开始投入一件事比远离它更容易。 — Donald Rumsfeld

没有 Kotlin 的生活就像在触摸板上玩魔兽争霸 3。购买鼠标很简单，但如果你的新雇主不想让你在生产中使用 Kotlin，你该怎么办？

下面有一些选择。

• 与你的产品负责人争取获得使用 Kotlin 的权利。
• 使用 Kotlin 并且不告诉其他人因为你知道最好的东西是只适合你的。
• 擦掉你的眼泪，自豪地使用 Java。

想象一下，你在和产品负责人的斗争中失败，作为一个专业的工程师，你不能在没有同意的情况下私自去使用那些时髦的技术。我知道这听起来非常恐怖，特别当你已经品尝到 Kotlin 的好处时，不过不要失去生活的信念。

在文章接下来的部分，我想简短地描述一些 Kotlin 的特征，使你通过一些知名的工具和库，可以应用到你的 Android 里的 Java 代码中去。对于 Kotlin 和 Java 的基本认识是需要的。

数据类

我想你肯定已经喜欢上 Kotlin 的数据类。对于你来说，得到 equals()、 hashCode()、 toString() 和 copy() 这些是很容易的。具体来说，data 关键字还可以按照声明顺序生成对应于属性的 componentN() 函数。 它们用于解构声明。

data class Person(val name: String)
val (riddle) = Person("Peter")
println(riddle)

你知道什么会被打印出来吗？确实，它不会是从 Person 类的 toString() 返回的值。这是解构声明的作用，它赋值从 name 到 riddle。使用园括号 (riddle) 编译器知道它必须使用解构声明机制。

val (riddle): String = Person("Peter").component1()
println(riddle) // prints Peter)

这个代码没编译。它就是展示了构造声明怎么工作的。

正如你可以看到 data 关键字是一个超级有用的语言特性，所以你能做什么把它带到你的 Java 世界？ 使用注释处理器并修改抽象语法树（Abstract Syntax Tree）。 如果你想更深入，请阅读文章末尾列出的文章（Project Lombok— Trick Explained）。

使用项目 Lombok 你可以实现 data关键字所提供的几乎相同的功能。 不幸的是，没有办法进行解构声明。

import lombok.Data;

@Data class Person {
    final String name;
}

@Data 注解生成 equals()、hashCode() 和 toString()。 此外，它为所有字段创建 getter，为所有非最终字段创建setter，并为所有必填字段（final）创建构造函数。 值得注意的是，Lombok 仅用于编译，因此库代码不会添加到您的最终的 .apk。

Lambda 表达式

Android 工程师有一个非常艰难的生活，因为 Android 中缺乏 Java 8 的特性，而且其中之一是 lambda 表达式。 Lambda 是很棒的，因为它们为你减少了成吨的样板。 你可以在回调和流中使用它们。 在 Kotlin 中，lambda 表达式是内置的，它们看起来比它们在 Java 中看起来好多了。 此外，lambda 的字节码可以直接插入到调用方法的字节码中，因此方法计数不会增加。 它可以使用内联函数。

button.setOnClickListener { println("Hello World") }

最近 Google 宣布在 Android 中支持 Java 8 的特性，由于 Jack 编译器，你可以在你的代码中使用 lambda。还要提及的是，它们在 API 23 或者更低的级别都可用。

button.setOnClickListener(view -> System.out.println("Hello World!"));

怎样使用它们？就只用添加下面几行到你的 build.gradle 文件中。

defaultConfig {
    jackOptions {
        enabled true
    }
}

compileOptions {
    sourceCompatibility JavaVersion.VERSION_1_8
    targetCompatibility JavaVersion.VERSION_1_8
}

如果你不喜欢用 Jack 编译器，或者你由于一些原因不能使用它，这里有一个不同的解决方案提供给你。Retrolambda 项目允许你在 Java 7，6 或者 5 上运行带有 lambda 表达式的 Java 8 代码，下面是设置过程。

dependencies {
    classpath 'me.tatarka:gradle-retrolambda:3.4.0'
}

apply plugin: 'me.tatarka.retrolambda'

compileOptions {
    sourceCompatibility JavaVersion.VERSION_1_8
    targetCompatibility JavaVersion.VERSION_1_8
}

正如我前面提到的，在 Kotlin 下的 lambda 内联函数不增加方法计数，但是如何在 Jack 或者 Retrolambda 下使用它们呢？ 显然，它们不是没成本的，隐藏的成本如下。

该表展示了使用不同版本的 Retrolambda 和 Jack 编译器生成的方法数量。该比较结果来自 Jake Wharton 的“探索 Java 的隐藏成本” 技术讨论之中。

数据操作

Kotlin 引入了高阶函数作为流的替代。 当您必须将一组数据转换为另一组数据或过滤集合时，它们非常有用。

fun foo(persons: MutableList<Person>) {
    persons.filter { it.age >= 21 }
           .filter { it.name.startsWith("P") }
           .map { it.name }
           .sorted()
           .forEach(::println)
}

data class Person(val name: String, val age: Int)

