现在，很多嵌入式系统都是在 Linux 上运行的。但是，在很久很久以前，嵌入式系统要么在一个定制的专有的平台上运行，要么在 DOS 上运行。

FreeDOS 网站 宣称，大多数人使用 FreeDOS 来完成三项主要任务：

1. 玩经典的 DOS 游戏
2. 运行老式的 DOS 软件
3. 运行一款嵌入式系统

但是，运行一个“嵌入式”系统的意义是什么呢？

嵌入式系统基本上是一款非常小的系统，专用于运行一个特定的任务。你可以把现在的嵌入式系统当作是 物联网（IoT）的一部分，这包括传感器、恒温器和门铃摄像头。现在，很多嵌入式系统都是在 Linux 上运行的。

但是，在很久很久以前，嵌入式系统要么在一个定制的专有的平台上运行，要么在 DOS 系统上运行。在现在，一些基于 DOS 的嵌入式系统仍然在运行，例如，收银机或电话专用交换机（PBX）系统。举个例子来说，在 2017 年，酷爱列车的人发现一个正在运行 FreeDOS 的俄罗斯的电动列车控制系统 （俄语: САВПЭ），它使用特殊的软件来控制和监控郊区列车的线路，并发布乘客通告。

在 DOS 上建立一个嵌入式系统需要定义一个最小化的 DOS 环境来运行单个应用程序。幸运的是，设置一个最小化的 FreeDOS 环境是非常容易的。从技术上来说，启动 FreeDOS 并运行 DOS 应用程序仅需要内核和一个 FDCONFIG.SYS 配置文件。

安装一款最小化的系统

我们可以使用 QEMU 仿真器来模拟一个专用的、最小化的 FreeDOS 系统，并给它分配很少的资源。为了更准确地反映一个嵌入式系统，我将定义一个只有 8 MB 的存储器和仅仅有 2 MB 的硬盘驱动器的虚拟机。

为创建这个微小的虚拟硬盘，我将使用这个 qemu-img 命令来定义一个 2M 的文件：

$ qemu-img create tiny.img 2M
Formatting 'tiny.img', fmt=raw size=2097152

下面的这行命令定义了一个 32 位的 “i386” CPU、8MB 的存储器，使用 2MB 的 tiny.img 文件作为硬盘驱动器镜像，使用 FreeDOS 1.3 RC4 LiveCD 作为 CD-ROM 介质。我们也将机器设置为从 CD-ROM 驱动器启动（-boot order=d），尽管我们只需要用它来安装系统。在我们完成所有的设置后，我们将从该硬盘启动完成的嵌入式系统：

qemu-system-i386 -m 8 -hda tiny.img -cdrom FD13LIVE.iso -boot order=d

使用 “ 现场环境模式 Live Environment mode ” 来启动系统，这将为我们提供一个正在运行的 FreeDOS 系统，我们可以使用它来将一个最小化的 FreeDOS 转移到硬盘上。

启动到 LiveCD 环境之中（Jim Hall, CC-BY SA 4.0）

我们需要在虚拟硬盘驱动器上为我们的程序创建一个分区。为此，从命令行中运行 FDISK 程序。FDISK 是 FreeDOS 上的一个标准的 磁盘分区 实用程序。使用 FDISK 来创建一个单个硬盘驱动器分区，占用整个（2 MB）硬盘驱动器。

FDISK，在创建 2 MB 分区后（Jim Hall, CC-BY SA 4.0）

但是，在你重新启动 FreeDOS 之前，FreeDOS 不会看到新的硬盘驱动器分区 — FreeDOS 仅在启动时读取硬盘详细信息。退出 FDISK ，并重新启动 FreeDOS 。

在重新启动后，你需要在新的硬盘驱动器上创建一个 DOS 文件系统。因为这里只有一个虚拟硬盘，FreeDOS 将识别其为 C: 驱动器。你可以使用 FORMAT 命令来在 C: 驱动器上创建一个 DOS 文件系统。使用 /S 选项将把操作系统文件（内核，外加一个 COMMAND.COM shell 的副本）转移到新的驱动器上。

格式化新的驱动器来创建一个 DOS 文件系统（Jim Hall, CC-BY SA 4.0） 你已经创建了硬盘驱动器并将其格式化，现在，你可以安装应用程序，这些应用程序是将会在新安装的嵌入式系统上运行的。

安装专用的应用程序

嵌入式系统实际上只是一个运行在一个专用系统上的单一用途的应用程序。这些应用程序通常是为其将要控制的系统而自定义构建的，例如，一台收银机、显示终端、或控制环境。在这个演示中，让我们使用一个来自 FreeDOS 1.3 RC4 安装光盘中的程序。它需要足够小，以适应我们为其创建的 2 MB 微型硬盘驱动器。这可以是任何东西，所以，为了好玩，让我们把它变成一个游戏。

