林纳斯定律 Linus's Law 即“ 只要有足够多的眼睛关注，任何漏洞都无处隐藏 given enough eyeballs, all bugs are shallow ”。那么林纳斯定律是如何应用于开源软件安全的呢？

这篇文章讨论 Linux 对开源软件安全的影响。

开源软件的一个常被赞扬的优点是它的代码能够被任何人审查（安全专家通常称之为“代码审计”）。然而，如果你真的去问很多开源软件用户他们上一次检查代码是什么时候。你大概只能收获他们茫然的眼神或者是喃喃的低语。此外，对于一些相当大型的开源应用，有效地审查每一行代码也是困难的。

根据上述这些稍显不安的事实，我们不得不思考：如果没有人察看这些代码，它是开源还是闭源真的有关系吗？

你应该相信开源吗？

计算机爱好者倾向于作出认为开源软件比其他软件更加安全的传统假设。我们通常不会讨论这意味者什么：比较的基础是什么（比什么“更”安全？），或者上述结论是如何得到的。这是一个危险的陈述，因为它表明只要你将一些东西称之为“开源”，它就自动如魔法般地继承了更高的安全性。这不是开源，事实上，这正是开源安全非常反对的。

除非你已经亲自审计并理解了软件代码，否则就不应该假定一个应用程序是安全的。一但你做到了这一点，就可以给予它 终极信任 ultimate trust 。终极信任 不是对计算机而言的，而是对你本人而言的，至少在这一应用程序被渗透攻击之前，你信任它是因为你选择了相信它是安全的。

使用者本人是唯一可以对软件代码给予终极信任的人，因此任何人想要获得这样的享受都必须亲自审查代码。相信其他人的话是不管用的。

在你已经亲自审计并理解了软件代码之前，你对一个应用程序给予的最大信任度是一个范围，可以是从 根本不信任 到 相当信任 之间。然而我们并没有一个关于信任程度的标准对照表，这是一个你必须亲自做出的个人选择。如果你已经从非常信任的人那里听说了一款应用程序是安全的，那么你可能会更信任这个软件，而不是信任那些你没有得到信任建议的东西。

然而，因为无法审计专有（闭源）软件代码，你不可能给予它 终极信任。

林纳斯定律

现实很骨感，并不是每个人都是程序员，同时也不是每个程序员都有时间检查数以万计的代码行。因此如果你没有亲自审查代码，你就只能选择（一定程度上）相信那些 亲自 审查了代码的人。

那么，有哪些人会审查代码呢？

林纳斯定律声称 只要有足够的眼睛关注，任何漏洞都无处隐藏，然而我们并不知道多少双眼睛是“足够”的。请不要低估这一数量，应用程序往往经过了远超你想象数量的人员审查。原始开发人员以及后续开发人员显然清楚他们自己写下的代码，不过开源软件往往都是团队成果，开源时间越长，阅读了代码的开发人员越多。新加入的开发人员也必须回顾项目代码的核心部分，因为他们必须学习基础代码以加入新的功能。

同时，为了使开源软件能够在 Linux 发行版上可用，负责开源软件打包分发的开发人员会加入多个项目。有时一个应用程序可能会在不熟悉项目代码的情况下打包，但是大多数时候，开源软件打包人员都是熟悉所打包的项目代码的。这不仅仅是因为他们不想在他们不信任的软件上签名，还由于他们可能不得不修改代码来使得程序能够正确编译。漏洞报告人员和漏洞修复人员一般也是熟悉代码库的，因为他们需要尝试解决小到运行异常，大到程序崩溃的问题。当然，一些漏洞报告人员不是通过亲自审查项目代码，而是通过关注明显未按预期工作的现象，无意中揭示了代码漏洞。系统管理员通常都是通晓用户依赖的重要应用软件的代码的。最后，还有一些安全研究人员，他们专门深入代码内部以揭露潜在的漏洞。

信任与透明

很多人先入为主的认为大型软件的审计是基本不可能的，因为它由数以万计的代码行组成。不要被软件运行所需的代码量欺骗了。我们不需要真的阅读数以万计的代码行。代码是高度结构化的，可被利用的代码漏洞仅仅只是其中的一行，不过它通常影响软件的全部功能。

当然，也有例外。有时仅仅一个系统调用或者链接一个有缺陷的库文件就可能引入一系列漏洞。幸运的是，多亏安全研究人员以及漏洞数据库所扮演的积极角色，这些错误相对而言是容易发现的。

