在 Linux 中最基本的任务之一就是设置文件权限。理解它们是如何实现的是你进入 Linux 世界的第一步。如您所料，这一基本操作在类 UNIX 操作系统中大同小异。实际上，Linux 文件权限系统就直接取自于 UNIX 文件权限（甚至使用许多相同的工具）。

但不要以为理解文件权限需要长时间的学习。事实上会很简单，让我们一起来看看你需要了解哪些内容以及如何使用它们。

基础概念

你要明白的第一件事是文件权限可以用来干什么。当你设置一个分组的权限时发生了什么？让我们将其展开来说，这个概念就真的简单多了。那到底什么是权限？什么是分组呢？

你可以设置的3种权限：

• 读 — 允许该分组读文件（用r表示）
• 写 — 允许该分组写文件（用w表示）
• 执行 — 允许该分组执行（运行）文件（用x表示）

为了更好地解释这如何应用于一个分组，例如，你允许一个分组可以读写一个文件，但不能执行。或者，你可以允许一个分组读和执行一个文件，但不能写。甚至你可以允许一个分组有读、写、执行全部的权限，也可以删除全部权限来去除该组的权限。

现在，什么是分组呢，有以下4个：

• user — 文件实际的拥有者
• group — 用户所在的用户组
• others — 用户组外的其他用户
• all — 所有用户

大多数情况，你只会对前3组进行操作，all 这一组只是作为快捷方式（稍后我会解释）。

到目前为止很简单，对吧？接下来我们将深入一层。

如果你打开一个终端并运行命令 ls -l，你将会看到逐行列出当前工作目录下所有的文件和文件夹的列表（如图）

你会留意到最左边那列是像是 -rw-rw-r-- 这样的。

实际上这列表应该这样看：

rw- rw- r--

正如你所见，列表将其分为如下3部分：

• rw-
• rw-
• r--

权限和组的顺序都很重要，顺序总是：

• 所属者 所属组 其他人 — 分组
• 读 写 执行 — 权限

在我们上面示例的权限列表中，所属者拥有读/写权限，所属组拥有读/写权限，其他人用户仅拥有读权限。这些分组中赋予执行权限的话，就用一个 x 表示。

等效数值

接下来我们让它更复杂一些,每个权限都可以用一个数字表示。这些数字是:

• 读 — 4
• 写 — 2
• 执行— 1

数值代替不是一个一个的替换，你不能像这样：

-42-42-4--

你该把每个分组的数值相加，给用户读和写权限，你该用 4 + 2 得到 6。给用户组相同的权限，也是使用相同的数值。假如你只想给其他用户读的权限，那就设置它为4。现在用数值表示为：

664

如果你想给一个文件664权限，你可以使用 chmod 命令，如：

chmod 664 FILENAME

FILENAME 处为文件名。

更改权限

既然你已经理解了文件权限，那是时候学习如何更改这些权限了。就是使用 chmod 命令来实现。第一步你要知道你能否更改文件权限，你必须是文件的所有者或者有权限编辑文件（或者通过 su 或 sudo 得到权限）。正因为这样，你不能随意切换目录和更改文件权限。

继续用我们的例子 (-rw-rw-r--)。假设这个文件（命名为 script.sh）实际是个shell脚本，需要被执行，但是你只想让自己有权限执行这个脚本。这个时候，你可能会想：“我需要是文件的权限如 -rwx-rw-r--”。为了设置 x 权限位，你可以这样使用 chmod 命令：

chmod u+x script.sh

这时候，列表中显示的应该是 -rwx-rw-r-- 。

如果你想同时让用户及其所属组同时拥有执行权限，命令应该这样：

chmod ug+x script.sh

明白这是怎么工作的了吗？下面我们让它更有趣些。不管什么原因，你不小心给了所有分组对文件的执行权限（列表中是这样的 -rwx-rwx-r-x）。

如果你想去除其他用户的执行权限，只需运行命令：

chmod o-x script.sh

如果你想完全删除文件的可执行权限，你可以用两种方法：

chmod ugo-x script.sh

或者

chmod a-x script.sh

以上就是所有内容，能使操作更有效率。我希望能避免哪些可能会导致一些问题的操作（例如你不小心对 script.sh 使用 a-rwx 这样的 chmod 命令）。

目录权限

你也可以对一个目录执行 chmod 命令。当你作为用户创建一个新的目录，通常新建目录具有这样的权限：

drwxrwxr-x

注：开头的 d 表示这是一个目录。

正如你所见，用户及其所在组都对文件夹具有操作权限，但这并不意味着在这文件夹中出创建的文件也具有与其相同的权限（创建的文件使用默认系统的权限 -rw-rw-r--）。但如果你想在新文件夹中创建文件，并且移除用户组的写权限，你不用切换到该目录下并对所有文件使用 chmod 命令。你可以用加上参数 R（意味着递归）的 chmod 命令，同时更改该文件夹及其目录下所有的文件的权限。

现在，假设有一文件夹 TEST，里面有一些脚本，所有这些（包括 TEST 文件夹）拥有权限 -rwxrwxr-x。如果你想移除用户组的写权限，你可以运行命令：

chmod -R g-w TEST

运行命令 ls -l，你讲看到列出的 TEST 文件夹的权限信息是 drwxr-xr-x。用户组被去除了写权限（其目录下的所有文件也如此）。

总结

现在，你应该对基本的 Linux 文件权限有了深入的理解。对于更高级的东西学起来会很轻松，像 setgid、setuid 和 ACL 这些。没有良好的基础，你很快就会混淆不清概念的。

Linux 文件权限从早期到现在没有太大变化，而且很可能以后也不会变化。

via: http://www.linux.com/learn/tutorials/885268-getting-to-know-linux-file-permissions

作者：Jack Wallen 译者：ynmlml 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

MariaDB 是一个增强版的、开源的 MySQL 替代品。它主要由 MariaDB 社区在维护，采用 GPL v2 授权许可。软件的安全性是 MariaDB 开发者的主要焦点。他们保持为 MariaDB 的每个版本发布安全补丁。当有任何安全问题被发现时，开发者会尽快修复并推出 MariaDB 的新版本。

MariaDB 的优势

• 完全开源
• 快速且透明的安全版本
• 与 MySQL 高度兼容
• 性能更好
• 比 MySQL 的存储引擎多

在这篇文章中，我将谈论关于如何在 CentOS7 CPanel 服务器上升级 MySQL5.5 到最新的 MariaDB 。在安装前先完成以下步骤。

先决条件:

1. 停止当前 MySQL 服务

root@server1 [/var/]# mysql
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 5859
Server version: 5.5.47-cll MySQL Community Server (GPL)

Copyright (c) 2000, 2015, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

root@server1 [~]# systemctl stop mysql
root@server1 [~]# systemctl status mysql
● mysql.service - LSB: start and stop MySQL
Loaded: loaded (/etc/rc.d/init.d/mysql)
Active: failed (Result: exit-code) since Sun 2016-01-31 10:00:02 UTC; 1min 31s ago
Docs: man:systemd-sysv-generator(8)
Main PID: 23430 (code=exited, status=203/EXEC)

Jan 31 10:00:02 server1.centos7-test.com systemd[1]: Started MySQL Server.
Jan 31 10:00:02 server1.centos7-test.com systemd[1]: Starting MySQL Server...
Jan 31 10:00:02 server1.centos7-test.com systemd[1]: mysql.service: main process exited, code=exited, status=203/EXEC
Jan 31 10:00:02 server1.centos7-test.com systemd[1]: Unit mysql.service entered failed state.
Jan 31 10:00:02 server1.centos7-test.com systemd[1]: mysql.service failed.

