Samba 很久以来一直是为 *nix 系统上的 Windows 客户端提供共享文件和打印服务的标准。家庭用户，中型企业和大型公司都在使用它，它作为最佳解决方案在多种操作系统共存的环境中脱颖而出。

由于广泛使用的工具很可能发生这种情况，大多数 Samba 安装都面临着可能利用已知漏洞的攻击的风险，这个漏洞直到 WannaCry 勒索软件攻击的新闻出来之前都被认为是不重要的。

在本文中，我们将解释这个 Samba 漏洞是什么以及如何保护你负责的系统。根据你的安装类型（从仓库或者源码），你需要采取不同的方法。

如果你目前有在任何环境中使用 Samba 或者知道有人在使用，请继续阅读！

漏洞

过时和未修补的系统容易受到远程代码执行漏洞的攻击。简单来说，这意味着访问可写共享的人可以上传一段任意代码，并使用服务器中的 root 权限执行该代码。

这个问题在 Samba 网站上被描述为 CVE-2017-7494，并且已知会影响 Samba v3.5（2010 年 3 月初发布）及以后版本。由于与 WannaCry 有相似之处，它被非官方地被命名为 SambaCry：它们均针对 SMB 协议，并且可能是蠕虫病毒 - 这可能导致其从一个系统传播到另一个系统中。

Debian、Ubuntu、CentOS 和 Red Hat 已采取快速的行动来保护它们的用户，并为其支持的版本发布了补丁。另外，还提供了不受支持的安全临时解决方案。

更新 Samba

如先前提到的那样，根据你之前安装的方法有两种方式更新：

如果你从发行版的仓库中安装的 Samba

让我们看下在这种情况下你需要做什么：

在 Debian 下修复 SambaCry

添加下面的行到你的源列表中（/etc/apt/sources.list）以确保 apt 能够获得最新的安全更新：

deb http://security.debian.org stable/updates main
deb-src http://security.debian.org/ stable/updates main

接下来，更新可用的软件包：

# aptitude update

最后，确保 samba 软件包的版本符合漏洞修复的版本（见 CVE-2017-7494）：

# aptitude show samba

在 Debian 中修复 SambaCry

在 Ubuntu 中修复 SambaCry

要开始修复，如下检查新的可用软件包并更新 Samba 软件包：

$ sudo apt-get update
$ sudo apt-get install samba

已经修复 CVE-2017-7494 的 Samba 版本有下面这些：

• 17.04: samba 2:4.5.8+dfsg-0ubuntu0.17.04.2
• 16.10: samba 2:4.4.5+dfsg-2ubuntu5.6
• 16.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.16.04.7
• 14.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.14.04.8

最后，运行下面命令验证你的 Ubuntu 已经安装了正确的版本。

$ sudo apt-cache show samba

在 CentOS/RHEL 7 中修复 SambaCry

在 EL 7 中打过补丁的 Samba 版本是 samba-4.4.4-14.el7\_3。要安装它，这些做：

# yum makecache fast
# yum update samba

像先前那样，确保你已经安装了打补丁的 Samba 版本：

# yum info samba

在 CentOS 中修复 SambaCry

旧支持的 CentOS 以及 RHEL 更老的版本也有修复。参见 RHSA-2017-1270 获取更多。

如果你从源码安装的 Samba

注意：下面的过程假设你先前从源码构建的 Samba。强烈建议你在部署到生产服务器之前先在测试环境尝试。

此外，开始之前确保你备份了 smb.conf 文件。

在这种情况下，我们也会从源码编译并更新 Samba。然而在开始之前，我们必须先确保安装了所有的依赖。注意这也许会花费几分钟。

在 Debian 和 Ubuntu 中：

# aptitude install acl attr autoconf bison build-essential \
debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \
libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-modules pkg-config \
python-all-dev python-dev python-dnspython python-crypto xsltproc \
zlib1g-dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto

在 CentOS 7 或相似的版本中：

# yum install attr bind-utils docbook-style-xsl gcc gdb krb5-workstation \
libsemanage-python libxslt perl perl-ExtUtils-MakeMaker \
perl-Parse-Yapp perl-Test-Base pkgconfig policycoreutils-python \
python-crypto gnutls-devel libattr-devel keyutils-libs-devel \
libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel \
pam-devel popt-devel python-devel readline-devel zlib-devel

