这篇教程说明你应该怎样配置 nginx、设置 HTTP 头部过期时间，用 Cache-Control 中的 max-age 标记为静态文件（比如图片、 CSS 和 Javascript 文件）设置一个时间，这样用户的浏览器就会缓存这些文件。这样能节省带宽，并且在访问你的网站时会显得更快些（如果用户第二次访问你的网站，将会使用浏览器缓存中的静态文件）。

1、准备事项

我想你需要一个正常工作的 nginx 软件，就像这篇教程里展示的：在 Ubuntu 16.04 LTS 上安装 Nginx，PHP 7 和 MySQL 5.7 (LEMP)。

2 配置 nginx

可以参考 expires 指令手册来设置 HTTP 头部过期时间，这个标记可以放在 http {}、server {}、location {} 等语句块或者 location {} 语句块中的条件语句中。一般会在 location 语句块中用 expires 指令控制你的静态文件，就像下面一样：

location ~*  \.(jpg|jpeg|png|gif|ico|css|js)$ {
   expires 365d;
}

在上面的例子中，所有后缀名是 .jpg、 .jpeg、 .png、 .gif、 .ico、 .css 和 .js 的文件会在浏览器访问该文件之后的 365 天后过期。因此你要确保 location {} 语句块仅仅包含能被浏览器缓存的静态文件。

然后重启 nginx 进程：

/etc/init.d/nginx reload

你可以在 expires 指令中使用以下的时间设置：

• off 让 Expires 和 Cache-Control 头部不能被更改。
• epoch 将 Expires 头部设置成 1970 年 1 月 1 日 00:00:01。
• max 设置 Expires 头部为 2037 年 12 月 31 日 23:59:59，设置 Cache-Control 的最大存活时间为 10 年
• 没有 @ 前缀的时间意味着这是一个与浏览器访问时间有关的过期时间。可以指定一个负值的时间，就会把 Cache-Control 头部设置成 no-cache。例如：expires 10d 或者 expires 14w3d。
• 有 @ 前缀的时间指定在一天中的某个时间过期，格式是 Hh 或者 Hh:Mm，H 的范围是 0 到 24，M 的范围是 0 到 59，例如：expires @15:34。

你可以用以下的时间单位：

• ms: 毫秒
• s: 秒
• m: 分钟
• h: 小时
• d: 天
• w: 星期
• M: 月 (30 天)
• y: 年 (365 天)

例如：1h30m 表示一小时三十分钟，1y6M 表示一年六个月。

注意，要是你用一个在将来很久才会过期的头部，当组件修改时你就要改变组件的文件名。因此给文件指定版本是一个不错的方法。例如，如果你有个 javascript.js 文件 并且你要修改它，你可以在修改的文件名字后面添加一个版本号。这样浏览器就要下载这个文件，如果你没有更改文件名，浏览器将从缓存里面加载（旧的）文件。

除了把基于浏览器访问时间设置 Expires 头部（比如 expires 10d）之外，也可以通过在时间前面的 modified 关键字，将 Expires 头部的基准设为文件修改的时间（请注意这仅仅对存储在硬盘的实际文件有效）。

expires modified 10d;

3 测试

要测试你的配置是否有效，可以用火狐浏览器的开发者工具中的网络分析功能，然后用火狐访问一个静态文件（比如一张图片）。在输出的头部信息里，应该能看到 Expires 头部和有 max-age 标记的 Cache-Control 头部（max-age 标记包含了一个以秒为单位的值，比如 31536000 就是指今后的一年）

4 链接

nginx 的 Http 头部模块（HttpHeadersModule）: http://wiki.nginx.org/HttpHeadersModule

via: https://www.howtoforge.com/tutorial/how-to-cache-static-files-on-nginx/

作者：Falko Timme 译者：GitFuture 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

为了解决标准的“用户-组-其他/读-写-执行”权限以及访问控制列表的限制以及加强安全机制，美国国家安全局（NSA）设计出一个灵活的 强制访问控制 （ Mandatory Access Control ） （MAC）方法 SELinux（Security Enhanced Linux 的缩写），来限制标准的权限之外的种种权限，在仍然允许对这个控制模型后续修改的情况下，让进程尽可能以最小权限访问或在系统对象（如文件，文件夹，网络端口等）上执行其他操作。

SELinux 和 AppArmor 加固 Linux 安全

另一个流行并且被广泛使用的 MAC 是 AppArmor，相比于 SELinux 它提供更多的特性，包括一个学习模式，可以让系统“学习”一个特定应用的行为，以及通过配置文件设置限制实现安全的应用使用。

在 CentOS 7 中，SELinux 合并进了内核并且默认启用 强制 （ Enforcing ） 模式（下一节会介绍这方面更多的内容），与之不同的是，openSUSE 和 Ubuntu 使用的是 AppArmor 。

