服务器管理员需要维护系统并保持更新和安全。每天需要运行大量的指令。有些系统进程会记录日志。这些日志不断更新。为了检查这些更新，需要重复地执行命令。比如，为了读取一个日志文件需要使用head、tail、cat等命令。这些命令需要重复地执行。而watch命令可以用于定期地执行一个命令。

Watch 命令

watch是一个简单的命令，只有几个选项。watch命令的基本语法是：

watch [-dhvt] [-n <seconds>] [--differences[=cumulative]] [--help] [--interval=<seconds>] [--no-title] [--version] <command>

watch命令默认每隔2秒执行后面参数给出的命令。这个时间根据的是命令执行结束到上次执行的间隔来算的。比如，watch命令可以用于监测日志更新，更新是在文件的后面追加新的内容，因此可以用tail命令来检测文件的更新（LCTT 译注：可以直接使用 tail -f 主动跟踪某个文件的更新，而不用使用 watch。）。这个命令会持续地运行直到你按下 CTRL + C回到提示符。

例子

每两秒监测 errors/notices/warning 生成的情况。

watch tail /var/log/messages

按指定的时间间隔监测磁盘的使用率。

watch df -h

对磁盘管理员而言，关注高I/O等待导致的磁盘操作尤其是mysql事务是很重要的。

watch mysqladmin processlist

监测服务器负载和运行时间。

watch uptime

监测exim给用户发送通知的队列大小。

watch exim -bpc

1) 指定延迟

watch [-n <seconds>] <command>

命令默认运行的时间间隔可用-n改变，下面的命令会在5秒后运行后面的命令：

watch -n 5 date

2) 连续输出比较

如果你使用-d选项，它会累次地高亮第一次和下一次命令之间输出的差别。

watch [-d or --differences[=cumulative]] <command>

例子 1，用下面的命令连续地输出时间并观察高亮出来的不同部分。

watch -n 15 -d date

第一次执行date的输出会被记录，15秒后会重复运行命令。

在下一次执行时，可以看到输出除了被高亮的秒数从14到29之外其他的都一样。

例子 2，让我们来体验一下两个连续的“uptime”命令输出的不同。

watch -n 20 -d uptime

现在列出了时间和3个负载快照之间的不同。

3) 不带标题输出

如果你不希望显示更多关于延迟和实际命令的信息可以使用-t选项。

watch [-t | --no-title] <command>

让我们看下下面例子命令的输出：

watch -t date

Watch 帮助

可以在ssh中输入下面的命令来得到watch的简要帮助。

watch -h [--help]

Watch 版本

在ssh终端中运行下面的命令来检查watch的版本。

watch -v [--version]

不足

不幸的是，在终端大小调整时，屏幕不能在下次运行前重画。所有用--difference高亮的内容也会在更新时丢失。

总结

watch对系统管理员而言是一个非常强大的工具，因为它可以用于监控、日志、运维、性能和系统运行时的吞吐量。人们可以非常简单地格式化和推延watch的输出。任何Linux命令/程序或脚本可以按照所需监测和连续输出。

via: http://linoxide.com/linux-command/linux-watch-command/

作者：Aun Raza 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

PHP是一种为我们熟知的通用服务器网页脚本语言。非常多的在线网站都是用PHP编写的。PHP这些年来一直在持续进化，丰富其功能，变得易于使用，更好地组织的脚本语言。目前PHP的开发团队正筹备下一个PHP版本的发行，名字是PHP 7。现在的PHP版本为PHP 5.6，可能你清楚PHP 6已经流产了，PHP 7的支持者们不希望下一个重要的版本被其他分支混淆，即过去已经停止很久的PHP 6。所以决定下一个PHP主要的发行版本叫PHP 7，而不是PHP 6。PHP 7.0预计在今年十一月份发行。

在下一代主要PHP版本里有一些不错的功能：

• 为了改善执行效率与内存占用，新的版本添加了PHPNG功能。
• 引入了JIT引擎来动态编译Zend操作码为自然机器码，以此来达到更快的处理性能。这项功能允许随后的程序调用同一份代码，这样会运行快很多。
• AST（抽象语法树）是最新添加的功能，它可以增强支持PHP的扩展性和用户应用。
• 添加异步编程功能以支持同一个请求中的并行任务。
• 新的版本会支持独立的多线程网页服务器，这样可以使用一个单独的存储池处理很多并发的请求。

在CentOS/Fedora上安装PHP 7

让我们来看看怎样在CentOS 7和Fedora 21安装PHP7。为了安装PHP7，我们首先需要克隆php-src 仓库。当克隆工作完成，我们再配置和编译它。进行下一步之前，我们要确保已经在LInux系统下安装了如下的组件，否则PHP编译会返回错误中止。

