这个老牌 Linux 备份方案迁移到了 Python 3 提供了添加许多新功能的机会。

2020 年 3 月，rdiff-backup 升级到了 2.0 版，这距离上一个主要版本已经过去了 11 年。2020 年初 Python 2 的废弃是这次更新的动力，但它为开发团队提供了整合其他功能和优势的机会。

大约二十年来，rdiff-backup 帮助 Linux 用户在本地或远程维护他们的数据的完整备份，而无需无谓地消耗资源。这是因为这个开源解决方案可以进行反向增量备份，只备份从上一次备份中改变的文件。

这次改版（或者说，重生）得益于一个新的、自组织的开发团队（由来自 IKUS Software 的 Eric Zolf 和 Patrik Dufresne，以及来自 Seravo 的 Otto Kekäläinen 共同领导）的努力，为了所有 rdiff-backup 用户的利益，他们齐心协力。

rdiff-backup 的新功能

在 Eric 的带领下，随着向 Python 3 的迁移，项目被迁移到了一个新的、不受企业限制的仓库，以欢迎贡献。团队还整合了多年来提交的所有补丁，包括对稀疏文件的支持和对硬链接的修复。

用 Travis CI 实现自动化

另一个巨大的改进是增加了一个使用开源 Travis CI 的持续集成/持续交付（CI/CD）管道。这允许在各种环境下测试 rdiff-backup，从而确保变化不会影响方案的稳定性。CI/CD 管道包括集成所有主要平台的构建和二进制发布。

使用 yum 和 apt 轻松安装

新的 rdiff-backup 解决方案可以运行在所有主流的 Linux 发行版上，包括 Fedora、Red Hat、Elementary、Debian 等。Frank 和 Otto 付出了艰辛的努力，提供了开放的仓库以方便访问和安装。你可以使用你的软件包管理器安装 rdiff-backup，或者按照 GitHub 项目页面上的分步说明进行安装。

新的主页

团队将网站从 Savannah 迁移到了 GitHub Pages，并对 rdiff-backup.net 官网进行了改版，加入了新的内容，让外观和感觉更加到位。

如何使用 rdiff-backup

如果你是 rdiff-backup 的新手，你可能会对它的易用性感到惊讶。备份方案应该让你对备份和恢复过程感到舒适，而不是吓人。

开始备份

要开始备份到本地驱动器，例如通过 USB 连接的驱动器，输入 rdiff-backup 命令，然后输入要备份的驱动器和要存储文件的目标目录。

例如，要备份到名为 my_backup_drive 的本地驱动器，请输入：

$ rdiff-backup /home/tux/ /run/media/tux/my_backup_drive/

要将数据备份到异地存储，请使用远程服务器的位置，并在 :: 后面指向备份驱动器的挂载点：

$ rdiff-backup /home/tux/ [email protected]::/my_backup_drive/

你可能需要设置 SSH 密钥来使这个过程更轻松。

还原文件

做备份的原因是有时文件会丢失。为了使恢复尽可能简单，你甚至不需要 rdiff-backup 来恢复文件（虽然使用 rdiff-backup 命令提供了一些方便）。

如果你需要从备份驱动器中获取一个文件，你可以使用 cp 将其从备份驱动器复制到本地系统，或者对于远程驱动器使用 scp 命令。

对于本地驱动器，使用：

$ cp _run_media/tux/my_backup_drive/Documents/example.txt ~/Documents

或者用于远程驱动器：

$ scp [email protected]::/my_backup_drive/Documents/example.txt ~/Documents

然而，使用 rdiff-backup 命令提供了其他选项，包括 --restore-as-of。这允许你指定你要恢复的文件的哪个版本。

例如，假设你想恢复一个文件在四天前的版本：

$ rdiff-backup --restore-as-of 4D /run/media/tux/foo.txt ~/foo_4D.txt

你也可以用 rdiff-backup 来获取最新版本：

$ rdiff-backup --restore-as-of now /run/media/tux/foo.txt ~/foo_4D.txt`

就是这么简单。另外，rdiff-backup 还有很多其他选项，例如，你可以从列表中排除文件，从一个远程备份到另一个远程等等，这些你可以在文档中了解。

总结

我们的开发团队希望用户能够喜欢这个改版后的开源 rdiff-backup 方案，这是我们不断努力的结晶。我们也感谢我们的贡献者，他们真正展示了开源的力量。

via: https://opensource.com/article/20/9/rdiff-backup-linux

作者：Patrik Dufresne 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

随着 Docker 的使用量越来越大，监控 Docker 容器正在变得更有挑战性。每天都有大量的 Docker 容器被创建，因此如何监控它们就变得非常重要。目前已经有一些内置的工具和技术，不过对它们进行配置有一些复杂。随着基于微服务的架构正在变成接下来事实上的标准，学会这种技术将为你的知识库再添一项新技能。

