你曾经是否遇到这样的事？当你发现的时候，你已经通过删除键，或者在命令行中使用 rm 命令，错误的删除了一个不该删除的文件。

在第一种情况下，你可以到垃圾箱，搜索那个文件，然后把它复原到原始位置。但是第二种情况又该怎么办呢？你可能知道，Linux 命令行不会把删除的文件转移到任何位置，而是直接把它们移除了，biu~，它们就不复存在了。

在这篇文章里，将分享一个很有用的技巧来避免此事发生。同时，也会分享一个工具，不小心删除了某些不该删除的文件时，也许用得上。

把删除创建为 rm -i 的别名

当 -i 选项配合 rm 命令（也包括其他文件处理命令比如 cp 或者 mv）使用时，在删除文件前会出现一个提示。

这同样也可以运用到当复制，移动或重命名一个文件，当所在位置已经存在一个和目标文件同名的文件时。

这个提示会给你第二次机会来考虑是否真的要删除该文件 - 如果你在这个提示上选择确定，那么文件就被删除了。这种情况下，很抱歉，这个技巧并不能防止你的粗心大意。

为了 rm -i 别名替代 rm ，这样做：

alias rm='rm -i'

运行 alias 命令可以确定 rm 现在已经被别名了：

为 rm 增加别名

然而，这只能在当前用户的当前 shell 上有效。为了永久改变，你必须像下面展示的这样把它保存到　~/.bashrc　中（一些版本的　Linux 系统可能是　~/.profile）。

在 Linux 中永久增添别名

为了让 ~/.bashrc（或 ~/.profile）中所做的改变立即生效，从当前 shell 中运行文件：

. ~/.bashrc

在 Linux 中激活别名

取证工具－Foremost

但愿你对于你的文件足够小心，当你要从外部磁盘或 USB 设备中恢复丢失的文件时，你只需使用这个工具即可。

然而，当你意识到你意外的删除了系统中的一个文件并感到恐慌时－不用担心。让我们来看一看 foremost，一个用来处理这种状况的取证工具。

要在 CentOS/RHEL 7　中安装　Foremost，需要首先启用 Repoforge：

# rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm
# yum install foremost

然而在 Debian 及其衍生系统中，需这样做：

# aptitude install foremost

安装完成后，我们做一个简单的测试吧。首先删除 /boot/images 目录下一个名为 nosdos.jpg 的图像文件：

# cd images
# rm nosdos.jpg

要恢复这个文件，如下所示使用 foremost（要先确认所在分区 - 本例中， /boot 位于 /dev/sda1 分区中）。

# foremost -t jpg -i /dev/sda1 -o /home/gacanepa/rescued

其中，/home/gacanepa/rescued 是另外一个磁盘中的目录 － 请记住，把文件恢复到被删除文件所在的磁盘中不是一个明智的做法。

如果在恢复过程中，占用了被删除文件之前所在的磁盘分区，就可能无法恢复文件。另外，进行文件恢复操作前不要做任何其他操作。

当 foremost 执行完成以后，恢复的文件（如果可以恢复）将能够在目录 ·/home/gacanepa/rescue/jpg` 中找到。

总结

在这篇文章中，我们阐述了如何避免意外删除一个不该删除的文件，以及万一这类事情发生，如何恢复文件。还要警告一下， foremost 可能运行很长时间，时间长短取决于分区的大小。

如果您有什么问题或想法，和往常一样，不要犹豫，告诉我们。可以给我们留言。

via: http://www.tecmint.com/recover-deleted-file-in-linux/

作者：Gabriel Cánepa 译者：ucasFL 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

在这篇文章中，我们将会讲述什么是 TCP 封装器 （ TCP wrappers ） 以及如何在一台 Linux 服务器上配置他们来限制网络服务的权限。在开始之前，我们必须澄清 TCP 封装器并不能消除对于正确配置防火墙的需要。

就这一点而言，你可以把这个工具看作是一个基于主机的访问控制列表，而且并不能作为你的系统的终极安全措施。通过使用一个防火墙和 TCP 封装器，而不是只偏爱其中的一个，你将会确保你的服务不会被出现单点故障。

正确理解 hosts.allow 和 hosts.deny 文件

当一个网络请求到达你的主机的时候，TCP 封装器会使用 hosts.allow 和 hosts.deny （按照这样的顺序）来决定客户端是否应该被允许使用一个提供的服务。.

在默认情况下，这些文件内容是空的，或者被注释掉，或者根本不存在。所以，任何请求都会被允许通过 TCP 过滤器而且你的系统被置于依靠防火墙来提供所有的保护。因为这并不是我们想要的。由于在一开始我们就介绍过的原因，清确保下面两个文件都存在：

# ls -l /etc/hosts.allow /etc/hosts.deny

两个文件的编写语法规则是一样的：

<services> : <clients> [: <option1> : <option2> : ...]

