获得自由尝试的权利，同时在你的实验出错时可以安全地拥有一个新的、链接的克隆存储库。

Git 的设计部分是为了进行实验。如果你知道你的工作会被安全地跟踪，并且在出现严重错误时有安全状态存在，你就不会害怕尝试新的想法。不过，创新的部分代价是，你很可能会在这个过程中弄得一团糟。文件会被重新命名、移动、删除、更改、切割成碎片；新的文件被引入；你不打算跟踪的临时文件会在你的工作目录中占据一席之地等等。

简而言之，你的工作空间变成了纸牌屋，在“快好了！”和“哦，不，我做了什么？”之间岌岌可危地平衡着。那么，当你需要把仓库恢复到下午的一个已知状态，以便完成一些真正的工作时，该怎么办？我立刻想到了 git branch 和 git stash 这两个经典命令，但这两个命令都不是用来处理未被跟踪的文件的，而且文件路径的改变和其他重大的转变也会让人困惑，它们只能把工作暂存（stash）起来以备后用。解决这个需求的答案是 Git 工作树。

什么是 Git 工作树

Git 工作树 worktree 是 Git 仓库的一个链接副本，允许你同时签出多个分支。工作树与主工作副本的路径是分开的，它可以处于不同的状态和不同的分支上。在 Git 中新建工作树的好处是，你可以在不干扰当前工作环境的情况下，做出与当前任务无关的修改、提交修改，然后在以后合并。

直接从 git-worktree 手册中找到了一个典型的例子：当你正在为一个项目做一个令人兴奋的新功能时，你的项目经理告诉你有一个紧急的修复工作。问题是你的工作仓库（你的“工作树”）处于混乱状态，因为你正在开发一个重要的新功能。你不想在当前的冲刺中“偷偷地”进行修复，而且你也不愿意把变更暂存起来，为修复创建一个新的分支。相反，你决定创建一个新的工作树，这样你就可以在那里进行修复：

$ git branch | tee
* dev
trunk
$ git worktree add -b hotfix ~/code/hotfix trunk
Preparing ../hotfix (identifier hotfix)
HEAD is now at 62a2daf commit

在你的 code 目录中，你现在有一个新的目录叫做 hotfix，它是一个与你的主项目仓库相连的 Git 工作树，它的 HEAD 停在叫做 trunk 的分支上。现在你可以把这个工作树当作你的主工作区来对待。你可以把目录切换到它里面，进行紧急修复、提交、并最终删除这个工作树：

$ cd ~/code/hotfix
$ sed -i 's/teh/the/' hello.txt
$ git commit --all --message 'urgent hot fix'

一旦你完成了你的紧急工作，你就可以回到你之前的任务。你可以控制你的热修复何时被集成到主项目中。例如，你可以直接将变更从其工作树推送到项目的远程存储库中：

$ git push origin HEAD
$ cd ~/code/myproject

或者你可以将工作树存档为 TAR 或 ZIP 文件：

$ cd ~/code/myproject
$ git archive --format tar --output hotfix.tar master

或者你可以从单独的工作树中获取本地的变化：

$ git worktree list
/home/seth/code/myproject  15fca84 [dev]
/home/seth/code/hotfix     09e585d [master]

从那里，你可以使用任何最适合你和你的团队的策略合并你的变化。

列出活动工作树

你可以使用 git worktree list 命令获得工作树的列表，并查看每个工作树签出的分支：

$ git worktree list
/home/seth/code/myproject  15fca84 [dev]
/home/seth/code/hotfix     09e585d [master]

你可以在任何一个工作树中使用这个功能。工作树始终是连接的（除非你手动移动它们，破坏 Git 定位工作树的能力，从而切断连接）。

移动工作树

Git 会跟踪项目 .git 目录下工作树的位置和状态：

$ cat ~/code/myproject/.git/worktrees/hotfix/gitdir
/home/seth/code/hotfix/.git

如果你需要重定位一个工作树，必须使用 git worktree move；否则，当 Git 试图更新工作树的状态时，就会失败：

$ mkdir ~/Temp
$ git worktree move hotfix ~/Temp
$ git worktree list
/home/seth/code/myproject  15fca84 [dev]
/home/seth/Temp/hotfix     09e585d [master]

移除工作树

当你完成你的工作时，你可以用 remove 子命令删除它：

$ git worktree remove hotfix
$ git worktree list
/home/seth/code/myproject  15fca84 [dev]