在这篇文章中我们会解释 SELinux 和 AppArmor 的本质，以及如何在你选择的发行版上使用这两个工具之一并从中获益。

SELinux 介绍以及如何在 CentOS 7 中使用

Security Enhanced Linux 可以以两种不同模式运行：

• 强制 （ Enforcing ） ：这种情况下，SELinux 基于 SELinux 策略规则拒绝访问，策略规则是一套控制安全引擎的规则。
• 宽容 （ Permissive ） ：这种情况下，SELinux 不拒绝访问，但如果在强制模式下会被拒绝的操作会被记录下来。

SELinux 也能被禁用。尽管这不是它的一个操作模式，不过也是一种选择。但学习如何使用这个工具强过只是忽略它。时刻牢记这一点！

使用 getenforce 命令来显示 SELinux 的当前模式。如果你想要更改模式，使用 setenforce 0（设置为宽容模式）或 setenforce 1（强制模式）。

因为这些设置重启后就失效了，你需要编辑 /etc/selinux/config 配置文件并设置 SELINUX 变量为 enforcing、permissive 或 disabled ，保存设置让其重启后也有效：

如何启用和禁用 SELinux 模式

还有一点要注意，如果 getenforce 返回 Disabled，你得编辑 /etc/selinux/config 配置文件为你想要的操作模式并重启。否则你无法利用 setenforce 设置（或切换）操作模式。

setenforce 的典型用法之一包括在 SELinux 模式之间切换（从强制到宽容或相反）来定位一个应用是否行为不端或没有像预期一样工作。如果它在你将 SELinux 设置为宽容模式正常工作，你就可以确定你遇到的是 SELinux 权限问题。

有两种我们使用 SELinux 可能需要解决的典型案例：

• 改变一个守护进程监听的默认端口。
• 给一个虚拟主机设置 /var/www/html 以外的文档根路径值。

让我们用以下例子来看看这两种情况。

例 1：更改 sshd 守护进程的默认端口

大部分系统管理员为了加强服务器安全首先要做的事情之一就是更改 SSH 守护进程监听的端口，主要是为了阻止端口扫描和外部攻击。要达到这个目的，我们要更改 /etc/ssh/sshd_config 中的 Port 值为以下值（我们在这里使用端口 9999 为例）：

Port 9999

在尝试重启服务并检查它的状态之后，我们会看到它启动失败：

# systemctl restart sshd
# systemctl status sshd

检查 SSH 服务状态

如果我们看看 /var/log/audit/audit.log，就会看到 sshd 被 SELinux 阻止在端口 9999 上启动，因为它是 JBoss 管理服务的保留端口（SELinux 日志信息包含了词语“AVC”，所以应该很容易把它同其他信息区分开来）：

# cat /var/log/audit/audit.log | grep AVC | tail -1

检查 Linux 审计日志

在这种情况下大部分人可能会禁用 SELinux，但我们不这么做。我们会看到有个让 SELinux 和监听其他端口的 sshd 和谐共处的方法。首先确保你有 policycoreutils-python 这个包，执行：

# yum install policycoreutils-python

查看 SELinux 允许 sshd 监听的端口列表。在接下来的图片中我们还能看到端口 9999 是为其他服务保留的，所以我们暂时无法用它来运行其他服务：

# semanage port -l | grep ssh

当然我们可以给 SSH 选择其他端口，但如果我们确定我们不会使用这台机器跑任何 JBoss 相关的服务，我们就可以修改 SELinux 已存在的规则，转而给 SSH 分配那个端口：

# semanage port -m -t ssh_port_t -p tcp 9999

这之后，我们就可以用前一个 semanage 命令检查端口是否正确分配了，即使用 -lC 参数（list custom 的简称）：

# semanage port -lC
# semanage port -l | grep ssh

给 SSH 分配端口

我们现在可以重启 SSH 服务并通过端口 9999 连接了。注意这个更改重启之后依然有效。

例 2：给一个虚拟主机设置 /var/www/html 以外的 文档根路径 （ DocumentRoot ）

如果你需要用除 /var/www/html 以外目录作为 文档根目录 （ DocumentRoot ） 设置一个 Apache 虚拟主机（也就是说，比如 /websrv/sites/gabriel/public_html）：

DocumentRoot “/websrv/sites/gabriel/public_html”

