Fedora 和红帽 Linux。这两个 Linux 发行版都属于同一个组织，都使用 RPM 包管理器，都提供桌面版和服务器版。这两个 Linux 发行版对操作系统世界都有较大的影响。

这就是为什么在这两个类似的发行版之间比较容易混淆的原因。在这篇文章中，我将讨论红帽 Linux 和 Fedora 的相似之处和区别。

如果你想在两者之间做出选择，或者只是想了解来自同一组织的两个发行版的概念，这将对你有所帮助。

Fedora 和红帽 Linux 的区别

我们先来谈谈这两个发行版的区别。

社区版与企业版

早在 1995 年，红帽 Linux 就有了它的第一个正式版本，它是作为盒装产品出售的。它也被称为 红帽商业 Linux Red Hat Commercial Linux 。

后来在 2003 年，红帽把红帽 Linux 变成了完全以企业客户为中心的 红帽企业 Linux Red Hat Enterprise Linux （RHEL）。从那时起，红帽 Linux 就是一个企业版的 Linux 发行版。

它的意思是，你必须订阅并付费才能使用红帽 Linux，因为它不是作为一个免费的操作系统。甚至所有的软件、错误修复和安全支持都只对那些拥有红帽订阅的人开放。

当红帽 Linux 变成 RHEL 时，它也导致了 Fedora 项目的成立，该项目负责 Fedora Linux的开发。

与红帽不同，Fedora 是一个社区版的 Linux 发行版，每个人都可以免费使用，包括错误修复和其他服务。

尽管红帽公司赞助了 Fedora 项目，但 Fedora Linux 主要由一个独立的开源社区维护。

免费与付费

好吧，你会发现大多数的 Linux 发行版都可以免费下载。Fedora Linux 也是这样一个发行版，它的桌面版、服务器版、所有其他版本和 Spin 版都是免费 可下载 的。

还有一些 Linux 发行版，你必须付费购买。红帽企业 Linux 就是这样一个流行的基于 Linux 的操作系统，它是需要付费的。

除了价格为 99 美元的 RHEL 开发者版本，你必须支付超过 100 美元才能购买 其他 RHEL 版本，用于服务器、虚拟数据中心和台式机。

然而，如果你碰巧是一个个人开发者，而不是一个组织或团队，你可以加入 红帽开发者计划。根据该计划，你可以在 12 个月内免费获得红帽企业 Linux 包括其他产品的使用权。

上游还是下游

Fedora 是 RHEL 的上游，RHEL 是 Fedora 的下游。这意味着当 Fedora 的新版本发布时，红帽公司会利用 Fedora 的源代码，在其下一个版本中加入所需的功能。

当然，红帽公司也会在合并到自己的 RHEL 代码库之前测试这些拉来的代码。

换句话说，Fedora Linux 作为红帽公司的一个试验场，首先检查功能，然后将其纳入 RHEL 系统中。

发布周期

为了给操作系统的所有组件提供定期更新，RHEL 和 Fedora 都遵循一个标准的定点发布模式。

Fedora 大约每六个月发布一个新版本（主要在四月和十月），并提供长达 13 个月的维护支持。

红帽 Linux 每年发布一个特定系列的新的定点版本，大约 5 年后发布一个主要版本。红帽 Linux 的每个主要版本都要经过四个生命周期阶段，从 5 年的支持到使用附加订阅的 10 年的延长寿命阶段。

尝鲜 Linux 发行版

当涉及到创新和新技术时，Fedora 比 RHEL 更积极。即使 Fedora 不遵循 滚动发布模式，它也是以早期提供尝鲜技术而闻名的发行版。

这是因为 Fedora 定期将软件包更新到最新版本，以便在每六个月后提供一个最新的操作系统。

如果你知道，GNOME 40 是 GNOME 桌面环境的最新版本，上个月才发布。而 Fedora 的最新稳定版 版本 34 确实包含了它，而 RHEL 的最新稳定版 8.3 仍然带有 GNOME 3.32。

文件系统

在选择操作系统时，你是否把系统中数据的组织和检索放在了很重要的位置？如果是的话，在决定选择 Red Hat 和 Fedora 之前，你应该了解一下 XFS 和 Btrfs 文件系统。

那是在 2014 年，RHEL 7.0 用 XFS 取代 Ext4 作为其默认文件系统。从那时起，红帽在每个版本中都默认有一个 XFS 64 位日志文件系统。

虽然 Fedora 是红帽 Linux 的上游，但 Fedora 继续使用 Ext4，直到去年 Fedora 33 引入 Btrfs 作为默认文件系统。

有趣的是，红帽在最初发布的 RHEL 6 中包含了 Btrfs 作为“技术预览”。后来，红帽放弃了使用 Btrfs 的计划，因此在 2019 年从 RHEL 8 和后来发布的主要版本中完全 删除 了它。

可用的变体

与 Fedora 相比，红帽 Linux 的版本数量非常有限。它主要适用于台式机、服务器、学术界、开发者、虚拟服务器和 IBM Power LE。

而 Fedora 除了桌面、服务器和物联网的官方版本外，还提供不可变的桌面 Silverblue 和专注于容器的 Fedora CoreOS。

不仅如此，Fedora 也有特定目的的定制变体，称为 Fedora Labs。每个 ISO 都为专业人士、神经科学、设计师、游戏玩家、音乐家、学生和科学家打包了一套软件。

想要 Fedora 中不同的桌面环境吗？你也可以查看官方的 Fedora Spins，它预先配置了几种桌面环境，如 KDE、Xfce、LXQT、LXDE、Cinnamon 和 i3 平铺窗口管理器。

此外，如果你想在新软件登陆稳定版 Fedora 之前就得到它，Fedora Rawhide 是另一个基于滚动发布模式的版本。

Fedora 和红帽 Linux 的相似之处

除了不同之处，Fedora 和红帽 Linux 也有几个共同点。

母公司

红帽公司是支持 Fedora 项目和 RHEL 的共同公司，在开发和财务方面都有支持。

即使红帽公司在财务上赞助 Fedora 项目，Fedora 也有自己的理事会，在没有红帽公司干预的情况下监督其发展。

开源产品

在你认为红帽 Linux 要收钱，那么它怎么能成为一个开源产品之前，我建议阅读我们的 文章，它分析了关于 FOSS 和开源的一切。

作为一个开源软件，并不意味着你可以免费得到它，有时它可能要花钱。红帽公司是一个已经在开源中建立了业务的开源公司。

Fedora 和红帽 Linux 都是开源的操作系统。所有的 Fedora 软件包都可以在 这里 得到源代码和在 这里 得到已经打包好的软件。

然而，就红帽 Linux 而言，源代码也 免费提供 给任何人。但与 Fedora 不同的是，你需要为使用可运行的代码付费，要么你可以自由地自行构建。

你支付给红帽的订阅费实际上是用于系统维护和技术支持。

桌面环境和初始系统

Fedora 和红帽 Linux 的旗舰桌面版采用了 GNOME 图形界面。所以，如果你已经熟悉了 GNOME，从任何一个发行版开始都不会有太大的问题。

你是少数讨厌 SystemD 初始化系统的人吗？如果是这样，那么 Fedora 和红帽 Linux 都不适合你，因为它们都默认支持并使用 SystemD。

总之，如果你想用 Runit 或 OpenRC 等其他初始化系统代替它，也不是不可能，但我认为这不是一个好主意。

基于 RPM 的发行版

如果你已经精通使用 YUM、RPM 或 DNF 命令行工具来处理 RPM 软件包，赞一个！你可以在这两个基于 RPM 的发行版中选一个。

默认情况下，红帽 Linux 使用 RPM（ 红帽包管理器 Red Hat Package Manager ）来安装、更新、删除和管理 RPM 软件包。

Fedora 在 2015 年的 Fedora 21 之前使用 YUM（ 黄狗更新器修改版 Yellowdog Updater Modified ）。从 Fedora 22 开始，它现在使用 DNF（ 时髦版 Yum Dandified Yum ）代替 YUM 作为默认的 软件包管理器。

