不久之前我已经向你展示了如何在任意离线的 Ubuntu 和 Arch Linux 操作系统上安装软件。 今天，我们将会看看如何完整地离线更新并升级基于 Debian 的操作系统。 和之前所述方法的不同之处在于，这次我们将会升级整个操作系统，而不是单个的软件包。这个方法在你没有网络链接或拥有的网络速度很慢的时候十分有用。

完整地离线更新并升级基于 Debian 的操作系统

首先假设，你在单位拥有正在运行并配置有高速互联网链接的系统（Windows 或者 Linux），而在家有一个没有网络链接或网络很慢（例如拨号网络）的 Debian 或其衍生的操作系统。现在如果你想要离线更新你家里的操作系统怎么办？购买一个更加高速的网络链接？不，根本不需要！你仍然可以通过互联网离线更新升级你的操作系统。这正是 Apt-Offline工具可以帮助你做到的。

正如其名，apt-offline 是一个为 Debian 及其衍生发行版（诸如 Ubuntu、Linux Mint 这样基于 APT 的操作系统）提供的离线 APT 包管理器。使用 apt-offline，我们可以完整地更新/升级我们的 Debian 系统而不需要网络链接。这个程序是由 Python 编程语言写成的兼具 CLI 和图形界面的跨平台工具。

准备工作

• 一个已经联网的操作系统（Windows 或者 Linux）。在这份指南中，为了便于理解，我们将之称为在线操作系统。
• 一个离线操作系统（Debian 及其衍生版本）。我们称之为离线操作系统。
• 有足够空间容纳所有更新包的 USB 驱动器或者外接硬盘。

安装

Apt-Offline 可以在 Debian 及其衍生版本的默认仓库中获得。如果你的在线操作系统是运行的 Debian、Ubuntu、Linux Mint，及其它基于 DEB 的操作系统，你可以通过下面的命令安装 Apt-Offline：

sudo apt-get install apt-offline

如果你的在线操作系统运行的是非 Debian 类的发行版，使用 git clone 获取 Apt-Offline 仓库：

git clone https://github.com/rickysarraf/apt-offline.git

切换到克隆的目录下并在此处运行：

cd apt-offline/
sudo ./apt-offline

在离线操作系统（没有联网的操作系统）上的步骤

到你的离线操作系统上创建一个你想存储签名文件的目录：

mkdir ~/tmp
cd ~/tmp/

你可以自己选择使用任何目录。接下来，运行下面的命令生成签名文件：

sudo apt-offline set apt-offline.sig

示例输出如下：

Generating database of files that are needed for an update.
Generating database of file that are needed for operation upgrade

默认条件下，apt-offline 将会生成需要更新和升级的相关文件的数据库。你可以使用 --update 或者 --upgrade 选项相应创建。

拷贝完整的 tmp 目录到你的 USB 驱动器或者或者外接硬盘上，然后换到你的在线操作系统（有网络链接的操作系统）。

在在线操作系统上的步骤

插入你的 USB 驱动器然后进入 tmp 文件夹：

cd tmp/

然后，运行如下命令：

sudo apt-offline get apt-offline.sig --threads 5 --bundle apt-offline-bundle.zip

在这里的 -threads 5 代表着（并发连接的） APT 仓库的数目。如果你想要从更多的仓库下载软件包，你可以增加这里的数值。然后 -bundle apt-offline-bundle.zip 选项表示所有的软件包将会打包到一个叫做 apt-offline-bundle.zip 的单独存档中。这个存档文件将会被保存在你的当前工作目录中（LCTT 译注：即 tmp 目录）。

上面的命令将会按照之前在离线操作系统上生成的签名文件下载数据。

根据你的网络状况，这个操作将会花费几分钟左右的时间。请记住，apt-offline 是跨平台的，所以你可以在任何操作系统上使用它下载包。

一旦下载完成，拷贝 tmp 文件夹到你的 USB 或者外接硬盘上并且返回你的离线操作系统（LCTT 译注：此处的复制操作似不必要，因为我们一直在 USB 存储器的 tmp 目录中操作）。千万保证你的 USB 驱动器上有足够的空闲空间存储所有的下载文件，因为所有的包都放在 tmp 文件夹里了。

离线操作系统上的步骤

把你的设备插入你的离线操作系统，然后切换到你之前下载了所有包的 tmp目录下。

cd tmp

然后，运行下面的命令来安装所有下载好的包。

sudo apt-offline install apt-offline-bundle.zip

这个命令将会更新 APT 数据库，所以 APT 将会在 APT 缓冲里找所有需要的包。

注意事项： 如果在线和离线操作系统都在同一个局域网中，你可以通过 scp 或者其他传输应用程序将 tmp 文件传到离线操作系统中。如果两个操作系统在不同的位置（LCTT 译注：意指在不同的局域网），那就使用 USB 设备来拷贝。

好了大伙儿，现在就这么多了。 希望这篇指南对你有用。还有更多好东西正在路上。敬请关注！

祝你愉快！

via: https://www.ostechnix.com/fully-update-upgrade-offline-debian-based-systems/