一些人指着错误追踪系统，比如 通用漏洞披露 Common Vulnerabilities and Exposures （CVE）网站，并推断开源软件显而易见是不安全的。毕竟已经向公众公开了大量的安全风险，涉及许多开源项目。但是不要被数据欺骗了。只是因为我们看不到现闭源软件的漏洞，并不意味着闭源软件中不存在漏洞。事实上，已经有很多针对闭源软件的漏洞攻击提出了，闭源软件也是存在漏洞的。区别在于开发者（以及用户）可以查看开源软件的 所有的漏洞 从而降低漏洞的影响。这是扩大对开源软件信任的系统机制的一部分，却正是闭源软件软件所缺少的。

对于任何代码而言，可能永远没有“足够的眼睛”来发现漏洞，但是开发社区越壮大、越多样化，越有机会发现和修复代码中的缺陷。

信任与人

在开源社区中，参与同一项目的众多开发者已经发现“不安全”的漏洞，却保持沉默的的可能性是微乎其微的，因为人们很少同意以这样的方式合谋。我们已经看到了在应对 COVID-19 的过程中，人类的行为是如何不一致了，在这里也一样：

• 我们都发现了漏洞（病毒）。
• 我们知晓如何避免它传播（待在家里）。
• 然而病毒还是在持续传播，因为总是有一个或者多个人偏离了消减疫情的计划。

开源软件中的漏洞也一样，如果有人发现了漏洞总会公之于众（当然，我们说的是“假如”能够发现）。

然而就专有软件而言，有很大可能参与项目的众多开发者即使注意到不安全的漏洞却仍然保持沉默，因为专有模式依赖于薪水。如果一个开发者将漏洞泄漏出来，他可能只是伤害了该专有软件的声誉，进而降低软件的销售额；或者，在更糟糕的情况下，他可能因此而丢了工作。开发人员拿着薪水秘密地研究软件，往往不会谈论其缺陷。如果你曾经是一名开发者，你可能曾经签署过 NDA （LCTT 译注： 保密协议 Non-Disclosure Agreement ），也被培训过商业秘密的重要性，等等不一而足。专有软件鼓励在面对严重的秘密缺陷时保持沉默，更多时候甚至是强制要求沉默。

信任与软件

不要信任未经你审计的软件。

如果你必须相信未经你审计的软件，那么选择相信已经面向那些更有可能将软件缺陷公之于众的开发者公开代码的软件。

开源软件并没有比专有软件继承更高的安全性，但是修复它的系统得到了更好的规划、实施和人员配置。

via: https://opensource.com/article/21/2/open-source-security

作者：Seth Kenlon 选题：lujun9972 译者：CanYellow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Nemo 感觉像是更新版的 GNOME 2 文件管理器。我喜欢它，我觉得你也会喜欢它。

计算机是一个奇特的文件柜，里面装满了虚拟文件夹和文件，等待着被引用、交叉引用、编辑、更新、保存、复制、移动、重命名和归类。在本文中，我将介绍一下 Linux 系统的文件管理器。

Cinnamon 项目是使用 GNOME 3 的组件重新实现的 GNOME 2。最终，它的差异足以成为一个真正的分叉，如今，Cinnamon 桌面使用 GTK3 库和 GNOME 3 关键应用的分叉版本来创建一个“经典”的 GNOME 体验。对传统的 GNOME 体验做出贡献的组件之一是 Nemo，它是一个基于 GNOME 2 版本的 Nautilus 的文件管理器。

在 Linux 上安装 Nemo

Nemo 的源代码 在线提供，但它需要 cinnamon-desktop 来构建，所以安装 Nemo 最简单的方法是直接安装 Cinnamon。

在 Fedora、Mageia 和类似的系统上：

$ sudo dnf install cinnamon-desktop

在 Linux Mint、Debian 和类似系统上：

$ sudo apt install cinnamon-desktop-environment

当然，作为该桌面的发源地，Linux Mint 也预装了 Cinnamon。

一个熟悉的界面

如果你已经习惯了 GNOME，无论是过去的还是现在的，那么 Nemo 从一开始就让你有一种回家的感觉。它有一个熟悉的外观和感觉，在类似的地方有按钮和选项，你很可能会认出它们。

将视图控制按钮放在右上方的 GNOME 式惯例被保留了下来，你可以使用这些按钮快速地将你的文件视图从大图标切换到详细列表或紧凑视图。那里还有一个搜索功能，以及在可编辑文本和按钮之间切换位置栏的选项。