FreeDOS 1.3 RC4 包含一些有趣的游戏。我喜欢的一个游戏是一个名称为 “Simple Senet” 的棋类游戏。它是一个基于 Senet 的古埃及棋类游戏。游戏的细节对这个演示并不重要，我们将安装它，并将其设置为嵌入式系统的专业应用程序。

为安装应用程序，在 FreeDOS 1.3 RC4 LiveCD 上，进入 \PACKAGES\GAMES 目录。你将在其中看到一个很长的软件包列表，而我们想要的 SENET.ZIP 。

来自 FreeDOS 1.3 RC4 的一个游戏软件包列表（Jim Hall, CC-BY SA 4.0）

为解压缩 “Simple Senet” 软件包到虚拟硬盘上，使用 UNZIP 命令。所有的 FreeDOS 软件包都是 Zip 文件，因此，你可以使用任意与 Zip 兼容的档案实用程序来管理它们。FreeeDOS 1.3 RC4 包含创建 Zip 档案文件的 ZIP 和提取 Zip 档案文件的 UNZIP 。它们都来自 Info-Zip 项目 。

UNZIP SENET.ZIP -d C:\FDOS

通常，使用 UNZIP 来提取 Zip 文件到当前目录中。在命令行结尾的 -d C:\FDOS 选项将告诉 UNZIP 来提取 Zip 文件到 C:\FDOS 目录之中。（-d 指的是“目的地”）

解压缩 Simple Senet 游戏（Jim Hall, CC-BY SA 4.0）

为了让嵌入式系统启动时运行 “Simple Senet” 游戏，我们需要告诉 FreeDOS 来使用 Senet 作为系统的 “shell” 。 默认的 FreeDOS 的 shell 是 COMMAND.COM 程序，但是，你可以在 FDCONFIG.SYS 内核配置文件中使用 SHELL= 指令来定义一个不同的 shell 程序。我们可以使用 FreeDOS 的 Edit 来创建新的 C:\FDCONFIG.SYS 文件。

（Jim Hall, CC-BY SA 4.0）

如果你需要定义其它的参数来支持嵌入式系统，你可以将其添加到 FDCONFIG.SYS 文件之中。例如，你可能需要使用 SET 动作来设置环境变量，或者使用 FILES= 或 BUFFERS= 语句来调整 FreeDOS 内核。

运行嵌入式系统

在全面地完成嵌入式系统的定义之后，现在，我们可以重新启动计算机来运行嵌入式应用程序。运行一个嵌入式系统通常仅需要有限的资源，因此，在这个演示中，我们需要调整 QEMU 命令行来只从硬盘驱动器（-boot order=c）中启动，而不再定义一个 CD-ROM 驱动器：

qemu-system-i386 -m 8 -hda tiny.img -boot order=c

当 FreeDOS 内核启动时，它将读取 FDCONFIG.SYS 文件以获取启动参数。然后，它将使用 SHELL= 行的定义来运行 shell 。这将自动地运行 “Simple Senet” 游戏。

作为一个嵌入式系统运行 Simple Senet（Jim Hall, CC-BY SA 4.0）

我们已经使用了 “Simple Senet” 来演示如何在 FreeDOS 上设置一个嵌入式系统。根据你的需要，你可以使用任何你喜欢的独立应用程序。在 FDCONFIG.SYS 中使用 SHELL= 行将其定义为 DOS 的 shell ，FreeDOS 将在启动时自动地启动该应用程序。

不过，在这里有一个限制。嵌入式系统通常不需要退回到一个命令行提示符之中，因此这些专用应用程序通常不允许用户退出到 DOS 之中。如果你设法退出了嵌入式应用程序，你可能会看到一个 “Bad or missing Command Interpreter” 的提示，你将需要在其中输入一个新的 shell 的完整路径。对于一个以用户为中心的桌面系统来说，这将是一个问题。但是在一个嵌入式系统上，它只专注执行一种工作的，那么，你也永远不需要退出嵌入式应用程序。

via: https://opensource.com/article/21/6/freedos-embedded-system

作者：Jim Hall 选题：lujun9972 译者：robsean 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

自动化是 DevOps 的关键，但是，是否任何事都可以自动化？

自动化控制了那些手工的、费力的和容易出错的过程，用运行自动化脚本的计算机代替了执行手工任务的工程师。每个人都认同手工流程是健康的 DevOps 模式的敌人。一些人认为自动化不是一件好事，因为它取代了辛勤工作的工程师，而另一些人则意识到它提高了一致性、可靠性和效率，节省了时间，（最重要的是）使工程师能够聪明地工作。

