systemd 是所有进程之母，负责将 Linux 主机启动到可以做生产性任务的状态。

systemd（是的，全小写，即使在句子开头也是小写），是初始化程序（init）和 SystemV 初始化脚本的现代替代者。此外，它还有更多功能。

当我想到 init 和 SystemV 初始化时，像大多数系统管理员一样，我想到的是 Linux 的启动和关闭，而不是真正意义上的管理服务，例如在服务启动和运行后对其进行管理。像 init 一样，systemd 是所有进程之母，它负责使 Linux 主机启动到可以做生产性任务的状态。systemd 设定的一些功能比老的初始化程序要广泛得多，它要管理正在运行的 Linux 主机的许多方面，包括挂载文件系统、管理硬件、处理定时器以及启动和管理生产性主机所需的系统服务。

本系列文章是基于我的三期 Linux 培训课程《使用和管理 Linux：从零开始进行学习系统管理》部分内容的摘录，探讨了 systemd 在启动和启动完成后的功能。

Linux 引导

Linux 主机从关机状态到运行状态的完整启动过程很复杂，但它是开放的并且是可知的。在详细介绍之前，我将简要介绍一下从主机硬件被上电到系统准备好用户登录的过程。大多数时候，“引导过程”被作为一个整体来讨论，但这是不准确的。实际上，完整的引导和启动过程包含三个主要部分：

• 硬件引导：初始化系统硬件
• Linux 引导 （ boot ） ：加载 Linux 内核和 systemd
• Linux 启动 （ startup ） ：systemd 为主机的生产性工作做准备

Linux 启动阶段始于内核加载了 init 或 systemd（取决于具体发行版使用的是旧的方式还是还是新的方式）之后。init 和 systemd 程序启动并管理所有其它进程，它们在各自的系统上都被称为“所有进程之母”。

将硬件引导与 Linux 引导及 Linux 启动区分开，并明确定义它们之间的分界点是很重要的。理解它们的差异以及它们每一个在使 Linux 系统进入生产状态所起的作用，才能够管理这些进程，并更好地确定大部分人所谓的“启动”问题出在哪里。

启动过程按照三步引导流程，使 Linux 计算机进入可进行生产工作的状态。当内核将主机的控制权转移到 systemd 时，启动环节开始。

systemd 之争

systemd 引起了系统管理员和其它负责维护 Linux 系统正常运行人员的广泛争议。在许多 Linux 系统中，systemd 接管了大量任务，这在某些开发者和sysadmins群体中引起了反对和不和谐。

SystemV 和 systemd 是执行 Linux 启动环节的两种不同的方法。SystemV 启动脚本和 init 程序是老的方法，而使用 目标 target 的 systemd 是新方法。尽管大多数现代 Linux 发行版都使用较新的 systemd 进行启动、关机和进程管理，但仍有一些发行版未采用。原因之一是某些发行版维护者和系统管理员喜欢老的 SystemV 方法，而不是新的 systemd。

我认为两者都有其优势。

为何我更喜欢 SystemV

我更喜欢 SystemV，因为它更开放。使用 Bash 脚本来完成启动。内核启动 init 程序（这是一个编译后的二进制）后，init 启动 rc.sysinit 脚本，该脚本执行许多系统初始化任务。rc.sysinit 执行完后，init 启动 /etc/rc.d/rc 脚本，该脚本依次启动 /etc/rc.d/rcX.d 中由 SystemV 启动脚本定义的各种服务。其中 X 是待启动的运行级别号。

除了 init 程序本身之外，所有这些程序都是开放且易于理解的脚本。可以通读这些脚本并确切了解整个启动过程中发生的事情，但是我不认为有太多系统管理员真正做到这一点。每个启动脚本都被编了号，以便按特定顺序启动预期的服务。服务是串行启动的，一次只能启动一个服务。

systemd 是由 Red Hat 的 Lennart Poettering 和 Kay Sievers 开发的，它是一个由大型的、编译的二进制可执行文件构成的复杂系统，不访问其源码就无法理解。它是开源的，因此“访问其源代码”并不难，只是不太方便。systemd 似乎表现出对 Linux 哲学多个原则的重大驳斥。作为二进制文件，systemd 无法被直接打开供系统管理员查看或进行简单更改。systemd 试图做所有事情，例如管理正在运行的服务，同时提供明显比 SystemV 更多的状态信息。它还管理硬件、进程、进程组、文件系统挂载等。systemd 几乎涉足于现代 Linux 主机的每个方面，使它成为系统管理的一站式工具。所有这些都明显违反了“程序应该小，且每个程序都应该只做一件事并做好”的原则。

为何我更喜欢 systemd

我更喜欢用 systemd 作为启动机制，因为它会根据启动阶段并行地启动尽可能多的服务。这样可以加快整个的启动速度，使得主机系统比 SystemV 更快地到达登录屏幕。

systemd 几乎可以管理正在运行的 Linux 系统的各个方面。它可以管理正在运行的服务，同时提供比SystemV 多得多的状态信息。它还管理硬件、进程和进程组、文件系统挂载等。systemd 几乎涉足于现代 Linux 操作系统的每方面，使其成为系统管理的一站式工具。（听起来熟悉吧？）

systemd 工具是编译后的二进制文件，但该工具包是开放的，因为所有配置文件都是 ASCII 文本文件。可以通过各种 GUI 和命令行工具来修改启动配置，也可以添加或修改各种配置文件来满足特定的本地计算环境的需求。

真正的问题

你认为我不能喜欢两种启动系统吗？我能，我会用它们中的任何一个。

我认为，SystemV 和 systemd 之间大多数争议的真正问题和根本原因在于，在系统管理层面没有选择权。使用 SystemV 还是 systemd 已经由各种发行版的开发人员、维护人员和打包人员选择了（但有充分的理由）。由于 init 极端的侵入性，挖出并替换 init 系统会带来很多影响，会带来很多在发行版设计过程之外难以解决的后果。

尽管该选择实际上是为我而选的，但我的Linux主机能不能开机、能不能工作，这是我平时最关心的。作为最终用户，甚至是系统管理员，我主要关心的是我是否可以完成我的工作，例如写我的书和这篇文章，安装更新以及编写脚本来自动化所有事情。只要我能做我的工作，我就不会真正在意发行版中使用的启动系统。

在启动或服务管理出现问题时，我会在意。无论主机上使用哪种启动系统，我都足够了解如何沿着事件顺序来查找故障并进行修复。

替换SystemV

以前曾有过用更现代的东西替代 SystemV 的尝试。大约在两个版本中，Fedora 使用了一个叫作 Upstart 的东西来替换老化的 SystemV，但是它没有取代 init，也没有提供我所注意到的任何变化。由于 Upstart 并未对 SystemV 的问题进行任何显著的改变，所以在这个方向上的努力很快就被放弃了，转而使用 systemd。

