Linux 爱好者们分享了他们犯下的一些最大错误。

终身学习是明智的 —— 它可以让你的思维敏捷，让你在就业市场上更具竞争力。但是有些技能比其他技能更难学，尤其是那些小菜鸟错误，当你尝试修复它们时可能会花费你很多时间，给你带来很大困扰。

以学习 Linux 为例。如果你习惯于在 Windows 或 MacOS 图形界面中工作，那么转移到 Linux，要将不熟悉的命令输入到终端中，可能会有很大的学习曲线。但是，其回报是值得的，因为已经有数以百万计的人们已经证明了这一点。

也就是说，这趟学习之旅并不是一帆风顺的。我们让一些 Linux 爱好者回想了一下他们刚开始使用 Linux 的时候，并告诉我们他们犯下的最大错误。

“不要进入[任何类型的命令行界面（CLI）工作]时就期望命令会以合理或一致的方式工作，因为这可能会导致你感到挫折。这不是因为设计选择不当 —— 虽然当你在键盘上敲击时就像在敲在你的脑袋上一样 —— 而是反映了这些系统是历经了几代的软件和操作系统的发展而陆续添加完成的事实。顺其自然，写下或记住你需要的命令，并且（尽量不要）在事情不是你所期望的时感到沮丧。” —— Gina Likins

“尽可能简单地复制和粘贴命令以使事情顺利进行，首先阅读命令，至少对将要执行的操作有一个大致的了解，特别是如果有管道命令时，如果有多个管道更要特别注意。有很多破坏性的命令看起来无害 —— 直到你意识到它们能做什么（例如 rm、dd），而你不会想要意外破坏什么东西（别问我怎么知道）。” —— Katie McLaughlin

“在我的 Linux 之旅的早期，我并不知道我所处在文件系统中的位置的重要性。我正在删除一些我认为是我的主目录的文件，我输入了 sudo rm -rf *，然后就删除了我系统上的所有启动文件。现在，我经常使用 pwd 来确保我在发出这样的命令之前确认我在哪里。幸运的是，我能够使用 USB 驱动器启动被搞坏的笔记本电脑并恢复我的文件。” —— Don Watkins

“不要因为你认为‘权限很难理解’而你希望应用程序可以访问某些内容时就将整个文件系统的权限重置为 777。”—— Matthew Helmke

“我从我的系统中删除一个软件包，而我没有检查它依赖的其他软件包。我只是让它删除它想删除要的东西，最终导致我的一些重要程序崩溃并变得不可用。” —— Kedar Vijay Kulkarni

你在学习使用 Linux 时犯过什么错误？请在评论中分享。

via: https://opensource.com/article/19/4/linux-rookie-mistakes

作者：Jen Wike Huger 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

NTP 意即 网络时间协议 Network Time Protocol ，它通过网络同步计算机系统之间的时钟。NTP 服务器可以使组织中的所有服务器保持同步，以准确时间执行基于时间的作业。NTP 客户端会将其时钟与 NTP 服务器同步。

我们已经写了一篇关于 NTP 服务器和客户端安装和配置的文章。如果你想查看这些文章，请导航至以下链接。

• 如何在 Linux 上安装、配置 NTP 服务器和客户端？
• 如何安装和配置 Chrony 作为 NTP 客户端？

我假设你已经使用上述链接设置了 NTP 服务器和 NTP 客户端。现在，如何验证 NTP 设置是否正常工作？

Linux 中有三个命令可用于验证 NTP 同步情况。详情如下。在本文中，我们将告诉您如何使用所有这些命令验证 NTP 同步。

• ntpq：ntpq 是一个标准的 NTP 查询程序。
• ntpstat：显示网络世界同步状态。
• timedatectl：它控制 systemd 系统中的系统时间和日期。

方法 1：如何使用 ntpq 命令检查 NTP 状态？

ntpq 实用程序用于监视 NTP 守护程序 ntpd 的操作并确定性能。

该程序可以以交互模式运行，也可以使用命令行参数进行控制。它通过向服务器发送多个查询来打印出连接的对等项列表。如果 NTP 正常工作，你将获得类似于下面的输出。

# ntpq -p

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*CentOS7.2daygee 133.243.238.163  2 u   14   64   37    0.686    0.151  16.432