在文件中，

1. services 指当前规则对应的服务，是一个逗号分割的列表。

2. clients 指被规则影响的主机名或者 IP 地址，逗号分割的。下面的通配符也可以接受：

   1. ALL 表示所有事物，应用于clients和services。
   2. LOCAL 表示匹配在正式域名中没有完全限定主机名（FQDN）的机器，例如 localhost。
   3. KNOWN 表示主机名，主机地址，或者用户是已知的（即可以通过 DNS 或其它服务解析到）。
   4. UNKNOWN 和 KNOWN 相反。
   5. PARANOID 如果进行反向 DNS 查找彼此返回了不同的地址，那么连接就会被断开（首先根据 IP 去解析主机名，然后根据主机名去获得 IP 地址）。
3. 最后，一个冒号分割的动作列表表示了当一个规则被触发的时候会采取什么操作。

你应该记住 /etc/hosts.allow 文件中允许一个服务接入的规则要优先于 /etc/hosts.deny 中的规则。另外还有，如果两个规则应用于同一个服务，只有第一个规则会被纳入考虑。

不幸的是，不是所有的网络服务都支持 TCP 过滤器，为了查看一个给定的服务是否支持他们，可以执行以下命令：

# ldd /path/to/binary | grep libwrap

如果以上命令执行以后得到了以下结果，那么它就可以支持 TCP 过滤器，sshd 和 vsftpd 作为例子，输出如下所示。

查找 TCP 过滤器支持的服务

如何使用 TCP 过滤器来限制服务的权限

当你编辑 /etc/hosts.allow 和 /etc/hosts.deny 的时候，确保你在最后一个非空行后面通过回车键来添加一个新的行。

为了使得 SSH 和 FTP 服务只允许 localhost 和 192.168.0.102 并且拒绝所有其他用户，在 /etc/hosts.deny 添加如下内容：

sshd,vsftpd : ALL
ALL : ALL

而且在 /etc/hosts.allow 文件中添加如下内容：

sshd,vsftpd : 192.168.0.102,LOCAL

这些更改会立刻生效并且不需要重新启动。

在下图中你会看到，在最后一行中删掉 LOCAL 后，FTP 服务器会对于 localhost 不可用。在我们添加了通配符以后，服务又变得可用了。

确认 FTP 权限

为了允许所有服务对于主机名中含有 example.com 都可用，在 hosts.allow 中添加如下一行：

ALL : .example.com

而为了禁止 10.0.1.0/24 的机器访问 vsftpd 服务，在 hosts.deny 文件中添加如下一行：

vsftpd : 10.0.1.

在最后的两个例子中，注意到客户端列表每行开头和结尾的点。这是用来表示 “所有名字或者 IP 中含有那个字符串的主机或客户端”

这篇文章对你有用吗？你有什么问题或者评论吗？请你尽情在下面留言交流。

via: http://www.tecmint.com/secure-linux-tcp-wrappers-hosts-allow-deny-restrict-access/

作者：Gabriel Cánepa 译者：LinuxBars 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

当你有重要的敏感数据的时候，给你的文件和目录额外加一层保护是至关重要的，特别是当你需要通过网络与他人传输数据的时候。

由于这个原因，我在寻找一个可疑在 Linux 上加密及解密文件和目录的实用程序，幸运的是我找到了一个用 tar（Linux 的一个压缩打包工具）和 OpenSSL 来解决的方案。借助这两个工具，你真的可以毫不费力地创建和加密 tar 归档文件。

在这篇文章中，我们将了解如何使用 OpenSSL 创建和加密 tar 或 gz（gzip，另一种压缩文件）归档文件：

牢记使用 OpenSSL 的常规方式是：

# openssl command command-options arguments

在 Linux 中加密文件

要加密当前工作目录的内容（根据文件的大小，这可能需要一点时间）：

# tar -czf - * | openssl enc -e -aes256 -out secured.tar.gz

上述命令的解释：

1. enc - openssl 命令使用加密进行编码
2. -e – 用来加密输入文件的 enc 命令选项，这里是指前一个 tar 命令的输出
3. -aes256 – 加密用的算法
4. -out – 用于指定输出文件名的 enc 命令选项，这里文件名是 secured.tar.gz

在 Linux 中解密文件

要解密上述 tar 归档内容，使用以下命令。

# openssl enc -d -aes256 -in secured.tar.gz | tar xz -C test

上述命令的解释：

1. -d – 用于解密文件
2. -C – 提取内容到 test 子目录

下图展示了加解密过程，以及当你尝试执行以下操作时会发生什么：

1. 以传统方式提取 tar 包的内容
2. 使用了错误的密码的时候
3. 当你输入正确的密码的时候

在 Linux 中加密和解密 Tar 归档文件

当你在本地网络或因特网工作的时候，你可以随时通过加密来保护你和他人共享的重要文本或文件，这有助于降低将其暴露给恶意攻击者的风险。

我们研究了一种使用 OpenSSL（一个 openssl 命令行工具）加密 tar 包的简单技术，你可以参考它的 手册页 （ man page ） 来获取更多信息和有用的命令。

via: http://www.tecmint.com/encrypt-decrypt-files-tar-openssl-linux/

作者：Gabriel Cánepa 译者：OneNewLife 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

由于 2016 年 2 月 2 号开始启用了新的 LFCS 考试要求，我们在已经发表的 LFCS 系列 基础上增加了一些必要的主题。为了准备考试，同时也建议你看看 LFCE 系列 文章。