流也由 Google 通过 Jack 编译器提供。 不幸的是，Jack 不使用 Lombok，因为它在编译代码时跳过生成中间的 .class 文件，而 Lombok 却依赖于这些文件。

void foo(List<Person> persons) {
    persons.stream()
           .filter(it -> it.getAge() >= 21)
           .filter(it -> it.getName().startsWith("P"))
           .map(Person::getName)
           .sorted()
           .forEach(System.out::println);
}

class Person {
    final private String name;
    final private int age;

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    String getName() { return name; }
    int getAge() { return age; }
}

这简直太好了，所以 catch 在哪里？ 令人悲伤的是，流从 API 24 才可用。谷歌做了好事，但哪个应用程序有用 minSdkVersion = 24？

幸运的是，Android 平台有一个很好的提供许多很棒的库的开源社区。Lightweight-Stream-API 就是其中的一个，它包含了 Java 7 及以下版本的基于迭代器的流实现。

import lombok.Data;
import com.annimon.stream.Stream;

void foo(List<Person> persons) {
    Stream.of(persons)
          .filter(it -> it.getAge() >= 21)
          .filter(it -> it.getName().startsWith("P"))
          .map(Person::getName)
          .sorted()
          .forEach(System.out::println);
}

@Data class Person {
    final String name;
    final int age;
}

上面的例子结合了 Lombok、Retrolambda 和 Lightweight-Stream-API，它看起来几乎和 Kotlin 一样棒。使用静态工厂方法允许您将任何 Iterable 转换为流，并对其应用 lambda，就像 Java 8 流一样。 将静态调用 Stream.of(persons) 包装为 Iterable 类型的扩展函数是完美的，但是 Java 不支持它。

扩展函数

扩展机制提供了向类添加功能而无需继承它的能力。 这个众所周知的概念非常适合 Android 世界，这就是 Kotlin 在该社区很受欢迎的原因。

有没有技术或魔术将扩展功能添加到你的 Java 工具箱？ 因 Lombok，你可以使用它们作为一个实验功能。 根据 Lombok 文档的说明，他们想把它从实验状态移出，基本上没有什么变化的话很快。 让我们重构最后一个例子，并将 Stream.of(persons) 包装成扩展函数。

import lombok.Data;
import lombok.experimental.ExtensionMethod;

@ExtensionMethod(Streams.class)
public class Foo {
    void foo(List<Person> persons) {
        persons.toStream()
               .filter(it -> it.getAge() >= 21)
               .filter(it -> it.getName().startsWith("P"))
               .map(Person::getName)
               .sorted()
               .forEach(System.out::println);
    }
}

@Data class Person {
    final String name;
    final int age;
}

class Streams {
    static <T> Stream<T> toStream(List<T> list) {
        return Stream.of(list);
    }
}

所有的方法是 public、static 的，并且至少有一个参数的类型不是原始的，因而是扩展方法。 @ExtensionMethod 注解允许你指定一个包含你的扩展函数的类。 你也可以传递数组，而不是使用一个 .class 对象。

我完全知道我的一些想法是非常有争议的，特别是 Lombok，我也知道，有很多的库，可以使你的生活更轻松。请不要犹豫在评论里分享你的经验。干杯!

作者简介：

Coder and professional dreamer @ Grid Dynamics

via: https://medium.com/proandroiddev/living-android-without-kotlin-db7391a2b170

作者：Piotr Ślesarew 译者：DockerChen 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

哎，又是 Bug 和 Debug！ 感觉代码之中永远脱离不了这个魔咒啊！还真是尴尬。不知道，编码之间进行详细的规划，能不能尽量避免那些不必要的 Bug？

译者简介：

GHLandy —— 生活中所有欢乐与苦闷都应藏在心中，有些事儿注定无人知晓，自己也无从说起。

via:

• http://turnoff.us/geek/the-depressed-developer-16/

作者：Daniel Stori 译者：GHLandy 校对：wxy 合成：GHLandy 点评：GHLandy

本文由 LCTT 原创编译，Linux中国 荣誉推出

不管是哪行哪业，诸如 IT 行业的代码、生成加工等，安全大概都是可以作为一个永恒的话题。越是觉得可以忽略的细小事情，还真是越容易造成重大的安全事故。所以，不管何种情况下，该做的安全考虑都是必不可少的。

译者简介：

GHLandy —— 生活中所有欢乐与苦闷都应藏在心中，有些事儿注定无人知晓，自己也无从说起。

via：http://turnoff.us/geek/the-depressed-developer-15/

作者：Daniel Stori 译者：GHLandy 校对：wxy 合成：GHLandy 点评：GHLandy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在这个最后的物联网系列文章中，Canonical 和 Resin.io 向以 Linux 容器技术作为解决方案向物联网安全性和互操作性发起挑战。