可编辑的 URI 栏有时被低估了。这是一个简单的设计决定，但它可以是一个有助于提高效率的巨大功能。这就像在每个窗口的顶部有一个单行终端，你可以在那里输入你的系统的任何目标位置，并立即被带到那里。而且你甚至不需要输入 cd。

在左上角，有导航按钮：向上、向前和向后。与许多 Linux 文件管理器一样，你可以用 Alt 键加上适当的 箭头 键，而放弃使用这些按钮。

侧面窗格显示了重要文件夹的列表（主目录、文档、下载等），可以通过点击窗口底部的一个按钮来隐藏或显示。

熟悉但不一样

Nemo 的舒适性和熟悉性并不意味着它只是无意识地模仿 Nautilus。Nemo 有一系列不错的功能，感觉很独特。其中大部分都在 偏好设置 Preferences 中，以下是我最喜欢的几个：

• 窗口标题中显示全路径 Full path in window title ：这是我最喜欢的功能。不要再怀疑你在文件系统中的位置了。让你的窗口标题告诉你。
• 单击或双击 Single or double click ：如果你是一个长期的 KDE 用户，你可能会发现单次点击打开一个文件是很新鲜的。有了 Nemo，你可以这样选择。
• 双击来重命名 Double-click to rename ：如果你使用单击来打开，为什么不重新利用双击来重命名呢？
• 在新窗口中打开每个文件夹 Open each folder in a new window ：操作系统为每一个打开的文件夹打开一个新的窗口。
• 插件 Plugins ：Nemo 有能力调用动作、脚本和扩展。有些已经包括在内，有改变桌面背景、创建启动器和挂载归档的动作。其他的还没有被创建，但这种可扩展性对开源是至关重要的。

一切近在咫尺

在 Linux Mint 上使用 Nemo 几周后，一个有趣的特征让我眼前一亮。似乎 Nemo 可以，或者通过快速配置可以，让我最常使用的所有东西都近在咫尺。许多功能，我承认，我不知道我是否需要，直到 Nemo 让我轻松点击才知道。你可能会说，我是为了满足 Nemo 的设计而改变了我的使用方式，也许情况确实如此。但是，当这种体验是如此令人愉快和有效时，这有什么关系呢？

Nemo 是一个很好的文件管理器。它让人想起了 GNOME 2 的时代，但其更新和设计选择让人有一种新鲜的感觉。如果你喜欢 Thunar 或 Nautilus，你会喜欢 Nemo。

via: https://opensource.com/article/22/12/linux-file-manager-nemo

作者：Seth Kenlon 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

了解 for 循环结构和你在控制它时拥有的选项，这样你可以对如何在 Lua 中处理数据做出聪明的决定。

在编程中，迭代是一个重要的概念，因为代码通常必须多次扫描一组数据，以便它可以单独处理每个项目。控制结构使你能够根据通常在程序运行时动态建立的条件来指导程序的流程。不同的语言提供不同的控制，在 Lua 中，有 while 循环、for 循环和 repeat until 循环。本文介绍 for 循环。我将在另一篇文章中介绍 while 和 repeat until 循环。

for 循环

for 循环接受已知数量的项目并确保处理每个项目。“项目”可以是数字，它也可以是一个包含多个条目或任何 Lua 数据类型的表。语法和逻辑有点灵活，但语法允许这些参数，每个参数本质上描述了一个计数器：

• 计数器的起始值
• 停止值
• 你希望计数器前进的增量

例如，假设你有三个项目并希望 Lua 处理每个项目。你的计数器可以从 3 开始一直持续到 1，增量为 -1。这呈现为 3、2、1 的计数。

mytable = { "zombie", "Halloween", "apocalypse" }
for count = 3, 1, -1 do
  print(count .. ": " .. mytable[count])
end

运行代码以确保所有三个项目都得到处理：

$ lua ./for.lua
3: apocalypse
2: Halloween
1: zombie

这段代码有效地“反向”处理了表，因为它是倒数。你可以正数：

for count = 1, 3, 1 do
  print(mytable[count])
end

此示例从最低索引到最高索引处理表：

$ lua ./for.lua
1: zombie
2: Halloween
3: apocalypse

增量

你也可以更改增量。例如，也许你想要一个没有万圣节盛况的僵尸启示录：

mytable = { "zombie", "Halloween", "apocalypse" }
for count = 1, 3, 2 do
  print(mytable[count])
end