细节：

• -p：打印服务器已知的对等项列表以及其状态摘要。

方法 2：如何使用 ntpstat 命令检查 NTP 状态？

ntpstat 将报告在本地计算机上运行的 NTP 守护程序（ntpd）的同步状态。如果发现本地系统与参考时间源保持同步，则 ntpstat 将报告大致的时间精度。

ntpstat 命令根据 NTP 同步状态返回三种状态码。详情如下。

• 0：如果时钟同步则返回 0。
• 1：如果时钟不同步则返回 1。
• 2：如果时钟状态不确定，则返回 2，例如 ntpd 不可联系时。

# ntpstat

synchronised to NTP server (192.168.1.8) at stratum 3
   time correct to within 508 ms
   polling server every 64 s

方法 3：如何使用 timedatectl 命令检查 NTP 状态？

timedatectl 命令用于查询和更改系统时钟及其在 systmed 系统中的设置。

# timedatectl
或
# timedatectl status

      Local time: Thu 2019-05-30 05:01:05 CDT
  Universal time: Thu 2019-05-30 10:01:05 UTC
        RTC time: Thu 2019-05-30 10:01:05
       Time zone: America/Chicago (CDT, -0500)
     NTP enabled: yes
NTP synchronized: yes
 RTC in local TZ: no
      DST active: yes
 Last DST change: DST began at
                  Sun 2019-03-10 01:59:59 CST
                  Sun 2019-03-10 03:00:00 CDT
 Next DST change: DST ends (the clock jumps one hour backwards) at
                  Sun 2019-11-03 01:59:59 CDT
                  Sun 2019-11-03 01:00:00 CST

更多技巧

Chrony 是一个 NTP 客户端的替代品。它可以更快地同步系统时钟，时间精度更高，对于一直不在线的系统尤其有用。

chronyd 较小，它使用较少的内存，只在必要时才唤醒 CPU，这样可以更好地节省电能。即使网络拥塞较长时间，它也能很好地运行。

你可以使用以下任何命令来检查 Chrony 状态。

检查 Chrony 跟踪状态。

# chronyc tracking

Reference ID    : C0A80105 (CentOS7.2daygeek.com)
Stratum         : 3
Ref time (UTC)  : Thu Mar 28 05:57:27 2019
System time     : 0.000002545 seconds slow of NTP time
Last offset     : +0.001194361 seconds
RMS offset      : 0.001194361 seconds
Frequency       : 1.650 ppm fast
Residual freq   : +184.101 ppm
Skew            : 2.962 ppm
Root delay      : 0.107966967 seconds
Root dispersion : 1.060455322 seconds
Update interval : 2.0 seconds
Leap status     : Normal

运行 sources 命令以显示有关当前时间源的信息。

# chronyc sources

210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* CentOS7.2daygeek.com          2   6    17    62    +36us[+1230us] +/- 1111ms

via: https://www.2daygeek.com/check-verify-ntp-sync-is-working-or-not-in-linux-using-ntpq-ntpstat-timedatectl/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：wxy 校对：校对者ID

本文由 LCTT 原创编译，Linux中国 荣誉推出

学习如何构造一个 C 文件并编写一个 C main 函数来成功地处理命令行参数。

我知道，现在孩子们用 Python 和 JavaScript 编写他们的疯狂“应用程序”。但是不要这么快就否定 C 语言 —— 它能够提供很多东西，并且简洁。如果你需要速度，用 C 语言编写可能就是你的答案。如果你正在寻找稳定的职业或者想学习如何捕获空指针解引用，C 语言也可能是你的答案！在本文中，我将解释如何构造一个 C 文件并编写一个 C main 函数来成功地处理命令行参数。

我：一个顽固的 Unix 系统程序员。

你：一个有编辑器、C 编译器，并有时间打发的人。

让我们开工吧。

一个无聊但正确的 C 程序

C 程序以 main() 函数开头，通常保存在名为 main.c 的文件中。

/* main.c */
int main(int argc, char *argv[]) {

}

这个程序可以编译但不干任何事。

$ gcc main.c
$ ./a.out -o foo -vv
$

正确但无聊。

main 函数是唯一的。

main() 函数是开始执行时所执行的程序的第一个函数，但不是第一个执行的函数。第一个函数是 _start()，它通常由 C 运行库提供，在编译程序时自动链入。此细节高度依赖于操作系统和编译器工具链，所以我假装没有提到它。

main() 函数有两个参数，通常称为 argc 和 argv，并返回一个有符号整数。大多数 Unix 环境都希望程序在成功时返回 0（零），失败时返回 -1（负一）。

参数向量 argv 是调用你的程序的命令行的标记化表示形式。在上面的例子中，argv 将是以下字符串的列表：

argv = [ "/path/to/a.out", "-o", "foo", "-vv" ];