停止服务（LCTT 译注：此处不必要）：

# systemctl stop smbd

下载并解压源码（在写作时 4.6.4 是最新的版本）：

# wget https://www.samba.org/samba/ftp/samba-latest.tar.gz 
# tar xzf samba-latest.tar.gz
# cd samba-4.6.4

出于了解信息的目的，用以下命令检查可用的配置选项。

# ./configure --help

如果你在先前的版本的构建中有使用到一些选项，你或许可以在上面命令的返回中包含一些选项，或者你可以选择使用默认值：

# ./configure
# make
# make install

最后重启服务。

# systemctl restart smbd

并验证你正在使用的是更新后的版本：

# smbstatus --version

这里返回的应该是 4.6.4。

其它情况

如果你使用的是不受支持的发行版本，并且由于某些原因无法升级到最新版本，你或许要考虑下面这些建议：

• 如果 SELinux 是启用的，你是处于保护之下的！
• 确保 Samba 共享是用 noexec 选项挂载的。这会阻止二进制文件从被挂载的文件系统中执行。

还有将：

nt pipe support = no

添加到 smb.conf 的 [global] 字段中。你或许要记住，根据 Samba 项目，这“或许禁用 Windows 客户端的某些功能”。

重要：注意 nt pipe support = no 选项会禁用 Windows 客户端的共享列表。比如：当你在一台 Samba 服务器的 Windows Explorer 中输入 \\10.100.10.2\ 时，你会看到 “permission denied”。Windows 客户端不得不手动执行共享，如 \\10.100.10.2\share_name 来访问共享。

总结

在本篇中，我们已经描述了 SambaCry 漏洞以及如何减轻影响。我们希望你可以使用这个信息来保护你负责的系统。

如果你有关于这篇文章的任何提问以及评论，欢迎使用下面的评论栏让我们知道。

作者简介：

Gabriel Cánepa 是一名 GNU/Linux 系统管理员，阿根廷圣路易斯 Villa Mercedes 的 web 开发人员。他为一家国际大型消费品公司工作，在日常工作中使用 FOSS 工具以提高生产力，并从中获得极大乐趣。

via: https://www.tecmint.com/fix-sambacry-vulnerability-cve-2017-7494-in-linux/

作者：Gabriel Cánepa 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你正在使用 Enterprise Linux 发行版（Red Hat Enterprise Linux 或其衍生产品，如 CentOS 或 Scientific Linux），并且需要对特定硬件或新硬件支持，那么你找对地方了。

在本文中，我们将讨论如何启用 ELRepo 仓库，该软件源包含文件系统驱动以及网络摄像头驱动程序等等（支持显卡、网卡、声音设备甚至新内核）

在 Enterprise Linux 中启用 ELRepo

虽然 ELRepo 是第三方仓库，但它有 Freenode（#elrepo）上的一个活跃社区以及用户邮件列表的良好支持。

如果你仍然对在软件源中添加一个独立的仓库表示担心，请注意 CentOS 已在它的 wiki（参见此处）将它列为是可靠的。如果你仍然有疑虑，请随时在评论中提问！

需要注意的是 ELRepo 不仅提供对 Enterprise Linux 7 提供支持，还支持以前的版本。考虑到 CentOS 5 在本月底（2017 年 3 月）结束支持（EOL），这可能看起来并不是一件很大的事，但请记住，CentOS 6 的 EOL 不会早于 2020 年 3 月之前。

不管你用的 EL 是何版本，在实际启用时需要先导入 GPG 密钥：

# rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

在 EL5 中启用 ELRepo：

# rpm -Uvh http://www.elrepo.org/elrepo-release-5-5.el5.elrepo.noarch.rpm

在 EL6 中启用 ELRepo：

# rpm -Uvh http://www.elrepo.org/elrepo-release-6-6.el6.elrepo.noarch.rpm

在 EL7 中启用 ELRepo：

# rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm

这篇文章只会覆盖 EL7，在接下来的小节中分享几个例子。

理解 ELRepo 频道

为了更好地组织仓库中的软件，ELRepo 共分为 4 个独立频道：

• elrepo 是主频道，默认情况下启用。它不包含正式发行版中的包。
• elrepo-extras 包含可以替代发行版提供的软件包。默认情况下不启用。为了避免混淆，当需要从该仓库中安装或更新软件包时，可以通过以下方式临时启用该频道（将软件包替换为实际软件包名称）：# yum --enablerepo=elrepo-extras install package
• elrepo-testing 提供将放入主频道中，但是仍在测试中的软件包。
• elrepo-kernel 提供长期及稳定的主线内核，它们已经特别为 EL 配置过。