2. 在升级之前将所有配置文件和数据库转移

转移数据库的存储路径和 MySQL 的配置文件

root@server1 [~]# cp -Rf /var/lib/mysql /var/lib/mysql-old

root@server1 [/var/lib/mysql]# cat /etc/my.cnf
[mysqld]
default-storage-engine=MyISAM
innodb_file_per_table=1
max_allowed_packet=268435456
open_files_limit=10000

root@server1 [~]#mv /etc/my.cnf /etc/my.cnf-old

3. 从服务器上删除和卸载 MySQL 所有的 RPM 包

运行以下命令来禁用 MySQL RPM 的 目标 （ target ） 。通过运行此命令，cPanel 将不再处理 MySQL 的更新，并在系统上将这些 RPM 版本标记为已卸载。

/scripts/update_local_rpm_versions --edit target_settings.MySQL50 uninstalled
/scripts/update_local_rpm_versions --edit target_settings.MySQL51 uninstalled
/scripts/update_local_rpm_versions --edit target_settings.MySQL55 uninstalled
/scripts/update_local_rpm_versions --edit target_settings.MySQL56 uninstalled

现在运行以下命令：

/scripts/checkcpanelrpms --fix --targets=MySQL50,MySQL51,MySQL55,MySQL56

移除服务器上所有已有的 MySQL RPM 来为 MariaDB 的安装清理环境。请看下面的输出：

root@server1 [/var/lib/mysql]# /scripts/check_cpanel_rpms --fix --targets=MySQL50,MySQL51,MySQL55,MySQL56
[2016-01-31 09:53:59 +0000]
[2016-01-31 09:53:59 +0000] Problems were detected with cPanel-provided files which are RPM controlled.
[2016-01-31 09:53:59 +0000] If you did not make these changes intentionally, you can correct them by running:
[2016-01-31 09:53:59 +0000]
[2016-01-31 09:53:59 +0000] > /usr/local/cpanel/scripts/check_cpanel_rpms --fix
[2016-01-31 09:53:59 +0000]
[2016-01-31 09:53:59 +0000] The following RPMs are unneeded on your system and should be uninstalled:
[2016-01-31 09:53:59 +0000] MySQL55-client-5.5.47-1.cp1148
[2016-01-31 09:53:59 +0000] MySQL55-devel-5.5.47-1.cp1148
[2016-01-31 09:53:59 +0000] MySQL55-server-5.5.47-1.cp1148
[2016-01-31 09:53:59 +0000] MySQL55-shared-5.5.47-1.cp1148
[2016-01-31 09:53:59 +0000] MySQL55-test-5.5.47-1.cp1148
[2016-01-31 09:53:59 +0000] compat-MySQL50-shared-5.0.96-4.cp1136
[2016-01-31 09:53:59 +0000] compat-MySQL51-shared-5.1.73-1.cp1150
[2016-01-31 09:53:59 +0000] Removing 0 broken rpms:
[2016-01-31 09:53:59 +0000] rpm: no packages given for erase
[2016-01-31 09:53:59 +0000] No new RPMS needed for install
[2016-01-31 09:53:59 +0000] Disabling service monitoring.
[2016-01-31 09:54:01 +0000] Uninstalling unneeded rpms: MySQL55-test MySQL55-server MySQL55-client compat-MySQL51-shared compat-MySQL50-shared MySQL55-shared MySQL55-devel
[2016-01-31 09:54:04 +0000] Removed symlink /etc/systemd/system/multi-user.target.wants/mysql.service.
[2016-01-31 09:54:04 +0000] Restoring service monitoring.

通过这些步骤，我们已经卸载了现有的 MySQL RPM，并做了标记来防止 MySQL的更新，服务器的环境已经清理，然后准备安装 MariaDB。

开始安装吧，我们需要根据 CentOS 和 MariaDB 的版本为 MariaDB 创建一个 yum 软件库。下面是我的做法！

安装步骤：

第1步：创建 YUM 软件库。

root@server1 [~]# vim /etc/yum.repos.d/MariaDB.repo
[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.0/centos7-amd64/
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1
root@server1 [/etc/yum.repos.d]# cat /etc/yum.repos.d/MariaDB.repo
[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.0/centos7-amd64/
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1

第2步：打开 /etc/yum.conf 并修改如下行：

删除这一行：

exclude=courier* dovecot* exim* filesystem httpd* mod_ssl* mydns* mysql* nsd* php* proftpd* pure-ftpd* spamassassin* squirrelmail*

替换为：

exclude=courier* dovecot* exim* filesystem httpd* mod_ssl* mydns* nsd* proftpd* pure-ftpd* spamassassin* squirrelmail*

重要

需要确保我们已经从 exclude 列表中移除了 MySQL 和 PHP。

第3步：运行以下命令来安装 MariaDB 和相关的包。

root@server1 [~]#yum install MariaDB-server MariaDB-client MariaDB-devel php-mysql

Dependencies Resolved

===============================================================================================================================================
Package Arch Version Repository Size
===============================================================================================================================================
Installing:
MariaDB-client x86_64 10.0.23-1.el7.centos mariadb 10 M
MariaDB-devel x86_64 10.0.23-1.el7.centos mariadb 6.3 M
MariaDB-server x86_64 10.0.23-1.el7.centos mariadb 55 M
php-mysql x86_64 5.4.16-36.el7_1 base 99 k
Installing for dependencies:
MariaDB-common x86_64 10.0.23-1.el7.centos mariadb 43 k
MariaDB-shared x86_64 10.0.23-1.el7.centos mariadb 1.2 M
libzip x86_64 0.10.1-8.el7 base 48 k
php-common x86_64 5.4.16-36.el7_1 base 563 k
php-pdo x86_64 5.4.16-36.el7_1 base 97 k

Transaction Summary
===============================================================================================================================================
Install 4 Packages (+5 Dependent package)

第4步：重新启动，并确保 MySQL 服务已启动。

root@server1 [~]# systemctl start mysql
root@server1 [~]#
root@server1 [~]#
root@server1 [~]# systemctl status mysql
● mysql.service - LSB: start and stop MySQL
Loaded: loaded (/etc/rc.d/init.d/mysql)
Active: active (exited) since Sun 2016-01-31 10:01:46 UTC; 3s ago
Docs: man:systemd-sysv-generator(8)
Process: 23717 ExecStart=/etc/rc.d/init.d/mysql start (code=exited, status=0/SUCCESS)
Main PID: 23430 (code=exited, status=203/EXEC)

Jan 31 10:01:46 server1.centos7-test.com systemd[1]: Starting LSB: start and stop MySQL...
Jan 31 10:01:46 server1.centos7-test.com mysql[23717]: Starting MySQL SUCCESS!
Jan 31 10:01:46 server1.centos7-test.com systemd[1]: Started LSB: start and stop MySQL.

第5步：运行 mysql\_upgrade 命令。

它将检查所有数据库中的所有表与当前安装的版本是否兼容，并在必要时会更新系统表，以赋予当前版本新增加的权限或能力。

root@server1 [~]# mysql_upgrade
MySQL upgrade detected
Phase 1/6: Checking and upgrading mysql database
Processing databases
mysql
mysql.columns_priv OK
mysql.db OK
mysql.event OK
mysql.func OK
mysql.help_category OK
mysql.help_keyword OK
mysql.help_relation OK
mysql.help_topic OK
mysql.host OK
mysql.ndb_binlog_index OK
mysql.plugin OK
mysql.proc OK
mysql.procs_priv OK
mysql.proxies_priv OK
mysql.servers OK
mysql.tables_priv OK
mysql.time_zone OK
mysql.time_zone_leap_second OK
mysql.time_zone_name OK
mysql.time_zone_transition OK
mysql.time_zone_transition_type OK
mysql.user OK
Phase 2/6: Fixing views from mysql
Phase 3/6: Running 'mysql_fix_privilege_tables'
Phase 4/6: Fixing table and database names
Phase 5/6: Checking and upgrading tables
Processing databases
cphulkd
cphulkd.auths OK
cphulkd.blacklist OK
cphulkd.brutes OK
cphulkd.good_logins OK
cphulkd.ip_lists OK
cphulkd.known_netblocks OK
cphulkd.login_track OK
cphulkd.logins OK
cphulkd.report OK
cphulkd.whitelist OK
eximstats
eximstats.defers OK
eximstats.failures OK
eximstats.sends OK
eximstats.smtp OK
information_schema
leechprotect
leechprotect.hits OK
modsec
modsec.hits OK
performance_schema
roundcube
roundcube.cache OK
roundcube.cache_index OK
roundcube.cache_messages OK
roundcube.cache_shared OK
roundcube.cache_thread OK
roundcube.contactgroupmembers OK
roundcube.contactgroups OK
roundcube.contacts OK
roundcube.cp_schema_version OK
roundcube.dictionary OK
roundcube.identities OK
roundcube.searches OK
roundcube.session OK
roundcube.system OK
roundcube.users OK
saheetha_test
saheetha_test.authors OK
whmxfer
whmxfer.sessions OK
Phase 6/6: Running 'FLUSH PRIVILEGES'
OK