为了确保你的 .git 目录是干净的，在删除工作树后使用 prune 子命令：

$ git worktree remove prune

何时使用工作树

与许多选项一样，无论是标签还是书签还是自动备份，都要靠你来跟踪你产生的数据，否则可能会变得不堪重负。不要经常使用工作树，要不你最终会有 20 份存储库的副本，每份副本的状态都略有不同。我发现最好是创建一个工作树，做需要它的任务，提交工作，然后删除树。保持简单和专注。

重要的是，工作树为你管理 Git 存储库的方式提供了更好的灵活性。在需要的时候使用它们，再也不用为了检查另一个分支上的内容而争先恐后地保存工作状态了。

via: https://opensource.com/article/21/4/git-worktree

作者：Seth Kenlon 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

加密货币交易所第一股 Coinbase 上市，创始人致谢中本聪

4 月 14 日，加密货币交易所 Coinbase 正式登陆纳斯达克。其发行价为 250 美元，开盘价 381 美元，最高报 429.54 美元。随后一路走低，截至收盘，报 328.28 美元，涨幅 31.31%，市值达 653.93 亿美元。

Coinbase 的联合创始人在 Twitter 上回顾了 Coinbase 的历程，并隔空喊话中本聪：谢谢你，无论你是谁。

此外，在 Coinbase 上市前，比特币价格突破 64000 美元，再次刷新历史记录。Coinbase 上市后，比特币股价一度升至 64829 美元，此后有所回落。

加密货币行业应该感谢中本聪，无论他是谁，但不是每个人都感谢他。

华为提供适配套件可以将 App 对 GMS 的依赖替换为 HMS

华为与欧洲领先的企业应用解决方案提供商 Bluesource 合作开发了 Choice SDK，可以将适配谷歌 GMS 的 App 轻松转换为适配华为的 HMS。该套件最初是为了向奥地利市场的华为移动设备用户提供自家的 App 服务。后来转为开源软件，据称已被奥地利国家电视广播公司、奥地利联邦铁路、奥地利邮政服务等 App 所采用。

虽然有些艰难，但是 HMS 的生态发展很快，这样的工具会有助于推进发展。

System76 正在为其 Pop!\_OS Linux 开发新桌面

System76 是一家销售运行 Linux 的笔记本电脑、PC 和服务器的美国公司，它正在为其Pop!\_OS 发行版开发一种新的基于 GNOME 的桌面 GUI，名为 COSMIC，计划发布在其 6 月份的下一个 Pop!\_OS 版本中。从 GitHub 上的代码来看，COSMIC 似乎是基于 GNOME 3.38 而不是新发布的 GNOME 40。

System76 正在邀请 Windows 和 macOS 测试用户，而不是邀请 Linux 用户测试，因为它的自然市场是那些因隐私问题而心灰意冷的 Windows 用户，或者是那些希望运行更像运行在大多数服务器和移动设备上的操作系统的开发者和技术人员。

额，不邀请 Linux 用户测试——这让人有点失望啊！

使用开源技术可以帮助组织获得更好的业务结果。

构建技术栈是每个组织的主要决策。选择合适的工具将让团队获得成功，选择错误的解决方案或平台会对生产率和利润率产生毁灭性影响。为了在当今快节奏的世界中脱颖而出，组织必须明智地选择数字解决方案，好的数字解决方案可以提升团队行动力与运营敏捷性。

这就是为什么越来越多的组织都采用开源解决方案的原因，这些组织来自各行各业，规模有大有小。根据 麦肯锡 最近的报告，高绩效组织的最大区别是采用不同的开源方案。

采用开源技术可以帮助组织提高竞争优势、获得更好业务成果的原因有以下四点。

1、可拓展性和灵活性

可以说，技术世界发展很快。例如，在 2014 年之前，Kubernetes 并不存在，但今天，它却令人印象深刻，无处不在。根据 CNCF 2020 云原生调查，91% 的团队正在以某种形式使用 Kubernetes。

组织投资开源的一个主要原因是因为开源赋予组织行动敏捷性，组织可以迅速地将新技术集成到技术栈中。这与传统方法不同，在传统方法中，团队需要几个季度甚至几年来审查、实施、采用软件，这导致团队不可能实现火速转变。

开源解决方案完整地提供源代码，团队可以轻松将软件与他们每天使用的工具连接起来。

简而言之，开源让开发团队能够为手头的东西构建完美的工具，而不是被迫改变工作方式来适应不灵活的专有工具。

2、安全性和高可信的协作

在数据泄露备受瞩目的时代，组织需要高度安全的工具来保护敏感数据的安全。

专有解决方案中的漏洞不易被发现，被发现时为时已晚。不幸的是，使用这些平台的团队无法看到源代码，本质上是他们将安全性外包给特定供应商，并希望得到最好的结果。

采用开源的另一个主要原因是开源工具使组织能够自己把控安全。例如，开源项目——尤其是拥有大型开源社区的项目——往往会收到更负责任的漏洞披露，因为每个人在使用过程中都可以彻底检查源代码。