第十四讲： 监控 Linux 进程并为每个用户设置进程限制

每个 Linux 系统管理员都应该知道如何验证硬件、资源和主要进程的完整性和可用性。另外，基于每个用户设置资源限制也是其中一项必备技能。

在这篇文章中，我们会介绍一些能够确保系统硬件和软件正常工作的方法，这些方法能够避免潜在的会导致生产环境下线或钱财损失的问题发生。

报告 Linux 进程统计信息

你可以使用 mpstat 单独查看每个处理器或者系统整体的活动，可以是每次一个快照或者动态更新。

为了使用这个工具，你首先需要安装 sysstat：

# yum update && yum install sysstat              [基于 CentOS 的系统]
# aptitutde update && aptitude install sysstat   [基于 Ubuntu 的系统]
# zypper update && zypper install sysstat        [基于 openSUSE 的系统]

你可以在 在 Linux 中学习 Sysstat 和其中的工具 mpstat、pidstat、iostat 和 sar 了解更多和 sysstat 和其中的工具相关的信息。

安装完 mpstat 之后，就可以使用它生成处理器统计信息的报告。

你可以使用下面的命令每隔 2 秒显示所有 CPU（用 -P ALL 表示）的 CPU 利用率（-u），共显示 3 次。

# mpstat -P ALL -u 2 3

示例输出：

Linux 3.19.0-32-generic (tecmint.com)   Wednesday 30 March 2016     _x86_64_    (4 CPU)

11:41:07  IST  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle
11:41:09  IST  all    5.85    0.00    1.12    0.12    0.00    0.00    0.00    0.00    0.00   92.91
11:41:09  IST    0    4.48    0.00    1.00    0.00    0.00    0.00    0.00    0.00    0.00   94.53
11:41:09  IST    1    2.50    0.00    0.50    0.00    0.00    0.00    0.00    0.00    0.00   97.00
11:41:09  IST    2    6.44    0.00    0.99    0.00    0.00    0.00    0.00    0.00    0.00   92.57
11:41:09  IST    3   10.45    0.00    1.99    0.00    0.00    0.00    0.00    0.00    0.00   87.56

11:41:09  IST  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle
11:41:11  IST  all   11.60    0.12    1.12    0.50    0.00    0.00    0.00    0.00    0.00   86.66
11:41:11  IST    0   10.50    0.00    1.00    0.00    0.00    0.00    0.00    0.00    0.00   88.50
11:41:11  IST    1   14.36    0.00    1.49    2.48    0.00    0.00    0.00    0.00    0.00   81.68
11:41:11  IST    2    2.00    0.50    1.00    0.00    0.00    0.00    0.00    0.00    0.00   96.50
11:41:11  IST    3   19.40    0.00    1.00    0.00    0.00    0.00    0.00    0.00    0.00   79.60

11:41:11  IST  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle
11:41:13  IST  all    5.69    0.00    1.24    0.00    0.00    0.00    0.00    0.00    0.00   93.07
11:41:13  IST    0    2.97    0.00    1.49    0.00    0.00    0.00    0.00    0.00    0.00   95.54
11:41:13  IST    1   10.78    0.00    1.47    0.00    0.00    0.00    0.00    0.00    0.00   87.75
11:41:13  IST    2    2.00    0.00    1.00    0.00    0.00    0.00    0.00    0.00    0.00   97.00
11:41:13  IST    3    6.93    0.00    0.50    0.00    0.00    0.00    0.00    0.00    0.00   92.57

Average:     CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle
Average:     all    7.71    0.04    1.16    0.21    0.00    0.00    0.00    0.00    0.00   90.89
Average:       0    5.97    0.00    1.16    0.00    0.00    0.00    0.00    0.00    0.00   92.87
Average:       1    9.24    0.00    1.16    0.83    0.00    0.00    0.00    0.00    0.00   88.78
Average:       2    3.49    0.17    1.00    0.00    0.00    0.00    0.00    0.00    0.00   95.35
Average:       3   12.25    0.00    1.16    0.00    0.00    0.00    0.00    0.00    0.00   86.59

要查看指定的 CPU（在下面的例子中是 CPU 0），可以使用：

# mpstat -P 0 -u 2 3

示例输出：

Linux 3.19.0-32-generic (tecmint.com)   Wednesday 30 March 2016     _x86_64_    (4 CPU)

11:42:08  IST  CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle
11:42:10  IST    0    3.00    0.00    0.50    0.00    0.00    0.00    0.00    0.00    0.00   96.50
11:42:12  IST    0    4.08    0.00    0.00    2.55    0.00    0.00    0.00    0.00    0.00   93.37
11:42:14  IST    0    9.74    0.00    0.51    0.00    0.00    0.00    0.00    0.00    0.00   89.74
Average:       0    5.58    0.00    0.34    0.85    0.00    0.00    0.00    0.00    0.00   93.23

上面命令的输出包括这些列：

• CPU： 整数表示的处理器号或者 all 表示所有处理器的平均值。
• %usr： 运行在用户级别的应用的 CPU 利用率百分数。
• %nice： 和 %usr 相同，但有 nice 优先级。
• %sys： 执行内核应用的 CPU 利用率百分比。这不包括用于处理中断或者硬件请求的时间。
• %iowait： 指定（或所有）CPU 的空闲时间百分比，这表示当前 CPU 处于 I/O 操作密集的状态。更详细的解释（附带示例）可以查看这里。
• %irq： 用于处理硬件中断的时间所占百分比。
• %soft： 和 %irq 相同，但是是软中断。
• %steal： 虚拟机非自主等待（时间片窃取）所占时间的百分比，即当虚拟机在竞争 CPU 时所从虚拟机管理程序那里“赢得”的时间。应该保持这个值尽可能小。如果这个值很大，意味着虚拟机正在或者将要停止运转。
• %guest： 运行虚拟处理器所用的时间百分比。
• %idle： CPU 没有运行任何任务所占时间的百分比。如果你观察到这个值很小，意味着系统负载很重。在这种情况下，你需要查看详细的进程列表、以及下面将要讨论的内容来确定这是什么原因导致的。