“DevOps 并不只是自动化或者基础架构即代码。” — Donovan Brown

自从上个世纪 80 年代早期开始使用自动化流程和工具链以来，每当我听到或读到“自动化一切”的建议时，我总是会激动不已。虽然在技术上可以实现一切自动化，但自动化是复杂的，并且需要付出开发、调试和维护方面的代价。如果你曾经重新启用一个许久不用的 Azure 资源管理器（ARM）模板或很久以前编写的宝贵维护脚本，并期望它在几个月或几年之后仍然能够完美地执行，那么你就会明白，自动化就像任何其他代码一样，是脆弱的，需要持续的维护和培养。

所以，你应该对什么进行自动化并在何时进行自动化？

• 当你手动执行自动化流程超过一两次
• 当你需要经常地持续地执行自动化流程
• 自动化任何可被自动化的

更重要的是，什么是你不应该自动化的？

• 不要自动化一次性的流程，因为不值得投入，除非你会重新使用它作为参考文档，并定期验证它的可用性
• 不要自动化高度不稳定的流程，因为太复杂且昂贵
• 不要自动化有问题的流程，在自动化前先修复它们

举例来说，我的团队使用我们通用的协作和工程系统来不断的监控数百个用户活动。如果一个用户在三个月或者更长时间处于非活动状态，并且这个用户被分配了一个昂贵的许可证，我们就会重分配这个用户一个功能少一些但是免费的许可证。

如图 1 所示，这是一个没有技术挑战性的流程。这是一个令人费解且容易出错的过程，尤其是在执行上下文时与其他开发和运维任务切换时。

图 1 手工流程切换用户许可证

顺带的，这里有一个用简单三步创建的价值流图的例子:

1. 可视化所有活动: 列出用户、过滤用户、重置许可证。
2. 确定利益相关者，即运营和授权团队。
3. 措施：

* 总交货时间（TLT）= 13 小时
* 总周期时间（TCT） = 1.5 小时
* 总效率百分比 = TLT/TCT*100 = 11.5%

如果你在人群流量大和容易看到的区域挂一个这些可视化的副本，比如在你的团队的讨论区、餐厅，或在去洗手间的路上，你将引发大量的讨论和主动反馈。例如，从视觉上看，很明显，手工任务是一种浪费，主要是由于漫长的流程等待时间造成的。

让我们研究一个简单的 PowerShell 脚本，它可以自动化该流程，如图 2 所示，将总交付时间从 13 小时减少到 4 小时加 60 秒，并将总体效率从 11.5 提高到 12.75%。

图 2 半自动化的 PowerShell 脚本切换用户许可

PowerShell 是一种开源的基于任务的脚本语言。它可以在 GitHub 上找到。它构建在 .NET 上，允许你自动化 Linux、macOS 和 Windows 流程。具有开发背景的用户，特别是 C# 用户，将享受到 PowerShell 的全部好处。

下面的 PowerShell 脚本示例通过它的服务 REST API 与 Azure DevOps 进行通信。脚本结合了在图 1 中的手动列表用户和过滤用户任务，识别了 Demo 组织中的所有两个月没有活动的、使用基本许可证或更昂贵的基本+测试许可证的用户，并将用户的详细信息输出到控制台。很简单！

首先，设置认证标头和其他变量，这些变量将在稍后的初始化脚本中使用：

param(
  [string]   $orgName       = "DEMO",
  [int]      $months        = "-2",
  [string]   $patToken      = "<PAT>"
)

# Basic authentication header using the personal access token (PAT)
$basicAuth = ("{0}:{1}" -f "",$patToken)
$basicAuth = [System.Text.Encoding]::UTF8.GetBytes($basicAuth)
$basicAuth = [System.Convert]::ToBase64String($basicAuth)
$headers   = @{Authorization=("Basic {0}" -f $basicAuth)}

# REST API Request to get all entitlements
$request_GetEntitlements    = "https://vsaex.dev.azure.com/" + $orgName + "/_apis/userentitlements?top=10000&api-version=5.1-preview.2";

# Initialize data variables
$members              = New-Object System.Collections.ArrayList
[int] $count          = 0;
[string] $basic       = "Basic";
[string] $basicTest   = "Basic + Test Plans";

接下来，使用此脚本查询所有授权，以识别不活动用户：

# Send the REST API request and initialize the members array list.
$response = Invoke-RestMethod -Uri $request_GetEntitlements -headers $headers -Method Get
$response.items | ForEach-Object { $members.add($_.id) | out-null }