运行代码：

$ lua ./for.lua
zombie
apocalypse

该示例打印了 1 和 3，因为第一个计数是 1，然后递增 2（总共 3）。

计数器

有时你不知道需要 Lua 遍历数据的次数。在这种情况下，你可以将计数器设置为由其他进程填充的变量。

另外，count 这个词不是关键字。为了清楚起见，这正是我在示例代码中使用的内容。程序员通常使用更短的名称，例如 i 或 c。

var = os.time()
if var%2 == 0 then
  mytable = { var }
else
  mytable = { "foo", "bar", "baz" }
end
for c = 1, #mytable, 1 do
  print(mytable[c])
end

此代码创建一个变量，其中包含启动时的时间戳。如果时间戳是偶数（除以 2 时模数为 0），则只将时间戳放入表中。如果时间戳是奇数，它将三个字符串放入一个表中。

现在你无法确定你的 for 循环需要运行多少次。可能是一次或是三次，但没有办法确定。解决方案是将起始计数设置为 1，将最终计数设置为表的长度（#mytable 是确定表长度的内置快捷方式）。

可能需要多次运行脚本才能看到这两个结果，但最终，你会得到如下结果：

$ lua ./dynamic.lua1665447960
$ lua ./dynamic.lua
foo
bar
baz

带 pairs 和 ipairs 的 for 循环

如果你已经阅读了我关于 表迭代 的文章，那么你已经熟悉了 Lua 中最常见的 for 循环之一。这个使用 pairs 或 ipairs 函数来迭代一个表：

mytable = { "zombie", "Halloween", "apocalypse" }
for i,v in ipairs(mytable) do
  print(i .. ": " v)
end

pairs 和 ipairs 函数“解包”表并将值转储到你提供的变量中。在此示例中，我将 i 用于 索引，将 v 用于 值，但变量名称无关紧要。

$ lua ./for.lua1: zombie2: Halloween3: apocalypse

for 循环

for 循环结构在编程中很常见，由于经常使用表和 pairs 函数，因此在 Lua 中非常常见。了解 for 循环结构和控制它时的选项意味着你可以就如何在 Lua 中处理数据做出明智的决定。

via: https://opensource.com/article/22/11/lua-for-loops

作者：Seth Kenlon 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

参数对于交互式计算至关重要，Lua 编程语言提供了 {...} 表达式来封装在启动 Lua 脚本时给定的可变参数。

大多数计算机命令由两部分组成：命令和参数。命令是要执行的程序，而参数可能是命令选项或用户输入。如果没有这种结构，用户将不得不编辑命令的代码，以改变命令所处理的数据。想象一下重写 printf 命令只是为了让你的计算机用 “hello world” 消息问候你。参数对于交互式计算至关重要，Lua 编程语言 提供了 {...} 表达式来封装在启动 Lua 脚本时给定的可变参数。

在 Lua 中使用参数

几乎每一个给计算机的命令都假定一个参数，即使它期望参数是一个空列表。 Lua 会记录启动后写入的内容，即使你可能对这些参数不做任何操作。要在 Lua 启动时使用用户提供的参数，请迭代 {...} 表：

local args = {...}

for i,v in ipairs(args) do
    print(v)
end

运行代码：

$ lua ./myargs.lua
$ lua ./myargs.lua foo --bar baz
foo
--bar
baz
----

参数是不安全的，Lua 会完全按照输入的方式打印所有参数。

解析参数

对于简单的命令，Lua 的基本功能足以解析和处理参数。这是一个简单的例子：

-- setup

local args = {...}

-- engine

function echo(p)
   print(p)
end

-- go

for i,v in ipairs(args) do
  print(i .. ": " .. v)
end

for i,v in ipairs(args) do
  if args[i] == "--say" then
    echo("echo: " .. args[i+1])
  end
end

在 setup 部分，将所有命令参数转储到名为 args 的变量中。

在 engine 部分，创建一个名为 echo 的函数，用于打印你“输入”其中的任何内容。

最后，在 go 部分，解析 args 变量（用户在启动时提供的参数）中的索引和值。在此示例代码中，为清楚起见，第一个 for 循环仅打印每个索引和值。

第二个 for 循环使用索引来检查第一个参数，它被假定是一个选项。此示例代码中唯一有效的选项是 --say。如果循环找到字符串 --say，它会调用 echo 函数，并将当前参数的索引 加 1（下一个 参数）作为函数参数提供。