尽管受到日益增长的安全威胁，但对物联网（IoT）的炒作没有显示减弱的迹象。为了刷存在感，公司们正忙于重新规划它们的物联网方面的路线图。物联网大潮迅猛异常，比移动互联网革命渗透的更加深入和广泛。IoT 像黑洞一样，吞噬一切，包括智能手机，它通常是我们通向物联网世界的窗口，有时也作为我们的汇聚点或终端。

新的针对物联网的处理器和嵌入式主板继续重塑其技术版图。自从 9 月份推出 面向物联网的 Linux 和开源硬件 系列文章之后，我们看到了面向物联网网关的 “Apollo Lake]” SoC 芯片 Intel Atom E3900 以及三星 新的 Artik 模块，包括用于网关并由 Linux 驱动的 64 位 Artik 7 COM 及自带 RTOS 的 Cortex-M4 Artik。 ARM 为具有 ARMv8-M 和 TrustZone 安全性的 IoT 终端发布了 Cortex-M23 和 Cortex-M33 芯片。

Artik 7

讲道理，安全是这些产品的卖点。最近攻击 Dyn 服务并在一天内摧毁了美国大部分互联网的 Mirai 僵尸网络将基于 Linux 的物联网推到台前 - 当然这种方式似乎不太体面。就像 IoT 设备可以成为 DDoS 的帮凶一样，设备及其所有者同样可能直接遭受恶意攻击。

Cortex-M33 和 -M23

Dyn 攻击事件更加证明了这种观点，即物联网将更加蓬勃地在受控制和受保护的工业环境发展，而不是家用环境中。这不是因为没有消费级物联网安全技术，但除非产品设计之初就以安全为目标，否则如我们的智能家居集线器系列中的许多解决方案一样，后期再考虑安全就会增加成本和复杂性。

在物联网系列的最后这个未来展望的部分，我们将探讨两种基于 Linux 的面向 Docker 的容器技术，这些技术被提出作为物联网安全解决方案。容器还可以帮助解决我们在物联网框架中探讨的开发复杂性和互操作性障碍的问题。

我们与 Canonical 的 Ubuntu 客户平台工程副总裁 Oliver Ries 讨论了 Ubuntu Core 和适用于 Docker 的容器式 Snaps 包管理技术。我们还就新的基于 Docker 的物联网方案 ResinOS 采访了 Resin.io 首席执行官和联合创始人 Alexandros Marinos。

Ubuntu Core Snaps

Canonical 面向物联网的 Snappy Ubuntu Core 版本的 Ubuntu 是围绕一个类似容器的快照包管理机制而构建的，并提供应用商店支持。 snaps 技术最近自行发布了用于其他 Linux 发行版的版本。去年 11 月 3 日，Canonical 发布了 Ubuntu Core 16，该版本改进了白标应用商店和更新控制服务。

传统 Ubuntu（左）架构 与 Ubuntu Core 16

快照机制提供自动更新，并有助于阻止未经授权的更新。 使用事务系统管理，快照可确保更新按预期部署或根本不部署。 在 Ubuntu Core 中，使用 AppArmor 进一步加强了安全性，并且所有应用程序文件都是只读的且保存在隔离的孤岛中。

LimeSDR

Ubuntu Core 是我们最近展开的开源物联网操作系统调查的一部分，现在运行于 Gumstix 主板、Erle 机器人无人机、Dell Edge 网关、Nextcloud Box、LimeSDR、Mycroft 家庭集线器、英特尔的 Joule 和符合 Linaro 的 96Boards 规范的 SBC（单板计算机） 上。 Canonical 公司还与 Linaro 物联网和嵌入式（LITE）部门集团在其 96Boards 物联网版（IE） 上达成合作。最初，96Boards IE 专注于 Zephyr 驱动的 Cortex-M4 板卡，如 Seeed 的 BLE Carbon，不过它将扩展到可以运行 Ubuntu Core 的网关板卡上。

“Ubuntu Core 和 snaps 具有从边缘到网关到云的相关性，”Canonical 的 Ries 说。 “能够在任何主要发行版（包括 Ubuntu Server 和 Ubuntu for Cloud）上运行快照包，使我们能够提供一致的体验。 snaps 可以使用事务更新以免故障方式升级，可用于安全性更新、错误修复或新功能的持续更新，这在物联网环境中非常重要。”

Nextcloud盒子

安全性和可靠性是关注的重点，Ries 说。 “snaps 应用可以完全独立于彼此和操作系统而运行，使得两个应用程序可以安全地在单个网关上运行，”他说。 “snaps 是只读的和经过认证的，可以保证代码的完整性。