第6步：再次重新启动 MySQL 的服务，以确保一切都运行完好。

root@server1 [~]# systemctl restart mysql
root@server1 [~]#
root@server1 [~]# systemctl status mysql
● mysql.service - LSB: start and stop MySQL
Loaded: loaded (/etc/rc.d/init.d/mysql)
Active: active (running) since Sun 2016-01-31 10:04:11 UTC; 9s ago
Docs: man:systemd-sysv-generator(8)
Process: 23831 ExecStop=/etc/rc.d/init.d/mysql stop (code=exited, status=0/SUCCESS)
Process: 23854 ExecStart=/etc/rc.d/init.d/mysql start (code=exited, status=0/SUCCESS)
Main PID: 23430 (code=exited, status=203/EXEC)
CGroup: /system.slice/mysql.service
├─23861 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/server1.centos7-test.com.pid
└─23933 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib64/mysql/plugin --user=mysql --log-error=/v...

Jan 31 10:04:10 server1.centos7-test.com systemd[1]: Starting LSB: start and stop MySQL...
Jan 31 10:04:11 server1.centos7-test.com mysql[23854]: Starting MySQL. SUCCESS!
Jan 31 10:04:11 server1.centos7-test.com systemd[1]: Started LSB: start and stop MySQL.

第7步：运行 EasyApache，重建 Apache/PHP 以支持 MariaDB，并确保所有 PHP 的模块保持不变。

root@server1 [~]#/scripts/easyapache --build

重要

如果你在安装 MariaDB 之后忘记重建 Apache/PHP，将会报如下库错误：

root@server1 [/etc/my.cnf.d]# php -v
php: error while loading shared libraries: libmysqlclient.so.18: cannot open shared object file: No such file or directory

第8步：现在验证安装的程序和数据库。

root@server1 [/var/lib/mysql]# mysql
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 15
Server version: 10.0.23-MariaDB MariaDB Server

Copyright (c) 2000, 2015, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> show storage engines;
+--------------------+---------+----------------------------------------------------------------------------+--------------+------+------------+
| Engine | Support | Comment | Transactions | XA | Savepoints |
+--------------------+---------+----------------------------------------------------------------------------+--------------+------+------------+
| CSV | YES | CSV storage engine | NO | NO | NO |
| MRG_MyISAM | YES | Collection of identical MyISAM tables | NO | NO | NO |
| MEMORY | YES | Hash based, stored in memory, useful for temporary tables | NO | NO | NO |
| BLACKHOLE | YES | /dev/null storage engine (anything you write to it disappears) | NO | NO | NO |
| MyISAM | YES | MyISAM storage engine | NO | NO | NO |
| InnoDB | DEFAULT | Percona-XtraDB, Supports transactions, row-level locking, and foreign keys | YES | YES | YES |
| ARCHIVE | YES | Archive storage engine | NO | NO | NO |
| FEDERATED | YES | FederatedX pluggable storage engine | YES | NO | YES |
| PERFORMANCE_SCHEMA | YES | Performance Schema | NO | NO | NO |
| Aria | YES | Crash-safe tables with MyISAM heritage | NO | NO | NO |
+--------------------+---------+----------------------------------------------------------------------------+--------------+------+------------+
10 rows in set (0.00 sec)

就这样 ：）。现在，我们该去欣赏 MariaDB 完善和高效的特点了。希望你喜欢阅读本文。希望留下您宝贵的建议和反馈！

via: http://linoxide.com/how-tos/install-mariadb-10-centos-7-cpanel/

作者：Saheetha Shameer 译者：strugglingyouth 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

scp 是 安全拷贝协议 （ Secure Copy Protocol ） 的缩写，和众多 Linux/Unix 使用者所熟知的拷贝（cp）命令一样。scp 的使用方式类似于 cp 命令，cp 命令将一个文件或文件夹从本地操作系统的一个位置（源）拷贝到目标位置（目的），而 scp 用来将文件或文件夹从网络上的一个主机拷贝到另一个主机当中去。

scp 命令的使用方法如下所示，在这个例子中，我将一个叫 “importantfile” 的文件从本机（10.10.16.147）拷贝到远程主机（10.0.0.6）中。在这个命令里，你也可以使用主机名字来替代IP地址。

[root@localhost ~]# scp importantfile [email protected]:/home/admin/
The authenticity of host '10.0.0.6 (10.0.0.6)' can't be established.
RSA key fingerprint is SHA256:LqBzkeGa6K9BfWWKgcKlQoE0u+gjorX0lPLx5YftX1Y.
RSA key fingerprint is MD5:ed:44:42:59:3e:dd:4c:12:43:4a:89:b1:5d:bd:9e:20.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.0.0.6' (RSA) to the list of known hosts.
[email protected]'s password:
importantfile                                 100%    0     0.0KB/s   00:00
[root@localhost ~]#

类似的，如果你想从一个远程主机中取得文件，你可以利用如下的 scp 命令。

[root@localhost ~]# scp [email protected]:/root/importantfile /home/admin/
The authenticity of host '10.10.16.137 (10.10.16.137)' can't be established.
RSA key fingerprint is b0:b0:a3:c3:2e:94:13:0c:29:2e:ba:0b:d3:d6:12:8f.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.10.16.137' (RSA) to the list of known hosts.
[email protected]'s password:
importantfile 100% 0 0.0KB/s 00:00
[root@localhost ~]#

你也可以像 cp 命令一样，在 scp 命令中使用不同的选项，scp 的 man 帮助详细地阐述了不同选项的用法和用处。

示例输出

scp 可选参数如下所示:

 -B      采取批量模式（避免询问密码或口令）
 -C      启用压缩。通过指明 -C 参数来开启压缩模式。
 -c 加密方式
         选择在传输过程中用来加密的加密方式 这个选项会被直接传递到 ssh(1)。
 -F ssh 配置
         给 ssh 指定一个用来替代默认配置的配置文件。这个选项会被直接传递到 ssh(1)。
 -l 限速
         限制命令使用的带宽，默认单位是 Kbit/s。
 -P 端口
         指定需要的连接的远程主机的端口。  
         注意，这个选项使用的是一个大写的“P”，因为小写的“-p”已经用来保留目标文件的时间和模式相关信息。（LCTT 译注：ssh 命令中使用小写的“-p”来指定目标端口。）
 -p      保留文件原来的修改时间，访问时间以及权限模式。
 -q      静默模式：不显示来自 ssh(1) 命令的进度信息，警告和诊断信息。
 -r      递归拷贝整个目录。
         注意，scp 命令在树形遍历的时候同样会跟随符号连接，复制所连接的文件。
 -v      详细模式。scp 和 ssh(1) 将会打印出处理过程中的调试信息。这可以帮助你调试连接、认证和配置方面的问题。