Apache 会拒绝提供内容，因为 index.html 已经被标记为了 default_t SELinux 类型，Apache 无法访问它：

# wget http://localhost/index.html
# ls -lZ /websrv/sites/gabriel/public_html/index.html

被标记为 default\_t SELinux 类型

和之前的例子一样，你可以用以下命令验证这是不是 SELinux 相关的问题：

# cat /var/log/audit/audit.log | grep AVC | tail -1

检查日志确定是不是 SELinux 的问题

要将 /websrv/sites/gabriel/public_html 整个目录内容标记为 httpd_sys_content_t，执行：

# semanage fcontext -a -t httpd_sys_content_t "/websrv/sites/gabriel/public_html(/.*)?"

上面这个命令会赋予 Apache 对那个目录以及其内容的读取权限。

最后，要应用这条策略（并让更改的标记立即生效），执行：

# restorecon -R -v /websrv/sites/gabriel/public_html

现在你应该可以访问这个目录了：

# wget http://localhost/index.html

访问 Apache 目录

要获取关于 SELinux 的更多信息，参阅 Fedora 22 中的 SELinux 用户及管理员指南。

AppArmor 介绍以及如何在 OpenSUSE 和 Ubuntu 上使用它

AppArmor 的操作是基于写在纯文本文件中的规则定义，该文件中含有允许权限和访问控制规则。安全配置文件用来限制应用程序如何与系统中的进程和文件进行交互。

系统初始就提供了一系列的配置文件，但其它的也可以由应用程序在安装的时候设置或由系统管理员手动设置。

像 SELinux 一样，AppArmor 以两种模式运行。在 强制 （ enforce ） 模式下，应用被赋予它们运行所需要的最小权限，但在 抱怨 （ complain ） 模式下 AppArmor 允许一个应用执行受限的操作并将操作造成的“抱怨”记录到日志里（/var/log/kern.log，/var/log/audit/audit.log，和其它放在 /var/log/apparmor 中的日志）。

日志中会显示配置文件在强制模式下运行时会产生错误的记录，它们中带有 audit 这个词。因此，你可以在 AppArmor 的 强制 （ enforce ） 模式下运行之前，先在 抱怨 （ complain ） 模式下尝试运行一个应用并调整它的行为。

可以用这个命令显示 AppArmor 的当前状态：

$ sudo apparmor_status

查看 AppArmor 的状态

上面的图片指明配置 /sbin/dhclient，/usr/sbin/，和 /usr/sbin/tcpdump 等处在 强制 （ enforce ） 模式下（在 Ubuntu 下默认就是这样的）。

因为不是所有的应用都包含相关的 AppArmor 配置，apparmor-profiles 包给其它没有提供限制的包提供了配置。默认它们配置在 抱怨 （ complain ） 模式下运行，以便系统管理员能够测试并选择一个所需要的配置。

我们将会利用 apparmor-profiles，因为写一份我们自己的配置已经超出了 LFCS 认证的范围了。但是，由于配置都是纯文本文件，你可以查看并学习它们，为以后创建自己的配置做准备。

AppArmor 配置保存在 /etc/apparmor.d 中。让我们来看看这个文件夹在安装 apparmor-profiles 之前和之后有什么不同：

$ ls /etc/apparmor.d

查看 AppArmor 文件夹内容

如果你再次执行 sudo apparmor_status，你会在 抱怨 （ complain ） 模式看到更长的配置文件列表。你现在可以执行下列操作。

将当前在 强制 （ enforce ） 模式下的配置文件切换到 抱怨 （ complain ） 模式：

$ sudo aa-complain /path/to/file

以及相反的操作（抱怨 –> 强制）：

$ sudo aa-enforce /path/to/file

上面这些例子是允许使用通配符的。举个例子：

$ sudo aa-complain /etc/apparmor.d/*

会将 /etc/apparmor.d 中的所有配置文件设置为 抱怨 （ complain ） 模式，反之

$ sudo aa-enforce /etc/apparmor.d/*

会将所有配置文件设置为 强制 （ enforce ） 模式。

要完全禁用一个配置，在 /etc/apparmor.d/disabled 目录中创建一个符号链接：

$ sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/

要获取关于 AppArmor 的更多信息，参阅官方的 AppArmor wiki 以及 Ubuntu 提供的文档。

总结

在这篇文章中我们学习了一些 SELinux 和 AppArmor 这两个著名的强制访问控制系统的基本知识。什么时候使用两者中的一个或是另一个？为了避免提高难度，你可能需要考虑专注于你选择的发行版自带的那一个。不管怎样，它们会帮助你限制进程和系统资源的访问，以提高你服务器的安全性。

关于本文你有任何的问题，评论，或建议，欢迎在下方发表。不要犹豫，让我们知道你是否有疑问或评论。

via: http://www.tecmint.com/mandatory-access-control-with-selinux-or-apparmor-linux/

作者：Gabriel Cánepa 译者：alim0x 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

当要管理远程机器或者要布署应用时，虽然你有多种命令行工具可以选择，但是其中很多工具都缺少详细的使用文档。

在这篇教程中，我们将会一步一步地向你介绍如何使用 fabric 来帮助你更好得管理多台服务器。

使用 Fabric 来自动化地管理 Linux 任务

Fabric 是一个用 Python 编写的命令行工具库，它可以帮助系统管理员高效地执行某些任务，比如通过 SSH 到多台机器上执行某些命令，远程布署应用等。

在使用之前，如果你拥有使用 Python 的经验能帮你更好的使用 Fabric。当然，如果没有那也不影响使用 Fabric。

我们为什么要选择 Fabric：

• 简单
• 完备的文档
• 如果你会 Python，不用增加学习其他语言的成本
• 易于安装使用
• 使用便捷
• 支持多台机器并行操作

在 Linux 上如何安装 Fabric

Fabric 有一个特点就是要远程操作的机器只需要支持标准的 OpenSSH 服务即可。只要保证在机器上安装并开启了这个服务就能使用 Fabric 来管理机器。

依赖

• Python 2.5 或更新版本，以及对应的开发组件
• Python-setuptools 和 pip（可选，但是非常推荐）gcc

我们推荐使用 pip 安装 Fabric，但是你也可以使用系统自带的包管理器如 yum, dnf 或 apt-get 来安装，包名一般是 fabric 或 python-fabric。