作者：SK 译者：leemeans 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 上篇文章中 我说了操作系统行为的基本原理是，在任何一个给定的时刻，在一个 CPU 上有且只有一个任务是活动的。但是，如果 CPU 无事可做的时候，又会是什么样的呢？

事实证明，这种情况是非常普遍的，对于绝大多数的个人电脑来说，这确实是一种常态：大量的睡眠进程，它们都在等待某种情况下被唤醒，差不多在 100% 的 CPU 时间中，都处于虚构的“空闲任务”中。事实上，如果一个普通用户的 CPU 处于持续的繁忙中，它可能意味着有一个错误、bug、或者运行了恶意软件。

因为我们不能违反我们的原理，一些任务需要在一个 CPU 上激活。首先是因为，这是一个良好的设计：持续很长时间去遍历内核，检查是否有一个活动任务，这种特殊情况是不明智的做法。最好的设计是没有任何例外的情况。无论何时，你写一个 if 语句，Nyan Cat 就会喵喵喵。其次，我们需要使用空闲的 CPU 去做一些事情，让它们充满活力，你懂得，就是创建天网计划呗。

因此，保持这种设计的连续性，并领先于那些邪恶计划一步，操作系统开发者创建了一个空闲任务，当没有其它任务可做时就调度它去运行。我们可以在 Linux 的 引导过程 中看到，这个空闲任务就是进程 0，它是由计算机打开电源时运行的第一个指令直接派生出来的。它在 rest\_init 中初始化，在 init\_idle\_bootup\_task 中初始化空闲 调度类 scheduling class 。

简而言之，Linux 支持像实时进程、普通用户进程等等的不同调度类。当选择一个进程变成活动任务时，这些类按优先级进行查询。通过这种方式，核反应堆的控制代码总是优先于 web 浏览器运行。尽管在通常情况下，这些类返回 NULL，意味着它们没有合适的任务需要去运行 —— 它们总是处于睡眠状态。但是空闲调度类，它是持续运行的，从不会失败：它总是返回空闲任务。

好吧，我们来看一下这个空闲任务到底做了些什么。下面是 cpu\_idle\_loop，感谢开源能让我们看到它的代码：

while (1) {
    while(!need_resched()) {
        cpuidle_idle_call();
    }

    /*
    [Note: Switch to a different task. We will return to this loop when the idle task is again selected to run.]
    */
    schedule_preempt_disabled();
}

cpu\_idle\_loop

我省略了很多的细节，稍后我们将去了解任务切换，但是，如果你阅读了这些源代码，你就会找到它的要点：由于这里不需要重新调度（即改变活动任务），它一直处于空闲状态。以所经历的时间来计算，这个循环和其它操作系统中它的“堂兄弟们”相比，在计算的历史上它是运行的最多的代码片段。对于 Intel 处理器来说，处于空闲状态意味着运行着一个 halt 指令：

static inline void native_halt(void)
    {
    asm volatile("hlt": : :"memory");
    }

native\_halt

hlt 指令停止处理器中的代码执行，并将它置于 halt 的状态。奇怪的是，全世界各地数以百万计的 Intel 类的 CPU 们花费大量的时间让它们处于 halt 的状态，甚至它们在通电的时候也是如此。这并不是高效、节能的做法，这促使芯片制造商们去开发处理器的深度睡眠状态，以带来着更少的功耗和更长休眠时间。内核的 cpuidle 子系统 是这些节能模式能够产生好处的原因。

现在，一旦我们告诉 CPU 去 halt（睡眠）之后，我们需要以某种方式让它醒来。如果你读过 上篇文章《你的操作系统什么时候运行？》 ，你可能会猜到中断会参与其中，而事实确实如此。中断促使 CPU 离开 halt 状态返回到激活状态。因此，将这些拼到一起，下图是当你阅读一个完全呈现的 web 网页时，你的系统主要做的事情：

除定时器中断外的其它中断也会使处理器再次发生变化。如果你再次点击一个 web 页面就会产生这种变化，例如：你的鼠标发出一个中断，它的驱动会处理它，并且因为它产生了一个新的输入，突然进程就可运行了。在那个时刻， need_resched() 返回 true，然后空闲任务因你的浏览器而被踢出而终止运行。

如果我们呆呆地看着这篇文章，而不做任何事情。那么随着时间的推移，这个空闲循环就像下图一样：

在这个示例中，由内核计划的定时器中断会每 4 毫秒发生一次。这就是 滴答 tick 周期。也就是说每秒钟将有 250 个滴答，因此，这个滴答速率（频率）是 250 Hz。这是运行在 Intel 处理器上的 Linux 的典型值，而其它操作系统喜欢使用 100 Hz。这是由你构建内核时在 CONFIG_HZ 选项中定义的。

对于一个空闲 CPU 来说，它看起来似乎是个无意义的工作。如果外部世界没有新的输入，在你的笔记本电脑的电池耗尽之前，CPU 将始终处于这种每秒钟被唤醒 250 次的地狱般折磨的小憩中。如果它运行在一个虚拟机中，那我们正在消耗着宿主机 CPU 的性能和宝贵的时钟周期。

