如果你在股票市场做投资，那么你可能非常清楚投资组合管理计划有多重要。管理投资组合的目标是依据你能承受的风险，时间层面的长短和资金盈利的目标去为你量身打造的一种投资计划。鉴于这类软件的重要性，因此从来不会缺乏商业性的 app 和股票行情检测软件，每一个都可以兜售复杂的投资组合以及跟踪报告功能。

对于我们这些 Linux 爱好者们，我也找到了一些好用的开源投资组合管理工具，用来在 Linux 上管理和跟踪股票的投资组合，这里高度推荐一个基于 java 编写的管理软件 JStock。如果你不是一个 java 粉，也许你会放弃它，JStock 需要运行在沉重的 JVM 环境上。但同时，在每一个安装了 JRE 的环境中它都可以马上运行起来，在你的 Linux 环境中它会运行的很顺畅。

“开源”就意味着免费或标准低下的时代已经过去了。鉴于 JStock 只是一个个人完成的产物，作为一个投资组合管理软件它最令人印象深刻的是包含了非常多实用的功能，以上所有的荣誉属于它的作者 Yan Cheng Cheok！例如，JStock 支持通过监视列表去监控价格，多种投资组合，自选/内置的股票指标与相关监测，支持27个不同的股票市场和跨平台的云端备份/还原。JStock 支持多平台部署（Linux, OS X, Android 和 Windows），你可以通过云端保存你的 JStock 投资组合，并通过云平台无缝的备份/还原到其他的不同平台上面。

现在我将向你展示如何安装以及使用过程的一些具体细节。

在 Linux 上安装 JStock

因为 JStock 使用Java编写，所以必须安装 JRE才能让它运行起来。小提示，JStock 需要 JRE1.7 或更高版本。如你的 JRE 版本不能满足这个需求，JStock 将会运行失败然后出现下面的报错。

Exception in thread "main" java.lang.UnsupportedClassVersionError: org/yccheok/jstock/gui/JStock : Unsupported major.minor version 51.0

在你的 Linux 上安装好了 JRE 之后，从其官网下载最新的发布的 JStock，然后加载启动它。

$ wget https://github.com/yccheok/jstock/releases/download/release_1-0-7-13/jstock-1.0.7.13-bin.zip
$ unzip jstock-1.0.7.13-bin.zip
$ cd jstock
$ chmod +x jstock.sh
$ ./jstock.sh

教程的其他部分，让我来给大家展示一些 JStock 的实用功能

监视监控列表中股票价格的波动

使用 JStock 你可以创建一个或多个监视列表，它可以自动的监视股票价格的波动并给你提供相应的通知。在每一个监视列表里面你可以添加多个感兴趣的股票进去。之后在“Fall Below”和“Rise Above”的表格里添加你的警戒值，分别设定该股票的最低价格和最高价格。

例如你设置了 AAPL 股票的最低/最高价格分别是 $102 和 $115.50，只要在价格低于 $102 或高于 $115.50 时你就得到桌面通知。

你也可以设置邮件通知，这样你将收到一些价格信息的邮件通知。设置邮件通知在“Options”菜单里，在“Alert”标签中国，打开“Send message to email(s)”，填入你的 Gmail 账户。一旦完成 Gmail 认证步骤，JStock 就会开始发送邮件通知到你的 Gmail 账户（也可以设置其他的第三方邮件地址）。

管理多个投资组合

JStock 允许你管理多个投资组合。这个功能对于你使用多个股票经纪人时是非常实用的。你可以为每个经纪人创建一个投资组合去管理你的“买入/卖出/红利”用来了解每一个经纪人的业务情况。你也可以在“Portfolio”菜单里面选择特定的投资组合来切换不同的组合项目。下面是一张截图用来展示一个假设的投资组合。

你也可以设置付给中介费，你可以为每个买卖交易设置中介费、印花税以及结算费。如果你比较懒，你也可以在选项菜单里面启用自动费用计算，并提前为每一家经济事务所设置费用方案。当你为你的投资组合增加交易之后，JStock 将自动的计算并计入费用。

使用内置/自选股票指标来监控

如果你要做一些股票的技术分析，你可能需要基于各种不同的标准来监控股票（这里叫做“股票指标”）。对于股票的跟踪，JStock提供多个预设的技术指示器 去获得股票上涨/下跌/逆转指数的趋势。下面的列表里面是一些可用的指标。

• 平滑异同移动平均线（MACD）
• 相对强弱指标 (RSI)
• 资金流向指标 (MFI)
• 顺势指标 (CCI)
• 十字线
• 黄金交叉线，死亡交叉线
• 涨幅/跌幅

开启预设指示器能需要在 JStock 中点击“Stock Indicator Editor”标签。之后点击右侧面板中的安装按钮。选择“Install from JStock server”选项，之后安装你想要的指示器。