基于上述场景，对一种轻量、健壮的镜像管理工具的需求日益增加。Portainer.io 解决了这个问题。 Portainer.io（最新版本是 1.20.2）非常轻量，只需 2-3 个命令就可以配置好，已经在 Docker 用户中流行起来。

比起其他工具，这个工具有很多优势，其中一些如下所示：

• 轻量（安装此工具仅需 2 到 3 个命令，与此同时安装镜像的大小在 26 M 到 30 M 之间）
• 健壮且易用
• 可用于 Docker 监控和构建
• 提供对 Docker 环境的详细概况
• 可以管理容器、镜像、网络和卷
• Portainer 部署方便，仅需一个 Docker 命令（可以在任意地方运行）
• 可以对完整的 Docker 容器环境进行监控

Portainer 同时具有以下服务：

• 社区支持
• 企业支持
• 与合作伙伴 OEM 服务一起的专业服务

Portainer 的功能和特性如下：

1. 配备了漂亮的仪表盘，易于使用和监控
2. 自带大量内置模板，便于操作和创建
3. 服务支持（仅 OEM 和企业用户）
4. 对容器、镜像、网络、卷以及配置进行几乎实时的监控
5. 包含 Docker 集群监控功能
6. 功能多样的用户管理

另请阅读：如何在 Ubuntu 16.04 / 18.04 LTS 版本中安装 Docker CE

如何在 Ubuntu Linux / RHEL / CentOS 系统上安装和配置 Portainer.io

注意：下面的安装过程是在 Ubuntu 18.04 上完成的，但是对 RHEL 和 CentOS 同样适用，同时假设你已经在系统上安装了 Docker CE。

root@linuxtechi:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 18.04 LTS
Release:        18.04
Codename:       bionic
root@linuxtechi:~$

为 Portainer 创建卷：

root@linuxtechi:~$ sudo docker volume create portainer_data
portainer_data
root@linuxtechi:~$

使用下面的 Docker 命令来运行 Portainer 容器：

root@linuxtechi:~$ sudo docker run -d -p 9000:9000 -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer
Unable to find image 'portainer/portainer:latest' locally
latest: Pulling from portainer/portainer
d1e017099d17: Pull complete
0b1e707a06d2: Pull complete
Digest: sha256:d6cc2c20c0af38d8d557ab994c419c799a10fe825e4aa57fea2e2e507a13747d
Status: Downloaded newer image for portainer/portainer:latest
35286de9f2e21d197309575bb52b5599fec24d4f373cc27210d98abc60244107
root@linuxtechi:~$

安装完成之后，通过主机或 Docker 的 IP 加上 Docker 引擎使用的 9000 端口在浏览器中打开 Portainer。

注意：如果 Docker 所在主机的系统防火墙开启，需要确保 9000 端口被放行，否则浏览器页面将无法打开。

在我这边，我的 Docker 主机/引擎的 IP 是 192.168.1.16，所以 URL 就是 http://192.168.1.16:9000

在创建管理员用户时，请确保密码是 8 个字符，同时用户名为 admin，然后点击 “Create User”。

接下来进入如下所示的页面，选中 “Local” 矩形框。

点击 “Connect”，

可以看到 admin 用户的漂亮首页如下所示，

现在 Portainer 已经准备好运行和管理你的 Docker 容器了，同时也可用于容器监控。

在 Portainer 中管理容器镜像

检查当前的状态，可以看到有两个容器已经在运行了，如果你创建另一个也会立即显示出来。

像下面这样，在命令行中启动一个或两个容器，

root@linuxtechi:~$ sudo docker run --name test -it debian
Unable to find image 'debian:latest' locally
latest: Pulling from library/debian
e79bb959ec00: Pull complete
Digest: sha256:724b0fbbda7fda6372ffed586670573c59e07a48c86d606bab05db118abe0ef5
Status: Downloaded newer image for debian:latest
root@linuxtechi:/#

