过去，我们写了三篇不同的文章来使用 Linux 命令来识别这些进程。

你可以通过下面相关的 URL 立即访问：

• 如何在 Linux 中找出 CPU 占用高的进程
• 如何在 Linux 中找出内存消耗最大的进程
• 在 Linux 中如何查找一个命令或进程的执行时间

本教程中包含两个脚本，它们可以帮助你确定 Linux 上高 CPU/内存消耗进程的运行时间。

该脚本将显示进程 ID、进程的所有者、进程的名称以及进程的运行时间。这将帮助你确定哪些（必须事先完成）作业正在超时运行。这可以使用 ps 命令来实现。

什么是 ps 命令

ps 是 进程状态 processes status ，它显示有关系统上活动/正在运行的进程的信息。

它提供了当前进程的快照以及详细信息，例如用户名、用户 ID、CPU 使用率、内存使用率、进程开始日期和时间等。

1）检查高 CPU 消耗进程在 Linux 上运行了多长时间的 Bash 脚本

该脚本将帮助你确定高 CPU 消耗进程在 Linux 上运行了多长时间。

# vi /opt/scripts/long-running-cpu-proc.sh

#!/bin/bash
ps -eo pid,user,ppid,%mem,%cpu,cmd --sort=-%cpu | head | tail -n +2 | awk '{print $1}' > /tmp/long-running-processes.txt
echo "--------------------------------------------------"
echo "UName     PID  CMD            Process_Running_Time"
echo "--------------------------------------------------"
for userid in `cat /tmp/long-running-processes.txt`
do
username=$(ps -u -p $userid | tail -1 | awk '{print $1}')
pruntime=$(ps -p $userid -o etime | tail -1)
ocmd=$(ps -p $userid | tail -1 | awk '{print $4}')
echo "$username $userid $ocmd $pruntime"
done | column -t
echo "--------------------------------------------------"

给 long-running-cpu-proc.sh 设置可执行的 Linux 文件权限。

# chmod +x /opt/scripts/long-running-cpu-proc.sh

运行此脚本时，你将获得类似以下的输出：

# sh /opt/scripts/long-running-cpu-proc.sh

----------------------------------------------------
UName     PID  CMD       Process_Running_Time
----------------------------------------------------
daygeek  5214  Web       01:18:48
daygeek  5748  Web       01:08:20
daygeek  8043  inkscape  22:11
daygeek  5269  Web       01:18:31
daygeek  1712  Web       10:44:50
daygeek  5335  RDD       01:17:54
daygeek  1639  firefox   10:44:51
daygeek  7793  nautilus  24:14
daygeek  6301  Web       57:40
----------------------------------------------------

2）检查高内存消耗进程在 Linux 上运行了多长时间的 Bash 脚本

该脚本将帮助你确定最大的内存消耗进程在 Linux 上运行了多长时间。

# sh /opt/scripts/long-running-memory-proc.sh

#!/bin/bash
ps -eo pid,user,ppid,%mem,%cpu,cmd --sort=-%mem | head | tail -n +2 | awk '{print $1}' > /tmp/long-running-processes-1.txt
echo "--------------------------------------------------"
echo "UName     PID  CMD          Process_Running_Time"
echo "--------------------------------------------------"
for userid in `cat /tmp/long-running-processes-1.txt`
do
username=$(ps -u -p $userid | tail -1 | awk '{print $1}')
pruntime=$(ps -p $userid -o etime | tail -1)
ocmd=$(ps -p $userid | tail -1 | awk '{print $4}')
echo "$username $userid $ocmd $pruntime"
done | column -t
echo "--------------------------------------------------"

给 long-running-memory-proc.sh 设置可执行的 Linux 文件权限。

# chmod +x /opt/scripts/long-running-memory-proc.sh

运行此脚本时，你将获得类似以下的输出：

# sh /opt/scripts/long-running-memory-proc.sh

----------------------------------------------------
UName    PID   CMD       Process_Running_Time
----------------------------------------------------
daygeek  1639  firefox   10:44:56
daygeek  2997  Web       10:39:54
daygeek  5269  Web       01:18:37
daygeek  1712  Web       10:44:55
daygeek  8043  inkscape  22:17
daygeek  5214  Web       01:18:54
daygeek  1898  Web       10:44:48
daygeek  1129  Xorg      10:45:07
daygeek  6301  Web       57:45
----------------------------------------------------

via: https://www.2daygeek.com/bash-script-to-check-how-long-the-high-cpu-memory-consumption-processes-runs-on-linux/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：geekpi 校对：校对者ID