尽管大部分 Linux 开发人员都认可替换旧的 SystemV 启动系统是个好主意，但许多开发人员和系统管理员并不喜欢 systemd。与其重新讨论人们在 systemd 中遇到的或曾经遇到过的所有所谓的问题，不如带你去看两篇好文章，尽管有些陈旧，但它们涵盖了大多数内容。Linux 内核的创建者 Linus Torvalds 对 systemd 似乎不感兴趣。在 2014 年 ZDNet 的一篇文章《Linus Torvalds 和其他人对 Linux 上的 systemd 的看法》中，Linus 清楚地表达了他的感受。

“实际上我对 systemd 本身没有任何特别强烈的意见。我对一些核心开发人员有一些问题，我认为他们在对待错误和兼容性方面过于轻率，而且我认为某些设计细节是疯狂的（例如，我不喜欢二进制日志），但这只是细节，不是大问题。”

如果你对 Linus 不太了解的话，我可以告诉你，如果他不喜欢某事，他是非常直言不讳的，很明确，而且相当明确的表示不喜欢。他解决自己对事物不满的方式已经被社会更好地接受了。

2013 年，Poettering 写了一篇很长的博客，他在文章驳斥了关于 systemd 的迷思，同时对创建 systemd 的一些原因进行了深入的剖析。这是一分很好的读物，我强烈建议你阅读。

systemd 任务

根据编译过程中使用的选项（不在本系列中介绍），systemd 可以有多达 69 个二进制可执行文件执行以下任务，其中包括：

• systemd 程序以 1 号进程（PID 1）运行，并提供使尽可能多服务并行启动的系统启动能力，它额外加快了总体启动时间。它还管理关机顺序。
• systemctl 程序提供了服务管理的用户接口。
• 支持 SystemV 和 LSB 启动脚本，以便向后兼容。
• 服务管理和报告提供了比 SystemV 更多的服务状态数据。
• 提供基本的系统配置工具，例如主机名、日期、语言环境、已登录用户的列表，正在运行的容器和虚拟机、系统帐户、运行时目录及设置，用于简易网络配置、网络时间同步、日志转发和名称解析的守护进程。
• 提供套接字管理。
• systemd 定时器提供类似 cron 的高级功能，包括在相对于系统启动、systemd 启动时间、定时器上次启动时间的某个时间点运行脚本。
• 它提供了一个工具来分析定时器规范中使用的日期和时间。
• 能感知分层的文件系统挂载和卸载功能可以更安全地级联挂载的文件系统。
• 允许主动的创建和管理临时文件，包括删除。
• D-Bus 的接口提供了在插入或移除设备时运行脚本的能力。这允许将所有设备（无论是否可插拔）都被视为即插即用，从而大大简化了设备的处理。
• 分析启动环节的工具可用于查找耗时最多的服务。
• 它包括用于存储系统消息的日志以及管理日志的工具。

架构

这些以及更多的任务通过许多守护程序、控制程序和配置文件来支持。图 1 显示了许多属于 systemd 的组件。这是一个简化的图，旨在提供概要描述，因此它并不包括所有独立的程序或文件。它也不提供数据流的视角，数据流是如此复杂，因此在本系列文章的背景下没用。

图 1：systemd 的架构，作者 Shmuel Csaba Otto Traian (CC BY-SA 3.0)

如果要完整地讲解 systemd 就需要一本书。你不需要了解图 1 中的 systemd 组件是如何组合在一起的细节。只需了解支持各种 Linux 服务管理以及日志文件和日志处理的程序和组件就够了。但是很明显， systemd 并不是某些批评者所宣称的那样，它是一个单一的怪物。

作为 1 号进程的 systemd

systemd 是 1 号进程（PID 1）。它的一些功能，比老的 SystemV3 init 要广泛得多，用于管理正在运行的 Linux 主机的许多方面，包括挂载文件系统以及启动和管理 Linux 生产主机所需的系统服务。与启动环节无关的任何 systemd 任务都不在本文讨论范围之内（但本系列后面的一些文章将探讨其中的一些任务）。

首先，systemd 挂载 /etc/fstab 所定义的文件系统，包括所有交换文件或分区。此时，它可以访问位于 /etc 中的配置文件，包括它自己的配置文件。它使用其配置链接 /etc/systemd/system/default.target 来确定将主机引导至哪个状态或目标。default.target 文件是指向真实目标文件的符号链接。对于桌面工作站，通常是 graphical.target，它相当于 SystemV 中的运行级别 5。对于服务器，默认值更可能是 multi-user.target，相当于 SystemV 中的运行级别 3。emergency.target 类似于单用户模式。 目标 target 和 服务 service 是 systemd 的 单元 unit 。

下表（图 2）将 systemd 目标与老的 SystemV 启动运行级别进行了比较。systemd 提供 systemd 目标别名以便向后兼容。目标别名允许脚本（以及许多系统管理员）使用 SystemV 命令（如 init 3）更改运行级别。当然，SystemV 命令被转发给 systemd 进行解释和执行。

图 2：SystemV 运行级别与 systemd 目标和一些目标别名的比较

每个目标在其配置文件中都描述了一个依赖集。systemd 启动必须的依赖项，这些依赖项是运行 Linux 主机到特定功能级别所需的服务。当目标配置文件中列出的所有依赖项被加载并运行后，系统就在该目标级别运行了。在图 2 中，功能最多的目标位于表的顶部，从顶向下，功能逐步递减。

systemd 还会检查老的 SystemV init 目录，以确认是否存在任何启动文件。如果有，systemd 会将它们作为配置文件以启动它们描述的服务。网络服务是一个很好的例子，在 Fedora 中它仍然使用 SystemV 启动文件。