命令参数的分隔符是一个或多个空格。运行代码查看结果：

$ lua ./echo.lua --say zombie apocalypse
1: --say
2: zombie
3: apocalypse
echo: zombie

大多数用户都知道在向计算机发出命令时空格很重要，因此在这种情况下删除第三个参数是预期的行为。下面是演示两种有效“转义”方法的变体：

$ lua ./echo.lua --say "zombie apocalypse"
1: --say
2: zombie apocalypse
echo: zombie apocalypse

$ lua ./echo.lua --say zombie\ apocalypse
1: --say
2: zombie apocalypse
echo: zombie apocalypse

解析参数

手动解析参数简单且无依赖性。但是，你必须考虑一些细节。大多数现代命令都允许使用短选项（例如，-f）和长选项（--foo），并且大多数命令都提供 -h 或 --help 或者在没有所需参数时显示帮助菜单。

使用 LuaRocks 可以轻松安装其他库。有一些非常好的工具，例如 alt-getopt，它们为解析参数提供了额外的基础设施。

via: https://opensource.com/article/22/11/lua-command-arguments

作者：Seth Kenlon 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

systemd 的速度和易用性使其成为管理现代 Linux 系统的流行方式。

系统管理员知道，在一台运行着的现代计算机上会发生很多事情：应用程序在后台运行、预定事件等待在特定时间被触发、事件写入日志文件、发送状态报告。在以前，不同的进程可以通过一系列 Unix 工具，来进行有效地管理和监控。然而，现代的计算机运作更为复杂了：本地服务与容器化应用程序一同运行、能够轻松访问云及其运行的集群、实时进程、以及有比以往都多的数据。

拥有统一的管理方法不但是用户想要的，也是忙碌的系统管理员所迫切渴望的。为了完成这项重要的任务， 系统守护进程 system daemon （systemd） 被开发出来，并迅速被所有主要的 Linux 发行版所采用了。

当然，systemd 并不是管理 Linux 系统的唯一方式，还有许多其他可供选择的初始化系统，包括 sysvinit、OpenRC、runit、s6 和 BusyBox，但 systemd 将 Linux 视为一个统一的数据集，意味着 systemd 能用强大的工具对 Linux 进行一致的操作和查询。对于忙碌的系统管理员和许多用户来说，systemd 的速度和易用性是一个重要的特性。有以下的五个原因。

启动管理

启动 Linux 计算机可能是一件非常罕见的事情。服务器的正常运行时间通常以 年 来计算，而不是月或周。笔记本电脑和台式机可能会频繁地关闭和启动，但更多的时候它们是被挂起或休眠了。无论哪种类型，最近一次开机的时刻都可用于检查一段时间内的计算机健康情况，因为当你在监视系统或诊断问题时，这一时刻能够限制查看的数据量大小，从而让你快速地找到问题所在。

如果你不记得上次启动计算机的时间，你可以使用 systemd 的日志记录工具 journalctl，来列出计算机的所有启动会话：

$ journalctl --list-boots
-42 7fe7c3... Fri 2020-12-04 05:13:59 - Wed 2020-12-16 16:01:23
-41 332e99... Wed 2020-12-16 20:07:39 - Fri 2020-12-18 22:08:13
[...]
-1 e0fe5f... Mon 2021-03-29 20:47:46 - Mon 2021-03-29 21:59:29
 0 37fbe4... Tue 2021-03-30 04:46:13 - Tue 2021-03-30 10:42:08

最近一次启动会话输出在结果列表的底部，因此你可以通过管道将输出传输到 tail，来查看最近一次启动会话。

左侧的数字（在本例中为 42、41、1 和 0）是每个启动会话的索引号。换句话说，如果你要查看某一特定启动会话的日志，你可以使用这个索引号作为参数。

日志检查

查看日志是推断系统信息的一种重要方法。日志提供了计算机运行的大部分事件的历史记录，这些记录都是在没有你直接监督的情况下生成的。通过日志，你可以知道某一服务何时启动、定时任务何时运行、哪些服务在后台运行、哪些事件运行失败等等信息。故障排除的初始步骤是使用 systemd 的 journalctl 来查看日志：