本文由 LCTT 原创编译，Linux中国 荣誉推出

有时你无法从本地连接到 SSH 服务器。还有时，你可能想为 SSH 连接添加额外的安全层。在这些情况下，通过代理服务器连接到 SSH 服务器是一种解决方式。

Squid 是提供缓存和代理服务的全功能代理服务器应用。它通常用于在浏览过程中重用和缓存以前请求的网页来帮助缩短响应时间并减少网络带宽。

但是在本篇中，你将配置 Squid 作为 SSH 代理服务器，因为它是强大的受信任代理服务器，易于配置。

安装和配置

使用 sudo 安装 squid 软件包：

$ sudo dnf install squid -y

squid 配置文件非常庞大，但是我们只需要配置其中一些。Squid 使用访问控制列表来管理连接。

编辑 /etc/squid/squid.conf 文件，确保你有下面解释的两行。

首先，指定你的本地 IP 网络。默认配置文件已经列出了最常用的，但是如果没有，你需要添加你的配置。例如，如果你的本地 IP 网络范围是 192.168.1.X，那么这行会是这样：

acl localnet src 192.168.1.0/24

接下来，添加以下行，将 SSH 端口添加为安全端口：

acl Safe_ports port 22

保存该文件。现在启用并重启 squid 代理服务：

$ sudo systemctl enable squid
$ sudo systemctl restart squid

squid 代理默认监听 3128 端口。配置 firewalld 允许此服务：

$ sudo firewall-cmd --add-service=squid --perm
$ sudo firewall-cmd --reload

测试 ssh 代理连接

要通过 ssh 代理服务器连接到服务器，我们将使用 netcat。

如果尚未安装 nmap-ncat，请安装它：

$ sudo dnf install nmap-ncat -y

这是标准 ssh 连接示例：

$ ssh [email protected]

这是使用 squid 代理服务器作为网关连接到该服务器的方式。

此示例假定 squid 代理服务器的 IP 地址为 192.168.1.63。你还可以使用 squid 代理服务器的主机名或 FQDN：

$ ssh [email protected] -o "ProxyCommand nc --proxy 192.168.1.63:3128 %h %p"

以下是这些选项的含义：

• ProxyCommand – 告诉 ssh 使用代理命令。
• nc – 用于建立与代理服务器连接的命令。这是 netcat 命令。
• %h – 代理服务器的主机名或 IP 地址的占位符。
• %p – 代理服务器端口号的占位符。

有很多方法可以配置 SSH 代理服务器，但这是入门​​的简单方法。

via: https://fedoramagazine.org/configure-ssh-proxy-server/

作者：Curt Warfield 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你运行的服务器有面向公众的 SSH 访问，你可能遇到过恶意登录尝试。本文介绍了如何使用两个实用程序来防止入侵者进入我们的系统。

为了防止反复的 ssh 登录尝试，我们来看看 fail2ban。而且，如果你不经常旅行，基本上停留在一两个国家，你可以将 FirewallD 配置为只允许从你选择的国家访问。

首先，让我们为不熟悉这些应用程序的人员介绍一些术语，以完成这项工作：

fail2ban：一个守护进程，用于禁止发生多次认证错误的主机。fail2ban 将监控 SystemD 日志，以查找对任何已启用的“ 监狱 jail ”的失败的验证尝试。在达到指定失败次数后，它将添加一个防火墙规则，在配置的时间内阻止该特定 IP 地址。

FirewallD：一个带有 D-Bus 接口的防火墙守护进程，提供动态防火墙。除非你另行决定使用传统的 iptables，否则你已经在所有支持的 Fedora 和 CentOS 上安装了 FirewallD。

假定前提

• 主机系统有一个互联网连接，并且要么是直接暴露在互联网上，要么是通过 DMZ（这两个都是非常糟糕的想法，除非你知道你在做什么），要么是有一个端口从路由器转发过来。
• 虽然大部分的内容可能适用于其他系统，但本文假设当前系统是 Fedora（31 及以上）或 RHEL/CentOS 8 版本。在 CentOS 上，你必须用 sudo dnf install epel-release 启用 Fedora EPEL 仓库。

安装与配置

Fail2Ban

很有可能已经有某个 Firewalld 区已经允许 SSH 访问，但 sshd 服务本身默认没有启用。要手动启动它，并且不在启动时永久启用它：

$ sudo systemctl start sshd

或者在系统启动时启用，并同时启动它：

$ sudo systemctl enable --now sshd

下一步就是安装、配置、启用 fail2ban。和往常一样，安装可以通过命令行完成：

$ sudo dnf install fail2ban

安装完毕后，下一步就是配置“监狱”（你要以设置的任何阈值监视并禁止的服务）。默认情况下，IP 会被禁止 1 小时（这其实不够长）。最好的做法是使用 *.local 文件覆盖系统默认值，而不是直接修改 *.config 文件。如果我们查看我的 jail.local，我们可以看到：