图 3（如下）是直接从启动手册页复制来的。它显示了 systemd 启动期间一般的事件环节以及确保成功启动的基本顺序要求。

                                        cryptsetup-pre.target
                                                   |
 (various low-level                                v
     API VFS mounts:                 (various cryptsetup devices...)
  mqueue, configfs,                                |    |
  debugfs, ...)                                    v    |
  |                                  cryptsetup.target  |
  |  (various swap                                 |    |    remote-fs-pre.target
  |   devices...)                                  |    |     |        |
  |    |                                           |    |     |        v
  |    v                       local-fs-pre.target |    |     |  (network file systems)
  |  swap.target                       |           |    v     v                 |
  |    |                               v           |  remote-cryptsetup.target  |
  |    |  (various low-level  (various mounts and  |             |              |
  |    |   services: udevd,    fsck services...)   |             |    remote-fs.target
  |    |   tmpfiles, random            |           |             |             /
  |    |   seed, sysctl, ...)          v           |             |            /
  |    |      |                 local-fs.target    |             |           /
  |    |      |                        |           |             |          /
  \____|______|_______________   ______|___________/             |         /
                              \ /                                |        /
                               v                                 |       /
                        sysinit.target                           |      /
                               |                                 |     /
        ______________________/|\_____________________           |    /
       /              |        |      |               \          |   /
       |              |        |      |               |          |  /
       v              v        |      v               |          | /
  (various       (various      |  (various            |          |/
   timers...)      paths...)   |   sockets...)        |          |
       |              |        |      |               |          |
       v              v        |      v               |          |
 timers.target  paths.target   |  sockets.target      |          |
       |              |        |      |               v          |
       v              \_______ | _____/         rescue.service   |
                              \|/                     |          |
                               v                      v          |
                           basic.target         rescue.target    |
                               |                                 |
                       ________v____________________             |
                      /              |              \            |
                      |              |              |            |
                      v              v              v            |
                  display-    (various system   (various system  |
              manager.service     services        services)      |
                      |         required for        |            |
                      |        graphical UIs)       v            v
                      |              |            multi-user.target
 emergency.service    |              |              |
         |            \_____________ | _____________/
         v                          \|/
 emergency.target                    v
                              graphical.target

图 3: systemd 启动图

sysinit.target 和 basic.target 目标可以看作启动过程中的检查点。尽管 systemd 的设计目标之一是并行启动系统服务，但是某些服务和功能目标必须先启动，然后才能启动其它服务和目标。直到该检查点所需的所有服务和目标被满足后才能通过这些检查点。

当 sysinit.target 所依赖的所有单元都完成时，就会到达 sysinit.target。所有这些单元，包括挂载文件系统、设置交换文件、启动 Udev、设置随机数生成器种子、启动低层服务以及配置安全服务（如果一个或多个文件系统是加密的）都必须被完成，但在 sysinit.target 中，这些任务可以并行执行。

sysinit.target 启动了系统接近正常运行所需的所有低层服务和单元，它们也是进入 basic.target 所需的。

在完成 sysinit.target 之后，systemd 会启动实现下一个目标所需的所有单元。basic.target 通过启动所有下一目标所需的单元来提供一些额外功能。包括设置为各种可执行程序目录的路径、设置通信套接字和计时器之类。

最后，用户级目标 multi-user.target 或 graphical.target 被初始化。要满足 graphical.target 的依赖必须先达到 multi-user.target。图 3 中带下划线的目标是通常的启动目标。当达到这些目标之一时，启动就完成了。如果 multi-user.target 是默认设置，那么你应该在控制台上看到文本模式的登录界面。如果 graphical.target 是默认设置，那么你应该看到图形的登录界面。你看到的具体的 GUI 登录界面取决于你的默认显示管理器。

引导手册页还描述并提供了引导到初始化 RAM 磁盘和 systemd 关机过程的图。

systemd 还提供了一个工具，该工具列出了完整的启动过程或指定单元的依赖项。单元是一个可控的 systemd 资源实体，其范围可以从特定服务（例如 httpd 或 sshd）到计时器、挂载、套接字等。尝试以下命令并滚动查看结果。

systemctl list-dependencies graphical.target

注意，这会完全展开使系统进入 graphical.target 运行模式所需的顶层目标单元列表。也可以使用 --all 选项来展开所有其它单元。

systemctl list-dependencies --all graphical.target

你可以使用 less 命令来搜索诸如 target、slice 和 socket 之类的字符串。

现在尝试下面的方法。

systemctl list-dependencies multi-user.target

和

systemctl list-dependencies rescue.target

和

systemctl list-dependencies local-fs.target

和

systemctl list-dependencies dbus.service

这个工具帮助我可视化我正用的主机的启动依赖细节。继续花一些时间探索一个或多个 Linux 主机的启动树。但是要小心，因为 systemctl 手册页包含以下注释：

“请注意，此命令仅列出当前被服务管理器加载到内存的单元。尤其是，此命令根本不适合用于获取特定单元的全部反向依赖关系列表，因为它不会列出被单元声明了但是未加载的依赖项。”

结尾语

即使在没有深入研究 systemd 之前，很明显能看出它既强大又复杂。显然，systemd 不是单一、庞大、独体且不可知的二进制文件。相反，它是由许多较小的组件和旨在执行特定任务的子命令组成。

本系列的下一篇文章将更详细地探讨 systemd 的启动，以及 systemd 的配置文件，更改默认的目标以及如何创建简单服务单元。

资源

互联网上有大量关于 systemd 的信息，但是很多都很简短、晦涩甚至是带有误导。除了本文提到的资源外，以下网页还提供了有关 systemd 启动的更详细和可靠的信息。

• Fedora 项目有一个很好的实用的 systemd 指南。它有你需要知道的通过 systemd 来配置、管理和维护 Fedora 主机所需的几乎所有知识。
• Fedora 项目还有一个不错的速记表，将老的 SystemV 命令与对比的 systemd 命令相互关联。
• 有关 systemd 的详细技术信息及创建它的原因，请查看 Freedesktop.org 对 systemd 描述。
• Linux.com 的“systemd 的更多乐趣”提供了更高级的 systemd 信息和技巧。

还有针对 Linux 系统管理员的一系列技术性很强的文章，作者是 systemd 的设计师和主要开发者 Lennart Poettering。这些文章是在 2010 年 4 月至 2011 年 9 月之间撰写的，但它们现在和那时一样有用。关于 systemd 及其生态的其它许多好文都基于这些论文。

• 重新思考 1 号进程
• systemd 系统管理员篇 I
• systemd 系统管理员篇 II
• systemd 系统管理员篇 III
• systemd 系统管理员篇 IV
• systemd 系统管理员篇 V
• systemd 系统管理员篇 VI
• systemd 系统管理员篇 VII
• systemd 系统管理员篇 VIII
• systemd 系统管理员篇 IX
• systemd 系统管理员篇 X
• systemd 系统管理员篇 XI

via: https://opensource.com/article/20/4/systemd

作者：David Both 选题：lujun9972 译者：messon007 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Python 开发者调查显示只有十分之一的人还在用 Python 2

Python 2 已经结束支持，根据 Python 软件基金会和 JetBrains 发布的第三年度 Python 开发者调查，被调查者中只有十分之一的人还在用 Python 2。这项调查收到了 2.4 万多名开发者的回应。

来源：solidot

硬核老王点评：看来 Python 2 终究会被淘汰，向前看总是社区潮流，虽然不能完全向后兼容的 Python 3 当时在社区中引来了很多争议，但目前看起来社区已经过渡到了 Python 3 时代。同样的，还有 systemd 的成功。与这些形成鲜明对比的是 Perl 6 的惨淡局面和 Perl 语言的整体衰落。所以，抛弃历史包袱的不破不立式进步，成功或失败的原因在哪里呢？