• Git
• autoconf
• gcc
• bison

所有上面提到的要求可以使用Yum软件包管理器安装。以下一条命令即可完成：

yum install git autoconf gcc bison

准备好开始安装PHP7了吗？让我们先创建一个PHP7目录，作为你的当前工作目录。

mkdir php7
cd php7

现在克隆php-src仓库，在终端里运行下面的命令。

git clone https://git.php.net/repository/php-src.git

工作应该会在几分钟后完成，这里是一个样例输出，你应该会在任务完成时看见。

[root@localhost php7]# git clone https://git.php.net/repository/php-src.git
Cloning into 'php-src'...
remote: Counting objects: 615064, done.
remote: Compressing objects: 100% (127800/127800), done.
remote: Total 615064 (delta 492063), reused 608718 (delta 485944)
Receiving objects: 100% (615064/615064), 152.32 MiB | 16.97 MiB/s, done.
Resolving deltas: 100% (492063/492063), done.

让我们来配置，编译PHP7，在终端运行下面的命令，开始配置工作：

cd php-src
./buildconf

下面是./buildconf命令的样例输出。

[root@localhost php-src]# ./buildconf
buildconf: checking installation...
buildconf: autoconf version 2.69 (ok)
rebuilding aclocal.m4
rebuilding configure
rebuilding main/php_config.h.in

使用下面的命令，继续配置进程：

./configure \
--prefix=$HOME/php7/usr \
--with-config-file-path=$HOME/php7/usr/etc \
--enable-mbstring \
--enable-zip \
--enable-bcmath \
--enable-pcntl \
--enable-ftp \
--enable-exif \
--enable-calendar \
--enable-sysvmsg \
--enable-sysvsem \
--enable-sysvshm \
--enable-wddx \
--with-curl \
--with-mcrypt \
--with-iconv \
--with-gmp \
--with-pspell \
--with-gd \
--with-jpeg-dir=/usr \
--with-png-dir=/usr \
--with-zlib-dir=/usr \
--with-xpm-dir=/usr \
--with-freetype-dir=/usr \
--with-t1lib=/usr \
--enable-gd-native-ttf \
--enable-gd-jis-conv \
--with-openssl \
--with-mysql=/usr \
--with-pdo-mysql=/usr \
--with-gettext=/usr \
--with-zlib=/usr \
--with-bz2=/usr \
--with-recode=/usr \
--with-mysqli=/usr/bin/mysql_config

这会花去不少的时间，当完成后你应该会看到如下面的输出：

creating libtool
appending configuration tag "CXX" to libtool
Generating files
configure: creating ./config.status
creating main/internal_functions.c
creating main/internal_functions_cli.c
+--------------------------------------------------------------------+
| License:                                                           |
| This software is subject to the PHP License, available in this     |
| distribution in the file LICENSE.  By continuing this installation |
| process, you are bound by the terms of this license agreement.     |
| If you do not agree with the terms of this license, you must abort |
| the installation process at this point.                            |
+--------------------------------------------------------------------+

Thank you for using PHP.

config.status: creating php7.spec
config.status: creating main/build-defs.h
config.status: creating scripts/phpize
config.status: creating scripts/man1/phpize.1
config.status: creating scripts/php-config
config.status: creating scripts/man1/php-config.1
config.status: creating sapi/cli/php.1
config.status: creating sapi/cgi/php-cgi.1
config.status: creating ext/phar/phar.1
config.status: creating ext/phar/phar.phar.1
config.status: creating main/php_config.h
config.status: executing default commands

运行下面的命令，完成编译过程。

make

“make”命令的样例输出如下所示：

Generating phar.php
Generating phar.phar
PEAR package PHP_Archive not installed: generated phar will require PHP's phar extension be enabled.
clicommand.inc
directorytreeiterator.inc
directorygraphiterator.inc
pharcommand.inc
invertedregexiterator.inc
phar.inc

Build complete.
Don't forget to run 'make test'.