如果是基于 RHEL/CentOS 的发行版本的系统，你可以使用系统自带的 EPEL 源 来安装 fabric。

# yum install fabric   [适用于基于 RedHat 系统]
# dnf install fabric   [适用于 Fedora 22+ 版本]

如果你是 Debian 或者其派生的系统如 Ubuntu 和 Mint 的用户，你可以使用 apt-get 来安装，如下所示：

# apt-get install fabric

如果你要安装开发版的 Fabric，你需要安装 pip 来安装 master 分支上最新版本。

# yum install python-pip       [适用于基于 RedHat 系统]
# dnf install python-pip       [适用于Fedora 22+ 版本]
# apt-get install python-pip   [适用于基于 Debian 系统]

安装好 pip 后，你可以使用 pip 获取最新版本的 Fabric。

# pip install fabric

如何使用 Fabric 来自动化管理 Linux 任务

现在我们来开始使用 Fabric，在之前的安装的过程中，Fabric Python 脚本已经被放到我们的系统目录，当我们要运行 Fabric 时输入 fab 命令即可。

在本地 Linux 机器上运行命令行

按照惯例，先用你喜欢的编辑器创建一个名为 fabfile.py 的 Python 脚本。你可以使用其他名字来命名脚本，但是就需要指定这个脚本的路径，如下所示：

# fabric --fabfile /path/to/the/file.py

Fabric 使用 fabfile.py 来执行任务，这个文件应该放在你执行 Fabric 命令的目录里面。

例子 1：创建入门的 Hello World 任务：

# vi fabfile.py

在文件内输入如下内容：

def hello():
    print('Hello world, Tecmint community')

保存文件并执行以下命令：

# fab hello

Fabric 工具使用说明

例子 2：新建一个名为 fabfile.py 的文件并打开：

粘贴以下代码至文件：

#!  /usr/bin/env python
from fabric.api import local
def uptime():
    local('uptime')

保存文件并执行以下命令：

# fab uptime

Fabric: 检查系统运行时间

让我们看看这个例子，fabfile.py 文件在本机执行了 uptime 这个命令。

在远程 Linux 机器上运行命令来执行自动化任务

Fabric API 使用了一个名为 env 的关联数组（Python 中的词典）作为配置目录，来储存 Fabric 要控制的机器的相关信息。

env.hosts 是一个用来存储你要执行 Fabric 任务的机器的列表，如果你的 IP 地址是 192.168.0.0，想要用 Fabric 来管理地址为 192.168.0.2 和 192.168.0.6 的机器，需要的配置如下所示：

#!/usr/bin/env python
from fabric.api import env
    env.hosts = [ '192.168.0.2', '192.168.0.6' ]

上面这几行代码只是声明了你要执行 Fabric 任务的主机地址，但是实际上并没有执行任何任务，下面我们就来定义一些任务。Fabric 提供了一系列可以与远程服务器交互的方法。

Fabric 提供了众多的方法，这里列出几个经常会用到的：

• run - 可以在远程机器上运行的 shell 命令
• local - 可以在本机上运行的 shell 命令
• sudo - 使用 root 权限在远程机器上运行的 shell 命令
• get - 从远程机器上下载一个或多个文件
• put - 上传一个或多个文件到远程机器

例子 3：在多台机子上输出信息，新建新的 fabfile.py 文件如下所示

#!/usr/bin/env python
from fabric.api import env, run
env.hosts = ['192.168.0.2','192.168.0.6']
def echo():
    run("echo -n 'Hello, you are tuned to Tecmint ' ")

运行以下命令执行 Fabric 任务

# fab echo

fabric: 自动在远程 Linux 机器上执行任务

例子 4：你可以继续改进之前创建的执行 uptime 任务的 fabfile.py 文件，让它可以在多台服务器上运行 uptime 命令，也可以检查其磁盘使用情况，如下所示：

#!/usr/bin/env python
from fabric.api import env, run
env.hosts = ['192.168.0.2','192.168.0.6']
def uptime():
    run('uptime')
def disk_space():
    run('df -h')

保存并执行以下命令

# fab uptime
# fab disk_space

Fabric：自动在多台服务器上执行任务

在远程服务器上自动化布署 LAMP

例子 5：我们来尝试一下在远程服务器上布署 LAMP（Linux, Apache, MySQL/MariaDB and PHP）

我们要写个函数在远程使用 root 权限安装 LAMP。

在 RHEL/CentOS 或 Fedora 上

#!/usr/bin/env python
from fabric.api import env, run
env.hosts = ['192.168.0.2','192.168.0.6']
def deploy_lamp():
    run ("yum install -y httpd mariadb-server php php-mysql")

在 Debian/Ubuntu 或 Linux Mint 上

#!/usr/bin/env python
from fabric.api import env, run
env.hosts = ['192.168.0.2','192.168.0.6']
def deploy_lamp():
    sudo("apt-get install -q apache2 mysql-server libapache2-mod-php5 php5-mysql")

