交换分区在物理内存（RAM）被填满时用来保持内存中的内容。当 RAM 被耗尽，Linux 会将内存中不活动的页移动到交换空间中，从而空出内存给系统使用。虽然如此，但交换空间不应被认为是物理内存的替代品。

大多数情况下，建议交换内存的大小为物理内存的 1 到 2 倍。也就是说如果你有 8GB 内存, 那么交换空间大小应该介于8-16 GB。

若系统中没有配置交换分区，当内存耗尽后，系统可能会杀掉正在运行中的进程/应用，从而导致系统崩溃。在本文中，我们将学会如何为 Linux 系统添加交换分区，我们有两个办法：

• 使用 fdisk 命令
• 使用 fallocate 命令

第一个方法（使用 fdisk 命令）

通常，系统的第一块硬盘会被命名为 /dev/sda，而其中的分区会命名为 /dev/sda1 、 /dev/sda2。 本文我们使用的是一块有两个主分区的硬盘，两个分区分别为 /dev/sda1、 /dev/sda2，而我们使用 /dev/sda3 来做交换分区。

首先创建一个新分区，

$ fdisk /dev/sda

按 n 来创建新分区。系统会询问你从哪个柱面开始，直接按回车键使用默认值即可。然后系统询问你到哪个柱面结束, 这里我们输入交换分区的大小（比如 1000MB）。这里我们输入 +1000M。

现在我们创建了一个大小为 1000MB 的磁盘了。但是我们并没有设置该分区的类型，我们按下 t 然后回车，来设置分区类型。

现在我们要输入分区编号，这里我们输入 3，然后输入磁盘分类号，交换分区的分区类型为 82 （要显示所有可用的分区类型，按下 l ) ，然后再按下 w 保存磁盘分区表。

再下一步使用 mkswap 命令来格式化交换分区：

$ mkswap /dev/sda3

然后激活新建的交换分区：

$ swapon /dev/sda3

然而我们的交换分区在重启后并不会自动挂载。要做到永久挂载，我们需要添加内容到 /etc/fstab 文件中。打开 /etc/fstab 文件并输入下面行：

$ vi /etc/fstab

/dev/sda3 swap  swap  default  0  0

保存并关闭文件。现在每次重启后都能使用我们的交换分区了。

第二种方法（使用 fallocate 命令）

我推荐用这种方法因为这个是最简单、最快速的创建交换空间的方法了。fallocate 是最被低估和使用最少的命令之一了。 fallocate 命令用于为文件预分配块/大小。

使用 fallocate 创建交换空间，我们首先在 / 目录下创建一个名为 swap_space 的文件。然后分配 2GB 到 swap_space 文件：

$ fallocate -l 2G /swap_space

我们运行下面命令来验证文件大小：

$ ls -lh /swap_space

然后更改文件权限，让 /swap_space 更安全：

$ chmod 600 /swap_space

这样只有 root 可以读写该文件了。我们再来格式化交换分区（LCTT 译注：虽然这个 swap_space 是个文件，但是我们把它当成是分区来挂载）：

$ mkswap /swap_space

然后启用交换空间：

$ swapon -s

每次重启后都要重新挂载磁盘分区。因此为了使之持久化，就像上面一样，我们编辑 /etc/fstab 并输入下面行：

/swap_space swap  swap  sw  0  0 

保存并退出文件。现在我们的交换分区会一直被挂载了。我们重启后可以在终端运行 free -m 来检查交换分区是否生效。

我们的教程至此就结束了，希望本文足够容易理解和学习，如果有任何疑问欢迎提出。

via: http://linuxtechlab.com/create-swap-using-fdisk-fallocate/

作者：Shusain 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

本文勘误与补充

长文预警： 这是一个目前严格限制的、禁止披露的安全 bug（LCTT 译注：目前已经部分披露），它影响到目前几乎所有实现虚拟内存的 CPU 架构，需要硬件的改变才能完全解决这个 bug。通过软件来缓解这种影响的紧急开发工作正在进行中，并且最近在 Linux 内核中已经得以实现，并且，在 11 月份，在 NT 内核中也开始了一个类似的紧急开发。在最糟糕的情况下，软件修复会导致一般工作负载出现巨大的减速（LCTT 译注：外在表现为 CPU 性能下降）。这里有一个提示，攻击会影响虚拟化环境，包括 Amazon EC2 和 Google 计算引擎，以及另外的提示是，这种精确的攻击可能涉及一个新的 Rowhammer 变种（LCTT 译注：一个由 Google 安全团队提出的 DRAM 的安全漏洞，在文章的后面部分会简单介绍）。