Ries 还说这种技术减少开发时间。 “snap 软件包允许开发人员向支持它的任何平台提供相同的二进制包，从而降低开发和测试成本，减少部署时间和提高更新速度。 “使用 snap 软件包，开发人员完可以全控制开发生命周期，并可以立即更新。 snap 包提供了所有必需的依赖项，因此开发人员可以选择定制他们使用的组件。”

ResinOS: 为 IoT 而生的 Docker

Resin.io 公司，与其商用的 IoT 框架同名，最近剥离了该框架的基于 Yocto Linux 的 ResinOS 2.0，ResinOS 2.0 将作为一个独立的开源项目运营。 Ubuntu Core 在 snap 包中运行 Docker 容器引擎，ResinOS 在主机上运行 Docker。 极致简约的 ResinOS 抽离了使用 Yocto 代码的复杂性，使开发人员能够快速部署 Docker 容器。

ResinOS 2.0 架构

与基于 Linux 的 CoreOS 一样，ResinOS 集成了 systemd 控制服务和网络协议栈，可通过异构网络安全地部署更新的应用程序。 但是，它是为在资源受限的设备（如 ARM 黑客板）上运行而设计的，与之相反，CoreOS 和其他基于 Docker 的操作系统（例如基于 Red Hat 的 Project Atomic）目前仅能运行在 x86 上，并且更喜欢资源丰富的服务器平台。 ResinOS 可以在 20 中 Linux 设备上运行，并不断增长，包括 Raspberry Pi，BeagleBone 和Odroid-C1 等。

“我们认为 Linux 容器对嵌入式系统比对于云更重要，”Resin.io 的 Marinos 说。 “在云中，容器代表了对之前的进程的优化，但在嵌入式中，它们代表了姗姗来迟的通用虚拟化“

BeagleBone Black

当应用于物联网时，完整的企业级虚拟机有直接访问硬件的限制的性能缺陷，Marinos 说。像 OSGi 和 Android 的Dalvik 这样的移动设备虚拟机可以用于 IoT，但是它们依赖 Java 并有其他限制。

对于企业开发人员来说，使用 Docker 似乎很自然，但是你如何说服嵌入式黑客转向全新的范式呢？ “Marinos 解释说，”ResinOS 不是把云技术的实践经验照单全收，而是针对嵌入式进行了优化。”此外，他说，容器比典型的物联网技术更好地包容故障。 “如果有软件缺陷，主机操作系统可以继续正常工作，甚至保持连接。要恢复，您可以重新启动容器或推送更新。更新设备而不重新启动它的能力进一步消除了故障引发问题的机率。”

据 Marinos 所说，其他好处源自与云技术的一致性，例如拥有更广泛的开发人员。容器提供了“跨数据中心和边缘的统一范式，以及一种方便地将技术、工作流、基础设施，甚至应用程序转移到边缘（终端）的方式。”

Marinos 说，容器中的固有安全性优势正在被其他技术增强。 “随着 Docker 社区推动实现镜像签名和鉴证，这些自然会转移并应用到 ResinOS，”他说。 “当 Linux 内核被强化以提高容器安全性时，或者获得更好地管理容器所消耗的资源的能力时，会产生类似的好处。

容器也适合开源 IoT 框架，Marinos 说。 “Linux 容器很容易与几乎各种协议、应用程序、语言和库结合使用，”Marinos 说。 “Resin.io 参加了 AllSeen 联盟，我们与使用 IoTivity 和 Thread的 伙伴一起合作。”

IoT的未来：智能网关与智能终端

Marinos 和 Canonical 的 Ries 对未来物联网的几个发展趋势具有一致的看法。 首先，物联网的最初概念（其中基于 MCU 的端点直接与云进行通信以进行处理）正在迅速被雾化计算架构所取代。 这需要更智能的网关，也需要比仅仅在 ZigBee 和 WiFi 之间聚合和转换数据更多的功能。

其次，网关和智能边缘设备越来越多地运行多个应用程序。 第三，许多这些设备将提供板载分析，这些在最新的智能家居集线器上都有体现。 最后，富媒体将很快成为物联网组合的一部分。

最新设备网关: Eurotech 的 ReliaGate 20-26

最新设备网关: Advantech 的 UBC-221

“智能网关正在接管最初为云服务设计的许多处理和控制功能，”Marinos 说。 “因此，我们看到对容器化的推动力在增加，可以在 IoT 设备中使用类似云工作流程来部署与功能和安全相关的优化。去中心化是由移动数据紧缩、不断发展的法律框架和各种物理限制等因素驱动的。”

Ubuntu Core 等平台正在使“可用于网关的软件爆炸式增长”，Canonical 的 Ries 说。 “在单个设备上运行多个应用程序的能力吸引了众多单一功能设备的用户，以及现在可以产生持续的软件收入的设备所有者。”