在这里的解决方案是 动态滴答，当 CPU 处于空闲状态时，定时器中断被 暂停或重计划，直到内核知道将有事情要做时（例如，一个进程的定时器可能要在 5 秒内过期，因此，我们不能再继续睡眠了），定时器中断才会重新发出。这也被称为无滴答模式。

最后，假设在一个系统中你有一个活动进程，例如，一个长时间运行的 CPU 密集型任务。那样几乎就和一个空闲系统是相同的：这些示意图仍然是相同的，只是将空闲任务替换为这个进程，并且相应的描述也是准确的。在那种情况下，每 4 毫秒去中断一次任务仍然是无意义的：它只是操作系统的性能抖动，甚至会使你的工作变得更慢而已。Linux 也可以在这种单一进程的场景中停止这种固定速率的滴答，这被称为 自适应滴答 模式。最终，这种固定速率的滴答可能会 完全消失。

对于阅读一篇文章来说，CPU 基本是无事可做的。内核的这种空闲行为是操作系统难题的一个重要部分，并且它与我们看到的其它情况非常相似，因此，这将帮助我们理解一个运行中的内核。

via: https://manybutfinite.com/post/what-does-an-idle-cpu-do/

作者：Gustavo Duarte 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

来自我的邮箱：

我写了一个 hello world 小脚本。我如何能调试运行在 Linux 或者类 UNIX 的系统上的 bash shell 脚本呢？

这是 Linux / Unix 系统管理员或新用户最常问的问题。shell 脚本调试可能是一项繁琐的工作（不容易阅读）。调试 shell 脚本有多种方法。

您需要传递 -x 或 -v 参数，以在 bash shell 中浏览每行代码。

让我们看看如何使用各种方法调试 Linux 和 UNIX 上运行的脚本。

-x 选项来调试脚本

用 -x 选项来运行脚本：

$ bash -x script-name
$ bash -x domains.sh

使用 set 内置命令

bash shell 提供调试选项，可以打开或关闭使用 set 命令：

• set -x : 显示命令及其执行时的参数。
• set -v : 显示 shell 输入行作为它们读取的

可以在 shell 脚本本身中使用上面的两个命令：

#!/bin/bash
clear

# turn on debug mode
set -x
for f in *
do
   file $f
done
# turn OFF debug mode
set +x
ls
# more commands

你可以代替 标准释伴 行：

#!/bin/bash

用以下代码（用于调试）：

#!/bin/bash -xv

使用智能调试功能

首先添加一个叫做 _DEBUG 的特殊变量。当你需要调试脚本的时候，设置 _DEBUG 为 on：

_DEBUG="on"

在脚本的开头放置以下函数：

function DEBUG()
{
 [ "$_DEBUG" == "on" ] &&  $@
}

现在，只要你需要调试，只需使用 DEBUG 函数如下：

DEBUG echo "File is $filename"

或者：

DEBUG set -x
Cmd1
Cmd2
DEBUG set +x

当调试完（在移动你的脚本到生产环境之前）设置 _DEBUG 为 off。不需要删除调试行。

_DEBUG="off" # 设置为非 'on' 的任何字符

示例脚本：

#!/bin/bash
_DEBUG="on"
function DEBUG()
{
 [ "$_DEBUG" == "on" ] &&  $@
}

DEBUG echo 'Reading files'
for i in *
do
  grep 'something' $i > /dev/null
  [ $? -eq 0 ] && echo "Found in $i file"
done
DEBUG set -x
a=2
b=3
c=$(( $a + $b ))
DEBUG set +x
echo "$a + $b = $c"

保存并关闭文件。运行脚本如下：

$ ./script.sh

输出：

Reading files
Found in xyz.txt file
+ a=2
+ b=3
+ c=5
+ DEBUG set +x
+ '[' on == on ']'
+ set +x
2 + 3 = 5

现在设置 _DEBUG 为 off（你需要编辑该文件）：

_DEBUG="off"

运行脚本：

$ ./script.sh

输出：

Found in xyz.txt file
2 + 3 = 5

以上是一个简单但非常有效的技术。还可以尝试使用 DEBUG 作为别名而不是函数。

调试 Bash Shell 的常见错误

Bash 或者 sh 或者 ksh 在屏幕上给出各种错误信息，在很多情况下，错误信息可能不提供详细的信息。

跳过在文件上应用执行权限

当你 编写你的第一个 hello world 脚本,您可能会得到一个错误，如下所示：

bash: ./hello.sh: Permission denied

设置权限使用 chmod 命令:

$ chmod +x hello.sh
$ ./hello.sh
$ bash hello.sh

文件结束时发生意外的错误

如果您收到文件结束意外错误消息，请打开脚本文件，并确保它有打开和关闭引号。在这个例子中，echo 语句有一个开头引号，但没有结束引号：

#!/bin/bash

...
....

echo 'Error: File not found
                           ^^^^^^^
                           missing quote

还要确保你检查缺少的括号和大括号 {}：

#!/bin/bash
.....
[ ! -d $DIRNAME ] && { echo "Error: Chroot dir not found"; exit 1;
                                                                    ^^^^^^^^^^^^^
                                                                    missing brace }
...