活儿干完了，该安装PHP7了，运行下面的命令安装它。

make install

成功安装的进程的样例输出应该像这样：

[root@localhost php-src]# make install
Installing shared extensions:     /root/php7/usr/lib/php/extensions/no-debug-non-zts-20141001/
Installing PHP CLI binary:        /root/php7/usr/bin/
Installing PHP CLI man page:      /root/php7/usr/php/man/man1/
Installing PHP CGI binary:        /root/php7/usr/bin/
Installing PHP CGI man page:      /root/php7/usr/php/man/man1/
Installing build environment:     /root/php7/usr/lib/php/build/
Installing header files:          /root/php7/usr/include/php/
Installing helper programs:       /root/php7/usr/bin/
program: phpize
program: php-config
Installing man pages:             /root/php7/usr/php/man/man1/
page: phpize.1
page: php-config.1
Installing PEAR environment:      /root/php7/usr/lib/php/
[PEAR] Archive_Tar    - installed: 1.3.13
[PEAR] Console_Getopt - installed: 1.3.1
[PEAR] Structures_Graph- installed: 1.0.4
[PEAR] XML_Util       - installed: 1.2.3
[PEAR] PEAR           - installed: 1.9.5
Wrote PEAR system config file at: /root/php7/usr/etc/pear.conf
You may want to add: /root/php7/usr/lib/php to your php.ini include_path
/root/php7/php-src/build/shtool install -c ext/phar/phar.phar /root/php7/usr/bin
ln -s -f /root/php7/usr/bin/phar.phar /root/php7/usr/bin/phar
Installing PDO headers:          /root/php7/usr/include/php/ext/pdo/

恭喜你，PHP7已经安装在你的Linux系统上了。安装完后，进入PHP7安装文件里的sapi/cli里面。

cd sapi/cli

验证一下PHP的版本。

[root@localhost cli]# ./php -v
PHP 7.0.0-dev (cli) (built: Mar 28 2015 00:54:11)
Copyright (c) 1997-2015 The PHP Group
Zend Engine v3.0.0-dev, Copyright (c) 1998-2015 Zend Technologies

总结

PHP 7也添加到了remi仓库，这个即将到来的版本主要关注执行效率的提升，它的新特性致力于使PHP较好满足现代编程的需求和趋势。PHP 7.0将会有许多新的特性、丢弃一些老版本的东西。在接下来的日子里，我们希望看到新特性和弃用功能的具体情况。希望你喜欢！

via: http://linoxide.com/linux-how-to/install-php-7-centos-7-fedora-21/

作者：Aun Raza 译者：wi-cuckoo 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Inkscape是一款开源矢量图形编辑工具，并不同于Xara X、Corel Draw和Adobe Illustrator等竞争对手，它使用的是可缩放矢量图形(SVG)图形格式。SVG是一个广泛部署、免版税使用的图形格式，由W3C SVG工作组开发和维护。这是一个跨平台工具，完美运行于Linux、Windows和Mac OS上。

Inkscape始于2003年，起初它的bug跟踪系统托管于Sourceforge上，但是后来迁移到了Launchpad上。当前它最新的一个稳定版本是0.91，它不断地在发展和修改中。我们将在本文里了解一下它的突出特点和安装过程。

显著特性

让我们直接来了解这款应用程序的显著特性。

创建对象

• 用铅笔工具来画出不同颜色、大小和形状的手绘线，用贝塞尔曲线（笔式）工具来画出直线和曲线，通过书法工具来应用到手写的书法笔画上等等
• 用文本工具来创建、选择、编辑和格式化文本。在纯文本框、在路径上或在形状里操作文本
• 方便绘制各种形状，像矩形、椭圆形、圆形、弧线、多边形、星形和螺旋形等等并调整其大小、旋转并修改（圆角化）它们
• 用简单地命令创建并嵌入位图

对象处理

• 通过交互式操作和调整参量来扭曲、移动、测量、旋转目标
• 可以对 Z 轴进行提升或降低操作。
• 通过对象组合和取消组合可以创建一个虚拟层用来编辑或处理
• 图层采用层次结构树的结构，并且能锁定或以各式各样的处理方式来重新布置
• 分布与对齐指令

填充与边框

• 可以复制/粘贴不同风格
• 取色工具
• 用RGB, HSL, CMS, CMYK和色盘这四种不同的方式选色
• 渐变层编辑器能创建和管理多停点渐变层
• 使用图像或其它选择区作为花纹填充
• 用一些预定义点状花纹进行笔触填充
• 通过路径标示器标示开始、对折和结束点

路径上的操作

• 节点编辑：移动节点和贝塞尔曲线控制点，节点的对齐和分布等等
• 布尔运算（是或否）
• 运用可变的路径起迄点可简化路径
• 路径插入和增设连同动态和链接偏移对象
• 通过路径追踪把位图图像转换成路径(彩色或单色路径）

文本处理

• 所有安装好的框线字体都能用，甚至可以从右至左对齐对象
• 格式化文本、调整字母间距、行间距或列间距
• 路径上和形状上的文本中的文本、路径或形状都可以被编辑和修改

