库注入 Library injections 在 Linux 上不如 Windows 上常见，但它仍然是一个问题。下来看看它们如何工作的，以及如何鉴别它们。

尽管在 Linux 系统上几乎见不到，但库（Linux 上的共享目标文件）注入仍是一个严峻的威胁。在采访了来自 AT&T 公司 Alien 实验室的 Jaime Blasco 后，我更加意识到了其中一些攻击是多么的易实施。

在这篇文章中，我会介绍一种攻击方法和它的几种检测手段。我也会提供一些展示攻击细节的链接和一些检测工具。首先，引入一个小小的背景信息。

共享库漏洞

DLL 和 .so 文件都是允许代码（有时候是数据）被不同的进程共享的共享库文件。公用的代码可以放进一个文件中使得每个需要它的进程可以重新使用而不是多次被重写。这也促进了对公用代码的管理。

Linux 进程经常使用这些共享库。（显示共享对象依赖的）ldd 命令可以对任何程序文件显示其共享库。这里有一些例子：

$ ldd /bin/date
        linux-vdso.so.1 (0x00007ffc5f179000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f02bea15000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f02bec3a000)
$ ldd /bin/netstat
        linux-vdso.so.1 (0x00007ffcb67cd000)
        libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007f45e5d7b000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f45e5b90000)
        libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007f45e5b1c000)
        libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f45e5b16000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f45e5dec000)
        libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f45e5af5000)

linux-vdso.so.1 （在一些系统上也许会有不同的名字）是内核自动映射到每个进程地址空间的文件。它的工作是找到并定位进程所需的其他共享库。

对库加载机制加以利用的一种方法是通过使用 LD_PRELOAD 环境变量。正如 Jaime Blasco 在他的研究中所解释的那样，“LD_PRELOAD 是在进程启动时加载共享库的最简单且最受欢迎的方法。可以将此环境变量配置到共享库的路径，以便在加载其他共享对象之前加载该共享库。”

为了展示有多简单，我创建了一个极其简单的共享库并且赋值给我的（之前不存在） LD_PRELOAD 环境变量。之后我使用 ldd 命令查看它对于常用 Linux 命令的影响。

$ export LD_PRELOAD=/home/shs/shownum.so
$ ldd /bin/date
        linux-vdso.so.1 (0x00007ffe005ce000)
        /home/shs/shownum.so (0x00007f1e6b65f000)     <== 它在这里
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f1e6b458000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f1e6b682000)

注意，仅仅将新的库赋给 LD_PRELOAD 就影响到了运行的任何程序。

通过设置 LD_PRELOAD 指定的共享库首先被加载（紧随 linux-vdso.so.1），这些库可以极大程度上改变一个进程。例如，它们可以重定向系统调用到它们自己的资源，或对程序运行的行为方式进行意想不到的更改。

osquery 工具可以检测库注入

osquery 工具（可以在 osquery.io下载）提供了一个非常独特的查看 Linux 系统的方式。它基本上将操作系统视作一个高性能的关系数据库。然后，也许你会猜到，这就意味着它可以用来查询并且生成 SQL 表，该表提供了诸如以下的详细信息：

• 运行中的进程
• 加载的内核模块
• 打开的网络链接

一个提供了进程信息的内核表叫做 process_envs。它提供了各种进程使用环境变量的详细信息。Jaime Blasco 提供了一个相当复杂的查询，可以使用 osquery 识别出使用 LD_PRELOAD 的进程。

注意，这个查询是从 process_envs 表中获取数据。攻击 ID（T1055）参考 Mitre 对攻击方法的解释。

SELECT process_envs.pid as source_process_id, process_envs.key as environment_variable_key, process_envs.value as environment_variable_value, processes.name as source_process, processes.path as file_path, processes.cmdline as source_process_commandline, processes.cwd as current_working_directory, 'T1055' as event_attack_id, 'Process Injection' as event_attack_technique, 'Defense Evasion, Privilege Escalation' as event_attack_tactic FROM process_envs join processes USING (pid) WHERE key = 'LD_PRELOAD';

注意 LD_PRELOAD 环境变量有时是合法使用的。例如，各种安全监控工具可能会使用到它，因为开发人员需要进行故障排除、调试或性能分析。然而，它的使用仍然很少见，应当加以防范。

同样值得注意的是 osquery 可以交互使用或是作为定期查询的守护进程去运行。了解更多请查阅文章末尾给出的参考。

你也能够通过查看用户的环境设置来定位 LD_PRELOAD 的使用。如果在用户账户中使用了 LD_PRELOAD，你可以使用这样的命令来查看（假定以个人身份登录后）：