然后在 Portainer 页面中点击刷新按钮（会出现一条让你确认的消息，点击上面的 “Continue”），就可以像下面高亮显示的一样看到 3 个容器了。

点击上图中红圈圈出来的 “containers”，下一个页面会显示 “Dashboard Endpoint summary”。

在这个页面中，点击上图高亮和红圈圈出来的 “Containers”，就可以对容器进行监控了。

以简单的方式对容器进行监控

继续上面的步骤，就会出现一个如下所示精致、漂亮的 “Container list” 页面。

所有的容器都可以在这里进行控制（停止、启动等等）。

1、在这个页面上，停止我们之前启动的 “test” 容器（这是一个我们早先启动的 debian 容器）。

选中此容器前面的复选框，然后点击上面的“Stop”按钮来停止。

在命令行中，你也会看到这个容器现在已经停止或退出了：

root@linuxtechi:~$ sudo docker container ls -a
CONTAINER ID        IMAGE                 COMMAND             CREATED             STATUS                       PORTS                    NAMES
d45902e717c0        debian                "bash"              21 minutes ago      Exited (0) 49 seconds ago                             test
08b96eddbae9        centos:7              "/bin/bash"         About an hour ago   Exited (137) 9 minutes ago                            mycontainer2
35286de9f2e2        portainer/portainer   "/portainer"        2 hours ago         Up About an hour             0.0.0.0:9000->9000/tcp   compassionate_benz
root@linuxtechi:~$

2、现在，在 Portainer 页面中启动已经停止的两个容器（test 和 mycontainer2）

选中已停止的这两个容器前面的复选框，然后点击 “Start”。

你会立即看到两条窗口提醒，内容是“容器成功启动”，并且两个容器的状态变为正在运行。

一步步探索其他多种选项和特性

1、点击高亮的“Images”，你会看到如下页面：

这是可用的容器列表，其中一些可能没在运行。这些容器可以被导入、导出或者上传到不同的位置，截图如下所示。

2、点击高亮的“Volumes”，显示如下页面：

3、通过下面的操作，可以很容易的添加卷。点击添加卷按钮，出现如下页面，在名称输入框中输入卷名称，例如 “myvol”，然后点击 “Create the volume” 按钮：

新创建的卷如下所示（状态为未使用）：

结论

通过上面的安装步骤，你可以到配置和使用 Portainer.io 的多种选项是多么简单和精美，它提供了用于构建和监控 Docker 容器的多种功能和选项。如前所述，这个一个非常轻量的工具，因此不会给主机系统增加任何负担。下一组选项将在本系列的第 2 部分中进行探讨。

另请阅读: 用 Portainer.io 来监控和管理 Docker 容器（2）

via: https://www.linuxtechi.com/monitor-manage-docker-containers-portainer-part1/

作者：Shashidhar Soppin 选题：lujun9972 译者：jlztan 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Linux 上最常用的命令行进程监控工具是 top 和它那色彩斑斓、功能丰富的表弟 htop。

要监控 Linux 上的温度，可以使用 lm-sensors。同样，还有很多实用工具可以监控其他实时指标，如磁盘 I/O、网络统计等。

Glances 是一个系统监控工具，它把这些都联系在一起，并提供了更多的功能。我最喜欢的是，你可以在远程 Linux 服务器上运行 Glances 来监控本地系统的系统资源，也可以通过 Web 浏览器监控。

下面是它的外观。下面截图中的终端已经用 Pywal 工具美化过，可以根据壁纸自动改变颜色。

你也可以将它集成到像 Grafana 这样的工具中，在一个直观的仪表盘中监控统计数据。

它是用 Python 编写的，这意味着它的绝大多数功能都可以在大多数平台上使用。

Glances 的功能

让我们快速浏览一下 Glances 提供的主要功能：

• 可以监控系统上的 15 个之多的指标（包括 Docker 容器）。
• 灵活的使用模式：单机模式、客户端-服务器模式、通过 SSH 和 Web 模式。
• 可用于集成的各种 REST API 和 XML-RPC API。
• 支持将数据轻松导出到不同的服务和数据库。
• 高度的可配置性和适应不同的需求。
• 非常全面的文档。