我一般不太关心安全问题，但是，对于这个 bug 我有点好奇，而一般会去写这个主题的人似乎都很忙，要么就是知道这个主题细节的人会保持沉默。这让我在新年的第一天（元旦那天）花了几个小时深入去挖掘关于这个谜团的更多信息，并且我将这些信息片断拼凑到了一起。

注意，这是一件相互之间高度相关的事件，因此，它的主要描述都是猜测，除非过一段时间，它的限制禁令被取消。我所看到的，包括涉及到的供应商、许多争论和这种戏剧性场面，将在限制禁令取消的那一天出现。

LWN

这个事件的线索出现于 12 月 20 日 LWN 上的 内核页面表的当前状况：页面隔离这篇文章。从文章语气上明显可以看到这项工作的紧急程度，内核的核心开发者紧急加入了 KAISER 补丁系列的开发——它由奥地利的 TU Graz 的一组研究人员首次发表于去年 10 月份。

这一系列的补丁的用途从概念上说很简单：为了阻止运行在用户空间的进程在进程页面表中通过映射得到内核空间页面的各种攻击方式，它可以很好地阻止了从非特权的用户空间代码中识别到内核虚拟地址的攻击企图。

这个小组在描述 KAISER 的论文《KASLR 已死：KASLR 永存》摘要中特别指出，当用户代码在 CPU 上处于活动状态的时候，在内存管理硬件中删除所有内核地址空间的信息。

这个补丁集的魅力在于它触及到了核心，内核的全部基柱（以及与用户空间的接口），显然，它应该被最优先考虑。遍观 Linux 中内存管理方面的变化，通常某个变化的首次引入会发生在该改变被合并的很久之前，并且，通常会进行多次的评估、拒绝、以及因各种原因爆发争论的一系列过程。

而 KAISER（就是现在的 KPTI）系列（从引入到）被合并还不足三个月。

ASLR 概述

从表面上看，这些补丁设计以确保 地址空间布局随机化 Address Space Layout Randomization （ASLR）仍然有效：这是一个现代操作系统的安全特性，它试图将更多的随机位引入到公共映射对象的地址空间中。

例如，在引用 /usr/bin/python 时，动态链接将对系统的 C 库、堆、线程栈、以及主要的可执行文件进行排布，去接受随机分配的地址范围：

$ bash -c ‘grep heap /proc/$$/maps’
019de000-01acb000 rw-p 00000000 00:00 0                                  [heap]
$ bash -c 'grep heap /proc/$$/maps’
023ac000-02499000 rw-p 00000000 00:00 0                                  [heap]

注意两次运行的 bash 进程的堆（heap）的开始和结束偏移量上的变化。

如果一个缓存区管理的 bug 将导致攻击者可以去覆写一些程序代码指向的内存地址，而那个地址之后将在程序控制流中使用，这样这种攻击者就可以使控制流转向到一个包含他们所选择的内容的缓冲区上。而这个特性的作用是，对于攻击者来说，使用机器代码来填充缓冲区做他们想做的事情（例如，调用 system() C 库函数）将更困难，因为那个函数的地址在不同的运行进程上不同的。

这是一个简单的示例，ASLR 被设计用于去保护类似这样的许多场景，包括阻止攻击者了解有可能被用来修改控制流的程序数据的地址或者实现一个攻击。

KASLR 是应用到内核本身的一个 “简化的” ASLR：在每个重新引导的系统上，属于内核的地址范围是随机的，这样就使得，虽然被攻击者操控的控制流运行在内核模式上，但是，他们不能猜测到为实现他们的攻击目的所需要的函数和结构的地址，比如，定位当前进程的数据段，将活动的 UID 从一个非特权用户提升到 root 用户，等等。

坏消息：缓减这种攻击的软件运行成本过于贵重

之前的方式，Linux 将内核的内存映射到用户内存的同一个页面表中的主要原因是，当用户的代码触发一个系统调用、故障、或者产生中断时，就不需要改变正在运行的进程的虚拟内存布局。

因为它不需要去改变虚拟内存布局，进而也就不需要去清洗掉（flush）依赖于该布局的与 CPU 性能高度相关的缓存（LCTT 译注：意即如果清掉这些高速缓存，CPU 性能就会下降），而主要是通过 转换查找缓冲器 Translation Lookaside Buffer （TLB）（LCTT 译注：TLB ，将虚拟地址转换为物理地址）。