渲染

• Inkscape完全支持抗锯齿显示，这是一种通过柔化边界上的像素从而减少或消除凹凸锯齿的技术。
• 支持alpha透明显示和PNG格式图片的导出

在Ubuntu 14.04和14.10上安装Inkscape

为了在Ubuntu上安装Inkscape，我们首先需要 添加它的稳定版Personal Package Archive (PPA) 至Advanced Package Tool (APT) 库中。打开终端并运行一下命令来添加它的PPA：

 sudo add-apt-repository ppa:inkscape.dev/stable

PPA添加到APT库中后，我们要用以下命令进行更新：

 sudo apt-get update

更新好库之后，我们准备用以下命令来完成安装：

 sudo apt-get install inkscape

恭喜，现在Inkscape已经被安装好了，我们可以充分利用它的丰富功能特点来编辑制作图像了。

结论

Inkscape是一款特点鲜明的图形编辑工具，它给予用户充分发挥自己艺术能力的权利。它还是一款自由安装和自定义的开源应用，并且支持各种文件类型，包括JPEG, PNG, GIF和PDF及更多。访问它的 官方网站 来获取更多新闻和应用更新。

via: http://linoxide.com/tools/install-inkscape-open-source-vector-graphic-editor/

作者：Aun Raza 译者：ZTinoZ 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

任何一个普通水平的计算机用户都知道，从计算机系统中删除的任意数据都可以稍后通过一些努力恢复出来。当你不小心删除了你的重要数据时，这是一个不错的方案。但是大多数情况，你不希望你的隐私数据被轻易地恢复。不论何时，我们删除的任意文件，操作系统删除的仅仅是对特定数据的索引。这就意味着，数据仍然保存在磁盘的某块地方，这种方法是不安全的，任何一个聪明的计算机黑客可以使用各种不错的数据恢复工具来恢复你删除的数据。Linux 用户利用我们都知晓的 "rm" 命令来从他们的操作系统中删除数据，但是 "rm" 命令也是像上面说的那样删除文件。从这个命令删除的数据也可以使用特殊的文件恢复工具恢复。

让我们看看怎样安全并完整地从你的 Linux 系统中删除文件或者文件夹。以下提到的工具可以完全地删除数据，因此那些恢复工具很难找到真实数据的痕迹然后恢复它。

Secure-Delete

Secure-Delete 是一组为 Linux 操作系统而生的工具集合，他们为永久删除文件提供了先进的技术支持。一旦 Secure-Delete 安装在各种 Linux 系统上，就提供了如下的四个命令：

• srm
• smem
• sfill
• sswap

在 ubuntu 的终端中运行如下命令安装此工具：

sudo apt-get install secure-delete

在 RHEL，Fedora 或者 Centos 中运行如下命令安装此工具：

 sudo yum install secure-delete

“srm” 命令的工作方式和 "rm" 命令类似，但是它不仅仅是删除文件，它首先使用一些随机的数据重写数次文件，然后彻底地删除此文件。这个命令的语法是相当地简单，仅仅指定要删除的文件或者目录，然后它会负责此任务。

sudo srm  /home/aun/Documents/xueo/1.png

"sfill" 检测在指定的分区或者目录被标记为空闲或者可用的空间，然后使用它自身的算法用一些随机数据填充。因此它保证了在此分区没有可以恢复的文件或者文件夹。

sudo sfill /home

"sswap" 命令用来安全地清除你的交换分区。交换分区用来存放运行程序的数据。首先我们需要运行如下命令来找到你的交换分区。

cat /proc/swaps

如下是上述命令的输出示例：

aun@eagle:~$ cat /proc/swaps
Filename                Type        Size    Used    Priority
/dev/sda5                               partition    2084860    71216    -1

从现在起，你可以看到你的交换分区设置在哪个分区，然后使用如下命令安全地清除。替换 "/dev/sda5" 部分为你的交换分区名字。

sudo sswap /dev/sda5

“smem” 用来清理在内存中的内容，虽然当系统重启或者关机时会清理随机存取存储器（RAM）中的内容，但是内存中仍然会保留一些数据的残留痕迹。这个命令提供安全的内存清理，简单地在终端中运行 smem 命令即可。

smem

Shred

"shred" 命令以一种不可恢复的方式来销毁文件或者文件夹的内容。它使用随机生成的数据模式来持续覆写文件，因此很难恢复任意的被销毁的数据，即使是那些黑客或者窃贼使用高水平的数据恢复工具或者设备。Shred 默认安装在所有 Linux 发行版中，如果你想，你可以运行如下命令来找到它的安装目录：