丢失像 fi，esac，;; 等关键字。

如果你缺少了结尾的关键字，如 fi 或 ;; 你会得到一个错误，如 “XXX 意外”。因此，确保所有嵌套的 if 和 case 语句以适当的关键字结束。有关语法要求的页面。在本例中，缺少 fi：

#!/bin/bash
echo "Starting..."
....
if [ $1 -eq 10 ]
then
   if [ $2 -eq 100 ]
   then
      echo "Do something"
fi

for f in $files
do
  echo $f
done

# 注意 fi 丢失了

在 Windows 或 UNIX 框中移动或编辑 shell 脚本

不要在 Linux 上创建脚本并移动到 Windows。另一个问题是编辑 Windows 10上的 shell 脚本并将其移动到 UNIX 服务器上。这将由于换行符不同而导致命令没有发现的错误。你可以使用下列命令 将 DOS 换行转换为 CR-LF 的Unix/Linux 格式 ：

dos2unix my-script.sh

技巧

技巧 1 - 发送调试信息输出到标准错误

[标准错误] 是默认错误输出设备，用于写所有系统错误信息。因此，将消息发送到默认的错误设备是个好主意：

# 写错误到标准输出
echo "Error: $1 file not found"
#
# 写错误到标准错误（注意 1>&2 在 echo 命令末尾）
#
echo "Error: $1 file not found" 1>&2

技巧 2 - 在使用 vim 文本编辑器时，打开语法高亮

大多数现代文本编辑器允许设置语法高亮选项。这对于检测语法和防止常见错误如打开或关闭引号非常有用。你可以在不同的颜色中看到。这个特性简化了 shell 脚本结构中的编写，语法错误在视觉上截然不同。高亮不影响文本本身的意义，它只为你提示而已。在这个例子中，我的脚本使用了 vim 语法高亮：

!如何调试 Bash Shell 脚本，在 Linux 或者 UNIX 使用 Vim 语法高亮特性]7

技巧 3 - 使用 shellcheck 检查脚本

shellcheck 是一个用于静态分析 shell 脚本的工具。可以使用它来查找 shell 脚本中的错误。这是用 Haskell 编写的。您可以使用这个工具找到警告和建议。你可以看看如何在 Linux 或 类UNIX 系统上安装和使用 shellcheck 来改善你的 shell 脚本，避免错误和高效。

作者：Vivek Gite

作者是 nixCraft 创造者，一个经验丰富的系统管理员和一个练习 Linux 操作系统/ UNIX shell 脚本的教练。他曾与全球客户和各种行业，包括 IT，教育，国防和空间研究，以及非营利部门。关注他的 推特，脸谱网，谷歌+ 。

via: https://www.cyberciti.biz/tips/debugging-shell-script.html

作者：Vivek Gite 译者：zjon 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Vagrant 对于虚拟机来说是一个强大的工具，在这里我们将研究如何在 Ubuntu 上设置和使用 Virtualbox 和 Vagrant 来提供可复制的虚拟机。

虚拟机，并不复杂

多年来，开发人员一直使用虚拟机作为其工作流程的一部分，允许他们交换和更改运行软件的环境，这通常是为了防止项目之间的冲突，例如需要 php 5.3 的项目 A 和需要 php 5.4 的项目 B。

并且使用虚拟机意味着你只需要你正在使用的计算机就行，而不需要专用硬件来镜像你的生产环境。

当多个开发人员在一个项目上工作时，它也很方便，他们都可以运行一个包含所有需求的环境，但是维护多台机器并确保所有的需求都具有相同的版本是非常困难的，这时 Vagrant 就能派上用场了。

使用虚拟机的好处

• 你的虚拟机与主机环境是分开的
• 你可以根据你代码的要求裁剪一个定制虚拟机
• 不会影响其他虚拟机
• 可以运行在你的主机上无法运行的程序，例如在 Ubuntu 中运行一些只能在 Windows 运行的软件

什么是 Vagrant

简而言之，这是一个与虚拟机一起工作的工具，可以让你自动创建和删除虚拟机。

它围绕一个名为 VagrantFile 的配置文件而工作，这个配置文件告诉 Vagrant 你想要安装的操作系统，以及一些其他选项，如 IP 和目录同步。 你还可以在虚拟机上添加一个命令的配置脚本。

通过共享这个 VagrantFile，项目的所有开发人员全可以使用完全相同的虚拟机。

安装要求

安装 VirtualBox

VirtualBox 是运行虚拟机的程序，它可以从 Ubuntu 仓库中安装。

sudo apt-get install virtualbox

安装 Vagrant

对于 Vagrant 本身，你要前往 https://www.vagrantup.com/downloads.html 查看适用于你的操作系统的安装软件包。

安装增强功能

如果你打算与虚拟机共享任何文件夹，则需要安装以下插件。

vagrant plugin install vagrant-vbguest

配置 Vagrant

首先我们需要为 Vagrant 创建一个文件夹。

mkdir ~/Vagrant/test-vm
cd ~/Vagrant/test-vm

创建 VagrantFile：

vagrant init

开启虚拟机：

vagrant up

登录机器：

vagrant-ssh

此时，你将拥有一个基本的 vagrant 机器，以及一个名为 VagrantFile 的文件。

定制

在上面的步骤中创建的 VagrantFile 看起来类似于以下内容

VagrantFile：

# -*- mode: ruby -*-
# vi: set ft=ruby :
# All Vagrant configuration is done below. The "2" in Vagrant.configure
# configures the configuration version (we support older styles for
# backwards compatibility). Please don't change it unless you know what
# you're doing.
Vagrant.configure("2") do |config|
    # The most common configuration options are documented and commented below.
    # For a complete reference, please see the online documentation at
    # https://docs.vagrantup.com.