# cat /etc/fail2ban/jail.local
[DEFAULT]

# "bantime" is the number of seconds that a host is banned.
bantime  = 1d

# A host is banned if it has generated "maxretry" during the last "findtime"
findtime  = 1h

# "maxretry" is the number of failures before a host get banned.
maxretry = 5

换成通俗的语言讲，就是在过去一小时内尝试 5 次后，该 IP 将被封禁 1 天。对于多次被封的 IP，也可以选择增加封禁时间，但这是另一篇文章的主题。

下一步是配置“监狱”。在本教程中显示的是 sshd，但其他服务的步骤大致相同。在 /etc/fail2ban/jail.d 中创建一个配置文件。这是我的文件：

# cat /etc/fail2ban/jail.d/sshd.local
[sshd]
enabled = true

就这么简单! 很多配置已经在为 Fedora 构建的软件包中处理了（提示：我是当前的维护者）。接下来启用并启动 fail2ban 服务：

$ sudo systemctl enable --now fail2ban

希望没有立即出错，如果没有，请使用下面的命令检查 fail2ban 的状态：

$ sudo systemctl status fail2ban

如果它没有错误地启动，应该是这样的：

$ systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; disabled; vendor preset: disabled)
Active: active (running) since Tue 2020-06-16 07:57:40 CDT; 5s ago
Docs: man:fail2ban(1)
Process: 11230 ExecStartPre=/bin/mkdir -p /run/fail2ban (code=exited, status=0/SUCCESS)
Main PID: 11235 (f2b/server)
Tasks: 5 (limit: 4630)
Memory: 12.7M
CPU: 109ms
CGroup: /system.slice/fail2ban.service
└─11235 /usr/bin/python3 -s /usr/bin/fail2ban-server -xf start
Jun 16 07:57:40 localhost.localdomain systemd[1]: Starting Fail2Ban Service…
Jun 16 07:57:40 localhost.localdomain systemd[1]: Started Fail2Ban Service.
Jun 16 07:57:41 localhost.localdomain fail2ban-server[11235]: Server ready

如果是刚刚启动的，fail2ban 不太可能显示任何有意思的信息，但要检查 fail2ban 的状态，并确保“监狱”被启用，请输入：

$ sudo fail2ban-client status
Status
|- Number of jail:      1
`- Jail list:   sshd

sshd “监狱”的上级状态也会显示出来。如果启用了多个“监狱”，它们会在这里显示出来。

要查看一个“监狱”的详细状态，只需在前面的命令中添加“监狱”名称。下面是我的系统的输出，它已经运行了一段时间。我已经从输出中删除了被禁止的 IP：

$ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 8
|  |- Total failed:     4399
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 101
   |- Total banned:     684
   `- Banned IP list:   ...

监控 fail2ban 日志文件是否有入侵尝试，可以通过“尾随”日志来实现：

$ sudo tail -f /var/log/fail2ban.log

tail 是一个很好的命令行工具，默认情况下，它可以显示一个文件的最后 10 行。添加 -f 告诉它尾随文件，这是个观察一个仍在被写入的文件的很好方式。

由于输出的内容中有真实的 IP，所以这里不会提供样本，但它的可读性很高。INFO 行通常是登录的尝试。如果从一个特定的 IP 地址进行了足够多的尝试，你会看到一个 NOTICE 行显示一个 IP 地址被禁止。在达到禁止时间后，你会看到一个 NOTICE 解禁行。

注意几个警告行。最常见的情况是，当添加了一个禁止后，fail2ban 发现该 IP 地址已经在其禁止数据库中，这意味着禁止可能无法正常工作。如果是最近安装的 fail2ban 包，它应该被设置为 FirewallD 的富规则。这个包在 fail2ban-0.11.1-6 版本时从 ipset 方式切换到了富规则方式，所以如果你的 fail2ban 安装时间较早，它可能还在尝试使用 ipset 方式，这种方式使用的是传统的 iptables，不是很可靠。

FirewallD 配置

被动还是主动？

有两种策略可以分开或一起使用：被动地将单个 IP 地址或主动地根据来源国将子网永久列入黑名单。

对于被动方式，一旦 fail2ban 运行了一段时间，最好再运行 sudo fail2ban-client status sshd 来看看有哪些坏蛋。很可能会有很多被禁止的 IP 地址。选择一个，然后试着对它运行 whois。在输出结果中可能会有很多有趣的信息，但是对于这个方法来说，只有来源国是重要的。为了保持简单，让我们过滤掉除了国家以外的所有信息。

在这个例子中，我们将使用一些著名的域名：

$ whois google.com | grep -i country
Registrant Country: US
Admin Country: US
Tech Country: US

$ whois rpmfusion.org | grep -i country
Registrant Country: FR

$ whois aliexpress.com | grep -i country
Registrant Country: CN

使用 grep -i 的原因是为了使 grep 不区分大小写，而大多数条目都使用的是 “Country”，而有些条目则是全小写的 “country”，所以这种方法无论如何都能匹配。

现在知道了尝试入侵的来源国，问题是，“是否有来自这个国家的人有合法的理由连接到这台计算机？”如果答案是否定的，那么封锁整个国家应该是可以接受的。

从功能上看，主动式方法它与被动式方法没有太大区别，然而，来自有些国家的入侵企图是非常普遍的。如果你的系统既不放在这些国家里，也没有任何源自这些国家的客户，那么为什么不现在就把它们加入黑名单而是等待呢？（LCTT 译注：我的经验是，动辄以国家的范畴而列入黑名单有些过于武断。建议可以将该 IP 所属的 WHOIS 网段放入到黑名单，因为这些网段往往具有相同的使用性质，如都用于用户接入或 IDC 托管，其安全状况也大致相同，因此，如果有来自该网段的某个 IP 的恶意尝试，可以预期该网段内的其它 IP 也可能被利用来做这样的尝试。）

黑名单脚本和配置

那么如何做到这一点呢？用 FirewallD ipset。我开发了下面的脚本来尽可能地自动化这个过程：

#!/bin/bash
# Based on the below article
# https://www.linode.com/community/questions/11143/top-tip-firewalld-and-ipset-country-blacklist