比特币第三次采矿回报减半

比特币第三次采矿回报减半提前于 5 月 12 日发生。比特币网络中运算难度是自动调节的，在最初的四年里会有 1050 0000 个 BTC 被制造出来，这个数值每四年减半，所以在第四到第八年中会有 525 0000 个BTC 被制造，在第 8 到第 12 年中会生产 262 5000 个BTC，以此类推。最终比特币的数额会趋近于 2100 0000 个BTC。区块的总数乘以每个区块的比特币值就是现存的比特币总数。2012 年 11 月 28 日，采矿回报从每区块 50 降至 25 BTC。第二次采矿回报减半发生在 2016 年 7 月 10 日。刚刚发生的是第三次，采矿回报从 12.5 减少到 6.25 BTC。第四次预计会在 2024 年 5 月 9 日发生。

来源：solidot

硬核老王点评：又一次减半，多少区块链圈的人如熬年般的关注这一刻。至于之后 BTC 乃至于区块链的发展，还需要拭目以待，不过我的看法总体是乐观的。

人社部拟发布 2 个区块链职业：区块链工程技术员、区块链运营操作员

5 月 11 日，人力资源社会保障部对拟发布新职业信息进行公示，其中包括两个区块链职业。区块链工程技术人员：从事区块链架构设计、底层技术、系统应用、系统测试、系统部署、运行维护的工程技术人员。区块链应用操作员：运用区块链技术及工具，从事政务、金融、医疗、教育、养老等场景系统应用操作的人员。

来源：人力资源社会保障部

硬核老王点评：区块链也有了“正当”职业了。

Swift 现支持更多 Linux 发行版本，包括 Ubuntu 20.04

苹果开源了 Swift 编程语言，但 Swift 跨平台的进展比较缓慢，目前仅支持 macOS 和 Ubuntu。在今年 3 月下旬，Swift 开发团队表示，其即将推出的 5.3 版本的目标包括“增加对 Windows 和其他 Linux 发行版的支持”。在目前支持的 Ubuntu 16.04/18.04 两个发行版本之外，Swift 项目现在添加了对 Ubuntu 20.04、CentOS 8 和 Amazon Linux 2 这三个发行版本的支持。项目团队表示，在未来几个月内将会添加对更多 Linux 发行版本的支持。

来源：cnBeta.COM

硬核老王点评：Swift 没有之前那么受关注了，但是作为一个优秀的编程语言，如果在跨平台方面能取得更多进展，想必能得到更多关注和应用。

罗永浩宣布 t.tt 域名新用途：曾花重金购买

“需要帮助的扶贫地区，如果你有好东西，想找人带货，我们很愿意义务做这样的事情。”今天罗永浩宣布了该域名的新用途——扶贫助农报名网址。罗永浩表示，接下来一段时期要做的是扶贫助农的活动，现在全国范围内，各地的那些县市，因为疫情经济活动受到很大的影响。所以他们手里有一些农产品、一些干货，那些好东西现在就不太好卖，所以呼吁让我们这行帮着做做扶贫助农活动，所以我们很愿意参与。

来源：快科技

硬核老王点评：至少从这个意义上看，还是值得支持的。

我有一个这样的电脑棒（图1），我把它用作通用服务器。它很小且安静，由于它是基于 x86 架构的，因此我为我的打印机安装驱动没有任何问题，而且这就是它大多数时候干的事：与客厅的共享打印机和扫描仪通信。

一个英特尔电脑棒。欧元硬币大小。

大多数时候它都是闲置的，尤其是当我们外出时，因此我认为用它作监视系统是个好主意。该设备没有自带的摄像头，也不需要一直监视。我也不想手动启动图像捕获，因为这样就意味着在出门前必须通过 SSH 登录，并在 shell 中编写命令来启动该进程。

因此，我以为应该这么做：拿一个 USB 摄像头，然后只需插入它即可自动启动监视系统。如果这个电脑棒重启后发现连接了摄像头也启动监视系统就更加分了。

在先前的文章中，我们看到 systemd 服务既可以手动启动或停止，也可以在满足某些条件时启动或停止。这些条件不限于操作系统在启动或关机时序中达到某种状态，还可以在你插入新硬件或文件系统发生变化时进行。你可以通过将 Udev 规则与 systemd 服务结合起来实现。

有 Udev 支持的热插拔

Udev 规则位于 /etc/udev/rules 目录中，通常是由导致一个 动作 action 的 条件 conditions 和 赋值 assignments 的单行语句来描述。

有点神秘。让我们再解释一次：

通常，在 Udev 规则中，你会告诉 systemd 当设备连接时需要查看什么信息。例如，你可能想检查刚插入的设备的品牌和型号是否与你让 Udev 等待的设备的品牌和型号相对应。这些就是前面提到的“条件”。

然后，你可能想要更改一些内容，以便以后可以方便使用该设备。例如，更改设备的读写权限：如果插入 USB 打印机，你会希望用户能够从打印机读取信息（用户的打印应用程序需要知道其模型、制造商，以及是否准备好接受打印作业）并向其写入内容，即发送要打印的内容。更改设备的读写权限是通过你之前阅读的“赋值” 之一完成的。

最后，你可能希望系统在满足上述条件时执行某些动作，例如在插入某个外部硬盘时启动备份程序以复制重要文件。这就是上面提到的“动作”的例子。

了解这些之后, 来看看以下几点:

ACTION=="add", SUBSYSTEM=="video4linux", ATTRS{idVendor}=="03f0", ATTRS{idProduct}=="e207", 
SYMLINK+="mywebcam", TAG+="systemd", MODE="0666", ENV{SYSTEMD_WANTS}="webcam.service"

规则的第一部分,

ACTION=="add", SUBSYSTEM=="video4linux",  ATTRS{idVendor}=="03f0", 
ATTRS{idProduct}=="e207" [etc... ]

表明了执行你想让系统执行的其他动作之前设备必须满足的条件。设备必须被添加到（ACTION=="add"）机器上，并且必须添加到 video4linux 子系统中。为了确保仅在插入正确的设备时才应用该规则，你必须确保 Udev 正确识别设备的制造商（ATTRS{idVendor}=="03f0"）和型号（ATTRS{idProduct}=="e207"）。

