在 Linux 系统上有很多可以用于压缩文件的工具，但它们的表现并不都是一样的，也不是所有的压缩效果都是一样的。在这篇文章中，我们比较其中的五个工具。

在 Linux 上有不少用于压缩文件的命令。最新最有效的一个方法是 xz，但是所有的方法都有节省磁盘空间和维护备份文件供以后使用的优点。在这篇文章中，我们将比较这些压缩命令并指出显著的不同。

tar

tar 命令不是专门的压缩命令。它通常用于将多个文件拉入一个单个的文件中，以便容易地传输到另一个系统，或者将文件作为一个相关的组进行备份。它也提供压缩的功能，这就很有意义了，附加一个 z 压缩选项能够实现压缩文件。

当使用 z 选项为 tar 命令附加压缩过程时，tar 使用 gzip 来进行压缩。

就像压缩一组文件一样，你可以使用 tar 来压缩单个文件，尽管这种操作与直接使用 gzip 相比没有特别的优势。要使用 tar 这样做，只需要使用 tar cfz newtarfile filename 命令来标识要压缩的文件，就像标识一组文件一样，像这样：

$ tar cfz bigfile.tgz bigfile
            ^            ^
            |            |
            +- 新的文件  +- 将被压缩的文件

$ ls -l bigfile*
-rw-rw-r-- 1 shs shs 103270400 Apr 16 16:09 bigfile
-rw-rw-r-- 1 shs shs 21608325 Apr 16 16:08 bigfile.tgz

注意，文件的大小显著减少了。

如果你愿意，你可以使用 tar.gz 扩展名，这可能会使文件的特征更加明显，但是大多数的 Linux 用户将很可能会意识到与 tgz 的意思是一样的 – tar 和 gz 的组合来显示文件是一个压缩的 tar 文件。在压缩完成后，你将同时得到原始文件和压缩文件。

要将很多文件收集在一起并在一个命令中压缩出 “tar ball”，使用相同的语法，但要指定要包含的文件为一组，而不是单个文件。这里有一个示例：

$ tar cfz bin.tgz bin/*
          ^         ^
          |         +-- 将被包含的文件
          + 新的文件

zip

zip 命令创建一个压缩文件，与此同时保留原始文件的完整性。语法像使用 tar 一样简单，只是你必需记住，你的原始文件名称应该是命令行上的最后一个参数。

$ zip ./bigfile.zip bigfile
updating: bigfile (deflated 79%)
$ ls -l bigfile bigfile.zip
-rw-rw-r-- 1 shs shs 103270400 Apr 16 11:18 bigfile
-rw-rw-r-- 1 shs shs  21606889 Apr 16 11:19 bigfile.zip

gzip

gzip 命令非常容易使用。你只需要键入 gzip，紧随其后的是你想要压缩的文件名称。不像上述描述的命令，gzip 将“就地”“加密”文件。换句话说，原始文件将被“加密”文件替换。

$ gzip bigfile
$ ls -l bigfile*
-rw-rw-r-- 1 shs shs  21606751 Apr 15 17:57 bigfile.gz

bzip2

像使用 gzip 命令一样，bzip2 将在你选择的文件“就地”压缩，不留下原始文件。

$ bzip bigfile
$ ls -l bigfile*
-rw-rw-r-- 1 shs shs  18115234 Apr 15 17:57 bigfile.bz2

xz

xz 是压缩命令团队中的一个相对较新的成员，在压缩文件的能力方面，它是一个领跑者。像先前的两个命令一样，你只需要将文件名称提供给命令。再强调一次，原始文件被就地压缩。

$ xz bigfile
$ ls -l bigfile*
-rw-rw-r-- 1 shs shs 13427236 Apr 15 17:30 bigfile.xz

对于大文件来说，你可能会注意到 xz 将比其它的压缩命令花费更多的运行时间，但是压缩的结果却是非常令人赞叹的。

对比

大多数人都听说过“大小不是一切”。所以，让我们比较一下文件大小以及一些当你计划如何压缩文件时的问题。

下面显示的统计数据都与压缩单个文件相关，在上面显示的示例中使用 bigfile。这个文件是一个大的且相当随机的文本文件。压缩率在一定程度上取决于文件的内容。

大小减缩率

当比较时，上面显示的各种压缩命产生下面的结果。百分比表示压缩文件与原始文件的比较效果。

-rw-rw-r-- 1 shs shs 103270400 Apr 16 14:01 bigfile
------------------------------------------------------
-rw-rw-r-- 1 shs shs 18115234 Apr 16 13:59 bigfile.bz2    ~17%
-rw-rw-r-- 1 shs shs 21606751 Apr 16 14:00 bigfile.gz     ~21%
-rw-rw-r-- 1 shs shs 21608322 Apr 16 13:59 bigfile.tgz    ~21%
-rw-rw-r-- 1 shs shs 13427236 Apr 16 14:00 bigfile.xz     ~13%
-rw-rw-r-- 1 shs shs 21606889 Apr 16 13:59 bigfile.zip    ~21%