由于源代码是免费提供的，因此披露通常伴随着修复缺陷的详细建议解决方案。这些方案使得开发团队能够快速解决问题，不断增强软件。

在远程办公时代，对于分布式团队来说，在知道敏感数据受到保护的情况下进行协作比以往任何时候都更重要。开源解决方案允许组织审核安全性、完全掌控自己数据，因此开源方案可以促进远程环境下高可信协作方式的成长。

3、不受供应商限制

根据 最近的一项研究，68% 的 CIO 担心受供应商限制。当你受限于一项技术中，你会被迫接受别人的结论，而不是自己做结论。

当组织更换供应商时，专有解决方案通常会 给你带走数据带来挑战。另一方面，开源工具提供了组织需要的自由度和灵活性，以避免受供应商限制，开源工具可以让组织把数据带去任意地方。

4、顶尖人才和社区

随着越来越多的公司 接受远程办公，人才争夺战变得愈发激烈。

在软件开发领域，获得顶尖人才始于赋予工程师先进工具，让工程师在工作中充分发挥潜力。开发人员 越来越喜欢开源解决方案 而不是专有解决方案，组织应该强烈考虑用开源替代商业解决方案，以吸引市场上最好的开发人员。

除了雇佣、留住顶尖人才更容易，公司能够通过开源平台利用贡献者社区，得到解决问题的建议，从平台中得到最大收益。此外，社区成员还可以 直接为开源项目做贡献。

开源带来自由

开源软件在企业团队中越来越受到欢迎——这是有原因的。它帮助团队灵活地构建完美的工作工具，同时使团队可以维护高度安全的环境。同时，开源允许团队掌控未来方向，而不是局限于供应商的路线图。开源还帮助公司接触才华横溢的工程师和开源社区成员。

via: https://opensource.com/article/21/4/open-source-competitive-advantage

作者：Jason Blais 选题：lujun9972 译者：DCOLIVERSUN 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

使用开源工具来保护你的 Linux 环境不被入侵。

如今我们的许多个人和专业数据都可以在网上获得，因此无论是专业人士还是普通互联网用户，学习安全和隐私的基本知识是非常重要的。作为一名学生，我通过学校的 CyberPatriot 活动获得了这方面的经验，在那里我有机会与行业专家交流，了解网络漏洞和建立系统安全的基本步骤。

本文基于我作为初学者迄今所学的知识，详细介绍了六个简单的步骤，以提高个人使用的 Linux 环境的安全性。在我的整个旅程中，我利用开源工具来加速我的学习过程，并熟悉了与提升 Linux 服务器安全有关的更高层次的概念。

我使用我最熟悉的 Ubuntu 18.04 版本测试了这些步骤，但这些步骤也适用于其他 Linux 发行版。

1、运行更新

开发者们不断地寻找方法，通过修补已知的漏洞，使服务器更加稳定、快速、安全。定期运行更新是一个好习惯，可以最大限度地提高安全性。运行它们：

sudo apt-get update && apt-get upgrade

2、启用防火墙保护

启用防火墙 可以更容易地控制服务器上的进站和出站流量。在 Linux 上有许多防火墙应用程序可以使用，包括 firewall-cmd 和 简单防火墙 Uncomplicated Firewall （UFW）。我使用 UFW，所以我的例子是专门针对它的，但这些原则适用于你选择的任何防火墙。

安装 UFW：

sudo apt-get install ufw

如果你想进一步保护你的服务器，你可以拒绝传入和传出的连接。请注意，这将切断你的服务器与世界的联系，所以一旦你封锁了所有的流量，你必须指定哪些出站连接是允许从你的系统中发出的：

sudo ufw default deny incoming
sudo ufw default allow outgoing

你也可以编写规则来允许你个人使用所需要的传入连接：

ufw allow <service>

例如，允许 SSH 连接：

ufw allow ssh

最后，启用你的防火墙：

sudo ufw enable

3、加强密码保护

实施强有力的密码政策是保持服务器安全、防止网络攻击和数据泄露的一个重要方面。密码策略的一些最佳实践包括强制要求最小长度和指定密码年龄。我使用 libpam-cracklib 软件包来完成这些任务。

安装 libpam-cracklib 软件包：

sudo apt-get install libpam-cracklib

强制要求密码的长度：

• 打开 /etc/pam.d/common-password 文件。
• 将 minlen=12 行改为你需要的任意字符数，从而改变所有密码的最小字符长度要求。