在本例中，我们讨论的是这个设备（图2）：

这个试验使用的是 HP 的摄像头。

注意怎样用 == 来表示这是一个逻辑操作。你应该像这样阅读上面的简要规则：

如果添加了一个设备并且该设备由 video4linux 子系统控制，而且该设备的制造商编码是 03f0，型号是 e207，那么…

但是，你从哪里获取的这些信息？你在哪里找到触发事件的动作、制造商、型号等？你可要使用多个来源。你可以通过将摄像头插入机器并运行 lsusb 来获得 IdVendor 和 idProduct ：

lsusb
Bus 002 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 003 Device 003: ID 03f0:e207 Hewlett-Packard
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 003: ID 04f2:b1bb Chicony Electronics Co., Ltd
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

我用的摄像头是 HP 的，你在上面的列表中只能看到一个 HP 设备。ID 提供了制造商和型号，它们以冒号（:）分隔。如果你有同一制造商的多个设备，不确定哪个是哪个设备，请拔下摄像头，再次运行 lsusb , 看看少了什么。

或者…

拔下摄像头，等待几秒钟，运行命令 udevadmin monitor --environment ，然后重新插入摄像头。当你使用的是HP摄像头时，你将看到：

udevadmin monitor --environment
UDEV  [35776.495221] add      /devices/pci0000:00/0000:00:1c.3/0000:04:00.0
    /usb3/3-1/3-1:1.0/input/input21/event11 (input) 
.MM_USBIFNUM=00 
ACTION=add 
BACKSPACE=guess 
DEVLINKS=/dev/input/by-path/pci-0000:04:00.0-usb-0:1:1.0-event 
     /dev/input/by-id/usb-Hewlett_Packard_HP_Webcam_HD_2300-event-if00 
DEVNAME=/dev/input/event11 
DEVPATH=/devices/pci0000:00/0000:00:1c.3/0000:04:00.0/
     usb3/3-1/3-1:1.0/input/input21/event11 
ID_BUS=usb 
ID_INPUT=1 
ID_INPUT_KEY=1 
ID_MODEL=HP_Webcam_HD_2300 
ID_MODEL_ENC=HPx20Webcamx20HDx202300 
ID_MODEL_ID=e207 
ID_PATH=pci-0000:04:00.0-usb-0:1:1.0 
ID_PATH_TAG=pci-0000_04_00_0-usb-0_1_1_0 
ID_REVISION=1020 
ID_SERIAL=Hewlett_Packard_HP_Webcam_HD_2300 
ID_TYPE=video 
ID_USB_DRIVER=uvcvideo 
ID_USB_INTERFACES=:0e0100:0e0200:010100:010200:030000: 
ID_USB_INTERFACE_NUM=00 
ID_VENDOR=Hewlett_Packard 
ID_VENDOR_ENC=Hewlettx20Packard 
ID_VENDOR_ID=03f0 
LIBINPUT_DEVICE_GROUP=3/3f0/e207:usb-0000:04:00.0-1/button 
MAJOR=13 
MINOR=75 
SEQNUM=3162 
SUBSYSTEM=input 
USEC_INITIALIZED=35776495065 
XKBLAYOUT=es 
XKBMODEL=pc105 
XKBOPTIONS= 
XKBVARIANT=

可能看起来有很多信息要处理，但是，看一下这个：列表前面的 ACTION 字段, 它告诉你刚刚发生了什么事件，即一个设备被添加到系统中。你还可以在其中几行中看到设备名称的拼写，因此可以非常确定它就是你要找的设备。输出里还显示了制造商的ID（ID_VENDOR_ID = 03f0）和型号（ID_VENDOR_ID = 03f0）。

这为你提供了规则条件部分需要的四个值中的三个。你可能也会想到它还给了你第四个，因为还有一行这样写道：

SUBSYSTEM=input

小心！尽管 USB 摄像头确实是提供输入的设备（键盘和鼠标也是），但它也属于 usb 子系统和其他几个子系统。这意味着你的摄像头被添加到了多个子系统，并且看起来像多个设备。如果你选择了错误的子系统，那么你的规则可能无法按你期望的那样工作，或者根本无法工作。

因此，第三件事就是检查网络摄像头被添加到的所有子系统，并选择正确的那个。为此，请再次拔下摄像头，然后运行：

ls /dev/video*

这将向你显示连接到本机的所有视频设备。如果你使用的是笔记本，大多数笔记本都带有内置摄像头，它可能会显示为 /dev/video0 。重新插入摄像头，然后再次运行 ls /dev/video*。

现在，你应该看到多一个视频设备（可能是/dev/video1）。

现在，你可以通过运行 udevadm info -a /dev/video1 找出它所属的所有子系统：

udevadm info -a /dev/video1

Udevadm info starts with the device specified by the devpath and then
walks up the chain of parent devices. It prints for every device
found, all possible attributes in the udev rules key format.
A rule to match, can be composed by the attributes of the device
and the attributes from one single parent device.

 looking at device '/devices/pci0000:00/0000:00:1c.3/0000:04:00.0
  /usb3/3-1/3-1:1.0/video4linux/video1':
 KERNEL=="video1"
 SUBSYSTEM=="video4linux"
 DRIVER==""
 ATTR{dev_debug}=="0"
 ATTR{index}=="0"
 ATTR{name}=="HP Webcam HD 2300: HP Webcam HD"

[etc...]

输出持续了相当长的时间，但是你感兴趣的只是开头的部分：SUBSYSTEM =="video4linux"。你可以将这行文本直接复制粘贴到你的规则中。输出的其余部分（为简洁未显示）为你提供了更多的信息，例如制造商和型号 ID，同样是以你可以复制粘贴到你的规则中的格式。

现在，你有了识别设备的方式吗，并明确了什么事件应该触发该动作，该对设备进行修改了。

规则的下一部分，SYMLINK+="mywebcam", TAG+="systemd", MODE="0666" 告诉 Udev 做三件事：首先，你要创建设备的符号链接（例如 /dev/video1 到 /dev/mywebcam。这是因为你无法预测系统默认情况下会把那个设备叫什么。当你拥有内置摄像头并热插拔一个新的时，内置摄像头通常为 /dev/video0，而外部摄像头通常为 /dev/video1。但是，如果你在插入外部 USB 摄像头的情况下重启计算机，则可能会相反，内部摄像头可能会变成 /dev/video1 ，而外部摄像头会变成 /dev/video0。这想告诉你的是，尽管你的图像捕获脚本（稍后将看到）总是需要指向外部摄像头设备，但是你不能依赖它是 /dev/video0 或 /dev/video1。为了解决这个问题，你告诉 Udev 创建一个符号链接，该链接在设备被添加到 video4linux 子系统的那一刻起就不会再变，你将使你的脚本指向该链接。

第二件事就是将 systemd 添加到与此规则关联的 Udev 标记列表中。这告诉 Udev，该规则触发的动作将由 systemd 管理，即它将是某种 systemd 服务。