xz 命令获胜，最终只有压缩文件 13% 的大小，但是所有这些压缩命令都相当显著地减少原始文件的大小。

是否替换原始文件

bzip2、gzip 和 xz 命令都用压缩文件替换原始文件。tar 和 zip 命令不替换。

运行时间

xz 命令似乎比其它命令需要花费更多的时间来“加密”文件。对于 bigfile 来说，大概的时间是：

命令      运行时间
tar       4.9 秒
zip       5.2 秒
bzip2    22.8 秒
gzip      4.8 秒
xz       50.4 秒

解压缩文件很可能比压缩时间要短得多。

文件权限

不管你对压缩文件设置什么权限，压缩文件的权限将基于你的 umask 设置，但 bzip2 除外，它保留了原始文件的权限。

与 Windows 的兼容性

zip 命令创建的文件可以在 Windows 系统以及 Linux 和其他 Unix 系统上使用（即解压），而无需安装其他工具，无论这些工具可能是可用还是不可用的。

解压缩文件

解压文件的命令与压缩文件的命令类似。在我们运行上述压缩命令后，这些命令用于解压缩 bigfile：

• tar： tar xf bigfile.tgz
• zip： unzip bigfile.zip
• gzip： gunzip bigfile.gz
• bzip2： bunzip2 bigfile.gz2
• xz： xz -d bigfile.xz 或 unxz bigfile.xz

自己运行压缩对比

如果你想自己运行一些测试，抓取一个大的且可以替换的文件，并使用上面显示的每个命令来压缩它 —— 最好使用一个新的子目录。你可能需要先安装 xz，如果你想在测试中包含它的话。这个脚本可能更容易地进行压缩，但是可能需要花费几分钟完成。

#!/bin/bash

# 询问用户文件名称
echo -n "filename> "
read filename

# 你需要这个，因为一些命令将替换原始文件
cp $filename $filename-2

# 先清理(以免先前的结果仍然可用)
rm $filename.*

tar cvfz ./$filename.tgz $filename > /dev/null
zip $filename.zip $filename > /dev/null
bzip2 $filename
# 恢复原始文件
cp $filename-2 $filename
gzip $filename
# 恢复原始文件
cp $filename-2 $filename
xz $filename

# 显示结果
ls -l $filename.*

# 替换原始文件
mv $filename-2 $filename

via: https://www.networkworld.com/article/3538471/how-to-compress-files-on-linux-5-ways.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：robsean 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 系统上的手册页可以做的不仅仅是提供特定命令的信息。它们可以帮助你发现你没有意识到的命令。

手册页提供了关于 Linux 命令的基本信息，很多用户经常参考它，但手册页的内容比我们很多人意识到的要多得多。

你总是可以输入一个像 man who 这样的命令，然后得到 who 命令的工作原理的漂亮描述，但是探索你可能不知道的命令可能会更有启发。例如，你可以使用 man 命令来帮助找到一些处理非常具有挑战性的任务的命令，或者显示一些选项，这些选项可以帮助你以新的更好的方式使用你已经知道的命令。

让我们来浏览一些选项，看看最终的结果是什么。

用 man 去识别命令

man 命令可以帮助你按主题查找命令。例如，如果你要找一个计算文件中的行数的命令，你可以提供一个关键字。在下面的例子中，我们把关键字 “count” 放在了引号中，并添加了空格，这样我们就不会得到与 “accounts” 或 “accounting” 相关的命令，而是得到那些可以为我们做一些计算的命令。

$ man -k ' count '
anvil (8postfix)     - Postfix session count and request rate control
cksum (1)            - checksum and count the bytes in a file
sum (1)              - checksum and count the blocks in a file
timer_getoverrun (2) - get overrun count for a POSIX per-process timer

为了显示与新用户账户相关的命令，我们可以尝试使用这样的命令。

$ man -k "new user"
newusers (8)         - update and create new users in batch
useradd (8)          - create a new user or update default new user information
zshroadmap (1)       - informal introduction to the zsh manual The Zsh Manual, …