一旦安装了一个或多个指示器，你可以用他们来扫描股票。选择“Stock Indicator Scanner”标签，点击底部的“Scan”按钮，选择需要的指示器。

当你选择完需要扫描的股票（例如， NYSE, NASDAQ）以后，JStock 将执行该扫描，并将该指示器捕获的结果通过列表展现。

除了预设指示器以外，你也可以使用一个图形化的工具来定义自己的指示器。下面这张图例用于监控当前价格小于或等于60天平均价格的股票。

通过云在 Linux 和 Android JStock 之间备份/恢复

另一个非常棒的功能是 JStock 支持云备份恢复。Jstock 可以通过 Google Drive 把你的投资组合/监视列表在云上备份和恢复，这个功能可以实现在不同平台上无缝穿梭。如果你在两个不同的平台之间来回切换使用 Jstock，这种跨平台备份和还原非常有用。我在 Linux 桌面和 Android 手机上测试过我的 Jstock 投资组合，工作的非常漂亮。我在 Android 上将 Jstock 投资组合信息保存到 Google Drive 上，然后我可以在我的 Linux 版的 Jstock 上恢复它。如果能够自动同步到云上，而不用我手动地触发云备份/恢复就更好了，十分期望这个功能出现。

如果你在从 Google Drive 还原之后不能看到你的投资信息以及监视列表，请确认你的国家信息与“Country”菜单里面设置的保持一致。

JStock 的安卓免费版可以从 Google Play Store 获取到。如果你需要完整的功能（比如云备份，通知，图表等），你需要一次性支付费用升级到高级版。我认为高级版物有所值。

写在最后，我应该说一下它的作者，Yan Cheng Cheok，他是一个十分活跃的开发者，有bug及时反馈给他。这一切都要感谢他！！！

关于 JStock 这个投资组合跟踪软件你有什么想法呢？

via: http://xmodulo.com/stock-portfolio-management-software-Linux.html

作者：Dan Nanni 译者：ivo-wang 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

问题: 如何在你的 Linux 发行版上安装 Node.js？

Node.js 是建立在谷歌的 V8 JavaScript 引擎服务器端的软件平台上。在构建高性能的服务器端应用程序上，Node.js 在 JavaScript 中已是首选方案。是什么让使用 Node.js 库和应用程序的庞大生态系统来开发服务器后台变得如此流行。Node.js 自带一个被称为 npm 的命令行工具可以让你轻松地安装它，进行版本控制并使用 npm 的在线仓库来管理 Node.js 库和应用程序的依赖关系。

在本教程中，我将介绍 如何在主流 Linux 发行版上安装 Node.js，包括 Debian，Ubuntu，Fedora 和 CentOS 。

Node.js 在一些发行版上有预构建的程序包（如，Fedora 或 Ubuntu），而在其他发行版上你需要通过源码安装。由于 Node.js 发展比较快，建议从源码安装最新版而不是安装一个过时的预构建的程序包。最新的 Node.js 自带 npm（Node.js 的包管理器），让你可以轻松的安装 Node.js 的外部模块。

在 Debian 上安装 Node.js on

从 Debian 8 (Jessie)开始，Node.js 已被纳入官方软​​件仓库。因此，你可以使用如下方式安装它：

$ sudo apt-get install npm

在 Debian 7 (Wheezy) 以前的版本中,你需要使用下面的方式来源码安装：

$ sudo apt-get install python g++ make
$ wget http://nodejs.org/dist/node-latest.tar.gz
$ tar xvfvz node-latest.tar.gz
$ cd node-v0.10.21 (replace a version with your own)
$ ./configure
$ make
$ sudo make install

在 Ubuntu 或 Linux Mint 中安装 Node.js

Node.js 被包含在 Ubuntu（13.04 及更高版本）。因此，安装非常简单。以下方式将安装 Node.js 和 npm。

$ sudo apt-get install npm
$ sudo ln -s /usr/bin/nodejs /usr/bin/node

而 Ubuntu 中的 Node.js 可能版本比较老，你可以从 其 PPA 中安装最新的版本。

$ sudo apt-get install python-software-properties python g++ make
$ sudo add-apt-repository -y ppa:chris-lea/node.js
$ sudo apt-get update
$ sudo apt-get install npm

在 Fedora 中安装 Node.js

Node.js 被包含在 Fedora 的 base 仓库中。因此，你可以在 Fedora 中用 yum 安装 Node.js。

$ sudo yum install npm

如果你想安装 Node.js 的最新版本，可以按照以下步骤使用源码来安装。

$ sudo yum groupinstall 'Development Tools'
$ wget http://nodejs.org/dist/node-latest.tar.gz
$ tar xvfvz node-latest.tar.gz
$ cd node-v0.10.21 (replace a version with your own)
$ ./configure
$ make
$ sudo make install

在 CentOS 或 RHEL 中安装 Node.js

在 CentOS 使用 yum 包管理器来安装 Node.js，首先启用 EPEL 软件库，然后运行：

$ sudo yum install npm

如果你想在 CentOS 中安装最新版的 Node.js，其安装步骤和在 Fedora 中的相同。

在 Arch Linux 上安装 Node.js

Node.js 在 Arch Linux 的社区库中可以找到。所以安装很简单，只要运行：

$ sudo pacman -S nodejs npm

检查 Node.js 的版本

一旦你已经安装了 Node.js，你可以使用如下所示的方法检查 Node.js 的版本。

$ node --version 

via: http://ask.xmodulo.com/install-node-js-linux.html

作者：Dan Nanni 译者：strugglingyou 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