# Source the blacklisted countries from the configuration file
. /etc/blacklist-by-country

# Create a temporary working directory
ipdeny_tmp_dir=$(mktemp -d -t blacklist-XXXXXXXXXX)
pushd $ipdeny_tmp_dir

# Download the latest network addresses by country file
curl -LO http://www.ipdeny.com/ipblocks/data/countries/all-zones.tar.gz
tar xf all-zones.tar.gz

# For updates, remove the ipset blacklist and recreate
if firewall-cmd -q --zone=drop --query-source=ipset:blacklist; then
    firewall-cmd -q --permanent --delete-ipset=blacklist
fi

# Create the ipset blacklist which accepts both IP addresses and networks
firewall-cmd -q --permanent --new-ipset=blacklist --type=hash:net \
    --option=family=inet --option=hashsize=4096 --option=maxelem=200000 \
    --set-description="An ipset list of networks or ips to be dropped."

# Add the address ranges by country per ipdeny.com to the blacklist
for country in $countries; do
    firewall-cmd -q --permanent --ipset=blacklist \
        --add-entries-from-file=./$country.zone && \
        echo "Added $country to blacklist ipset."
done

# Block individual IPs if the configuration file exists and is not empty
if [ -s "/etc/blacklist-by-ip" ]; then
    echo "Adding IPs blacklists."
    firewall-cmd -q --permanent --ipset=blacklist \
        --add-entries-from-file=/etc/blacklist-by-ip && \
        echo "Added IPs to blacklist ipset."
fi

# Add the blacklist ipset to the drop zone if not already setup
if firewall-cmd -q --zone=drop --query-source=ipset:blacklist; then
    echo "Blacklist already in firewalld drop zone."
else
    echo "Adding ipset blacklist to firewalld drop zone."
    firewall-cmd --permanent --zone=drop --add-source=ipset:blacklist
fi

firewall-cmd -q --reload

popd
rm -rf $ipdeny_tmp_dir

这个应该安装到 /usr/local/sbin，不要忘了让它可执行！

$ sudo chmod +x /usr/local/sbin/firewalld-blacklist

然后创建一个配置文件 /etc/blacklist-by-country：

# Which countries should be blocked?
# Use the two letter designation separated by a space.
countries=""

而另一个配置文件 /etc/blacklist-by-ip，每行只有一个 IP，没有任何额外的格式化。

在这个例子中，从 ipdeny 的区文件中随机选择了 10 个国家：

# ls | shuf -n 10 | sed "s/\.zone//g" | tr '\n' ' '
nl ee ie pk is sv na om gp bn

现在只要在配置文件中加入至少一个国家，就可以运行了！

$ sudo firewalld-blacklist
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   142  100   142    0     0   1014      0 --:--:-- --:--:-- --:--:--  1014
100  662k  100  662k    0     0   989k      0 --:--:-- --:--:-- --:--:--  989k
Added nl to blacklist ipset.
Added ee to blacklist ipset.
Added ie to blacklist ipset.
Added pk to blacklist ipset.
Added is to blacklist ipset.
Added sv to blacklist ipset.
Added na to blacklist ipset.
Added om to blacklist ipset.
Added gp to blacklist ipset.
Added bn to blacklist ipset.
Adding ipset blacklist to firewalld drop zone.
success

要验证 FirewallD 黑名单是否成功，请检查 drop 区和 blacklist ipset。

$ sudo firewall-cmd --info-zone=drop
drop (active)
  target: DROP
  icmp-block-inversion: no
  interfaces:
  sources: ipset:blacklist
  services:
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

$ sudo firewall-cmd --info-ipset=blacklist | less
blacklist
  type: hash:net
  options: family=inet hashsize=4096 maxelem=200000
  entries:

第二条命令将输出所有的子网，这些子网是基于被封杀的国家而添加的，可能会相当长。

那么现在我该怎么做？

虽然在开始的时候，监控的频率会比较高，但随着时间的推移，入侵尝试的次数应该会随着黑名单的增加而减少。那么目标应该是维护而不是主动监控。

为此，我创建了一个 SystemD 服务文件和定时器，这样每月都会刷新由 ipdeny 维护的每个国家的子网。事实上，这里讨论的所有内容都可以从我的 pagure.io 项目中下载。

是不是很高兴你看完了整篇文章？现在只要把服务文件和定时器下载到 /etc/systemd/system/，并启用定时器就行了：

$ sudo systemctl daemon-reload
$ sudo systemctl enable --now firewalld-blacklist.timer

via: https://fedoramagazine.org/protect-your-system-with-fail2ban-and-firewalld-blacklists/

作者：hobbes1069 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你想了解 Linux 服务器在重压之下的运行情况，那么给 Linux 服务器施加压力是个不错的主意。在这篇文章中，我们将看一些工具，可以帮助你增加服务器压力并衡量结果。

为什么你会想给你的 Linux 系统施加压力呢？因为有时你可能想知道当一个系统由于大量运行的进程、繁重的网络流量、过多的内存使用等原因而承受很大的压力时，它的表现如何。这种压力测试可以帮助确保系统已经做好了 “上市” 的准备。