# Iterate through all user entitlements
$response.items | ForEach-Object {
  $name    = [string]$_.user.displayName;
  $date    = [DateTime]$_.lastAccessedDate;
  $expired = Get-Date;
  $expired = $expired.AddMonths($months);
  $license = [string]$_.accessLevel.AccountLicenseType;
  $licenseName = [string]$_.accessLevel.LicenseDisplayName;
  $count++;

  if ( $expired -gt $date ) {

    # Ignore users who have NEVER or NOT YET ACTIVATED their license
    if ( $date.Year -eq 1 ) {
      Write-Host " **INACTIVE** " " Name: " $name " Last Access: " $date "License: " $licenseName
    }
    # Look for BASIC license
    elseif ( $licenseName -eq $basic ) {
         Write-Host " **INACTIVE** " " Name: " $name " Last Access: " $date "License: " $licenseName
    }
    # Look for BASIC + TEST license
    elseif ( $licenseName -eq $basicTest ) {
        Write-Host " **INACTIVE** " " Name: " $name " Last Access: " $date "License: " $licenseName
    }
  }
}

当你运行脚本时，你将得到以下输出，你可以将其转发给授权团队，以重置用户许可证：

**INACTIVE** Name: Demo1 Last Access: 2019/09/06 11:01:26 AM License: Basic
**INACTIVE** Name: Demo2 Last Access: 2019/06/04 08:53:15 AM License: Basic
**INACTIVE** Name: Demo3 Last Access: 2019/09/26 12:54:57 PM License: Basic
**INACTIVE** Name: Demo4 Last Access: 2019/06/07 12:03:18 PM License: Basic
**INACTIVE** Name: Demo5 Last Access: 2019/07/18 10:35:11 AM License: Basic
**INACTIVE** Name: Demo6 Last Access: 2019/10/03 09:21:20 AM License: Basic
**INACTIVE** Name: Demo7 Last Access: 2019/10/02 11:45:55 AM License: Basic
**INACTIVE** Name: Demo8 Last Access: 2019/09/20 01:36:29 PM License: Basic + Test Plans
**INACTIVE** Name: Demo9 Last Access: 2019/08/28 10:58:22 AM License: Basic

如果你将最后一步自动化，自动将用户许可设置为一个自由的利益相关方许可，如图3所示，你可以进一步将总体交付时间减少到65秒，并将总体效率提高到77%。

图 3 完全自动化的基于 Powershell 的流程来切换用户许可证。

这个 PowerShell 脚本的核心价值不仅在于能够实现 自动化，还在于能够 定期、持续 和 快速地 执行这个流程。进一步的改进是使用 Azure 管道等调度器每周或每天触发脚本，但我将把程序化的许可证重置和脚本调度保留在未来的文章中。

这里有一个图表，可以直观地看到进展情况：

图 4，措施，措施，措施

我希望你能喜欢这个简短的关于自动化、PowerShell、REST API 和价值流图的介绍。请在评论中分享你的想法和反馈。

via: https://opensource.com/article/20/2/devops-automation

作者：Willy-Peter Schaub 选题：lujun9972 译者：FigaroCao 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

情况是这样的。我的系统自带 Windows 10 Pro，并且带有 BitLocker 加密功能。我 甚至在 Windows 启用了 BitLocker 加密的情况下，以双启动模式安装了 Ubuntu。

你可以轻松地从 Linux 中访问 Windows 文件。没有什么高科技的东西。只要进入文件管理器，点击通常位于“ 其他位置 Other Locations ”标签下的 Windows 分区。

对于 BitLocker 加密的 Windows 分区来说，这个过程也不是太复杂。只是当你试图挂载 Windows 分区时，它会要求你输入密码。

这是能工作的。在我的情况中，我输入了 48 位 BitLocker 恢复密码，它解密了 Windows 分区，并在带有 GNOME 40 的 Ubuntu 21.10 中毫无问题地挂载了它。

试试你的 BitLocker 密码。如果这不起作用，试试恢复密码。对于普通的 Windows 10 Pro 用户，恢复密码存储在你的微软账户中。

BitLocker Recovery Password in Micrsoft Account

输入恢复密码，你会看到 Windows 分区和它的文件现在可以访问。勾选“ 记住密码 Remember Password ”框也是为了进一步使用而节省时间。

如果上述方法对你不起作用，或者你不熟悉命令行，还有一个替代方法。

这个方法包括使用一个叫做 Dislocker 的工具。

使用 Dislocker 在 Linux 中挂载 BotLocker 加密的 Windows 分区（命令行方法）

使用 Dislocker 分为两部分。第一部分是解开 BitLocker 的加密，并给出一个名为 dislocker-file 的文件。这基本上是一个虚拟的 NTFS 分区。第二部分是挂载你刚刚得到的虚拟 NTFS 分区。