问题: 我的电脑通过 HTTP 代理连接到公司网络。当我尝试从 CD-ROM 在计算机上安装 Ubuntu 桌面时，在检索文件时安装程序会被挂起，检索则不会完成，这可能是由于代理造成的。然而问题是，Ubuntu 的安装程序从不要求我在安装过程中配置代理。那我该怎么使用代理来安装 Ubuntu 桌面？

与 Ubuntu 服务器不太一样，安装 Ubuntu 桌面几乎都是自动安装，没有留下太多自定义的空间，如自定义磁盘分区，手动网络设置，包选择等等。尽管非常简单，一键安装被认为是用户友好的，它不需要用户寻找“高级安装模式”来定制自己的 Ubuntu 桌面。

此外，Ubuntu 默认桌面的安装程序中一个大问题是代理设置。如果你的计算机连接在一个代理上，你会发现 Ubuntu 安装时会卡在准备下载文件处。

这篇文章描述了如何解决当使用代理时 Ubuntu 安装程序的限制和安装 Ubuntu 桌面。

其基本思路如下。不是直接使用 Ubuntu 的安装程序开始安装，首先进入 live Ubuntu 桌面，配置代理服务器，最后从 live 桌面手动启动 Ubuntu 的安装程序。以下是程序的安装步骤。

从 CD/DVD 或 USB 启动 Ubuntu 桌面后，点击第一个欢迎屏幕上的"Try Ubuntu"。

一旦进入 live Ubuntu 桌面，点击左侧设置图标。

进入 Network 菜单。

手动配置代理服务器。

接下来，打开一个终端。

通过输入以下命令切换到 root 用户：

$ sudo su

最后，在 root 用户下输入以下命令。

# ubiquity gtk_ui

然后将启动基于 GUI 的 Ubuntu 安装程序。

继续安装其余部分。

via: http://ask.xmodulo.com/install-ubuntu-desktop-behind-proxy.html

作者：Dan Nanni 译者：strugglingyouth 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

假定你想配置一个 Linux 应用，用于从你的服务器或桌面客户端发送邮件信息。邮件信息可能是邮件简报、状态更新（如 Cachet）、监控警报（如 Monit）、磁盘时间（如 RAID mdadm）等等。当你要建立自己的 邮件发送服务器 传递信息时 ，你可以替代使用一个免费的公共 SMTP 服务器，从而避免遭受维护之苦。

谷歌的 Gmail 服务就是最可靠的 免费 SMTP 服务器 之一。想要从应用中发送邮件通知，你仅需在应用中添加 Gmail 的 SMTP 服务器地址和你的身份凭证即可。

使用 Gmail 的 SMTP 服务器会遇到一些限制，这些限制主要用于阻止那些经常滥用服务器来发送垃圾邮件和使用邮件营销的家伙。举个例子，你一次只能给至多 100 个地址发送信息，并且一天不能超过 500 个收件人。同样，如果你不想被标为垃圾邮件发送者，你就不能发送过多的不可投递的邮件。当你达到任何一个限制，你的 Gmail 账户将被暂时的锁定一天。简而言之，Gmail 的 SMTP 服务器对于你个人的使用是非常棒的，但不适合商业的批量邮件。

说了这么多，是时候向你们展示 如何在 Linux 环境下使用 Gmail 的 SMTP 服务器 了。

Google Gmail SMTP 服务器设置

如果你想要通过你的应用使用 Gmail 的 SMTP 服务器发送邮件，请牢记接下来的详细说明。

• 邮件发送服务器 （SMTP 服务器）: smtp.gmail.com
• 使用认证: 是
• 使用安全连接: 是
• 用户名: 你的 Gmail 账户 ID （比如 "alice" ，如果你的邮箱为 [email protected]）
• 密码: 你的 Gmail 密码
• 端口: 587

确切的配置根据应用会有所不同。在本教程的剩余部分，我将向你展示一些在 Linux 上使用 Gmail SMTP 服务器的应用示例。

从命令行发送邮件

作为第一个例子，让我们尝试最基本的邮件功能：使用 Gmail SMTP 服务器从命令行发送一封邮件。为此，我将使用一个称为 mutt 的命令行邮件客户端。

先安装 mutt：

对于 Debian-based 系统：

$ sudo apt-get install mutt

对于 Red Hat based 系统：

$ sudo yum install mutt

创建一个 mutt 配置文件（~/.muttrc），并和下面一样，在文件中指定 Gmail SMTP 服务器信息。将 替换成自己的 Gmail ID。注意该配置只是为了发送邮件而已（而非接收邮件）。