保存并执行以下命令：

# fab deploy_lamp

注：由于安装时会输出大量信息，这个例子我们就不提供屏幕 gif 图了

现在你可以使用 Fabric 和上文例子所示的功能来自动化的管理 Linux 服务器上的任务了。

一些 Fabric 有用的选项

• 你可以运行 fab -help 输出帮助信息，里面列出了所有可以使用的命令行信息
• –fabfile=PATH 选项可以让你定义除了名为 fabfile.py 之外的模块
• 如果你想用指定的用户名登录远程主机，请使用 -user=USER 选项
• 如果你需要密码进行验证或者 sudo 提权，请使用 –password=PASSWORD 选项
• 如果需要输出某个命令的详细信息，请使用 –display=命令名 选项
• 使用 --list 输出所有可用的任务
• 使用 --list-format=FORMAT 选项能格式化 -list 选项输出的信息，可选的有 short、normal、 nested
• --config=PATH 选项可以指定读取配置文件的地址
• -–colorize-errors 能显示彩色的错误输出信息
• --version 输出当前版本

总结

Fabric 是一个强大并且文档完备的工具，对于新手来说也能很快上手，阅读提供的文档能帮助你更好的了解它。如果你在安装和使用 Fabric 时发现什么问题可以在评论区留言，我们会及时回复。

参考：Fabric 文档

via: http://www.tecmint.com/automating-linux-system-administration-tasks/

作者：Aaron Kili 译者：NearTan 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

采用这些简单的建议，使你的 OpenSSH 会话更加安全。

当你查看你的 SSH 服务日志，可能你会发现充斥着一些不怀好意的尝试性登录。这里有 5 条常规建议（和一些个别特殊策略）可以让你的 OpenSSH 会话更加安全。

1. 强化密码登录

密码登录很方便，因为你可以从任何地方的任何机器上登录。但是它们在暴力攻击面前也是脆弱的。尝试以下策略来强化你的密码登录。

• 使用一个密码生成工具，例如 pwgen。pwgen 有几个选项，最有用的就是密码长度的选项（例如，pwgen 12 产生一个12位字符的密码）
• 不要重复使用密码。忽略所有那些不要写下你的密码的建议，然后将你的所有登录信息都记在一个本子上。如果你不相信我的建议，那总可以相信安全权威 Bruce Schneier 吧。如果你足够细心，没有人能够发现你的笔记本，那么这样能够不受到网络上的那些攻击。
• 你可以为你的登录记事本增加一些额外的保护措施，例如用字符替换或者增加新的字符来掩盖笔记本上的登录密码。使用一个简单而且好记的规则，比如说给你的密码增加两个额外的随机字符，或者使用单个简单的字符替换，例如 # 替换成 *。
• 为你的 SSH 服务开启一个非默认的监听端口。是的，这是很老套的建议，但是它确实很有效。检查你的登录；很有可能 22 端口是被普遍攻击的端口，其他端口则很少被攻击。
• 使用 Fail2ban 来动态保护你的服务器，是服务器免于被暴力攻击。
• 使用不常用的用户名。绝不能让 root 可以远程登录，并避免用户名为“admin”。

2. 解决 Too Many Authentication Failures 报错

当我的 ssh 登录失败，并显示“Too many authentication failures for carla”的报错信息时，我很难过。我知道我应该不介意，但是这报错确实很碍眼。而且，正如我聪慧的奶奶曾经说过，伤痛之感并不能解决问题。解决办法就是在你的（客户端的） ~/.ssh/config 文件设置强制密码登录。如果这个文件不存在，首先创个 ~/.ssh/ 目录。

$ mkdir ~/.ssh
$ chmod 700 ~/.ssh

然后在一个文本编辑器创建 ~/.ssh/confg 文件，输入以下行，使用你自己的远程域名替换 HostName。

HostName remote.site.com
PubkeyAuthentication=no

（LCTT 译注：这种错误发生在你使用一台 Linux 机器使用 ssh 登录另外一台服务器时，你的 .ssh 目录中存储了过多的私钥文件，而 ssh 客户端在你没有指定 -i 选项时，会默认逐一尝试使用这些私钥来登录远程服务器后才会提示密码登录，如果这些私钥并不能匹配远程主机，显然会触发这样的报错，甚至拒绝连接。因此本条是通过禁用本地私钥的方式来强制使用密码登录——显然这并不可取，如果你确实要避免用私钥登录，那你应该用 -o PubkeyAuthentication=no 选项登录。显然这条和下两条是互相矛盾的，所以请无视本条即可。）

3. 使用公钥认证

公钥认证比密码登录安全多了，因为它不受暴力密码攻击的影响，但是并不方便因为它依赖于 RSA 密钥对。首先，你要创建一个公钥/私钥对。下一步，私钥放于你的客户端电脑，并且复制公钥到你想登录的远程服务器。你只能从拥有私钥的电脑登录才能登录到远程服务器。你的私钥就和你的家门钥匙一样敏感；任何人获取到了私钥就可以获取你的账号。你可以给你的私钥加上密码来增加一些强化保护规则。