注意在这个两种情况下是如何使用 += 运算符的。这会将值添加到列表中，这意味着你可以向 SYMLINK 和 TAG 添加多个值。

另一方面，MODE 值只能包含一个值（因此，你可以使用简单的 = 赋值运算符）。MODE 的作用是告诉 Udev 谁可以读或写该设备。如果你熟悉 chmod（你读到此文, 应该会熟悉），你就也会熟悉如何用数字表示权限。这就是它的含义：0666 的含义是 “向所有人授予对设备的读写权限”。

最后， ENV{SYSTEMD_WANTS}="webcam.service" 告诉 Udev 要运行什么 systemd 服务。

将此规则保存到 /etc/udev/rules.d 目录名为 90-webcam.rules（或类似的名称）的文件中，你可以通过重启机器或运行以下命令来加载它：

sudo udevadm control --reload-rules && udevadm trigger

最后的服务

Udev 规则触发的服务非常简单：

# webcam.service

[Service]
Type=simple
ExecStart=/home/[user name]/bin/checkimage.sh

基本上，它只是运行存储在你个人 bin/ 中的 checkimage.sh 脚本并将其放到后台。这是你在先前的文章中看过的内容。它看起来似乎很小，但那只是因为它是被 Udev 规则调用的，你刚刚创建了一种特殊的 systemd 单元，称为 device 单元。 恭喜。

至于 webcam.service 调用的 checkimage.sh 脚本，有几种方法从摄像头抓取图像并将其与前一个图像进行比较以检查变化（这是 checkimage.sh 所做的事），但这是我的方法：

#!/bin/bash 
# This is the checkimage.sh script

mplayer -vo png -frames 1 tv:// -tv driver=v4l2:width=640:height=480:device=
    /dev/mywebcam &>/dev/null 
mv 00000001.png /home/[user name]/monitor/monitor.png 

while true 
do 
   mplayer -vo png -frames 1 tv:// -tv driver=v4l2:width=640:height=480:device=/dev/mywebcam &>/dev/null 
   mv 00000001.png /home/[user name]/monitor/temp.png 

   imagediff=`compare -metric mae /home/[user name]/monitor/monitor.png /home/[user name]
       /monitor/temp.png /home/[user name]/monitor/diff.png 2>&1 > /dev/null | cut -f 1 -d " "` 
   if [ `echo "$imagediff > 700.0" | bc` -eq 1 ] 
       then 
           mv /home/[user name]/monitor/temp.png /home/[user name]/monitor/monitor.png 
       fi 
    
   sleep 0.5 
done

首先使用MPlayer从摄像头抓取一帧（00000001.png）。注意，我们怎样将 mplayer 指向 Udev 规则中创建的 mywebcam 符号链接，而不是指向 video0 或 video1。然后，将图像传输到主目录中的 monitor/ 目录。然后执行一个无限循环，一次又一次地执行相同的操作，但还使用了Image Magick 的 compare 工具来查看最后捕获的图像与 monitor/ 目录中已有的图像之间是否存在差异。

如果图像不同，则表示摄像头的镜框里某些东西动了。该脚本将新图像覆盖原始图像，并继续比较以等待更多变动。

插线

所有东西准备好后，当你插入摄像头后，你的 Udev 规则将被触发并启动 webcam.service。 webcam.service 将在后台执行 checkimage.sh ，而 checkimage.sh 将开始每半秒拍一次照。你会感觉到，因为摄像头的 LED 在每次拍照时将开始闪。

与往常一样，如果出现问题，请运行：

systemctl status webcam.service

检查你的服务和脚本正在做什么。

接下来

你可能想知道：为什么要覆盖原始图像？当然，系统检测到任何动静，你都想知道发生了什么，对吗？你是对的，但是如你在下一部分中将看到的那样，将它们保持原样，并使用另一种类型的 systemd 单元处理图像将更好，更清晰和更简单。

请期待下一篇。

via: https://www.linux.com/blog/intro-to-linux/2018/6/systemd-services-reacting-change

作者：Paul Brown 选题：lujun9972 译者：messon007 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

随着各 GNU/Linux 系统厂商以及社区逐步开始采用新的内核作为其发行版本的默认内核，防火墙机制采用了更新的 nftables 防火墙机制。

尽管红帽公司提供了 firewalld.service 防火墙服务组件以及相关的配置管理命令 firewall-config、firewall-cmd 来对防火墙进行管理，但该服务组件目前还没有在其他发行版或者社区版本内得到统一使用。

为了更好的帮助读者朋友们理解该防火墙机制，笔者将自己在工作中直接使用 nftables 进行手工创建配置，从而使系统具有本地 IPS 能力的过程进行总结。

目前多数主流的新发行版 GNU/Linux 系统，默认安装完成后 systemd 系统和服务管理器中已经添加了新的 nftables.serivce 子服务配置文件。同时依然支持 iptables 规则和 iptables 命令，不过为了彻底将防火墙升级到 nftables 机制，我们可以在没有 firewalld.service 的发行版系统中直接启用 nftables.service 服务来使用新的防火墙。

通过执行命令 vi /lib/systemd/system/nftables.service，从该文件中的语句 ExecStart=/usr/sbin/nft -f /etc/nftables.conf 我们可以清楚的看到，nftables 防火墙的默认配置和规则文件一般都放置在系统的 /etc/nftables.conf 目录中，不过该默认配置文件中只包含一个名为 inet filter 的简单 IPv4/IPv6 防火墙列表。

inet 过滤器可以同时适用于 IPv4 和 IPv6 的规则，但不能用于 NAT 类型的链，只能用于过滤器类型的链。

为了保持和 iptables 防火墙的规则类比，便于用户熟悉，我们可以使用如下 nftables 命令创建相应的表和链来建立一个类似于传统 iptables 防火墙框架，创建过程如下：

1、创建 nft 表

与 iptables 中的表不同，nftables 中没有内置表，表的数量和名称由用户决定。但是，每个表只有一个地址簇，并且只适用于该簇的数据包。

表可以指定五个（ip、ip6、inet、arp、bridge）簇中的一个，用户可以依次执行如下命令：

nft add table ip filter
nft add table ip6 filter
nft add table bridge filter”

nftables 将为我们分别建立三个 ip、ipv6、bridge 簇并且表名均为 filter 的防火墙框架。

2、创建链

表包含链，链的目的是保存规则。

与 iptables 中的链不同，nftables 也没有内置链。这意味着与 iptables 不同，如果链不匹配 nftables 框架中的簇或钩子，则流经这些链的数据包不会被 nftables 触及。

链有两种类型。基础链是来自网络栈的数据包的入口点，其中指定了钩子，其实可以理解为 iptables 防火墙的默认规则。常规链可以理解为其它用户自定义的规则链。

使用如下命令为每一个表建立 INPUT、FORWARD、OUTPUT 链，并且设置基础链，其中 ip 簇 filter 表 INPUT 链默认为丢弃所有数据包的相应的命令格式如下。