运行下面的命令使处理器处于极高负载，然后在另一个终端执行 mpstat 命令：

# dd if=/dev/zero of=test.iso bs=1G count=1
# mpstat -u -P 0 2 3
# ping -f localhost # Interrupt with Ctrl + C after mpstat below completes
# mpstat -u -P 0 2 3

最后，和 “正常” 情况下 mpstat 的输出作比较：

Linux 处理器相关统计信息报告

正如你在上面图示中看到的，在前面两个例子中，根据 %idle 的值可以判断 CPU 0 负载很高。

在下一部分，我们会讨论如何识别资源饥饿型进程，如何获取更多和它们相关的信息，以及如何采取恰当的措施。

Linux 进程报告

我们可以使用有名的 ps 命令，用 -eo 选项（根据用户定义格式选中所有进程） 和 --sort 选项（指定自定义排序顺序）按照 CPU 使用率排序列出进程，例如：

# ps -eo pid,ppid,cmd,%cpu,%mem --sort=-%cpu

上面的命令只会显示 PID、PPID、和进程相关的命令、 CPU 使用率以及 RAM 使用率，并按照 CPU 使用率降序排序。创建 .iso 文件的时候运行上面的命令，下面是输出的前面几行：

根据 CPU 使用率查找进程

一旦我们找到了感兴趣的进程(例如 PID=2822 的进程)，我们就可以进入 /proc/PID(本例中是 /proc/2822) 列出目录内容。

这个目录就是进程运行的时候保存多个关于该进程详细信息的文件和子目录的目录。

例如：

• /proc/2822/io 包括该进程的 IO 统计信息（IO 操作时的读写字符数）。
• /proc/2822/attr/current 显示了进程当前的 SELinux 安全属性。
• /proc/2822/cgroup 如果启用了 CONFIGCGROUPS 内核设置选项，这会显示该进程所属的控制组（简称 cgroups），你可以使用下面命令验证是否启用了 CONFIGCGROUPS：

# cat /boot/config-$(uname -r) | grep -i cgroups

如果启用了该选项，你应该看到：

CONFIG_CGROUPS=y

根据 红帽企业版 Linux 7 资源管理指南 第一到四章的内容、openSUSE 系统分析和调优指南 第九章、Ubuntu 14.04 服务器文档 Control Groups 章节，你可以使用 cgroups 管理每个进程允许使用的资源数目。

/proc/2822/fd 这个目录包含每个打开的描述进程的文件的符号链接。下面的截图显示了 tty1（第一个终端） 中创建 .iso 镜像进程的相关信息：

查找 Linux 进程信息

上面的截图显示 stdin（文件描述符 0）、stdout（文件描述符 1）、stderr（文件描述符 2） 相应地被映射到 /dev/zero、 /root/test.iso 和 /dev/tty1。

更多关于 /proc 信息的可以查看 Kernel.org 维护的 “/proc 文件系统” 和 Linux 开发者手册。

在 Linux 中为每个用户设置资源限制

如果你不够小心、让任意用户使用不受限制的进程数，最终你可能会遇到意外的系统关机或者由于系统进入不可用的状态而被锁住。为了防止这种情况发生，你应该为用户可以启动的进程数目设置上限。

你可以在 /etc/security/limits.conf 文件末尾添加下面一行来设置限制：

*       hard    nproc   10

第一个字段可以用来表示一个用户、组或者所有人(*)， 第二个字段强制限制可以使用的进程数目（nproc） 为 10。退出并重新登录就可以使设置生效。

然后，让我们来看看非 root 用户（合法用户或非法用户） 试图引起 shell fork 炸弹 （参见 WiKi） 时会发生什么。如果我们没有设置限制， shell fork 炸弹会无限制地启动函数的两个实例，然后无限循环地复制任意一个实例。最终导致你的系统卡死。

但是，如果使用了上面的限制，fort 炸弹就不会成功，但用户仍然会被锁在外面直到系统管理员杀死相关的进程。

运行 Shell Fork 炸弹

提示： limits.conf 文件中可以查看其它 ulimit 可以更改的限制。

其它 Linux 进程管理工具

除了上面讨论的工具， 一个系统管理员还可能需要：

a) 通过使用 renice 调整执行优先级（系统资源的使用）。这意味着内核会根据分配的优先级（众所周知的 “niceness”，它是一个范围从 -20 到 19 的整数）给进程分配更多或更少的系统资源。