Fedora 或红帽 Linux：你应该选择哪一个？

坦率地说，这真的取决于你是谁以及你为什么要使用它。如果你是一个初学者、开发者，或者是一个想用它来提高生产力或学习 Linux 的普通用户，Fedora 可以是一个不错的选择。

它可以帮助你轻松地设置系统，进行实验，节省资金，还可以成为 Fedora 项目的一员。让我提醒你，Linux 的创造者 Linus Torvalds 在他的主要工作站上使用 Fedora Linux。

然而，这绝对不意味着你也应该使用 Fedora。如果你碰巧是一个企业，考虑到 Fedora 的支持生命周期在一年内就会结束，你可能会重新考虑选择它。

而且，如果你不喜欢每个新版本的快速变化，你可能不喜欢尝鲜的 Fedora 来满足你的服务器和业务需求。

使用企业版红帽，你可以得到高稳定性、安全性和红帽专家工程师为你的大型企业提供的支持品质。

那么，你是愿意每年升级你的服务器并获得免费的社区支持，还是购买订阅以获得超过 5 年的生命周期和专家技术支持？决定权在你。

via: https://itsfoss.com/fedora-vs-red-hat/

作者：Sarvottam Kumar 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

OpenSSL 是一个实用工具，它可以确保其他人员无法打开你的敏感和机密消息。

加密是对消息进行编码的一种方法，这样可以保护消息的内容免遭他人窥视。一般有两种类型：

1. 密钥加密或对称加密
2. 公钥加密或非对称加密

密钥加密 secret-key encryption 使用相同的密钥进行加密和解密，而 公钥加密 public-key encryption 使用不同的密钥进行加密和解密。每种方法各有利弊。密钥加密速度更快，而公钥加密更安全，因为它解决了安全共享密钥的问题，将它们结合在一起可以最大限度地利用每种类型的优势。

公钥加密

公钥加密使用两组密钥，称为密钥对。一个是公钥，可以与你想要秘密通信的任何人自由共享。另一个是私钥，应该是一个秘密，永远不会共享。

公钥用于加密。如果某人想与你交流敏感信息，你可以将你的公钥发送给他们，他们可以使用公钥加密消息或文件，然后再将其发送给你。私钥用于解密。解密发件人加密的消息的唯一方法是使用私钥。因此，它们被称为“密钥对”，它们是相互关联的。

如何使用 OpenSSL 加密文件

OpenSSL 是一个了不起的工具，可以执行各种任务，例如加密文件。本文使用安装了 OpenSSL 的 Fedora 计算机。如果你的机器上没有，则可以使用软件包管理器进行安装：

alice $ cat /etc/fedora-release
Fedora release 33 (Thirty Three)
alice $
alice $ openssl version
OpenSSL 1.1.1i FIPS  8 Dec 2020
alice $

要探索文件加密和解密，假如有两个用户 Alice 和 Bob，他们想通过使用 OpenSSL 交换加密文件来相互通信。

步骤 1：生成密钥对

在加密文件之前，你需要生成密钥对。你还需要一个 密码短语 passphrase ，每当你使用 OpenSSL 时都必须使用该密码短语，因此务必记住它。

Alice 使用以下命令生成她的一组密钥对：

alice $ openssl genrsa -aes128 -out alice_private.pem 1024

此命令使用 OpenSSL 的 genrsa 命令生成一个 1024 位的公钥/私钥对。这是可以的，因为 RSA 算法是不对称的。它还使用了 aes128 对称密钥算法来加密 Alice 生成的私钥。

输入命令后，OpenSSL 会提示 Alice 输入密码，每次使用密钥时，她都必须输入该密码：

alice $ openssl genrsa -aes128 -out alice_private.pem 1024
Generating RSA private key, 1024 bit long modulus (2 primes)
..........+++++
..................................+++++
e is 65537 (0x010001)
Enter pass phrase for alice_private.pem:
Verifying - Enter pass phrase for alice_private.pem:
alice $
alice $
alice $ ls -l alice_private.pem
-rw-------. 1 alice alice 966 Mar 22 17:44 alice_private.pem
alice $
alice $ file alice_private.pem
alice_private.pem: PEM RSA private key
alice $

Bob 使用相同的步骤来创建他的密钥对：

bob $ openssl genrsa -aes128 -out bob_private.pem 1024
Generating RSA private key, 1024 bit long modulus (2 primes)
..................+++++
............................+++++
e is 65537 (0x010001)
Enter pass phrase for bob_private.pem:
Verifying - Enter pass phrase for bob_private.pem:
bob $
bob $ ls -l bob_private.pem
-rw-------. 1 bob bob 986 Mar 22 13:48 bob_private.pem
bob $
bob $ file bob_private.pem
bob_private.pem: PEM RSA private key
bob $

如果你对密钥文件感到好奇，可以打开命令生成的 .pem 文件，但是你会看到屏幕上的一堆文本：

alice $ head alice_private.pem
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,E26FAC1F143A30632203F09C259200B9

pdKj8Gm5eeAOF0RHzBx8l1tjmA1HSSvy0RF42bOeb7sEVZtJ6pMnrJ26ouwTQnkL
JJjUVPPHoKZ7j4QpwzbPGrz/hVeMXVT/y33ZEEA+3nrobwisLKz+Q+C9TVJU3m7M
/veiBO9xHMGV01YBNeic7MqXBkhIrNZW6pPRfrbjsBMBGSsL8nwJbb3wvHhzPkeM
e+wtt9S5PWhcnGMj3T+2mtFfW6HWpd8Kdp60z7Nh5mhA9+5aDWREfJhJYzl1zfcv
Bmxjf2wZ3sFJNty+sQVajYfk6UXMyJIuWgAjnqjw6c3vxQi0KE3NUNZYO93GQgEF
pyAnN9uGUTBCDYeTwdw8TEzkyaL08FkzLfFbS2N9BDksA3rpI1cxpxRVFr9+jDBz
alice $