添加 ip 簇 filter 表相应链命令集：

nft add chain ip filter INPUT { type filter hook input priority 0\; policy drop\; }  

nft add chain ip filter FORWARD { type filter hook forward priority 0\; policy accept\; }  

nft add chain ip filter OUTPUT { type filter hook output priority 0\; policy accept\; }

添加 ipv6 簇 filter 表相应链命令集：

nft add chain ip6 filter INPUT { type filter hook input priority 0\; policy accept\; }  

nft add chain ip6 filter FORWARD { type filter hook forward priority 0\; policy accept\; }  

nft add chain ip6 filter OUTPUT { type filter hook output priority 0\; policy accept\; }

添加 bridge 簇 filter 表相应链命令集：

nft add chain bridge filter INPUT { type filter hook input priority 0\; policy accept\; }  

nft add chain bridge filter FORWARD { type filter hook forward priority 0\; policy accept\; }  

nft add chain bridge filter OUTPUT { type filter hook forward priority 0\; policy accept\; }

3、添加规则

规则由语句或表达式构成，包含在链中。

将一条规则添加到链中使用如下语法：

nft add rule family table chain handle statement

规则添加到 handle 处，这是可选的。如果不指定，则规则添加到链的末尾，类似于 iptables -A 方法。

将规则插入到指定位置使用如下语法：

nft insert rule family table chain handle statement

如果未指定handle，则规则插入到链的开头，类似于 iptables -I 方法。

以下是用户根据自己的实际情况添加的具体规则：

放行本地回环接口 lo 的所有流量：

nft add rule ip filter INPUT iif lo accept

放行 established、related 状态的数据包，这一点很重要，因为多数对外访问的数据包在收到对端主机回包时多为这两种状态，如果在 INPUT 链中不放行该类型数据包，即使本机的 OUTPUT 链默认为 ACCEPT，让所有数据包出站，系统也会主动在 INPUT 链中丢弃掉相应的回包而导致数据无法交互。具体命令如下：

nft add rule ip filter INPUT ct state established,related accept

阻断存在重大安全隐患的系统端口，包括已经公布的比如勒索病毒等端口。nftables 在配置过程中，当用户使用端口进行添加后，nftables 会自动将端口转换为 service 模式，用户可以通过使用命令 nft describe tcp dport 对照查看。阻断安全隐患的系统端口具体命令如下：

nft add rule ip filter INPUT meta l4proto tcp tcp dport { loc-srv, 136, netbios-ns, netbios-dgm, netbios-ssn, microsoft-ds, 3389, radmin-port } counter drop

nft add rule ip filter INPUT meta l4proto udp udp dport { loc-srv, 136, netbios-ns, netbios-dgm, netbios-ssn, microsoft-ds, 3389, radmin-port } counter drop

对服务进行限流控制，防止 DDoS 攻击或者 CC 攻击造成系统服务中断，可以通过 limit 限制通信速率，以下是接受一个每秒最多 10 个 web 或者 https 或者 dns 查询请求的数据包，同时可以有 2 个包超出限制的规则具体命令：

nft add rule ip filter INPUT meta l4proto tcp tcp dport { 80,443,53 } ct state new limit rate 10/second burst 4 packets accept
  
nft add rule ip filter INPUT meta l4proto udp udp dport { 80,443,53 } ct state new limit rate 10/second burst 4 packets accept

总结

经过以上配置后，我们的主机就具有了很好的本机 IPS 能力。应对不论是面向南北跨路由器的访问流量，还是本地网络内的东西访问流量，常规的恶意扫描或者恶意攻击基本是够用了。

之后用户可以使用命令 nft list ruleset > /etc/nftables.conf 将这些规则保存在 nftables 的默认配置文件中，并使用 systemctl enable nftables.service 打开该服务的默认启动模式，之后系统将在开机时自动启动 nftables 防火墙并应用相应规则。

用户也可以通过命令 vi /etc/nftables.conf 来直接按照相应规则编辑该文件来修改防火墙配置，以确保自己的系统处于本机防火墙 IPS 能力的保护之下。

希望本文对你有用并能帮助到你。

elementaryOS 5.1.4 可以限制自己的使用时间

这次新的更新将家长控制重命名为“屏幕时间和限制”，也引入了新的功能，可以为任何账户设置特殊规则，包括你自己的账户，此前这只限于非管理员账户。系统设置的搜索也进行了大修，让你可以更容易找到特定的配置选项。此外，新的更新还包含了很多修复，包括视频、Gala 窗口管理器、照片应用和媒体键等。

来源：softpedia

硬核老王点评：现在自己的使用时间，这是怕自己上网成瘾么？

全球虚拟专用网络的使用量在 3 月呈爆炸式增长

据英国虚拟专用网络研究和测试公司 Top10VPN.com 的研究报告显示，3 月 13 日至 3 月 23 日期间，美国的商用虚拟专用网络需求量猛增 41%。虚拟专用网络需求增幅最大的国家是在并未预料到的地方：埃及（224%）、斯洛文尼亚（169%）和智利（149%），最大的持续增长（两周或以上）是在埃及（154%）、秘鲁（119%）和南非（105%）。美国和英国有 51% 的人在公共 Wi-Fi 网络上使用虚拟专用网络来保护隐私。另有 44% 的受访者表示，匿名浏览是使用虚拟专用网络的主要原因，其次是安全通讯。

来源：networkworld

硬核老王点评：“佛跳墙”还是有严肃的企业和个人用途的，惜乎这个缩写竟然是敏感词。

Valve 出人意料地决定放弃 macOS 版的 SteamVR，未来将只专注于 Linux 和 Windows 系统

SteamVR for macOS 发布于 2017 年年中。虽然不知道该公司为何做出这一决定，但 Valve 表示，开发者们会继续为苹果的操作系统构建应用，只是未来不会发布新的功能或 bug 修复。Valve 表示，从现在开始，它将只专注于 Windows 和 Linux 平台的开发。

来源：softpedia

LLVM 10 被发现影响 Rust 性能 导致编译时间变长

外媒 Phoronix 在进行基准测试后发现，与 LLVM/Clang 9.0 相比，Clang 10.0 的基准测试结果整体上不错，至少没有出现明显的倒退。但与使用 LLVM 9.0 相比，LLVM 10.0 会导致 Rust 编译时间变慢 7~8%。