参数向量在其第一个索引 argv[0] 中确保至少会有一个字符串，这是执行程序的完整路径。

main.c 文件的剖析

当我从头开始编写 main.c 时，它的结构通常如下：

/* main.c */
/* 0 版权/许可证 */
/* 1 包含 */
/* 2 定义 */
/* 3 外部声明 */
/* 4 类型定义 */
/* 5 全局变量声明 */
/* 6 函数原型 */

int main(int argc, char *argv[]) {
/* 7 命令行解析 */
}

/* 8 函数声明 */

下面我将讨论这些编号的各个部分，除了编号为 0 的那部分。如果你必须把版权或许可文本放在源代码中，那就放在那里。

另一件我不想讨论的事情是注释。

“评论谎言。”
- 一个愤世嫉俗但聪明又好看的程序员。

与其使用注释，不如使用有意义的函数名和变量名。

鉴于程序员固有的惰性，一旦添加了注释，维护负担就会增加一倍。如果更改或重构代码，则需要更新或扩充注释。随着时间的推移，代码会变得面目全非，与注释所描述的内容完全不同。

如果你必须写注释，不要写关于代码正在做什么，相反，写下代码为什么要这样写。写一些你将要在五年后读到的注释，那时你已经将这段代码忘得一干二净。世界的命运取决于你。不要有压力。

1、包含

我添加到 main.c 文件的第一个东西是包含文件，它们为程序提供大量标准 C 标准库函数和变量。C 标准库做了很多事情。浏览 /usr/include 中的头文件，你可以了解到它们可以做些什么。

#include 字符串是 C 预处理程序（cpp）指令，它会将引用的文件完整地包含在当前文件中。C 中的头文件通常以 .h 扩展名命名，且不应包含任何可执行代码。它只有宏、定义、类型定义、外部变量和函数原型。字符串 <header.h> 告诉 cpp 在系统定义的头文件路径中查找名为 header.h 的文件，它通常在 /usr/include 目录中。

/* main.c */
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <libgen.h>
#include <errno.h>
#include <string.h>
#include <getopt.h>
#include <sys/types.h>

这是我默认会全局包含的最小包含集合，它将引入：

2、定义

/* main.c */
<...>

#define OPTSTR "vi:o:f:h"
#define USAGE_FMT  "%s [-v] [-f hexflag] [-i inputfile] [-o outputfile] [-h]"
#define ERR_FOPEN_INPUT  "fopen(input, r)"
#define ERR_FOPEN_OUTPUT "fopen(output, w)"
#define ERR_DO_THE_NEEDFUL "do_the_needful blew up"
#define DEFAULT_PROGNAME "george"

这在现在没有多大意义，但 OPTSTR 定义我这里会说明一下，它是程序推荐的命令行开关。参考 getopt(3) man 页面，了解 OPTSTR 将如何影响 getopt() 的行为。

USAGE_FMT 定义了一个 printf() 风格的格式字符串，它用在 usage() 函数中。

我还喜欢将字符串常量放在文件的 #define 这一部分。如果需要，把它们收集在一起可以更容易地修正拼写、重用消息和国际化消息。

最后，在命名 #define 时全部使用大写字母，以区别变量和函数名。如果需要，可以将单词放连在一起或使用下划线分隔，只要确保它们都是大写的就行。

3、外部声明

/* main.c */
<...>

extern int errno;
extern char *optarg;
extern int opterr, optind;

extern 声明将该名称带入当前编译单元的命名空间（即 “文件”），并允许程序访问该变量。这里我们引入了三个整数变量和一个字符指针的定义。opt 前缀的几个变量是由 getopt() 函数使用的，C 标准库使用 errno 作为带外通信通道来传达函数可能的失败原因。

4、类型定义

/* main.c */
<...>

typedef struct {
  int           verbose;
  uint32_t      flags;
  FILE         *input;
  FILE         *output;
} options_t;

在外部声明之后，我喜欢为结构、联合和枚举声明 typedef。命名一个 typedef 是一种传统习惯。我非常喜欢使用 _t 后缀来表示该名称是一种类型。在这个例子中，我将 options_t 声明为一个包含 4 个成员的 struct。C 是一种空格无关的编程语言，因此我使用空格将字段名排列在同一列中。我只是喜欢它看起来的样子。对于指针声明，我在名称前面加上星号，以明确它是一个指针。

5、全局变量声明

/* main.c */
<...>

int dumb_global_variable = -11;

全局变量是一个坏主意，你永远不应该使用它们。但如果你必须使用全局变量，请在这里声明，并确保给它们一个默认值。说真的，不要使用全局变量。

6、函数原型

/* main.c */
<...>

void usage(char *progname, int opt);
int do_the_needful(options_t *options);