$ vi ~/.muttrc

set from = "<gmail-id>@gmail.com"
set realname = "Dan Nanni"
set smtp_url = "smtp://<gmail-id>@smtp.gmail.com:587/"
set smtp_pass = "<gmail-password>"

一切就绪，使用 mutt 发送一封邮件：

$ echo "This is an email body." | mutt -s "This is an email subject" [email protected]

想在一封邮件中添加附件，使用 "-a" 选项

$ echo "This is an email body." | mutt -s "This is an email subject" [email protected] -a ~/test_attachment.jpg

使用 Gmail SMTP 服务器意味着邮件将显示是从你 Gmail 账户发出的。换句话说，收件人将视你的 Gmail 地址为发件人地址。如果你想要使用自己的域名作为邮件发送方，你需要使用 Gmail SMTP 转发服务。

当服务器重启时发送邮件通知

如果你在 虚拟专用服务器（VPS） 上跑了些重要的网站，建议监控 VPS 的重启行为。作为一个更为实用的例子，让我们研究如何在你的 VPS 上为每一次重启事件建立邮件通知。这里假设你的 VPS 上使用的是 systemd，并向你展示如何为自动邮件通知创建一个自定义的 systemd 启动服务。

首先创建下面的脚本 reboot\_notify.sh，用于负责邮件通知。

$ sudo vi /usr/local/bin/reboot_notify.sh

#!/bin/sh

echo "`hostname` was rebooted on `date`" | mutt -F /etc/muttrc -s "Notification on `hostname`" [email protected]

$ sudo chmod +x /usr/local/bin/reboot_notify.sh

在这个脚本中，我使用 "-F" 选项，用于指定系统级的 mutt 配置文件位置。因此不要忘了创建 /etc/muttrc 文件，并如前面描述的那样填入 Gmail SMTP 信息。

现在让我们创建如下一个自定义的 systemd 服务。

$ sudo mkdir -p /usr/local/lib/systemd/system
$ sudo vi /usr/local/lib/systemd/system/reboot-task.service

[Unit]
Description=Send a notification email when the server gets rebooted
DefaultDependencies=no
Before=reboot.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/reboot_notify.sh

[Install]
WantedBy=reboot.target

在创建服务后，添加并启动该服务。

$ sudo systemctl enable reboot-task
$ sudo systemctl start reboot-task

从现在起，在每次 VPS 重启时，你将会收到一封通知邮件。

通过服务器使用监控发送邮件通知

作为最后一个例子，让我展示一个现实生活中的应用程序，Monit，这是一款极其有用的服务器监控应用程序。它带有全面的 VPS 监控能力（比如 CPU、内存、进程、文件系统）和邮件通知功能。

如果你想要接收 VPS 上由 Monit 产生的任何事件的邮件通知，你可以在 Monit 配置文件中添加以下 SMTP 信息。

set mailserver smtp.gmail.com port 587
    username "<your-gmail-ID>" password "<gmail-password>"
    using tlsv12

set mail-format {
 from: <your-gmail-ID>@gmail.com
 subject: $SERVICE $EVENT at $DATE on $HOST
 message: Monit $ACTION $SERVICE $EVENT at $DATE on $HOST : $DESCRIPTION.

       Yours sincerely,
          Monit
  }

# the person who will receive notification emails
set alert [email protected]

这是一个因为 CPU 负载超载而由 Monit 发送的邮件通知的例子。

总结

如你所见，类似 Gmail 这样免费的 SMTP 服务器有着这么多不同的运用方式 。但再次重申，请牢记免费的 SMTP 服务器不适用于商业用途，仅仅适用于个人项目。无论你正在哪款应用中使用 Gmail SMTP 服务器，欢迎自由分享你的用例。

via: http://xmodulo.com/send-email-notifications-gmail-smtp-server-linux.html

作者：Dan Nanni 译者：cposture 校对：martin2011qi, wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

有很多不同的方式去管理运行在 KVM 管理程序上的虚拟机。例如，virt-manager 就是一个流行的基于图形界面的前端虚拟机管理工具。然而，如果你想要在没有图形窗口的服务器环境下使用 KVM ，那么基于图形界面的解决方案显然是行不通的。事实上，你可以单纯使用包装了 kvm 命令行脚本的命令行来管理 KVM 虚拟机。作为替代方案，你可以使用 virsh 这个容易使用的命令行程序来管理客户虚拟机。在 virsh 中，它通过和 libvirtd 服务通信来达到控制虚拟机的目的，而 libvirtd 可以控制多个不同的虚拟机管理器，包括 KVM，Xen，QEMU，LXC 和 OpenVZ。

当你想要对虚拟机的前期准备和后期管理实现自动化操作时，像 virsh 这样的命令行管理工具是非常有用的。同样，virsh 支持多个管理器也就意味着你可以通过相同的 virsh 接口去管理不同的虚拟机管理器。

在这篇文章中，我会示范怎样在 ubuntu 和 debian 上通过使用 virsh 命令行去运行 KVM。

第一步：确认你的硬件平台支持虚拟化

第一步，首先要确认你的 CPU 支持硬件虚拟化扩展（e.g.，Intel VT 或者 AMD-V)，这是 KVM 对硬件的要求。下面的命令可以检查硬件是否支持虚拟化。