要查看密钥的详细信息，可以使用以下 OpenSSL 命令打开 .pem 文件并显示内容。你可能想知道在哪里可以找到另一个配对的密钥，因为这是单个文件。你观察的很细致，获取公钥的方法如下：

alice $ openssl rsa -in alice_private.pem -noout -text
Enter pass phrase for alice_private.pem:
RSA Private-Key: (1024 bit, 2 primes)
modulus:
    00:bd:e8:61:72:f8:f6:c8:f2:cc:05:fa:07:aa:99:
    47:a6:d8:06:cf:09:bf:d1:66:b7:f9:37:29:5d:dc:
    c7:11:56:59:d7:83:b4:81:f6:cf:e2:5f:16:0d:47:
    81:fe:62:9a:63:c5:20:df:ee:d3:95:73:dc:0a:3f:
    65:d3:36:1d:c1:7d:8b:7d:0f:79:de:80:fc:d2:c0:
    e4:27:fc:e9:66:2d:e2:7e:fc:e6:73:d1:c9:28:6b:
    6a:8a:e8:96:9d:65:a0:8a:46:e0:b8:1f:b0:48:d4:
    db:d4:a3:7f:0d:53:36:9a:7d:2e:e7:d8:f2:16:d3:
    ff:1b:12:af:53:22:c0:41:51
publicExponent: 65537 (0x10001)

<< 截断 >>

exponent2:
    6e:aa:8c:6e:37:d0:57:37:13:c0:08:7e:75:43:96:
    33:01:99:25:24:75:9c:0b:45:3c:a2:39:44:69:84:
    a4:64:48:f4:5c:bc:40:40:bf:84:b8:f8:0f:1d:7b:
    96:7e:16:00:eb:49:da:6b:20:65:fc:a9:20:d9:98:
    76:ca:59:e1
coefficient:
    68:9e:2e:fa:a3:a4:72:1d:2b:60:61:11:b1:8b:30:
    6e:7e:2d:f9:79:79:f2:27:ab:a0:a0:b6:45:08:df:
    12:f7:a4:3b:d9:df:c5:6e:c7:e8:81:29:07:cd:7e:
    47:99:5d:33:8c:b7:fb:3b:a9:bb:52:c0:47:7a:1c:
    e3:64:90:26
alice $

步骤 2：提取公钥

注意，公钥是你可以与他人自由共享的密钥，而你必须将私钥保密。因此，Alice 必须提取她的公钥，并将其保存到文件中：

alice $ openssl rsa -in alice_private.pem -pubout > alice_public.pem
Enter pass phrase for alice_private.pem:
writing RSA key
alice $
alice $ ls -l *.pem
-rw-------. 1 alice alice 966 Mar 22 17:44 alice_private.pem
-rw-rw-r--. 1 alice alice 272 Mar 22 17:47 alice_public.pem
alice $

你可以使用与之前相同的方式查看公钥详细信息，但是这次，输入公钥 .pem 文件：

alice $
alice $ openssl rsa -in alice_public.pem -pubin -text -noout
RSA Public-Key: (1024 bit)
Modulus:
    00:bd:e8:61:72:f8:f6:c8:f2:cc:05:fa:07:aa:99:
    47:a6:d8:06:cf:09:bf:d1:66:b7:f9:37:29:5d:dc:
    c7:11:56:59:d7:83:b4:81:f6:cf:e2:5f:16:0d:47:
    81:fe:62:9a:63:c5:20:df:ee:d3:95:73:dc:0a:3f:
$

Bob 可以按照相同的过程来提取他的公钥并将其保存到文件中：

bob $ openssl rsa -in bob_private.pem -pubout > bob_public.pem
Enter pass phrase for bob_private.pem:
writing RSA key
bob $
bob $ ls -l *.pem
-rw-------. 1 bob bob 986 Mar 22 13:48 bob_private.pem
-rw-r--r--. 1 bob bob 272 Mar 22 13:51 bob_public.pem
bob $

步骤 3：交换公钥

这些公钥在 Alice 和 Bob 彼此交换之前没有太大用处。有几种共享公钥的方法，例如使用 scp 命令将密钥复制到彼此的工作站。

将 Alice 的公钥发送到 Bob 的工作站：

alice $ scp alice_public.pem bob@bob-machine-or-ip:/path/

将 Bob 的公钥发送到 Alice 的工作站：

bob $ scp bob_public.pem alice@alice-machine-or-ip:/path/

现在，Alice 有了 Bob 的公钥，反之亦然：

alice $ ls -l bob_public.pem
-rw-r--r--. 1 alice alice 272 Mar 22 17:51 bob_public.pem
alice $

bob $ ls -l alice_public.pem
-rw-r--r--. 1 bob bob 272 Mar 22 13:54 alice_public.pem
bob $

步骤 4：使用公钥交换加密的消息

假设 Alice 需要与 Bob 秘密交流。她将秘密信息写入文件中，并将其保存到 top_secret.txt 中。由于这是一个普通文件，因此任何人都可以打开它并查看其内容，这里并没有太多保护：

alice $
alice $ echo "vim or emacs ?" > top_secret.txt
alice $
alice $ cat top_secret.txt
vim or emacs ?
alice $

要加密此秘密消息，Alice 需要使用 openssls -encrypt 命令。她需要为该工具提供三个输入：

1. 秘密消息文件的名称
2. Bob 的公钥（文件）
3. 加密后新文件的名称

alice $ openssl rsautl -encrypt -inkey bob_public.pem -pubin -in top_secret.txt -out top_secret.enc
alice $
alice $ ls -l top_secret.*
-rw-rw-r--. 1 alice alice 128 Mar 22 17:54 top_secret.enc
-rw-rw-r--. 1 alice alice  15 Mar 22 17:53 top_secret.txt
alice $
alice $

加密后，原始文件仍然是可见的，而新创建的加密文件在屏幕上看起来像乱码。这样，你可以确定秘密消息已被加密：

alice $ cat top_secret.txt
vim or emacs ?
alice $
alice $ cat top_secret.enc
�s��uM)M&>��N��}dmCy92#1X�q?��v���M��@��E�~��1�k~&PU�VhHL�@^P��(��zi�M�4p�e��g+R�1�Ԁ���s�������q_8�lr����C�I-��alice $
alice $
alice $
alice $ hexdump -C ./top_secret.enc
00000000  9e 73 12 8f e3 75 4d 29  4d 26 3e bf 80 4e a0 c5  |.s...uM)M&>..N..|
00000010  7d 64 6d 43 79 39 32 23  31 58 ce 71 f3 ba 95 a6  |}dmCy92#1X.q....|
00000020  c0 c0 76 17 fb f7 bf 4d  ce fc 40 e6 f4 45 7f db  |..v....M..@..E..|
00000030  7e ae c0 31 f8 6b 10 06  7e 26 50 55 b5 05 56 68  |~..1.k..~&PU..Vh|
00000040  48 4c eb 40 5e 50 fe 19  ea 28 a8 b8 7a 13 69 d7  |HL.@^P...(..z.i.|
00000050  4d b0 34 70 d8 65 d5 07  95 67 2b 52 ea 31 aa d4  |M.4p.e...g+R.1..|
00000060  80 b3 a8 ec a1 73 ed a7  f9 17 c3 13 d4 fa c1 71  |.....s.........q|
00000070  5f 38 b9 6c 07 72 81 a6  fe af 43 a6 49 2d c4 ee  |_8.l.r....C.I-..|
00000080
alice $
alice $ file top_secret.enc
top_secret.enc: data
alice $