在编写函数时，将它们添加到 main() 函数之后而不是之前，在这里放函数原型。早期的 C 编译器使用单遍策略，这意味着你在程序中使用的每个符号（变量或函数名称）必须在使用之前声明。现代编译器几乎都是多遍编译器，它们在生成代码之前构建一个完整的符号表，因此并不严格要求使用函数原型。但是，有时你无法选择代码要使用的编译器，所以请编写函数原型并继续这样做下去。

当然，我总是包含一个 usage() 函数，当 main() 函数不理解你从命令行传入的内容时，它会调用这个函数。

7、命令行解析

/* main.c */
<...>

int main(int argc, char *argv[]) {
    int opt;
    options_t options = { 0, 0x0, stdin, stdout };

    opterr = 0;

    while ((opt = getopt(argc, argv, OPTSTR)) != EOF) 
       switch(opt) {
           case 'i':
              if (!(options.input = fopen(optarg, "r")) ){
                 perror(ERR_FOPEN_INPUT);
                 exit(EXIT_FAILURE);
                 /* NOTREACHED */
              }
              break;

           case 'o':
              if (!(options.output = fopen(optarg, "w")) ){
                 perror(ERR_FOPEN_OUTPUT);
                 exit(EXIT_FAILURE);
                 /* NOTREACHED */
              }    
              break;
              
           case 'f':
              options.flags = (uint32_t )strtoul(optarg, NULL, 16);
              break;

           case 'v':
              options.verbose += 1;
              break;

           case 'h':
           default:
              usage(basename(argv[0]), opt);
              /* NOTREACHED */
              break;
       }

    if (do_the_needful(&options) != EXIT_SUCCESS) {
       perror(ERR_DO_THE_NEEDFUL);
       exit(EXIT_FAILURE);
       /* NOTREACHED */
    }

    return EXIT_SUCCESS;
}

好吧，代码有点多。这个 main() 函数的目的是收集用户提供的参数，执行最基本的输入验证，然后将收集到的参数传递给使用它们的函数。这个示例声明一个使用默认值初始化的 options 变量，并解析命令行，根据需要更新 options。

main() 函数的核心是一个 while 循环，它使用 getopt() 来遍历 argv，寻找命令行选项及其参数（如果有的话）。文件前面定义的 OPTSTR 是驱动 getopt() 行为的模板。opt 变量接受 getopt() 找到的任何命令行选项的字符值，程序对检测命令行选项的响应发生在 switch 语句中。

如果你注意到了可能会问，为什么 opt 被声明为 32 位 int，但是预期是 8 位 char？事实上 getopt() 返回一个 int，当它到达 argv 末尾时取负值，我会使用 EOF（文件末尾标记）匹配。char 是有符号的，但我喜欢将变量匹配到它们的函数返回值。

当检测到一个已知的命令行选项时，会发生特定的行为。在 OPTSTR 中指定一个以冒号结尾的参数，这些选项可以有一个参数。当一个选项有一个参数时，argv 中的下一个字符串可以通过外部定义的变量 optarg 提供给程序。我使用 optarg 来打开文件进行读写，或者将命令行参数从字符串转换为整数值。

这里有几个关于代码风格的要点：

• 将 opterr 初始化为 0，禁止 getopt 触发 ?。
• 在 main() 的中间使用 exit(EXIT_FAILURE); 或 exit(EXIT_SUCCESS);。
• /* NOTREACHED */ 是我喜欢的一个 lint 指令。
• 在返回 int 类型的函数末尾使用 return EXIT_SUCCESS;。
• 显示强制转换隐式类型。

这个程序的命令行格式，经过编译如下所示：

$ ./a.out -h
a.out [-v] [-f hexflag] [-i inputfile] [-o outputfile] [-h]

事实上，在编译后 usage() 就会向 stderr 发出这样的内容。

8、函数声明

/* main.c */
<...>

void usage(char *progname, int opt) {
   fprintf(stderr, USAGE_FMT, progname?progname:DEFAULT_PROGNAME);
   exit(EXIT_FAILURE);
   /* NOTREACHED */
}

int do_the_needful(options_t *options) {

   if (!options) {
     errno = EINVAL;
     return EXIT_FAILURE;
   }

   if (!options->input || !options->output) {
     errno = ENOENT;
     return EXIT_FAILURE;
   }