两种 IoT 网关: MyOmega MYNXG IC2 Controller

两种 IoT 网关: TechNexion 的 LS1021A-IoT Gateway

不仅是网关 - 终端也变得更聪明。 “阅读大量的物联网新闻报道，你得到的印象是所有终端都运行在微控制器上，”Marinos 说。 “但是我们对大量的 Linux 终端，如数字标牌，无人机和工业机械等直接执行任务，而不是作为操作中介（数据转发）感到惊讶。我们称之为影子 IoT。”

Canonical 的 Ries 同意，对简约技术的专注使他们忽视了新兴物联网领域。 “轻量化的概念在一个发展速度与物联网一样快的行业中初现端倪，”Ries 说。 “今天的高级消费硬件可以持续为终端供电数月。”

虽然大多数物联网设备将保持轻量和“无头”（一种配置方式，比如物联网设备缺少显示器，键盘等），它们装备有如加速度计和温度传感器这样的传感器并通过低速率的数据流通信，但是许多较新的物联网应用已经使用富媒体。 “媒体输入/输出只是另一种类型的外设，”Marinos 说。 “总是存在多个容器竞争有限资源的问题，但它与传感器或蓝牙竞争天线资源没有太大区别。”

Ries 看到了工业和家庭网关中“提高边缘智能”的趋势。 “我们看到人工智能、机器学习、计算机视觉和上下文意识的大幅上升，”Ries 说。 “为什么要在云中运行面部检测软件，如果相同的软件可以在边缘设备运行而又没有网络延迟和带宽及计算成本呢？“

当我们在这个物联网系列的开篇故事中探索时，我们发现存在与安全相关的物联网问题，例如隐私丧失和生活在监视文化中的权衡。还有一些问题如把个人决策交给可能由他人操控的 AI 裁定。这些不会被容器，快照或任何其他技术完全解决。

如果 AWS Alexa 可以处理生活琐事，而我们专注在要事上，也许我们会更快乐。或许有一个方法来平衡隐私和效用，现在，我们仍在探索，如此甚好。

via: http://hackerboards.com/can-linux-containers-save-iot-from-a-security-meltdown/

作者：Eric Brown 译者：firstadream 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

就像异形大战铁血战士的结果一样，后者略胜一筹。不管怎样，你可能知道，我最近测试了 Fedora 25，体验还可以。总的来说，这个发行版表现的相当不错。它不是最快速的，但随着一系列的改进，变得足够稳定也足够好用。最重要的是，除了一些性能以及响应性的损失，Wayland 并没有造成我的系统瘫痪。但这还仅仅是个开始。

Wayland 作为一种消费者技术还处在它的襁褓期，或者至少是当人们在处理桌面事物时应就这么认为。因此，我必须继续测试，绝不弃坑。在过去的积极地使用 Fedora 25 的几个星期里，我确实碰到了几个其它的问题，有些不用太担心，有些确实很恼人，有些很奇怪，有些却无意义。让我们来讲述一下吧！

Wayland 并不支持所有软件

没错，这是一个事实。如果你去网站上阅读相关的信息，你会发现各种各样的软件都还没为 Wayland 做好准备。当然，我们都知道 Fedora 是一个激进的高端发行版，它是为了探索新功能而出现的测试床。这没毛病。有一段时间，所有东西都很正常，没有瞎忙活，没有错误。但接下来，我突然需要使用 GParted。我当时很着急，正在排除一个大故障，然而我却让自己置身于一些无意义的额外工作。 GParted 没办法在 Wayland 下直接启动。在探索了更多一些细节之后，我知道了该分区软件目前还没有被 Wayland 支持。

问题就在于我并不太清楚其它哪些应用不能在 Wayland 下运行，并且我不能在一个正确估计的时间敏锐地发现这一点。通过在线搜索，我还是不能快速找到一个简要的当前不兼容列表。可能只是我在搜索方面不太在行，但显而易见这些东西是和“Wayland + 兼容性” 这样的问题一样零零散散的。

我找到了一个自诩 Wayland 很棒的文章、一个目前已被这个新玩意儿支持的 Gnome 应用程序列表、一些 ArchWiki 上难懂的资料，一篇在英伟达开发论坛上的晦涩得让我后悔点进去的主题，以及一些其他含糊的讨论。

再次提到性能

在 Fedora 25 上，我把登录会话从 Gnome（Wayland）切换到 Gnome Xorg，观察会对系统产生什么影响。我之前已经提到过在同一个笔记本（联想 G50）上的性能跑分和与 Fedora 24 的比较，但这次会给我们提供更加准确的结果。

Wayland（截图 1）空闲时的内存占用为 1.4GB， CPU 的平均负载约为 4-5%。Xorg（截图 2）占用了同样大小的内存，处理器消耗了全部性能的 3-4%，单纯从数字上来看少了一小点。但是 Xorg 会话的体验却好得多。虽然只是毫秒级的差距，但你能感受得到。传统的会话方式看起来更加的灵动、快速、清新一点。但 Wayland 落后得并不明显。如果你对你的电脑响应速度很敏感，你可能会对这点延迟不会太满意。当然，这也许只是作为新手缺乏优化的缘故，Wayland 会随时间进步。但这一点也是我们所不能忽视的。