详细模式

利用 scp 命令的 -v 选项，你可以得到认证、调试等的相关细节信息。

当我们使用 -v 选项的时候，一个简单的输出如下所示：

[root@localhost ~]# scp -v abc.txt [email protected]:/home/admin
Executing: program /usr/bin/ssh host 10.0.0.6, user admin, 
command scp -v -t/home/admin
OpenSSH_7.1p1, OpenSSL 1.0.2d-fips 9 Jul 2015
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 56: Applying options for *
debug1: Connecting to 10.0.0.6 [10.0.0.6] port 22.
debug1: Connection established.
debug1: Server host key: ssh-rsa SHA256:LqBzkeGa6K9BfWWKgcKlQoE0u+gjorX0lPLx5YftX1Y
debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/id_rsa
debug1: Trying private key: /root/.ssh/id_dsa
debug1: Trying private key: /root/.ssh/id_ecdsa
debug1: Trying private key: /root/.ssh/id_ed25519
debug1: Next authentication method: password
[email protected]'s password:
debug1: Authentication succeeded (password).
Authenticated to 10.0.0.6 ([10.0.0.6]:22).
debug1: channel 0: new [client-session]
debug1: Requesting [email protected]
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending command: scp -v -t /home/admin
Sending file modes: C0644 174 abc.txt
Sink: C0644 174 abc.txt
abc.txt                                                                                                                               100%  174     0.2KB/s   00:00
Transferred: sent 3024, received 2584 bytes, in 0.3 seconds
Bytes per second: sent 9863.3, received 8428.1
debug1: Exit status 0
[root@localhost ~]#

当我们需要拷贝一个目录或者文件夹的时候，我们可以使用 -r 选项，它会递归拷贝整个目录。

静默模式

如果你想要关闭进度信息以及警告和诊断信息，你可以通过使用scp命令中的-q选项.

上一次我们仅仅使用 -r 参数，它显示了逐个文件的信息，但这一次当我们使用了 -q 参数，它就不显示进度信息。

利用 scp 的 -p 选项来保留目标文件的更新时间，访问时间和权限模式。

通过 -P 选项来指定远程主机的连接端口

scp 使用 ssh 命令来在两个主机之间传输文件，因为 ssh 默认使用的是22端口号，所以 scp 也使用相同的22端口号。

如果我们希望改变这个端口号，我们可以使用 -P（大写的 P，因为小写的 p 用来保持文件的访问时间等）选项来指定所需的端口号。

举个例子，如果我们想要使用2222端口号，我们可以使用如下的命令

[root@localhost ~]# scp -P 2222 abcd1 [email protected]:/root/

限制命令使用的带宽，指定的单位是 Kbit/s

如下所示，我们可以使用 -l 参数来指定 scp 命令所使用的带宽，在此我们将速度限制为512kbit/s。

开启压缩

如下所示，我们可以通过开启 scp 命令的压缩模式来节省传输过程中的带宽和时间。

选择加密数据的加密方式

scp 默认使用 AES-128 的加密方式，如果我们想要改变这个加密方式，可以通过 -c(小写的 c) 参数来指定其他的加密方式。

现在你可以利用 scp（Secure copy）命令在你所属网络中的两个节点之间安全地拷贝文件了。

via: https://www.unixmen.com/scp-command-linuxunix/

作者：Naga Ramesh 译者：lujianbo 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

去年八月, Linux基金会宣布了一个全新的LFCS（ Linux基金会认证系统管理员 （ Linux Foundation Certified Sysadmin ） ）认证计划，这对广大系统管理员来说是一个很好的机会，管理员们可以通过认证考试来表明自己可以成功支持Linux系统的整体运营。 一个Linux基金会认证的系统管理员能有足够的专业知识来确保系统高效运行，提供第一手的故障诊断和监视，并且在需要的情况下将问题提交给工程师支持团队。

Linux基金会认证系统管理员 – 第九讲

请观看下面关于Linux基金会认证计划的演示。

本文是本系列教程中的第九讲，今天在这篇文章中我们会引导你学习Linux软件包管理，这也是LFCS认证考试所需要的。

软件包管理

简单的说，软件包管理是系统中安装和维护软件的一种方法，这里说的维护包含更新和卸载。

在Linux早期，程序只以源代码的方式发行，还带有所需的用户使用手册和必备的配置文件，甚至更多。现如今，大多数发行商一般使用预装程序或者被称为软件包的程序集合。用户可以使用这些预装程序或者软件包安装到该发行版中。然而，Linux最伟大的一点是我们仍然能够获得程序的源代码用来学习、改进和编译。

软件包管理系统是如何工作的

如果某一个软件包需要一定的资源，如共享库，或者需要另一个软件包，这就称之为依赖性。所有现在的包管理系统提供了一些解决依赖性的方法，以确保当安装一个软件包时，相关的依赖包也安装好了。

打包系统

几乎所有安装在现代Linux系统上的软件都会能互联网上找到。它要么由发行商通过中央仓库（中央仓库能包含几千个软件包，每个软件包都已经为发行版构建、测试并且维护好了）提供，要么能够直接得到可以下载和手动安装的源代码。

由于不同的发行版使用不同的打包系统（Debian的*.deb文件/CentOS的*.rpm文件/openSUSE的专门为openSUSE构建的*.rpm文件），因此为一个发行版开发的软件包会与其他发行版不兼容。然而，大多数发行版都属于LFCS认证所涉及的三个发行版家族之一。

高级和低级打包工具

为了有效地进行软件包管理的任务，你需要知道，有两种类型的实用工具：低级工具（能在后端实际安装、升级、卸载软件包文件），以及高级工具（负责确保能很好的执行依赖性解决和元数据检索的任务——元数据也称为数据的数据）。

让我们来看下低级工具和高级工具的描述。

dpkg的是基于Debian的系统的一个低级包管理器。它可以安装，删除，提供有关资料，以及建立*.deb包，但它不能自动下载并安装它们相应的依赖包。

• 阅读更多： 15个dpkg命令实例

apt-get是Debian及其衍生版的高级包管理器，并提供命令行方式来从多个来源检索和安装软件包，其中包括解决依赖性。和dpkg不同的是，apt-get不是直接基于.deb文件工作，而是基于软件包的正确名称。

• 阅读更多： 25个apt-get命令实例

Aptitude是基于Debian的系统的另一个高级包管理器，它可用于快速简便的执行管理任务（安装，升级和删除软件包，还可以自动处理解决依赖性）。它在atp-get的基础上提供了更多功能，例如提供对软件包的几个版本的访问。

rpm是Linux标准基础（LSB）兼容发行版所使用的一种软件包管理器，用来对软件包进行低级处理。就像dpkg一样，rpm可以查询、安装、检验、升级和卸载软件包，它多数用于基于Fedora的系统，比如RHEL和CentOS。

• 阅读更多： 20个rpm命令实例

相对于基于RPM的系统，yum增加了系统自动更新的功能和带依赖性管理的软件包管理功能。作为一个高级工具，和apt-get或者aptitude相似，yum需要配合仓库工作。

• 阅读更多： 20个yum命令实例

低级工具的常见用法

使用低级工具处理最常见的任务如下。

1. 从已编译（*.deb或*.rpm）的文件安装一个软件包

这种安装方法的缺点是没有提供解决依赖性的方案。当你在发行版本库中无法获得某个软件包并且又不能通过高级工具下载安装时，你很可能会从一个已编译文件安装该软件包。因为低级工具不会解决依赖性问题，所以当安装一个没有解决依赖性的软件包时会出现出错并且退出。

# dpkg -i file.deb      [Debian版和衍生版]
# rpm -i file.rpm       [CentOS版 / openSUSE版]

注意：不要试图在CentOS中安装一个为openSUSE构建的.rpm文件，反之亦然！

2. 从已编译文件中更新一个软件包

同样，当某个安装的软件包不在中央仓库中时，你只能手动升级该软件包。

# dpkg -i file.deb      [Debian版和衍生版]
# rpm -U file.rpm       [CentOS版 / openSUSE版]

3. 列举安装的软件包

当你第一次接触一个已经在工作中的系统时，很可能你会想知道安装了哪些软件包。

# dpkg -l       [Debian版和衍生版]
# rpm -qa       [CentOS版 / openSUSE版]

如果你想知道一个特定的软件包安装在哪儿，你可以使用管道命令从以上命令的输出中去搜索，这在这个系列的第一讲 操作Linux文件 中有介绍。例如我们需要验证mysql-common这个软件包是否安装在Ubuntu系统中：