aun@eagle:~$  whereis shred

shred: /usr/bin/shred /usr/share/man/man1/shred.1.gz

使用 shred 工具运行如下命令来删除文件：

shred /home/aun/Documents/xueo/1.png

使用 shred 运行如下命令来删除任意的分区，用你期望的分区来替换分区名字。

shred /dev/sda5

Shred 默认情况下使用随机内容重写数据 25 次。如果你想它重写文件更多次数，可以使用 "shred -n" 选项来简单地指定你所期望的次数。

shred -n 100 filename

如果你想在重写后截断或者删除文件，使用 "shred -u" 选项：

shred -u filename

dd

这个命令起初是用于磁盘克隆的。它用于将一个分区或者一个磁盘复制到另一个分区或者磁盘。但是它还可用于安全地清除硬盘或者分区的内容。运行如下命令使用随机数据来重写你的当前数据。你不需要安装 dd 命令，所有的 Linux 分发版都已经包含了此命令。

sudo dd if=/dev/random of=/dev/sda

你也可以覆写磁盘或者分区中的内容，只需要简单地将所有替换为 “zero”。

sudo dd if=/dev/zero of=/dev/sda

Wipe

Wipe 起初开发的目的是从磁性介质中安全地擦除文件。这个命令行工具使用特殊的模式来重复地写文件。它使用 fsync() 调用和/或 O\_SYNC 位来强制访问磁盘，并且使用 Gutmann 算法来重复地写。你可以使用此命令删除单个文件、文件夹或者整个磁盘的内容，但是使用 wipe 命令来删除整个磁盘的模式会耗费大量的时间。另外，安装和使用这个工具相当容易。

在 ubuntu 的终端中运行如下命令来安装 wipe。

sudo aptitude install wipe

使用如下命令在 Redhat Linux，Centos 或者 Fedora 中安装 Wipe：

sudo yum install wipe

一旦安装完成，在终端中运行如下命令来获得完整的可用选项列表：

man wipe

删除任意文件或者目录：

wipe filename

运行如下命令来安全地移除 tmp 分区：

wipe -r /tmp

使用如下的命令来删除完整分区的内容（替换分区名字为你所期望的分区）。

wipe /dev/sda1

小结

我们期望这篇文章对你有帮助，你的数据隐私是有决定性意义的，在你的系统中安装这些安全的删除工具对你来说非常重要，因此你可以删除你的隐私数据而不用担心它们被轻易地恢复。上面提到的所有工具都是相当轻量的，它们只需要耗费最低的系统资源来运行，并且无论如何也不会影响你的系统性能。享受它们带来的便利吧！

via: http://linoxide.com/security/delete-files-permanatly-linux/

作者：Aun Raza 译者：dbarobin 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Linux系统的启动方式有点复杂，而且总是有需要优化的地方。传统的Linux系统启动过程主要由著名的init进程（也被称为SysV init启动系统）处理，而基于init的启动系统被认为有效率不足的问题，systemd是Linux系统机器的另一种启动方式，宣称弥补了以传统Linux SysV init为基础的系统的缺点。在这里我们将着重讨论systemd的特性和争议，但是为了更好地理解它，也会看一下通过传统的以SysV init为基础的系统的Linux启动过程是什么样的。友情提醒一下，systemd仍然处在测试阶段，而未来发布的Linux操作系统也正准备用systemd启动管理程序替代当前的启动过程（LCTT 译注：截止到本文发表，主流的Linux发行版已经有很多采用了 systemd）。

理解Linux启动过程

在我们打开Linux电脑的电源后第一个启动的进程就是init。分配给init进程的PID是1。它是系统其他所有进程的父进程。当一台Linux电脑启动后，处理器会先在系统存储中查找BIOS，之后BIOS会检测系统资源然后找到第一个引导设备，通常为硬盘，然后会查找硬盘的主引导记录（MBR），然后加载到内存中并把控制权交给它，以后的启动过程就由MBR控制。

主引导记录会初始化引导程序（Linux上有两个著名的引导程序，GRUB和LILO，80%的Linux系统在用GRUB引导程序），这个时候GRUB或LILO会加载内核模块。内核会马上查找/sbin下的“init”程序并执行它。从这里开始init成为了Linux系统的父进程。init读取的第一个文件是/etc/inittab，通过它init会确定我们Linux操作系统的运行级别。它会从文件/etc/fstab里查找分区表信息然后做相应的挂载。然后init会启动/etc/init.d里指定的默认启动级别的所有服务/脚本。所有服务在这里通过init一个一个被初始化。在这个过程里，init每次只启动一个服务，所有服务/守护进程都在后台执行并由init来管理。