这个值越小，执行优先级越高。普通用户（而非 root）只能调高他们所有的进程的 niceness 值（意味着更低的优先级），而 root 用户可以调高或调低任何进程的 niceness 值。

renice 命令的基本语法如下：

# renice [-n] <new priority> <UID, GID, PGID, or empty> identifier

如果 new priority 后面的参数没有（为空），默认就是 PID。在这种情况下，PID=identifier 的进程的 niceness 值会被设置为 <new priority>。

b) 需要的时候中断一个进程的正常执行。这也就是通常所说的“杀死”进程。实质上，这意味着给进程发送一个信号使它恰当地结束运行并以有序的方式释放任何占用的资源。

按照下面的方式使用 kill 命令杀死进程：

# kill PID

另外，你也可以使用 pkill 结束指定用户(-u)、指定组(-G) 甚至有共同的父进程 ID (-P) 的所有进程。这些选项后面可以使用数字或者名称表示的标识符。

# pkill [options] identifier

例如：

# pkill -G 1000

会杀死组 GID=1000 的所有进程。而

# pkill -P 4993 

会杀死 PPID 是 4993 的所有进程。

在运行 pkill 之前，先用 pgrep 测试结果、或者使用 -l 选项列出进程名称是一个很好的办法。它需要和 pkill 相同的参数、但是只会返回进程的 PID（而不会有其它操作），而 pkill 会杀死进程。

# pgrep -l -u gacanepa

用下面的图片说明：

在 Linux 中查找用户运行的进程

总结

在这篇文章中我们探讨了一些监控资源使用的方法，以便验证 Linux 系统中重要硬件和软件组件的完整性和可用性。

我们也学习了如何在特殊情况下采取恰当的措施（通过调整给定进程的执行优先级或者结束进程）。

我们希望本篇中介绍的概念能对你有所帮助。如果你有任何疑问或者评论，可以使用下面的联系方式联系我们。

via: http://www.tecmint.com/monitor-linux-processes-and-set-process-limits-per-user/

作者：Gabriel Cánepa 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

由于 LFCS 考试需求的变动已于 2016 年 2 月 2 日生效，因此我们向 LFCS 系列 添加了一些必要的话题。为了准备认证考试，我们也强烈推荐你去看看 LFCE 系列。

LFCS 系列第十三讲：配置并排除 Grub 引导加载程序故障。

本文将会向你介绍 GRUB 的知识，并会说明你为什么需要一个引导加载程序，以及它是如何给系统增加功能的。

Linux 引导过程 是从你按下你的电脑电源键开始，直到你拥有一个全功能的系统为止，整个过程遵循着这样的主要步骤：

• 1. 一个叫做 POST（上电自检）的过程会对你的电脑硬件组件做全面的检查。
• 2. 当 POST 完成后，它会把控制权转交给引导加载程序，接下来引导加载程序会将 Linux 内核（以及 initramfs）加载到内存中并执行。
• 3. 内核首先检查并访问硬件，然后运行初始化进程（主要以它的通用名 init 而为人熟知），接下来初始化进程会启动一些服务，最后完成系统启动过程。

在该系列的第七讲（“SysVinit、Upstart 和 Systemd”）中，我们介绍了现代 Linux 发行版使用的一些服务管理系统和工具。在继续学习之前，你可能想要回顾一下那一讲的知识。

GRUB 引导装载程序介绍

在现代系统中，你会发现有两种主要的 GRUB 版本（一种是有时被称为 GRUB Legacy 的 v1 版本，另一种则是 v2 版本），虽说多数最新版本的发行版系统都默认使用了 v2 版本。如今，只有 红帽企业版 Linux 6 及其衍生系统仍在使用 v1 版本。

因此，在本指南中，我们将着重关注 v2 版本的功能。

不管 GRUB 的版本是什么，一个引导加载程序都允许用户：

1. 通过指定使用不同的内核来修改系统的行为；
2. 从多个操作系统中选择一个启动；
3. 添加或编辑配置区块来改变启动选项等。

如今，GNU 项目负责维护 GRUB，并在它们的网站上提供了丰富的文档。当你在阅读这篇指南时，我们强烈建议你看下 GNU 官方文档。

当系统引导时，你会在主控制台看到如下的 GRUB 画面。最开始，你可以根据提示在多个内核版本中选择一个内核（默认情况下，系统将会使用最新的内核启动），并且可以进入 GRUB 命令行模式（使用 c 键），或者编辑启动项（按下 e 键）。

GRUB 启动画面

你会考虑使用一个旧版内核启动的原因之一是之前工作正常的某个硬件设备在一次升级后出现了“怪毛病（acting up）”（例如，你可以参考 AskUbuntu 论坛中的这条链接）。

在启动时会从 /boot/grub/grub.cfg 或 /boot/grub2/grub.cfg 文件中读取GRUB v2 的配置文件，而 GRUB v1 使用的配置文件则来自 /boot/grub/grub.conf 或 /boot/grub/menu.lst。这些文件不应该直接手动编辑，而应通过 /etc/default/grub 的内容和 /etc/grub.d 目录中的文件来更新。

在 CentOS 7 上，当系统最初完成安装后，会生成如下的配置文件：

GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="vconsole.keymap=la-latin1 rd.lvm.lv=centos_centos7-2/swap crashkernel=auto  vconsole.font=latarcyrheb-sun16 rd.lvm.lv=centos_centos7-2/root rhgb quiet"
GRUB_DISABLE_RECOVERY="true"

除了在线文档外，你也可以使用下面的命令查阅 GNU GRUB 手册：

# info grub

如果你对 /etc/default/grub 文件中的可用选项特别感兴趣的话，你可以直接查阅配置一节的帮助文档：

# info -f grub -n 'Simple configuration'

使用上述命令，你会发现 GRUB_TIMEOUT 用于设置启动画面出现和系统自动开始启动（除非被用户中断）之间的时间。当该变量值为 -1 时，除非用户主动做出选择，否则不会开始启动。