# dpkg -l | grep mysql-common

检查安装的软件包

另外一种方式来判断一个软件包是否已安装。

# dpkg --status package_name        [Debian版和衍生版]
# rpm -q package_name           [CentOS版 / openSUSE版]

例如，让我们找出sysdig软件包是否安装在我们的系统。

# rpm -qa | grep sysdig

检查sysdig软件包

4. 查询一个文件是由哪个软件包安装的

# dpkg --search file_name
# rpm -qf file_name

例如，pw\_dict.hwm文件是由那个软件包安装的？

# rpm -qf /usr/share/cracklib/pw_dict.hwm

Linux中查询文件

高级工具的常见用法

使用高级工具处理最常见的任务如下。

1. 搜索软件包

aptitude的更新操作将会更新可用的软件包列表，而aptitude的搜索操作会根据软件包名进行实际搜索。

# aptitude update && aptitude search package_name

在search all选项中，yum不仅可以通过软件包名还可以通过软件包的描述搜索。

# yum search package_name
# yum search all package_name
# yum whatprovides “*/package_name”

假定我们需要一个名为sysdig文件，想知道我们需要安装哪个软件包才行，那么运行。

# yum whatprovides “*/sysdig”

检查软件包描述

whatprovides告诉yum搜索一个含有能够匹配上述正则表达式的文件的软件包。

# zypper refresh && zypper search package_name      [在openSUSE上]

2. 从仓库安装一个软件包

当安装一个软件包时，在软件包管理器解决了所有依赖性问题后，可能会提醒你确认安装。需要注意的是运行更新（ update）或刷新（refresh）（根据所使用的软件包管理器）不是绝对必要，但是考虑到安全性和依赖性的原因，保持安装的软件包是最新的是系统管理员的一个好经验。

# aptitude update && aptitude install package_name      [Debian版和衍生版]
# yum update && yum install package_name            [CentOS版]
# zypper refresh && zypper install package_name         [openSUSE版]

3. 卸载软件包

remove选项将会卸载软件包，但把配置文件保留完好，然而purge选项将从系统中完全删去该程序以及相关内容。

# aptitude remove / purge package_name
# yum erase package_name

###---注意要卸载的openSUSE包前面的减号 ---

# zypper remove -package_name

在默认情况下，大部分（如果不是全部的话）的软件包管理器会提示你，在你实际卸载之前你是否确定要继续卸载。所以，请仔细阅读屏幕上的信息，以避免陷入不必要的麻烦！

4. 显示软件包的信息

下面的命令将会显示birthday这个软件包的信息。

# aptitude show birthday
# yum info birthday
# zypper info birthday

检查包信息

总结

作为一个系统管理员，软件包管理器是你不能回避的东西。你应该立即去使用本文中介绍的这些工具。希望你在准备LFCS考试和日常工作中会觉得这些工具好用。欢迎在下面留下您的意见或问题，我们将尽可能快的回复你。

via： http://www.tecmint.com/linux-package-management/

作者：Gabriel Cánepa 译者：Flowsnow 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

在 Linux 分发应用不总是那么容易。有各种不同的包格式、基础系统、可用库，随着发行版的一次次发布，所有的这些都让人头疼。然而，现在我们有了更简单的东西：Snap。

Snap 是开发者打包他们应用的新途径，它相对于传统包格式，如 .deb，.rpm 等带来了许多优点。Snap 安全，彼此隔离，宿主系统使用了类似 AppArmor 的技术，它们跨平台且自足的，让开发者可以准确地将应用所需要的依赖打包到一起。沙盒隔离也加强了安全，并允许应用和整个基于 snap 的系统，在出现问题的时候可以回滚。Snap 确实是 Linux 应用打包的未来。

创建一个 snap 包并不困难。首先，你需要一个 snap 基础运行环境，能够让你的桌面环境认识并运行 snap 软件包，这个工具叫做 snapd ，默认内置于所有 Ubuntu 16.04 系统中。接着你需要创建 snap 的工具 Snapcraft，它可以通过一个简单的命令安装：

$ sudo apt-get install snapcraft

这个环境安装好了之后就可以 snap 起来了。

Snap 使用一个特定的 YAML 格式的文件 snapcraft.yaml，它定义了应用是如何打包的以及它需要的依赖。用一个简单的应用来演示一下，下面的 YAML 文件是个如何 snap 一个 moon-buggy 游戏的实际例子，该游戏在 Ubuntu 源中提供。

name: moon-buggy
version: 1.0.51.11
summary: Drive a car across the moon
description: |
A simple command-line game where you drive a buggy on the moon
apps:
  play:
    command: usr/games/moon-buggy
parts:
  moon-buggy:
    plugin: nil
    stage-packages: [moon-buggy]
    snap:
      – usr/games/moon-buggy

上面的代码出现了几个新概念。第一部分是关于如何让你的应用可以在商店找到的信息，设置软件包的元数据名称、版本号、摘要、以及描述。apps 部分实现了 play 命令，指向了 moon-buggy 可执行文件位置。parts 部分告诉 snapcraft 用来构建应用所需要的插件以及依赖的包。在这个简单的例子中我们需要的所有东西就是来自 Ubuntu 源中的 moon-buggy 应用本身，snapcraft 负责剩下的工作。

在你的 snapcraft.yaml 所在目录下运行 snapcraft ，它会创建 moon-buggy1.0.51.11amd64.snap 包，可以通过以下命令来安装它：

$ snap install moon-buggy_1.0.51.11_amd64.snap

想了解更复杂一点的 snap 打包操作，比如基于 Electron 的 Simplenote 可以看这里，在线教程在这里，相应的代码在 Github。更多的例子可以在 Ubuntu 开发者站点找到。

via: https://insights.ubuntu.com/2016/06/01/apps-to-snaps/

作者：Jamie 译者：alim0x 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这篇文章包含 Docker 的基本概念，以及如何通过创建一个定制的 Dockerfile 来 Docker 化 （ Dockerize ） 一个应用。

Docker 是一个过去两年来从某个 idea 中孕育而生的有趣技术，公司组织们用它在世界上每个角落来部署应用。在今天的文章中，我将讲述如何通过“ Docker 化 （ Dockerize ） ”一个现有的应用，来开始我们的 Docker 之旅。这里提到的应用指的就是这个博客！

什么是 Docker？

当我们开始学习 Docker 基本概念时，让我们先去搞清楚什么是 Docker 以及它为什么这么流行。Docker 是一个操作系统容器管理工具，它通过将应用打包在操作系统容器中，来方便我们管理和部署应用。

容器 vs. 虚拟机

容器和虚拟机并不完全相似，它是另外一种提供操作系统虚拟化的方式。它和标准的虚拟机还是有所不同。

标准的虚拟机一般会包括一个完整的操作系统、操作系统软件包、最后还有一至两个应用。这都得益于为虚拟机提供硬件虚拟化的管理程序。这样一来，一个单一的服务器就可以将许多独立的操作系统作为虚拟客户机运行了。

容器和虚拟机很相似，它们都支持在单一的服务器上运行多个操作环境，只是，在容器中，这些环境并不是一个个完整的操作系统。容器一般只包含必要的操作系统软件包和一些应用。它们通常不会包含一个完整的操作系统或者硬件的虚拟化。这也意味着容器比传统的虚拟机开销更少。

容器和虚拟机常被误认为是两种对立的技术。虚拟机采用一个物理服务器来提供全功能的操作环境，该环境会和其余虚拟机一起共享这些物理资源。容器一般用来隔离一个单一主机上运行的应用进程，以保证隔离后的进程之间不能相互影响。事实上，容器和 BSD Jails 以及 chroot 进程的相似度，超过了和完整虚拟机的相似度。