需要说明的是，上面的第三项只是提到 “new users” 类似的内容，并不是设置、删除或配置用户账号的命令。man 命令只是在命令描述中匹配了一些词，作用很像 apropos 命令。注意上面列出的每个命令后面的括号中的数字。这些数字与包含这些命令的手册页的分区有关。

确定手册页的分区

man 命令的分区将其内容划分为不同的类别。要列出这些类别，请键入 man man，并查看类似下面的描述。你的系统中很可能没有第 9 分区的命令。

• 1：可执行程序或 shell 命令
• 2：系统调用（内核提供的函数）
• 3：库调用（程序库内的函数）
• 4：特殊文件（通常在可以 /dev 中找到）
• 5：文件格式和惯例，例如 /etc/passwd
• 6：游戏
• 7：杂项（包括宏包和约定），例如 man(7)、groff(7)
• 8：系统管理命令（通常只由 root 用户使用）
• 9：内核例程（非标准）

手册页涵盖了比我们通常认为的“命令”更多的内容。从上面的描述中可以看到，它们涵盖了系统调用、库调用、特殊文件等等。

下面的列表显示了 Linux 系统中的手册页的实际存储位置。这些目录上的日期会有所不同，因为随着更新，其中一些分区会有新的内容，而另一些则不会。

$ ls -ld /usr/share/man/man?
drwxr-xr-x 2 root root  98304 Feb  5 16:27 /usr/share/man/man1
drwxr-xr-x 2 root root  65536 Oct 23 17:39 /usr/share/man/man2
drwxr-xr-x 2 root root 270336 Nov 15 06:28 /usr/share/man/man3
drwxr-xr-x 2 root root   4096 Feb  4 10:16 /usr/share/man/man4
drwxr-xr-x 2 root root  28672 Feb  5 16:25 /usr/share/man/man5
drwxr-xr-x 2 root root   4096 Oct 23 17:40 /usr/share/man/man6
drwxr-xr-x 2 root root  20480 Feb  5 16:25 /usr/share/man/man7
drwxr-xr-x 2 root root  57344 Feb  5 16:25 /usr/share/man/man8

注意，为了节省空间，手册页文件一般都是 gzip 压缩的。每当你使用 man 命令时，man 命令会根据需要解压。

$ ls -l /usr/share/man/man1 | head -10
total 12632
lrwxrwxrwx 1 root root      9 Sep  5 06:38 [.1.gz -> test.1.gz
-rw-r--r-- 1 root root    563 Nov  7 05:07 2to3-2.7.1.gz
-rw-r--r-- 1 root root    592 Apr 23  2016 411toppm.1.gz
-rw-r--r-- 1 root root   2866 Aug 14 10:36 a2query.1.gz
-rw-r--r-- 1 root root   2361 Sep  9 15:13 aa-enabled.1.gz
-rw-r--r-- 1 root root   2675 Sep  9 15:13 aa-exec.1.gz
-rw-r--r-- 1 root root   1142 Apr  3  2018 aaflip.1.gz
-rw-r--r-- 1 root root   3847 Aug 14 10:36 ab.1.gz
-rw-r--r-- 1 root root   2378 Aug 23  2018 ac.1.gz

按分区列出的手册页

即使只看第 1 分区的前 10 个手册页（如上所示），你也可能会看到一些新的命令 —— 也许是 a2query 或 aaflip（如上所示）。

探索命令的更好策略是按分区列出命令，不查看文件本身，而是使用 man 命令向你显示命令并提供每个命令的简要说明。

在下面的命令中，-s 1 指示 man 显示第 1 分区中的命令信息。-k . 使该命令对所有命令都有效，而不是指定一个特定的关键字；如果没有这个，man 命令就会回过头来问：“你想要什么手册页？”所以，使用关键字来选择一组相关的命令，或者使用点来显示一个分区中的所有命令。

$ man -s 1 -k .
2to3-2.7 (1)         - Python2 to Python3 converter
411toppm (1)         - convert Sony Mavica .411 image to ppm
as (1)               - the portable GNU assembler.
baobab (1)           - A graphical tool to analyze disk usage
busybox (1)          - The Swiss Army Knife of Embedded Linux
cmatrix (1)          - simulates the display from "The Matrix"
expect_dislocate (1) - disconnect and reconnect processes
red (1)              - line-oriented text editor
enchant (1)          - a spellchecker
…