关机过程差不多是相反的过程，首先init停止所有服务，最后阶段会卸载文件系统。

以上提到的启动过程有一些不足的地方。而用一种更好的方式来替代传统init的需求已经存在很长时间了。也产生了许多替代方案。其中比较著名的有Upstart，Epoch，Muda和Systemd。而Systemd获得最多关注并被认为是目前最佳的方案。

理解Systemd

开发Systemd的主要目的就是减少系统引导时间和计算开销。Systemd（系统管理守护进程），最开始以GNU GPL协议授权开发，现在已转为使用GNU LGPL协议，它是如今讨论最热烈的引导和服务管理程序。如果你的Linux系统配置为使用Systemd引导程序，它取替传统的SysV init，启动过程将交给systemd处理。Systemd的一个核心功能是它同时支持SysV init的后开机启动脚本。

Systemd引入了并行启动的概念，它会为每个需要启动的守护进程建立一个套接字，这些套接字对于使用它们的进程来说是抽象的，这样它们可以允许不同守护进程之间进行交互。Systemd会创建新进程并为每个进程分配一个控制组（cgroup）。处于不同控制组的进程之间可以通过内核来互相通信。systemd处理开机启动进程的方式非常漂亮，和传统基于init的系统比起来优化了太多。让我们看下Systemd的一些核心功能。

• 和init比起来引导过程简化了很多
• Systemd支持并发引导过程从而可以更快启动
• 通过控制组来追踪进程，而不是PID
• 优化了处理引导过程和服务之间依赖的方式
• 支持系统快照和恢复
• 监控已启动的服务；也支持重启已崩溃服务
• 包含了systemd-login模块用于控制用户登录
• 支持加载和卸载组件
• 低内存使用痕迹以及任务调度能力
• 记录事件的Journald模块和记录系统日志的syslogd模块

Systemd同时也清晰地处理了系统关机过程。它在/usr/lib/systemd/目录下有三个脚本，分别叫systemd-halt.service，systemd-poweroff.service，systemd-reboot.service。这几个脚本会在用户选择关机，重启或待机时执行。在接收到关机事件时，systemd首先卸载所有文件系统并停止所有内存交换设备，断开存储设备，之后停止所有剩下的进程。

Systemd结构概览

让我们看一下Linux系统在使用systemd作为引导程序时的开机启动过程的结构性细节。为了简单，我们将在下面按步骤列出来这个过程：

1. 当你打开电源后电脑所做的第一件事情就是BIOS初始化。BIOS会读取引导设备设定，定位并传递系统控制权给MBR（假设硬盘是第一引导设备）。

2. MBR从Grub或LILO引导程序读取相关信息并初始化内核。接下来将由Grub或LILO继续引导系统。如果你在grub配置文件里指定了systemd作为引导管理程序，之后的引导过程将由systemd完成。Systemd使用“target”来处理引导和服务管理过程。这些systemd里的“target”文件被用于分组不同的引导单元以及启动同步进程。

3. systemd执行的第一个目标是default.target。但实际上default.target是指向graphical.target的软链接。Linux里的软链接用起来和Windows下的快捷方式一样。文件Graphical.target的实际位置是/usr/lib/systemd/system/graphical.target。在下面的截图里显示了graphical.target文件的内容。

4. 在这个阶段，会启动multi-user.target而这个target将自己的子单元放在目录“/etc/systemd/system/multi-user.target.wants”里。这个target为多用户支持设定系统环境。非root用户会在这个阶段的引导过程中启用。防火墙相关的服务也会在这个阶段启动。

"multi-user.target"会将控制权交给另一层“basic.target”。

5. "basic.target"单元用于启动普通服务特别是图形管理服务。它通过/etc/systemd/system/basic.target.wants目录来决定哪些服务会被启动，basic.target之后将控制权交给sysinit.target.

6. "sysinit.target"会启动重要的系统服务例如系统挂载，内存交换空间和设备，内核补充选项等等。sysinit.target在启动过程中会传递给local-fs.target。这个target单元的内容如下面截图里所展示。

7. local-fs.target，这个target单元不会启动用户相关的服务，它只处理底层核心服务。这个target会根据/etc/fstab和/etc/inittab来执行相关操作。

系统引导性能分析

Systemd提供了工具用于识别和定位引导相关的问题或性能影响。Systemd-analyze是一个内建的命令，可以用来检测引导过程。你可以找出在启动过程中出错的单元，然后跟踪并改正引导组件的问题。在下面列出一些常用的systemd-analyze命令。

systemd-analyze time 用于显示内核和普通用户空间启动时所花的时间。

$ systemd-analyze time

Startup finished in 1440ms (kernel) + 3444ms (userspace)

systemd-analyze blame 会列出所有正在运行的单元，按从初始化开始到当前所花的时间排序，通过这种方式你就知道哪些服务在引导过程中要花较长时间来启动。