$ egrep '(vmx|svm)' --color /proc/cpuinfo

如果在输出中不包含 vmx 或者 svm 标识，那么就意味着你的 cpu 不支持硬件虚拟化。因此你不能在你的机器上使用 KVM 。确认了 cpu 支持 vmx 或者 svm 之后，接下来开始安装 KVM。

对于 KVM 来说，它不要求运行在拥有 64 位内核系统的主机上，但是通常我们会推荐在 64 位系统的主机上面运行 KVM。

第二步：安装KVM

使用 apt-get 安装 KVM 和相关的用户空间工具。

$ sudo apt-get install qemu-kvm libvirt-bin

安装期间，libvirtd 用户组（在 debian 上是 libvirtd-qemu 用户组）将会被创建，并且你的用户 id 将会被自动添加到该组中。这样做的目的是让你可以以一个普通用户而不是 root 用户的身份去管理虚拟机。你可以使用 id 命令来确认这一点，下面将会告诉你怎么去显示你的组 id：

$ id <your-userID>

如果因为某些原因，libvirt（在 debian 中是 libvirt-qemu）没有在你的组 id 中被找到，你也可以手动将你自己添加到对应的组中，如下所示：

在 ubuntu 上：

$ sudo adduser [youruserID] libvirtd

在 debian 上：

$ sudo adduser [youruserID] libvirt-qemu

按照如下命令重新载入更新后的组成员关系。如果要求输入密码，那么输入你的登陆密码即可。

$ exec su -l $USER

这时，你应该可以以普通用户的身份去执行 virsh 了。做一个如下所示的测试，这个命令将会以列表的形式列出可用的虚拟机（当前的列表是空的）。如果你没有遇到权限问题，那意味着到目前为止一切都是正常的。

$ virsh list

 Id    Name                           State

第三步：配置桥接网络

为了使 KVM 虚拟机能够访问外部网络，一种方法是通过在 KVM 宿主机上创建 Linux 桥来实现。创建之后的桥能够将虚拟机的虚拟网卡和宿主机的物理网卡连接起来，因此，虚拟机能够发送和接收由物理网卡传输的数据包。这种方式叫做网络桥接。

下面将告诉你如何创建并且配置网桥，我们创建一个网桥称它为 br0。

首先，安装一个必需的包，然后用命令行创建一个网桥。

$ sudo apt-get install bridge-utils
    $ sudo brctl addbr br0

下一步就是配置已经创建好的网桥，即修改位于 /etc/network/interfaces 的配置文件。我们需要将该桥接网卡设置成开机启动。为了修改该配置文件，你需要关闭你的操作系统上的网络管理器（如果你在使用它的话）。跟随操作指南的说明去关闭网络管理器。

关闭网络管理器之后，接下来就是通过修改配置文件来配置网桥了。

#auto eth0
    #iface eth0 inet dhcp

    auto br0
    iface br0 inet dhcp
            bridge_ports eth0
            bridge_stp off
            bridge_fd 0
            bridge_maxwait 0

在上面的配置中，我假设 eth0 是主要网卡，它也是连接到外网的网卡，同样，我假设 eth0 将会通过 DHCP 协议自动获取 ip 地址。注意，之前在 /etc/network/interfaces 中还没有对 eth0 进行任何配置。桥接网卡 br0 引用了 eth0 的配置，而 eth0 也会受到 br0 的制约。

重启网络服务，并确认网桥已经被成功的配置好。如果成功的话，br0 的 ip 地址将会是 eth0 自动分配的 ip 地址，而且 eth0 不会被分配任何 ip 地址。