随着页面表分割补丁的合并，内核每次开始运行时，需要将内核的缓存清掉，并且，每次用户代码恢复运行时都会这样。对于大多数工作负载，在每个系统调用中，TLB 的实际总损失将导致明显的变慢：@grsecurity 测量的一个简单的案例，在一个最新的 AMD CPU 上，Linux du -s 命令变慢了 50%。

34C3

在今年的 CCC 大会上，你可以找到 TU Graz 的另外一位研究人员，《描述了一个纯 Javascript 的 ASLR 攻击》，通过仔细地掌握 CPU 内存管理单元的操作时机，遍历了描述虚拟内存布局的页面表，来实现 ASLR 攻击。它通过高度精确的时间掌握和选择性回收的 CPU 缓存行的组合方式来实现这种结果，一个运行在 web 浏览器的 Javascript 程序可以找回一个 Javascript 对象的虚拟地址，使得可以利用浏览器内存管理 bug 进行接下来的攻击。（LCTT 译注：本文作者勘误说，上述链接 CCC 的讲演与 KAISER 补丁完全无关，是作者弄错了）

因此，从表面上看，我们有一组 KAISER 补丁，也展示了解除 ASLR 化地址的技术，并且，这个展示使用的是 Javascript，它很快就可以在一个操作系统内核上进行重新部署。

虚拟内存概述

在通常情况下，当一些机器码尝试去加载、存储、或者跳转到一个内存地址时，现代的 CPU 必须首先去转换这个 虚拟地址 到一个 物理地址 ，这是通过遍历一系列操作系统托管的数组（被称为页面表）的方式进行的，这些数组描述了虚拟地址和安装在这台机器上的物理内存之间的映射。

在现代操作系统中，虚拟内存可能是最重要的强大特性：它可以避免什么发生呢？例如，一个濒临死亡的进程崩溃了操作系统、一个 web 浏览器 bug 崩溃了你的桌面环境、或者一个运行在 Amazon EC2 中的虚拟机的变化影响了同一台主机上的另一个虚拟机。

这种攻击的原理是，利用 CPU 上维护的大量的缓存，通过仔细地操纵这些缓存的内容，它可以去推测内存管理单元的地址，以去访问页面表的不同层级，因为一个未缓存的访问将比一个缓存的访问花费更长的时间（以实时而言）。通过检测页面表上可访问的元素，它可能能够恢复在 MMU（LCTT 译注：存储器管理单元）忙于解决的虚拟地址中的大部分比特（bits）。

这种动机的证据，但是不用恐慌

我们找到了动机，但是到目前为止，我们并没有看到这项工作引进任何恐慌。总的来说，ASLR 并不能完全缓减这种风险，并且也是一道最后的防线：仅在这 6 个月的周期内，即便是一个没有安全意识的人也能看到一些关于解除（unmasking） ASLR 化的指针的新闻，并且，实际上这种事从 ASLR 出现时就有了。

单独的修复 ASLR 并不足于去描述这项工作高优先级背后的动机。

它是硬件安全 bug 的证据

通过阅读这一系列补丁，可以明确许多事情。

第一，正如 @grsecurity 指出 的，代码中的一些注释已经被编辑掉了（redacted），并且，描述这项工作的附加的主文档文件已经在 Linux 源代码树中看不到了。

通过检查该代码，这些补丁以运行时补丁的方式构建而成，在系统引导时仅当内核检测到该系统是受影响的系统时，这些补丁才会被应用。这里采用了和对著名的 Pentium F00F bug 的缓解措施完全相同的机制：

更多的线索：Microsoft 也已经实现了页面表的分割

通过对 FreeBSD 源代码的一个简单挖掘可以看出，目前，其它的自由操作系统没有实现页面表分割，但是，通过 Alex Ioniscu 在 Twitter 上的提示，这项工作已经不局限于 Linux 了：从 11 月起，公开的 NT 内核也已经实现了同样的技术。

猜测：Rowhammer

对 TU Graz 研究人员的工作的进一步挖掘，我们找到这篇 《当 rowhammer 仅敲一次》，这是 12 月 4 日通告的一个 新的 Rowhammer 攻击的变种：

在这篇论文中，我们提出了新的 Rowhammer 攻击和漏洞的原始利用方式，表明即便是组合了所有防御也没有效果。我们的新攻击技术，对一个位置的反复 “敲打”（hammering），打破了以前假定的触发 Rowhammer bug 的前提条件。