在 Ubuntu 和其他 Linux 发行版上安装 Glances

Glances 在许多 Linux 发行版的官方软件库中都有。这意味着你可以使用你的发行版的软件包管理器来轻松安装它。

在基于 Debian/Ubuntu 的发行版上，你可以使用以下命令：

sudo apt install glances

你也可以使用 snap 包安装最新的 Glances：

sudo snap install glances

由于 Glances 是基于 Python 的，你也可以使用 PIP 在大多数 Linux 发行版上安装它。先安装 PIP，然后用它来安装 Glances：

sudo pip3 install glances

如果没有别的办法，你还可以使用 Glances 开发者提供的自动安装脚本。虽然我们不建议直接在你的系统上随便运行脚本，但这完全取决于你自己：

curl -L https://bit.ly/glances | /bin/bash

你可以从他们的文档中查看其他安装 Glances 的方法，甚至你还可以把它作为一个 Docker 容器来安装。

使用 Glances 监控本地系统上的 Linux 系统资源（独立模式）

你可以通过在终端上运行这个命令，轻松启动 Glances 来监控你的本地机器：

glances

你可以立即观察到，它将很多不同的信息整合在一个屏幕上。我喜欢它在顶部显示电脑的公共和私人 IP：

Glances 也是交互式的，这意味着你可以在它运行时使用命令与它互动。你可以按 s 将传感器显示在屏幕上；按 k 将 TCP 连接列表显示在屏幕上；按 1 将 CPU 统计扩展到显示单个线程。

你也可以使用方向键在进程列表中移动，并按不同的指标对表格进行排序。

你可以通过各种命令行选项来启动 Glances。此外，它还有很多交互式命令。你可以在他们的丰富的文档中找到完整的列表。

按 Ctrl+C 键退出 Glances。

使用 Glances 监控远程 Linux 系统（客户端-服务器模式）

要监控远程计算机，你可以在客户端-服务器模式下使用 Glances。你需要在两个系统上都安装 Glances。

在远程 Linux 系统上，使用 -s 选项在服务器模式下启动 Glances：

glances -s

在客户端系统中，使用下面的命令在客户端模式下启动 Glances 并连接到服务器：

glances -c server_ip_address

你也可以通过 SSH 进入任何一台电脑，然后启动 Glances，它可以完美地工作。更多关于客户端-服务器模式的信息请看这里。

使用 Glances 在 Web 浏览器中监控 Linux 系统资源（Web 模式）

Glances 也可以在 Web 模式下运行。这意味着你可以使用 Web 浏览器来访问 Glances。与之前的客户端-服务器模式不同，你不需要在客户端系统上安装 Glances。

要在 Web 模式下启动 Glances，请使用 -w 选项：

glances -w

请注意，即使在 Linux 服务器上，它也可能显示 “Glances Web User Interface started on http://0.0.0.0:61208”，而实际上它使用的是服务器的 IP 地址。

最主要的是它使用的是 61208 端口号，你可以用它来通过网络浏览器访问 Glances。只要在服务器的 IP 地址后面输入端口号，比如 http://123.123.123.123:61208。

你也可以在本地系统中使用 http://0.0.0.0:61208/或https://localhost:61208/ 访问。

Web 模式也模仿终端的样子。网页版是根据响应式设计原则打造的，即使在手机上也很好看。

你可能想用密码来保护 Web 模式，这样只有授权的人才能使用它。默认的用户名是 glances。

root@localhost:~# glances -w --password
Define the Glances webserver password (glances username):
Password (confirm):
Do you want to save the password? [Yes/No]: n
Glances Web User Interface started on http://0.0.0.0:61208/

你可以在快速入门指南中找到关于配置密码的更多信息。

导出 Glances 数据到不同的服务

使用 Glances 最大的优势之一就是开箱即用，它支持将数据导出到各种数据库、服务，并无缝集成到各种数据管道中。

你可以在监控的同时用这个命令导出到 CSV：

glances --export csv --export-csv-file /tmp/glances.csv

/tmp/glances.csv 是文件的位置。数据以时间序列的形式整齐地填入。

你也可以导出到其它大型应用程序，如 Prometheus，以启用条件触发器和通知。

它可以直接插入到消息服务（如 RabbitMQ、MQTT）、流媒体平台（如 Kafka），并将时间序列数据导出到数据库（如 InfluxDB），并使用 Grafana 进行可视化。

你可以在这里查看服务和导出选项的整个列表。

使用 REST API 将 Glances 与其他服务进行整合

这是整个栈中我最喜欢的功能。Glances 不仅可以将各种指标汇集在一起，还可以通过 API 将它们暴露出来。

这个简单而强大的功能使得为任何特定的用例构建自定义应用程序、服务和中间件应用程序变得非常容易。

当你在 Web 模式下启动 Glances 时，REST API 服务器会自动启动。要在 API 服务器模式下启动它，你可以使用以下命令：

glances -w --disable-webui

REST API 的文档很全面，其响应也很容易与 Web 应用集成。这使得使用类似 Node-RED 这样的工具可以很容易地构建一个统一的仪表盘来监控多个服务器。