你需要 BitLocker 密码或恢复密码来解密加密的驱动器。

让我们来看看详细的步骤。

步骤 1：安装 Disclocker

大多数 Linux 发行版的仓库中都有 Dislocker。请使用你的发行版的包管理器来安装它。

在基于 Ubuntu 和 Debian 的发行版上，使用这个命令：

sudo apt install dislocker

步骤 2：创建挂载点

你需要创建两个挂载点。一个是 Dislocker 生成 dislocker-file 的地方，另一个是将这个 dislocker-file（虚拟文件系统）作为一个回环设备挂载。

没有命名限制，你可以给这些挂载目录起任何你想要的名字。

逐一使用这些命令：

sudo mkdir -p /media/decrypt
sudo mkdir -p /media/windows-mount

步骤 3：获取需要解密的分区信息

你需要 Windows 分区的名称。你可以使用文件资源管理器或像 Gparted 这样的 GUI 工具。

在我的例子中，Windows 分区是 /dev/nvme0n1p3。对你的系统来说，这将是不同的。你也可以使用命令行来达到这个目的。

sudo lsblk

步骤 4：解密分区并挂载

你已经设置好了一切。现在是真正的部分。

如果你有 BitLocker 密码，以这种方式使用 dislocker 命令（用实际值替换 <partition_name> 和 <password>）：

sudo dislocker <partition_name> -u<password> -- /media/decrypt

如果你只有恢复密码，请以这种方式使用该命令用实际值替换 <partition_name> 和 <password>）：

sudo dislocker <partition_name> -p<recovery_password> -- /media/decrypt

在解密该分区时，应该不会花很长时间。你应该在指定的挂载点看到 dislocker-file，在我们的例子中是 /media/decrypt。现在挂载这个 dislocker-file：

sudo mount -o loop /media/decrypt/dislocker-file /media/windows-mount

完成了。你的 BitLocker 加密的 Windows 分区已经被解密并挂载到 Linux 中。你也可以从文件资源管理器中访问它。

文件系统类型错误的故障排除提示

如果你遇到这样的错误：

mount: /media/windows-mount: wrong fs type, bad option, bad superblock on /dev/loop35, missing codepage or helper program, or other error.

你应该在挂载时指定文件系统。

对于NTFS，使用：

sudo mount -t ntfs-3g -o loop /media/decrypt/dislocker-file /media/windows-mount

对于 exFAT，使用：

sudo mount -t exFAT-fuse -o loop /media/decrypt/dislocker-file /media/windows-mount

解除对 Windows 分区的挂载

你可以从文件管理器中取消挂载的分区。只要点击名为 windows-mount 的分区旁边的卸载符号。

或者，你可以使用卸载命令：

sudo umount /media/decrypt
sudo umount /media/windows-mount

我希望这对你有帮助。如果你还有问题或建议，请在评论中告诉我。

via: https://itsfoss.com/mount-encrypted-windows-partition-linux/

作者：Abhishek Prakash 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

用你的 Linux 终端中从互联网上下载文件。

wget 是一个下载网页文件的免费工具。它将互联网上的数据保存到一个文件或展示在终端上。实际上这也是像 Firefox 或 Chromium 这样的网页浏览器的工作原理。有一个区别是，网页浏览器默认将网页 渲染 render 在图形窗口中，并且通常需要用户主动来操作它们。而 wget 工具是无交互的使用方式，也就是说你可以使用脚本或定期使用 wget 来下载文件，不论你人是否在电脑面前。

使用 wget 下载文件

你可以通过提供一个特定 URL 的链接，用 wget 下载一个文件。如果你提供一个默认为 index.html 的 URL，那么就会下载该索引页。默认情况下，文件会被下载到你当前的工作目录，并保持原来的名字。

$ wget http://example.com
--2021-09-20 17:23:47-- http://example.com/
Resolving example.com... 93.184.216.34, 2606:2800:220:1:248:1893:25c8:1946
Connecting to example.com|93.184.216.34|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1256 (1.2K) [text/html]
Saving to: 'index.html'

通过使用 --output-document 和 - 符号，你可以指示 wget 将数据发送到 标准输出 stdout ：

$ wget http://example.com --output-document - | head -n4
<!doctype html>
<html>
<head>
   <title>Example Domain</title>