有多少手册页？

如果你对每个分区中有多少手册页感到好奇，可以使用以下命令按分区对它们进行计数：

$ for num in {1..8}
> do
>   man -s $num -k . | wc -l
> done
2382
493
2935
53
441
11
245
919

确切的数量可能有所不同，但是大多数 Linux 系统的命令数量差不多。如果我们使用命令将这些数字加在一起，我们可以看到运行该命令的系统上有将近 7500 个手册页。有很多命令，系统调用等。

$ for num in {1..8}
> do
>     num=`man -s $num -k . | wc -l`
>     tot=`expr $num + $tot`
>     echo $tot
> done
2382
2875
5810
5863
6304
6315
6560
7479            <=== total

阅读手册页可以学到很多东西，但是以其他方式浏览手册页可以帮助你了解系统上可能不知道的命令。

via: https://www.networkworld.com/article/3519853/navigating-man-pages-in-linux.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

at 命令可以很容易地安排 Linux 任务在你选择的任何时间或日期运行，让我们来看看它能为你做什么。

当你希望命令或脚本在某个特定时间运行时，你不需要将手指放在键盘上盘旋等待按下回车键，或者是在特定时间坐在办公桌前。相反，你可以通过 at 命令来设置任务。在本文中，我们将研究如何使用 at 来安排任务，如何精确地选择任务希望运行的时间，以及如何使用 at 来查看安排运行的任务。

at vs cron

对于那些使用 cron 在 Linux 系统上安排任务的人来说，at 命令类似于 cron，因为你可以在选定的时间调度任务，但是 cron 用于定期运行的作业 —— 甚至是每年仅一次。大多数 cron 作业的频率都设置为每天、每周或每月运行一次，不过你可以控制运行的频率和时间。

另一方面，at 命令用于仅运行一次的任务。想在午夜重启系统？没问题，只要你有适当的权限，at 可以为你完成此操作。如果你希望系统在每个星期六凌晨 2 点重启，那么改用 cron。

使用 at

at 命令很容易使用，只需记住几件事。一个简单使用 at 的例子类似于这样：

$ at 5:00PM
at> date >> thisfile
at> <EOT>

在输入 at 和应该运行命令的时间，at 会提示你在设定时间会运行该命令（此例中是 date 命令）。输入 ^D（Ctrl + d）来完成请求。

假设我们在下午 5 点之前设置这个 at 命令，那么这个日期和时间将在当天下午 5 点添加到名为 thisfile 文件的末尾。否则，该命令将在第二天下午 5 点运行。

与 at 命令进行交互时，可以输入多个命令。如果你要同时运行多个命令，只需输入多个命令行即可：

$ at 6:22
warning: commands will be executed using /bin/sh
at> echo first >> thisfile
at> echo second >> thisfile
at> <EOT>

在上面的命令中，我们使用了一个普通的用户账户，将一些简单的文本添加到该用户主目录的文件中。如果在上午 6:22 之后运行这些命令，那么命令会在第二天运行，因为 6:22 表示上午 6:22。如果你想在下午 6:22 运行，使用 6:22 PM 或者 18:22。6:22 PM 这样也是可以工作的。

你也可以通过使用 at 来安排命令在指定的日期或时间运行，例如 10:00AM April 15 2021 或 noon + 5 days（从今天起 5 天内的中午运行），以下是一些例子：

at 6PM tomorrow
at noon April 15 2021
at noon + 5 days
at 9:15 + 1000 days

在指定要运行的命令并按下 ^D 后，你会注意到 at 命令为每个请求分配了一个作业编号，这个数字将显示在 at 命令的作业队列中。

$ at noon + 1000 days
warning: commands will be executed using /bin/sh
at> date >> thisfile
at> <EOT>
job 36 at Tue Dec 27 12:00:00 2022        <== job # is 36

检查队列

你可以使用 atq（at queue）命令来查看 at 作业队列：

$ atq
32      Thu Apr  2 03:06:00 2020 a shs
35      Mon Apr  6 12:00:00 2020 a shs
36      Tue Dec 27 12:00:00 2022 a shs
34      Thu Apr  2 18:00:00 2020 a shs

如果你需要取消队列中的一个作业，使用 atrm（at remove）命令和作业编号：

$ atrm 32
$ atq
35      Mon Apr  6 12:00:00 2020 a shs
36      Tue Dec 27 12:00:00 2022 a shs
34      Thu Apr  2 18:00:00 2020 a shs

