如果恶意软件或其情况改变了你的文件系统，Linux 完整性检查工具会提示你。

尽管 Linux 被认为是最安全的操作系统（排在 Windows 和 MacOS 之前），但它仍然容易受到 rootkit 和其他恶意软件的影响。因此，Linux 用户需要知道如何保护他们的服务器或个人电脑免遭破坏，他们需要采取的第一步就是保护文件系统。

在本文中，我们将看看 Tripwire，这是保护 Linux 文件系统的绝佳工具。Tripwire 是一个完整性检查工具，使得系统管理员、安全工程师和其他人能够检测系统文件的变更。虽然它不是唯一的选择（AIDE 和 Samhain 提供类似功能），但 Tripwire 可以说是 Linux 系统文件中最常用的完整性检查程序，并在 GPLv2 许可证下开源。

Tripwire 如何工作

了解 Tripwire 如何运行对了解 Tripwire 在安装后会做什么有所帮助。Tripwire 主要由两个部分组成：策略和数据库。策略列出了完整性检查器应该生成快照的所有文件和目录，还创建了用于识别对目录和文件更改违规的规则。数据库由 Tripwire 生成的快照组成。

Tripwire 还有一个配置文件，它指定数据库、策略文件和 Tripwire 可执行文件的位置。它还提供两个加密密钥 —— 站点密钥和本地密钥 —— 以保护重要文件免遭篡改。站点密钥保护策略和配置文件，而本地密钥保护数据库和生成的报告。

Tripwire 会定期将目录和文件与数据库中的快照进行比较并报告所有的更改。

安装 Tripwire

要 Tripwire，我们需要先下载并安装它。Tripwire 适用于几乎所有的 Linux 发行版。你可以从 Sourceforge 下载一个开源版本，并如下根据你的 Linux 版本进行安装。

Debian 和 Ubuntu 用户可以使用 apt-get 直接从仓库安装 Tripwire。非 root 用户应该输入 sudo 命令通过 apt-get 安装 Tripwire。

sudo apt-get update
sudo  apt-get install tripwire  

CentOS 和其他基于 RPM 的发行版使用类似的过程。为了最佳实践，请在安装新软件包（如 Tripwire）之前更新仓库。命令 yum install epel-release 意思是我们想要安装额外的存储库。 （epel 代表 Extra Packages for Enterprise Linux。）

yum update
yum install epel-release
yum install tripwire  

此命令会在安装中运行让 Tripwire 有效运行所需的配置。另外，它会在安装过程中询问你是否使用密码。你可以两个选择都选择 “Yes”。

另外，如果需要构建配置文件，请选择 “Yes”。选择并确认站点密钥和本地密钥的密码。（建议使用复杂的密码，例如 Il0ve0pens0urce 这样的。）

建立并初始化 Tripwire 数据库

接下来，按照以下步骤初始化 Tripwire 数据库：

tripwire --init

你需要提供本地密钥密码才能运行这些命令。

使用 Tripwire 进行基本的完整性检查

你可以使用以下命令让 Tripwire 检查你的文件或目录是否已被修改。Tripwire 将文件和目录与数据库中的初始快照进行比较的能力依赖于你在活动策略中创建的规则。

tripwire  --check  

你还可以将 -check 命令限制为特定的文件或目录，如下所示：

tripwire   --check   /usr/tmp  

另外，如果你需要使用 Tripwire 的 -check 命令的更多帮助，该命令能够查阅 Tripwire 的手册：

tripwire  --check  --help  

使用 Tripwire 生成报告

要轻松生成每日系统完整性报告，请使用以下命令创建一个 crontab 任务：

crontab -e

之后，你可以编辑此文件（使用你选择的文本编辑器）来引入由 cron 运行的任务。例如，你可以使用以下命令设置一个 cron 任务，在每天的 5:40 将 Tripwire 的报告发送到你的邮箱：

40 5  *  *  *  usr/sbin/tripwire   --check

无论你决定使用 Tripwire 还是其他具有类似功能的完整性检查程序，关键问题都是确保你有解决方案来保护 Linux 文件系统的安全。

via: https://opensource.com/article/18/1/securing-linux-filesystem-tripwire

作者：Michael Kwaku Aboagye 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

（之前的 gdb 系列文章：gdb 如何工作（2016） 和三步上手 gdb（2014））

在这周，我发现我可以从 gdb 上调用 C 函数。这看起来很酷，因为在过去我认为 gdb 最多只是一个只读调试工具。

我对 gdb 能够调用函数感到很吃惊。正如往常所做的那样，我在 Twitter 上询问这是如何工作的。我得到了大量的有用答案。我最喜欢的答案是 Evan Klitzke 的示例 C 代码，它展示了 gdb 如何调用函数。代码能够运行，这很令人激动！

