] 节配置 auth_strategy：

[service:api]
listen = 0.0.0.0:9001
auth_strategy = keystone
api_base_uri = http://{{ CONTROLLER_SERVER_IP }}:9001/
enable_api_v2 = True
enabled_extensions_v2 = quotas, reports

在 [keystone_authtoken] 节配置下列选项：

[keystone_authtoken]
auth_type = password
username = designate
password = rhlab123
project_name = service
project_domain_name = Default
user_domain_name = Default
www_authenticate_uri = http://{{ CONTROLLER_SERVER_IP }}:5000/
auth_url = http://{{ CONTROLLER_SERVER_IP }}:5000/ 

在 [service:worker] 节，启用 worker 模型：

enabled = True
notify = True

在 [storage:sqlalchemy] 节，配置数据库访问：

[storage:sqlalchemy]
connection = mysql+pymysql://designate:rhlab123@{{ CONTROLLER_SERVER_IP }}/designate

填充 Designate 数据库：

# su -s /bin/sh -c "designate-manage database sync" designate

2、 创建 Designate 的 pools.yaml 文件（包含 target 和 bind 细节）：

编辑 /etc/designate/pools.yaml：

- name: default
  # The name is immutable. There will be no option to change the name after
  # creation and the only way will to change it will be to delete it
  # (and all zones associated with it) and recreate it.
  description: Default Pool

  attributes: {}

  # List out the NS records for zones hosted within this pool
  # This should be a record that is created outside of designate, that
  # points to the public IP of the controller node.
  ns_records:
    - hostname: {{Controller_FQDN}}. # Thisis mDNS
      priority: 1

  # List out the nameservers for this pool. These are the actual BIND servers.
  # We use these to verify changes have propagated to all nameservers.
  nameservers:
    - host: {{ DNS_SERVER_IP }}
      port: 53

  # List out the targets for this pool. For BIND there will be one
  # entry for each BIND server, as we have to run rndc command on each server
  targets:
    - type: bind9
      description: BIND9 Server 1

      # List out the designate-mdns servers from which BIND servers should
      # request zone transfers (AXFRs) from.
      # This should be the IP of the controller node.
      # If you have multiple controllers you can add multiple masters
      # by running designate-mdns on them, and adding them here.
      masters:
        - host: {{ CONTROLLER_SERVER_IP }}
          port: 5354

      # BIND Configuration options
      options:
        host: {{ DNS_SERVER_IP }}
        port: 53
        rndc_host: {{ DNS_SERVER_IP }}
        rndc_port: 953
        rndc_key_file: /etc/rndc.key
        rndc_config_file: /etc/rndc.conf

填充 Designate 池：

su -s /bin/sh -c "designate-manage pool update" designate

3、启动 Designate 中心和 API 服务：

systemctl enable --now designate-central designate-api

4、验证 Designate 服务运行：

# openstack dns service list

+--------------+--------+-------+--------------+
| service_name | status | stats | capabilities |
+--------------+--------+-------+--------------+
| central      | UP     | -     | -            |
| api          | UP     | -     | -            |
| mdns         | UP     | -     | -            |
| worker       | UP     | -     | -            |
| producer     | UP     | -     | -            |
+--------------+--------+-------+--------------+