$ env | grep PRELOAD
LD_PRELOAD=/home/username/userlib.so

如果你之前没有听说过 osquery，也别太在意。它正在成为一个更受欢迎的工具。事实上就在上周，Linux 基金会宣布打造了新的 osquery 基金会以支持 osquery 社区。

总结

尽管库注入是一个严重的威胁，但了解一些优秀的工具来帮助你检测它是否存在是很有帮助的。

扩展阅读

重要的参考和工具的链接：

• 用 osquery 追寻 Linux 库注入，AT&T Cybersecurity
• Linux：我的内存怎么了？，TrustedSec
• 下载 osquery
• osquery 模式
• osqueryd（osquery 守护进程）
• Mitre 的攻击框架
• 新的 osquery 基金会成立

via: https://www.networkworld.com/article/3404621/tracking-down-library-injections-on-linux.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：LuuMing 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出


简介：在生产环境中遇到打开文件数这类的挑战如今已是司空见惯的事情了。因为许多应用程序是基于 Java 和 Apache 的，安装和配置它们可能会导致打开过多的文件（文件描述符）。如果打开的文件描述符超过了默认设置的限制，就可能会面临访问控制问题，受阻于打开文件的挑战。许多生产环境因此而陷入停滞状态。

幸运的是，在基于 Linux 的服务器上，都有 ulimit 命令，通过它可以查看、设置、获取文件打开的状态和配置详情。此命令配备了许多选项，通过这些组合可以设置打开文件的数量。下面逐个命令用示例做了详细说明。

查看任何 Linux 系统中当前打开文件数的限制

要在 Linux 服务器上得到打开文件数的限制，请执行以下命令，

[root@ubuntu ~]# cat /proc/sys/fs/file-max
146013

上面的数字表明用户可以在每个用户登录会话中打开 ‘146013’ 个文件。

[root@centos ~]# cat /proc/sys/fs/file-max
149219
[root@debian ~]# cat /proc/sys/fs/file-max
73906

这清楚地表明，各个 Linux 操作系统具有不同的打开文件数限制。这基于各自系统中运行的依赖关系和应用程序。

ulimit 命令

顾名思义，ulimit（用户限制）用于显示和设置登录用户的资源限制。当我们使用 -a 选项运行 ulimit 命令时，它将打印登录用户的所有资源限制。现在让我们在 Ubuntu/Debian 和 CentOS 系统上运行 ulimit -a，

Ubuntu / Debian 系统

shashi@Ubuntu ~}$ ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 5731
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024      
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 5731
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

CentOS 系统

shashi@centos ~}$ ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 5901
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 5901
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

正如我们可以在这里看到的，不同的操作系统具有不同的限制设置。所有这些限制都可以使用 ulimit 命令进行配置/更改。

要显示单个资源限制，可以在 ulimit 命令中传递特定的参数，下面列出了一些参数：

• ulimit -n –> 显示打开文件数限制
• ulimit -c –> 显示核心转储文件大小
• umilit -u –> 显示登录用户的最大用户进程数限制
• ulimit -f –> 显示用户可以拥有的最大文件大小
• umilit -m –> 显示登录用户的最大内存大小
• ulimit -v –> 显示最大内存大小限制

使用以下命令检查登录用户打开文件数量的硬限制和软限制：

shashi@Ubuntu ~}$ ulimit -Hn
1048576
shashi@Ubuntu ~}$ ulimit -Sn
1024

如何修复达到最大文件数限制的问题？

让我们假设我们的 Linux 服务器已经达到了打开文件的最大数量限制，并希望在系统范围扩展该限制，例如，我们希望将 100000 设置为打开文件数量的限制。

root@ubuntu~]# sysctl -w fs.file-max=100000
fs.file-max = 100000

上述更改将在下次重启之前有效，因此要使这些更改在重启后仍存在，请编辑文件 /etc/sysctl.conf 并添加相同的参数，

root@ubuntu~]# vi /etc/sysctl.conf
fs.file-max = 100000

保存文件并退出。

运行下面命令，使上述更改立即生效，而无需注销和重新启动。

root@ubuntu~]# sysctl -p

现在验证新的更改是否生效。

root@ubuntu~]# cat /proc/sys/fs/file-max
100000

使用以下命令找出当前正在使用的文件描述符数量：

[root@ansible ~]# more /proc/sys/fs/file-nr
1216    0       100000

注意：命令 sysctl -p 用于在不重新启动和注销的情况下提交更改。

通过 limit.conf 文件设置用户级资源限制

/etc/sysctl.conf 文件用于设置系统范围的资源限制，但如果要为 Oracle、MariaDB 和 Apache 等特定用户设置资源限制，则可以通过 /etc/security/limits.conf 文件去实现。