我（通过一些跟踪和实验）认为那个示例 C 代码和 gdb 实际上如何调用函数不同。因此，在这篇文章中，我将会阐述 gdb 是如何调用函数的，以及我是如何知道的。

关于 gdb 如何调用函数，还有许多我不知道的事情，并且，在这儿我写的内容有可能是错误的。

从 gdb 中调用 C 函数意味着什么？

在开始讲解这是如何工作之前，我先快速的谈论一下我是如何发现这件令人惊讶的事情的。

假如，你已经在运行一个 C 程序（目标程序）。你可以运行程序中的一个函数，只需要像下面这样做：

• 暂停程序（因为它已经在运行中）
• 找到你想调用的函数的地址（使用符号表）
• 使程序（目标程序）跳转到那个地址
• 当函数返回时，恢复之前的指令指针和寄存器

通过符号表来找到想要调用的函数的地址非常容易。下面是一段非常简单但能够工作的代码，我在 Linux 上使用这段代码作为例子来讲解如何找到地址。这段代码使用 elf crate。如果我想找到 PID 为 2345 的进程中的 foo 函数的地址，那么我可以运行 elf_symbol_value("/proc/2345/exe", "foo")。

fn elf_symbol_value(file_name: &str, symbol_name: &str) -> Result<u64, Box<std::error::Error>> {
    // 打开 ELF 文件 
    let file = elf::File::open_path(file_name).ok().ok_or("parse error")?;
    // 在所有的段 & 符号中循环，直到找到正确的那个
    let sections = &file.sections;
    for s in sections {
        for sym in file.get_symbols(&s).ok().ok_or("parse error")? {
            if sym.name == symbol_name {
                return Ok(sym.value);
            }
        }
    }
    None.ok_or("No symbol found")?
}

这并不能够真的发挥作用，你还需要找到文件的内存映射，并将符号偏移量加到文件映射的起始位置。找到内存映射并不困难，它位于 /proc/PID/maps 中。

总之，找到想要调用的函数地址对我来说很直接，但是其余部分（改变指令指针，恢复寄存器等）看起来就不这么明显了。

你不能仅仅进行跳转

我已经说过，你不能够仅仅找到你想要运行的那个函数地址，然后跳转到那儿。我在 gdb 中尝试过那样做（jump foo），然后程序出现了段错误。毫无意义。

如何从 gdb 中调用 C 函数

首先，这是可能的。我写了一个非常简洁的 C 程序，它所做的事只有 sleep 1000 秒，把这个文件命名为 test.c ：

#include <unistd.h>

int foo() {
    return 3;
}
int main() {
    sleep(1000);
}

接下来，编译并运行它：

$ gcc -o test  test.c
$ ./test

最后，我们使用 gdb 来跟踪 test 这一程序：

$ sudo gdb -p $(pgrep -f test)
(gdb) p foo()
$1 = 3
(gdb) quit

我运行 p foo() 然后它运行了这个函数！这非常有趣。

这有什么用？

下面是一些可能的用途：

• 它使得你可以把 gdb 当成一个 C 应答式程序（REPL），这很有趣，我想对开发也会有用
• 在 gdb 中进行调试的时候展示/浏览复杂数据结构的功能函数（感谢 @invalidop）
• 在进程运行时设置一个任意的名字空间（我的同事 nelhage 对此非常惊讶）
• 可能还有许多我所不知道的用途

它是如何工作的

当我在 Twitter 上询问从 gdb 中调用函数是如何工作的时，我得到了大量有用的回答。许多答案是“你从符号表中得到了函数的地址”，但这并不是完整的答案。

有个人告诉了我两篇关于 gdb 如何工作的系列文章：原生调试：第一部分，原生调试：第二部分。第一部分讲述了 gdb 是如何调用函数的（指出了 gdb 实际上完成这件事并不简单，但是我将会尽力）。

步骤列举如下：

1. 停止进程
2. 创建一个新的栈框（远离真实栈）
3. 保存所有寄存器
4. 设置你想要调用的函数的寄存器参数
5. 设置栈指针指向新的 栈框 stack frame
6. 在内存中某个位置放置一条陷阱指令
7. 为陷阱指令设置返回地址
8. 设置指令寄存器的值为你想要调用的函数地址
9. 再次运行进程！

（LCTT 译注：如果将这个调用的函数看成一个单独的线程，gdb 实际上所做的事情就是一个简单的线程上下文切换）

我不知道 gdb 是如何完成这些所有事情的，但是今天晚上，我学到了这些所有事情中的其中几件。

创建一个栈框

如果你想要运行一个 C 函数，那么你需要一个栈来存储变量。你肯定不想继续使用当前的栈。准确来说，在 gdb 调用函数之前（通过设置函数指针并跳转），它需要设置栈指针到某个地方。

这儿是 Twitter 上一些关于它如何工作的猜测：

我认为它在当前栈的栈顶上构造了一个新的栈框来进行调用！

以及

你确定是这样吗？它应该是分配一个伪栈，然后临时将 sp （栈指针寄存器）的值改为那个栈的地址。你可以试一试，你可以在那儿设置一个断点，然后看一看栈指针寄存器的值，它是否和当前程序寄存器的值相近？