当同一台机器上安装了多个操作系统或内核后，GRUB_DEFAULT 就需要用一个整数来指定 GRUB 启动画面默认选择启动的操作系统或内核条目。我们既可以通过上述启动画面查看启动条目列表，也可以使用下面的命令：

在 CentOS 和 openSUSE 系统上

# awk -F\' '$1=="menuentry " {print $2}' /boot/grub2/grub.cfg

在 Ubuntu 系统上

# awk -F\' '$1=="menuentry " {print $2}' /boot/grub/grub.cfg

如下图所示的例子中，如果我们想要使用版本为 3.10.0-123.el7.x86_64 的内核（第四个条目），我们需要将 GRUB_DEFAULT 设置为 3（条目从零开始编号），如下所示：

GRUB_DEFAULT=3

使用旧版内核启动系统

最后一个需要特别关注的 GRUB 配置变量是 GRUB_CMDLINE_LINUX，它是用来给内核传递选项的。我们可以在 内核变量文件 和 man 7 bootparam 中找到能够通过 GRUB 传递给内核的选项的详细文档。

我的 CentOS 7 服务器上当前的选项是：

GRUB_CMDLINE_LINUX="vconsole.keymap=la-latin1 rd.lvm.lv=centos_centos7-2/swap crashkernel=auto  vconsole.font=latarcyrheb-sun16 rd.lvm.lv=centos_centos7-2/root rhgb quiet"

为什么你希望修改默认的内核参数或者传递额外的选项呢？简单来说，在很多情况下，你需要告诉内核某些由内核自身无法判断的硬件参数，或者是覆盖一些内核检测的值。

不久之前，就在我身上发生过这样的事情，当时我在自己已用了 10 年的老笔记本上尝试了衍生自 Slackware 的 Vector Linux。完成安装后，内核并没有检测出我的显卡的正确配置，所以我不得不通过 GRUB 传递修改过的内核选项来让它工作。

另外一个例子是当你需要将系统切换到单用户模式以执行维护工作时。为此，你可以直接在 GRUB_CMDLINE_LINUX 变量中直接追加 single 并重启即可：

GRUB_CMDLINE_LINUX="vconsole.keymap=la-latin1 rd.lvm.lv=centos_centos7-2/swap crashkernel=auto  vconsole.font=latarcyrheb-sun16 rd.lvm.lv=centos_centos7-2/root rhgb quiet single"

编辑完 /etc/default/grub 之后，你需要运行 update-grub （在 Ubuntu 上）或者 grub2-mkconfig -o /boot/grub2/grub.cfg （在 CentOS 和 openSUSE 上）命令来更新 grub.cfg 文件（否则，改动会在系统启动时丢失）。

这条命令会处理早先提到的那些启动配置文件来更新 grub.cfg 文件。这种方法可以确保改动持久化，而在启动时刻通过 GRUB 传递的选项仅在当前会话期间有效。

修复 Linux GRUB 问题

如果你安装了第二个操作系统，或者由于人为失误而导致你的 GRUB 配置文件损坏了，依然有一些方法可以让你恢复并能够再次启动系统。

在启动画面中按下 c 键进入 GRUB 命令行模式（记住，你也可以按下 e 键编辑默认启动选项），并可以在 GRUB 提示中输入 help 命令获得可用命令：

修复 Linux 的 Grub 配置问题

我们将会着重关注 ls 命令，它会列出已安装的设备和文件系统，并且我们将会看看它查找到的东西。在下面的图片中，我们可以看到有 4 块硬盘（hd0 到 hd3）。

貌似只有 hd0 已经分区了（msdos1 和 msdos2 可以证明，这里的 1 和 2 是分区号，msdos 则是分区方案）。

现在我们来看看能否在第一个分区 hd0（msdos1）上找到 GRUB。这种方法允许我们启动 Linux，并且使用高级工具修复配置文件，或者如果有必要的话，干脆重新安装 GRUB：

# ls (hd0,msdos1)/

从高亮区域可以发现，grub2 目录就在这个分区：

查找 Grub 配置

一旦我们确信了 GRUB 位于 (hd0, msdos1)，那就让我们告诉 GRUB 该去哪儿查找它的配置文件并指示它去尝试启动它的菜单：

set prefix=(hd0,msdos1)/grub2
set root=(hd0,msdos1)
insmod normal
normal

查找并启动 Grub 菜单

然后，在 GRUB 菜单中，选择一个条目并按下回车键以使用它启动。一旦系统成功启动后，你就可以运行 grub2-install /dev/sdX 命令修复问题了（将 sdX 改成你想要安装 GRUB 的设备）。然后启动信息将会更新，并且所有相关文件都会得到恢复。

# grub2-install /dev/sdX

其它更加复杂的情景及其修复建议都记录在 Ubuntu GRUB2 故障排除指南 中。该指南中阐述的概念对于其它发行版也是有效的。

总结

本文向你介绍了 GRUB，并指导你可以在何处找到线上和线下的文档，同时说明了如何面对由于引导加载相关的问题而导致系统无法正常启动的情况。

幸运的是，GRUB 是文档支持非常丰富的工具之一，你可以使用我们在文中分享的资源非常轻松地获取已安装的文档或在线文档。

你有什么问题或建议吗？请不要犹豫，使用下面的评论框告诉我们吧。我们期待着来自你的回复！

via: http://www.tecmint.com/configure-and-troubleshoot-grub-boot-loader-linux/

作者：Gabriel Cánepa 译者：ChrisLeeGit 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