   /* XXX do needful stuff */

   return EXIT_SUCCESS;
}

我最后编写的函数不是个样板函数。在本例中，函数 do_the_needful() 接受一个指向 options_t 结构的指针。我验证 options 指针不为 NULL，然后继续验证 input 和 output 结构成员。如果其中一个测试失败，返回 EXIT_FAILURE，并且通过将外部全局变量 errno 设置为常规错误代码，我可以告知调用者常规的错误原因。调用者可以使用便捷函数 perror() 来根据 errno 的值发出便于阅读的错误消息。

函数几乎总是以某种方式验证它们的输入。如果完全验证代价很大，那么尝试执行一次并将验证后的数据视为不可变。usage() 函数使用 fprintf() 调用中的条件赋值验证 progname 参数。接下来 usage() 函数就退出了，所以我不会费心设置 errno，也不用操心是否使用正确的程序名。

在这里，我要避免的最大错误是解引用 NULL 指针。这将导致操作系统向我的进程发送一个名为 SYSSEGV 的特殊信号，导致不可避免的死亡。用户最不希望看到的是由 SYSSEGV 而导致的崩溃。最好是捕获 NULL 指针以发出更合适的错误消息并优雅地关闭程序。

有些人抱怨在函数体中有多个 return 语句，他们喋喋不休地说些“控制流的连续性”之类的东西。老实说，如果函数中间出现错误，那就应该返回这个错误条件。写一大堆嵌套的 if 语句只有一个 return 绝不是一个“好主意”™。

最后，如果你编写的函数接受四个以上的参数，请考虑将它们绑定到一个结构中，并传递一个指向该结构的指针。这使得函数签名更简单，更容易记住，并且在以后调用时不会出错。它还可以使调用函数速度稍微快一些，因为需要复制到函数堆栈中的东西更少。在实践中，只有在函数被调用数百万或数十亿次时，才会考虑这个问题。如果认为这没有意义，那也无所谓。

等等，你不是说没有注释吗！？！！

在 do_the_needful() 函数中，我写了一种特殊类型的注释，它被是作为占位符设计的，而不是为了说明代码：

/* XXX do needful stuff */

当你写到这里时，有时你不想停下来编写一些特别复杂的代码，你会之后再写，而不是现在。那就是我留给自己再次回来的地方。我插入一个带有 XXX 前缀的注释和一个描述需要做什么的简短注释。之后，当我有更多时间的时候，我会在源代码中寻找 XXX。使用什么前缀并不重要，只要确保它不太可能在另一个上下文环境（如函数名或变量）中出现在你代码库里。

把它们组合在一起

好吧，当你编译这个程序后，它仍然几乎没有任何作用。但是现在你有了一个坚实的骨架来构建你自己的命令行解析 C 程序。

/* main.c - the complete listing */

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <libgen.h>
#include <errno.h>
#include <string.h>
#include <getopt.h>

#define OPTSTR "vi:o:f:h"
#define USAGE_FMT  "%s [-v] [-f hexflag] [-i inputfile] [-o outputfile] [-h]"
#define ERR_FOPEN_INPUT  "fopen(input, r)"
#define ERR_FOPEN_OUTPUT "fopen(output, w)"
#define ERR_DO_THE_NEEDFUL "do_the_needful blew up"
#define DEFAULT_PROGNAME "george"

extern int errno;
extern char *optarg;
extern int opterr, optind;

typedef struct {
  int           verbose;
  uint32_t      flags;
  FILE         *input;
  FILE         *output;
} options_t;

int dumb_global_variable = -11;

void usage(char *progname, int opt);
int  do_the_needful(options_t *options);

int main(int argc, char *argv[]) {
    int opt;
    options_t options = { 0, 0x0, stdin, stdout };

    opterr = 0;

    while ((opt = getopt(argc, argv, OPTSTR)) != EOF) 
       switch(opt) {
           case 'i':
              if (!(options.input = fopen(optarg, "r")) ){
                 perror(ERR_FOPEN_INPUT);
                 exit(EXIT_FAILURE);
                 /* NOTREACHED */
              }
              break;

           case 'o':
              if (!(options.output = fopen(optarg, "w")) ){
                 perror(ERR_FOPEN_OUTPUT);
                 exit(EXIT_FAILURE);
                 /* NOTREACHED */
              }    
              break;
              
           case 'f':
              options.flags = (uint32_t )strtoul(optarg, NULL, 16);
              break;

           case 'v':
              options.verbose += 1;
              break;

           case 'h':
           default:
              usage(basename(argv[0]), opt);
              /* NOTREACHED */
              break;
       }

    if (do_the_needful(&options) != EXIT_SUCCESS) {
       perror(ERR_DO_THE_NEEDFUL);
       exit(EXIT_FAILURE);
       /* NOTREACHED */
    }

    return EXIT_SUCCESS;
}

void usage(char *progname, int opt) {
   fprintf(stderr, USAGE_FMT, progname?progname:DEFAULT_PROGNAME);
   exit(EXIT_FAILURE);
   /* NOTREACHED */
}

int do_the_needful(options_t *options) {

   if (!options) {
     errno = EINVAL;
     return EXIT_FAILURE;
   }

   if (!options->input || !options->output) {
     errno = ENOENT;
     return EXIT_FAILURE;
   }