我通过 gdb 做了一个试验：

(gdb) p $rsp
$7 = (void *) 0x7ffea3d0bca8
(gdb) break foo
Breakpoint 1 at 0x40052a
(gdb) p foo()
Breakpoint 1, 0x000000000040052a in foo ()
(gdb) p $rsp
$8 = (void *) 0x7ffea3d0bc00

这看起来符合“gdb 在当前栈的栈顶构造了一个新的栈框”这一理论。因为栈指针（$rsp）从 0x7ffea3d0bca8 变成了 0x7ffea3d0bc00 —— 栈指针从高地址往低地址长。所以 0x7ffea3d0bca8 在 0x7ffea3d0bc00 的后面。真是有趣！

所以，看起来 gdb 只是在当前栈所在位置创建了一个新的栈框。这令我很惊讶！

改变指令指针

让我们来看一看 gdb 是如何改变指令指针的！

(gdb) p $rip
$1 = (void (*)()) 0x7fae7d29a2f0 <__nanosleep_nocancel+7>
(gdb) b foo
Breakpoint 1 at 0x40052a
(gdb) p foo()
Breakpoint 1, 0x000000000040052a in foo ()
(gdb) p $rip
$3 = (void (*)()) 0x40052a <foo+4>

的确是！指令指针从 0x7fae7d29a2f0 变为了 0x40052a（foo 函数的地址）。

我盯着输出看了很久，但仍然不理解它是如何改变指令指针的，但这并不影响什么。

如何设置断点

上面我写到 break foo 。我跟踪 gdb 运行程序的过程，但是没有任何发现。

下面是 gdb 用来设置断点的一些系统调用。它们非常简单。它把一条指令用 cc 代替了（这告诉我们 int3 意味着 send SIGTRAP https://defuse.ca/online-x86-assembler.html），并且一旦程序被打断了，它就把指令恢复为原先的样子。

我在函数 foo 那儿设置了一个断点，地址为 0x400528 。

PTRACE_POKEDATA 展示了 gdb 如何改变正在运行的程序。

// 改变 0x400528 处的指令
25622 ptrace(PTRACE_PEEKTEXT, 25618, 0x400528, [0x5d00000003b8e589]) = 0
25622 ptrace(PTRACE_POKEDATA, 25618, 0x400528, 0x5d00000003cce589) = 0
// 开始运行程序
25622 ptrace(PTRACE_CONT, 25618, 0x1, SIG_0) = 0
// 当到达断点时获取一个信号
25622 ptrace(PTRACE_GETSIGINFO, 25618, NULL, {si_signo=SIGTRAP, si_code=SI_KERNEL, si_value={int=-1447215360, ptr=0x7ffda9bd3f00}}) = 0
// 将 0x400528 处的指令更改为之前的样子
25622 ptrace(PTRACE_PEEKTEXT, 25618, 0x400528, [0x5d00000003cce589]) = 0
25622 ptrace(PTRACE_POKEDATA, 25618, 0x400528, 0x5d00000003b8e589) = 0

在某处放置一条陷阱指令

当 gdb 运行一个函数的时候，它也会在某个地方放置一条陷阱指令。这是其中一条。它基本上是用 cc 来替换一条指令（int3）。

5908  ptrace(PTRACE_PEEKTEXT, 5810, 0x7f6fa7c0b260, [0x48f389fd89485355]) = 0
5908  ptrace(PTRACE_PEEKTEXT, 5810, 0x7f6fa7c0b260, [0x48f389fd89485355]) = 0
5908 ptrace(PTRACE_POKEDATA, 5810, 0x7f6fa7c0b260, 0x48f389fd894853cc) = 0

0x7f6fa7c0b260 是什么？我查看了进程的内存映射，发现它位于 /lib/x86_64-linux-gnu/libc-2.23.so 中的某个位置。这很奇怪，为什么 gdb 将陷阱指令放在 libc 中？

让我们看一看里面的函数是什么，它是 __libc_siglongjmp 。其他 gdb 放置陷阱指令的地方的函数是 __longjmp 、___longjmp_chk 、dl_main 和 _dl_close_worker 。

为什么？我不知道！也许出于某种原因，当函数 foo() 返回时，它调用 longjmp ，从而 gdb 能够进行返回控制。我不确定。

gdb 如何调用函数是很复杂的！

我将要在这儿停止了（现在已经凌晨 1 点），但是我知道的多一些了！

看起来“gdb 如何调用函数”这一问题的答案并不简单。我发现这很有趣并且努力找出其中一些答案，希望你也能够找到。

我依旧有很多未回答的问题，关于 gdb 是如何完成这些所有事的，但是可以了。我不需要真的知道关于 gdb 是如何工作的所有细节，但是我很开心，我有了一些进一步的理解。

via: https://jvns.ca/blog/2018/01/04/how-does-gdb-call-functions/

作者：Julia Evans 译者：ucasFL 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你加入了一家新公司，要为开发团队安装所需的软件并重启服务，这个时候首先要弄清楚它们运行在什么发行版以及哪个版本的系统上，你才能正确完成后续的工作。作为系统管理员，充分了解系统信息是首要的任务。