批评

我对此并不高兴。虽然并不是很愤怒，但我不喜欢为了能完全享受我的桌面体验，我却需要登录到传统的 X 会话。因为 X 给了我全部，但 Wayland 则没有。这意味着我不能一天都用着 Wayland。我喜欢探索科技，但我不是一个盲目的狂热追随者。我只是想用我的桌面，有时我可能需要它快速响应。注销然后重新登录在急需使用的时候会成为恼人的麻烦。我们遇到这个问题的原因就是 Wayland 没有让 Linux 桌面用户的生活变得更简单，而恰恰相反。

引用：

Wayland 是为了成为 X 的更加简单的替代品，更加容易开发和维护。建议 GNOME 和 KDE 都使用它。

你能看到，这就是问题的一方面原因。东西不应该被设计成容易开发或维护。它可以是满足了所有其它消费需求之后提供的有益副产品。但如果没有，那么不管它对于程序员敲代码来说多么困难或简单都将不重要。那是他们的工作。科技的所有目的都是为了达到一种无缝并且流畅的用户体验。

不幸的是，现在很大数量的产品都被重新设计或者开发，只是为了使软件人员更加轻松，而不是用户。在很大程度上，Gnome 3、PulseAudio、Systemd 和 Wayland 都没有遵循提高用户体验的宗旨。在这个意义上来说，它们更像是一种打扰，而没有为 Linux 桌面生态的稳定性和易用性作出贡献。

这也是为什么 Linux 桌面是一个相对不成熟产品的一个主要原因————它被设计成开发人员的自我支持产品，更像一个活生生的生物，而不是依附于用户各种怪念头和想法的奴隶。这也是伟大事物是如何形成的，你满足于主要需求，接下来只是担心细节方面。优秀的用户体验不依赖于（也永远不依赖于）编程语言、编译器的选择，或任何其他无意义的东西。如果依赖了，那么不管谁来设计这个抽象层做的不够好的产品，我们都会得到一个失败的作品，需要把它的存在抹去。

那么在我的展望中，我不在乎是否要吐血十升去编译一个 Xorg 或其它什么的版本。我是一个用户，我所在乎的只是我的桌面能否像它昨天或者 5 年前一样健壮地工作。没事的情况下，我不会对宏、类、变量、声明、结构体，或其他任何极客的计算机科技感兴趣。那是不着边际的。一个产品宣传自己是被创造出来为人们的开发提供方便的，那是个悖论。如果接下来再也不用去开发它了，这样反而会使事情更简单。

现在，事实是 Wayland 大体上可用，但它仍然不像 Xorg 那么好，并且它也不应该在任何的桌面上作为就绪的产品被提供。一但它能够无人知晓般无缝地取代那些过时技术，只有在那种时候，它才获得了它所需要的成功，那之后，它可以用 C、D 或者 K 之类的无论什么语言编写，拥有开发者需要的任何东西。而在那之前，它都是一个蚕食资源和人们思想的寄生虫而已。

不要误会，我们需要进步，需要改变。但它必须为了进化的目而服务。现在 Xorg 能很好地满足用户需求了吗？它能为第三方库提供图形支持吗？它能支持 HD、UHD、DPI 或其他的什么吗？你能用它玩最新的游戏吗？行还是不行？如果不行，那么它就需要被改进。这些就是进化的驱动力，而不是写代码或者编译代码的困难程度。软件开发者是数字工业的矿工，他们需要努力工作而取悦于用户。就像短语“更加易于开发”应该被取缔一样，那些崇尚于此的人也应该用老式收音机的电池处以电刑，然后用没有空调的飞船流放到火星上去。如果你不能写出高明的代码，那是你的问题。用户不能因为开发者认为自己是公主而遭受折磨。

结语

说到这里。大体上说，Wayland 还可以，并不差。但这说的就像是某人决定修改你工资单上分配比例，导致你从昨天能赚 100% 到今天只能赚 83% 一样。讲道理这是不能接受的，即使 Wayland 工作的相当好。正是那些不能运作的东西导致如此大的不同。忽略所有批评它的一面，Wayland 被认为降低了可用性、性能以及软件的知名度，这正是 Fedora 亟待解决的问题。

其他的发行版会跟进，然后我们会看到历史重演，就像 Gnome 3 和 Systemd 所发生的一样。没有完全准备好的东西被放到开放环境中，然后我们花费一两年时间修复那些本无需修复的东西，最终我们将拥有的是我们已经拥有的相同功能，只是用不同的编程语言来实现。我并不感兴趣这些。计算机科学曾在 1999 年非常受欢迎，当时 Excel 用户每小时能赚 50 美元。而现在，编程就像是躲在平底船下划桨，人们并不会在乎你在甲板下流下的汗水与磨出的水泡。