Docker 在容器之上提供了什么

Docker 本身不是一个容器运行环境，事实上，只是一个与具体实现无关的容器技术，Docker 正在努力支持 Solaris Zones 和 BSD Jails。Docker 提供了一种管理、打包和部署容器的方式。虽然一定程度上，虚拟机多多少少拥有这些类似的功能，但虚拟机并没有完整拥有绝大多数的容器功能，即使拥有，这些功能用起来都并没有 Docker 来的方便或那么完整。

现在，我们应该知道 Docker 是什么了，然后，我们将从安装 Docker，并部署一个公开的预构建好的容器开始，学习 Docker 是如何工作的。

从安装开始

默认情况下，Docker 并不会自动被安装在您的计算机中，所以，第一步就是安装 Docker 软件包；我们的教学机器系统是 Ubuntu 14.0.4，所以，我们将使用 Apt 软件包管理器，来执行安装操作。

# apt-get install docker.io
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following extra packages will be installed:
  aufs-tools cgroup-lite git git-man liberror-perl
Suggested packages:
  btrfs-tools debootstrap lxc rinse git-daemon-run git-daemon-sysvinit git-doc
  git-el git-email git-gui gitk gitweb git-arch git-bzr git-cvs git-mediawiki
  git-svn
The following NEW packages will be installed:
  aufs-tools cgroup-lite docker.io git git-man liberror-perl
0 upgraded, 6 newly installed, 0 to remove and 0 not upgraded.
Need to get 7,553 kB of archives.
After this operation, 46.6 MB of additional disk space will be used.
Do you want to continue? [Y/n] y

为了检查当前是否有容器运行，我们可以执行docker命令，加上ps选项

# docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES

docker命令中的ps功能类似于 Linux 的ps命令。它将显示可找到的 Docker 容器及其状态。由于我们并没有启动任何 Docker 容器，所以命令没有显示任何正在运行的容器。

部署一个预构建好的 nginx Docker 容器

我比较喜欢的 Docker 特性之一就是 Docker 部署预先构建好的容器的方式，就像yum和apt-get部署包一样。为了更好地解释，我们来部署一个运行着 nginx web 服务器的预构建容器。我们可以继续使用docker命令，这次选择run选项。

# docker run -d nginx
Unable to find image 'nginx' locally
Pulling repository nginx
5c82215b03d1: Download complete 
e2a4fb18da48: Download complete 
58016a5acc80: Download complete 
657abfa43d82: Download complete 
dcb2fe003d16: Download complete 
c79a417d7c6f: Download complete 
abb90243122c: Download complete 
d6137c9e2964: Download complete 
85e566ddc7ef: Download complete 
69f100eb42b5: Download complete 
cd720b803060: Download complete 
7cc81e9a118a: Download complete 

docker命令的run选项，用来通知 Docker 去寻找一个指定的 Docker 镜像，然后启动运行着该镜像的容器。默认情况下，Docker 容器运行在前台，这意味着当你运行docker run命令的时候，你的 shell 会被绑定到容器的控制台以及运行在容器中的进程。为了能在后台运行该 Docker 容器，我们使用了-d (detach)标志。

再次运行docker ps命令，可以看到 nginx 容器正在运行。

# docker ps
CONTAINER ID        IMAGE               COMMAND                CREATED             STATUS              PORTS               NAMES
f6d31ab01fc9        nginx:latest        nginx -g 'daemon off   4 seconds ago       Up 3 seconds        443/tcp, 80/tcp     desperate_lalande 

从上面的输出信息中，我们可以看到正在运行的名为desperate_lalande的容器，它是由nginx:latest image（LCTT 译注： nginx 最新版本的镜像）构建而来得。

Docker 镜像

镜像是 Docker 的核心特征之一，类似于虚拟机镜像。和虚拟机镜像一样，Docker 镜像是一个被保存并打包的容器。当然，Docker 不只是创建镜像，它还可以通过 Docker 仓库发布这些镜像，Docker 仓库和软件包仓库的概念差不多，它让 Docker 能够模仿yum部署软件包的方式来部署镜像。为了更好地理解这是怎么工作的，我们来回顾docker run执行后的输出。

# docker run -d nginx
Unable to find image 'nginx' locally

我们可以看到第一条信息是，Docker 不能在本地找到名叫 nginx 的镜像。这是因为当我们执行docker run命令时，告诉 Docker 运行一个基于 nginx 镜像的容器。既然 Docker 要启动一个基于特定镜像的容器，那么 Docker 首先需要找到那个指定镜像。在检查远程仓库之前，Docker 首先检查本地是否存在指定名称的本地镜像。

因为系统是崭新的，不存在 nginx 镜像，Docker 将选择从 Docker 仓库下载之。

Pulling repository nginx
5c82215b03d1: Download complete 
e2a4fb18da48: Download complete 
58016a5acc80: Download complete 
657abfa43d82: Download complete 
dcb2fe003d16: Download complete 
c79a417d7c6f: Download complete 
abb90243122c: Download complete 
d6137c9e2964: Download complete 
85e566ddc7ef: Download complete 
69f100eb42b5: Download complete 
cd720b803060: Download complete 
7cc81e9a118a: Download complete 

这就是第二部分输出信息显示给我们的内容。默认情况下，Docker 会使用 Docker Hub 仓库，该仓库由 Docker 公司维护。

和 Github 一样，在 Docker Hub 创建公共仓库是免费的，私人仓库就需要缴纳费用了。当然，部署你自己的 Docker 仓库也是可以的，事实上只需要简单地运行docker run registry命令就行了。但在这篇文章中，我们的重点将不是讲解如何部署一个定制的注册服务。

关闭并移除容器

在我们继续构建定制容器之前，我们先清理一下 Docker 环境，我们将关闭先前的容器，并移除它。

我们利用docker命令和run选项运行一个容器，所以，为了停止同一个容器，我们简单地在执行docker命令时，使用kill选项，并指定容器名。

# docker kill desperate_lalande
desperate_lalande

当我们再次执行docker ps，就不再有容器运行了

# docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES

但是，此时，我们这是停止了容器；虽然它不再运行，但仍然存在。默认情况下，docker ps只会显示正在运行的容器，如果我们附加-a (all) 标识，它会显示所有运行和未运行的容器。

# docker ps -a
CONTAINER ID        IMAGE               COMMAND                CREATED             STATUS                           PORTS               NAMES
f6d31ab01fc9        5c82215b03d1        nginx -g 'daemon off   4 weeks ago         Exited (-1) About a minute ago                       desperate_lalande  

为了能完整地移除容器，我们在用docker命令时，附加rm选项。

# docker rm desperate_lalande
desperate_lalande

虽然容器被移除了；但是我们仍拥有可用的nginx镜像（LCTT 译注：镜像缓存）。如果我们重新运行docker run -d nginx，Docker 就无需再次拉取 nginx 镜像即可启动容器。这是因为我们本地系统中已经保存了一个副本。

为了列出系统中所有的本地镜像，我们运行docker命令，附加images选项。

# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
nginx               latest              9fab4090484a        5 days ago          132.8 MB

构建我们自己的镜像

截至目前，我们已经使用了一些基础的 Docker 命令来启动、停止和移除一个预构建好的普通镜像。为了“Docker 化（Dockerize）”这篇博客，我们需要构建我们自己的镜像，也就是创建一个 Dockerfile。

在大多数虚拟机环境中，如果你想创建一个机器镜像，首先，你需要建立一个新的虚拟机、安装操作系统、安装应用，最后将其转换为一个模板或者镜像。但在 Docker 中，所有这些步骤都可以通过 Dockerfile 实现全自动。Dockerfile 是向 Docker 提供构建指令去构建定制镜像的方式。在这一章节，我们将编写能用来部署这个博客的定制 Dockerfile。