查看 Linux 发行版名称和版本号有很多种方法。你可能会问，为什么要去了解这些基本信息呢？

因为对于诸如 RHEL、Debian、openSUSE、Arch Linux 这几种主流发行版来说，它们各自拥有不同的包管理器来管理系统上的软件包，如果不知道所使用的是哪一个发行版的系统，在软件包安装的时候就会无从下手，而且由于大多数发行版都是用 systemd 命令而不是 SysVinit 脚本，在重启服务的时候也难以执行正确的命令。

下面来看看可以使用那些基本命令来查看 Linux 发行版名称和版本号。

方法总览

• lsb_release 命令
• /etc/*-release 文件
• uname 命令
• /proc/version 文件
• dmesg 命令
• YUM 或 DNF 命令
• RPM 命令
• APT-GET 命令

方法 1： lsb\_release 命令

LSB（ Linux 标准库 Linux Standard Base ）能够打印发行版的具体信息，包括发行版名称、版本号、代号等。

# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 16.04.3 LTS
Release: 16.04
Codename: xenial

方法 2： /etc/*-release 文件

release 文件通常被视为操作系统的标识。在 /etc 目录下放置了很多记录着发行版各种信息的文件，每个发行版都各自有一套这样记录着相关信息的文件。下面是一组在 Ubuntu/Debian 系统上显示出来的文件内容。

# cat /etc/issue
Ubuntu 16.04.3 LTS \n \l

# cat /etc/issue.net
Ubuntu 16.04.3 LTS

# cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=16.04
DISTRIB_CODENAME=xenial
DISTRIB_DESCRIPTION="Ubuntu 16.04.3 LTS"

# cat /etc/os-release
NAME="Ubuntu"
VERSION="16.04.3 LTS (Xenial Xerus)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 16.04.3 LTS"
VERSION_ID="16.04"
HOME_URL="http://www.ubuntu.com/"
SUPPORT_URL="http://help.ubuntu.com/"
BUG_REPORT_URL="http://bugs.launchpad.net/ubuntu/"
VERSION_CODENAME=xenial
UBUNTU_CODENAME=xenial

# cat /etc/debian_version
9.3

下面这一组是在 RHEL/CentOS/Fedora 系统上显示出来的文件内容。其中 /etc/redhat-release 和 /etc/system-release 文件是指向 /etc/[发行版名称]-release 文件的一个连接。

# cat /etc/centos-release
CentOS release 6.9 (Final)

# cat /etc/fedora-release
Fedora release 27 (Twenty Seven)

# cat /etc/os-release
NAME=Fedora
VERSION="27 (Twenty Seven)"
ID=fedora
VERSION_ID=27
PRETTY_NAME="Fedora 27 (Twenty Seven)"
ANSI_COLOR="0;34"
CPE_NAME="cpe:/o:fedoraproject:fedora:27"
HOME_URL="https://fedoraproject.org/"
SUPPORT_URL="https://fedoraproject.org/wiki/Communicating_and_getting_help"
BUG_REPORT_URL="https://bugzilla.redhat.com/"
REDHAT_BUGZILLA_PRODUCT="Fedora"
REDHAT_BUGZILLA_PRODUCT_VERSION=27
REDHAT_SUPPORT_PRODUCT="Fedora"
REDHAT_SUPPORT_PRODUCT_VERSION=27
PRIVACY_POLICY_URL="https://fedoraproject.org/wiki/Legal:PrivacyPolicy"

# cat /etc/redhat-release
Fedora release 27 (Twenty Seven)

# cat /etc/system-release
Fedora release 27 (Twenty Seven)

方法 3： uname 命令

uname（unix name 的意思） 是一个打印系统信息的工具，包括内核名称、版本号、系统详细信息以及所运行的操作系统等等。

• 建议阅读： 6种查看系统 Linux 内核的方法

# uname -a
Linux localhost.localdomain 4.12.14-300.fc26.x86_64 #1 SMP Wed Sep 20 16:28:07 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

以上运行结果说明使用的操作系统版本是 Fedora 26。

方法 4： /proc/version 文件

这个文件记录了 Linux 内核的版本、用于编译内核的 gcc 的版本、内核编译的时间，以及内核编译者的用户名。

# cat /proc/version
Linux version 4.12.14-300.fc26.x86_64 ([email protected]) (gcc version 7.2.1 20170915 (Red Hat 7.2.1-2) (GCC) ) #1 SMP Wed Sep 20 16:28:07 UTC 2017

方法 5： dmesg 命令

dmesg（ 展示信息 display message 或 驱动程序信息 driver message ）是大多数类 Unix 操作系统上的一个命令，用于打印内核的消息缓冲区的信息。