    # Every Vagrant development environment requires a box. You can search for
    # boxes at https://vagrantcloud.com/search.
    config.vm.box = "base"

    # Disable automatic box update checking. If you disable this, then
    # boxes will only be checked for updates when the user runs
    # `vagrant box outdated`. This is not recommended.
    # config.vm.box_check_update = false

    # Create a forwarded port mapping which allows access to a specific port
    # within the machine from a port on the host machine. In the example below,
    # accessing "localhost:8080" will access port 80 on the guest machine.
    # NOTE: This will enable public access to the opened port
    # config.vm.network "forwarded_port", guest: 80, host: 8080

    # Create a forwarded port mapping which allows access to a specific port
    # within the machine from a port on the host machine and only allow access
    # via 127.0.0.1 to disable public access
    # config.vm.network "forwarded_port", guest: 80, host: 8080, host_ip: "127.0.0.1"

    # Create a private network, which allows host-only access to the machine
    # using a specific IP.
    # config.vm.network "private_network", ip: "192.168.33.10"

    # Create a public network, which generally matched to bridged network.
    # Bridged networks make the machine appear as another physical device on
    # your network.
    # config.vm.network "public_network"

    # Share an additional folder to the guest VM. The first argument is
    # the path on the host to the actual folder. The second argument is
    # the path on the guest to mount the folder. And the optional third
    # argument is a set of non-required options.
    # config.vm.synced_folder "../data", "/vagrant_data"

    # Provider-specific configuration so you can fine-tune various
    # backing providers for Vagrant. These expose provider-specific options.
    # Example for VirtualBox:
    #
    # config.vm.provider "virtualbox" do |vb|
    #   # Display the VirtualBox GUI when booting the machine
    #   vb.gui = true
    #
    #   # Customize the amount of memory on the VM:
    #   vb.memory = "1024"
    # end
    #
    # View the documentation for the provider you are using for more
    # information on available options.

    # Enable provisioning with a shell script. Additional provisioners such as
    # Puppet, Chef, Ansible, Salt, and Docker are also available. Please see the
    # documentation for more information about their specific syntax and use.
    # config.vm.provision "shell", inline: <<-SHELL
    #   apt-get update
    #   apt-get install -y apache2
    # SHELL
end

现在这个 VagrantFile 将创建基本的虚拟机。但 Vagrant 背后的理念是让虚拟机为我们的特定任务而配置，所以我们删除注释和调整配置。

VagrantFile：

# -*- mode: ruby -*-
# vi: set ft=ruby :

Vagrant.configure("2") do |config|
  # Set the Linux Version to Debian Jessie
  config.vm.box = "debian/jessie64"
  # Set the IP of the Box
  config.vm.network "private_network", ip: "192.168.33.10"
  # Sync Our Projects Directory with the WWW directory 
  config.vm.synced_folder "~/Projects", "/var/www/"
  # Run the following to Provision
  config.vm.provision "shell", path: "install.sh"
end

现在我们有一个简单的 VagrantFile，它将 Linux 版本设置为 debian jessie，设置一个 IP 给我们使用，同步我们感兴趣的文件夹，并最后运行 install.sh，这是我们可以运行 shell 命令的地方。

install.sh：

#! /usr/bin/env bash
# Variables
DBHOST=localhost
DBNAME=dbname
DBUSER=dbuser
DBPASSWD=test123

echo "[ Provisioning machine ]"
echo "1) Update APT..."
apt-get -qq update

echo "1) Install Utilities..."
apt-get install -y tidy pdftk curl xpdf imagemagick openssl vim git

echo "2) Installing Apache..."
apt-get install -y apache2

echo "3) Installing PHP and packages..."
apt-get install -y php5 libapache2-mod-php5 libssh2-php php-pear php5-cli php5-common php5-curl php5-dev php5-gd php5-imagick php5-imap php5-intl php5-mcrypt php5-memcached php5-mysql php5-pspell php5-xdebug php5-xmlrpc
#php5-suhosin-extension, php5-mysqlnd

echo "4) Installing MySQL..."
debconf-set-selections <<< "mysql-server mysql-server/root_password password secret"
debconf-set-selections <<< "mysql-server mysql-server/root_password_again password secret"
apt-get install -y mysql-server
mysql -uroot -p$DBPASSWD -e "CREATE DATABASE $DBNAME"
mysql -uroot -p$DBPASSWD -e "grant all privileges on $DBNAME.* to '$DBUSER'@'localhost' identified by '$DBPASSWD'"

echo "5) Generating self signed certificate..."
mkdir -p /etc/ssl/localcerts
openssl req -new -x509 -days 365 -nodes -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com" -out /etc/ssl/localcerts/apache.pem -keyout /etc/ssl/localcerts/apache.key
chmod 600 /etc/ssl/localcerts/apache*

echo "6) Setup Apache..."
a2enmod rewrite
> /etc/apache2/sites-enabled/000-default.conf
echo "
<VirtualHost *:80>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