使用 RSA 密钥对管理多个用户是一种好的方法。当一个用户离开了，只要从服务器删了他的公钥就能取消他的登录。

以下例子创建一个新的 3072 位长度的密钥对，它比默认的 2048 位更安全，而且为它起一个独一无二的名字，这样你就可以知道它属于哪个服务器。

$ ssh-keygen -t rsa -b 3072 -f id_mailserver

以下创建两个新的密钥, id_mailserver 和 id_mailserver.pub，id_mailserver 是你的私钥--不要传播它！现在用 ssh-copy-id 命令安全地复制你的公钥到你的远程服务器。你必须确保在远程服务器上有可用的 SSH 登录方式。

$ ssh-copy-id -i  id_rsa.pub user@remoteserver

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
user@remoteserver's password:

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'user@remoteserver'"
and check to make sure that only the key(s) you wanted were added.

ssh-copy-id 会确保你不会无意间复制了你的私钥。从上述输出中复制登录命令，记得带上其中的单引号，以测试你的新的密钥登录。

$ ssh 'user@remoteserver'

它将用你的新密钥登录，如果你为你的私钥设置了密码，它会提示你输入。

4. 取消密码登录

一旦你已经测试并且验证了你的公钥可以登录，就可以取消密码登录，这样你的远程服务器就不会被暴力密码攻击。如下设置你的远程服务器的 /etc/sshd_config 文件。

PasswordAuthentication no

然后重启服务器上的 SSH 守护进程。

5. 设置别名 -- 这很快捷而且很酷

你可以为你的远程登录设置常用的别名，来替代登录时输入的命令，例如 ssh -u username -p 2222 remote.site.with.long-name。你可以使用 ssh remote1。你的客户端机器上的 ~/.ssh/config 文件可以参照如下设置

Host remote1
HostName remote.site.with.long-name
Port 2222
User username
PubkeyAuthentication no

如果你正在使用公钥登录，可以参照这个：

Host remote1
HostName remote.site.with.long-name
Port 2222
User username
IdentityFile  ~/.ssh/id_remoteserver

OpenSSH 文档 很长而且详细，但是当你掌握了基础的 SSH 使用规则之后，你会发现它非常的有用，而且包含很多可以通过 OpenSSH 来实现的炫酷效果。

via: https://www.linux.com/learn/5-ssh-hardening-tips

作者：CARLA SCHRODER 译者：maywanting 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Linux 系统的内存管理工作中，内存使用情况的监控是十分重要的，在各种 Linux 发行版上你会找到许多这种工具。它们的工作方式多种多样，在这里，我们将会介绍如何安装和使用这样的一个名为 smem 的工具软件。

Smem 是一款命令行下的内存使用情况报告工具，它能够给用户提供 Linux 系统下的内存使用的多种报告。和其它传统的内存报告工具不同的是，它有个独特的功能，可以报告 PSS（ 按比例占用大小 （ Proportional Set Size ） ），这种内存使用量表示方法对于那些在虚拟内存中的应用和库更有意义。

已有的传统工具会将目光主要集中于读取 RSS（ 实际占用大小 （ Resident Set Size ） ），这种方法是以物理内存方案来衡量使用情况的标准方法，但是往往高估了应用程序的内存的使用情况。

PSS 从另一个侧面，通过判定在虚拟内存中的应用和库所使用的“合理分享”的内存，来给出更可信的衡量结果。

你可以阅读此指南 (关于内存的 RSS 和 PSS)了解 Linux 系统中的内存占用，不过现在让我们继续看看 smem 的特点。

Smem 这一工具的特点

• 系统概览列表
• 以进程、映射和用户来显示或者是过滤
• 从 /proc 文件系统中得到数据
• 从多个数据源配置显示的条目
• 可配置输出单位和百分比
• 易于配置列表表头和汇总
• 从镜像文件夹或者是压缩的 tar 文件中获得数据快照
• 内置的图表生成机制
• 轻量级的捕获工具，可用于嵌入式系统