为防止密码重复使用：

• 在同一个文件（/etc/pam.d/common-password）中，添加 remember=x 行。
• 例如，如果你想防止用户重复使用他们最后 5 个密码中的一个，使用 remember=5。

要强制要求密码年龄：

• 在 /etc/login.defs 文件中找到以下几行，并用你喜欢的时间（天数）替换。例如：

PASS_MIN_AGE: 3
PASS_MAX_AGE: 90
PASS_WARN_AGE: 14 

强制要求字符规格：

• 在密码中强制要求字符规格的四个参数是 lcredit（小写）、ucredit（大写）、dcredit（数字）和 ocredit（其他字符）。

• 在同一个文件（/etc/pam.d/common-password）中，找到包含 pam_cracklib.so 的行。

  • 在该行末尾添加以下内容：lcredit=-a ucredit=-b dcredit=-c ocredit=-d。
  • 例如，下面这行要求密码必须至少包含一个每种字符。你可以根据你喜欢的密码安全级别来改变数字。lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1。

4、停用容易被利用的非必要服务。

停用不必要的服务是一种最好的做法。这样可以减少开放的端口，以便被利用。

安装 systemd 软件包：

sudo apt-get install systemd

查看哪些服务正在运行：

systemctl list-units

识别 哪些服务可能会导致你的系统出现潜在的漏洞。对于每个服务可以：

• 停止当前正在运行的服务：systemctl stop <service>。
• 禁止服务在系统启动时启动：systemctl disable <service>。
• 运行这些命令后，检查服务的状态：systemctl status <service>。

5、检查监听端口

开放的端口可能会带来安全风险，所以检查服务器上的监听端口很重要。我使用 netstat 命令来显示所有的网络连接：

netstat -tulpn

查看 “address” 列，确定 端口号。一旦你找到了开放的端口，检查它们是否都是必要的。如果不是，调整你正在运行的服务，或者调整你的防火墙设置。

6、扫描恶意软件

杀毒扫描软件可以有用的防止病毒进入你的系统。使用它们是一种简单的方法，可以让你的服务器免受恶意软件的侵害。我首选的工具是开源软件 ClamAV。

安装 ClamAV：

sudo apt-get install clamav

更新病毒签名：

sudo freshclam

扫描所有文件，并打印出被感染的文件，发现一个就会响铃：

sudo clamscan -r --bell -i /

你可以而且应该设置为自动扫描，这样你就不必记住或花时间手动进行扫描。对于这样简单的自动化，你可以使用 systemd 定时器 或者你的 喜欢的 cron 来做到。

保证你的服务器安全

我们不能把保护服务器安全的责任只交给一个人或一个组织。随着威胁环境的不断迅速扩大，我们每个人都应该意识到服务器安全的重要性，并采用一些简单、有效的安全最佳实践。

这些只是你提升 Linux 服务器的安全可以采取的众多步骤中的一部分。当然，预防只是解决方案的一部分。这些策略应该与严格监控拒绝服务攻击、用 Lynis 做系统分析以及创建频繁的备份相结合。

你使用哪些开源工具来保证服务器的安全？在评论中告诉我们它们的情况。

via: https://opensource.com/article/21/4/securing-linux-servers

作者：Sahana Sreeram 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

安全研究人员根据修复补丁，直接在网上公开了 Chrome 漏洞

一名印度安全研究人员公布了一个最近发现的漏洞的概念验证利用代码，该漏洞存在于 V8 JavaScript 引擎中，影响了谷歌 Chrome、微软 Edge 以及 Opera 和 Brave 等其他基于 Chromium 的浏览器。

该漏洞在上周举行的 Pwn2Own 黑客大赛中被使用，参赛选手因此赢得了 10 万美元的奖金。根据比赛规则，关于这个漏洞的细节被交给了 Chrome 安全团队，谷歌将修复补丁提交到了 V8 引擎，但尚未及时发布到 Chromium 浏览器中（本文发布时已更新修复）。结果，另外一位安全研究人员根据该补丁重现了该漏洞，并将其发布到了 GitHub 上，并通过 Twitter 公之于众。

研究人员所发布的并非完全武器化的漏洞，利用也需要一定的条件。但这件事凸显了“开源补丁间隙”问题，在安全补丁传递到下游之前的空隙期间，可能带来更大的安全风险。

FreeBSD 13.0 发布

新版本包含了大量的软件更新；64 位 ARM 架构现在与 x86\_64 并列成为一级架构；ZFS 采用 OpenZFS 实现；LLVM Clang 11 成为默认的编译器工具链；移除了各种过时的老版本工具，如旧版的 GDB、GCC 和 Binutils；以及因为质量原因，这次对 WireGuard 的支持未能加入。其它亮点可参见基金会文章。