你可以使用 at -c 命令来查看安排任务的详细信息，其它详细信息（活动的搜索路径等）也可以看到，但是输出的最后一行将显示计划运行的命令。

$ at -c 36 | tail -6
cd /home/shs || {
         echo 'Execution directory inaccessible' >&2
         exit 1
}
date >> thisfile

注意，该命令显示首先会测试是否可以通过 cd 命令进入用户目录。如果不可以，作业将退出并显示错误。如果可以，则运行在 at 中指定的命令。它将命令视为 “进入 /home/shs 或退出并显示错误”。

以 root 身份运行作业

要以 root 身份运行 at 作业，只需将 sudo 与你的 at 命令一起使用，如下所示：

$ sudo at 8PM
[sudo] password for shs:
warning: commands will be executed using /bin/sh
at> reboot now
at> <EOT>
job 37 at Wed Apr  1 16:00:00 2020

注意，root 的任务以 root 作为执行者显示在队列中。

35      Mon Apr  6 12:00:00 2020 a shs
36      Tue Dec 27 12:00:00 2022 a shs
37      Wed Apr  1 20:00:00 2020 a root         <==

运行脚本

你还可以使用 at 命令来运行脚本，这里有一个例子：

$ at 4:30PM
warning: commands will be executed using /bin/sh
at> bin/tryme
at> <EOT>

禁止使用 at 命令

/etc/at.deny 文件提供了一种禁止用户使用 at 命令的方法。默认情况下，它可能会包含一个不允许的账户列表，例如 ftp 和 nobody。可以使用 /etc/at.allow 文件执行相反的操作，但是通常只配置 at.deny 文件。

总结

当你要安排一项一次性任务时，无论你是希望在今天下午或几年后运行，at 命令都是通用且易于使用的。

via: https://www.networkworld.com/article/3535808/scheduling-tasks-on-linux-using-the-at-command.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

我们来研究下 Linux 上的 ufw（简单防火墙），为你更改防火墙提供一些见解和命令。

ufw（ 简单防火墙 Uncomplicated FireWall ）真正地简化了 iptables，它从出现的这几年，已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。而且 ufw 出乎意料的简单，这对新管理员来说是一个福音，否则他们可能需要投入大量时间来学习防火墙管理。

ufw 也有 GUI 客户端（例如 gufw），但是 ufw 命令通常在命令行上执行的。本文介绍了一些使用 ufw 的命令，并研究了它的工作方式。

首先，快速查看 ufw 配置的方法是查看其配置文件 —— /etc/default/ufw。使用下面的命令可以查看其配置，使用 grep 来抑制了空行和注释（以 # 开头的行）的显示。

$ grep -v '^#\|^$' /etc/default/ufw
IPV6=yes
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_APPLICATION_POLICY="SKIP"
MANAGE_BUILTINS=no
IPT_SYSCTL=/etc/ufw/sysctl.conf
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"

正如你所看到的，默认策略是丢弃输入但允许输出。允许你接受特定的连接的其它规则是需要单独配置的。

ufw 命令的基本语法如下所示，但是这个概要并不意味着你只需要输入 ufw 就行，而是一个告诉你需要哪些参数的快速提示。

ufw [--dry-run] [options] [rule syntax]

--dry-run 选项意味着 ufw 不会运行你指定的命令，但会显示给你如果执行后的结果。但是它会显示假如更改后的整个规则集，因此你要做有好多行输出的准备。

要检查 ufw 的状态，请运行以下命令。注意，即使是这个命令也需要使用 sudo 或 root 账户。

$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       192.168.0.0/24
9090                       ALLOW       Anywhere
9090 (v6)                  ALLOW       Anywhere (v6)

否则，你会看到以下内容：

$ ufw status
ERROR: You need to be root to run this script

加上 verbose 选项会提供一些其它细节：

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         ALLOW IN    192.168.0.0/24
9090                       ALLOW IN    Anywhere
9090 (v6)                  ALLOW IN    Anywhere (v6)

你可以使用以下命令轻松地通过端口号允许和拒绝连接：

$ sudo ufw allow 80         <== 允许 http 访问
$ sudo ufw deny 25              <== 拒绝 smtp 访问

你可以查看 /etc/services 文件来找到端口号和服务名称之间的联系。

$ grep 80/ /etc/services
http            80/tcp          www             # WorldWideWeb HTTP
socks           1080/tcp                        # socks proxy server
socks           1080/udp
http-alt        8080/tcp        webcache        # WWW caching service
http-alt        8080/udp
amanda          10080/tcp                       # amanda backup services
amanda          10080/udp
canna           5680/tcp                        # cannaserver