删除秘密消息的原始文件是安全的，这样确保任何痕迹都没有：

alice $ rm -f top_secret.txt

现在，Alice 需要再次使用 scp 命令将此加密文件通过网络发送给 Bob 的工作站。注意，即使文件被截获，其内容也会是加密的，因此内容不会被泄露：

alice $  scp top_secret.enc bob@bob-machine-or-ip:/path/

如果 Bob 使用常规方法尝试打开并查看加密的消息，他将无法看懂该消息：

bob $ ls -l top_secret.enc
-rw-r--r--. 1 bob bob 128 Mar 22 13:59 top_secret.enc
bob $
bob $ cat top_secret.enc
�s��uM)M&>��N��}dmCy92#1X�q?��v���M��@��E�~��1�k~&PU�VhHL�@^P��(��zi�M�4p�e��g+R�1�Ԁ���s�������q_8�lr����C�I-��bob $
bob $
bob $ hexdump -C top_secret.enc
00000000  9e 73 12 8f e3 75 4d 29  4d 26 3e bf 80 4e a0 c5  |.s...uM)M&>..N..|
00000010  7d 64 6d 43 79 39 32 23  31 58 ce 71 f3 ba 95 a6  |}dmCy92#1X.q....|
00000020  c0 c0 76 17 fb f7 bf 4d  ce fc 40 e6 f4 45 7f db  |..v....M..@..E..|
00000030  7e ae c0 31 f8 6b 10 06  7e 26 50 55 b5 05 56 68  |~..1.k..~&PU..Vh|
00000040  48 4c eb 40 5e 50 fe 19  ea 28 a8 b8 7a 13 69 d7  |HL.@^P...(..z.i.|
00000050  4d b0 34 70 d8 65 d5 07  95 67 2b 52 ea 31 aa d4  |M.4p.e...g+R.1..|
00000060  80 b3 a8 ec a1 73 ed a7  f9 17 c3 13 d4 fa c1 71  |.....s.........q|
00000070  5f 38 b9 6c 07 72 81 a6  fe af 43 a6 49 2d c4 ee  |_8.l.r....C.I-..|
00000080
bob $

步骤 5：使用私钥解密文件

Bob 需要使用 OpenSSL 来解密消息，但是这次使用的是 -decrypt 命令行参数。他需要向工具程序提供以下信息：

1. 加密的文件（从 Alice 那里得到）
2. Bob 的私钥（用于解密，因为文件是用 Bob 的公钥加密的）
3. 通过重定向保存解密输出的文件名

bob $ openssl rsautl -decrypt -inkey bob_private.pem -in top_secret.enc > top_secret.txt
Enter pass phrase for bob_private.pem:
bob $

现在，Bob 可以阅读 Alice 发送给他的秘密消息：

bob $ ls -l top_secret.txt
-rw-r--r--. 1 bob bob 15 Mar 22 14:02 top_secret.txt
bob $
bob $ cat top_secret.txt
vim or emacs ?
bob $

Bob 需要回复 Alice，因此他将秘密回复写在一个文件中：

bob $ echo "nano for life" > reply_secret.txt
bob $
bob $ cat reply_secret.txt
nano for life
bob $

步骤 6：使用其他密钥重复该过程

为了发送消息，Bob 采用和 Alice 相同的步骤，但是由于该消息是发送给 Alice 的，因此他需要使用 Alice 的公钥来加密文件：

bob $ openssl rsautl -encrypt -inkey alice_public.pem -pubin -in reply_secret.txt -out reply_secret.enc
bob $
bob $ ls -l reply_secret.enc
-rw-r--r--. 1 bob bob 128 Mar 22 14:03 reply_secret.enc
bob $
bob $ cat reply_secret.enc
�F݇��.4"f�1��\��{o԰$�M��I{5�|�\�l͂�e��Y�V��{�|!$c^a
                                                 �*Ԫ\vQ�Ϡ9����'��ٮsP��'��Z�1W�n��k���J�0�I;P8������&:bob $
bob $
bob $ hexdump -C ./reply_secret.enc
00000000  92 46 dd 87 04 bc a7 2e  34 22 01 66 1a 13 31 db  |.F......4".f..1.|
00000010  c4 5c b4 8e 7b 6f d4 b0  24 d2 4d 92 9b 49 7b 35  |.\..{o..$.M..I{5|
00000020  da 7c ee 5c bb 6c cd 82  f1 1b 92 65 f1 8d f2 59  |.|.\.l.....e...Y|
00000030  82 56 81 80 7b 89 07 7c  21 24 63 5e 61 0c ae 2a  |.V..{..|!$c^a..*|
00000040  d4 aa 5c 76 51 8d cf a0  39 04 c1 d7 dc f0 ad 99  |..\vQ...9.......|
00000050  27 ed 8e de d9 ae 02 73  50 e0 dd 27 13 ae 8e 5a  |'......sP..'...Z|
00000060  12 e4 9a 31 57 b3 03 6e  dd e1 16 7f 6b c0 b3 8b  |...1W..n....k...|
00000070  4a cf 30 b8 49 3b 50 38  e0 9f 84 f6 83 da 26 3a  |J.0.I;P8......&:|
00000080
bob $
bob $ # remove clear text secret message file
bob $ rm -f reply_secret.txt

Bob 通过 scp 将加密的文件发送至 Alice 的工作站：

$ scp reply_secret.enc alice@alice-machine-or-ip:/path/

如果 Alice 尝试使用常规工具去阅读加密的文本，她将无法理解加密的文本：

alice $
alice $ ls -l reply_secret.enc
-rw-r--r--. 1 alice alice 128 Mar 22 18:01 reply_secret.enc
alice $
alice $ cat reply_secret.enc
�F݇��.4"f�1��\��{o԰$�M��I{5�|�\�l͂�e��Y�V��{�|!$c^a
                                                 �*Ԫ\vQ�Ϡ9����'��ٮsP��'��Z�1W�n��k���J�0�I;P8������&:alice $
alice $
alice $
alice $ hexdump -C ./reply_secret.enc
00000000  92 46 dd 87 04 bc a7 2e  34 22 01 66 1a 13 31 db  |.F......4".f..1.|
00000010  c4 5c b4 8e 7b 6f d4 b0  24 d2 4d 92 9b 49 7b 35  |.\..{o..$.M..I{5|
00000020  da 7c ee 5c bb 6c cd 82  f1 1b 92 65 f1 8d f2 59  |.|.\.l.....e...Y|
00000030  82 56 81 80 7b 89 07 7c  21 24 63 5e 61 0c ae 2a  |.V..{..|!$c^a..*|
00000040  d4 aa 5c 76 51 8d cf a0  39 04 c1 d7 dc f0 ad 99  |..\vQ...9.......|
00000050  27 ed 8e de d9 ae 02 73  50 e0 dd 27 13 ae 8e 5a  |'......sP..'...Z|
00000060  12 e4 9a 31 57 b3 03 6e  dd e1 16 7f 6b c0 b3 8b  |...1W..n....k...|
00000070  4a cf 30 b8 49 3b 50 38  e0 9f 84 f6 83 da 26 3a  |J.0.I;P8......&:|
00000080
alice $