来源：开源中国

微软保留福利：Win7/8.1 仍可免费升级至 Win10

据外媒Windowslatest报道称，Windows 10的原始免费升级优惠已在多年前正式到期，但通过他们实际的测试体验后发现，免费升级的漏洞至今依旧有效。具体来说，Win 用户可以下载微软官方提供的 Media Creation Tool（媒体介质创建工具）,选择“Upgrade this PC now（现在升级这台电脑）”即可。不清楚微软何故至今保留着这个免费漏洞，也许是对 Win10 迟到 3 年才达成 10 亿用户量仍旧不满意。

来源：快科技

硬核老王点评：只要有利，那就睁一只眼闭一只眼吧。

继 Chrome 之后，Edge 也将隐藏来自网站的垃圾通知

除了社交媒体平台外，其它线上业者也越来越多地要求获得新文章或内容的通知权限。跟随谷歌和 Mozilla 的脚步，微软现在正在测试一项新功能：将隐藏 Edge 浏览器内的通知弹出提示。这家科技巨头计划在今年晚些时候推出“更安静的通知”功能，以减少网络垃圾通知和权限请求。

来源：cnBeta.COM

硬核老王点评：再好的机制也会因滥用而被重重束缚。

任天堂法务部遇挑战：马里奥 64 移植版已失控扩散

种子站、Youtube视频、谷歌搜索结果、Reddit 论坛帖子等比较容易找到的相关讨论都正在成为其法律公司的打击对象，可以说是火力全开重拳出击了。但问题是许多玩家都已经下载了可执行程序，并且通过社交媒体继续传播。后续上传的移植版视频也非常多，封不过来。

来源：3DMGame

如果你想在一个媒体项目中用到了多个磁盘或分区，不想丢失任何现有数据，但又想将所有文件都存放在一个驱动器下，该怎么办？这时，mergefs 就能派上用场！

mergerfs 是一个联合文件系统，旨在简化存储和管理众多商业存储设备上的文件。

你需要从他们的 GitHub 页面获取最新的 RPM。Fedora 的版本名称中带有 “fc” 和版本号。例如，这是 Fedora 31 的版本： mergerfs-2.29.0-1.fc31.x86\_64.rpm。

安装和配置 mergefs

使用 sudo 安装已下载的 mergefs 软件包：

$ sudo dnf install mergerfs-2.29.0-1.fc31.x86_64.rpm

现在，你可以将多个磁盘挂载为一个驱动器。如果你有一台媒体服务器，并且希望所有媒体文件都显示在一个地方，这将很方便。如果将新文件上传到系统，那么可以将它们复制到 mergefs 目录，mergefs 会自动将它们复制具有足够可用空间的磁盘上。

这是使你更容易理解的例子：

$ df -hT | grep disk
/dev/sdb1      ext4      23M  386K 21M 2% /disk1
/dev/sdc1      ext4      44M  1.1M 40M 3% /disk2

$ ls -l /disk1/Videos/
total 1
-rw-r--r--. 1 curt curt 0 Mar 8 17:17 Our Wedding.mkv

$ ls -l /disk2/Videos/
total 2
-rw-r--r--. 1 curt curt 0 Mar 8 17:17 Baby's first Xmas.mkv
-rw-rw-r--. 1 curt curt 0 Mar 8 17:21 Halloween hijinks.mkv

在此例中挂载了两块磁盘，分别为 disk1 和 disk2。两个驱动器都有一个包含文件的 Videos 目录。

现在，我们将使用 mergefs 挂载这些驱动器，使它们看起来像一个更大的驱动器。

$ sudo mergerfs -o defaults,allow_other,use_ino,category.create=mfs,moveonenospc=true,minfreespace=1M /disk1:/disk2 /media

mergefs 手册页非常庞杂，因此我们将说明上面提到的选项。

• defaults：除非指定，否则将使用默认设置。
• allow_other：允许 sudo 或 root 以外的用户查看文件系统。
• use_ino：让 mergefs 提供文件/目录 inode 而不是 libfuse。虽然不是默认值，但建议你启用它，以便链接的文件共享相同的 inode 值。
• category.create=mfs：根据可用空间在驱动器间传播文件。
• moveonenospc=true：如果启用，那么如果写入失败，将进行扫描以查找具有最大可用空间的驱动器。
• minfreespace=1M：最小使用空间值。
• disk1：第一块硬盘。
• disk2：第二块硬盘。
• /media：挂载驱动器的目录。

看起来是这样的：

$ df -hT | grep disk
/dev/sdb1  ext4           23M      386K 21M 2% /disk1
/dev/sdc1  ext4           44M      1.1M 40M 3% /disk2

$ df -hT | grep media
1:2        fuse.mergerfs  66M      1.4M 60M 3% /media

你可以看到现在 mergefs 挂载显示的总容量为 66M，这是两块硬盘的总容量。

继续示例：

有一个叫 Baby's second Xmas.mkv 的 30M 视频。让我们将其复制到用 mergerfs 挂载的 /media 文件夹中。

$ ls -lh "Baby's second Xmas.mkv"
-rw-rw-r--. 1 curt curt 30M Apr 20 08:45 Baby's second Xmas.mkv
$ cp "Baby's second Xmas.mkv" /media/Videos/

这是最终结果：

$ df -hT | grep disk
/dev/sdb1  ext4          23M 386K 21M 2% /disk1
/dev/sdc1  ext4          44M 31M 9.8M 76% /disk2

$ df -hT | grep media
1:2        fuse.mergerfs 66M 31M 30M 51% /media

从磁盘空间利用率中可以看到，因为 disk1 没有足够的可用空间，所以 mergefs 自动将文件复制到 disk2。

这是所有文件详情：

$ ls -l /disk1/Videos/
total 1
-rw-r--r--. 1 curt curt 0 Mar 8 17:17 Our Wedding.mkv

$ ls -l /disk2/Videos/
total 30003
-rw-r--r--. 1 curt curt 0 Mar 8 17:17 Baby's first Xmas.mkv
-rw-rw-r--. 1 curt curt 30720000 Apr 20 08:47 Baby's second Xmas.mkv
-rw-rw-r--. 1 curt curt 0 Mar 8 17:21 Halloween hijinks.mkv

$ ls -l /media/Videos/
total 30004
-rw-r--r--. 1 curt curt 0 Mar 8 17:17 Baby's first Xmas.mkv
-rw-rw-r--. 1 curt curt 30720000 Apr 20 08:47 Baby's second Xmas.mkv
-rw-rw-r--. 1 curt curt 0 Mar 8 17:21 Halloween hijinks.mkv
-rw-r--r--. 1 curt curt 0 Mar 8 17:17 Our Wedding.mkv

当你将文件复制到 mergefs 挂载点时，它将始终将文件复制到有足够可用空间的硬盘上。如果池中的所有驱动器都没有足够的可用空间，那么你将无法复制它们。

via: https://fedoramagazine.org/using-mergerfs-to-increase-your-virtual-storage/

作者：Curt Warfield 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出