$ sudo /etc/init.d/networking restart
    $ ifconfig

如果因为某些原因，eth0 仍然保留了之前分配给了 br0 的 ip 地址，那么你可能必须手动删除 eth0 的 ip 地址。

第四步：用命令行创建一个虚拟机

对于虚拟机来说，它的配置信息被存储在它对应的xml文件中。因此，创建一个虚拟机的第一步就是准备一个与虚拟机对应的 xml 文件。

下面是一个示例 xml 文件，你可以根据需要手动修改它。

    <domain type='kvm'>
      <name>alice</name>
      <uuid>f5b8c05b-9c7a-3211-49b9-2bd635f7e2aa</uuid>
      <memory>1048576</memory>
      <currentMemory>1048576</currentMemory>
      <vcpu>1</vcpu>
      <os>
        <type>hvm</type>
        <boot dev='cdrom'/>
      </os>
      <features>
        <acpi/>
      </features>
      <clock offset='utc'/>
      <on_poweroff>destroy</on_poweroff>
      <on_reboot>restart</on_reboot>
      <on_crash>destroy</on_crash>
      <devices>
        <emulator>/usr/bin/kvm</emulator>
        <disk type="file" device="disk">
          <driver name="qemu" type="raw"/>
          <source file="/home/dev/images/alice.img"/>
          <target dev="vda" bus="virtio"/>
          <address type="pci" domain="0x0000" bus="0x00" slot="0x04" function="0x0"/>
        </disk>
        <disk type="file" device="cdrom">
          <driver name="qemu" type="raw"/>
          <source file="/home/dev/iso/CentOS-6.5-x86_64-minimal.iso"/>
          <target dev="hdc" bus="ide"/>
          <readonly/>
          <address type="drive" controller="0" bus="1" target="0" unit="0"/>
        </disk>
        <interface type='bridge'>
          <source bridge='br0'/>
          <mac address="00:00:A3:B0:56:10"/>
        </interface>
        <controller type="ide" index="0">
          <address type="pci" domain="0x0000" bus="0x00" slot="0x01" function="0x1"/>
        </controller>
        <input type='mouse' bus='ps2'/>
        <graphics type='vnc' port='-1' autoport="yes" listen='0.0.0.0'/>
        <console type='pty'>
          <target port='0'/>
        </console>
      </devices>
    </domain>

上面的主机xml配置文件定义了如下的虚拟机内容。

• 1GB内存，一个虚拟cpu和一个硬件驱动
• 磁盘镜像：/home/dev/images/alice.img
• 从 CD-ROM 引导（/home/dev/iso/CentOS-6.5-x86_64-minomal.iso）
• 网络：一个桥接到 br0 的虚拟网卡
• 通过 VNC 远程访问

<uuid></uuid> 中的 UUID 字符串可以随机生成。为了得到一个随机的 uuid 字符串，你可能需要使用 uuid 命令行工具。

$ sudo apt-get install uuid
$ uuid

生成一个主机 xml 配置文件的方式就是通过一个已经存在的虚拟机来导出它的 xml 配置文件。如下所示。

$ virsh dumpxml alice > bob.xml

第五步：使用命令行启动虚拟机

在启动虚拟机之前，我们需要创建它的初始磁盘镜像。为此，你需要使用 qemu-img 命令来生成一个 qemu-kvm 镜像。下面的命令将会创建 10 GB 大小的空磁盘，并且它是 qcow2 格式的。

$ qemu-img create -f qcow2 /home/dev/images/alice.img 10G

使用 qcow2 格式的磁盘镜像的好处就是它在创建之初并不会给它分配全部大小磁盘容量（这里是 10 GB），而是随着虚拟机中文件的增加而逐渐增大。因此，它对空间的使用更加有效。

现在，你可以通过使用之前创建的 xml 配置文件启动你的虚拟机了。下面的命令将会创建一个虚拟机，然后自动启动它。

$ virsh create alice.xml
Domain alice created from alice.xml

注意: 如果你对一个已经存在的虚拟机执行了了上面的命令，那么这个操作将会在没有任何警告的情况下抹去那个已经存在的虚拟机的全部信息。如果你已经创建了一个虚拟机，你可能会使用下面的命令来启动虚拟机。

$ virsh start alice.xml

使用如下命令确认一个新的虚拟机已经被创建并成功的被启动。

$ virsh list

 Id    Name                           State
----------------------------------------------------
 3     alice                          running

同样，使用如下命令确认你的虚拟机的虚拟网卡已经被成功的添加到了你先前创建的 br0 网桥中。

$ sudo brctl show

远程连接虚拟机

为了远程访问一个正在运行的虚拟机的控制台，你可以使用VNC客户端。

首先，你需要使用如下命令找出用于虚拟机的VNC端口号。

$ sudo netstat -nap | egrep '(kvm|qemu)'

在这个例子中，用于 alice 虚拟机的 VNC 端口号是 5900。 然后启动一个VNC客户端，连接到一个端口号为5900的VNC服务器。在我们的例子中，虚拟机支持由CentOS光盘文件启动。

使用 virsh 管理虚拟机

下面列出了 virsh 命令的常规用法：

创建客户机并且启动虚拟机：

$ virsh create alice.xml

停止虚拟机并且删除客户机：

$ virsh destroy alice

关闭虚拟机（不用删除它）：

$ virsh shutdown alice

暂停虚拟机：

$ virsh suspend alice

恢复虚拟机：

$ virsh resume alice

访问正在运行的虚拟机的控制台：

$ virsh console alice

设置虚拟机开机启动：

$ virsh autostart alice

查看虚拟机的详细信息：

$ virsh dominfo alice

编辑虚拟机的配置文件：

$ virsh edit alice

上面的这个命令将会使用一个默认的编辑器来调用主机配置文件。该配置文件中的任何改变都将自动被libvirt验证其正确性。

你也可以在一个virsh会话中管理虚拟机。下面的命令会创建并进入到一个virsh会话中：

$ virsh

在 virsh 提示中，你可以使用任何 virsh 命令。

问题处理

1. 我在创建虚拟机的时候遇到了一个错误：

error: internal error: no supported architecture for os type 'hvm'

如果你的硬件不支持虚拟化的话你可能就会遇到这个错误。（例如，Intel VT或者AMD-V），这是运行KVM所必需的。如果你遇到了这个错误，而你的cpu支持虚拟化，那么这里可以给你一些可用的解决方案：