" >> /etc/apache2/sites-enabled/000-default.conf
service apache2 restart 

echo "7) Composer Install..."
curl --silent https://getcomposer.org/installer | php 
mv composer.phar /usr/local/bin/composer

echo "8) Install NodeJS..."
curl -sL https://deb.nodesource.com/setup_6.x | sudo -E bash - 
apt-get -qq update
apt-get -y install nodejs 

echo "9) Install NPM Packages..."
npm install -g gulp gulp-cli

echo "Provisioning Completed"

通过上面的步骤，在你的目录中会有 VagrantFile 和 install.sh，运行 vagrant 会做下面的事情：

• 采用 Debian Jessie 来创建虚拟机
• 将机器的 IP 设置为 192.168.33.10
• 同步 ~/Projects 和 /var/www/ 目录
• 安装并设置 Apache、Mysql、PHP、Git、Vim
• 安装并运行 Composer
• 安装 Nodejs 和 gulp
• 创建一个 MySQL 数据库
• 创建自签名证书

通过与其他人共享 VagrantFile 和 install.sh，你可以在两台不同的机器上使用完全相同的环境。

via: https://www.chris-shaw.com/blog/how-to-install-and-setup-vagrant

作者：Christopher Shaw 译者：MjSeven 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 管理员的一个重要任务是保护服务器免受非法攻击或访问。 默认情况下，Linux 系统带有配置良好的防火墙，比如iptables、Uncomplicated Firewall（UFW），ConfigServer Security Firewall（CSF）等，可以防止多种攻击。

任何连接到互联网的机器都是恶意攻击的潜在目标。 有一个名为 Fail2Ban 的工具可用来缓解服务器上的非法访问。

什么是 Fail2Ban？

Fail2Ban 是一款入侵防御软件，可以保护服务器免受暴力攻击。 它是用 Python 编程语言编写的。 Fail2Ban 基于auth 日志文件工作，默认情况下它会扫描所有 auth 日志文件，如 /var/log/auth.log、/var/log/apache/access.log 等，并禁止带有恶意标志的IP，比如密码失败太多，寻找漏洞等等标志。

通常，Fail2Ban 用于更新防火墙规则，用于在指定的时间内拒绝 IP 地址。 它也会发送邮件通知。 Fail2Ban 为各种服务提供了许多过滤器，如 ssh、apache、nginx、squid、named、mysql、nagios 等。

Fail2Ban 能够降低错误认证尝试的速度，但是它不能消除弱认证带来的风险。 这只是服务器防止暴力攻击的安全手段之一。

如何在 Linux 中安装 Fail2Ban

Fail2Ban 已经与大部分 Linux 发行版打包在一起了，所以只需使用你的发行包版的包管理器来安装它。

对于 Debian / Ubuntu，使用 APT-GET 命令或 APT 命令安装。

$ sudo apt install fail2ban

对于 Fedora，使用 DNF 命令安装。

$ sudo dnf install fail2ban

对于 CentOS/RHEL，启用 EPEL 库或 RPMForge 库，使用 YUM 命令安装。

$ sudo yum install fail2ban

对于 Arch Linux，使用 Pacman 命令安装。

$ sudo pacman -S fail2ban

对于 openSUSE , 使用 Zypper命令安装。

$ sudo zypper in fail2ban

如何配置 Fail2Ban

默认情况下，Fail2Ban 将所有配置文件保存在 /etc/fail2ban/ 目录中。 主配置文件是 jail.conf，它包含一组预定义的过滤器。 所以，不要编辑该文件，这是不可取的，因为只要有新的更新，配置就会重置为默认值。

只需在同一目录下创建一个名为 jail.local 的新配置文件，并根据您的意愿进行修改。

# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

默认情况下，大多数选项都已经配置的很完美了，如果要启用对任何特定 IP 的访问，则可以将 IP 地址添加到 ignoreip 区域，对于多个 IP 的情况，用空格隔开 IP 地址。

配置文件中的 DEFAULT 部分包含 Fail2Ban 遵循的基本规则集，您可以根据自己的意愿调整任何参数。

# nano /etc/fail2ban/jail.local

[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.100/24
bantime = 600
findtime = 600
maxretry = 3
destemail = [email protected]

• ignoreip：本部分允许我们列出 IP 地址列表，Fail2Ban 不会禁止与列表中的地址匹配的主机
• bantime：主机被禁止的秒数
• findtime：如果在最近 findtime 秒期间已经发生了 maxretry 次重试，则主机会被禁止
• maxretry：是主机被禁止之前的失败次数