快速回顾一下，Rowhammer 是多数（全部？）种类的商业 DRAM 的一类根本性问题，比如，在普通的计算机中的内存上。通过精确操作内存中的一个区域，这可能会导致内存该区域存储的相关（但是逻辑上是独立的）内容被毁坏。效果是，Rowhammer 可能被用于去反转内存中的比特（bits），使未经授权的用户代码可以访问到，比如，这个比特位描述了系统中的其它代码的访问权限。

我发现在 Rowhammer 上，这项工作很有意思，尤其是它反转的位接近页面表分割补丁时，但是，因为 Rowhammer 攻击要求一个目标：你必须知道你尝试去反转的比特在内存中的物理地址，并且，第一步是得到的物理地址可能是一个虚拟地址，就像在 KASLR 中的解除（unmasking）工作。

猜测：它影响主要的云供应商

在我能看到的内核邮件列表中，除了该子系统维护者的名字之外，e-mail 地址属于 Intel、Amazon 和 Google 的雇员，这表示这两个大的云计算供应商对此特别感兴趣，这为我们提供了一个强大的线索，这项工作很大的可能是受虚拟化安全驱动的。

它可能会导致产生更多的猜测：虚拟机 RAM 和由这些虚拟机所使用的虚拟内存地址，最终表示为在主机上大量的相邻的数组，那些数组，尤其是在一个主机上只有两个租户的情况下，在 Xen 和 Linux 内核中是通过内存分配来确定的，这样可能会有（准确性）非常高的可预测行为。

最喜欢的猜测：这是一个提升特权的攻击

把这些综合到一起，我并不难预测，可能是我们在 2018 年会使用的这些存在提升特权的 bug 的发行版，或者类似的系统推动了如此紧急的进展，并且在补丁集的抄送列表中出现如此多的感兴趣者的名字。

最后的一个趣闻，虽然我在阅读补丁集的时候没有找到我要的东西，但是，在一些代码中标记，paravirtual 或者 HVM Xen 是不受此影响的。

吃瓜群众表示 2018 将很有趣

这些猜想是完全有可能的，它离实现很近，但是可以肯定的是，当这些事情被公开后，那将是一个非常令人激动的几个星期。

via: http://pythonsweetness.tumblr.com/post/169166980422/the-mysterious-case-of-the-linux-page-table

作者：python sweetness 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

系统管理员通常需要探索在不同负载对应用性能的影响。这意味着必须要重复地人为创造负载。当然，你可以通过专门的工具来实现，但有时你可能不想也无法安装新工具。

每个 Linux 发行版中都自带有创建负载的工具。他们不如专门的工具那么灵活，但它们是现成的，而且无需专门学习。

CPU

下面命令会创建 CPU 负荷，方法是通过压缩随机数据并将结果发送到 /dev/null：

cat /dev/urandom | gzip -9 > /dev/null

如果你想要更大的负荷，或者系统有多个核，那么只需要对数据进行压缩和解压就行了，像这样：

cat /dev/urandom | gzip -9 | gzip -d | gzip -9 | gzip -d > /dev/null

按下 CTRL+C 来终止进程。

内存占用

下面命令会减少可用内存的总量。它是通过在内存中创建文件系统然后往里面写文件来实现的。你可以使用任意多的内存，只需哟往里面写入更多的文件就行了。

首先，创建一个挂载点，然后将 ramfs 文件系统挂载上去：

mkdir z
mount -t ramfs ramfs z/

第二步，使用 dd 在该目录下创建文件。这里我们创建了一个 128M 的文件：

dd if=/dev/zero of=z/file bs=1M count=128

文件的大小可以通过下面这些操作符来修改：

• bs= 块大小。可以是任何数字后面接上 B（表示字节），K（表示 KB），M（ 表示 MB）或者 G（表示 GB）。
• count= 要写多少个块。

磁盘 I/O

创建磁盘 I/O 的方法是先创建一个文件，然后使用 for 循环来不停地拷贝它。

下面使用命令 dd 创建了一个全是零的 1G 大小的文件：

dd if=/dev/zero of=loadfile bs=1M count=1024

下面命令用 for 循环执行 10 次操作。每次都会拷贝 loadfile 来覆盖 loadfile1：

for i in {1..10}; do cp loadfile loadfile1; done

通过修改 {1..10} 中的第二个参数来调整运行时间的长短。（LCTT 译注：你的 Linux 系统中的默认使用的 cp 命令很可能是 cp -i 的别名，这种情况下覆写会提示你输入 y 来确认，你可以使用 -f 参数的 cp 命令来覆盖此行为，或者直接用 /bin/cp 命令。）