示例 limits.conf 如下所示，

root@ubuntu~]# cat /etc/security/limits.conf

假设我们要为 linuxtechi 用户设置打开文件数量的硬限制和软限制，而对于 oracle 用户设置打开进程数量的硬限制和软限制，编辑文件 /etc/security/limits.conf 并添加以下行：

# hard limit for max opened files for linuxtechi user
linuxtechi       hard    nofile          4096
# soft limit for max opened files for linuxtechi user
linuxtechi       soft    nofile          1024

# hard limit for max number of process for oracle user
oracle           hard    nproc          8096
# soft limit for max number of process for oracle user
oracle           soft    nproc          4096

保存文件并退出。

注意： 如果你想对一个组而不是用户进行资源限制，那么也可以通过 limits.conf 文件，输入 @<组名> 代替用户名，其余项都是相同的，示例如下，

# hard limit for max opened files for sysadmin group
@sysadmin        hard         nofile            4096 
# soft limit for max opened files for sysadmin group
@sysadmin        soft         nofile            1024

验证新的更改是否生效：

~]# su - linuxtechi
~]$ ulimit -n -H
4096
~]$ ulimit -n -S
1024

~]# su - oracle
~]$ ulimit -H -u
8096
~]$ ulimit -S -u
4096

注：其他主要使用的命令是 lsof，可用于找出“当前打开了多少个文件”，这命令对管理员非常有帮助。

结尾

正如在介绍部分提到的，ulimit 命令非常强大，可以帮助用户配置并确保应用程序安装更加流畅而没有任何瓶颈。此命令有助于修复基于 Linux 的服务器中的（打开）大量文件的限制。

via: https://www.linuxtechi.com/set-ulimit-file-descriptors-limit-linux-servers/

作者：Shashidhar Soppin 选题：lujun9972 译者：zgj1024 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

我们一定不会希望用商业的方式运作我们的学校 —— 但是更加注重持续改进的教育机构是可以让我们受益的。

我们都有过那种感觉一件事情“似曾相识”的经历。在 1980 年代末期我经常会有这种感觉，那时候我刚刚进入工业领域不久。当时正赶上一波组织变革的热潮，美国制造业在尝试各种各样不同的模型，让企业领导、经理人和像我这样的工程师重新思考我们应该如何处理质量、成本、创新以及股东价值这样的问题。我们似乎每一年（有时候更加频繁）都需要通过学习一本书来找到让我们更精简、更扁平、更灵活以及更加能满足顾客需求的“最佳方案”。

这里面的很多方法都带来了巨大的改进，我至今仍然赞同它们的核心原则。像 John Kotter、Peter Drucker、Edwards Demming 和 Peter Senge 这样的思想领袖提出的某些思想和策略，还有我们采用的像 Six Sigma 以及在“丰田模式”里可以找到的一些流程优化方法，对我们改进工作都起到了十分关键的作用。

但是其他人似乎只是在同样的思想上进行了润色和调整，然后重新包装了一下 —— 所以我才会有那种 似曾相识 的感觉。但是当我成为了一名教师之后，我遇到了一个 没有 给我那种似曾相识的感觉的地方：教育界。事实上我十分惊讶地发现，在我的这个新职业里，“持续不断的改进”并 不像 在我之前的职业里那样重要了（特别是对于像我这种授课老师职级的人来说）。

为什么教育机构很少努力营造一种不断改进的文化氛围呢？我能想到几个原因，在这里我列举两个。

不再做生产线上的元件

这种不断改进的文化氛围遇到的第一个阻碍是，教育界普遍不愿意从其它行业借鉴可以为自己所用的思想 —— 特别是来自商界的思想。第二个阻碍是，主导教育界的仍然是一种自上而下的、等级制度森严的领导模式。人们往往只能在小范围内讨论这种系统性的、持续的改进方案，比如包括校长、助理校长、学校监管人（LCTT 译注：美国地方政府下设的一种官职，每个学校监管人管理一定数量的学校，接受学校校长的汇报）等等在内的学校领导和区域领袖。但是一小群人的参与是远远不足以带来整个组织层面的文化改革的。

在进一步展开观点之前，我想强调一下，上面所做的概括一定是存在例外情况的（我自己就见到过很多），不过我觉得任何一个教育界的利益相关者都应该会同意以下两点基本假设：

1. 为学生提供高质量的、公平的教育和教学系统的工作所涉及到的任何人都应该将持续不断的改进作为思维方式里的重要部分；
2. 如果学校领导在做决策的时候可以更多地参考那些离学生最近的工作者的意见，那么学生以及学生所在的社区都将更加受益；