理解应用

我们开始构建 Dockerfile 之前，第一步要搞明白，我们需要哪些东西来部署这个博客。

这个博客本质上是由一个静态站点生成器生成的静态 HTML 页面，这个生成器是我编写的，名为 hamerkop。这个生成器很简单，它所做的就是生成该博客站点。所有的代码和源文件都被我放在了一个公共的 Github 仓库。为了部署这篇博客，我们要先从 Github 仓库把这些内容拉取下来，然后安装 Python 和一些 Python 模块，最后执行hamerkop应用。我们还需要安装 nginx，来运行生成后的内容。

截止目前，这些还是一个简单的 Dockerfile，但它却给我们展示了相当多的 Dockerfile 语法)。我们需要克隆 Github 仓库，然后使用你最喜欢的编辑器编写 Dockerfile，我选择vi。

# git clone https://github.com/madflojo/blog.git
Cloning into 'blog'...
remote: Counting objects: 622, done.
remote: Total 622 (delta 0), reused 0 (delta 0), pack-reused 622
Receiving objects: 100% (622/622), 14.80 MiB | 1.06 MiB/s, done.
Resolving deltas: 100% (242/242), done.
Checking connectivity... done.
# cd blog/
# vi Dockerfile

FROM - 继承一个 Docker 镜像

第一条 Dockerfile 指令是FROM指令。这将指定一个现存的镜像作为我们的基础镜像。这也从根本上给我们提供了继承其他 Docker 镜像的途径。在本例中，我们还是从刚刚我们使用的 nginx 开始，如果我们想从头开始，我们可以通过指定ubuntu:latest来使用 Ubuntu Docker 镜像。

## Dockerfile that generates an instance of http://bencane.com

FROM nginx:latest
MAINTAINER Benjamin Cane <[email protected]>

除了FROM指令，我还使用了MAINTAINER，它用来显示 Dockerfile 的作者。

Docker 支持使用#作为注释，我将经常使用该语法，来解释 Dockerfile 的部分内容。

运行一次测试构建

因为我们继承了 nginx Docker镜像，我们现在的 Dockerfile 也就包括了用来构建 nginx 镜像的 Dockerfile 中所有指令。这意味着，此时我们可以从该 Dockerfile 中构建出一个 Docker 镜像，然后以该镜像运行一个容器。虽然，最终的镜像和 nginx 镜像本质上是一样的，但是我们这次是通过构建 Dockerfile 的形式，然后我们将讲解 Docker 构建镜像的过程。

想要从 Dockerfile 构建镜像，我们只需要在运行 docker 命令的时候，加上 build 选项。

# docker build -t blog /root/blog 
Sending build context to Docker daemon  23.6 MB
Sending build context to Docker daemon 
Step 0 : FROM nginx:latest
 ---> 9fab4090484a
Step 1 : MAINTAINER Benjamin Cane <[email protected]>
 ---> Running in c97f36450343
 ---> 60a44f78d194
Removing intermediate container c97f36450343
Successfully built 60a44f78d194

上面的例子，我们使用了-t (tag)标识给镜像添加“blog”的标签。实质上我们就是在给镜像命名，如果我们不指定标签，就只能通过 Docker 分配的 Image ID 来访问镜像了。本例中，从 Docker 构建成功的信息可以看出，Image ID值为 60a44f78d194。

除了-t标识外，我还指定了目录/root/blog。该目录被称作“构建目录”，它将包含 Dockerfile，以及其它需要构建该容器的文件。

现在我们构建成功了，下面我们开始定制该镜像。

使用 RUN 来执行 apt-get

用来生成 HTML 页面的静态站点生成器是用 Python 语言编写的，所以，在 Dockerfile 中需要做的第一件定制任务是安装 Python。我们将使用 Apt 软件包管理器来安装 Python 软件包，这意味着在 Dockerfile 中我们要指定运行apt-get update和apt-get install python-dev；为了完成这一点，我们可以使用RUN指令。

## Dockerfile that generates an instance of http://bencane.com

FROM nginx:latest
MAINTAINER Benjamin Cane <[email protected]>

## Install python and pip
RUN apt-get update
RUN apt-get install -y python-dev python-pip

如上所示，我们只是简单地告知 Docker 构建镜像的时候，要去执行指定的apt-get命令。比较有趣的是，这些命令只会在该容器的上下文中执行。这意味着，即使在容器中安装了python-dev和python-pip，但主机本身并没有安装这些。说的更简单点，pip命令将只在容器中执行，出了容器，pip命令不存在。

还有一点比较重要的是，Docker 构建过程中不接受用户输入。这说明任何被RUN指令执行的命令必须在没有用户输入的时候完成。由于很多应用在安装的过程中需要用户的输入信息，所以这增加了一点难度。不过我们例子中，RUN命令执行的命令都不需要用户输入。

安装 Python 模块

Python 安装完毕后，我们现在需要安装 Python 模块。如果在 Docker 外做这些事，我们通常使用pip命令，然后参考我的博客 Git 仓库中名叫requirements.txt的文件。在之前的步骤中，我们已经使用git命令成功地将 Github 仓库“克隆”到了/root/blog目录；这个目录碰巧也是我们创建Dockerfile的目录。这很重要，因为这意味着 Docker 在构建过程中可以访问这个 Git 仓库中的内容。

当我们执行构建后，Docker 将构建的上下文环境设置为指定的“构建目录”。这意味着目录中的所有文件都可以在构建过程中被使用，目录之外的文件（构建环境之外）是不能访问的。

为了能安装所需的 Python 模块，我们需要将requirements.txt从构建目录拷贝到容器中。我们可以在Dockerfile中使用COPY指令完成这一需求。

## Dockerfile that generates an instance of http://bencane.com

FROM nginx:latest
MAINTAINER Benjamin Cane <[email protected]>

## Install python and pip
RUN apt-get update
RUN apt-get install -y python-dev python-pip

## Create a directory for required files
RUN mkdir -p /build/

## Add requirements file and run pip
COPY requirements.txt /build/
RUN pip install -r /build/requirements.txt

在Dockerfile中，我们增加了3条指令。第一条指令使用RUN在容器中创建了/build/目录。该目录用来拷贝生成静态 HTML 页面所需的一切应用文件。第二条指令是COPY指令，它将requirements.txt从“构建目录”(/root/blog)拷贝到容器中的/build/目录。第三条使用RUN指令来执行pip命令；安装requirements.txt文件中指定的所有模块。

当构建定制镜像时，COPY是条重要的指令。如果在 Dockerfile 中不指定拷贝文件，Docker 镜像将不会包含requirements.txt 这个文件。在 Docker 容器中，所有东西都是隔离的，除非在 Dockerfile 中指定执行，否则容器中不会包括所需的依赖。

重新运行构建

现在，我们让 Docker 执行了一些定制任务，现在我们尝试另一次 blog 镜像的构建。

# docker build -t blog /root/blog
Sending build context to Docker daemon 19.52 MB
Sending build context to Docker daemon 
Step 0 : FROM nginx:latest
 ---> 9fab4090484a
Step 1 : MAINTAINER Benjamin Cane <[email protected]>
 ---> Using cache
 ---> 8e0f1899d1eb
Step 2 : RUN apt-get update
 ---> Using cache
 ---> 78b36ef1a1a2
Step 3 : RUN apt-get install -y python-dev python-pip
 ---> Using cache
 ---> ef4f9382658a
Step 4 : RUN mkdir -p /build/
 ---> Running in bde05cf1e8fe
 ---> f4b66e09fa61
Removing intermediate container bde05cf1e8fe
Step 5 : COPY requirements.txt /build/
 ---> cef11c3fb97c
Removing intermediate container 9aa8ff43f4b0
Step 6 : RUN pip install -r /build/requirements.txt
 ---> Running in c50b15ddd8b1
Downloading/unpacking jinja2 (from -r /build/requirements.txt (line 1))
Downloading/unpacking PyYaml (from -r /build/requirements.txt (line 2))
<truncated to reduce noise>
Successfully installed jinja2 PyYaml mistune markdown MarkupSafe
Cleaning up...
 ---> abab55c20962
Removing intermediate container c50b15ddd8b1
Successfully built abab55c20962