若你想要一直运行，直到按下 CTRL+C 来停止，则运行下面命令：

while true; do cp loadfile loadfile1; done

via: https://bash-prompt.net/guides/create-system-load/

作者：Elliot Cooper 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

流行的防火墙是多数组织主要的边界防御。

基于网络的防火墙已经在美国企业无处不在，因为它们证实了抵御日益增长的威胁的防御能力。

通过网络测试公司 NSS 实验室最近的一项研究发现，高达 80% 的美国大型企业运行着下一代防火墙。研究公司 IDC 评估防火墙和相关的统一威胁管理市场的营业额在 2015 是 76 亿美元，预计到 2020 年底将达到 127 亿美元。

如果你想升级，这里是《当部署下一代防火墙时要考虑什么》

什么是防火墙？

防火墙作为一个边界防御工具，其监控流量——要么允许它、要么屏蔽它。 多年来，防火墙的功能不断增强，现在大多数防火墙不仅可以阻止已知的一些威胁、执行高级访问控制列表策略，还可以深入检查流量中的每个数据包，并测试包以确定它们是否安全。大多数防火墙都部署为用于处理流量的网络硬件，和允许终端用户配置和管理系统的软件。越来越多的软件版防火墙部署到高度虚拟化的环境中，以在被隔离的网络或 IaaS 公有云中执行策略。

随着防火墙技术的进步，在过去十年中创造了新的防火墙部署选择，所以现在对于部署防火墙的最终用户来说，有了更多选择。这些选择包括：

有状态的防火墙

当防火墙首次创造出来时，它们是无状态的，这意味着流量所通过的硬件当单独地检查被监视的每个网络流量包时，屏蔽或允许是隔离的。从 1990 年代中后期开始，防火墙的第一个主要进展是引入了状态。有状态防火墙在更全面的上下文中检查流量，同时考虑到网络连接的工作状态和特性，以提供更全面的防火墙。例如，维持这个状态的防火墙可以允许某些流量访问某些用户，同时对其他用户阻塞同一流量。

基于代理的防火墙

这些防火墙充当请求数据的最终用户和数据源之间的网关。在传递给最终用户之前，所有的流量都通过这个代理过滤。这通过掩饰信息的原始请求者的身份来保护客户端不受威胁。

Web 应用防火墙（WAF）

这些防火墙位于特定应用的前面，而不是在更广阔的网络的入口或者出口上。基于代理的防火墙通常被认为是保护终端客户的，而 WAF 则被认为是保护应用服务器的。

防火墙硬件

防火墙硬件通常是一个简单的服务器，它可以充当路由器来过滤流量和运行防火墙软件。这些设备放置在企业网络的边缘，位于路由器和 Internet 服务提供商（ISP）的连接点之间。通常企业可能在整个数据中心部署十几个物理防火墙。 用户需要根据用户基数的大小和 Internet 连接的速率来确定防火墙需要支持的吞吐量容量。

防火墙软件

通常，终端用户部署多个防火墙硬件端和一个中央防火墙软件系统来管理该部署。 这个中心系统是配置策略和特性的地方，在那里可以进行分析，并可以对威胁作出响应。

下一代防火墙（NGFW）

多年来，防火墙增加了多种新的特性，包括深度包检查、入侵检测和防御以及对加密流量的检查。下一代防火墙（NGFW）是指集成了许多先进的功能的防火墙。

有状态的检测

阻止已知不需要的流量，这是基本的防火墙功能。

反病毒

在网络流量中搜索已知病毒和漏洞，这个功能有助于防火墙接收最新威胁的更新，并不断更新以保护它们。

入侵防御系统（IPS）

这类安全产品可以部署为一个独立的产品，但 IPS 功能正逐步融入 NGFW。 虽然基本的防火墙技术可以识别和阻止某些类型的网络流量，但 IPS 使用更细粒度的安全措施，如签名跟踪和异常检测，以防止不必要的威胁进入公司网络。 这一技术的以前版本是入侵检测系统（IDS），其重点是识别威胁而不是遏制它们，已经被 IPS 系统取代了。