所以，她使用 OpenSSL 解密消息，只不过这次她提供了自己的私钥并将输出保存到文件中：

alice $ openssl rsautl -decrypt -inkey alice_private.pem -in reply_secret.enc > reply_secret.txt
Enter pass phrase for alice_private.pem:
alice $
alice $ ls -l reply_secret.txt
-rw-rw-r--. 1 alice alice 14 Mar 22 18:02 reply_secret.txt
alice $
alice $ cat reply_secret.txt
nano for life
alice $

了解 OpenSSL 的更多信息

OpenSSL 在加密界是真正的瑞士军刀。除了加密文件外，它还可以执行许多任务，你可以通过访问 OpenSSL 文档页面来找到使用它的所有方式，包括手册的链接、 《OpenSSL Cookbook》、常见问题解答等。要了解更多信息，尝试使用其自带的各种加密算法，看看它是如何工作的。

via: https://opensource.com/article/21/4/encryption-decryption-openssl

作者：Gaurav Kamathe 选题：lujun9972 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

今天（4/27），我很高兴地与大家分享成千上万的 Fedora 项目贡献者的辛勤工作成果：我们的最新版本，Fedora Linux 34 来了！我知道你们中的很多人一直在等待。我在社交媒体和论坛上看到的“它出来了吗？”的期待比我记忆中的任何一个版本都多。所以，如果你想的话，不要再等了，现在升级 或者去 获取 Fedora 下载一个安装镜像。或者，如果你想先了解更多，请继续阅读。

你可能注意到的第一件事是我们漂亮的新标志。这个新标志是由 Fedora 设计团队根据广大社区的意见开发的，它在保持 Fedoraness 的同时解决了我们旧标志的很多技术问题。请继续关注以新设计为特色的 Fedora 宣传品。

适合各种使用场景的 Fedora Linux

Fedora Editions 面向桌面、服务器、云环境和物联网等各种特定场景。

Fedora Workstation 专注于台式机，尤其是面向那些希望获得“正常使用”的 Linux 操作系统体验的软件开发者。这个版本的带来了 GNOME 40，这是专注、无干扰计算的下一步。无论你使用触控板、键盘还是鼠标，GNOME 40 都带来了导航方面的改进。应用网格和设置已经被重新设计，以使交互更加直观。你可以从 3 月份的 Fedora Magazine 文章中阅读更多的变化和原因。

Fedora CoreOS 是一个新兴的 Fedora 版本。它是一个自动更新的最小化操作系统，用于安全和大规模地运行容器化工作负载。它提供了几个更新流，跟随它之后大约每两周自动更新一次，当前，next 流基于 Fedora Linux 34，随后是 testing 流和 stable 流。你可以从 下载页面 中找到关于跟随 next 流的已发布工件的信息，以及在 Fedora CoreOS 文档 中找到如何使用这些工件的信息。

Fedora IoT 为物联网生态系统和边缘计算场景提供了一个强大的基础。在这个版本中，我们改善了对流行的 ARM 设备的支持，如 Pine64、RockPro64 和 Jetson Xavier NX。一些 i.MX8 片上系统设备，如 96boards Thor96 和 Solid Run HummingBoard-M 的硬件支持也有所改善。此外，Fedora IoT 34 改进了对用于自动系统恢复的硬件看门狗的支持。

当然，我们不仅仅提供 Editions。Fedora Spins 和 Labs 针对不同的受众和使用情况，例如 Fedora Jam，它允许你释放你内心的音乐家，以及像新的 Fedora i3 Spin 这样的桌面环境，它提供了一个平铺的窗口管理器。还有，别忘了我们的备用架构。ARM AArch64 Power 和 S390x。

一般性改进

无论你使用的是 Fedora 的哪个变种，你都会得到开源世界所能提供的最新成果。秉承我们的 “First” 原则，我们已经更新了关键的编程语言和系统库包，包括 Ruby 3.0 和 Golang 1.16。在 Fedora KDE Plasma 中，我们已经从 X11 切换到 Wayland 作为默认。

在 Fedora Linux 33 中 BTRFS 作为桌面变体中的默认文件系统引入之后，我们又引入了 BTRFS 文件系统的透明压缩。

我们很高兴你能试用这个新发布版本！现在就去 https://getfedora.org/ 下载它。或者如果你已经在运行 Fedora Linux，请按照 简易升级说明。关于 Fedora Linux 34 的新功能的更多信息，请看 发行说明。

万一出现问题……

如果你遇到了问题，请查看 Fedora 34 常见问题页面，如果你有问题，请访问我们的 Ask Fedora 用户支持平台。

谢谢各位

感谢在这个发布周期中为 Fedora 项目做出贡献的成千上万的人，特别是那些在大流行期间为使这个版本按时发布而付出额外努力的人。Fedora 是一个社区，很高兴看到我们如此互相支持！

via: https://fedoramagazine.org/announcing-fedora-34/

作者：Matthew Miller 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这是有关 网络地址转换 network address translation （NAT）的系列文章中的第一篇。这一部分将展示如何使用 iptables/nftables 报文跟踪功能来定位 NAT 相关的连接问题。

引言

网络地址转换（NAT）是一种将容器或虚拟机暴露在互联网中的一种方式。传入的连接请求将其目标地址改写为另一个地址，随后被路由到容器或虚拟机。相同的技术也可用于负载均衡，即传入的连接被分散到不同的服务器上去。

当网络地址转换没有按预期工作时，连接请求将失败，会暴露错误的服务，连接最终出现在错误的容器中，或者请求超时，等等。调试此类问题的一种方法是检查传入请求是否与预期或已配置的转换相匹配。

连接跟踪

NAT 不仅仅是修改 IP 地址或端口号。例如，在将地址 X 映射到 Y 时，无需添加新规则来执行反向转换。一个被称为 “conntrack” 的 netfilter 系统可以识别已有连接的回复报文。每个连接都在 conntrack 系统中有自己的 NAT 状态。反向转换是自动完成的。

规则匹配跟踪

nftables 工具（以及在较小的程度上，iptables）允许针对某个报文检查其处理方式以及该报文匹配规则集合中的哪条规则。为了使用这项特殊的功能，可在合适的位置插入“跟踪规则”。这些规则会选择被跟踪的报文。假设一个来自 IP 地址 C 的主机正在访问一个 IP 地址是 S 以及端口是 P 的服务。我们想知道报文匹配了哪条 NAT 转换规则，系统检查了哪些规则，以及报文是否在哪里被丢弃了。

由于我们要处理的是传入连接，所以我们将规则添加到 prerouting 钩子上。prerouting 意味着内核尚未决定将报文发往何处。修改目标地址通常会使报文被系统转发，而不是由主机自身处理。