性能可能不太是一个问题了，因为你可以放弃 1-2% 的变化，尤其是它会受随机的来自任何一个因素的影响，如果你已经用 Linux 超过一、两年你就会知道的。但是无法启动应用是个大问题。不过至少， Fedora 也友好地提供了传统的平台。但是，它可能会在 Wayland 100% 成熟前就消失了。我们再来看看，不，不会有灾难。我原本的 Fedora 25 宣称支持这种看法。我们有的就是烦恼，不必要的烦恼。啊，这是 Linux 故事中的第 9000 集。

那么，在今天结束之际，我们已经讨论了所有事情。从中我们学到：臣伏于 Xorg！天呐！真棒，现在我将淡入背景音乐，而笑声会将你的欢乐带给寒冷的夜晚。再见！

干杯。

（题图来自 Wikimedia 并做了些修改， CC BY-SA 3.0 许可）

作者简介：

我是 Igor Ljubuncic。现在大约 38 岁，已婚但还没有孩子。我现在在一个大胆创新的云科技公司做首席工程师。直到大约 2015 年初，我还在一个全世界最大的 IT 公司之一中做系统架构工程师，和一个工程计算团队开发新的基于 Linux 的解决方案，优化内核以及攻克 Linux 的问题。在那之前，我是一个为高性能计算环境设计创新解决方案的团队的技术领导。还有一些其他花哨的头衔，包括系统专家、系统程序员等等。所有这些都曾是我的爱好，但从 2008 年开始成为了我的有偿的工作。还有什么比这更令人满意的呢？

从 2004 年到 2008 年间，我曾通过作为医学影像行业的物理学家来糊口。我的工作专长集中在解决问题和算法开发。为此，我广泛地使用了 Matlab，主要用于信号和图像处理。另外，我得到了几个主要的工程方法学的认证，包括 MEDIC 六西格玛绿带、试验设计以及统计工程学。

我也写过书，包括高度魔幻类和 Linux 上的技术工作方面的，彼此交织。

via: http://www.dedoimedo.com/computers/fedora-25-wayland-vs-xorg.html

作者：Igor Ljubuncic 译者：cycoe 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

为什么 SSH（安全终端）的端口号是 22 呢，这不是一个巧合，这其中有个我（Tatu Ylonen，SSH 协议的设计者）未曾诉说的故事。

将 SSH 协议端口号设为 22 的故事

1995 年春我编写了 SSH 协议的最初版本，那时候 telnet 和 FTP 正被广泛使用。

当时我设计 SSH 协议想着是为了替代 telnet（端口 23）和 ftp（端口21）两个协议的，而端口 22 是空闲的。我想当然地就选择了夹在 telnet 和 ftp 的端口中间的数字。我觉得端口号虽然是个小事但似乎又存在着某种信念。但我到底要怎么拿到那个端口号呢？我未曾拥有过任何一个端口号，但我却认识几个拥有端口号的人！

在那时取得端口号的事情其实说来挺简单的。毕竟当时的因特网（Internet）并不是很大，是因特网爆炸的早期。端口号分配的活儿是 IANA（Internet Assigned Numbers Authority，互联网数字分配机构）干的。在那时这机构可相当于是因特网先驱 Jon Postel 和 Joyce K. Reynolds 一般的存在。Jon 参与编写了多项主要的协议标准，例如 IP（RFC 791）、ICMP（RFC 792）和 TCP（RFC 793）等一些你应该早有耳闻的协议。

我可以说是敬畏 Jon 先生的，他参与编写了几乎所有主要的因特网标准文档（Internet RFC）！

1995 年 7 月，就在我发布 ssh-1.0 前，我发送了一封邮件给 IANA：

From ylo Mon Jul 10 11:45:48 +0300 1995
From: Tatu Ylonen mailto:[email protected]
To: Internet Assigned Numbers Authority mailto:[email protected]
Subject: 请求取得一个端口号
Organization: 芬兰赫尔辛基理工大学

亲爱的机构成员：

我写了个可以在不安全的网络环境中安全地从一台机器登录到另一台机器的程序。它主要是对现有的 telnet 协议以及 rlogin 协议的功能性提升和安全性改进。说的具体些，就是可以防御 IP、DNS 或路由等欺骗行为。我打算将我的软件免费地发布在因特网上，以得到广泛地使用。

我希望为该软件注册一个特权端口号，要是这个端口号在 1 到 255 之间就更好了，这样它就可以用在名字服务器的 WKS 字段中了。

我在附件中附上了协议标准的草案。这个软件已经在本地运行了几个月了，我已准备在获得端口号后就发布。如果端口号分配一事安排的及时，我希望这周就将要发布的软件准备好。我目前在 beta 版测试时使用的端口号是 22，如果要是能够分配到这个端口，我就不用做什么更改了（目前这个端口在列表中还是空闲的）。