上述输出所示，我们可以看到构建成功了，我们还可以看到另外一个有趣的信息---> Using cache。这条信息告诉我们，Docker 在构建该镜像时使用了它的构建缓存。

Docker 构建缓存

当 Docker 构建镜像时，它不仅仅构建一个单独的镜像；事实上，在构建过程中，它会构建许多镜像。从上面的输出信息可以看出，在每一“步”执行后，Docker 都在创建新的镜像。

 Step 5 : COPY requirements.txt /build/
  ---> cef11c3fb97c

上面片段的最后一行可以看出，Docker 在告诉我们它在创建一个新镜像，因为它打印了Image ID : cef11c3fb97c。这种方式有用之处在于，Docker能在随后构建这个 blog 镜像时将这些镜像作为缓存使用。这很有用处，因为这样， Docker 就能加速同一个容器中新构建任务的构建流程。从上面的例子中，我们可以看出，Docker 没有重新安装python-dev和python-pip包，Docker 则使用了缓存镜像。但是由于 Docker 并没有找到执行mkdir命令的构建缓存，随后的步骤就被一一执行了。

Docker 构建缓存一定程度上是福音，但有时也是噩梦。这是因为决定使用缓存或者重新运行指令的因素很少。比如，如果requirements.txt文件发生了修改，Docker 会在构建时检测到该变化，然后 Docker 会重新执行该执行那个点往后的所有指令。这得益于 Docker 能查看requirements.txt的文件内容。但是，apt-get命令的执行就是另一回事了。如果提供 Python 软件包的 Apt 仓库包含了一个更新的 python-pip 包；Docker 不会检测到这个变化，转而去使用构建缓存。这会导致之前旧版本的包将被安装。虽然对python-pip来说，这不是主要的问题，但对使用了存在某个致命攻击缺陷的软件包缓存来说，这是个大问题。

出于这个原因，抛弃 Docker 缓存，定期地重新构建镜像是有好处的。这时，当我们执行 Docker 构建时，我简单地指定--no-cache=True即可。

部署博客的剩余部分

Python 软件包和模块安装后，接下来我们将拷贝需要用到的应用文件，然后运行hamerkop应用。我们只需要使用更多的COPY 和 RUN指令就可完成。

## Dockerfile that generates an instance of http://bencane.com

FROM nginx:latest
MAINTAINER Benjamin Cane <[email protected]>

## Install python and pip
RUN apt-get update
RUN apt-get install -y python-dev python-pip

## Create a directory for required files
RUN mkdir -p /build/

## Add requirements file and run pip
COPY requirements.txt /build/
RUN pip install -r /build/requirements.txt

## Add blog code nd required files
COPY static /build/static
COPY templates /build/templates
COPY hamerkop /build/
COPY config.yml /build/
COPY articles /build/articles

## Run Generator
RUN /build/hamerkop -c /build/config.yml

现在我们已经写出了剩余的构建指令，我们再次运行另一次构建，并确保镜像构建成功。

# docker build -t blog /root/blog/
Sending build context to Docker daemon 19.52 MB
Sending build context to Docker daemon 
Step 0 : FROM nginx:latest
 ---> 9fab4090484a
Step 1 : MAINTAINER Benjamin Cane <[email protected]>
 ---> Using cache
 ---> 8e0f1899d1eb
Step 2 : RUN apt-get update
 ---> Using cache
 ---> 78b36ef1a1a2
Step 3 : RUN apt-get install -y python-dev python-pip
 ---> Using cache
 ---> ef4f9382658a
Step 4 : RUN mkdir -p /build/
 ---> Using cache
 ---> f4b66e09fa61
Step 5 : COPY requirements.txt /build/
 ---> Using cache
 ---> cef11c3fb97c
Step 6 : RUN pip install -r /build/requirements.txt
 ---> Using cache
 ---> abab55c20962
Step 7 : COPY static /build/static
 ---> 15cb91531038
Removing intermediate container d478b42b7906
Step 8 : COPY templates /build/templates
 ---> ecded5d1a52e
Removing intermediate container ac2390607e9f
Step 9 : COPY hamerkop /build/
 ---> 59efd1ca1771
Removing intermediate container b5fbf7e817b7
Step 10 : COPY config.yml /build/
 ---> bfa3db6c05b7
Removing intermediate container 1aebef300933
Step 11 : COPY articles /build/articles
 ---> 6b61cc9dde27
Removing intermediate container be78d0eb1213
Step 12 : RUN /build/hamerkop -c /build/config.yml
 ---> Running in fbc0b5e574c5
Successfully created file /usr/share/nginx/html//2011/06/25/checking-the-number-of-lwp-threads-in-linux
Successfully created file /usr/share/nginx/html//2011/06/checking-the-number-of-lwp-threads-in-linux
<truncated to reduce noise>
Successfully created file /usr/share/nginx/html//archive.html
Successfully created file /usr/share/nginx/html//sitemap.xml
 ---> 3b25263113e1
Removing intermediate container fbc0b5e574c5
Successfully built 3b25263113e1

运行定制的容器

成功的一次构建后，我们现在就可以通过运行docker命令和run选项来运行我们定制的容器，和之前我们启动 nginx 容器一样。

# docker run -d -p 80:80 --name=blog blog
5f6c7a2217dcdc0da8af05225c4d1294e3e6bb28a41ea898a1c63fb821989ba1

我们这次又使用了-d (detach)标识来让Docker在后台运行。但是，我们也可以看到两个新标识。第一个新标识是--name，这用来给容器指定一个用户名称。之前的例子，我们没有指定名称，因为 Docker 随机帮我们生成了一个。第二个新标识是-p，这个标识允许用户从主机映射一个端口到容器中的一个端口。

之前我们使用的基础 nginx 镜像分配了80端口给 HTTP 服务。默认情况下，容器内的端口通道并没有绑定到主机系统。为了让外部系统能访问容器内部端口，我们必须使用-p标识将主机端口映射到容器内部端口。上面的命令，我们通过-p 80:80语法将主机80端口映射到容器内部的80端口。

经过上面的命令，我们的容器看起来成功启动了，我们可以通过执行docker ps核实。

# docker ps
CONTAINER ID        IMAGE               COMMAND                CREATED             STATUS              PORTS                         NAMES
d264c7ef92bd        blog:latest         nginx -g 'daemon off   3 seconds ago       Up 3 seconds        443/tcp, 0.0.0.0:80->80/tcp   blog  

总结

截止目前，我们拥有了一个运行中的定制 Docker 容器。虽然在这篇文章中，我们只接触了一些 Dockerfile 指令用法，但是我们还是要学习所有的指令。我们可以检查 Docker's reference page 来获取所有的 Dockerfile 指令用法，那里对指令的用法说明得很详细。

另一个比较好的资源是 Dockerfile Best Practices page，它有许多构建定制 Dockerfile 的最佳练习。有些技巧非常有用，比如战略性地组织好 Dockerfile 中的命令。上面的例子中，我们将articles目录的COPY指令作为 Dockerfile 中最后的COPY指令。这是因为articles目录会经常变动。所以，将那些经常变化的指令尽可能地放在最后面的位置，来最优化那些可以被缓存的步骤。

通过这篇文章，我们涉及了如何运行一个预构建的容器，以及如何构建，然后部署定制容器。虽然关于 Docker 你还有许多需要继续学习的地方，但我想这篇文章给了你如何继续开始的好建议。当然，如果你认为还有一些需要继续补充的内容，在下面评论即可。

via: http://bencane.com/2015/12/01/getting-started-with-docker-by-dockerizing-this-blog/

作者：Benjamin Cane 译者：su-kaiyao 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出