或者，你可以命令中直接使用服务的名称。

$ sudo ufw allow http
Rule added
Rule added (v6)
$ sudo ufw allow https
Rule added
Rule added (v6)

进行更改后，你应该再次检查状态来查看是否生效：

$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       192.168.0.0/24
9090                       ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere         <==
443/tcp                    ALLOW       Anywhere         <==
9090 (v6)                  ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)    <==
443/tcp (v6)               ALLOW       Anywhere (v6)    <==

ufw 遵循的规则存储在 /etc/ufw 目录中。注意，你需要 root 用户访问权限才能查看这些文件，每个文件都包含大量规则。

$ ls -ltr /etc/ufw
total 48
-rw-r--r-- 1 root root 1391 Aug 15  2017 sysctl.conf
-rw-r----- 1 root root 1004 Aug 17  2017 after.rules
-rw-r----- 1 root root  915 Aug 17  2017 after6.rules
-rw-r----- 1 root root 1130 Jan  5  2018 before.init
-rw-r----- 1 root root 1126 Jan  5  2018 after.init
-rw-r----- 1 root root 2537 Mar 25  2019 before.rules
-rw-r----- 1 root root 6700 Mar 25  2019 before6.rules
drwxr-xr-x 3 root root 4096 Nov 12 08:21 applications.d
-rw-r--r-- 1 root root  313 Mar 18 17:30 ufw.conf
-rw-r----- 1 root root 1711 Mar 19 10:42 user.rules
-rw-r----- 1 root root 1530 Mar 19 10:42 user6.rules

本文前面所作的更改，为 http 访问添加了端口 80 和为 https 访问添加了端口 443，在 user.rules 和 user6.rules 文件中看起来像这样：

# grep " 80 " user*.rules
user6.rules:### tuple ### allow tcp 80 ::/0 any ::/0 in
user6.rules:-A ufw6-user-input -p tcp --dport 80 -j ACCEPT
user.rules:### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 in
user.rules:-A ufw-user-input -p tcp --dport 80 -j ACCEPT
You have new mail in /var/mail/root
# grep 443 user*.rules
user6.rules:### tuple ### allow tcp 443 ::/0 any ::/0 in
user6.rules:-A ufw6-user-input -p tcp --dport 443 -j ACCEPT
user.rules:### tuple ### allow tcp 443 0.0.0.0/0 any 0.0.0.0/0 in
user.rules:-A ufw-user-input -p tcp --dport 443 -j ACCEPT

使用 ufw，你还可以使用以下命令轻松地阻止来自一个 IP 地址的连接：

$ sudo ufw deny from 208.176.0.50
Rule added

status 命令将显示更改：

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         ALLOW IN    192.168.0.0/24
9090                       ALLOW IN    Anywhere
80/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
Anywhere                   DENY IN     208.176.0.50             <== new
9090 (v6)                  ALLOW IN    Anywhere (v6)
80/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)

总而言之，ufw 不仅容易配置，而且且容易理解。

via: https://www.networkworld.com/article/3533551/linux-firewall-basics-with-ufw.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

使用正确的设置，可以强制 Linux 用户定期更改密码。以下是查看密码时效以及如何更改其中设置的方法。

可以将 Linux 系统上的用户密码配置为永久或设置过期时间，以让人们必须定期重置它们。出于安全原因，通常认为定期更改密码是一种好习惯，但默认并未配置。

要查看和修改密码时效，你需要熟悉几个重要的命令：chage 命令及其 -l 选项，以及 passwd 命令及其 -S 选项。本文会介绍这些命令，还有其他一些 chage 命令选项来配置密码时效。

查看密码时效设置

确定某个特定帐户是否已设置密码时效的方法是使用如下 chage 命令。请注意，除了你自己的帐户以外，其他任何帐户都需要 root 权限。请注意下面的密码到期日期。

$ sudo chage -l dory
Last password change                                    : Mar 15, 2020
Password expires                                        : Jun 13, 2020    <==
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 10
Maximum number of days between password change          : 90
Number of days of warning before password expires       : 14

如果未应用密码时效，那么帐户信息将如下所示：

$ sudo chage -l nemo
Last password change                                    : Jan 14, 2019
Password expires                                        : never         <==
Password inactive                                       : never
Account expires                                         : Mar 26, 2706989
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