初始配置

# nft 'add table inet trace_debug'
# nft 'add chain inet trace_debug trace_pre { type filter hook prerouting priority -200000; }'
# nft "insert rule inet trace_debug trace_pre ip saddr $C ip daddr $S tcp dport $P tcp flags syn limit rate 1/second meta nftrace set 1"

第一条规则添加了一张新的规则表，这使得将来删除和调试规则可以更轻松。一句 nft delete table inet trace_debug 命令就可以删除调试期间临时加入表中的所有规则和链。

第二条规则在系统进行路由选择之前（prerouting 钩子）创建了一个基本钩子，并将其优先级设置为负数，以保证它在连接跟踪流程和 NAT 规则匹配之前被执行。

然而，唯一最重要的部分是第三条规则的最后一段：meta nftrace set 1。这条规则会使系统记录所有匹配这条规则的报文所关联的事件。为了尽可能高效地查看跟踪信息（提高信噪比），考虑对跟踪的事件增加一个速率限制，以保证其数量处于可管理的范围。一个好的选择是限制每秒钟最多一个报文或一分钟最多一个报文。上述案例记录了所有来自终端 $C 且去往终端 $S 的端口 $P 的所有 SYN 报文和 SYN/ACK 报文。限制速率的配置语句可以防范事件过多导致的洪泛风险。事实上，大多数情况下只记录一个报文就足够了。

对于 iptables 用户来讲，配置流程是类似的。等价的配置规则类似于：

# iptables -t raw -I PREROUTING -s $C -d $S -p tcp --tcp-flags SYN SYN  --dport $P  -m limit --limit 1/s -j TRACE

获取跟踪事件

原生 nft 工具的用户可以直接运行 nft 进入 nft 跟踪模式：

# nft monitor trace

这条命令会将收到的报文以及所有匹配该报文的规则打印出来（用 CTRL-C 来停止输出）：

trace id f0f627 ip raw prerouting  packet: iif "veth0" ether saddr ..

我们将在下一章详细分析该结果。如果你用的是 iptables，首先通过 iptables –version 命令检查一下已安装的版本。例如：

# iptables --version
iptables v1.8.5 (legacy)

(legacy) 意味着被跟踪的事件会被记录到内核的环形缓冲区中。你可以用 dmesg 或 journalctl 命令来查看这些事件。这些调试输出缺少一些信息，但和新工具提供的输出从概念上来讲很类似。你将需要首先查看规则被记录下来的行号，并与活跃的 iptables 规则集合手动关联。如果输出显示 (nf_tables)，你可以使用 xtables-monitor 工具：

# xtables-monitor --trace

如果上述命令仅显示版本号，你仍然需要查看 dmesg/journalctl 的输出。xtables-monitor 工具和 nft 监控跟踪工具使用相同的内核接口。它们之间唯一的不同点就是，xtables-monitor 工具会用 iptables 的语法打印事件，且如果你同时使用了 iptables-nft 和 nft，它将不能打印那些使用了 maps/sets 或其他只有 nftables 才支持的功能的规则。

示例

我们假设需要调试一个到虚拟机/容器的端口不通的问题。ssh -p 1222 10.1.2.3 命令应该可以远程连接那台服务器上的某个容器，但连接请求超时了。

你拥有运行那台容器的主机的登录权限。现在登录该机器并增加一条跟踪规则。可通过前述案例查看如何增加一个临时的调试规则表。跟踪规则类似于这样：

nft "insert rule inet trace_debug trace_pre ip daddr 10.1.2.3 tcp dport 1222 tcp flags syn limit rate 6/minute meta nftrace set 1"

在添加完上述规则后，运行 nft monitor trace，在跟踪模式下启动 nft，然后重试刚才失败的 ssh 命令。如果规则集较大，会出现大量的输出。不用担心这些输出，下一节我们会做逐行分析。

trace id 9c01f8 inet trace_debug trace_pre packet: iif "enp0" ether saddr .. ip saddr 10.2.1.2 ip daddr 10.1.2.3 ip protocol tcp tcp dport 1222 tcp flags == syn
trace id 9c01f8 inet trace_debug trace_pre rule ip daddr 10.2.1.2 tcp dport 1222 tcp flags syn limit rate 6/minute meta nftrace set 1 (verdict continue)
trace id 9c01f8 inet trace_debug trace_pre verdict continue
trace id 9c01f8 inet trace_debug trace_pre policy accept
trace id 9c01f8 inet nat prerouting packet: iif "enp0" ether saddr .. ip saddr 10.2.1.2 ip daddr 10.1.2.3 ip protocol tcp  tcp dport 1222 tcp flags == syn
trace id 9c01f8 inet nat prerouting rule ip daddr 10.1.2.3  tcp dport 1222 dnat ip to 192.168.70.10:22 (verdict accept)
trace id 9c01f8 inet filter forward packet: iif "enp0" oif "veth21" ether saddr .. ip daddr 192.168.70.10 .. tcp dport 22 tcp flags == syn tcp window 29200
trace id 9c01f8 inet filter forward rule ct status dnat jump allowed_dnats (verdict jump allowed_dnats)
trace id 9c01f8 inet filter allowed_dnats rule drop (verdict drop)
trace id 20a4ef inet trace_debug trace_pre packet: iif "enp0" ether saddr .. ip saddr 10.2.1.2 ip daddr 10.1.2.3 ip protocol tcp tcp dport 1222 tcp flags == syn

对跟踪结果作逐行分析

输出结果的第一行是触发后续输出的报文编号。这一行的语法与 nft 规则语法相同，同时还包括了接收报文的首部字段信息。你也可以在这一行找到接收报文的接口名称（此处为 enp0）、报文的源和目的 MAC 地址、报文的源 IP 地址（可能很重要 - 报告问题的人可能选择了一个错误的或非预期的主机），以及 TCP 的源和目的端口。同时你也可以在这一行的开头看到一个“跟踪编号”。该编号标识了匹配跟踪规则的特定报文。第二行包括了该报文匹配的第一条跟踪规则：

trace id 9c01f8 inet trace_debug trace_pre rule ip daddr 10.2.1.2 tcp dport 1222 tcp flags syn limit rate 6/minute meta nftrace set 1 (verdict continue)

这就是刚添加的跟踪规则。这里显示的第一条规则总是激活报文跟踪的规则。如果在这之前还有其他规则，它们将不会在这里显示。如果没有任何跟踪输出结果，说明没有抵达这条跟踪规则，或者没有匹配成功。下面的两行表明没有后续的匹配规则，且 trace_pre 钩子允许报文继续传输（判定为接受）。

下一条匹配规则是：

trace id 9c01f8 inet nat prerouting rule ip daddr 10.1.2.3  tcp dport 1222 dnat ip to 192.168.70.10:22 (verdict accept)

这条 DNAT 规则设置了一个到其他地址和端口的映射。规则中的参数 192.168.70.10 是需要收包的虚拟机的地址，目前为止没有问题。如果它不是正确的虚拟机地址，说明地址输入错误，或者匹配了错误的 NAT 规则。