如何配置服务

Fail2Ban 带有一组预定义的过滤器，用于各种服务，如 ssh、apache、nginx、squid、named、mysql、nagios 等。 我们不希望对配置文件进行任何更改，只需在服务区域中添加 enabled = true 这一行就可以启用任何服务。 禁用服务时将 true 改为 false 即可。

# SSH servers
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

• enabled： 确定服务是打开还是关闭。
• port：指明特定的服务。 如果使用默认端口，则服务名称可以放在这里。 如果使用非传统端口，则应该是端口号。
• logpath：提供服务日志的位置
• backend：指定用于获取文件修改的后端。

重启 Fail2Ban

进行更改后，重新启动 Fail2Ban 才能生效。

[For SysVinit Systems]
# service fail2ban restart

[For systemd Systems]
# systemctl restart fail2ban.service

验证 Fail2Ban iptables 规则

你可以使用下面的命令来确认是否在防火墙中成功添加了Fail2Ban iptables 规则。

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-apache-auth tcp -- anywhere anywhere multiport dports http,https
f2b-sshd tcp -- anywhere anywhere multiport dports 1234
ACCEPT tcp -- anywhere anywhere tcp dpt:1234

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-apache-auth (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain f2b-sshd (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

如何测试 Fail2Ban

我做了一些失败的尝试来测试这个。 为了证实这一点，我要验证 /var/log/fail2ban.log 文件。

2017-11-05 14:43:22,901 fail2ban.server [7141]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
2017-11-05 14:43:22,987 fail2ban.database [7141]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2017-11-05 14:43:22,996 fail2ban.database [7141]: WARNING New database created. Version '2'
2017-11-05 14:43:22,998 fail2ban.jail [7141]: INFO Creating new jail 'sshd'
2017-11-05 14:43:23,002 fail2ban.jail [7141]: INFO Jail 'sshd' uses poller {}
2017-11-05 14:43:23,019 fail2ban.jail [7141]: INFO Initiated 'polling' backend
2017-11-05 14:43:23,019 fail2ban.filter [7141]: INFO Set maxRetry = 5
2017-11-05 14:43:23,020 fail2ban.filter [7141]: INFO Set jail log file encoding to UTF-8
2017-11-05 14:43:23,020 fail2ban.filter [7141]: INFO Added logfile = /var/log/auth.log
2017-11-05 14:43:23,021 fail2ban.actions [7141]: INFO Set banTime = 600
2017-11-05 14:43:23,021 fail2ban.filter [7141]: INFO Set findtime = 600
2017-11-05 14:43:23,022 fail2ban.filter [7141]: INFO Set maxlines = 10
2017-11-05 14:43:23,070 fail2ban.server [7141]: INFO Jail sshd is not a JournalFilter instance
2017-11-05 14:43:23,081 fail2ban.jail [7141]: INFO Jail 'sshd' started
2017-11-05 14:43:23,763 fail2ban.filter [7141]: INFO [sshd] Found 103.5.134.167
2017-11-05 14:43:23,763 fail2ban.filter [7141]: INFO [sshd] Found 103.5.134.167
2017-11-05 14:43:23,764 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
2017-11-05 14:43:23,764 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
2017-11-05 14:43:23,765 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
2017-11-05 14:43:23,765 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
2017-11-05 15:19:06,192 fail2ban.server [7141]: INFO Stopping all jails
2017-11-05 15:19:06,874 fail2ban.jail [7141]: INFO Jail 'sshd' stopped
2017-11-05 15:19:06,879 fail2ban.server [7141]: INFO Exiting Fail2ban
2017-11-05 15:19:07,123 fail2ban.server [8528]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
2017-11-05 15:19:07,123 fail2ban.database [8528]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2017-11-05 15:19:07,126 fail2ban.jail [8528]: INFO Creating new jail 'sshd'
2017-11-05 15:19:07,129 fail2ban.jail [8528]: INFO Jail 'sshd' uses poller {}
2017-11-05 15:19:07,141 fail2ban.jail [8528]: INFO Initiated 'polling' backend
2017-11-05 15:19:07,142 fail2ban.actions [8528]: INFO Set banTime = 60
2017-11-05 15:19:07,142 fail2ban.filter [8528]: INFO Set findtime = 60
2017-11-05 15:19:07,142 fail2ban.filter [8528]: INFO Set jail log file encoding to UTF-8
2017-11-05 15:19:07,143 fail2ban.filter [8528]: INFO Set maxRetry = 3
2017-11-05 15:19:07,144 fail2ban.filter [8528]: INFO Added logfile = /var/log/auth.log
2017-11-05 15:19:07,144 fail2ban.filter [8528]: INFO Set maxlines = 10
2017-11-05 15:19:07,189 fail2ban.server [8528]: INFO Jail sshd is not a JournalFilter instance
2017-11-05 15:19:07,195 fail2ban.jail [8528]: INFO Jail 'sshd' started
2017-11-05 15:20:03,263 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167
2017-11-05 15:20:05,267 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167
2017-11-05 15:20:12,276 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167
2017-11-05 15:20:12,380 fail2ban.actions [8528]: NOTICE [sshd] Ban 103.5.134.167
2017-11-05 15:21:12,659 fail2ban.actions [8528]: NOTICE [sshd] Unban 103.5.134.167