$ journalctl --pager-end

--pager-end 选项（简写为 -e）会从 journalctl 的输出末尾开始查看日志，因此要查看更早发生的日志，你需要向上滚动。

systemd 维护一个错误信息的“目录”，错误信息包含错误记录、可能的解决方案、支持论坛的链接和开发人员文档。这个错误信息的“目录”能为日志事件提供重要的上下文，否则它可能会成为海量日志中的一个令人困惑的信息，或者更糟的是，错误信息可能会完全被忽视。要将错误消息与日志中的解释性文本放在一起输出，你可以使用 --catalog 选项（简写为 -x）：

$ journalctl --pager-end --catalog

要进一步限定日志输出，你可以指定要查看哪个启动会话的日志。因为每个启动会话都有索引，所以你可以使用 --boot 选项，来指定某个启动会话，并仅查看该启动会话的日志：

$ journalctl --pager-end --catalog --boot 42

你还可以查看特定 systemd 单元的日志。例如，要解决 SSH 服务的问题，你可以指定 --unit sshd 选项，来仅查看适用于 sshd 守护程序的日志：

$ journalctl --pager-end \
    --catalog --boot 42 \
    --unit sshd

服务管理

systemd 的第一个任务就是启动你的计算机，systemd 会迅速、高效且有效地执行这一任务。但 systemd 一直需要管理的任务是服务管理，因为 systemd 需要确保你要运行的服务确实在你的会话期间启动，并继续运行。systemd 的这一功能非常稳健，因为理论上即使是一个崩溃的服务也可以在没有你干预的情况下重新启动。

你可以通过使用 systemctl 命令来让 systemd 管理服务，并能查看定义服务的 单元文件 unit file ：

$ systemctl cat sshd
# /usr/lib/systemd/system/sshd.service
[Unit]
Description=OpenSSH server daemon
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target sshd-keygen.target
Wants=sshd-keygen.target

[Service]
Type=notify
EnvironmentFile=-/etc/crypto-policies/back-ends/opensshserver.config
EnvironmentFile=-/etc/sysconfig/sshd
ExecStart=/usr/sbin/sshd -D $OPTIONS $CRYPTO_POLICY
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartSec=42s

[Install]
WantedBy=multi-user.target

大多数单元文件都在 /usr/lib/systemd/system/ 目录下，但是你也可以用局部更改来修改配置，请使用以下的方式：

$ systemctl edit sshd

你可以通过 is-active 选项，来查看某一服务当前是否处于活动状态：

$ systemctl is-active sshd
active
$ systemctl is-active foo
inactive

同样地，你可以通过 is-failed 选项，来查看某一服务是否运行失败了。

$ systemctl is-failed sshd

使用以下命令，来启动或者停止某一服务：

$ systemctl stop sshd
$ systemctl start sshd

使用以下命令，让某一服务在开机时自启动：

$ systemctl enable sshd

添加 --now 选项，让某一服务在开机时启动并在当前会话中立即启动。

定时器管理

在以前，当你想在 Linux 上自动执行一项任务时，你可以使用的工具是 cron。如今，cron 命令仍能使用，但对于在 Linux 上自动执行一项任务，也有一些其他好用的替代方案。例如，anacron 命令 是一个多功能的、类似于 cron 的系统，它能够运行在停机期间可能会错过的任务。

计划的事件就是在特定时间需要激活的服务。systemd 管理一个名为 定时器 的工具，它类似 cron 的功能。你可以使用以下命令，来列出活动中的定时器：

$ systemctl list-timers
NEXT                          LEFT      
Tue 2021-03-30 12:37:54 NZDT  16min left [...]
Wed 2021-03-31 00:00:00 NZDT  11h left [...]
Wed 2021-03-31 06:42:02 NZDT  18h left [...]

3 timers listed.
Pass --all to see loaded but inactive timers, too.

你可以使用以下命令，来像启用服务一样启用定时器：

$ systemctl enable myMonitor.timer

目标管理

目标 target 是 systemd 的最后一个主要组成部分。像服务和定时器一样，目标也是一个单元文件，也可以以相同的方式启动和启用。目标的独特之处在于它们可以将其他单元文件任意分组。例如，你可能希望开机启动到文本控制台界面而不是图形桌面，因此有一个 multi-user 目标。但是，multi-user 目标只是没有包括桌面单元文件的 graphical 目标。