# dmesg | grep "Linux"
[ 0.000000] Linux version 4.12.14-300.fc26.x86_64 ([email protected]) (gcc version 7.2.1 20170915 (Red Hat 7.2.1-2) (GCC) ) #1 SMP Wed Sep 20 16:28:07 UTC 2017
[ 0.001000] SELinux: Initializing.
[ 0.001000] SELinux: Starting in permissive mode
[ 0.470288] SELinux: Registering netfilter hooks
[ 0.616351] Linux agpgart interface v0.103
[ 0.630063] usb usb1: Manufacturer: Linux 4.12.14-300.fc26.x86_64 ehci_hcd
[ 0.688949] usb usb2: Manufacturer: Linux 4.12.14-300.fc26.x86_64 ohci_hcd
[ 2.564554] SELinux: Disabled at runtime.
[ 2.564584] SELinux: Unregistering netfilter hooks

方法 6： Yum/Dnf 命令

Yum（ Yellowdog 更新器修改版 Yellowdog Updater Modified ）是 Linux 操作系统上的一个包管理工具，而 yum 命令被用于一些基于 RedHat 的 Linux 发行版上安装、更新、查找、删除软件包。

• 建议阅读： 在 RHEL/CentOS 系统上使用 yum 命令管理软件包

# yum info nano
Loaded plugins: fastestmirror, ovl
Loading mirror speeds from cached hostfile
 * base: centos.zswap.net
 * extras: mirror2.evolution-host.com
 * updates: centos.zswap.net
Available Packages
Name : nano
Arch : x86_64
Version : 2.3.1
Release : 10.el7
Size : 440 k
Repo : base/7/x86_64
Summary : A small text editor
URL : http://www.nano-editor.org
License : GPLv3+
Description : GNU nano is a small and friendly text editor.

下面的 yum repolist 命令执行后显示了 yum 的基础源仓库、额外源仓库、更新源仓库都来自 CentOS 7 仓库。

# yum repolist
Loaded plugins: fastestmirror, ovl
Loading mirror speeds from cached hostfile
 * base: centos.zswap.net
 * extras: mirror2.evolution-host.com
 * updates: centos.zswap.net
repo id repo name status
base/7/x86_64 CentOS-7 - Base 9591
extras/7/x86_64 CentOS-7 - Extras 388
updates/7/x86_64 CentOS-7 - Updates 1929
repolist: 11908

使用 dnf 命令也同样可以查看发行版名称和版本号。

• 建议阅读： 在 Fedora 系统上使用 DNF（YUM 的一个分支）命令管理软件包

# dnf info nano
Last metadata expiration check: 0:01:25 ago on Thu Feb 15 01:59:31 2018.
Installed Packages
Name : nano
Version : 2.8.7
Release : 1.fc27
Arch : x86_64
Size : 2.1 M
Source : nano-2.8.7-1.fc27.src.rpm
Repo : @System
From repo : fedora
Summary : A small text editor
URL : https://www.nano-editor.org
License : GPLv3+
Description : GNU nano is a small and friendly text editor.

方法 7： RPM 命令

RPM（ 红帽包管理器 RedHat Package Manager ）是在 CentOS、Oracle Linux、Fedora 这些基于 RedHat 的操作系统上的一个强大的命令行包管理工具，同样也可以帮助我们查看系统的版本信息。

• 建议阅读： 在基于 RHEL 的系统上使用 RPM 命令管理软件包

# rpm -q nano
nano-2.8.7-1.fc27.x86_64

方法 8： APT-GET 命令

Apt-Get（ 高级打包工具 Advanced Packaging Tool ）是一个强大的命令行工具，可以自动下载安装新软件包、更新已有的软件包、更新软件包列表索引，甚至更新整个 Debian 系统。

• 建议阅读： 在基于 Debian 的系统上使用 Apt-Get 和 Apt-Cache 命令管理软件包

# apt-cache policy nano
nano:
 Installed: 2.5.3-2ubuntu2
 Candidate: 2.5.3-2ubuntu2
 Version table:
 * 2.5.3-2ubuntu2 500
 500 http://nova.clouds.archive.ubuntu.com/ubuntu xenial-updates/main amd64 Packages
 100 /var/lib/dpkg/status
 2.5.3-2 500
 500 http://nova.clouds.archive.ubuntu.com/ubuntu xenial/main amd64 Packages

via: https://www.2daygeek.com/check-find-linux-distribution-name-and-version/

作者：Magesh Maruthamuthu 译者：HankChow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

使用简单的命令在 Linux 下基于类型、内容等快速查找文件。

如果你是 Windows 或 OSX 的非资深用户，那么可能使用 GUI 来查找文件。你也可能发现界面受限，令人沮丧，或者两者兼而有之，并学会了组织文件并记住它们的确切顺序。你也可以在 Linux 中做到这一点 —— 但你不必这样做。

Linux 的好处之一是它提供了多种方式来处理。你可以打开任何文件管理器或按下 Ctrl+F，你也可以使用程序手动打开文件，或者你可以开始输入字母，它会过滤当前目录列表。