   /* XXX do needful stuff */

   return EXIT_SUCCESS;
}

现在，你已经准备好编写更易于维护的 C 语言。如果你有任何问题或反馈，请在评论中分享。

via: https://opensource.com/article/19/5/how-write-good-c-main-function

作者：Erik O'Shaughnessy 选题：lujun9972 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Linux 上查看文件权限时，有时你会看到的不仅仅是普通的 r、w、x 和 -。如何更清晰地了解这些字符试图告诉你什么以及这些权限如何工作？

在 Linux 上查看文件权限时，有时你会看到的不仅仅是普通的 r、w、x 和 -。除了在所有者、组和其他中看到 rwx 之外，你可能会看到 s 或者 t，如下例所示：

drwxrwsrwt

要进一步明确的方法之一是使用 stat 命令查看权限。stat 的第四行输出以八进制和字符串格式显示文件权限：

$ stat /var/mail
  File: /var/mail
  Size: 4096            Blocks: 8          IO Block: 4096   directory
Device: 801h/2049d      Inode: 1048833     Links: 2
Access: (3777/drwxrwsrwt)  Uid: (    0/    root)   Gid: (    8/    mail)
Access: 2019-05-21 19:23:15.769746004 -0400
Modify: 2019-05-21 19:03:48.226656344 -0400
Change: 2019-05-21 19:03:48.226656344 -0400
 Birth: -

这个输出提示我们，分配给文件权限的位数超过 9 位。事实上，有 12 位。这些额外的三位提供了一种分配超出通常的读、写和执行权限的方法 - 例如，3777（二进制 011111111111）表示使用了两个额外的设置。

该值的第一个 1 （第二位）表示 SGID（设置 GID），为运行文件而赋予临时权限，或以该关联组的权限来使用目录。

011111111111
 ^

SGID 将正在使用该文件的用户作为该组成员之一而分配临时权限。

第二个 1（第三位）是“粘连”位。它确保只有文件的所有者能够删除或重命名该文件或目录。

011111111111
  ^

如果权限是 7777 而不是 3777，我们知道 SUID（设置 UID）字段也已设置。

111111111111
^

SUID 将正在使用该文件的用户作为文件拥有者分配临时权限。

至于我们上面看到的 /var/mail 目录，所有用户都需要访问，因此需要一些特殊值来提供它。

但现在让我们更进一步。

特殊权限位的一个常见用法是使用 passwd 之类的命令。如果查看 /usr/bin/passwd 文件，你会注意到 SUID 位已设置，它允许你更改密码（以及 /etc/shadow 文件的内容），即使你是以普通（非特权）用户身份运行，并且对此文件没有读取或写入权限。当然，passwd 命令很聪明，不允许你更改其他人的密码，除非你是以 root 身份运行或使用 sudo。

$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 63736 Mar 22 14:32 /usr/bin/passwd
$ ls -l /etc/shadow
-rw-r----- 1 root shadow 2195 Apr 22 10:46 /etc/shadow

现在，让我们看一下使用这些特殊权限可以做些什么。

如何分配特殊文件权限

与 Linux 命令行中的许多东西一样，你可以有不同的方法设置。 chmod 命令允许你以数字方式或使用字符表达式更改权限。

要以数字方式更改文件权限，你可以使用这样的命令来设置 SUID 和 SGID 位：

$ chmod 6775 tryme

或者你可以使用这样的命令：

$ chmod ug+s tryme <== 用于 SUID 和 SGID 权限

如果你要添加特殊权限的文件是脚本，你可能会对它不符合你的期望感到惊讶。这是一个非常简单的例子：

$ cat tryme
#!/bin/bash

echo I am $USER

即使设置了 SUID 和 SGID 位，并且 root 是文件所有者，运行脚本也不会产生你可能期望的 “I am root”。为什么？因为 Linux 会忽略脚本的 SUID 和 SGID 位。