简而言之，目标是一种将服务、定时器甚至其他的目标集合在一起，以表示机器的预期状态的简单方法。

事实上，在 systemd 中，重启、关机或关闭操作只是一个目标而已。

你可以使用 list-unit-files 选项，用 --type 选项将其限制为 target 来列出所有可用的目标：

$ systemctl list-unit-files --type target

使用 systemd 对计算机进行控制管理

现代的 Linux 使用 systemd 进行服务管理和日志检查。从个人的 Linux 系统到企业服务器，systemd 都能提供有效的监控，并且十分易于维护。你越频繁地使用 systemd，systemd 对你而言就会变得越容易预测和直观，你就会明白系统的不同部分是如何相互关联的。

为了更好地熟悉 systemd，请现在就开始使用它吧。请 下载关于 systemd 相关命令的备忘录，你可以在实际使用 systemd 中经常参考这个备忘录，这样你就能更快熟悉使用 systemd 啦！

via: https://opensource.com/article/21/4/sysadmins-love-systemd

作者：Seth Kenlon 选题：lujun9972 译者：chai001125 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Kubernetes 的优势不仅在于它能够做什么，还在于知道它能为你做什么。

在 树莓派家庭实验室上运行 Kubernetes 的 5 个理由 这篇文章中，我解释了为什么推荐在家里使用 Kubernetes。其中的理由相对来说会有点随意，并且主要于关注结果。除了 Kubernetes 好用的功能之外，还有其他几个应将 Kubernetes 包含在你自己的计算机的理由。

（LCTT 译注： 家庭实验室 Homelab 指的是安置在你家里的一个服务器或者多服务器的组合配置。在之上托管了多个服务和虚拟系统，以此来进行测试、开发，或者提供家庭功能用途。）

1、Kubernetes 是基于 Linux 而建立的

Kubernetes 有很高的知名度。对于一些人来说，Kubernetes 是一种神秘技术，有一个不好念的名字；而对另一些人来说，Kubernetes 就好像是牧羊犬放牧羊群一样，可以帮助他们管理过多的容器；对于其它人来说，Kubernetes 是一种 云 cloud 的操作系统，是 实效云开发 effective cloud development 的一个有用的界面；对于大多数人来说，Kubernetes 可能是他们从未听说过的后端软件。正如人们所想的那样，Kubernetes 具有所有这些能力，甚至有更多的功能。

并非每个人都以相同的方式使用 Kubernetes，但如果你主要的工作是系统管理，你会发现 Kubernetes 只是又一个 Linux 命令。

我有一件 T 恤，上面写着 “ 容器就是 Linux Containers are Linux ”，它的意思是显而易见的。容器技术使用 cgroup，来运行包含一个或一组应用程序的最小 Linux 操作系统镜像。当你运行容器时，实际上你就是在运行 Linux。虽然 Kubernetes 能在许多平台上使用，但 Kubernetes 管理的是 Linux 容器。当你通过终端与 Kubernetes 交互时，就像是使用 Linux：有命令、选项、参数和语法。运行 Kubernetes 的 kubeadm 或（在 OKD 或 OpenShift 上）运行 oc 命令，你会感觉到很熟悉，是因为它们的工作方式与你习惯使用的任何其他 Linux 命令一样。开始时看似陌生的东西很快就会变得自然，任何有兴趣在终端上花时间的 Linux 用户都可以在 Kubernetes 中探索到许多有趣的东西。

2、Kubernetes 很灵活

在过去，Kubernetes 有点死板，因为从本质上来说，它仅能支持一个 容器运行时 container runtime 。这个规定非常严格，以至于今天需要一个 硬编码的垫片 hardcoded shim ，才能绕过这个遗留问题。幸运的是，如今 Kubernetes 已经变得足够灵活，可以满足管理员的许多不同需求了。Podman 和 CRI-O 可用作于容器引擎，它们都可以与 systemd 集成（这是因为 Kubernetes 的底层都是 Linux）。你可以自己选择 Kubernetes 所使用的文件系统、集群大小和构造、监控工具、镜像、编程语言等等配置。甚至现在有些人说 Kubernetes 有 太多 的选择了。

3、学习 Kubernetes 有助于个人发展

容器是一个硕果累累的事物，它们会快速地成倍增长，这就是它的设计。容器旨在扩展，它们通过生成克隆来扩展。将容器分组（称为 “ 容器荚 pod ”），并自动管理容器荚的生命周期，这就是 Kubernetes 运用的方式。它正在改变服务器的运行方式。