你也可以使用 passwd -S 命令查看某些信息，但是你需要知道输出中的每个字段代表什么：

dory$ passwd -S
dory P 03/15/2020 10 90 14 -1

这里的七个字段代表：

• 1 – 用户名
• 2 - 帐户状态（L = 锁定，NP = 无密码，P = 可用密码）
• 3 – 上次密码更改的日期
• 4 – 可更改最低时效（如果没有这么多天，则不能更改密码）
• 5 – 最长时效（这些天后，密码必须更改）
• 6 – 密码过期前提前警告的天数
• 7 – 密码过期后锁定之前的天数（设为无效）

需要注意的一件事是，chage 命令不会显示帐户是否被锁定；它仅显示密码时效设置。另一方面，passwd -S 命令将告诉你密码被锁定的时间。在此例中，请注意帐户状态为 L：

$ sudo passwd -S dorothy
dorothy L 07/09/2019 0 99999 7 10

通过将 /etc/shadow 文件中通常包含密码的“哈希”字段变为 !，从而达成锁定的效果。

$ sudo grep dorothy /etc/shadow
dorothy:!:18086:0:99999:7:10::    <==

帐户被锁定的事实在 chage 输出中并不明显：

$ sudo chage -l dorothy
Last password change                                    : Jul 09, 2019
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

密码时效的一些选项

最常用的设置是最短和最长的天数。它们经常结合使用。例如，你可以配置一个密码，使其最长不能使用超过 90 天（最大），然后添加一个有效期为一周或 10 天（最小）的密码。这样可以确保用户不会在需要更改密码后马上改回以前的密码。

$ sudo chage -M 90 -m 10 shark
$ sudo chage -l shark
Last password change                                    : Mar 16, 2020
Password expires                                        : Jun 14, 2020
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 10    <==
Maximum number of days between password change          : 90    <==
Number of days of warning before password expires       : 7

你还可以使用 -E 选项为帐户设置特定的到期日期。

$ sudo chage -E 2020-11-11 tadpole
$ sudo chage -l tadpole
Last password change                                    : Oct 15, 2019
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : Nov 11, 2020  <==
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

密码时效可能是一个重要的选择，只要它不鼓励用户使用过于简单的密码或以不安全的方式写下来即可。有关控制密码字符（例如，大小写字母、数字等的组合）的更多信息，请参考这篇关于密码复杂度的文章。

via: https://www.networkworld.com/article/3532815/viewing-and-configuring-password-aging-on-linux.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

日志滚动 log rotation 在 Linux 系统上是再常见不过的一个功能了，它为系统监控和故障排查保留必要的日志内容，同时又防止过多的日志造成单个日志文件太大。

日志滚动的过程是这样的：在一组日志文件之中，编号最大的（最旧的）一个日志文件会被删除，其余的日志文件编号则依次增大并取代较旧的日志文件，而较新的文件则取代它作为当前的日志文件。这一个过程很容易就可以实现自动化，在细节上还能按需作出微调。

使用 logrotate 命令可以手动执行日志滚动的操作。本文将要介绍的就是手动进行日志滚动的方法，以及预期产生的结果。

文中出现的示例适用于 Ubuntu 等 Linux 系统，对于其它类型的系统，日志文件和配置文件可能会有所不同，但日志滚动的过程是大同小异的。

为什么需要滚动日志

一般情况下，无需手动旋转日志文件。Linux 系统会每隔一天（或间隔更长的时间）或根据日志文件的大小自动进行一次日志滚动。如果你需要滚动日志以释放存储空间，又或者将某一部分日志从当前的活动中分割出来，这很容易做到，具体要取决于文件滚动规则。

一点背景介绍

在 Linux 系统安装完成后就已经有很多日志文件被纳入到日志滚动的范围内了。另外，一些应用程序在安装时也会为自己产生的日志文件设置滚动规则。一般来说，日志滚动的配置文件会放置在 /etc/logrotate.d。如果你想了解日志滚动的详细实现，可以参考这篇以前的文章。

在日志滚动的过程中，活动日志会以一个新名称命名，例如 log.1，之前被命名为 log.1 的文件则会被重命名为 log.2，依此类推。在这一组文件中，最旧的日志文件（假如名为 log.7）会从系统中删除。日志滚动时文件的命名方式、保留日志文件的数量等参数是由 /etc/logrotate.d 目录中的配置文件决定的，因此你可能会看到有些日志文件只保留少数几次滚动，而有些日志文件的滚动次数会到 7 次或更多。