那么教育界人士为什么会倾向于忽视（或者公然地敌视）教育界之外的思想呢？

比如我过去就曾经提议应该向别的行业借鉴一些思想和灵感来帮助我们更好地迎合学生的需求，并且果然遭到了批评。我经常得到的回应是：“你这是在把我们的学生当成生产线上的元件来对待呀！”但是我们的学生现在就是在被当作生产线上的元件对待，并且已经无以复加了。他们按照被年龄划分的群体考入大学，每天根据刺耳的铃声的指示去上一节又一节孤立的课程，并且由一些武断的、强调同一性而不是个性的考试来评判他们的成绩。

很多教育界人士可能不知道，生产线元件这种会让人想到流水线标准化作业的东西已经不是现代制造业里的重要组成部分了。得益于上面提到的不断改进的文化氛围，现代先进制造业已经可以做到在单个顾客产生需求的时候，以合理的价格有针对性地提供她所需要的商品。如果我们的学校也可以采用这种模式，教师们之间就更可能会进行协作，并且可以基于学生即时的需求和兴趣，不断完善每一个学生独特的成长和进步路线，而不受时间、课题或者其它传统规范的限制。

我并不是要呼吁大家像经营商业一样经营我们的学校。我所主张的是，用一种清晰而客观的态度去看待任何行业的任何思想，只要它们有可能帮助我们更好地迎合学生个体的需求。不过，如果想有效率地实现这个目标，我们需要仔细研究这个 100 多年来都停滞不前的领导结构。

把不断改进作为努力的目标

有一种说法认为教育和其它行业之间存在着巨大的差异，我虽然赞同这种说法，但同时也相信“重新思考组织和领导结构”这件事情对于任何一个希望对利益相关者负责（并且可以及时作出响应）的主体来说都是适用的。大多数其它行业都已经在重新审视它们传统的、封闭的、等级森严的结构，并且采用可以鼓励员工基于共有的优秀目标发挥自主性的组织结构 —— 这种组织结构对于不断改进来说十分关键。我们的学校和行政区是时候放开眼界了，而不应该拘泥于只听到来自内部的声音，因为它们的用意虽然是好的，但都没有脱离现有的范式。

对于任何希望开始或者加速这个转变过程的学校，我推荐一本很好的书：Jim Whitehurst 的《开放组织》（这不应该让你感到意外）。这本书不仅可以帮助我们理解教育者如何创造更加开放、覆盖面更广的领导领导结构 —— 在这样的结构下，互相尊重让人们可以基于实时数据作出更加灵活的决策 —— 并且它所使用的语言风格也和教育者们所习惯使用的奇怪的词汇库非常契合（这种词汇库简直是教育者们第二天性)。任何组织都可以借鉴开放组织的思维提供的实用主义方法让组织成员更加开放：分享想法和资源、拥抱以共同协作为核心的文化、通过快速制作原型来开发创新思维、基于价值（而不是提出者的职级）来评估一个想法，以及创造一种融入到组织 DNA 里的很强的社区观念。通过众包的方式，这样的开放组织不仅可以从组织内部，也能够从组织外部收集想法，创造一种可以让本地化的、以学生为中心的创新蓬勃发展的环境。

最重要的事情是：在快速变化的未来，我们在过去所做的事情不一定仍然适用了 —— 认清楚这一点对于创造一个不断改进的文化氛围是十分关键的。对于教育者来说，这意味着我们不能只是简单地依赖在针对工厂模型发展出来的解决方案和实践方式了。我们必须从其它行业（比如说非营利组织、军事、医疗以及商业 —— 没错，甚至是商业）里借鉴数不清的最佳方案，这样至少应该能让我们 知道 如何找到让学生受益最大的办法。从教育界传统的陈词滥调里超脱出来，才有机会拥有更广阔的视角。我们可以更好地顾全大局，用更客观地视角看待我们遇到的问题，同时也知道我们在什么方面已经做得很不错。

通过有意识地借鉴各路思想 —— 从一年级教师到纽约时报上最新的商业、管理、领导力畅销书 —— 我们可以更好地发掘和运用校内人才，以帮助我们克服阻碍了我们的学校和区域进步的制度里的惰性。

坚持不懈地追求不断改进这件事情，不应该只局限于那种努力在一个全球化的、创新的经济环境中争取竞争力的机构，或者是负责运营学校的少数几个人。当机构里的每一个人都能不断思考怎样才能让今天比昨天做得更好的时候，这就是一个拥有优秀的文化氛围的机构。这种非常有注重协作性和创新的文化氛围，正是我们希望在这些负责改变年轻人命运的机构身上看到的。

我非常期待，有朝一日我能在学校里感受到这种精神，然后微笑着对自己说：“这种感觉多么似曾相识啊。”

via: https://opensource.com/open-organization/19/4/education-culture-agile

作者：Ben Owens 选题：lujun9972 译者：chen-ni 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

lsmod 命令能够告诉你当前系统上加载了哪些内核模块，以及关于使用它们的一些有趣的细节。

什么是 Linux 内核模块？

内核模块是可以根据需要加载到内核中或从内核中卸载的代码块，因此无需重启就可以扩展内核的功能。事实上，除非用户使用类似 lsmod 这样的命令来查询模块信息，否则用户不太可能知道内核发生的任何变化。