默认情况下，elrepo-testing 和 elrepo-kernel 都被禁用，如果我们需要从中安装或更新软件包，可以像 elrepo-extras 那样启用它们。

要列出每个频道中的可用软件包，请运行以下命令之一：

# yum --disablerepo="*" --enablerepo="elrepo" list available
# yum --disablerepo="*" --enablerepo="elrepo-extras" list available
# yum --disablerepo="*" --enablerepo="elrepo-testing" list available
# yum --disablerepo="*" --enablerepo="elrepo-kernel" list available

下面的图片说明了第一个例子：

列出 ELRepo 可用的软件包

总结

本篇文章中，我们已经解释 ELRepo 是什么，以及你从如何将它们添加到你的软件源。

如果你对本文有任何问题或意见，请随时在评论栏中联系我们。我们期待你的回音！

作者简介：

Gabriel Cánepa - 一位来自阿根廷圣路易斯梅塞德斯镇 (Villa Mercedes, San Luis, Argentina) 的 GNU/Linux 系统管理员，Web 开发者。就职于一家世界领先级的消费品公司，乐于在每天的工作中能使用 FOSS 工具来提高生产力。

via: http://www.tecmint.com/enable-elrepo-in-rhel-centos-scientific-linux/

作者：Gabriel Cánepa 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你是第一次安装 MySQL 或 MariaDB，你可以执行 mysql_secure_installation 脚本来实现基本的安全设置。

其中的一个设置是数据库的 root 密码 —— 该密码必须保密，并且只在必要的时候使用。如果你需要修改它（例如，当数据库管理员换了人 —— 或者被解雇了！）。

建议阅读：在 Linux 中恢复 MySQL 或 MariaDB 的 Root 密码

这篇文章迟早会派上用场的。我们讲说明怎样来在 Linux 中修改 MySQL 或 MariaDB 数据库服务器的 root 密码。

尽管我们会在本文中使用 MariaDB 服务器，但本文中的用法说明对 MySQL 也有效。

修改 MySQL 或 MariaDB 的 root 密码

你知道 root 密码，但是想要重置它，对于这样的情况，让我们首先确定 MariaDB 正在运行：

------------- CentOS/RHEL 7 and Fedora 22+ ------------- 
# systemctl is-active mariadb
------------- CentOS/RHEL 6 and Fedora -------------
# /etc/init.d/mysqld status

检查 MysQL 状态

如果上面的命令返回中没有 active 这个关键词，那么该服务就是停止状态，你需要在进行下一步之前先启动数据库服务：

------------- CentOS/RHEL 7 and Fedora 22+ ------------- 
# systemctl start mariadb
------------- CentOS/RHEL 6 and Fedora -------------
# /etc/init.d/mysqld start

接下来，我们将以 root 登录进数据库服务器：

# mysql -u root -p

为了兼容不同版本，我们将使用下面的声明来更新 mysql 数据库的用户表。注意，你需要将 YourPasswordHere 替换为你为 root 选择的新密码。

MariaDB [(none)]> USE mysql;
MariaDB [(none)]> UPDATE user SET password=PASSWORD('YourPasswordHere') WHERE User='root' AND Host = 'localhost';
MariaDB [(none)]> FLUSH PRIVILEGES;

要验证是否操作成功，请输入以下命令退出当前 MariaDB 会话。

MariaDB [(none)]> exit;

然后，敲回车。你现在应该可以使用新密码连接到服务器了。

修改 MysQL/MariaDB Root 密码

小结

在本文中，我们说明了如何修改 MariaDB / MySQL 的 root 密码 —— 或许你知道当前所讲的这个方法，也可能不知道。

像往常一样，如果你有任何问题或者反馈，请尽管使用下面的评论框来留下你宝贵的意见或建议，我们期待着您的留言。

作者简介：

Gabriel Cánepa是一位来自阿根廷圣路易斯的 Villa Mercedes 的 GNU/Linux 系统管理员和 web 开发者。他为世界范围内的主要的消费产品公司工作，也很钟情于在他日常工作的方方面面中使用 FOSS 工具来提高生产效率。

via: http://www.tecmint.com/change-mysql-mariadb-root-password/

作者：Gabriel Cánepa 译者：GOLinux 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在这篇文章中，我将展示如何在 CentOS/RHEL 7、Debian 以及它的衍生版本比如 Ubuntu（最新的 Ubuntu 16.04 LTS 版本已经安装了最新的 Python 版本）或 Linux Mint 上安装和使用 Python 3.x 。我们的重点是安装可用于命令行的核心语言工具。