深度包检测（DPI）

DPI 可作为 IPS 的一部分或与其结合使用，但其仍然成为一个 NGFW 的重要特征，因为它提供细粒度分析流量的能力，可以具体到流量包头和流量数据。DPI 还可以用来监测出站流量，以确保敏感信息不会离开公司网络，这种技术称为数据丢失防御（DLP）。

SSL 检测

安全套接字层（SSL）检测是一个检测加密流量来测试威胁的方法。随着越来越多的流量进行加密，SSL 检测成为 NGFW 正在实施的 DPI 技术的一个重要组成部分。SSL 检测作为一个缓冲区，它在送到最终目的地之前解码流量以检测它。

沙盒

这个是被卷入 NGFW 中的一个较新的特性，它指防火墙接收某些未知的流量或者代码，并在一个测试环境运行，以确定它是否存在问题的能力。

via: https://www.networkworld.com/article/3230457/lan-wan/what-is-a-firewall-perimeter-stateful-inspection-next-generation.html

作者：Brandon Butler 译者：zjon 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Linux 系统上，有时你可能想从命令行快速地了解系统的已使用和未使用的内存空间。如果你是一个 Linux 新手，有个好消息：有一条系统内置的命令可以显示这些信息：free。

在本文中，我们会讲到 free 命令的基本用法以及它所提供的一些重要的功能。文中提到的所有命令和用法都是在 Ubuntu 16.04LTS 上测试过的。

Linux free 命令

让我们看一下 free 命令的语法：

free [options]

free 命令的 man 手册如是说：

free 命令显示了系统的可用和已用的物理内存及交换内存的总量，以及内核用到的缓存空间。这些信息是从 /proc/meminfo 中得到的。

接下来我们用问答的方式了解一下 free 命令是怎么工作的。

Q1. 怎么用 free 命令查看已使用和未使用的内存？

这很容易，您只需不加任何参数地运行 free 这条命令就可以了：

free

这是 free 命令在我的系统上的输出：

这些列是什么意思呢？

• total - 安装的内存的总量（等同于 /proc/meminfo 中的 MemTotal 和 SwapTotal）
• used - 已使用的内存（计算公式为：used = total - free - buffers - cache）
• free - 未被使用的内存（等同于 /proc/meminfo 中的 MemFree 和 SwapFree）
• shared - 通常是临时文件系统使用的内存（等同于 /proc/meminfo 中的 Shmem；自内核 2.6.32 版本可用，不可用则显示为 0）
• buffers - 内核缓冲区使用的内存（等同于 /proc/meminfo 中的 Buffers）
• cache - 页面缓存和 Slab 分配机制使用的内存（等同于 /proc/meminfo 中的 Cached 和 Slab）
• buff/cache - buffers 与 cache 之和
• available - 在不计算交换空间的情况下，预计可以被新启动的应用程序所使用的内存空间。与 cache 或者 free 部分不同，这一列把页面缓存计算在内，并且不是所有的可回收的 slab 内存都可以真正被回收，因为可能有被占用的部分。（等同于 /proc/meminfo 中的 MemAvailable；自内核 3.14 版本可用，自内核 2.6.27 版本开始模拟；在其他版本上这个值与 free 这一列相同）

Q2. 如何更改显示的单位呢？

如果需要的话，你可以更改内存的显示单位。比如说，想要内存以兆为单位显示，你可以用 -m 这个参数：

free -m

同样地，你可以用 -b 以字节显示、-k 以 KB 显示、-m 以 MB 显示、-g 以 GB 显示、--tera 以 TB 显示。

Q3. 怎么显示可读的结果呢？

free 命令提供了 -h 这个参数使输出转化为可读的格式。

free -h

用这个参数，free 命令会自己决定用什么单位显示内存的每个数值。例如：

Q4. 怎么让 free 命令以一定的时间间隔持续运行？

您可以用 -s 这个参数让 free 命令以一定的时间间隔持续地执行。您需要传递给命令行一个数字参数，做为这个时间间隔的秒数。

例如，使 free 命令每隔 3 秒执行一次：

free -s 3

如果您需要 free 命令只执行几次，您可以用 -c 这个参数指定执行的次数：

free -s 3 -c 5

上面这条命令可以确保 free 命令每隔 3 秒执行一次，总共执行 5 次。

注：这个功能目前在 Ubuntu 系统上还存在 问题，所以并未测试。

Q5. 怎么使 free 基于 1000 计算内存，而不是 1024？

如果您指定 free 用 MB 来显示内存（用 -m 参数），但又想基于 1000 来计算结果，可以用 --sj 这个参数来实现。下图展示了用与不用这个参数的结果：