如果你需要预测应用程序可能需要多长时间才能做出反应，以及哪些（如果有的话）进程可能会在重负载下失败或运行缓慢，那么在前期进行压力测试是一个非常好的主意。

幸运的是，对于那些需要能够预测 Linux 系统在压力下的反应的人来说，你可以采用一些有用的技术和工具来使这个过程更容易。在这篇文章中，我们将研究其中的一些。

自己动手做个循环

第一种技术是在命令行上运行一些循环，观察它们对系统的影响。这种方式可以大大增加 CPU 的负荷。使用 uptime 或类似的命令可以很容易地看到结果。

在下面的命令中，我们启动了四个无尽循环。你可以通过添加数字或使用 bash 表达式，如 {1...6} 来代替 1 2 3 4 以增加循环次数：

for i in 1 2 3 4; do while : ; do : ; done & done

在命令行上输入后，将在后台启动四个无尽循环：

$ for i in 1 2 3 4; do while : ; do : ; done & done
[1] 205012
[2] 205013
[3] 205014
[4] 205015

在这种情况下，发起了作业 1-4，作业号和进程号会相应显示出来。

要观察对平均负载的影响，请使用如下所示的命令。在本例中，uptime 命令每 30 秒运行一次：

$ while true; do uptime; sleep 30; done

如果你打算定期运行这样的测试，你可以将循环命令放入脚本 watch-it 中。

#!/bin/bash

while true
do
  uptime
  sleep 30
done

在输出中，你可以看到平均负载是如何增加的，然后在循环结束后又开始下降。

 11:25:34 up 5 days, 17:27,  2 users,  load average: 0.15, 0.14, 0.08
 11:26:04 up 5 days, 17:27,  2 users,  load average: 0.09, 0.12, 0.08
 11:26:34 up 5 days, 17:28,  2 users,  load average: 1.42, 0.43, 0.18
 11:27:04 up 5 days, 17:28,  2 users,  load average: 2.50, 0.79, 0.31
 11:27:34 up 5 days, 17:29,  2 users,  load average: 3.09, 1.10, 0.43
 11:28:04 up 5 days, 17:29,  2 users,  load average: 3.45, 1.38, 0.54
 11:28:34 up 5 days, 17:30,  2 users,  load average: 3.67, 1.63, 0.66
 11:29:04 up 5 days, 17:30,  2 users,  load average: 3.80, 1.86, 0.76
 11:29:34 up 5 days, 17:31,  2 users,  load average: 3.88, 2.06, 0.87
 11:30:04 up 5 days, 17:31,  2 users,  load average: 3.93, 2.25, 0.97
 11:30:34 up 5 days, 17:32,  2 users,  load average: 3.64, 2.35, 1.04 <== 循环停止
 11:31:04 up 5 days, 17:32,  2 users,  load average: 2.20, 2.13, 1.01      11:31:34 up 5 days, 17:33,  2 users,  load average: 1.40, 1.94, 0.98

因为所显示的负载分别代表了 1、5 和 15 分钟的平均值，所以这些值需要一段时间才能恢复到系统接近正常的状态。

要停止循环，请发出像下面这样的 kill 命令 —— 假设作业号是 1-4，就像本篇文章前面显示的那样。如果你不确定，可以使用 jobs 命令来确认作业号。

$ kill %1 %2 %3 %4

增加压力的专用工具

另一种方法是使用专门为你制造系统压力的工具。其中一种叫做 stress（压力），可以以多种方式对系统进行压力测试。stress 工具是一个工作负载生成器，提供 CPU、内存和磁盘 I/O 压力测试。

在使用 --cpu 选项时，stress 命令使用平方根函数强制 CPU 努力工作。指定的 CPU 数量越多，负载上升的速度就越快。

下面第二个脚本（watch-it-2）可以用来衡量对系统内存使用的影响。请注意，它使用 free 命令来查看加压的效果。

$ cat watch-it-2
#!/bin/bash

while true
do
  free
  sleep 30
done

发起任务并观察压力：

$ stress --cpu 2

$ ./watch-it
 13:09:14 up 5 days, 19:10,  2 users,  load average: 0.00, 0.00, 0.00
 13:09:44 up 5 days, 19:11,  2 users,  load average: 0.68, 0.16, 0.05
 13:10:14 up 5 days, 19:11,  2 users,  load average: 1.20, 0.34, 0.12
 13:10:44 up 5 days, 19:12,  2 users,  load average: 1.52, 0.50, 0.18
 13:11:14 up 5 days, 19:12,  2 users,  load average: 1.71, 0.64, 0.24
 13:11:44 up 5 days, 19:13,  2 users,  load average: 1.83, 0.77, 0.30