软件中服务的名称叫 ssh（系 Secure Shell 的缩写）。

您最真诚的，

Tatu Ylonen mailto:[email protected]

（LCTT 译注：DNS 协议中的 WKS 记录类型意即“众所周知的业务描述”，是类似于 A、MX 这样的 DNS 记录类型，用于描述某个 IP 所提供的服务，目前鲜见使用。参见： https://docs.oracle.com/cd/E19683-01/806-4077/dnsintro-154/index.html 。）

第二天，我就收到了 Joyce 发来的邮件：

Date: Mon, 10 Jul 1995 15:35:33 -0700
From: [email protected]
To: [email protected]
Subject: 回复：请求取得一个端口号
Cc: [email protected]

Tatu,

我们将端口号 22 分配给 ssh 服务了，你目前是该服务的主要联系人。

Joyce

这就搞定了！SSH 的端口正式使用 22！！！

1995 年 7 月 12 日上午 2 点 21 分，我给我在赫尔辛基理工大学的测试者们宣布了 SSH 的最后 beta 版本。当日下午 5 点 23 分，我给测试者们宣布了 ssh-1.0.0 版本。1995 年 7 月 12 日，下午 5 点 51 分，我将一份 SSH（安全终端）的宣告发给了 [email protected] 的邮件列表，此外我还将其发给了一些新闻组、邮件列表和一些在因特网上讨论相关话题的人们。

如何更改 SSH 服务的端口号

SSH 服务器是默认运行在 22 号端口上的。然而，由于某些原因需要，它也可以运行在别的端口上。比如为了方便测试使用，又比如在同一个宿主机上运行多个不同的配置。当然，极少情况下，不使用 root 权限运行它也可以，比如某些必须运行在非特权的端口的情况（端口号大于等于 1024）。

端口号可以在配置文件 /etc/ssh/sshd\_config 中将 Port 22 更改。也可以使用 -p <port> 选项运行 sshd。SSH 客户端和 sftp 程序也可以使用 -p <port> 选项。

配置 SSH 协议穿越防火墙

SSH 是少数通常被许可穿越防火墙的协议之一。通常的做法是不限制出站的 SSH 连接，尤其常见于一些较小的或者比较技术型的组织中，而入站的 SSH 连接通常会限制到一台或者是少数几台服务器上。

出站的 SSH 连接

在防火墙中配置出站的 SSH 连接十分简单。如果完全限制了外发连接，那么只需要创建一个允许 TCP 端口 22 可以外发的规则即可。如果你想限制目标地址，你可以限制该规则仅允许访问你的组织放在云端的外部服务器或保护该云端的跳板服务器即可。

反向通道是有风险的

其实不限制出站的 SSH 连接虽然是可以的，但是是存在风险的，SSH 协议是支持 通道访问 的。最初的想法是在外部服务器搭建一个 SSH 服务监听来自各处的连接，将进入的连接转发到组织，并让这个连接可以访问某个内部服务器。

在某些场景下这当然非常的方便。开发者和系统管理员经常使用它打开一个通道以便于他们可以远程访问，比如在家里或者在旅行中使用笔记本电脑等场景。

然而通常来讲这些做法是违背安全策略的，跳过了防火墙管理员和安全团队保护的控制无疑是违背安全策略的，比如这些： PCI、HIPAA、NIST SP 800-53 等。它可以被黑客和外国情报机构用来在组织内留下后门。

CryptoAuditor 是一款可以控制通道穿过防火墙或者一组云端服务器入口的产品。该款产品可以配合 通用 SSH 密钥管理器（Universal SSH Key Manager） 来获得对 主机密钥（host keys）的访问，以在启用防火墙并阻挡未授权转发的场景中解密 SSH 会话。

入站的 SSH 访问

对于入站访问而言，这里有几点需要说一下：

• 配置防火墙，并转发所有去往 22 端口的连接只能流向到一个特定的内部网络 IP 地址或者一个 DMZ) 主机。在该 IP 上运行 CryptoAuditor 或者跳板机来控制和审查所有访问该组织的连接。
• 在防火墙上使用不同的端口访问不同的服务器。
• 只允许使用 IPsec 协议这样的 VPN（虚拟专用网）登录后连接 SSH 服务。

通过 iptables 服务限制 SSH 访问

iptables 是一款内建在 Linux 内核的宿主防火墙。通常配置用于保护服务器以防止被访问那些未明确开启的端口。

如果服务器上启用了 iptables，使用下面的命令将可以允许进入的 SSH 访问，当然命令需要以 root 身份运行。

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

如果你想将上述命令创建的规则持久地保存，在某些系统版本中，可使用如下命令：

service iptables save

via: https://www.ssh.com/ssh/port

作者：Tatu Ylonen 译者：kenxx 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出