需要知道的重要一点是，在你的 Linux 系统上总会有很多可用的模块，并且如果你可以深入其中了解到很多细节。

lsmod 的主要用途之一是在系统不能正常工作时检查模块。然而，大多数情况下，模块会根据需要加载的，而且用户不需要知道它们如何运作。

显示内核模块

显示内核模块最简单的方法是使用 lsmod 命令。虽然这个命令包含了很多细节，但输出却是非常用户友好。

$ lsmod
Module                  Size  Used by
snd_hda_codec_realtek 114688  1
snd_hda_codec_generic  77824  1 snd_hda_codec_realtek
ledtrig_audio          16384  2 snd_hda_codec_generic,snd_hda_codec_realtek
snd_hda_codec_hdmi     53248  1
snd_hda_intel          40960  2
snd_hda_codec         131072  4 snd_hda_codec_generic,snd_hda_codec_hdmi,snd_hda_intel
                                ,snd_hda_codec_realtek
snd_hda_core           86016  5 snd_hda_codec_generic,snd_hda_codec_hdmi,snd_hda_intel
                                ,snd_hda_codec,snd_hda_codec_realtek
snd_hwdep              20480  1 snd_hda_codec
snd_pcm               102400  4 snd_hda_codec_hdmi,snd_hda_intel,snd_hda_codec,snd_hda
                                _core
snd_seq_midi           20480  0
snd_seq_midi_event     16384  1 snd_seq_midi
dcdbas                 20480  0
snd_rawmidi            36864  1 snd_seq_midi
snd_seq                69632  2 snd_seq_midi,snd_seq_midi_event
coretemp               20480  0
snd_seq_device         16384  3 snd_seq,snd_seq_midi,snd_rawmidi
snd_timer              36864  2 snd_seq,snd_pcm
kvm_intel             241664  0
kvm                   626688  1 kvm_intel
radeon               1454080  10
irqbypass              16384  1 kvm
joydev                 24576  0
input_leds             16384  0
ttm                   102400  1 radeon
drm_kms_helper        180224  1 radeon
drm                   475136  13 drm_kms_helper,radeon,ttm
snd                    81920  15 snd_hda_codec_generic,snd_seq,snd_seq_device,snd_hda
                                 _codec_hdmi,snd_hwdep,snd_hda_intel,snd_hda_codec,snd
                                 _hda_codec_realtek,snd_timer,snd_pcm,snd_rawmidi
i2c_algo_bit           16384  1 radeon
fb_sys_fops            16384  1 drm_kms_helper
syscopyarea            16384  1 drm_kms_helper
serio_raw              20480  0
sysfillrect            16384  1 drm_kms_helper
sysimgblt              16384  1 drm_kms_helper
soundcore              16384  1 snd
mac_hid                16384  0
sch_fq_codel           20480  2
parport_pc             40960  0
ppdev                  24576  0
lp                     20480  0
parport                53248  3 parport_pc,lp,ppdev
ip_tables              28672  0
x_tables               40960  1 ip_tables
autofs4                45056  2
raid10                 57344  0
raid456               155648  0
async_raid6_recov      24576  1 raid456
async_memcpy           20480  2 raid456,async_raid6_recov
async_pq               24576  2 raid456,async_raid6_recov
async_xor              20480  3 async_pq,raid456,async_raid6_recov
async_tx               20480  5 async_pq,async_memcpy,async_xor,raid456,async_raid6_re
                                cov
xor                    24576  1 async_xor
raid6_pq              114688  3 async_pq,raid456,async_raid6_recov
libcrc32c              16384  1 raid456
raid1                  45056  0
raid0                  24576  0
multipath              20480  0
linear                 20480  0
hid_generic            16384  0
psmouse               151552  0
i2c_i801               32768  0
pata_acpi              16384  0
lpc_ich                24576  0
usbhid                 53248  0
hid                   126976  2 usbhid,hid_generic
e1000e                245760  0
floppy                 81920  0

在上面的输出中：

• Module 显示每个模块的名称
• Size 显示每个模块的大小（并不是它们占的内存大小）
• Used by 显示每个模块被使用的次数和使用它们的模块

显然，这里有很多模块。加载的模块数量取决于你的系统和版本以及正在运行的内容。我们可以这样计数：

$ lsmod | wc -l
67

要查看系统中可用的模块数（不止运行当中的），试试这个命令：

$ modprobe -c | wc -l
41272

与内核模块相关的其他命令

Linux 提供了几条用于罗列、加载及卸载、测试，以及检查模块状态的命令。

• depmod —— 生成 modules.dep 和映射文件
• insmod —— 一个往 Linux 内核插入模块的程序
• lsmod —— 显示 Linux 内核中模块状态
• modinfo —— 显示 Linux 内核模块信息
• modprobe —— 添加或移除 Linux 内核模块
• rmmod —— 一个从 Linux 内核移除模块的程序