在命令行中指定的 CPU 越多，负载就增加的越快。

$ stress --cpu 4
$ ./watch-it
 13:47:49 up 5 days, 19:49,  2 users,  load average: 0.00, 0.00, 0.00
 13:48:19 up 5 days, 19:49,  2 users,  load average: 1.58, 0.38, 0.13
 13:48:49 up 5 days, 19:50,  2 users,  load average: 2.61, 0.75, 0.26
 13:49:19 up 5 days, 19:50,  2 users,  load average: 3.16, 1.06, 0.38
 13:49:49 up 5 days, 19:51,  2 users,  load average: 3.49, 1.34, 0.50
 13:50:19 up 5 days, 19:51,  2 users,  load average: 3.69, 1.60, 0.61

stress 命令也可以通过 --io（输入/输出）和 --vm（内存）选项增加 I/O 和内存的负载来给系统施加压力。

在接下来的这个例子中，运行这个增加内存压力的命令，然后启动 watch-it-2 脚本。

$ stress --vm 2

$ watch-it-2
              total        used        free      shared  buff/cache   available
Mem:        6087064      662160     2519164        8868     2905740     5117548
Swap:       2097148           0     2097148
              total        used        free      shared  buff/cache   available
Mem:        6087064      803464     2377832        8864     2905768     4976248
Swap:       2097148           0     2097148
              total        used        free      shared  buff/cache   available
Mem:        6087064      968512     2212772        8864     2905780     4811200
Swap:       2097148           0     2097148

stress 的另一个选项是使用 --io 选项为系统添加输入/输出活动。在这种情况下，你可以使用这样的命令：

$ stress --io 4

然后你可以使用 iotop 观察受压的 I/O。注意，运行 iotop 需要 root 权限。

之前：

$ sudo iotop -o
Total DISK READ:         0.00 B/s | Total DISK WRITE:        19.36 K/s
Current DISK READ:       0.00 B/s | Current DISK WRITE:      27.10 K/s
    TID  PRIO  USER     DISK READ  DISK WRITE  SWAPIN     IO>    COMMAND
 269308 be/4 root        0.00 B/s    0.00 B/s  0.00 %  1.24 % [kworker~fficient]
    283 be/3 root        0.00 B/s   19.36 K/s  0.00 %  0.26 % [jbd2/sda1-8]

之后：

Total DISK READ:         0.00 B/s | Total DISK WRITE:         0.00 B/s
Current DISK READ:       0.00 B/s | Current DISK WRITE:       0.00 B/s
    TID  PRIO  USER     DISK READ  DISK WRITE  SWAPIN     IO>    COMMAND
 270983 be/4 shs         0.00 B/s    0.00 B/s  0.00 % 51.45 % stress --io 4
 270984 be/4 shs         0.00 B/s    0.00 B/s  0.00 % 51.36 % stress --io 4
 270985 be/4 shs         0.00 B/s    0.00 B/s  0.00 % 50.95 % stress --io 4
 270982 be/4 shs         0.00 B/s    0.00 B/s  0.00 % 50.80 % stress --io 4
 269308 be/4 root        0.00 B/s    0.00 B/s  0.00 %  0.09 % [kworker~fficient]

stress 只是给系统增加压力的若干工具之一。另一个较新的工具，stress-ng，将在以后的文章中介绍。

总结

用于系统压力测试的各种工具可以帮助你预测系统在真实世界的情况下如何响应，在这些情况下，它们受到增加的流量和计算需求。

虽然我们在文章中展示的是创建和测量各种类型的压力的方法，但最终的好处是压力如何帮助确定你的系统或应用程序对它的反应。

via: https://www.networkworld.com/article/3563334/how-to-stress-test-your-linux-system.html

作者：Sandra Henry-Stocker 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

3 年多以前，Fedora 杂志发表了一篇题为《Cockpit 概览》的文章。从那时起，Cockit 的界面有了一些引人注目的变化。今天的 Cockpit 更加简洁，更大的字体更好地利用了屏幕的空间。

本文将介绍它的用户界面的一些变化。还将探讨一些在网页界面中可用的通用工具，以简化那些单调的系统管理员任务。

Cockpit 驾驶舱安装

Cockpit 可以使用 dnf install cockpit 命令安装。这提供了一个最小的设置，提供了使用该界面所需的基本工具。

另一个选择是安装 “Headless Management” 组，这将安装用于扩展 Cockpit 功能的附加包。它包括用于 NetworkManager、软件包、磁盘和 SELinux 管理的扩展。

运行以下命令，在启动时启用 Web 服务并打开防火墙端口：

$ sudo systemctl enable --now cockpit.socket
Created symlink /etc/systemd/system/sockets.target.wants/cockpit.socket -> /usr/lib/systemd/system/cockpit.socket

$ sudo firewall-cmd --permanent --add-service cockpit
success
$ sudo firewall-cmd --reload
success

登录网页界面

要访问网页界面，打开你最喜欢的浏览器，在地址栏中输入该服务器的域名或 IP，然后输入服务端口（9090）。由于 Cockpit 使用 HTTPS，安装过程中会创建一个自签证书来加密密码和其他敏感数据。你可以安全地接受这个证书，或者向你的系统管理员或受信任的来源请求 CA 证书。

一旦证书被接受，就会出现新改进的登录屏幕。长期使用的用户会注意到用户名和密码字段已被移到顶部。此外，凭证字段后面的白色背景会立即吸引用户的注意力。

自上一篇文章后，登录界面增加了一个功能，就是用 sudo 权限登录 —— 如果你的账号是 wheel 组的成员。勾选 “对于特权任务，重用我的密码” 旁边的方框，就可以提升你的权限。