Glances 也提供了一个 XML-RPC 服务器，你可以在这里查看文档。

关于 Glances 的结束语

Glances 使用 psutil Python 库来访问不同的系统统计数据。早在 2017 年，我就曾使用相同的库构建了一个简单的 API 服务器来检索 CPU 的使用情况。我能够使用 Node-RED 构建的仪表盘监控一个集群中的所有树莓派。

Glances 可以为我节省一些时间，同时提供更多的功能，可惜我当时并不知道它。

在写这篇文章的时候，我确实尝试着在我的树莓派上安装 Glances，可惜所有的安装方法都出现了一些错误，失败了。当我成功后，我会更新文章，或者可能再写一篇文章，介绍在树莓派上安装的步骤。

我希望 Glances 能提供一种顶替 top 或 htop 等的方法。让我们希望在即将到来的版本中得到它。

我希望这能给你提供大量关于 Glances 的信息。你们使用什么系统监控工具呢，请在评论中告诉我。

via: https://itsfoss.com/glances/

作者：Chinmay 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

dig 是一个强大而灵活的工具，用于查询域名系统（DNS）服务器。在这篇文章中，我们将深入了解它的工作原理以及它能告诉你什么。

dig 是一款强大而灵活的查询 DNS 名称服务器的工具。它执行 DNS 查询，并显示参与该过程的名称服务器返回的应答以及与搜索相关的细节。系统管理员和 DNS 管理员经常使用 dig 来帮助排除 DNS 问题。在这篇文章中，我们将深入了解它的工作原理，看看它能告诉我们什么。

开始之前，对 DNS（域名系统）的工作方式有一个基本的印象是很有帮助的。它是全球互联网的关键部分，因为它提供了一种查找世界各地的服务器的方式，从而可以与之连接。你可以把它看作是互联网的地址簿，任何正确连接到互联网的系统，都应该能够使用它来查询任何正确注册的服务器的 IP 地址。

dig 入门

Linux 系统上一般都默认安装了 dig 工具。下面是一个带有一点注释的 dig 命令的例子：

$ dig www.networkworld.com

; <<>> DiG 9.16.1-Ubuntu <<>> www.networkworld.com <== 你使用的 dig 版本
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6034
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:                            <== 你的查询细节
;www.networkworld.com.          IN      A

;; ANSWER SECTION:                              <== 结果

www.networkworld.com.   3568    IN      CNAME   idg.map.fastly.net.
idg.map.fastly.net.     30      IN      A       151.101.250.165

;; Query time: 36 msec                          <== 查询用时
;; SERVER: 127.0.0.53#53(127.0.0.53)            <== 本地缓存解析器
;; WHEN: Fri Jul 24 19:11:42 EDT 2020           <== 查询的时间
;; MSG SIZE  rcvd: 97                           <== 返回的字节数

如果你得到了一个这样的应答，是好消息吗？简短的回答是“是”。你得到了及时的回复。状态字段（status: NOERROR）显示没有问题。你正在连接到一个能够提供所要求的信息的名称服务器，并得到一个回复，告诉你一些关于你所查询的系统的重要细节。简而言之，你已经验证了你的系统和域名系统相处得很好。

其他可能的状态指标包括：

• SERVFAIL：被查询的名称存在，但没有数据或现有数据无效。
• NXDOMAIN：所查询的名称不存在。
• REFUSED：该区域的数据不存在于所请求的权威服务器中，并且在这种情况下，基础设施没有设置为提供响应服务。

下面是一个例子，如果你要查找一个不存在的域名，你会看到什么？

$ dig cannotbe.org

; <<>> DiG 9.16.1-Ubuntu <<>> cannotbe.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 35348
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

一般来说，dig 比 ping 会提供更多的细节，如果域名不存在，ping 会回复 “名称或服务未知”。当你查询一个合法的系统时，你可以看到域名系统对该系统知道些什么，这些记录是如何配置的，以及检索这些数据需要多长时间。

（LCTT 译注：dig 也比 nslookup 提供的数据更多。此外，dig 采用的是操作系统的解析库，而 nslookup 采用的是自己提供的解析库，这有时候会带来不同的行为。最后，有趣的一点是，dig 的返回的格式是符合 BIND 区域文件格式的。）

事实上，有时 dig 可以在 ping 完全不能响应的时候进行响应，当你试图确定一个连接问题时，这种信息是非常有用的。

DNS 记录类型和标志

在上面的第一个查询中，我们可以看到一个问题，那就是同时存在 CNAME 和 A 记录。CNAME（ 规范名称 canonical name ）就像一个别名，把一个域名指向另一个域名。你查询的大多数系统不会有 CNAME 记录，而只有 A 记录。如果你运行 dig localhost 命令，你会看到一个 A 记录，它就指向 127.0.0.1 —— 这是每个系统都使用的“回环”地址。A 记录用于将一个名字映射到一个 IP 地址。