用外部 DNS 配置 OpenStack Neutron

1、为 Designate 服务配置 iptables：

# iptables -I INPUT -p tcp -m multiport --dports 9001 -m comment --comment "designate incoming" -j ACCEPT
       
# iptables -I INPUT -p tcp -m multiport --dports 5354 -m comment --comment "Designate mdns incoming" -j ACCEPT
       
# iptables -I INPUT -p tcp -m multiport --dports 53 -m comment --comment "bind incoming" -j ACCEPT
        
# iptables -I INPUT -p udp -m multiport --dports 53 -m comment --comment "bind/powerdns incoming" -j ACCEPT
       
# iptables -I INPUT -p tcp -m multiport --dports 953 -m comment --comment "rndc incoming - bind only" -j ACCEPT
       
# service iptables save; service iptables restart
# setsebool named_write_master_zones 1

2、 编辑 /etc/neutron/neutron.conf 的 [default] 节：

external_dns_driver = designate

3、 在 /etc/neutron/neutron.conf 中添加 [designate] 节：

[designate]
url = http://{{ CONTROLLER_SERVER_IP }}:9001/v2 ## This end point of designate
auth_type = password
auth_url = http://{{ CONTROLLER_SERVER_IP }}:5000
username = designate
password = rhlab123
project_name = services
project_domain_name = Default
user_domain_name = Default
allow_reverse_dns_lookup = True
ipv4_ptr_zone_prefix_size = 24
ipv6_ptr_zone_prefix_size = 116 

4、编辑 neutron.conf 的 dns_domain：

dns_domain = rhlab.dev.

重启：

# systemctl restart neutron-*

5、在 /etc/neutron/plugins/ml2/ml2_conf.ini 中的组成层 2（ML2）中添加 dns：

extension_drivers=port_security,qos,dns

6、在 Designate 中添加区域：

# openstack zone create –[email protected] rhlab.dev.

在 rhlab.dev 区域中添加记录：

# openstack recordset create --record '192.168.1.230' --type A rhlab.dev. Test

Designate 现在就安装和配置好了。

via: https://opensource.com/article/19/4/getting-started-openstack-designate

作者：Amjad Yaseen 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

美国科技媒体报道称，一名信息安全研究员近期发现，三星工程师使用的一个开发平台泄露了多个内部项目，包括三星 SmartThings 敏感的源代码、证书和密钥。三星数十个自主编码项目出现在旗下 Vandev Lab 的 GitLab 实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为“公开”，同时没有受到密码的保护，因此任何人都可以查看项目，获取并下载源代码。

三星回应称，其中一些文件是用于测试的，但研究员对此提出质疑。他表示，在 GitLab 代码仓库中发现的源代码与 4 月 10 日 在 Google Play 上发布的 Android 应用包含的代码相同。这款应用随后又有过升级，到目前为止的安装量已经超过 1 亿多次。

研究员说：“我获得了一名用户的私有令牌，该用户可以完全访问 GitLab 上的所有 135 个项目。”因此，他可以使用该员工的帐号去修改代码。

研究员还提供了多张屏幕截图和视频作为证据。泄露的 GitLab 实例中还包括三星 SmartThings 的 iOS 和 Android 应用的私有证书。

来源：新浪科技

更多资讯

“手机墙”4个月“刷单”骗走1200余万元 - “流量造假”乱象何时休？

用 2000 部手机排成几面“手机墙”，每部手机同时操作自动下载 App、“刷”高注册量后骗取客户推广费……记者日前从北京市公安局海淀分局获悉，按照公安部“净网 2019”专项行动部署，北京警方在广东警方的配合下打掉一个利用计算机软件控制大量手机虚拟下载安装App产品骗取推广费的犯罪团伙，App刷量问题再度引发关注。

来源： 新华社

详情： http://t.cn/EoEvZ2K

调查显示美国人对网络安全过于自信

一项来自 webroot 的新研究调查了 1 万名美国人（每个州 200 人）的网络安全习惯，发现 88% 的人认为他们采取了正确的措施来保护自己免受网络攻击。然而，只有 10% 的受访者在网络安全测试中得分达到 90% 或更高，平均只有 60%。

来源： cnBeta.COM

详情： http://t.cn/EoEvLRj

曾被黑客攻入 亚马逊大量商户账户面临危险

最新文件显示，去年 11 月亚马逊要求英国某法院批准搜查巴克莱银行和万事达卡旗下 Prepa Technologies 的相关账户信息。亚马逊相信，自己正受到大规模欺诈攻击，身份不明的黑客去年六个月从英国亚马逊卖家账户窃取资金。

来源： 华尔街见闻

详情： http://t.cn/EoEvfrx

（信息来源于网络，安华金和搜集整理）