使用 Ctrl+F 在 Linux 中查找文件的截图

但是如果你不知道你的文件在哪里，又不想搜索整个磁盘呢？对于这个以及其他各种情况，Linux 都很合适。

按命令名查找程序位置

如果你习惯随心所欲地放文件，Linux 文件系统看起来会让人望而生畏。对我而言，最难习惯的一件事是找到程序在哪里。

例如，which bash 通常会返回 /bin/bash，但是如果你下载了一个程序并且它没有出现在你的菜单中，那么 which 命令就是一个很好的工具。

一个类似的工具是 locate 命令，我发现它对于查找配置文件很有用。我不喜欢输入程序名称，因为像 locate php 这样的简单程序通常会提供很多需要进一步过滤的结果。

有关 locate 和 which 的更多信息，请参阅 man 页面：

• man which
• man locate

find

find 工具提供了更先进的功能。以下是我安装在许多服务器上的脚本示例，我用于确保特定模式的文件（也称为 glob）仅存在五天，并且所有早于此的文件都将被删除。 （自上次修改以来，分数用于保留最多 240 分钟的偏差）

find ./backup/core-files*.tar.gz -mtime +4.9 -exec rm {} \;

find 工具有许多高级用法，但最常见的是对结果执行命令，而不用链式地按照类型、创建日期、修改日期过滤文件。

find 的另一个有趣用处是找到所有有可执行权限的文件。这有助于确保没有人在你昂贵的服务器上安装比特币挖矿程序或僵尸网络。

find / -perm /+x

有关 find 的更多信息，请使用 man find 参考 man 页面。

grep

想通过内容中查找文件？ Linux 已经实现了。你可以使用许多 Linux 工具来高效搜索符合模式的文件，但是 grep 是我经常使用的工具。

假设你有一个程序发布代码引用和堆栈跟踪的错误消息。你要在日志中找到这些。 grep 不总是最好的方法，但如果文件是一个给定的值，我经常使用 grep -R。

越来越多的 IDE 正在实现查找功能，但是如果你正在访问远程系统或出于任何原因没有 GUI，或者如果你想在当前目录递归查找，请使用：grep -R {searchterm} 或在支持 egrep 别名的系统上，只需将 -e 标志添加到命令 egrep -r {regex-pattern}。

我在去年给 Raspbian 中的 dhcpcd5 打补丁时使用了这种技术，这样我就可以在树莓派基金会发布新的 Debian 时继续操作网络接入点了。

哪些提示可帮助你在 Linux 上更有效地搜索文件？

via: https://opensource.com/article/18/4/how-find-files-linux

作者：Lewis Cowles 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这是我以前的 10 分钟内配置 Kubernetes 教程的精简版和更新版。我删除了一些我认为可以去掉的内容，所以，这个指南仍然是通顺的。当你想在云上创建一个集群或者尽可能快地构建基础设施时，你可能会用到它。

1.0 挑选一个主机

我们在本指南中将使用 Ubuntu 16.04，这样你就可以直接拷贝/粘贴所有的指令。下面是我用本指南测试过的几种环境。根据你运行的主机，你可以从中挑选一个。

• DigitalOcean - 开发者云
• Civo - UK 开发者云
• Packet - 裸机云
• 2x Dell Intel i7 服务器 —— 它在我家中

Civo 是一个相对较新的开发者云，我比较喜欢的一点是，它开机时间只有 25 秒，我就在英国，因此，它的延迟很低。

1.1 准备机器

你可以使用一个单台主机进行测试，但是，我建议你至少使用三台机器，这样你就有一个主节点和两个工作节点。

下面是一些其他的指导原则：

• 最好选至少有 2 GB 内存的双核主机
• 在准备主机的时候，如果你可以自定义用户名，那么就不要使用 root。例如，Civo 通常让你在 ubuntu、civo 或者 root 中选一个。

现在，在每台机器上都运行以下的步骤。它将需要 5-10 钟时间。如果你觉得太慢了，你可以使用我放在 Gist 的脚本 ：

$ curl -sL https://gist.githubusercontent.com/alexellis/e8bbec45c75ea38da5547746c0ca4b0c/raw/23fc4cd13910eac646b13c4f8812bab3eeebab4c/configure.sh | sh

1.2 登入和安装 Docker

从 Ubuntu 的 apt 仓库中安装 Docker。它的版本可能有点老，但是，Kubernetes 在老版本的 Docker 中是测试过的，工作的很好。

$ sudo apt-get update \
  && sudo apt-get install -qy docker.io

1.3 禁用 swap 文件

这是 Kubernetes 的强制步骤。实现它很简单，编辑 /etc/fstab 文件，然后注释掉引用 swap 的行即可。

保存它，重启后输入 sudo swapoff -a。

一开始就禁用 swap 内存，你可能觉得这个要求很奇怪，如果你对这个做法感到好奇，你可以去 这里阅读它的相关内容。

1.4 安装 Kubernetes 包

$ sudo apt-get update \
  && sudo apt-get install -y apt-transport-https \
  && curl -s https://packages.cloud.google.com/apt/doc/apt-key.gpg | sudo apt-key add -