你可以使用 --output-document 选项（简写为 -O）将下载文件命名为任何你想要的名称：

$ wget http://example.com --output-document foo.html

断点续传

如果你正在下载一个超大文件，你可能会遇到中断下载的情况。使用 --continue（简写为 -c），wget 可以确定从文件的哪个位置开始继续下载。也就是说，下次你在下载一个 4 GB 的 Linux 发行版 ISO 时，如果出现了错误导致中断，你不必重新从头开始。

$ wget --continue https://example.com/linux-distro.iso

下载一系列的文件

如果你要下载的不是单个大文件，而是一系列的文件，wget 也能提供很好的帮助。假如你知道要下载文件的路径以及文件名的通用范式，你可以使用 Bash 语法指示一个数字范围的起始和终点来表示这一系列文件名:

$ wget http://example.com/file_{1..4}.webp

镜像整个站点

使用 --mirror 选项你可以下载整个站点，包括它的目录结构。这与使用选项 --recursive --level inf --timestamping --no-remove-listing 的效果是一样的，该选项表明可以进行无限制的递归，得到你指定域下的所有内容。但你也可能会得到比预期多得多的内容，这取决于站点本身的老旧程度。

如果你正在使用 wget 来打包整个站点，选项 --no-cookies --page-requisites --convert-links 非常有用，它可以确保打包的站点是全新且完整的，站点副本或多或少是 自包含的 self-contained 。

修改 HTML 标头

在计算机发送的通信报文里含有大量用于数据交换的 元数据 metadata 。HTTP 标头是初始数据的组成部分。当你浏览某个站点时，你的浏览器会发送 HTTP 请求标头。使用 --debug 选项可以查看 wget 为每个请求发送了什么样的标头信息:

$ wget --debug example.com
---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.19.5 (linux-gnu)
Accept: */*
Accept-Encoding: identity
Host: example.com
Connection: Keep-Alive

---request end---

你可以使用 --header 选项修改请求标头。实际上经常使用这种方式来模仿某特定浏览器，来测试或兼容某些编码糟糕、只能与特定代理通信的站点。

让请求被识别为来自 Windows 系统的 Microsoft Edge：

$ wget --debug --header="User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.59" http://example.com

你也可以假装为某个移动设备：

$ wget --debug --header="User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 13_5_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1.1 Mobile/15E148 Safari/604.1" http://example.com

查看响应标头

与浏览器发送请求标头的方式一样，响应也包含有标头信息。你可以使用 --debug 选项来查看响应中的标头信息：

$ wget --debug example.com
[...]
---response begin---
HTTP/1.1 200 OK
Accept-Ranges: bytes
Age: 188102
Cache-Control: max-age=604800
Content-Type: text/html; charset=UTF-8
Etag: "3147526947"
Server: ECS (sab/574F)
Vary: Accept-Encoding
X-Cache: HIT
Content-Length: 1256

---response end---
200 OK
Registered socket 3 for persistent reuse.
URI content encoding = 'UTF-8'
Length: 1256 (1.2K) [text/html]
Saving to: 'index.html'

处理 301 响应

200 响应码意味着一切都在预料之中。而 301 响应则表示 URL 已经被永久迁移到了另外一个地方。这是站点管理员的一种常用手段，内容迁移后，为访问旧地址的用户留下寻找新地址的“线索”。wget 会默认跟随 重定向 redirect ，这也是大部分情况下用户所希望的。

当然，你可以使用 --max-redirect 选项，用于控制 wget 默认处理 301 响应重定向的次数。设置为 0 意味着不会自动重定向到新的地址:

$ wget --max-redirect 0 http://iana.org
--2021-09-21 11:01:35-- http://iana.org/
Resolving iana.org... 192.0.43.8, 2001:500:88:200::8
Connecting to iana.org|192.0.43.8|:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: https://www.iana.org/ [following]
0 redirections exceeded.

同时，你也可以设置为其他的数值来控制 wget 能重定向多少次。

展开 URL 缩写

使用--max-redirect 选项用于在实际访问之前查看 URL 缩写 shortened URL 非常有用。缩写 URL 可用于用户无法完整拷贝和粘贴一个长 URL 时的 印刷媒体 print media ，或是具有字数限制的社交网络（在类似 Mastondon 这种现代开源的社交网络上这并不是一个问题）。这种缩写具有一定的风险，因为本质上这些目的地是隐藏的。组合使用 --head 选项和 --location 选项来来查看 HTTP 头部并解开最终的目的地，你可以在不加载整个资源的情况下查看到缩写 URL 的完整内容：

$ wget --max-redirect 0 "https://bit.ly/2yDyS4T"
--2021-09-21 11:32:04-- https://bit.ly/2yDyS4T
Resolving bit.ly... 67.199.248.10, 67.199.248.11
Connecting to bit.ly|67.199.248.10|:443... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://example.com/ [following]
0 redirections exceeded.