$ ls -l tryme
-rwsrwsrwt 1 root root 29 May 26 12:22 tryme
$ ./tryme
I am jdoe

另一方面，如果你对一个编译的程序之类进行类似的尝试，就像下面这个简单的 C 程序一样，你会看到不同的效果。在此示例程序中，我们提示用户输入文件名并创建它，并给文件写入权限。

#include <stdlib.h>

int main()
{
    FILE *fp;   /* file pointer*/
    char fName[20];

    printf("Enter the name of file to be created: ");
    scanf("%s",fName);

    /* create the file with write permission */
    fp=fopen(fName,"w");
    /* check if file was created */
    if(fp==NULL)
    {
        printf("File not created");
        exit(0);
    }

    printf("File created successfully\n");
    return 0;
}

编译程序并运行该命令以使 root 用户成为所有者并设置所需权限后，你将看到它以预期的 root 权限运行 - 留下新创建的 root 为所有者的文件。当然，你必须具有 sudo 权限才能运行一些需要的命令。

$ cc -o mkfile mkfile.c            <== 编译程序
$ sudo chown root:root mkfile       <== 更改所有者和组为 “root”
$ sudo chmod ug+s mkfile        <== 添加 SUID and SGID 权限
$ ./mkfile              <== 运行程序
Enter name of file to be create: empty
File created successfully
$ ls -l empty
-rw-rw-r-- 1 root root 0 May 26 13:15 empty

请注意，文件所有者是 root - 如果程序未以 root 权限运行，则不会发生这种情况。

权限字符串中不常见设置的位置（例如，rwsrwsrwt）可以帮助提醒我们每个位的含义。至少第一个 “s”（SUID） 位于所有者权限区域中，第二个 （SGID） 位于组权限区域中。为什么粘连位是 “t” 而不是 “s” 超出了我的理解。也许创造者想把它称为 “tacky bit”，但由于这个词的不太令人喜欢的第二个定义而改变了他们的想法。无论如何，额外的权限设置为 Linux 和其他 Unix 系统提供了许多额外的功能。

via: https://www.networkworld.com/article/3397790/a-deeper-dive-into-linux-permissions.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你还没注意到，一些极速的固态磁盘技术已经可以用在 Linux 和其他操作系统上了。

NVMe 意即 非易失性内存主机控制器接口规范 non-volatile memory express ，它是一个主机控制器接口和存储协议，用于加速企业和客户端系统以及固态驱动器（SSD）之间的数据传输。它通过电脑的高速 PCIe 总线工作。每当我看到这些名词时，我的感受是“羡慕”。而羡慕的原因很重要。

使用 NVMe，数据传输的速度比旋转磁盘快很多。事实上，NVMe 驱动能够比 SATA SSD 快 7 倍。这比我们今天很多人用的固态硬盘快了 7 倍多。这意味着，如果你用一个 NVMe 驱动盘作为启动盘，你的系统能够启动的非常快。事实上，如今任何人买一个新的系统可能都不会考虑那些没有自带 NVMe 的，不管是服务器或者个人电脑。

NVMe 在 Linux 下能工作吗？

是的！NVMe 自 Linux 内核 3.3 版本就支持了。然而，要升级系统，通常同时需要一个 NVMe 控制器和一个 NVMe 磁盘。一些外置磁盘也行，但是要连接到系统上，需要的可不仅仅是通用的 USB 接口。

先使用下列命令检查内核版本：

$ uname -r
5.0.0-15-generic

如果你的系统已经用了 NVMe，你将看到一个设备（例如，/dev/nvme0），但是只有在你安装了 NVMe 控制器的情况下才显示。如果你没有 NVMe 控制器，你可以用下列命令获取使用 NVMe 的相关信息。

$ modinfo nvme | head -6
filename:       /lib/modules/5.0.0-15-generic/kernel/drivers/nvme/host/nvme.ko
version:        1.0
license:        GPL
author:         Matthew Wilcox <[email protected]>
srcversion:     AA383008D5D5895C2E60523
alias:          pci:v0000106Bd00002003sv*sd*bc*sc*i*