显示内置的内核模块

正如前文所说，lsmod 命令是显示内核模块最方便的命令。然而，也有其他方式可以显示它们。modules.builtin 文件中列出了所有构建在内核中的模块，在 modprobe 命令尝试添加文件中的模块时会使用它。注意，以下命令中的 $(uname -r) 提供了内核版本的名称。

$ more /lib/modules/$(uname -r)/modules.builtin | head -10
kernel/arch/x86/crypto/crc32c-intel.ko
kernel/arch/x86/events/intel/intel-uncore.ko
kernel/arch/x86/platform/intel/iosf_mbi.ko
kernel/mm/zpool.ko
kernel/mm/zbud.ko
kernel/mm/zsmalloc.ko
kernel/fs/binfmt_script.ko
kernel/fs/mbcache.ko
kernel/fs/configfs/configfs.ko
kernel/fs/crypto/fscrypto.ko

你可以使用 modinfo 获得一个模块的更多细节，虽然没有对模块提供的服务的简单说明。下面输出内容中省略了冗长的签名。

$ modinfo floppy | head -16
filename:       /lib/modules/5.0.0-13-generic/kernel/drivers/block/floppy.ko
alias:          block-major-2-*
license:        GPL
author:         Alain L. Knaff
srcversion:     EBEAA26742DF61790588FD9
alias:          acpi*:PNP0700:*
alias:          pnp:dPNP0700*
depends:
retpoline:      Y
intree:         Y
name:           floppy
vermagic:       5.0.0-13-generic SMP mod_unload
sig_id:         PKCS#7
signer:
sig_key:
sig_hashalgo:   md4

你可以使用 modprobe 命令加载或卸载模块。使用下面这条命令，你可以找到特定模块关联的内核对象：

$ find /lib/modules/$(uname -r) -name floppy*
/lib/modules/5.0.0-13-generic/kernel/drivers/block/floppy.ko

如果你想要加载模块，你可以使用这个命令：

$ sudo modprobe floppy

总结

很明显，内核模块的加载和卸载非常重要。它使得 Linux 系统比使用通用内核运行时更加灵活和高效。这同样意味着你可以进行重大更改而无需重启，例如添加硬件。

via: https://www.networkworld.com/article/3391362/looking-into-linux-modules.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：LazyWolfLin 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

随着 Undo 发布 Live Recorder 5.0，这使得在多进程系统上的调试变得更加轻松。

随着 Undo 发布 Live Recorder 5.0，Linux 调试迈出了一大步。该产品于上个月发布，这使得在多进程系统上的调试变得更加轻松。它基于 飞行记录仪技术 flight recorder technology ，它更加深入进程之中，以深入了解每个进程的情况。这包括内存、线程、程序流，服务调用等。为了实现这一目标，Live Recorder 5.0 的记录、重放和调试功能都得到了增强，能够：

• 记录进程更改共享内存变量的确切顺序。甚至可以针对特定变量并在任何进程中跳转到最后修改该变量的一行。
• 通过随机化线程执行来暴露潜在缺陷，以帮助揭示竞态、崩溃和其他多线程缺陷。
• 记录并重放单个 Kubernetes 和 Docker 容器的执行，以帮助在微服务环境中更快地解决缺陷。

Undo Live Recorder 使工程团队能够记录和重放任何软件程序的执行，而无论软件多么复杂。并且可以诊断和修复测试或生产中问题的根本原因。

根据你的许可证，Live Recorder 可以在命令行中使用 live-record 命令，但有点类似于 strace，但它不会打印系统调用和信号，而是创建一个“Undo 录制”。然后你可以调试录制中捕获的失败（远比分析核心转储高效！）。这些录制也可以与其他工作人员共享，并可以使用可逆调试器进行重放，以进一步调查崩溃原因或其他问题。

Undo 引擎支持以下 Linux 发行版：

• Red Hat Enterprise Linux 6.8、6.9、6.10、7.4、7.5、7.6 和 8.0
• Fedora 28、29 和 30
• SuSE Linux Enterprise Server 12.3、12.4 和 15
• Ubuntu 16.04 LTS、18.04 LTS、18.10 和 19.04

Undo 是一家快速发展的，有风险投资支持的技术初创公司，它的总部位于旧金山和英国剑桥。他们称 Live Recorder 可以 100％ 确定导致任何软件故障的因素 —— 即使在最复杂的软件环境中也是如此。