$ echo "deb http://apt.kubernetes.io/ kubernetes-xenial main" \
  | sudo tee -a /etc/apt/sources.list.d/kubernetes.list \
  && sudo apt-get update 

$ sudo apt-get update \
  && sudo apt-get install -y \
  kubelet \
  kubeadm \
  kubernetes-cni

1.5 创建集群

这时候，我们使用 kubeadm 初始化主节点并创建集群。这一步仅在主节点上操作。

虽然有警告，但是 Weaveworks 和 Lucas（他们是维护者）向我保证，kubeadm 是可用于生产系统的。

$ sudo kubeadm init

如果你错过一个步骤或者有问题，kubeadm 将会及时告诉你。

我们复制一份 Kube 配置：

mkdir -p $HOME/.kube  
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config  
sudo chown $(id -u):$(id -g) $HOME/.kube/config

确保你一定要记下如下的加入 token 的命令。

$ sudo kubeadm join --token c30633.d178035db2b4bb9a 10.0.0.5:6443 --discovery-token-ca-cert-hash sha256:<hash>

2.0 安装网络

许多网络提供商提供了 Kubernetes 支持，但是，默认情况下 Kubernetes 都没有包括。这里我们使用来自 Weaveworks 的 Weave Net，它是 Kebernetes 社区中非常流行的选择之一。它近乎不需要额外配置的 “开箱即用”。

$ kubectl apply -f "https://cloud.weave.works/k8s/net?k8s-version=$(kubectl version | base64 | tr -d '\n')"

如果在你的主机上启用了私有网络，那么，你可能需要去修改 Weavenet 使用的私有子网络，以便于为 Pod（容器）分配 IP 地址。下面是命令示例：

$ curl -SL "https://cloud.weave.works/k8s/net?k8s-version=$(kubectl version | base64 | tr -d '\n')&env.IPALLOC_RANGE=172.16.6.64/27" \
| kubectl apply -f -

Weave 也有很酷的称为 Weave Cloud 的可视化工具。它是免费的，你可以在它上面看到你的 Pod 之间的路径流量。这里有一个使用 OpenFaaS 项目的示例。

2.2 在集群中加入工作节点

现在，你可以切换到你的每一台工作节点，然后使用 1.5 节中的 kubeadm join 命令。运行完成后，登出那个工作节点。

3.0 收获

到此为止 —— 我们全部配置完成了。你现在有一个正在运行着的集群，你可以在它上面部署应用程序。如果你需要设置仪表板 UI，你可以去参考 Kubernetes 文档。

$ kubectl get nodes
NAME        STATUS    ROLES     AGE       VERSION  
openfaas1   Ready     master    20m       v1.9.2  
openfaas2   Ready     <none>    19m       v1.9.2  
openfaas3   Ready     <none>    19m       v1.9.2  

如果你想看到我一步一步创建集群并且展示 kubectl 如何工作的视频，你可以看下面我的视频，你可以订阅它。

你也可以在你的 Mac 电脑上，使用 Minikube 或者 Docker 的 Mac Edge 版本，安装一个 “开箱即用” 的 Kubernetes 集群。阅读在这里的我的评估和第一印象。

via: https://blog.alexellis.io/your-instant-kubernetes-cluster/

作者：Alex Ellis 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

有时，我会不小心的按下 SHIFT+DELETE来删除我的文件数据。是的，我是个笨蛋，没有再次确认下我实际准备要删除的东西。而且我太笨或者说太懒，没有备份我的文件数据。结果呢？数据丢失了！在一瞬间就丢失了。

这种事时不时就会发生在我身上。如果你和我一样，有个好消息告诉你。有个简单又有用的命令行工具叫chattr（Change Attribute 的缩写），在类 Unix 等发行版中，能够用来防止文件和目录被意外的删除或修改。

通过给文件或目录添加或删除某些属性，来保证用户不能删除或修改这些文件和目录，不管是有意的还是无意的，甚至 root 用户也不行。听起来很有用，是不是？

在这篇简短的教程中，我们一起来看看怎么在实际应用中使用 chattr 命令，来防止文件和目录被意外删除。

Linux中防止文件和目录被意外删除和修改

默认，chattr 命令在大多数现代 Linux 操作系统中是可用的。

默认语法是：

chattr [operator] [switch] [file]

chattr 具有如下操作符：

• 操作符 +，追加指定属性到文件已存在属性中
• 操作符 -，删除指定属性
• 操作符 =，直接设置文件属性为指定属性

chattr 提供不同的属性，也就是 aAcCdDeijsStTu。每个字符代表一个特定文件属性。

• a – 只能向文件中添加数据
• A – 不更新文件或目录的最后访问时间
• c – 将文件或目录压缩后存放
• C – 不适用写入时复制机制（CoW）
• d – 设定文件不能成为 dump 程序的备份目标
• D – 同步目录更新
• e – extend 格式存储
• i – 文件或目录不可改变
• j – 设定此参数使得当通过 mount 参数：data=ordered 或者 data=writeback 挂载的文件系统，文件在写入时会先被记录在日志中
• P – project 层次结构
• s – 安全删除文件或目录
• S – 即时更新文件或目录
• t – 不进行尾部合并
• T – 顶层目录层次结构
• u – 不可删除