你可能不需要无限扩展的容器集合，也不需要任何东西来帮助你管理正运行的一或两个容器。但是，如果你希望受益于处理容器荚的能力，那么 Kubernetes 正是你需要学习的工具。随着越来越多的公司和组织走向全球，拥抱 数字化转型，Kubernetes 正在成为 IT 领域的必备技能。如果你想要在这个领域中发展，那么现在开始学习 Kubernetes 并熟悉它的常见问题及其解决方案，将会是一项很好的投资。

4、Kubernetes 让容器更有意义

你可能还记得几年前，当开源项目刚开始将它们的代码作为容器镜像分发时，对于许多人来说，容器这一概念是令人费解的：没有多少系统管理员真正理解 容器是什么，或者明白容器的边界在哪里、如何进入容器，以及为什么数据不能存在于容器内。

现在，IT 界（包括开发人员在内）都对容器的概念都十分熟悉了。对于现代的 CI/CD 工作流程 来说，交付给容器十分有意义。不过，对于系统管理员来说，容器的优势如下：安装容器（理论上）比等待发行版更新其软件包更为容易，而且容器可以扩展。然而，在你使用 Kubernetes 之前，你很可能都不会真正地感受到这些好处。当你开始使用 Kubernetes 和相关工具管理容器之前，持续交付容器的好处和容器的扩展能力可能只是你从文章里面读过的想法。将容器集成到你管理服务器的方式中，你会突然明白 Kubernetes 中令人兴奋的是什么。

你可以试试看这个最基本的测试：只需在容器中启动你最喜欢的 Web 服务器，创建一个容器荚，然后使用来自 Apache JMeter 的流量访问你的服务器，然后观察容器响应。

5、Kubernetes 是云原生的

如果你主要做的是软件开发，而不是系统管理，那么 Kubernetes 也是 网页应用程序 web apps 的一个很好的平台。我们现在都在使用网页应用程序，尽管大多数人只是将它们视为 “ 网站 website ”。网络拥有庞大的用户群，因此通过浏览器提供开源的应用程序是非常有意义的。有一些很棒的开源应用程序在网络上运行，其中许多的应用程序都以容器的形式分发的，它们可以支持简单的安装和持续的用户体验。

Kubernetes 的其他优势：Kubernetes 很有意思

你还记得你还是 Linux 新手的时候吗？对于一些人来说，那可能是几十年前的事了，而对于其他人来说，可能是不久的过去。不过，对于所有人来说，学习一项新事物会是一个有趣的挑战。如果你达到了认为 “Linux 的安装与其说是一个挑战，不如说是一个麻烦” 的程度，那么你可以尝试一下构建一个 Kubernetes 集群。它会让你回忆起你忘记的各种概念：如何修改纯文本（特别是 YAML 格式的）配置文件，如何配置网络接口和网络，如何路由流量，知道一个后端相对于另一个后端的优缺点，在 --dry-run 测试之后运行 --dry-run 测试，试探性地按回车键来确定你是否做对了。老实说，使用 Kubernetes 很有趣。

如果你想构建自己的基础架构，没有什么比构建你自己的 Kubernetes 集群更好的了。Kubernetes 集群将会为你打开一个全新的世界。你很快就会成为一名云架构师，学会完善你的开放云，在容器中安装令人惊叹的开源 Web 应用程序，也能为你的家人和朋友提供访问权限。

你自己就能得到解决方案。这真是太棒啦。

快来试试看 Kubernetes 吧

对 Kubernetes 的初学者来说，Kubernetes 似乎很难快速上手，因为 Kubernetes 是一个新的工具，会让你感到有点害怕，而且它还需要云服务。但是，以下有几种方法可以让你开始 Kubernetes 体验。

首先，安装 Minikube 或 Minishift。这两个工具都允许你在自己的计算机上运行 Kubernetes 的本地实例。虽然这种方式比不上“构建一个集群并与你的朋友共享”那么令人满意，但它是一种让你熟悉 Kubernetes 环境、命令和工具包的很好且安全的方式。

当你准备进一步研究 Kubernetes 后，请进一步阅读 Chris Collins 的《使用树莓派构建 Kubernetes 集群》 的文章。之后，再下载我们的免费电子书 《在你树莓派家庭实验室上运行 Kubernetes》。在不知不觉中，你会发现自己也明白了“容器就是 Linux”的含义。

via: https://opensource.com/article/21/6/kubernetes-linux-homelab

作者：Seth Kenlon 选题：lujun9972 译者：chai001125 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出