在 Facebook 和 LinkedIn 上加入 Network World 社区，评论你想说的话题。

via: https://www.networkworld.com/article/3405584/undo-releases-live-recorder-5-0-for-linux-debugging.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在过去，神谕和魔法师被认为拥有发现奥秘的力量，国王和统治者们会借助他们预测未来，或者至少是听取一些建议。如今我们生活在一个痴迷于将一切事情量化的社会里，这份工作就交给数据科学家了。

数据科学家通过使用统计模型、数值分析，以及统计学之外的高级算法，结合数据库里已经存在的数据，去发掘、推断和预测尚不存在的数据（有时是关于未来的数据）。这就是为什么我们要做这么多的预测分析和规划分析。

下面是一些可以借助数据科学家回答的问题：

1. 哪些学生有旷课倾向？每个人旷课的原因分别是什么？
2. 哪栋房子的售价比合理价格要高或者低？一栋房子的合理价格是多少？
3. 如何将我们的客户按照潜在的特质进行分组？
4. 这个孩子的早熟可能会在未来引发什么问题？
5. 我们的呼叫中心在明天早上 11 点 43 分会接收到多少次呼叫？
6. 我们的银行是否应该向这位客户发放贷款？

请注意，这些问题的答案是在任何数据库里都查询不到的，因为它们尚不存在，需要被计算出来才行。这就是我们数据科学家从事的工作。

在这篇文章中你会学习如何将 Fedora 系统打造成数据科学家的开发环境和生产系统。其中大多数基本软件都有 RPM 软件包，但是最先进的组件目前只能通过 Python 的 pip 工具安装。

Jupyter IDE

大多数现代数据科学家使用 Python 工作。他们工作中很重要的一部分是 探索性数据分析 Exploratory Data Analysis （EDA）。EDA 是一种手动进行的、交互性的过程，包括提取数据、探索数据特征、寻找相关性、通过绘制图形进行数据可视化并理解数据的分布特征，以及实现原型预测模型。

Jupyter 是能够完美胜任该工作的一个 web 应用。Jupyter 使用的 Notebook 文件支持富文本，包括渲染精美的数学公式（得益于 mathjax）、代码块和代码输出（包括图形输出）。

Notebook 文件的后缀是 .ipynb，意思是“交互式 Python Notebook”。

搭建并运行 Jupyter

首先，使用 sudo 安装 Jupyter 核心软件包：

$ sudo dnf install python3-notebook mathjax sscg

你或许需要安装数据科学家常用的一些附加可选模块：

$ sudo dnf install python3-seaborn python3-lxml python3-basemap python3-scikit-image python3-scikit-learn python3-sympy python3-dask+dataframe python3-nltk

设置一个用来登录 Notebook 的 web 界面的密码，从而避免使用冗长的令牌。你可以在终端里任何一个位置运行下面的命令：

$ mkdir -p $HOME/.jupyter
$ jupyter notebook password

然后输入你的密码，这时会自动创建 $HOME/.jupyter/jupyter_notebook_config.json 这个文件，包含了你的密码的加密后版本。

接下来，通过使用 SSLby 为 Jupyter 的 web 服务器生成一个自签名的 HTTPS 证书：

$ cd $HOME/.jupyter; sscg

配置 Jupyter 的最后一步是编辑 $HOME/.jupyter/jupyter_notebook_config.json 这个文件。按照下面的模版编辑该文件：

{
   "NotebookApp": {
     "password": "sha1:abf58...87b",
     "ip": "*",
     "allow_origin": "*",
     "allow_remote_access": true,
     "open_browser": false,
     "websocket_compression_options": {},
     "certfile": "/home/aviram/.jupyter/service.pem",
     "keyfile": "/home/aviram/.jupyter/service-key.pem",
     "notebook_dir": "/home/aviram/Notebooks"
   }
}

/home/aviram/ 应该替换为你的文件夹。sha1:abf58...87b 这个部分在你创建完密码之后就已经自动生成了。service.pem 和 service-key.pem 是 sscg 生成的和加密相关的文件。

接下来创建一个用来存放 Notebook 文件的文件夹，应该和上面配置里 notebook_dir 一致：

$ mkdir $HOME/Notebooks

你已经完成了配置。现在可以在系统里的任何一个地方通过以下命令启动 Jupyter Notebook：

$ jupyter notebook

或者是将下面这行代码添加到 $HOME/.bashrc 文件，创建一个叫做 jn 的快捷命令：

alias jn='jupyter notebook'

运行 jn 命令之后，你可以通过网络内部的任何一个浏览器访问 <https://your-fedora-host.com:8888> （LCTT 译注：请将域名替换为服务器的域名），就可以看到 Jupyter 的用户界面了，需要使用前面设置的密码登录。你可以尝试键入一些 Python 代码和标记文本，看起来会像下面这样：