这是一个值得关注的大版本，可惜的是 WireGuard 没能进入。

Apache 软件基金会撤下了大量的 Hadoop 相关项目

从 4 月 1 日开始，Apache 软件基金会（ASF）宣布至少有 19 个开源项目退居“ 阁楼 Attic ”，其中 13 个与大数据相关，10 个是 Hadoop 生态系统的一部分。ASF 表示这是常规的项目退役高峰，经过了项目管理委员会到董事会的投票，这些项目被放到了“阁楼”。

这或许是 ASF 内部进行清仓，但是似乎也能表明，Hadoop 已经在优胜劣汰中处于劣势，让位于 Spark 了。

使用 Linux 统一密钥设置（LUKS）为物理驱动器或云存储上的敏感文件创建一个加密保险库。

最近，我演示了如何在 Linux 上使用 统一密钥设置 Linux Unified Key Setup （LUKS）和 cryptsetup 命令 实现全盘加密。虽然加密整个硬盘在很多情况下是有用的，但也有一些原因让你不想对整个硬盘进行加密。例如，你可能需要让一个硬盘在多个平台上工作，其中一些平台可能没有集成 LUKS。此外，现在是 21 世纪，由于云的存在，你可能不会使用物理硬盘来处理所有的数据。

几年前，有一个名为 TrueCrypt 的系统，允许用户创建加密的文件保险库，可以通过 TrueCrypt 解密来提供读/写访问。这是一项有用的技术，基本上提供了一个虚拟的便携式、完全加密的驱动器，你可以在那里存储重要数据。TrueCrypt 项目关闭了，但它可以作为一个有趣的模型。

幸运的是，LUKS 是一个灵活的系统，你可以使用它和 cryptsetup 在一个独立的文件中创建一个加密保险库，你可以将其保存在物理驱动器或云存储中。

下面就来介绍一下怎么做。

1、建立一个空文件

首先，你必须创建一个预定大小的空文件。就像是一种保险库或保险箱，你可以在其中存储其他文件。你使用的命令是 util-linux 软件包中的 fallocate：

$ fallocate --length 512M vaultfile.img

这个例子创建了一个 512MB 的文件，但你可以把你的文件做成任何你想要的大小。

2、创建一个 LUKS 卷

接下来，在空文件中创建一个 LUKS 卷：

$ cryptsetup --verify-passphrase \
    luksFormat vaultfile.img

3、打开 LUKS 卷

要想创建一个可以存储文件的文件系统，必须先打开 LUKS 卷，并将其挂载到电脑上：

$ sudo cryptsetup open \
    --type luks vaultfile.img myvault
$ ls /dev/mapper
myvault

4、建立一个文件系统

在你打开的保险库中建立一个文件系统：

$ sudo mkfs.ext4 -L myvault /dev/mapper/myvault

如果你现在不需要它做什么，你可以关闭它：

$ sudo cryptsetup close myvault

5、开始使用你的加密保险库

现在一切都设置好了，你可以在任何需要存储或访问私人数据的时候使用你的加密文件库。要访问你的保险库，必须将其挂载为一个可用的文件系统：

$ sudo cryptsetup open \
    --type luks vaultfile.img myvault
$ ls /dev/mapper
myvault
$ sudo mkdir /myvault
$ sudo mount /dev/mapper/myvault /myvault

这个例子用 cryptsetup 打开保险库，然后把保险库从 /dev/mapper 下挂载到一个叫 /myvault 的新目录。和 Linux 上的任何卷一样，你可以把 LUKS 卷挂载到任何你想挂载的地方，所以除了 /myvault，你可以用 /mnt 或 ~/myvault 或任何你喜欢的位置。

当它被挂载后，你的 LUKS 卷就会被解密。你可以像读取和写入文件一样读取和写入它，就像它是一个物理驱动器一样。

当使用完你的加密保险库时，请卸载并关闭它：

$ sudo umount /myvault
$ sudo cryptsetup close myvault

加密的文件保险库

你用 LUKS 加密的镜像文件和其他文件一样，都是可移动的，因此你可以将你的保险库存储在硬盘、外置硬盘，甚至是互联网上。只要你可以使用 LUKS，就可以解密、挂载和使用它来保证你的数据安全。轻松加密，提高数据安全性，不妨一试。

via: https://opensource.com/article/21/4/linux-encryption

作者：Seth Kenlon 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出