例如 syslog 在经过日志滚动之后可能会如下所示（注意，行尾的注释部分只是说明滚动过程是如何对文件名产生影响的）：

$ ls -l /var/log/syslog*
-rw-r----- 1 syslog adm  128674 Mar 10 08:00 /var/log/syslog      <== 新文件
-rw-r----- 1 syslog adm 2405968 Mar  9 16:09 /var/log/syslog.1    <== 之前的 syslog
-rw-r----- 1 syslog adm  206451 Mar  9 00:00 /var/log/syslog.2.gz <== 之前的 syslog.1
-rw-r----- 1 syslog adm  216852 Mar  8 00:00 /var/log/syslog.3.gz <== 之前的 syslog.2.gz
-rw-r----- 1 syslog adm  212889 Mar  7 00:00 /var/log/syslog.4.gz <== 之前的 syslog.3.gz
-rw-r----- 1 syslog adm  219106 Mar  6 00:00 /var/log/syslog.5.gz <== 之前的 syslog.4.gz
-rw-r----- 1 syslog adm  218596 Mar  5 00:00 /var/log/syslog.6.gz <== 之前的 syslog.5.gz
-rw-r----- 1 syslog adm  211074 Mar  4 00:00 /var/log/syslog.7.gz <== 之前的 syslog.6.gz

你可能会发现，除了当前活动的日志和最新一次滚动的日志文件之外，其余的文件都已经被压缩以节省存储空间。这样设计的原因是大部分系统管理员都只需要查阅最新的日志文件，其余的日志文件压缩起来，需要的时候可以解压查阅，这是一个很好的折中方案。

手动日志滚动

你可以这样执行 logrotate 命令进行手动日志滚动：

$ sudo logrotate -f /etc/logrotate.d/rsyslog

值得一提的是，logrotate 命令使用 /etc/logrotate.d/rsyslog 这个配置文件，并通过了 -f 参数实行“强制滚动”。因此，整个过程将会是：

• 删除 syslog.7.gz，
• 将原来的 syslog.6.gz 命名为 syslog.7.gz，
• 将原来的 syslog.5.gz 命名为 syslog.6.gz，
• 将原来的 syslog.4.gz 命名为 syslog.5.gz，
• 将原来的 syslog.3.gz 命名为 syslog.4.gz，
• 将原来的 syslog.2.gz 命名为 syslog.3.gz，
• 将原来的 syslog.1.gz 命名为 syslog.2.gz，
• 但新的 syslog 文件不一定必须创建。

你可以按照下面的几条命令执行操作，以确保文件的属主和权限正确：

$ sudo touch /var/log/syslog
$ sudo chown syslog:adm /var/log/syslog
$ sudo chmod 640 /var/log/syslog

你也可以把以下这一行内容添加到 /etc/logrotate.d/rsyslog 当中，由 logrotate 来帮你完成上面三条命令的操作：

create 0640 syslog adm

整个配置文件的内容是这样的：

/var/log/syslog
{
rotate 7
daily
missingok
notifempty
create 0640 syslog adm           <==
delaycompress
compress
postrotate
/usr/lib/rsyslog/rsyslog-rotate
endscript
}

下面是手动滚动记录用户登录信息的 wtmp 日志的示例。由于 /etc/logrotate.d/wtmp 中有 rotate 2 的配置，因此系统中只保留了两份 wtmp 日志文件。

滚动前：

$ ls -l wtmp*
-rw-r----- 1 root utmp  1152 Mar 12 11:49 wtmp
-rw-r----- 1 root utmp   768 Mar 11 17:04 wtmp.1

执行滚动命令：

$ sudo logrotate -f /etc/logrotate.d/wtmp

滚动后：

$ ls -l /var/log/wtmp*
-rw-r----- 1 root utmp     0 Mar 12 11:52 /var/log/wtmp
-rw-r----- 1 root utmp  1152 Mar 12 11:49 /var/log/wtmp.1
-rw-r----- 1 root adm  99726 Feb 21 07:46 /var/log/wtmp.report

需要知道的是，无论发生的日志滚动是自动滚动还是手动滚动，最近一次的滚动时间都会记录在 logrorate 的状态文件中。

$ grep wtmp /var/lib/logrotate/status
"/var/log/wtmp" 2020-3-12-11:52:57

via: https://www.networkworld.com/article/3531969/manually-rotating-log-files-on-linux.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：HankChow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出