首先，检查你的内核模块是否丢失。

$ lsmod | grep kvm

如果内核模块没有加载，你必须按照如下方式加载它。

$ sudo modprobe kvm_intel (for Intel processor)
$ sudo modprobe kvm_amd (for AMD processor)

第二个解决方案就是添加 --connect qemu:///system 参数到 virsh 命令中，如下所示。当你正在你的硬件平台上使用超过一个虚拟机管理器的时候就需要添加这个参数（例如，VirtualBox，VMware）。

$ virsh --connect qemu:///system create alice.xml

2. 当我试着访问我的虚拟机的登陆控制台的时候遇到了错误：

 $ virsh console alice
 error: internal error: cannot find character device <null>

这个错误发生的原因是你没有在你的虚拟机配置文件中定义控制台设备。在 xml 文件中加上下面的内部设备部分即可。

<console type='pty'>
  <target port='0'/>
</console>

via: http://xmodulo.com/use-kvm-command-line-debian-ubuntu.html

作者：Dan Nanni 译者：kylepeng93 校对：Ezio

本文由 LCTT 原创编译，Linux中国 荣誉推出

随着安全威胁的不断发生，入侵检测系统（IDS）在如今的数据中心环境中显得尤为必要。然而，随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网，对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系统性能的途径是多线程入侵检测系统，它将 CPU 密集型的深度包检测工作并行的分配给多个并发任务来完成。这样的并行检测可以充分利用多核硬件的优势来轻松提升入侵检测系统的吞吐量。在这方面有两个知名的开源项目，分别是 Suricata 和 Bro。

这个教程里，我会向大家演示如何在 Linux 服务器上安装和配置 Suricata 入侵检测系统。

在 Linux 上安装 Suricata IDS

让我们从源文件来构建 Suricata，但在此之前，需要按如下所示先安装几个依赖包。

在 Debian, Ubuntu 或者 Linux Mint 操作系统上安装依赖包

$ sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libjansson-dev

在 CentOS, Fedora 或者 RHEL 操作系统上安装依赖包

$ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel

一旦将所有依赖包安装完毕，我们就可以继续安装 Suricata 了。

首先从 http://suricata-ids.org/download/ 下载 Suricata 源代码，然后构建它。撰写这篇文章的时候，其最新版本号为 2.0.8 。

$ wget http://www.openinfosecfoundation.org/download/suricata-2.0.8.tar.gz
$ tar -xvf suricata-2.0.8.tar.gz
$ cd suricata-2.0.8
$ ./configure --sysconfdir=/etc --localstatedir=/var

以下是配置信息的样例。

Suricata Configuration:
  AF_PACKET support:                       yes
  PF_RING support:                         no
  NFQueue support:                         no
  NFLOG support:                           no
  IPFW support:                            no
  DAG enabled:                             no
  Napatech enabled:                        no
  Unix socket enabled:                     yes
  Detection enabled:                       yes

  libnss support:                          yes
  libnspr support:                         yes
  libjansson support:                      yes
  Prelude support:                         no
  PCRE jit:                                yes
  LUA support:                             no
  libluajit:                               no
  libgeoip:                                no
  Non-bundled htp:                         no
  Old barnyard2 support:                   no
  CUDA enabled:                            no

现在可以编译、安装了。

$ make
$ sudo make install

Suricata 源代码带有默认的配置文件。按照如下方法安装这些默认配置文件即可。

$ sudo make install-conf

正如你所料，如果没有IDS规则集的话，Suricata 什么用也没有。幸好 Makefile 为我们提供了 IDS 规则集的安装选项。安装方法如下。

$ sudo make install-rules

以上的规则安装命令会从 EmergingThreats.net 上下载可用的社区规则集快照，并且将其存储在 /etc/suricata/rules 目录下。

首次配置 Suricata IDS

现在到了配置 Suricata 的时候了。配置文件的位置是 /etc/suricata/suricata.yaml。参照以下命令，用文本编辑器打开这个文件。

$ sudo vi /etc/suricata/suricata.yaml

文件中有一些运行所需的基本配置。

为default-log-dir关键字指定 Suricata 日志文件所在的位置。

default-log-dir: /var/log/suricata/

在vars部分下方，你会发现几项对 Suricata 来说很重要变量。HOME_NET变量需要指定 Suricata 检查的网络。被分配给 EXTERNAL_NET 变量的 !$HOME_NET 代表除本地网络之外的其他网络。XXX_PORTS变量用来辨别不同服务所用到的端口号。需要注意的是无论使用什么端口，Suricata 都可以自动检测 HTTP 流量。所以是不是正确指定端口就显得没那么重要了。

vars:
    HOME_NET: "[192.168.122.0/24]"
    EXTERNAL_NET: "!$HOME_NET"
    HTTP_PORTS: "80"
    SHELLCODE_PORTS: "!80"
    SSH_PORTS: 22