如何安装 Smem - Linux 下的内存使用情况报告工具

安装之前，需要确保满足以下的条件：

• 现代内核 (版本号高于 2.6.27)
• 较新的 Python 版本 (2.4 及以后版本)
• 可选的 matplotlib 库用于生成图表

对于当今的大多数的 Linux 发行版而言，内核版本和 Python 的版本都能够满足需要，所以仅需要为生成良好的图表安装 matplotlib 库。

RHEL, CentOS 和 Fedora

首先启用 EPEL (Extra Packages for Enterprise Linux) 软件源，然后按照下列步骤操作：

# yum install smem python-matplotlib python-tk

Debian 和 Ubuntu

$ sudo apt-get install smem

Linux Mint

$ sudo apt-get install smem python-matplotlib python-tk

Arch Linux

使用此 AUR 仓库。

如何使用 Smem – Linux 下的内存使用情况报告工具

为了查看整个系统所有用户的内存使用情况，运行以下的命令：

$ sudo smem

监视 Linux 系统中的内存使用情况

  PID User     Command                         Swap      USS      PSS      RSS
 6367 tecmint  cat                                0      100      145     1784
 6368 tecmint  cat                                0      100      147     1676
 2864 tecmint  /usr/bin/ck-launch-session         0      144      165     1780
 7656 tecmint  gnome-pty-helper                   0      156      178     1832
 5758 tecmint  gnome-pty-helper                   0      156      179     1916
 1441 root     /sbin/getty -8 38400 tty2          0      152      184     2052
 1434 root     /sbin/getty -8 38400 tty5          0      156      187     2060
 1444 root     /sbin/getty -8 38400 tty3          0      156      187     2060
 1432 root     /sbin/getty -8 38400 tty4          0      156      188     2124
 1452 root     /sbin/getty -8 38400 tty6          0      164      196     2064
 2619 root     /sbin/getty -8 38400 tty1          0      164      196     2136
 3544 tecmint  sh -c /usr/lib/linuxmint/mi        0      212      224     1540
 1504 root     acpid -c /etc/acpi/events -        0      220      236     1604
 3311 tecmint  syndaemon -i 0.5 -K -R             0      252      292     2556
 3143 rtkit    /usr/lib/rtkit/rtkit-daemon        0      300      326     2548
 1588 root     cron                               0      292      333     2344
 1589 avahi    avahi-daemon: chroot helpe         0      124      334     1632
 1523 root     /usr/sbin/irqbalance               0      316      343     2096
  585 root     upstart-socket-bridge --dae        0      328      351     1820
 3033 tecmint  /usr/bin/dbus-launch --exit        0      328      360     2160
 1346 root     upstart-file-bridge --daemo        0      348      371     1776
 2607 root     /usr/bin/xdm                       0      188      378     2368
 1635 kernoops /usr/sbin/kerneloops               0      352      386     2684
  344 root     upstart-udev-bridge --daemo        0      400      427     2132
 2960 tecmint  /usr/bin/ssh-agent /usr/bin        0      480      485      992
 3468 tecmint  /bin/dbus-daemon --config-f        0      344      515     3284
 1559 avahi    avahi-daemon: running [tecm        0      284      517     3108
 7289 postfix  pickup -l -t unix -u -c            0      288      534     2808
 2135 root     /usr/lib/postfix/master            0      352      576     2872
 2436 postfix  qmgr -l -t unix -u                 0      360      606     2884
 1521 root     /lib/systemd/systemd-logind        0      600      650     3276
 2222 nobody   /usr/sbin/dnsmasq --no-reso        0      604      669     3288
....

当普通用户运行 smem，将会显示由该用户启用的进程的占用情况，其中进程按照 PSS 的值升序排列。

下面的输出为用户 “aaronkilik” 启用的进程的使用情况：

$ smem

监视 Linux 系统中的内存使用情况

  PID User     Command                         Swap      USS      PSS      RSS
 6367 tecmint  cat                                0      100      145     1784
 6368 tecmint  cat                                0      100      147     1676
 2864 tecmint  /usr/bin/ck-launch-session         0      144      166     1780
 3544 tecmint  sh -c /usr/lib/linuxmint/mi        0      212      224     1540
 3311 tecmint  syndaemon -i 0.5 -K -R             0      252      292     2556
 3033 tecmint  /usr/bin/dbus-launch --exit        0      328      360     2160
 3468 tecmint  /bin/dbus-daemon --config-f        0      344      515     3284
 3122 tecmint  /usr/lib/gvfs/gvfsd                0      656      801     5552
 3471 tecmint  /usr/lib/at-spi2-core/at-sp        0      708      864     5992
 3396 tecmint  /usr/lib/gvfs/gvfs-mtp-volu        0      804      914     6204
 3208 tecmint  /usr/lib/x86_64-linux-gnu/i        0      892     1012     6188
 3380 tecmint  /usr/lib/gvfs/gvfs-afc-volu        0      820     1024     6396
 3034 tecmint  //bin/dbus-daemon --fork --        0      920     1081     3040
 3365 tecmint  /usr/lib/gvfs/gvfs-gphoto2-        0      972     1099     6052
 3228 tecmint  /usr/lib/gvfs/gvfsd-trash -        0      980     1153     6648
 3107 tecmint  /usr/lib/dconf/dconf-servic        0     1212     1283     5376
 6399 tecmint  /opt/google/chrome/chrome -        0      144     1409    10732
 3478 tecmint  /usr/lib/x86_64-linux-gnu/g        0     1724     1820     6320
 7365 tecmint  /usr/lib/gvfs/gvfsd-http --        0     1352     1884     8704
 6937 tecmint  /opt/libreoffice5.0/program        0     1140     2328     5040
 3194 tecmint  /usr/lib/x86_64-linux-gnu/p        0     1956     2405    14228
 6373 tecmint  /opt/google/chrome/nacl_hel        0     2324     2541     8908
 3313 tecmint  /usr/lib/gvfs/gvfs-udisks2-        0     2460     2754     8736
 3464 tecmint  /usr/lib/at-spi2-core/at-sp        0     2684     2823     7920
 5771 tecmint  ssh -p 4521 [email protected]        0     2544     2864     6540
 5759 tecmint  /bin/bash                          0     2416     2923     5640
 3541 tecmint  /usr/bin/python /usr/bin/mi        0     2584     3008     7248
 7657 tecmint  bash                               0     2516     3055     6028
 3127 tecmint  /usr/lib/gvfs/gvfsd-fuse /r        0     3024     3126     8032
 3205 tecmint  mate-screensaver                   0     2520     3331    18072
 3171 tecmint  /usr/lib/mate-panel/notific        0     2860     3495    17140
 3030 tecmint  x-session-manager                  0     4400     4879    17500
 3197 tecmint  mate-volume-control-applet         0     3860     5226    23736
...