了解更多

如果你想了解极速的 NVMe 存储的更多细节，可在 PCWorld 获取。

规范、白皮书和其他资源可在 NVMexpress.org 获取。

via: https://www.networkworld.com/article/3397006/nvme-on-linux.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：warmfrog 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Telnet 是一种客户端-服务端协议，通过 TCP 的 23 端口连接到远程服务器。Telnet 并不加密数据，因此它被认为是不安全的，因为数据是以明文形式发送的，所以密码很容易被嗅探。但是，仍有老旧系统需要使用它。这就是用到 stunnel 的地方。

stunnel 旨在为使用不安全连接协议的程序增加 SSL 加密。本文将以 telnet 为例介绍如何使用它。

服务端安装

使用 sudo 安装 stunnel 以及 telnet 的服务端和客户端：

sudo dnf -y install stunnel telnet-server telnet

添加防火墙规则，在提示时输入你的密码：

firewall-cmd --add-service=telnet --perm
firewall-cmd --reload

接下来，生成 RSA 私钥和 SSL 证书：

openssl genrsa 2048 > stunnel.key
openssl req -new -key stunnel.key -x509 -days 90 -out stunnel.crt

系统将一次提示你输入以下信息。当询问 Common Name 时，你必须输入正确的主机名或 IP 地址，但是你可以按回车键跳过其他所有内容。

You are about to be asked to enter information that will be
incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []

将 RSA 密钥和 SSL 证书合并到单个 .pem 文件中，并将其复制到 SSL 证书目录：

cat stunnel.crt stunnel.key > stunnel.pem
sudo cp stunnel.pem /etc/pki/tls/certs/

现在可以定义服务和用于加密连接的端口了。选择尚未使用的端口。此例使用 450 端口进行隧道传输 telnet。编辑或创建 /etc/stunnel/telnet.conf：

cert = /etc/pki/tls/certs/stunnel.pem
sslVersion = TLSv1
chroot = /var/run/stunnel
setuid = nobody
setgid = nobody
pid = /stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
[telnet]
accept = 450
connect = 23

accept 选项是服务器将监听传入 telnet 请求的接口。connect 选项是 telnet 服务器的内部监听接口。

接下来，创建一个 systemd 单元文件的副本来覆盖原来的版本：

sudo cp /usr/lib/systemd/system/stunnel.service /etc/systemd/system

编辑 /etc/systemd/system/stunnel.service 来添加两行。这些行在启动时为服务创建 chroot 监狱。

[Unit]
Description=TLS tunnel for network daemons
After=syslog.target network.target

[Service]
ExecStart=/usr/bin/stunnel
Type=forking
PrivateTmp=true
ExecStartPre=-/usr/bin/mkdir /var/run/stunnel
ExecStartPre=/usr/bin/chown -R nobody:nobody /var/run/stunnel

[Install]
WantedBy=multi-user.target

接下来，配置 SELinux 以在你刚刚指定的新端口上监听 telnet：

sudo semanage port -a -t telnetd_port_t -p tcp 450

最后，添加新的防火墙规则：

firewall-cmd --add-port=450/tcp --perm
firewall-cmd --reload

现在你可以启用并启动 telnet 和 stunnel。

systemctl enable telnet.socket [email protected] --now

要注意 systemctl 命令是有顺序的。systemd 和 stunnel 包默认提供额外的模板单元文件。该模板允许你将 stunnel 的多个配置文件放到 /etc/stunnel 中，并使用文件名启动该服务。例如，如果你有一个 foobar.conf 文件，那么可以使用 systemctl start [email protected] 启动该 stunnel 实例，而无需自己编写任何单元文件。

如果需要，可以将此 stunnel 模板服务设置为在启动时启动：

systemctl enable [email protected]

客户端安装

本文的这部分假设你在客户端系统上以普通用户（拥有 sudo 权限）身份登录。安装 stunnel 和 telnet 客户端：

dnf -y install stunnel telnet

将 stunnel.pem 从远程服务器复制到客户端的 /etc/pki/tls/certs 目录。在此例中，远程 telnet 服务器的 IP 地址为 192.168.1.143。

sudo scp [email protected]:/etc/pki/tls/certs/stunnel.pem
/etc/pki/tls/certs/

创建 /etc/stunnel/telnet.conf：

cert = /etc/pki/tls/certs/stunnel.pem
client=yes
[telnet]
accept=450
connect=192.168.1.143:450

accept 选项是用于 telnet 会话的端口。connect 选项是你远程服务器的 IP 地址以及监听的端口。

接下来，启用并启动 stunnel：

systemctl enable [email protected] --now

测试你的连接。由于有一条已建立的连接，你会 telnet 到 localhost 而不是远程 telnet 服务器的主机名或者 IP 地址。

[user@client ~]$ telnet localhost 450
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.

Kernel 5.0.9-301.fc30.x86_64 on an x86_64 (0)
server login: myuser
Password: XXXXXXX
Last login: Sun May  5 14:28:22 from localhost
[myuser@server ~]$

via: https://fedoramagazine.org/securing-telnet-connections-with-stunnel/

作者：Curt Warfield 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出