要查看启用的监狱列表，请运行以下命令。

# fail2ban-client status
Status
|- Number of jail:  2
`- Jail list:   apache-auth, sshd

通过运行以下命令来获取禁止的 IP 地址。

# fail2ban-client status ssh
Status for the jail: ssh
|- filter
| |- File list: /var/log/auth.log
| |- Currently failed: 1
| `- Total failed: 3
`- action
 |- Currently banned: 1
 | `- IP list: 192.168.1.115
 `- Total banned: 1

要从 Fail2Ban 中删除禁止的 IP 地址，请运行以下命令。

# fail2ban-client set ssh unbanip 192.168.1.115

via: https://www.2daygeek.com/how-to-install-setup-configure-fail2ban-on-linux/

作者：Magesh Maruthamuthu 译者：Flowsnow 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

你的 home 目录下藏着很多隐藏文件。如果你在运行 macOS 或者主流的 Linux 发行版的话，你就会在靠近隐藏文件列表的上方看见一个名为 .bashrc 的文件。那么什么是 .bashrc，编辑 .bashrc 又有什么用呢？

如果你运行一个基于 Unix 或者类 Unix 的操作系统，bash 很有可能是作为默认终端被安装的。虽然存在很多不同的 shell，bash 却是最常见或许也是最主流的。如果你不明白那意味着什么，bash 是一个能解释你输入进终端程序的东西，并且基于你的输入来运行命令。它在一定程度上支持使用脚本来定制功能，这时候就要用到 .bashrc 了。

为了加载你的配置，bash 在每次启动时都会加载 .bashrc 文件的内容。每个用户的 home 目录都有这个 shell 脚本。它用来存储并加载你的终端配置和环境变量。

终端配置可以包含很多不同的东西。最常见的，.bashrc 文件包含用户想要用的别名。别名允许用户通过更短的名字或替代的名字来指向命令，对于经常在终端下工作的人来说这可是一个省时利器。

你可以在任何终端文本编辑器上编辑 .bashrc。在接下来的例子中我们将使用 nano。

要使用 nano 来编辑 .bashrc，在终端中调用以下命令：

nano ~/.bashrc

如果你之前从没有编辑过 .bashrc 的话，你也许会发现它是空的。这没关系！如果不是的话，你可以随意在任一行添加你的配置。

你对 bashrc 所做的任何修改将在下一次启动终端时生效。如果你想立刻生效的话，运行下面的命令：

source ~/.bashrc

你可以添加到任何 .bashrc 的位置，随意使用命令（通过 #）来组织你的代码。

编辑 .bashrc 需要遵循 bash 脚本格式。如果你不知道如何用 bash 编写脚本的话，有很多在线资料可供查阅。这是一本相当全面的介绍指南，包含一些我们没能在这里提及的 bashrc 的方面。

相关： 如何在 Linux 启动时以 root 权限运行 bash 脚本

有一些有用的小技巧能使你的终端体验将更高效，也更用户友好。

为什么我要编辑 bashrc ？

Bash 提示符

bash 提示符允许你自定义你的终端，并让它在你运行命令时显示提示。自定义的 bash 提示符着实能提高你在终端的工作效率。

看看这些即有用又有趣的 bash 提示符，你可以把它们添加到你的 .bashrc 里。

别名

别名允许你使用简写的代码来执行你想要的某种格式的某个命令。让我们用 ls 命令来举个例子吧。ls 命令默认显示你目录里的内容。这挺有用的，不过显示目录的更多信息，或者显示目录下的隐藏内容，往往更加有用。因此，有个常见的别名就是 ll，用来运行 ls -lha 或者其他类似的命令。这样就能显示文件的大部分信息，找出隐藏的文件，并能以“能被人类阅读”的单位显示文件大小，而不是用“块”作为单位。

你需要按照下面这样的格式书写别名：

alias ll = "ls -lha"

左边输入你想设置的别名，右边引号里是要执行的命令。你可以用这种方法来创建命令的短版本，防止出现常见的拼写错误，或者让一个命令总是带上你想要的参数来运行。你也可以用你喜欢的缩写来规避讨厌或容易忘记的语法。这是一些常见的别名的用法，你可以添加到你的 .bashrc 里。

函数

除了缩短命令名，你也可以用 bash 函数组合多个命令到一个操作。这些命令可以很复杂，但是它们大多遵循这种语法：

function_name () {
 command_1
 command_2
}

下面的命令组合了 mkdir 和 cd 命令。输入 md folder_name 可以在你的工作目录创建一个名为“folder\_name”的目录并立刻导航进入。

md () {
  mkdir -p $1
  cd $1 
}

如你所见，函数中的 $1 代表第一个参数，就是你在函数名后紧跟着输入的文本。

总结

不像某些自定义终端的方法，变动 bashrc 是非常直接且低风险的。即使你一不小心全搞砸了，你也可以随时删掉 bashrc 文件然后重新来一遍。试试看吧，你会惊叹于你提高的生产力的。

via: https://www.maketecheasier.com/what-is-bashrc/

作者：Alexander Fox 译者：heart4lor 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出