为了解决标准的“用户-组-其他/读-写-执行”权限以及访问控制列表的限制以及加强安全机制，美国国家安全局（NSA）设计出一个灵活的 强制访问控制 （ Mandatory Access Control ） （MAC）方法 SELinux（Security Enhanced Linux 的缩写），来限制标准的权限之外的种种权限，在仍然允许对这个控制模型后续修改的情况下，让进程尽可能以最小权限访问或在系统对象（如文件，文件夹，网络端口等）上执行其他操作。

SELinux 和 AppArmor 加固 Linux 安全

另一个流行并且被广泛使用的 MAC 是 AppArmor，相比于 SELinux 它提供更多的特性，包括一个学习模式，可以让系统“学习”一个特定应用的行为，以及通过配置文件设置限制实现安全的应用使用。

在 CentOS 7 中，SELinux 合并进了内核并且默认启用 强制 （ Enforcing ） 模式（下一节会介绍这方面更多的内容），与之不同的是，openSUSE 和 Ubuntu 使用的是 AppArmor 。

在这篇文章中我们会解释 SELinux 和 AppArmor 的本质，以及如何在你选择的发行版上使用这两个工具之一并从中获益。

SELinux 介绍以及如何在 CentOS 7 中使用

Security Enhanced Linux 可以以两种不同模式运行：

• 强制 （ Enforcing ） ：这种情况下，SELinux 基于 SELinux 策略规则拒绝访问，策略规则是一套控制安全引擎的规则。
• 宽容 （ Permissive ） ：这种情况下，SELinux 不拒绝访问，但如果在强制模式下会被拒绝的操作会被记录下来。

SELinux 也能被禁用。尽管这不是它的一个操作模式，不过也是一种选择。但学习如何使用这个工具强过只是忽略它。时刻牢记这一点！

使用 getenforce 命令来显示 SELinux 的当前模式。如果你想要更改模式，使用 setenforce 0（设置为宽容模式）或 setenforce 1（强制模式）。

因为这些设置重启后就失效了，你需要编辑 /etc/selinux/config 配置文件并设置 SELINUX 变量为 enforcing、permissive 或 disabled ，保存设置让其重启后也有效：

如何启用和禁用 SELinux 模式

还有一点要注意，如果 getenforce 返回 Disabled，你得编辑 /etc/selinux/config 配置文件为你想要的操作模式并重启。否则你无法利用 setenforce 设置（或切换）操作模式。

setenforce 的典型用法之一包括在 SELinux 模式之间切换（从强制到宽容或相反）来定位一个应用是否行为不端或没有像预期一样工作。如果它在你将 SELinux 设置为宽容模式正常工作，你就可以确定你遇到的是 SELinux 权限问题。

有两种我们使用 SELinux 可能需要解决的典型案例：

• 改变一个守护进程监听的默认端口。
• 给一个虚拟主机设置 /var/www/html 以外的文档根路径值。

让我们用以下例子来看看这两种情况。

例 1：更改 sshd 守护进程的默认端口

大部分系统管理员为了加强服务器安全首先要做的事情之一就是更改 SSH 守护进程监听的端口，主要是为了阻止端口扫描和外部攻击。要达到这个目的，我们要更改 /etc/ssh/sshd_config 中的 Port 值为以下值（我们在这里使用端口 9999 为例）：

Port 9999

在尝试重启服务并检查它的状态之后，我们会看到它启动失败：

# systemctl restart sshd
# systemctl status sshd

检查 SSH 服务状态

如果我们看看 /var/log/audit/audit.log，就会看到 sshd 被 SELinux 阻止在端口 9999 上启动，因为它是 JBoss 管理服务的保留端口（SELinux 日志信息包含了词语“AVC”，所以应该很容易把它同其他信息区分开来）：

# cat /var/log/audit/audit.log | grep AVC | tail -1

检查 Linux 审计日志

在这种情况下大部分人可能会禁用 SELinux，但我们不这么做。我们会看到有个让 SELinux 和监听其他端口的 sshd 和谐共处的方法。首先确保你有 policycoreutils-python 这个包，执行：

# yum install policycoreutils-python

查看 SELinux 允许 sshd 监听的端口列表。在接下来的图片中我们还能看到端口 9999 是为其他服务保留的，所以我们暂时无法用它来运行其他服务：

# semanage port -l | grep ssh

当然我们可以给 SSH 选择其他端口，但如果我们确定我们不会使用这台机器跑任何 JBoss 相关的服务，我们就可以修改 SELinux 已存在的规则，转而给 SSH 分配那个端口：

# semanage port -m -t ssh_port_t -p tcp 9999

这之后，我们就可以用前一个 semanage 命令检查端口是否正确分配了，即使用 -lC 参数（list custom 的简称）：

# semanage port -lC
# semanage port -l | grep ssh

给 SSH 分配端口

我们现在可以重启 SSH 服务并通过端口 9999 连接了。注意这个更改重启之后依然有效。

例 2：给一个虚拟主机设置 /var/www/html 以外的 文档根路径 （ DocumentRoot ）

如果你需要用除 /var/www/html 以外目录作为 文档根目录 （ DocumentRoot ） 设置一个 Apache 虚拟主机（也就是说，比如 /websrv/sites/gabriel/public_html）：