Q6. 如何使 free 命令显示每一列的总和？

如果您想要 free 命令显示每一列的总和，你可以用 -t 这个参数。

free -t

如下图所示：

请注意 Total 这一行出现了。

总结

free 命令对于系统管理来讲是个极其有用的工具。它有很多参数可以定制化您的输出，易懂易用。我们在本文中也提到了很多有用的参数。练习完之后，请您移步至 man 手册了解更多内容。

via: https://www.howtoforge.com/linux-free-command/

作者：Himanshu Arora 译者：jessie-pang 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

作为一名系统管理员，我经常需要用额外的硬盘来扩充存储空间或将系统数据从用户数据中分离出来。我将告诉你在将物理块设备加到虚拟主机的这个过程中，如何将一个主机上的硬盘加到一台使用 VMWare 软件虚拟化的 Linux 客户机上。

你可以显式的添加或删除一个 SCSI 设备，或者重新扫描整个 SCSI 总线而不用重启 Linux 虚拟机。本指南在 Vmware Server 和 Vmware Workstation v6.0 中通过测试（更老版本应该也支持）。所有命令在 RHEL、Fedora、CentOS 和 Ubuntu Linux 客户机 / 主机操作系统下都经过了测试。

步骤 1：添加新硬盘到虚拟客户机

首先，通过 vmware 硬件设置菜单添加硬盘。点击 “VM > Settings”

或者你也可以按下 CTRL + D 也能进入设置对话框。

点击 “Add” 添加新硬盘到客户机：

选择硬件类型为“Hard disk”然后点击 “Next”：

选择 “create a new virtual disk” 然后点击 “Next”：

设置虚拟磁盘类型为 “SCSI” ，然后点击 “Next”：

按需要设置最大磁盘大小，然后点击 “Next”

最后，选择文件存放位置然后点击 “Finish”。

步骤 2：重新扫描 SCSI 总线，在不重启虚拟机的情况下添加 SCSI 设备

输入下面命令重新扫描 SCSI 总线：

echo "- - -" > /sys/class/scsi_host/host# /scan
fdisk -l
tail -f /var/log/message

输出为：

你需要将 host# 替换成真实的值，比如 host0。你可以通过下面命令来查出这个值：

# ls /sys/class/scsi_host

输出：

host0

然后输入下面过命令来请求重新扫描：

echo "- - -" > /sys/class/scsi_host/host0/scan
fdisk -l
tail -f /var/log/message

输出为：

Jul 18 16:29:39 localhost kernel: Vendor: VMware, Model: VMware Virtual S Rev: 1.0
Jul 18 16:29:39 localhost kernel: Type: Direct-Access ANSI SCSI revision: 02
Jul 18 16:29:39 localhost kernel: target0:0:1: Beginning Domain Validation
Jul 18 16:29:39 localhost kernel: target0:0:1: Domain Validation skipping write tests
Jul 18 16:29:39 localhost kernel: target0:0:1: Ending Domain Validation
Jul 18 16:29:39 localhost kernel: target0:0:1: FAST-40 WIDE SCSI 80.0 MB/s ST (25 ns, offset 127)
Jul 18 16:29:39 localhost kernel: SCSI device sdb: 2097152 512-byte hdwr sectors (1074 MB)
Jul 18 16:29:39 localhost kernel: sdb: Write Protect is off
Jul 18 16:29:39 localhost kernel: sdb: cache data unavailable
Jul 18 16:29:39 localhost kernel: sdb: assuming drive cache: write through
Jul 18 16:29:39 localhost kernel: SCSI device sdb: 2097152 512-byte hdwr sectors (1074 MB)
Jul 18 16:29:39 localhost kernel: sdb: Write Protect is off
Jul 18 16:29:39 localhost kernel: sdb: cache data unavailable
Jul 18 16:29:39 localhost kernel: sdb: assuming drive cache: write through
Jul 18 16:29:39 localhost kernel: sdb: unknown partition table
Jul 18 16:29:39 localhost kernel: sd 0:0:1:0: Attached scsi disk sdb
Jul 18 16:29:39 localhost kernel: sd 0:0:1:0: Attached scsi generic sg1 type 0
Jul 18 16:29:39 localhost kernel: Vendor: VMware, Model: VMware Virtual S Rev: 1.0
Jul 18 16:29:39 localhost kernel: Type: Direct-Access ANSI SCSI revision: 02
Jul 18 16:29:39 localhost kernel: target0:0:2: Beginning Domain Validation
Jul 18 16:29:39 localhost kernel: target0:0:2: Domain Validation skipping write tests
Jul 18 16:29:39 localhost kernel: target0:0:2: Ending Domain Validation
Jul 18 16:29:39 localhost kernel: target0:0:2: FAST-40 WIDE SCSI 80.0 MB/s ST (25 ns, offset 127)
Jul 18 16:29:39 localhost kernel: SCSI device sdc: 2097152 512-byte hdwr sectors (1074 MB)
Jul 18 16:29:39 localhost kernel: sdc: Write Protect is off
Jul 18 16:29:39 localhost kernel: sdc: cache data unavailable
Jul 18 16:29:39 localhost kernel: sdc: assuming drive cache: write through
Jul 18 16:29:39 localhost kernel: SCSI device sdc: 2097152 512-byte hdwr sectors (1074 MB)
Jul 18 16:29:39 localhost kernel: sdc: Write Protect is off
Jul 18 16:29:39 localhost kernel: sdc: cache data unavailable
Jul 18 16:29:39 localhost kernel: sdc: assuming drive cache: write through
Jul 18 16:29:39 localhost kernel: sdc: unknown partition table
Jul 18 16:29:39 localhost kernel: sd 0:0:2:0: Attached scsi disk sdc
Jul 18 16:29:39 localhost kernel: sd 0:0:2:0: Attached scsi generic sg2 type 0