$ systemd-analyze blame

2001ms mysqld.service
234ms httpd.service
191ms vmms.service

systemd-analyze verify 显示在所有系统单元中是否有语法错误。

systemd-analyze plot 可以用来把整个引导过程写入一个SVG格式文件里。整个引导过程非常长不方便阅读，所以通过这个命令我们可以把输出写入一个文件，之后再查看和分析。下面这个命令就是做这个。

systemd-analyze plot > boot.svg

Systemd的争议

Systemd并没有幸运地获得所有人的青睐，一些专家和管理员对于它的工作方式和开发有不同意见。根据对于Systemd的批评，它不是“类Unix”方式因为它试着替换一些系统服务。一些专家也不喜欢使用二进制配置文件的想法。据说编辑systemd配置非常困难而且没有一个可用的图形工具。

如何在Ubuntu 14.04和12.04上测试Systemd

本来，Ubuntu决定从Ubuntu 16.04 LTS开始使用Systemd来替换当前的引导过程。Ubuntu 16.04预计在2016年4月发布，但是考虑到Systemd的流行和需求，刚刚发布的Ubuntu 15.04采用它作为默认引导程序。另外，Ubuntu 14.04 Trusty Tahr和Ubuntu 12.04 Precise Pangolin的用户可以在他们的机器上测试Systemd。测试过程并不复杂，你所要做的只是把相关的PPA包含到系统中，更新仓库并升级系统。

声明：请注意它仍然处于Ubuntu的测试和开发阶段。升级测试包可能会带来一些未知错误，最坏的情况下有可能损坏你的系统配置。请确保在尝试升级前已经备份好重要数据。

在终端里运行下面的命令来添加PPA到你的Ubuntu系统里：

sudo add-apt-repository ppa:pitti/systemd

你将会看到警告信息因为我们尝试使用临时/测试PPA，而它们是不建议用于实际工作机器上的。

然后运行下面的命令更新APT包管理仓库。

sudo apt-get update

运行下面的命令升级系统。

sudo apt-get dist-upgrade

就这些，你应该已经可以在你的Ubuntu系统里看到Systemd配置文件了，打开/lib/systemd/目录可以看到这些文件。

好吧，现在让我们编辑一下grub配置文件指定systemd作为默认引导程序。可以使用Gedit文字编辑器编辑grub配置文件。

sudo gedit /etc/default/grub

在文件里修改GRUBCMDLINELINUX\_DEFAULT项，设定它的参数为：“init=/lib/systemd/systemd”

就这样，你的Ubuntu系统已经不再使用传统的引导程序了，改为使用Systemd管理器。重启你的机器然后查看systemd引导过程吧。

结论

Systemd毫无疑问为改进Linux引导过程前进了一大步；它包含了一套漂亮的库和守护进程配合工作来优化系统引导和关闭过程。许多Linux发行版正准备将它作为自己的正式引导程序。在以后的Linux发行版中，我们将有望看到systemd开机。但是另一方面，为了获得成功并广泛应用，systemd仍需要认真处理批评意见。

via: http://linoxide.com/linux-how-to/systemd-boot-process/

作者：Aun Raza 译者：zpl1025 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Vault是用来安全的获取秘密信息的工具，它可以保存密码、API密钥、证书等信息。Vault提供了一个统一的接口来访问秘密信息，其具有健壮的访问控制机制和丰富的事件日志。

对关键信息的授权访问是一个困难的问题，尤其是当有许多用户角色，并且用户请求不同的关键信息时，例如用不同权限登录数据库的登录配置，用于外部服务的API密钥，SOA通信的证书等。当保密信息由不同的平台进行管理，并使用一些自定义的配置时，情况变得更糟，因此，安全的存储、管理审计日志几乎是不可能的。但Vault为这种复杂情况提供了一个解决方案。

突出特点

数据加密：Vault能够在不存储数据的情况下对数据进行加密、解密。开发者们便可以存储加密后的数据而无需开发自己的加密技术，Vault还允许安全团队自定义安全参数。

安全密码存储：Vault在将秘密信息（API密钥、密码、证书）存储到持久化存储之前对数据进行加密。因此，如果有人偶尔拿到了存储的数据，这也没有任何意义，除非加密后的信息能被解密。

动态密码：Vault可以随时为AWS、SQL数据库等类似的系统产生密码。比如，如果应用需要访问AWS S3 桶，它向Vault请求AWS密钥对，Vault将给出带有租期的所需秘密信息。一旦租用期过期，这个秘密信息就不再存储。