DNS 记录类型包括：

• A 或 AAAA：IPv4 或 IPv6 地址
• CNAME：别名
• MX：邮件交换器
• NS：名称服务器
• PTR：一个反向条目，让你根据 IP 地址找到系统名称
• SOA：表示授权记录开始
• TXT 一些相关文本

我们还可以在上述输出的第五行看到一系列的“标志”。这些定义在 RFC 1035 中 —— 它定义了 DNS 报文头中包含的标志，甚至显示了报文头的格式。

                                1  1  1  1  1  1
  0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                      ID                       |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|QR|   Opcode  |AA|TC|RD|RA|   Z    |   RCODE   |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    QDCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    ANCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    NSCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    ARCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

在上面的初始查询中，第五行显示的标志是：

• qr = 查询
• rd = 进行递归查询
• ra = 递归数据可用

RFC 中描述的其他标志包括：

• aa = 权威答复
• cd = 检查是否禁用
• ad = 真实数据
• opcode = 一个 4 位字段
• tc = 截断
• z（未使用）

添加 +trace 选项

如果你添加 +trace 选项，你将从 dig 得到更多的输出。它会添加更多信息，显示你的 DNS 查询如何通过名称服务器的层次结构找到你要找的答案。

下面显示的所有 NS 记录都反映了名称服务器 —— 这只是你将看到的数据的第一部分，因为查询通过名称服务器的层次结构来追踪你要找的东西：

$ dig +trace networkworld.com

; <<>> DiG 9.16.1-Ubuntu <<>> +trace networkworld.com
;; global options: +cmd
.                       84895   IN      NS      k.root-servers.net.
.                       84895   IN      NS      e.root-servers.net.
.                       84895   IN      NS      m.root-servers.net.
.                       84895   IN      NS      h.root-servers.net.
.                       84895   IN      NS      c.root-servers.net.
.                       84895   IN      NS      f.root-servers.net.
.                       84895   IN      NS      a.root-servers.net.
.                       84895   IN      NS      g.root-servers.net.
.                       84895   IN      NS      l.root-servers.net.
.                       84895   IN      NS      d.root-servers.net.
.                       84895   IN      NS      b.root-servers.net.
.                       84895   IN      NS      i.root-servers.net.
.                       84895   IN      NS      j.root-servers.net.
;; Received 262 bytes from 127.0.0.53#53(127.0.0.53) in 28 ms
...

最终，你会得到与你的要求直接挂钩的信息：

networkworld.com.       300     IN      A       151.101.2.165
networkworld.com.       300     IN      A       151.101.66.165
networkworld.com.       300     IN      A       151.101.130.165
networkworld.com.       300     IN      A       151.101.194.165
networkworld.com.       14400   IN      NS      ns-d.pnap.net.
networkworld.com.       14400   IN      NS      ns-a.pnap.net.
networkworld.com.       14400   IN      NS      ns0.pcworld.com.
networkworld.com.       14400   IN      NS      ns1.pcworld.com.
networkworld.com.       14400   IN      NS      ns-b.pnap.net.
networkworld.com.       14400   IN      NS      ns-c.pnap.net.
;; Received 269 bytes from 70.42.185.30#53(ns0.pcworld.com) in 116 ms

挑选响应者

你可以使用 @ 符号来指定一个特定的名称服务器来处理你的查询。在这里，我们要求 Google 的主名称服务器响应我们的查询：

$ dig @8.8.8.8 networkworld.com

; <<>> DiG 9.16.1-Ubuntu <<>> @8.8.8.8 networkworld.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43640
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;networkworld.com.              IN      A

;; ANSWER SECTION:
networkworld.com.       299     IN      A       151.101.66.165
networkworld.com.       299     IN      A       151.101.194.165
networkworld.com.       299     IN      A       151.101.130.165
networkworld.com.       299     IN      A       151.101.2.165

;; Query time: 48 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Jul 25 11:21:19 EDT 2020
;; MSG SIZE  rcvd: 109

下面所示的命令对 8.8.8.8 IP 地址进行反向查找，以显示它属于 Google 的 DNS 服务器。

$ nslookup 8.8.8.8
8.8.8.8.in-addr.arpa    name = dns.google.