除了 IPython 环境，安装过程还会生成一个由 terminado 提供的基于 web 的 Unix 终端。有人觉得这很实用，也有人觉得这样不是很安全。你可以在配置文件里禁用这个功能。

JupyterLab：下一代 Jupyter

JupyterLab 是下一代的 Jupyter，拥有更好的用户界面和对工作空间更强的操控性。在写这篇文章的时候 JupyterLab 还没有可用的 RPM 软件包，但是你可以使用 pip 轻松完成安装：

$ pip3 install jupyterlab --user
$ jupyter serverextension enable --py jupyterlab

然后运行 jupiter notebook 命令或者 jn 快捷命令。访问 <http://your-linux-host.com:8888/lab> （LCTT 译注：将域名替换为服务器的域名）就可以使用 JupyterLab 了。

数据科学家使用的工具

在下面这一节里，你将会了解到数据科学家使用的一些工具及其安装方法。除非另作说明，这些工具应该已经有 Fedora 软件包版本，并且已经作为前面组件所需要的软件包而被安装了。

Numpy

Numpy 是一个针对 C 语言优化过的高级库，用来处理大型的内存数据集。它支持高级多维矩阵及其运算，并且包含了 log()、exp()、三角函数等数学函数。

Pandas

在我看来，正是 Pandas 成就了 Python 作为数据科学首选平台的地位。Pandas 构建在 Numpy 之上，可以让数据准备和数据呈现工作变得简单很多。你可以把它想象成一个没有用户界面的电子表格程序，但是能够处理的数据集要大得多。Pandas 支持从 SQL 数据库或者 CSV 等格式的文件中提取数据、按列或者按行进行操作、数据筛选，以及通过 Matplotlib 实现数据可视化的一部分功能。

Matplotlib

Matplotlib 是一个用来绘制 2D 和 3D 数据图像的库，在图象注解、标签和叠加层方面都提供了相当不错的支持。

Seaborn

Seaborn 构建在 Matplotlib 之上，它的绘图功能经过了优化，更加适合数据的统计学研究，比如说可以自动显示所绘制数据的近似回归线或者正态分布曲线。

StatsModels

StatsModels 为统计学和经济计量学的数据分析问题（例如线形回归和逻辑回归）提供算法支持，同时提供经典的 时间序列算法 家族 ARIMA。

Scikit-learn

作为机器学习生态系统的核心部件，Scikit 为不同类型的问题提供预测算法，包括 回归问题（算法包括 Elasticnet、Gradient Boosting、随机森林等等）、分类问题 和聚类问题（算法包括 K-means 和 DBSCAN 等等），并且拥有设计精良的 API。Scikit 还定义了一些专门的 Python 类，用来支持数据操作的高级技巧，比如将数据集拆分为训练集和测试集、降维算法、数据准备管道流程等等。

XGBoost

XGBoost 是目前可以使用的最先进的回归器和分类器。它并不是 Scikit-learn 的一部分，但是却遵循了 Scikit 的 API。XGBoost 并没有针对 Fedora 的软件包，但可以使用 pip 安装。使用英伟达显卡可以提升 XGBoost 算法的性能，但是这并不能通过 pip 软件包来实现。如果你希望使用这个功能，可以针对 CUDA （LCTT 译注：英伟达开发的并行计算平台）自己进行编译。使用下面这个命令安装 XGBoost：

$ pip3 install xgboost --user

Imbalanced Learn

Imbalanced-learn 是一个解决数据欠采样和过采样问题的工具。比如在反欺诈问题中，欺诈数据相对于正常数据来说数量非常小，这个时候就需要对欺诈数据进行数据增强，从而让预测器能够更好地适应数据集。使用 pip 安装：

$ pip3 install imblearn --user

NLTK

Natural Language toolkit（简称 NLTK）是一个处理人类语言数据的工具，举例来说，它可以被用来开发一个聊天机器人。

SHAP

机器学习算法拥有强大的预测能力，但并不能够很好地解释为什么做出这样或那样的预测。SHAP 可以通过分析训练后的模型来解决这个问题。

使用 pip 安装：

$ pip3 install shap --user

Keras

Keras 是一个深度学习和神经网络模型的库，使用 pip 安装：

$ sudo dnf install python3-h5py
$ pip3 install keras --user

TensorFlow

TensorFlow 是一个非常流行的神经网络模型搭建工具，使用 pip 安装：

$ pip3 install tensorflow --user

Photo courtesy of FolsomNatural on Flickr (CC BY-SA 2.0).

via: https://fedoramagazine.org/jupyter-and-data-science-in-fedora/

作者：Avi Alkalay 选题：lujun9972 译者：chen-ni 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出