然后，我们也会阐述如何安装 Python IDLE － 一个基于 GUI 的工具，它允许我们运行 Python 代码和创建独立函数。

在 Linux 中安装 Python 3.6

在我写这篇文章的时候（2017 年三月中旬），在 CentOS 和 Debian 8 中可用的最新 Python 版本分别是 Python 3.4 和 Python 3.5 。

虽然我们可以使用 yum 和 aptitude（或 apt-get）安装核心安装包以及它们的依赖，但在这儿，我将阐述如何使用源代码进行安装。

为什么？理由很简单：这样我们能够获取语言的最新的稳定发行版（3.6），并且提供了一种和 Linux 版本无关的安装方法。

在 CentOS 7 中安装 Python 之前，请确保系统中已经有了所有必要的开发依赖：

# yum -y groupinstall development
# yum -y install zlib-devel

在 Debian 中，我们需要安装 gcc、make 和 zlib 压缩/解压缩库：

# aptitude -y install gcc make zlib1g-dev

运行下面的命令来安装 Python 3.6：

# wget https://www.python.org/ftp/python/3.6.0/Python-3.6.0.tar.xz
# tar xJf Python-3.6.0.tar.xz
# cd Python-3.6.0
# ./configure
# make && make install

现在，放松一下，或者饿的话去吃个三明治，因为这可能需要花费一些时间。安装完成以后，使用 which 命令来查看主要二进制代码的位置：

# which python3
# python3 -V

上面的命令的输出应该和这相似：

查看 Linux 系统中的 Python 版本

要退出 Python 提示符，只需输入：

quit()
或
exit()

然后按回车键。

恭喜！Python 3.6 已经安装在你的系统上了。

在 Linux 中安装 Python IDLE

Python IDLE 是一个基于 GUI 的 Python 工具。如果你想安装 Python IDLE，请安装叫做 idle（Debian）或 python-tools（CentOS）的包：

# apt-get install idle       [On Debian]
# yum install python-tools   [On CentOS]

输入下面的命令启动 Python IDLE：

# idle

总结

在这篇文章中，我们阐述了如何从源代码安装最新的 Python 稳定版本。

最后但不是不重要，如果你之前使用 Python 2，那么你可能需要看一下 从 Python 2 迁移到 Python 3 的官方文档。这是一个可以读入 Python 2 代码，然后转化为有效的 Python 3 代码的程序。

你有任何关于这篇文章的问题或想法吗？请使用下面的评论栏与我们联系

作者简介：

Gabriel Cánepa - 一位来自 阿根廷圣路易斯梅塞德斯镇 （ Villa Mercedes, San Luis, Argentina ） 的 GNU/Linux 系统管理员，Web 开发者。就职于一家世界领先级的消费品公司，乐于在每天的工作中能使用 FOSS 工具来提高生产力。

via: http://www.tecmint.com/install-python-in-linux/

作者：Gabriel Cánepa 译者：ucasFL 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你是第一次设置 MySQL 或 MariaDB 数据库，你可以直接运行 mysql_secure_installation 来实现基本的安全设置。

其中一项是设置数据库 root 帐户的密码 - 你必须保持私密，并仅在绝对需要时使用。如果你忘记了密码或需要重置密码（例如，当数据库管理员换人或被裁员！），这篇文章会派上用场。我们将解释如何在 Linux 中重置或恢复 MySQL 或 MariaDB 的 root 密码。

建议阅读： 更改 MySQL 或 MariaDB 的 root 密码。

虽然我们将在本文中使用 MariaDB，但这些说明同样也适用于 MySQL。

恢复 MySQL 或者 MariaDB 的 root 密码

开始之前，先停止数据库服务并检查服务状态，我们应该可以看到先前设置的环境变量：

------------- SystemD ------------- 
# systemctl stop mariadb
------------- SysVinit -------------
# /etc/init.d/mysqld stop

接下来，用 --skip-grant-tables 选项启动服务：

------------- SystemD ------------- 
# systemctl set-environment MYSQLD_OPTS="--skip-grant-tables"
# systemctl start mariadb
# systemctl status mariadb
------------- SysVinit -------------
# mysqld_safe --skip-grant-tables &

使用 skip tables 启动 MySQL/MariaDB

这可以让你不用 root 密码就能连接到数据库（你也许需要切换到另外一个终端上）：

# mysql -u root

接下来，按照下面列出的步骤来。

MariaDB [(none)]> USE mysql;
MariaDB [(none)]> UPDATE user SET password=PASSWORD('YourNewPasswordHere') WHERE User='root' AND Host = 'localhost';
MariaDB [(none)]> FLUSH PRIVILEGES;