从 Location 开始的倒数第二行输出，展示了实际的目的地。

使用 wget

若你开始考虑使用单个命令来实现整个网站访问的过程，wget 可以快速高效的帮你获取互联网上的信息，而不用在图形界面上耗费精力。为了帮你将它构造在你平常的工作流中，我们创建了一个 wget 常用使用方式和语法清单，包括使用它来查询 API 的概述。在这里下载 Linux wget 速查表。

来源: https://opensource.com/article/21/10/linux-wget-command

作者：Seth Kenlon 选题：lujun9972 译者：zengyi1001 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在你通过 Kubernetes 部署一个应用之前，了解 Kubernetes 的网络策略是一个基本的要求。

随着越来越多的云原生应用程序通过 Kubernetes 部署到生产环境，安全性是你必须在早期就需要考虑的一个重要检查项。在设计云原生应用程序时，预先嵌入安全策略非常重要。不这样做会导致后续的安全问题，从而导致项目延迟，并最终给你带来不必要的压力和金钱投入。

这么多年来，人们总是把安全留到最后，直到他们的部署即将发布到生产环境时才考虑安全。这种做法会导致项目交付的延迟，因为每个组织都有要遵守的安全标准，这些规定被绕过或不遵守，并承受大量的风险才得以实现可交付成果。

对于刚开始学习 Kubernetes 实施的人来说，理解 Kubernetes 网络策略 NetworkPolicy 可能会令人生畏。但这是在将应用程序部署到 Kubernetes 集群之前必须了解的基本要求之一。在学习 Kubernetes 和云原生应用程序时，请把“不要把安全抛在脑后！”定为你的口号。

NetworkPolicy 概念

网络策略 NetworkPolicy 取代了你所知道的数据中心环境中的防火墙设备 —— 如 吊舱 Pod 之于计算实例、网络插件之于路由器和交换机，以及卷之于存储区域网络（SAN）。

默认情况下，Kubernetes 网络策略允许 吊舱 Pod 从任何地方接收流量。如果你不担心吊舱的安全性，那么这可能没问题。但是，如果你正在运行关键工作负载，则需要保护吊舱。控制集群内的流量（包括入口和出口流量），可以通过网络策略来实现。

要启用网络策略，你需要一个支持网络策略的网络插件。否则，你应用的任何规则都将变得毫无用处。

Kubernetes.io 上列出了不同的网络插件：

• CNI 插件：遵循 容器网络接口 Container Network Interface （CNI）规范，旨在实现互操作性。

  • Kubernetes 遵循 CNI 规范的 v0.4.0 版本。
• Kubernetes 插件：使用桥接器和主机本地 CNI 插件实现基本的 cbr0。

应用网络策略

要应用网络策略，你需要一个工作中的 Kubernetes 集群，并有支持网络策略的网络插件。

但首先，你需要了解如何在 Kubernetes 的环境使用网络策略。Kubernetes 网络策略允许 吊舱 从任何地方接收流量。这并不是理想情况。为了吊舱安全，你必须了解吊舱是可以在 Kubernetes 架构内进行通信的端点。

1、使用 podSelector 进行吊舱间的通信：

 - namespaceSelector:
    matchLabels:
      project: myproject 

2、使用 namespaceSelector 和/或 podSelector 和 namespaceSelector 的组合进行命名空间之间的通信和命名空间到吊舱的通信。：

 - namespaceSelector:
    matchLabels:
      project: myproject
 - podSelector:
    matchLabels:
      role: frontend 

3、对于吊舱的 IP 块通信，使用 ipBlock 定义哪些 IP CIDR 块决定源和目的。

 - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24 

注意吊舱、命名空间和基于 IP 的策略之间的区别。对于基于吊舱和命名空间的网络策略，使用选择器来控制流量，而对基于 IP 的网络策略，使用 IP 块（CIDR 范围）来定义控制。

把它们放在一起，一个网络策略应如下所示：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 192.168.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

参考上面的网络策略，请注意 spec 部分。在此部分下，带有标签 app=backend 的 podSelector 是我们的网络策略的目标。简而言之，网络策略保护给定命名空间内称为 backend 的应用程序。