如何删除 /dev/sdc 这块设备？

除了重新扫描整个总线外，你也可以使用下面命令添加或删除指定磁盘：

# echo 1 > /sys/block/devName/device/delete
# echo 1 > /sys/block/sdc/device/delete

如何添加 /dev/sdc 这块设备？

使用下面语法添加指定设备：

# echo "scsi add-single-device <H> <B> <T> <L>" > /proc/scsi/scsi

这里，

• ：主机
• ：总线（通道）
• ：目标 （Id）
• ：LUN 号

例如。使用参数 host#0，bus#0，target#2，以及 LUN#0 来添加 /dev/sdc，则输入：

# echo "scsi add-single-device 0 0 2 0">/proc/scsi/scsi
# fdisk -l
# cat /proc/scsi/scsi

结果输出：

Attached devices:
Host: scsi0 Channel: 00 Id: 00 Lun: 00
 Vendor: VMware, Model: VMware Virtual S Rev: 1.0
 Type: Direct-Access ANSI SCSI revision: 02
Host: scsi0 Channel: 00 Id: 01 Lun: 00
 Vendor: VMware, Model: VMware Virtual S Rev: 1.0
 Type: Direct-Access ANSI SCSI revision: 02
Host: scsi0 Channel: 00 Id: 02 Lun: 00
 Vendor: VMware, Model: VMware Virtual S Rev: 1.0
 Type: Direct-Access ANSI SCSI revision: 02

步骤 #3：格式化新磁盘

现在使用 fdisk 并通过 mkfs.ext3 命令创建分区：

# fdisk /dev/sdc
### [if you want ext3 fs] ###
# mkfs.ext3 /dev/sdc3
### [if you want ext4 fs] ###
# mkfs.ext4 /dev/sdc3

步骤 #4：创建挂载点并更新 /etc/fstab

# mkdir /disk3

打开 /etc/fstab 文件，输入：

# vi /etc/fstab

加入下面这行：

/dev/sdc3 /disk3 ext3 defaults 1 2

若是 ext4 文件系统则加入：

/dev/sdc3 /disk3 ext4 defaults 1 2

保存并关闭文件。

可选操作：为分区加标签

你可以使用 e2label 命令为分区加标签 。假设，你想要为 /backupDisk 这块新分区加标签，则输入：

# e2label /dev/sdc1 /backupDisk

详情参见 "Linux 分区的重要性 。

关于作者

作者是 nixCraft 的创始人，也是一名经验丰富的系统管理员，还是 Linux 操作系统 /Unix shell 脚本培训师。他曾服务过全球客户并与多个行业合作过，包括 IT，教育，国防和空间研究，以及非盈利机构。你可以在 Twitter，Facebook，Google+ 上关注他。

via: https://www.cyberciti.biz/tips/vmware-add-a-new-hard-disk-without-rebooting-guest.html

作者：Vivek Gite 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出