在本教程中，我们将讨论两个属性的使用，即 a、i ，这个两个属性可以用于防止文件和目录的被删除。这是我们今天的主题，对吧？来开始吧！

防止文件被意外删除和修改

我先在我的当前目录创建一个file.txt文件。

$ touch file.txt

现在，我将给文件应用 i 属性，让文件不可改变。就是说你不能删除或修改这个文件，就算你是文件的拥有者和 root 用户也不行。

$ sudo chattr +i file.txt

使用lsattr命令检查文件已有属性：

$ lsattr file.txt

输出：

----i---------e---- file.txt

现在，试着用普通用户去删除文件：

$ rm file.txt

输出：

# 不能删除文件，非法操作
rm: cannot remove 'file.txt': Operation not permitted

我来试试 sudo 特权：

$ sudo rm file.txt

输出：

# 不能删除文件，非法操作
rm: cannot remove 'file.txt': Operation not permitted

我们试试追加写内容到这个文本文件：

$ echo 'Hello World!' >> file.txt

输出：

# 非法操作
bash: file.txt: Operation not permitted

试试 sudo 特权：

$ sudo echo 'Hello World!' >> file.txt

输出：

# 非法操作
bash: file.txt: Operation not permitted

你应该注意到了，我们不能删除或修改这个文件，甚至 root 用户或者文件所有者也不行。

要撤销属性，使用 -i 即可。

$ sudo chattr -i file.txt

现在，这不可改变属性已经被删除掉了。你现在可以删除或修改这个文件了。

$ rm file.txt

类似的，你能够限制目录被意外删除或修改，如下一节所述。

防止目录被意外删除和修改

创建一个 dir1 目录，放入文件 file.txt。

$ mkdir dir1 && touch dir1/file.txt

现在，让目录及其内容（file.txt 文件）不可改变：

$ sudo chattr -R +i dir1

命令中，

• -R – 递归使 dir1 目录及其内容不可修改
• +i – 使目录不可修改

现在，来试试删除这个目录，要么用普通用户，要么用 sudo 特权。

$ rm -fr dir1
$ sudo rm -fr dir1

你会看到如下输出：

# 不可删除'dir1/file.txt'：非法操作
rm: cannot remove 'dir1/file.txt': Operation not permitted

尝试用 echo 命令追加内容到文件，你成功了吗？当然，你做不到。

撤销此属性，输入：

$ sudo chattr -R -i dir1

现在你就能想平常一样删除或修改这个目录内容了。

防止文件和目录被意外删除，但允许追加操作

我们现已知道如何防止文件和目录被意外删除和修改了。接下来，我们将防止文件被删除但仅仅允许文件被追加内容。意思是你不可以编辑修改文件已存在的数据，或者重命名这个文件或者删除这个文件，你仅可以使用追加模式打开这个文件。

为了设置追加属性到文件或目录，我们像下面这么操作：

针对文件：

$ sudo chattr +a file.txt

针对目录：

$ sudo chattr -R +a dir1

一个文件或目录被设置了 a 这个属性就仅仅能够以追加模式打开进行写入。

添加些内容到这个文件以测试是否有效果。

$ echo 'Hello World!' >> file.txt
$ echo 'Hello World!' >> dir1/file.txt

查看文件内容使用cat命令

$ cat file.txt
$ cat dir1/file.txt

输出：

Hello World!

你将看到你现在可以追加内容。就表示我们可以修改这个文件或目录。

现在让我们试试删除这个文件或目录。

$ rm file.txt

输出：

# 不能删除文件'file.txt'：非法操作
rm: cannot remove 'file.txt': Operation not permitted

让我们试试删除这个目录：

$ rm -fr dir1/

输出：

# 不能删除文件'dir1/file.txt'：非法操作
rm: cannot remove 'dir1/file.txt': Operation not permitted

删除这个属性，执行下面这个命令：

针对文件：

$ sudo chattr -R -a file.txt

针对目录：

$ sudo chattr -R -a dir1/

现在，你可以想平常一样删除或修改这个文件和目录了。

更多详情，查看 man 页面。

man chattr

总结

保护数据是系统管理人员的主要工作之一。市场上有众多可用的免费和收费的数据保护软件。幸好，我们已经拥有这个内置命令可以帮助我们去保护数据被意外的删除和修改。在你的 Linux 系统中，chattr 可作为保护重要系统文件和数据的附加工具。

然后，这就是今天所有内容了。希望对大家有所帮助。接下来我将会在这提供其他有用的文章。在那之前，敬请期待。再见！

via: https://www.ostechnix.com/prevent-files-folders-accidental-deletion-modification-linux/

作者：SK 译者：yizhuoyan 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出