登录界面的另一个版本是连接到同样运行 Cockpit Web 服务的远程服务器的选项。点击 “其他选项” 并输入远程机器的主机名或 IP 地址，从本地浏览器管理它。

主屏幕视图

一开始，我们就会看到基本概述，带有常见的系统信息，这包括机器的品牌和型号、操作系统、系统是否是最新的，等等。

点击系统的品牌/型号会显示硬件信息，如 BIOS/固件。它还包括与 lspci 中可以看到的组件的详情。

点击任何一个选项，右边都会显示该设备的详细信息。例如，“CPU 核心百分比” 选项显示了用户和内核使用了多少 CPU 核心的详细信息。此外，“内存和交换” 图表显示了系统内存的使用量、缓存量和交换分区的活动量。“磁盘 I/O” 和 “网络流量” 图表连到了 Cockpit 的 “存储和网络” 部分。这些内容将在接下来详细探讨系统工具的一篇文章中重新探讨。

SSH 密钥和认证

由于安全是系统管理员的关键因素，Cockpit 现在有了查看机器 MD5 和 SHA256 密钥指纹的选项。点击 “显示指纹” 选项可以显示服务器的 ECDSA、ED25519 和 RSA 指纹密钥。

你也可以通过点击右上角的用户名，选择“验证”，添加自己的密钥。点击 “添加密钥”，可以在其他系统上验证该机器。你也可以通过点击右侧的 “X” 按钮，撤销你在 Cockpit Web 服务中的权限。

更改主机名和加入域

更改主机名可以在主页上一键解决。单击当前显示的主机名，并在“更改主机名”框中输入新名称。最新的功能之一是提供了一个 “简称” 的选项。

Cockpit 增加的另一个功能是可以连接到目录服务器。点击 “加入域”，会出现一个弹窗，要求提供域地址或名称、组织单位（可选）和域管理员的凭证。“Domain Membership” 组提供了加入 LDAP 服务器所需的所有包，包括 FreeIPA，以及流行的 Active Directory。

要退出域，请点击域名，然后点击 “离开域”。将会出现一个警告，解释一旦系统不再在域上将会发生的变化。要确认，点击红色的 “离开域” 按钮。

配置 NTP 和系统日期和时间

使用命令行和编辑配置文件绝对可以完成最大限度的调整。然而，有些时候，一些更直接的方法就足够了。通过 Cockpit，你可以选择手动设置或使用 NTP 自动设置系统的日期和时间。一旦同步，右边的信息图标就会由红色变成蓝色。如果你手动设置日期和时间，该图标将消失。

要更改时区，请输入洲，下面会弹出城市列表。

关机和重启

你可以在 Cockpit 的主屏幕上轻松关闭和重启服务器。你也可以延迟关机/重启，并发送消息警告用户。

设置性能配置文件

如果安装了 tuned 和 tuned-utils 包，可以在主屏幕上更改性能配置文件。默认情况下，它被设置为推荐的配置文件。然而，如果服务器的用途需要更多的性能，我们可以在 Cockpit 中更改配置文件以满足这些需求。

网页版终端控制台

一个 Linux 系统管理员的工具箱如果不能访问终端，将毫无用处。终端使得管理员可以对服务器进行微调，而不仅仅是 Cockpit 中的内容。随着主题功能的加入，管理员可以根据自己的喜好快速调整文字和背景颜色。

另外，如果你错输入了 exit 命令，点击右上角的 “重置” 按钮，会提供一个闪烁着光标的新屏幕。

添加远程服务器和仪表板布局

“Headless Management” 组包括了仪表盘模块（cockpit-dashboard）。它以实时图表的形式提供了 CPU、内存、网络和磁盘性能的概览。远程服务器也可以通过同一界面进行添加和管理。

例如，要在仪表盘中添加远程计算机，请单击 “+” 按钮。输入服务器的名称或 IP 地址，并选择你要的颜色。这有助于你在图中区分服务器的统计数据。要在服务器之间进行切换，请点击主机名称（如下面的屏幕动画所示）。要从列表中删除一个服务器，点击勾选标记图标，然后点击红色垃圾桶图标。下面的例子演示了 Cockpit 如何管理一台名为 server02.local.lan 的远程机器。

文档和寻找帮助

一如既往，手册页是查找文档的好地方。在命令行结果中进行简单搜索即可找到与使用和配置该 Web 服务的不同方面有关的页面。

$ man -k cockpit
cockpit (1)          - Cockpit
cockpit-bridge (1)   - Cockpit Host Bridge
cockpit-desktop (1)  - Cockpit Desktop integration
cockpit-ws (8)       - Cockpit web service
cockpit.conf (5)     - Cockpit configuration file

Fedora 仓库中也有一个名为 cockpit-doc 的软件包。这个软件包的描述是最好的解释。

《Cockpit 部署和开发者指南》向系统管理员展示了如何在他们的机器上部署 Cockpit，并帮助开发者嵌入或扩展 Cockpit。

更多文档请访问 https://cockpit-project.org/external/source/HACKING。

结论

本文只涉及 Cockpit 中的一些主要功能。管理存储设备、网络、用户账户和软件控制将在下一篇文章中介绍。此外，可选的扩展，如 389 目录服务，以及用于处理 Fedora Silverblue 中的软件包的cockpit-ostree 模块。