此部分也有 policyTypes 定义。此字段指示给定策略是否适用于选定吊舱的入口流量、选定吊舱的出口流量，或两者皆有。

spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  - Egress

现在，请看 Ingress（入口）和 Egress（出口）部分。该定义规定了网络策略的控制。

首先，检查 ingress from 部分。

此实例中，网络策略允许从以下位置进行吊舱连接：

• ipBlock

  • 允许 172.17.0.0/16
  • 拒绝 192.168.1.0/24

• namespaceSelector

  • myproject: 允许来自此命名空间并具有相同标签 project=myproject 的所有吊舱。

• podSelector

  • frontend: 允许与标签 role=frontend 匹配的吊舱。

ingress:
 - from:
  - ipBlock:
      cidr: 172.17.0.0/16
      except:
      - 192.168.1.0/24
  - namespaceSelector:
      matchLabels:
        project: myproject
  - podSelector:
      matchLabels:
        role: frontend

现在，检查 egress to 部分。这决定了从吊舱出去的连接：

• ipBlock

  • 10.0.0.0/24: 允许连接到此 CIDR
  • Ports: 允许使用 TCP 和端口 5978 进行连接

egress:
 - to:
  - ipBlock:
      cidr: 10.0.0.0/24
  ports:
  - protocol: TCP
    port: 5978

网络策略的限制

仅靠网络策略无法完全保护你的 Kubernetes 集群。你可以使用操作系统组件或 7 层网络技术来克服已知限制。你需要记住，网络策略只能解决 IP 地址和端口级别的安全问题 —— 即开放系统互联（OSI）中的第 3 层或第 4 层。

为了解决网络策略无法处理的安全要求，你需要使用其它安全解决方案。以下是你需要知道的一些 用例，在这些用例中，网络策略需要其他技术的增强。

总结

了解 Kubernetes 的网络策略很重要，因为它是实现（但不是替代）你通常在数据中心设置中使用的防火墙角色的一种方式，但适用于 Kubernetes。将此视为容器安全的第一层，仅仅依靠网络策略并不是一个完整的安全解决方案。

网络策略使用选择器和标签在吊舱和命名空间上实现安全性。此外，网络策略还可以通过 IP 范围实施安全性。

充分理解网络策略是在 Kubernetes 环境中安全采用容器化的一项重要技能。

via: https://opensource.com/article/21/10/kubernetes-networkpolicy

作者：Mike Calizo 选题：lujun9972 译者：perfiffer 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

与 Ubuntu 不同，Fedora 提供的是真正的、原生般的 GNOME 体验，而且体验很好，横向布局、三指滑动，一切都很好。

我不喜欢的一点是默认的标准主题，它是 Adwaita Light（默认）主题和深色的 GNOME Shell 的混合体。

因此，虽然通知和通知区是深色的，但系统和应用的其他部分是浅色主题。老实说，对我来说，这看起来很不协调。

另一方面，深色主题让它看起来更好。

让我告诉你如何在 Fedora 或其他任何使用 GNOME 桌面环境的发行版中开启深色模式。

在 Fedora 中切换到深色模式

好了！我将分享命令行的方法，因为它更快。打开一个终端，使用这个命令：

gsettings set org.gnome.desktop.interface gtk-theme Adwaita-dark

完成了。这很容易，对吗？但我也要展示一下 GUI 的方法。

因为我主要使用 Ubuntu，所以我始终参照 Ubuntu。Ubuntu 在系统设置中本身就提供了在浅色和深色主题之间切换的选项。

然而，在原生 GNOME 中却没有这样的设置。你必须先 在 Fedora 上安装 GNOME Tweaks 工具，然后用它来切换主题。

你可以在软件中心搜索它并点击“ 安装 Install ”按钮：

或者，你在终端输入以下命令：

sudo dnf install gnome-tweaks

安装完成后，按 Super 键（Windows 键）在系统菜单中搜索它：

点击左侧边栏的“ 外观 Appearance ”标签，点击主题部分下的应用。

你会看到这里有几个可用的主题。你应该在这里选择 “Adwaita-dark”。当你选择了它，应用就会切换到深色主题。

就是你在 Fedora 中切换到深色模式所需要做的一切。由于 GNOME Shell 已经在使用深色主题，你不需要明确地将它设置为深色模式。所有的通知、信息栏等都是在深色模式下的。

总结

你可以找到各种深色 GTK 主题并安装它们来给你的 Fedora 带来不同的深色外观。然而，我注意到，只有系统自己的深色主题才能被网页浏览器识别。

所以，如果你访问一个根据你的系统主题自动启用深色模式的网站，它将与 Adwaita-dark 兼容，但可能与其他深色 GTK 主题不兼容。

这就是使用系统提供的深色主题的一个优势。

如你所见，在 Fedora 中启用深色模式并不是什么火箭科学。它只是一个了解和发现的过程。

享受深色色彩吧！

via: https://itsfoss.com/fedora-dark-mode/

作者：Abhishek Prakash 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出