host-os-policy 部分用于防御利用操作系统网络栈的自身行为来逃避检测的一些知名攻击手段（例如：TCP reassembly）。作为对策，通过针对目标操作系统而对检测引擎算法进行微调，现代 IDC 提供了“基于目标”的检测手段。因此，如果你知道某台主机运行了什么操作系统的话，将这个信息提供给 Suricata 就可以大幅提高检测的成功率。这就是 host-os-policy 存在的意义。本例中，默认的 IDC 策略是 Linux 系统。如果针对某个 IP 地址没有指定操作系统信息，Suricata 会默认应用基于 Linux 系统的检测策略。如下，当捕获到对 192.168.122.0/28 和 192.168.122.155通讯时，Suricata 就会应用基于 Windows 系统的检测策略。

host-os-policy:
  # These are Windows machines.
  windows: [192.168.122.0/28, 192.168.122.155]
  bsd: []
  bsd-right: []
  old-linux: []
  # Make the default policy Linux.
  linux: [0.0.0.0/0]
  old-solaris: []
  solaris: ["::1"]
  hpux10: []
  hpux11: []
  irix: []
  macos: []
  vista: []
  windows2k3: []

在 threading 部分下，你可以为不同的 Suricata 线程指定 CPU 关联。默认状态下，CPU 关联 是被禁止使用的 (set-cpu-affinity: no)，这意味着 Suricata 会分配其线程到所有可用的 CPU 核心上。Suricata 会默认为每一个 CPU 核心创建一个检测线程。你可以通过指定 detect-thread-ratio: N 来调整此行为。此处会创建 N*M 个检测线程，M 代表 CPU 核心总数。

threading:
  set-cpu-affinity: no
  detect-thread-ratio: 1.5

通过以上对线程的设置，Suricata 会创建 1.5*M 个检测线程，M 是系统的 CPU 核心总数。

如果你想对 Suricata 配置有更多的了解，可以去翻阅默认配置文件。里边配有有大量的注释以供你清晰理解。

使用 Suricata 进行入侵监控

现在是时候让 Suricata 跑起来了，但在这之前还有一个步骤需要去完成。

当你使用 pcap 捕获模式的时候，强烈建议关闭 Suricata 监听网卡上的任何的包卸载（例如 LRO/GRO）功能。这些功能会干扰包的实时捕获行为。

按照以下方法关闭 eth0 接口的 LRO/GRO 功能。

$ sudo ethtool -K eth0 gro off lro off

这里要注意，在使用某些网卡的情况下，你会看到如下警告信息。忽略它们就行了，这些信息只不过告诉你你的网卡不支持 LRO 功能而已。

Cannot change large-receive-offload

Suricata 支持许多运行模式。运行模式决定着 IDC 会使用何种线程。以下命令可以查看所有 可用的运行模式。

$ sudo /usr/local/bin/suricata --list-runmodes

Suricata 使用的默认运行模式是 autofp（ auto flow pinned load balancing （ 自动流绑定负载均衡 ） 的缩写）。这个模式下，来自某一个流的包会被分配到一个单独的检测线程中。这些流会根据未被处理的包的最低数量来分配相应的线程。

最后，让我们将 Suricata 运行起来，看看它表现如何。

$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth0 --init-errors-fatal

本例中，我们在一个8核心系统中监控 eth0 网络接口。如上所示，Suricata 创建了13个包处理线程和3个管理线程。包处理线程中包括一个 PCAP 包捕获线程，12个检测线程(由8*1.5得出)。这表示 IDS 内的1个包捕获线程均衡负载到12个检测线程中。管理线程包括1个流管理和2个计数/统计相关线程。

以下是一个关于Suricata处理的线程截图(由 htop 绘制)。

Suricata 检测日志存储在 /var/log/suricata 目录下。

$ tail -f /var/log/suricata/fast.log

04/01/2015-15:47:12.559075  [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46997
04/01/2015-15:49:06.565901  [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46317
04/01/2015-15:49:06.566759  [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46317

日志也可以提供 Json 格式以便导入：

$ tail -f /var/log/suricata/eve.json

{"timestamp":"2015-04-01T15:49:06.565901","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"TCP","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"SURICATA TCPv4 invalid checksum","category":"","severity":3}}
{"timestamp":"2015-04-01T15:49:06.566759","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"TCP","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"SURICATA TCPv4 invalid checksum","category":"","severity":3}}

总结

这篇教程中，我为大家演示了如何在一台多核 Linux 服务器上安装 Suricata 入侵检测系统。不同于单线程的 Snort IDS ，Suricata 可以很容易的从多核硬件的多进程特性所带来的好处中获益。定制 Suricata 来最大化其效能和检测范围是一个很好的主意。Suricata 的粉丝们维护着一个 在线 Wiki，如果你打算将 Suricata 部署到你的环境中，我强烈建议你去那儿取取经。

如果你现在已经开始使用 Suricata 了的话，把你的经验也分享出来吧。

via: http://xmodulo.com/install-suricata-intrusion-detection-system-linux.html

作者：Dan Nanni 译者：mr-ping 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出