总结

dig 命令是掌握 DNS 工作原理和在出现连接问题时排除故障的重要工具。

via: https://www.networkworld.com/article/3568488/digging-for-dns-answers-on-linux.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

使用 PDNS 为你的项目提供稳定可靠的域名系统（DNS）服务器。

几个月前，我们接到了一个要求，为一个新项目提供一个稳定可靠的域名系统（DNS）服务器。该项目使用容器进行自动部署，每个新环境都会生成唯一的随机 URL。在对可能的方案进行了大量研究之后，我们决定尝试一下 PowerDNS（PDNS）。

一开始，我们发现 PowerDNS 在所有主流 Linux 发行版中都得到了支持，它采用 GPL 许可，且仓库保持更新。我们还在官方网站上发现了整洁、组织良好的文档，以及大量来自真正喜欢和使用该产品的人在网络上的使用方法。看了一些并学习了一些基本命令之后，安装了 PDNS，启动并运行，我们的旅程开始了。

数据库驱动

PowerDNS 将记录保存在 SQL 数据库中。这对我们来说是新变化，不必使用文本文件来保存记录是一个不错的更改。我们选择 MariaDB 作为首选的强大工具，由于有大量的正确地设置来安装名称服务器的信息，我们可以完美地设置和加固我们的数据库。

简单配置

其次使我们感兴趣的是 PDNS 的所有功能都在配置文件中。pdns.conf 有许多选项，你可以通过添加或删除 ＃ 号来启用或禁用这些选项。这真是太神奇了，因为它使我们有机会将这项新的服务集成到我们现有的基础架构中，并且只有我们想要的功能，不多也不少。一个简单的例子：

谁可以访问你的网络服务器？

webserver-allow-from=172.10.0.1,172.10.1.2

我可以转发基于域的请求吗？当然！

forward-zones=mylocal.io=127.0.0.1:5300
forward-zones+=example.com=172.10.0.5:53
forward-zones+=lucky.tech=172.10.1.5:53

包含 API

我们可以使用配置文件进行激活 API 服务，解决了我们开发团队的第一个需求，让我们见识到了 PDNS 的强大。这个功能让我们通过发送请求，简单、干净地创建、修改或删除 DNS 服务器中的记录。

这个 API 有一些基本的安全性参数，因此，只需几步，你就可以基于 IP 地址和预共享密钥验证的组合来控制谁有权与名称服务器进行交互。这是配置文件的样子：

api=yes
api-key=lkjdsfpoiernf
webserver-allow-from=172.10.7.13,172.10.7.5

日志

在日志方面，PDNS 做得非常出色。你可以使用日志文件和一个简单的内置 Web 服务器来监控服务器并查看计算机的运行状况。你可以使用浏览器查看服务器不同类型的统计信息，例如 CPU 使用率和收到的 DNS 查询。这非常有价值。例如，我们能够检测到一些“不太健康”的 PC，它们正在向我们的服务器发送与恶意流量相关的站点的 DNS 请求。深入查看日志后，我们可以看到流量来自何处，并对这些 PC 进行清理操作。

其他功能

这只是你使用 PowerDNS 可以做的所有事情的一点点。它还有更多的功能。它是一个拥有很多功能和特性的完整名称服务器，因此值得一试。

目前，我们尚未部署 DNSSEC，但似乎只需点击一下即可将其快速投入生产环境。另外，在将递归服务与名称服务器分离时，PowerDNS 有个不错的方法。我了解到它还支持 DNS RPZ（响应策略区域），并且还提供了非常不错且设计良好的前端，可让你使用 Web 浏览器来管理服务器，如下图。

信不信由你，你只需花费几个小时了解 PDNS，就可以大大提高你对 DNS 和 IT 操作的了解。

via: https://opensource.com/article/20/5/powerdns

作者：Jonathan Garrido 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

现代计算机用来在互联网种查找资源的 域名系统（DNS） 是在 35 年前设计的，没有考虑用户隐私。它会面临安全风险和攻击，例如 DNS 劫持。它还能让 ISP 拦截查询。

幸运的是，现在有 DNS over TLS 和 DNSSEC 两种技术。DNS over TLS 和 DNSSEC 允许创建从计算机到它配置的 DNS 服务器之间的安全且加密的端到端隧道。在 Fedora 上，部署这些技术的步骤很容易，并且所有必要的工具也很容易获得。

本指南将演示如何使用 systemd-resolved 在 Fedora 上配置 DNS over TLS。有关 systemd-resolved 服务的更多信息，请参见文档。