IP 转发

通过下面的输出我们可以看到，IP 路由引擎告诉 IP 协议栈，该报文需要被转发到另一个主机：

trace id 9c01f8 inet filter forward packet: iif "enp0" oif "veth21" ether saddr .. ip daddr 192.168.70.10 .. tcp dport 22 tcp flags == syn tcp window 29200

这是接收到的报文的另一种呈现形式，但和之前相比有一些有趣的不同。现在的结果有了一个输出接口集合。这在之前不存在的，因为之前的规则是在路由决策之前（prerouting 钩子）。跟踪编号和之前一样，因此仍然是相同的报文，但目标地址和端口已经被修改。假设现在还有匹配 tcp dport 1222 的规则，它们将不会对现阶段的报文产生任何影响了。

如果该行不包含输出接口（oif），说明路由决策将报文路由到了本机。对路由过程的调试属于另外一个主题，本文不再涉及。

trace id 9c01f8 inet filter forward rule ct status dnat jump allowed_dnats (verdict jump allowed_dnats)

这条输出表明，报文匹配到了一个跳转到 allowed_dnats 链的规则。下一行则说明了连接失败的根本原因：

trace id 9c01f8 inet filter allowed_dnats rule drop (verdict drop)

这条规则无条件地将报文丢弃，因此后续没有关于该报文的日志输出。下一行则是另一个报文的输出结果了：

trace id 20a4ef inet trace_debug trace_pre packet: iif "enp0" ether saddr .. ip saddr 10.2.1.2 ip daddr 10.1.2.3 ip protocol tcp tcp dport 1222 tcp flags == syn

跟踪编号已经和之前不一样，然后报文的内容却和之前是一样的。这是一个重传尝试：第一个报文被丢弃了，因此 TCP 尝试了重传。可以忽略掉剩余的输出结果了，因为它并没有提供新的信息。现在是时候检查那条链了。

规则集合分析

上一节我们发现报文在 inet filter 表中的一个名叫 allowed_dnats 的链中被丢弃。现在我们来查看它：

# nft list chain inet filter allowed_dnats
table inet filter {
 chain allowed_dnats {
  meta nfproto ipv4 ip daddr . tcp dport @allow_in accept
  drop
   }
}

接受 @allow_in 集的数据包的规则没有显示在跟踪日志中。我们通过列出元素的方式，再次检查上述报文的目标地址是否在 @allow_in 集中：

# nft "get element inet filter allow_in { 192.168.70.10 . 22 }"
Error: Could not process rule: No such file or directory

不出所料，地址-服务对并没有出现在集合中。我们将其添加到集合中。

# nft "add element inet filter allow_in { 192.168.70.10 . 22 }"

现在运行查询命令，它将返回新添加的元素。

# nft "get element inet filter allow_in { 192.168.70.10 . 22 }"
table inet filter {
   set allow_in {
      type ipv4_addr . inet_service
      elements = { 192.168.70.10 . 22 }
   }
}

ssh 命令现在应该可以工作，且跟踪结果可以反映出该变化：

trace id 497abf58 inet filter forward rule ct status dnat jump allowed_dnats (verdict jump allowed_dnats)

trace id 497abf58 inet filter allowed_dnats rule meta nfproto ipv4 ip daddr . tcp dport @allow_in accept (verdict accept)

trace id 497abf58 ip postrouting packet: iif "enp0" oif "veth21" ether .. trace id 497abf58 ip postrouting policy accept

这表明报文通过了转发路径中的最后一个钩子 - postrouting。

如果现在仍然无法连接，问题可能处在报文流程的后续阶段，有可能并不在 nftables 的规则集合范围之内。

总结

本文介绍了如何通过 nftables 的跟踪机制检查丢包或其他类型的连接问题。本系列的下一篇文章将展示如何检查连接跟踪系统和可能与连接跟踪流相关的 NAT 信息。

via: https://fedoramagazine.org/network-address-translation-part-1-packet-tracing/

作者：Florian Westphal 选题：lujun9972 译者：cooljelly 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

用 Ventoy 创建多启动 U 盘，你将永远不会缺少自己喜欢的 Linux 发行版。

给朋友和邻居一个可启动 U 盘，里面包含你最喜欢的 Linux 发行版，是向 Linux 新手介绍我们都喜欢的 Linux 体验的好方法。仍然有许多人从未听说过 Linux，把你喜欢的发行版放在一个可启动的 U 盘上是让他们进入 Linux 世界的好办法。

几年前，我在给一群中学生教授计算机入门课。我们使用旧笔记本电脑，我向学生们介绍了 Fedora、Ubuntu 和 Pop!\_OS。下课后，我给每个学生一份他们喜欢的发行版的副本，让他们带回家安装在自己选择的电脑上。他们渴望在家里尝试他们的新技能。

把多个发行版放在一个驱动器上

最近，一个朋友向我介绍了 Ventoy，它（根据其 GitHub 仓库）是 “一个开源工具，可以为 ISO/WIM/IMG/VHD(x)/EFI 文件创建可启动的 USB 驱动器”。与其为每个我想分享的 Linux 发行版创建单独的驱动器，我可以在一个 U 盘上放入我喜欢的 所有 Linux 发行版！

正如你所能想到的那样，U 盘的大小决定了你能在上面容纳多少个发行版。在一个 16GB 的 U 盘上，我放置了 Elementary 5.1、Linux Mint Cinnamon 5.1 和 Linux Mint XFCE 5.1......但仍然有 9.9GB 的空间。

获取 Ventoy

Ventoy 是开源的，采用 GPLv3 许可证，可用于 Windows 和 Linux。有很好的文档介绍了如何在 Windows 上下载和安装 Ventoy。Linux 的安装是通过命令行进行的，所以如果你不熟悉这个过程，可能会有点混乱。然而，其实很容易。

首先，下载 Ventoy。我把存档文件下载到我的桌面上。

接下来，使用 tar 命令解压 ventoy-x.y.z-linux.tar.gz 档案（但要用你下载的版本号替换 x.y.z）（为了保持简单，我在命令中使用 * 字符作为任意通配符）：

$ tar -xvf ventoy*z

这个命令将所有必要的文件提取到我桌面上一个名为 ventoy-x.y.z 的文件夹中。

你也可以使用你的 Linux 发行版的存档管理器来完成同样的任务。下载和提取完成后，你就可以把 Ventoy 安装到你的 U 盘上了。

在 U 盘上安装 Ventoy 和 Linux

把你的 U 盘插入你的电脑。改变目录进入 Ventoy 的文件夹，并寻找一个名为 Ventoy2Disk.sh 的 shell 脚本。你需要确定你的 U 盘的正确挂载点，以便这个脚本能够正常工作。你可以通过在命令行上发出 mount 命令或者使用 GNOME 磁盘 来找到它，后者提供了一个图形界面。后者显示我的 U 盘被挂载在 /dev/sda。在你的电脑上，这个位置可能是 /dev/sdb 或 /dev/sdc 或类似的位置。

下一步是执行 Ventoy shell 脚本。因为它被设计成不加选择地复制数据到一个驱动器上，我使用了一个假的位置（/dev/sdX）来防止你复制/粘贴错误，所以用你想覆盖的实际驱动器的字母替换后面的 X。