DocumentRoot “/websrv/sites/gabriel/public_html”

Apache 会拒绝提供内容，因为 index.html 已经被标记为了 default_t SELinux 类型，Apache 无法访问它：

# wget http://localhost/index.html
# ls -lZ /websrv/sites/gabriel/public_html/index.html

被标记为 default\_t SELinux 类型

和之前的例子一样，你可以用以下命令验证这是不是 SELinux 相关的问题：

# cat /var/log/audit/audit.log | grep AVC | tail -1

检查日志确定是不是 SELinux 的问题

要将 /websrv/sites/gabriel/public_html 整个目录内容标记为 httpd_sys_content_t，执行：

# semanage fcontext -a -t httpd_sys_content_t "/websrv/sites/gabriel/public_html(/.*)?"

上面这个命令会赋予 Apache 对那个目录以及其内容的读取权限。

最后，要应用这条策略（并让更改的标记立即生效），执行：

# restorecon -R -v /websrv/sites/gabriel/public_html

现在你应该可以访问这个目录了：

# wget http://localhost/index.html

访问 Apache 目录

要获取关于 SELinux 的更多信息，参阅 Fedora 22 中的 SELinux 用户及管理员指南。

AppArmor 介绍以及如何在 OpenSUSE 和 Ubuntu 上使用它

AppArmor 的操作是基于写在纯文本文件中的规则定义，该文件中含有允许权限和访问控制规则。安全配置文件用来限制应用程序如何与系统中的进程和文件进行交互。

系统初始就提供了一系列的配置文件，但其它的也可以由应用程序在安装的时候设置或由系统管理员手动设置。

像 SELinux 一样，AppArmor 以两种模式运行。在 强制 （ enforce ） 模式下，应用被赋予它们运行所需要的最小权限，但在 抱怨 （ complain ） 模式下 AppArmor 允许一个应用执行受限的操作并将操作造成的“抱怨”记录到日志里（/var/log/kern.log，/var/log/audit/audit.log，和其它放在 /var/log/apparmor 中的日志）。

日志中会显示配置文件在强制模式下运行时会产生错误的记录，它们中带有 audit 这个词。因此，你可以在 AppArmor 的 强制 （ enforce ） 模式下运行之前，先在 抱怨 （ complain ） 模式下尝试运行一个应用并调整它的行为。

可以用这个命令显示 AppArmor 的当前状态：

$ sudo apparmor_status

查看 AppArmor 的状态

上面的图片指明配置 /sbin/dhclient，/usr/sbin/，和 /usr/sbin/tcpdump 等处在 强制 （ enforce ） 模式下（在 Ubuntu 下默认就是这样的）。

因为不是所有的应用都包含相关的 AppArmor 配置，apparmor-profiles 包给其它没有提供限制的包提供了配置。默认它们配置在 抱怨 （ complain ） 模式下运行，以便系统管理员能够测试并选择一个所需要的配置。

我们将会利用 apparmor-profiles，因为写一份我们自己的配置已经超出了 LFCS 认证的范围了。但是，由于配置都是纯文本文件，你可以查看并学习它们，为以后创建自己的配置做准备。

AppArmor 配置保存在 /etc/apparmor.d 中。让我们来看看这个文件夹在安装 apparmor-profiles 之前和之后有什么不同：

$ ls /etc/apparmor.d

查看 AppArmor 文件夹内容

如果你再次执行 sudo apparmor_status，你会在 抱怨 （ complain ） 模式看到更长的配置文件列表。你现在可以执行下列操作。

将当前在 强制 （ enforce ） 模式下的配置文件切换到 抱怨 （ complain ） 模式：

$ sudo aa-complain /path/to/file

以及相反的操作（抱怨 –> 强制）：

$ sudo aa-enforce /path/to/file

上面这些例子是允许使用通配符的。举个例子：

$ sudo aa-complain /etc/apparmor.d/*

会将 /etc/apparmor.d 中的所有配置文件设置为 抱怨 （ complain ） 模式，反之

$ sudo aa-enforce /etc/apparmor.d/*

会将所有配置文件设置为 强制 （ enforce ） 模式。

要完全禁用一个配置，在 /etc/apparmor.d/disabled 目录中创建一个符号链接：

$ sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/

要获取关于 AppArmor 的更多信息，参阅官方的 AppArmor wiki 以及 Ubuntu 提供的文档。

总结

在这篇文章中我们学习了一些 SELinux 和 AppArmor 这两个著名的强制访问控制系统的基本知识。什么时候使用两者中的一个或是另一个？为了避免提高难度，你可能需要考虑专注于你选择的发行版自带的那一个。不管怎样，它们会帮助你限制进程和系统资源的访问，以提高你服务器的安全性。

关于本文你有任何的问题，评论，或建议，欢迎在下方发表。不要犹豫，让我们知道你是否有疑问或评论。

via: http://www.tecmint.com/mandatory-access-control-with-selinux-or-apparmor-linux/

作者：Gabriel Cánepa 译者：alim0x 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出