最后，停止服务，取消环境变量设置并再次启动服务：

------------- SystemD ------------- 
# systemctl stop mariadb
# systemctl unset-environment MYSQLD_OPTS
# systemctl start mariadb
------------- SysVinit -------------
# /etc/init.d/mysql stop
# /etc/init.d/mysql start

这可以让先前的改变生效，允许你使用新的密码连接到数据库。

总结

本文我们讨论了如何重置 MariaDB/MySQL 的 root 密码。一如往常，如果你有任何问题或反馈请在评论栏中给我们留言。我们期待听到你的声音。

作者简介：

Gabriel Cánepa - 一位来自阿根廷圣路易斯梅塞德斯镇 (Villa Mercedes, San Luis, Argentina) 的 GNU/Linux 系统管理员，Web 开发者。就职于一家世界领先级的消费品公司，乐于在每天的工作中能使用 FOSS 工具来提高生产力。

via: http://www.tecmint.com/reset-mysql-or-mariadb-root-password/

作者：Gabriel Cánepa 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

我一直很好奇，在启动 Linux 系统并登录的过程中到底发生了什么事情。按下开机键或启动一个虚拟机，你就启动了一系列事件，之后会进入到一个功能完备的系统中，有时，这个过程不到一分钟。当你注销或者关机时，也是这样。

更有意思的是，在系统启动以及用户登录或注销时，还可以让系统执行特定的操作。

本文，我们将探讨一下在 Linux 操作系统中实现这些目标的传统方法。

注意：我们假定使用的是 Bash 作为登录及注销的主 Shell。如果你使用的是其他 Shell，那么有些方法可能会无效。如果有其他的疑问，请参考对应的 Shell 文档。

在启动时执行 Linux 脚本

有两种传统的方法可以实现在启动时执行命令或脚本：

方法 #1 - 使用 cron 任务

除了常用格式（分 / 时 / 日 / 月 / 周）外，cron 调度器还支持 @reboot 指令。这个指令后面的参数是脚本（启动时要执行的那个脚本）的绝对路径。

然而，这种方法需要注意两点：

• a) cron 守护进程必须处于运行状态（通常情况下都会运行），同时
• b) 脚本或 crontab 文件必须包含需要的环境变量（如果有的话，参考 StackOverflow 获取更多详细内容）。

方法 #2 - 使用 /etc/rc.d/rc.local

这个方法对于 systemd-based 发行版 Linux 同样有效。不过，使用这个方法，需要授予 /etc/rc.d/rc.local 文件执行权限：

# chmod +x /etc/rc.d/rc.local

然后在这个文件底部添加脚本。

下图说明如何分别使用 cron 任务和 rc.local 运行两个示例脚本（/home/gacanepa/script1.sh 和 /home/gacanepa/script2.sh）。

script1.sh：

#!/bin/bash
DATE=$(date +'%F %H:%M:%S')
DIR=/home/gacanepa
echo "Current date and time: $DATE" > $DIR/file1.txt

script2.sh：

#!/bin/bash
SITE="Tecmint.com"
DIR=/home/gacanepa
echo "$SITE rocks... add us to your bookmarks." > $DIR/file2.txt

*启动时执行 Linux 脚本 *

记住，一定要提前给两个示例脚本授予执行权限：

$ chmod +x /home/gacanepa/script1.sh
$ chmod +x /home/gacanepa/script2.sh

在登录或注销时执行 Linux 脚本

要在登录或注销时执行脚本，分别需要使用 ~.bash_profile 和 ~.bash_logout 文件。多数情况下，后者需要手动创建。在每个文件的底部，添加调用脚本代码，如前面例中所示，就可以实现这个功能。

总结

本文主要介绍如何在启动、登录以及注销系统时执行脚本。如果你有其他的方法可以补充，请使用下面的评论表给我们指出，我们期待您的回应！

作者简介：

Gabriel Cánepa 是 GNU/Linux 系统管理员， 阿根廷圣路易斯 Villa Mercedes 的 web 开发人员。他为一家国际大型消费品公司工作，在日常工作中使用 FOSS 工具以提高生产力，并从中获得极大乐趣。

via: http://www.tecmint.com/auto-execute-linux-scripts-during-reboot-or-startup/

作者：Gabriel Cánepa 译者：zhb127 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出