步骤 1：设置 systemd-resolved

类似于下面所示修改 /etc/systemd/resolved.conf。确保启用 DNS over TLS 并配置要使用的 DNS 服务器的 IP 地址。

$ cat /etc/systemd/resolved.conf
[Resolve]
DNS=1.1.1.1 9.9.9.9
DNSOverTLS=yes
DNSSEC=yes
FallbackDNS=8.8.8.8 1.0.0.1 8.8.4.4
#Domains=~.
#LLMNR=yes
#MulticastDNS=yes
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes

关于选项的简要说明：

• DNS：以空格分隔的 IPv4 和 IPv6 地址列表，用作系统 DNS 服务器。
• FallbackDNS：以空格分隔的 IPv4 和 IPv6 地址列表，用作后备 DNS 服务器。
• Domains：在解析单标签主机名时，这些域名用于搜索后缀。 ~. 代表对于所有域名，优先使用 DNS= 定义的系统 DNS 服务器。
• DNSOverTLS：如果启用，那么将加密与服务器的所有连接。请注意，此模式要求 DNS 服务器支持 DNS-over-TLS，并具有其 IP 的有效证书。

注意：上面示例中列出的 DNS 服务器是我个人的选择。你要确定要使用的 DNS 服务器。要注意你要向谁请求 IP。

步骤 2：告诉 NetworkManager 将信息推给 systemd-resolved

在 /etc/NetworkManager/conf.d 中创建一个名为 10-dns-systemd-resolved.conf 的文件。

$ cat /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf
[main]
dns=systemd-resolved

上面的设置（dns=systemd-resolved）让 NetworkManager 将从 DHCP 获得的 DNS 信息推送到 systemd-resolved 服务。这将覆盖步骤 1 中配置的 DNS 设置。这在受信任的网络中没问题，但是也可以设置为 dns=none 从而使用 /etc/systemd/resolved.conf 中配置的 DNS 服务器。

步骤 3： 启动和重启服务

若要使上述步骤中的配置生效，请启动并启用 systemd-resolved 服务。然后重启 NetworkManager 服务。

注意：在 NetworkManager 重启时，连接会中断几秒钟。

$ sudo systemctl start systemd-resolved
$ sudo systemctl enable systemd-resolved
$ sudo systemctl restart NetworkManager

注意：目前，systemd-resolved 服务默认处于禁用状态，是可选使用的。有计划在 Fedora 33 中默认启用systemd-resolved。

步骤 4：检查是否一切正常

现在，你应该在使用 DNS over TLS。检查 DNS 解析状态来确认这一点：

$ resolvectl status
MulticastDNS setting: yes
  DNSOverTLS setting: yes
      DNSSEC setting: yes
    DNSSEC supported: yes
  Current DNS Server: 1.1.1.1
         DNS Servers: 1.1.1.1
                      9.9.9.9
Fallback DNS Servers: 8.8.8.8
                      1.0.0.1
                      8.8.4.4

/etc/resolv.conf 应该指向 127.0.0.53。

$ cat /etc/resolv.conf
# Generated by NetworkManager
search lan
nameserver 127.0.0.53

若要查看 systemd-resolved 发送和接收安全查询的地址和端口，请运行：

$ sudo ss -lntp | grep '\(State\|:53 \)'
State     Recv-Q    Send-Q       Local Address:Port        Peer Address:Port    Process
LISTEN    0         4096         127.0.0.53%lo:53               0.0.0.0:*        users:(("systemd-resolve",pid=10410,fd=18))

若要进行安全查询，请运行：

$ resolvectl query fedoraproject.org
fedoraproject.org: 8.43.85.67                  -- link: wlp58s0
                   8.43.85.73                  -- link: wlp58s0

[..]

-- Information acquired via protocol DNS in 36.3ms.
-- Data is authenticated: yes

额外步骤 5：使用 Wireshark 验证配置

首先，安装并运行 Wireshark：

$ sudo dnf install wireshark
$ sudo wireshark

它会询问你在哪个设备上捕获数据包。在我这里，因为我使用无线接口，我用的是 wlp58s0。在 Wireshark 中设置筛选器，tcp.port == 853（853 是 DNS over TLS 协议端口）。在捕获 DNS 查询之前，你需要刷新本地 DNS 缓存：

$ sudo resolvectl flush-caches

现在运行：

$ nslookup fedoramagazine.org

你应该会看到你的计算机和配置的 DNS 服务器之间的 TLS 加密交换：

via: https://fedoramagazine.org/use-dns-over-tls/

作者：Thomas Bianchi 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出