随着越来越多的用户采用 Cockpit，可选的功能会继续增加。这个界面对于想要一个轻量级界面来控制服务器的管理员来说是非常理想的。

你对 Cockpit 有什么看法？在下面的评论中分享你的经验和想法。

via: https://fedoramagazine.org/cockpit-and-the-evolution-of-the-web-user-interface/

作者：Shaun Assam 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

了解如何通过这些 Ansible 模块实现几乎任何事情。

在我成长的时候，我爷爷在他的花园里有一个棚子。他经常会花几个小时在那里制作和修复东西。这是在我们有互联网之前的事情，所以我花了很多时间看他在那个棚子里创造东西。虽然棚子里有很多工具，从钻头到车床到电器配件，还有很多东西我至今都无法辨认，但他使用的只是他手头的一小部分。然而，他能做到的事情似乎永远没有极限。

我之所以告诉你这个故事，是因为我觉得我的职业生涯是在一个隐喻的棚子里度过的。计算机也是如此多的工具，都在一个狭小（虚拟？）的空间里。而工具棚中又有工具棚 —— 我最喜欢的是 Ansible。最近的 2.9 版本有 3,681 个模块! **3,681 个啊！**当我在 2013 年夏天第一次开始使用 Ansible 时，1.2.1 版本只有 113 个模块，然而，正如我当时写的，我仍然可以实现任何我想象到的东西。

模块是 Ansible 的支柱，是让重任轻装上阵的齿轮。它们被设计为做好一项工作，从而实现了 Unix 哲学。我们就是这样来把这么多的模块捆绑在一起，作为乐团的指挥，Ansible 现在有很多乐器可以听从它的指挥。

回顾一下我多年来的 Ansible 剧本和角色的 Git 仓库，我发现我只用了 35 个模块。这个小的子集被用来构建大型基础设施。不过，我想知道如果用一个更小的子集可以实现什么？当我回顾这 35 个模块时，我在思考，我能否只用 5 个模块就能达到同样的效果。因此，以下是我最喜欢的五个模块，顺序无关。

5. authorized\_key

SSH 是 Ansible 的核心，至少对于除了 Windows 以外的几乎所有其他功能都是如此。在 Ansible 中高效使用 SSH 的关键（没有双关语）是……密钥！顺便提一下，你可以用 SSH 密钥为安全性做很多非常酷的事情。值得仔细阅读 sshd 手册页中的 “authorized\_keys” 部分。如果你需要精细的用户访问控制，管理 SSH 密钥可能会变得很费力，尽管我可以用接下来的两个我最爱的模块中的任何一个，但我更喜欢使用 authorized\_key 这个模块，因为它可以通过变量轻松管理。

4. file

除了显而易见的将文件放置在某个地方的功能外，file 模块还可以设置所有权和权限。我想说的是，这样一个模块就能带来很多的好处。很大一部分安全问题也与设置权限有关，所以 file 模块和 authorized\_key 可以很好地配合在一起使用。

3. template

操作文件内容的方法太多了，我看到很多人都在使用 lineinfile。我自己也用它做过小任务。但是，template 模块就清晰多了，因为你维护了整个文件的上下文。我更喜欢以任何人都可以轻松理解的方式编写 Ansible 的内容 —— 对我而言，这意味着容易理解正在发生的事情。template 的使用意味着能够看到你正在放置内容的整个文件、全部你正在改变的变量。

2. uri

当前发布版中的许多模块利用 Ansible 作为编排工具。它们与另一个服务对话，而不是做一些具体的事情，比如把一个文件放到一个地方。通常，这种对话也是通过 HTTP 进行的。在许多这样的模块出现之前，你可以直接使用 uri 模块对 API 进行编程。它是一个强大的访问工具，可以使你能够做很多事情。在我的 Ansible 虚拟棚子里，我不会少了它。

1. shell

这是我们工具包里的王牌、瑞士军刀。如果你为如何控制其他东西而非常苦恼，别说，说就是 shell。有人会说，我们这样说是让 Ansible 成为了 Bash 脚本 —— 但是，我想说的是，这还是有点好处的，因为可以在你的剧本和角色中使用 name 参数记录下每一步。对我来说，这就像一个很大的奖励一样。早在我还在做咨询的时候，我曾经帮助一个数据库管理员（DBA）迁移到 Ansible。这位 DBA 并不喜欢改变，对改变工作方法也是推三阻四。于是，为了简化迁移到 Ansible 方式，我们在 Ansible 中使用 shell 模块调用了一些现有的数据库管理脚本。并在任务中附带了翔实的 name 声明。

通过这五个模块，你可以实现很多事情。是的，为完成特定任务而设计的模块会让你的生活更加轻松。但是，借助简单的工程设计，你几乎可以事半功倍。Ansible 开发者 Brian Coca 是这方面的大师，他的技巧和窍门讲座总是值得一看。

你觉得我喜欢的五大模块怎么样？如果你也必须限制在这么多模块，你会选择哪五个，为什么？在下面的评论中告诉我吧！

via: https://opensource.com/article/19/11/ansible-modules

作者：Mark Phillips 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出