租赁和更新：Vault给出的秘密信息带有租期，一旦租用期过期，它便立刻收回秘密信息，如果应用仍需要该秘密信息，则可以通过API更新租用期。

撤销：在租用期到期之前，Vault可以撤销一个秘密信息或者一个秘密信息树。

安装Vault

有两种方式来安装使用Vault。

1. 预编译的Vault二进制 能用于所有的Linux发行版，下载地址如下，下载之后，解压并将它放在系统PATH路径下，以方便调用。

• 下载预编译的二进制 Vault (32-bit)
• 下载预编译的二进制 Vault (64-bit)
• 下载预编译的二进制 Vault (ARM)

下载相应的预编译的Vault二进制版本。

解压下载到本地的二进制版本。

祝贺你！您现在可以使用Vault了。

2. 从源代码编译是另一种在系统中安装Vault的方式。在安装Vault之前需要安装GO和GIT。

在 Redhat系统中安装GO 使用下面的指令：

sudo yum install go

在 Debin系统中安装GO 使用下面的指令：

sudo apt-get install golang

或者

sudo add-apt-repository ppa:gophers/go

sudo apt-get update

sudo apt-get install golang-stable

在 Redhat系统中安装GIT 使用下面的命令：

sudo yum install git

在 Debian系统中安装GIT 使用下面的命令：

sudo apt-get install git

一旦GO和GIT都已被安装好，我们便可以开始从源码编译安装Vault。

将下列的Vault仓库拷贝至GOPATH

https://github.com/hashicorp/vault

测试下面的文件是否存在，如果它不存在，那么Vault没有被克隆到合适的路径。

$GOPATH/src/github.com/hashicorp/vault/main.go

执行下面的指令来编译Vault，并将二进制文件放到系统bin目录下。

make dev

一份Vault入门教程

我们已经编制了一份Vault的官方交互式教程，并带有它在SSH上的输出信息。

概述

这份教程包括下列步骤：

• 初始化并启封您的Vault
• 在Vault中对您的请求授权
• 读写秘密信息
• 密封您的Vault

初始化您的Vault

首先，我们需要为您初始化一个Vault的工作实例。在初始化过程中，您可以配置Vault的密封行为。简单起见，现在使用一个启封密钥来初始化Vault，命令如下：

vault init -key-shares=1 -key-threshold=1

您会注意到Vault在这里输出了几个密钥。不要清除您的终端，这些密钥在后面的步骤中会使用到。

启封您的Vault

当一个Vault服务器启动时，它是密封的状态。在这种状态下，Vault被配置为知道物理存储在哪里及如何存取它，但不知道如何对其进行解密。Vault使用加密密钥来加密数据。这个密钥由"主密钥"加密，主密钥不保存。解密主密钥需要入口密钥。在这个例子中，我们使用了一个入口密钥来解密这个主密钥。

vault unseal <key 1>

为您的请求授权

在执行任何操作之前，连接的客户端必须是被授权的。授权的过程是检验一个人或者机器是否如其所申明的那样具有正确的身份。这个身份用在向Vault发送请求时。为简单起见，我们将使用在步骤2中生成的root令牌，这个信息可以回滚终端屏幕看到。使用一个客户端令牌进行授权：

vault auth <root token>

读写保密信息

现在Vault已经被设置妥当，我们可以开始读写默认挂载的秘密后端里面的秘密信息了。写在Vault中的秘密信息首先被加密，然后被写入后端存储中。后端存储机制绝不会看到未加密的信息，并且也没有在Vault之外解密的需要。

vault write secret/hello value=world

当然，您接下来便可以读这个保密信息了：

vault read secret/hello

密封您的Vault

还有一个用I来密封Vault的API。它将丢掉现在的加密密钥并需要另一个启封过程来恢复它。密封仅需要一个拥有root权限的操作者。这是一种罕见的"打破玻璃过程"的典型部分。

这种方式中，如果检测到一个入侵，Vault数据将会立刻被锁住，以便最小化损失。如果不能访问到主密钥碎片的话，就不能再次获取数据。

vault seal

这便是入门教程的结尾。

总结

Vault是一个非常有用的应用，它提供了一个可靠且安全的存储关键信息的方式。另外，它在存储前加密关键信息、审计日志维护、以租期的方式获取秘密信息，且一旦租用期过期它将立刻收回秘密信息。Vault是平台无关的，并且可以免费下载和安装。要发掘Vault的更多信息，请访问其官方网站。

via: http://linoxide.com/how-tos/secure-secret-store-vault/

作者：Aun Raza 译者：wwy-hust 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出