让我重申：这个 shell 脚本的目的是把数据复制到一个驱动器上， 破坏该驱动器上的所有数据。 如果该驱动器上有你关心的数据，在尝试这个方法之前，先把它备份! 如果你不确定你的驱动器的位置，在你继续进行之前，请验证它，直到你完全确定为止。

一旦你确定了你的驱动器的位置，就运行这个脚本：

$ sudo sh Ventoy2Disk.sh -i /dev/sdX

这样就可以格式化它并将 Ventoy 安装到你的 U 盘上。现在你可以复制和粘贴所有适合放在 U 盘上的 Linux 发行版文件。如果你在电脑上用新创建的 U 盘引导，你会看到一个菜单，上面有你复制到 U 盘上的发行版。

构建一个便携式的动力源

Ventoy 是你在钥匙串上携带多启动 U 盘的关键（钥匙），这样你就永远不会缺少你所依赖的发行版。你可以拥有一个全功能的桌面、一个轻量级的发行版、一个纯控制台的维护工具，以及其他你想要的东西。

我从来没有在没有 Linux 发行版的情况下离开家，你也不应该。拿上 Ventoy、一个 U 盘，和一串 ISO。你不会后悔的。

via: https://opensource.com/article/21/5/linux-ventoy

作者：Don Watkins 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Fedora Workstation 34 是我们领先的操作系统的最新版本，这次你将获得重大改进。最重要的是，你可以从 官方网站 下载它。我听到你在问，有什么新的东西？好吧，让我们来介绍一下。

GNOME 40

GNOME 40 是对 GNOME 桌面的一次重大更新，Fedora 社区成员在其设计和实现过程中发挥了关键作用，因此你可以确信 Fedora 用户的需求被考虑在内。

当你登录到 GNOME 40 桌面时，首先注意到的就是你现在会被直接带到一个重新设计的概览屏幕。你会注意到仪表盘已经移到了屏幕的底部。GNOME 40 的另一个主要变化是虚拟工作空间现在是水平摆放的，这使 GNOME 与其他大多数桌面更加一致，因此应该使新用户更容易适应 GNOME 和 Fedora。

我们还做了一些工作来改善桌面中的手势支持，用三根手指水平滑动来切换工作空间，用三根手指垂直滑动来调出概览。

更新后的概览设计带来了一系列其他改进，包括：

• 仪表盘现在将收藏的和未收藏的运行中的应用程序分开。这使得可以清楚了解哪些应用已经被收藏，哪些未收藏。
• 窗口缩略图得到了改进，现在每个窗口上都有一个应用程序图标，以帮助识别。
• 当工作区被设置为在所有显示器上显示时，工作区切换器现在会显示在所有显示器上，而不仅仅是主显示器。
• 应用启动器的拖放功能得到了改进，可以更轻松地自定义应用程序网格的排列方式。

GNOME 40 中的变化经历了大量的用户测试，到目前为止反应非常正面，所以我们很高兴能将它们介绍给 Fedora 社区。更多信息请见 forty.gnome.org 或 GNOME 40 发行说明。

应用程序的改进

GNOME “天气”为这个版本进行了重新设计，具有两个视图，一个是未来 48 小时的小时预报，另一个是未来 10 天的每日预报。

新版本现在显示了更多的信息，并且更适合移动设备，因为它支持更窄的尺寸。

其他被改进的应用程序包括“文件”、“地图”、“软件”和“设置”。更多细节请参见 GNOME 40 发行说明。

PipeWire

PipeWire 是新的音频和视频服务器，由 Wim Taymans 创建，他也共同创建了 GStreamer 多媒体框架。到目前为止，它只被用于视频捕获，但在 Fedora Workstation 34 中，我们也开始将其用于音频，取代 PulseAudio。

PipeWire 旨在与 PulseAudio 和 Jack 兼容，因此应用程序通常应该像以前一样可以工作。我们还与 Firefox 和 Chrome 合作，确保它们能与 PipeWire 很好地配合。OBS Studio 也即将支持 PipeWire，所以如果你是一个播客，我们已经帮你搞定了这些。

PipeWire 在专业音频界获得了非常积极的回应。谨慎地说，从一开始就可能有一些专业音频应用不能完全工作，但我们会源源不断收到测试报告和补丁，我们将在 Fedora Workstation 34 的生命周期内使用这些报告和补丁来延续专业音频 PipeWire 的体验。

改进的 Wayland 支持

我们预计将在 Fedora Workstation 34 的生命周期内解决在专有的 NVIDIA 驱动之上运行 Wayland 的支持。已经支持在 NVIDIA 驱动上运行纯 Wayland 客户端。然而，当前还缺少对许多应用程序使用的 Xwayland 兼容层的支持。这就是为什么当你安装 NVIDIA 驱动时，Fedora 仍然默认为 X.Org。

我们正在 与 NVIDIA 上游合作，以确保 Xwayland 能在 Fedora 中使用 NVIDIA 硬件加速。

QtGNOME 平台和 Adwaita-Qt

Jan Grulich 继续他在 QtGNOME 平台和 Adawaita-qt 主题上的出色工作，确保 Qt 应用程序与 Fedora 工作站的良好整合。多年来，我们在 Fedora 中使用的 Adwaita 主题已经发生了演变，但随着 QtGNOME 平台和 Adwaita-Qt 在 Fedora 34 中的更新，Qt 应用程序将更接近于 Fedora Workstation 34 中当前的 GTK 风格。

作为这项工作的一部分，Fedora Media Writer 的外观和风格也得到了改进。

Toolbox

Toolbox 是我们用于创建与主机系统隔离的开发环境的出色工具，它在 Fedora 34 上有了很多改进。例如，我们在改进 Toolbox 的 CI 系统集成方面做了大量的工作，以避免在我们的环境中出现故障时导致 Toolbox 停止工作。

我们在 Toolbox 的 RHEL 集成方面投入了大量的工作，这意味着你可以很容易地在 Fedora 系统上建立一个容器化的 RHEL 环境，从而方便地为 RHEL 服务器和云实例做开发。现在在 Fedora 上创建一个 RHEL 环境就像运行：toolbox create -distro rhel -release 8.4 一样简单。

这给你提供了一个最新桌面的优势：支持最新硬件，同时能够以一种完全原生的方式进行针对 RHEL 的开发。

Btrfs

自 Fedora 33 以来，Fedora Workstation 一直使用 Btrfs 作为其默认文件系统。Btrfs 是一个现代文件系统，由许多公司和项目开发。Workstation 采用 Btrfs 是通过 Facebook 和 Fedora 社区之间的奇妙合作实现的。根据到目前为止的用户反馈，人们觉得与旧的 ext4 文件系统相比，Btrfs 提供了更快捷、更灵敏的体验。

在 Fedora 34 中，新安装的 Workstation 系统现在默认使用 Btrfs 透明压缩。与未压缩的 Btrfs 相比，这可以节省 20-40% 的大量磁盘空间。它也增加了 SSD 和其他闪存介质的寿命。

via: https://fedoramagazine.org/whats-new-fedora-34-workstation/

作者：Christian Fredrik Schaller 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出