使用 smem 时还有一些参数可以选用，例如当查看整个系统的内存占用情况，运行以下的命令：

$ sudo smem -w

监视 Linux 系统中的内存使用情况

Area                           Used      Cache   Noncache
firmware/hardware                 0          0          0
kernel image                      0          0          0
kernel dynamic memory       1425320    1291412     133908
userspace memory            2215368     451608    1763760
free memory                 4424936    4424936          0

如果想要查看每一个用户的内存使用情况，运行以下的命令：

$ sudo smem -u

Linux 下以用户为单位监控内存占用情况

User     Count     Swap      USS      PSS      RSS
rtkit        1        0      300      326     2548
kernoops     1        0      352      385     2684
avahi        2        0      408      851     4740
postfix      2        0      648     1140     5692
messagebus     1        0     1012     1173     3320
syslog       1        0     1396     1419     3232
www-data     2        0     5100     6572    13580
mpd          1        0     7416     8302    12896
nobody       2        0     4024    11305    24728
root        39        0   323876   353418   496520
tecmint     64        0  1652888  1815699  2763112

你也可以按照映射显示内存使用情况：

$ sudo smem -m

Linux 下以映射为单位监控内存占用情况

Map                                       PIDs   AVGPSS      PSS
/dev/fb0                                     1        0        0
/home/tecmint/.cache/fontconfig/7ef2298f    18        0        0
/home/tecmint/.cache/fontconfig/c57959a1    18        0        0
/home/tecmint/.local/share/mime/mime.cac    15        0        0
/opt/google/chrome/chrome_material_100_p     9        0        0
/opt/google/chrome/chrome_material_200_p     9        0        0
/usr/lib/x86_64-linux-gnu/gconv/gconv-mo    41        0        0
/usr/share/icons/Mint-X-Teal/icon-theme.    15        0        0
/var/cache/fontconfig/0c9eb80ebd1c36541e    20        0        0
/var/cache/fontconfig/0d8c3b2ac0904cb8a5    20        0        0
/var/cache/fontconfig/1ac9eb803944fde146    20        0        0
/var/cache/fontconfig/3830d5c3ddfd5cd38a    20        0        0
/var/cache/fontconfig/385c0604a188198f04    20        0        0
/var/cache/fontconfig/4794a0821666d79190    20        0        0
/var/cache/fontconfig/56cf4f4769d0f4abc8    20        0        0
/var/cache/fontconfig/767a8244fc0220cfb5    20        0        0
/var/cache/fontconfig/8801497958630a81b7    20        0        0
/var/cache/fontconfig/99e8ed0e538f840c56    20        0        0
/var/cache/fontconfig/b9d506c9ac06c20b43    20        0        0
/var/cache/fontconfig/c05880de57d1f5e948    20        0        0
/var/cache/fontconfig/dc05db6664285cc2f1    20        0        0
/var/cache/fontconfig/e13b20fdb08344e0e6    20        0        0
/var/cache/fontconfig/e7071f4a29fa870f43    20        0        0
....

还有其它的选项可以筛选 smem 的输出，下面将会举两个例子。

要按照用户名筛选输出的信息，使用 -u 或者是 --userfilter="regex" 选项，就像下面的命令这样：

$ sudo smem -u

按照用户报告内存使用情况

User     Count     Swap      USS      PSS      RSS
rtkit        1        0      300      326     2548
kernoops     1        0      352      385     2684
avahi        2        0      408      851     4740
postfix      2        0      648     1140     5692
messagebus   1        0     1012     1173     3320
syslog       1        0     1400     1423     3236
www-data     2        0     5100     6572    13580
mpd          1        0     7416     8302    12896
nobody       2        0     4024    11305    24728
root        39        0   323804   353374   496552
tecmint     64        0  1708900  1871766  2819212

要按照进程名称筛选输出信息，使用 -P 或者是 --processfilter="regex" 选项，就像下面的命令这样：

$ sudo smem --processfilter="firefox"

按照进程名称报告内存使用情况

PID  User     Command                         Swap      USS      PSS      RSS
9212 root     sudo smem --processfilter=f        0     1172     1434     4856
9213 root     /usr/bin/python /usr/bin/sm        0     7368     7793    11984
4424 tecmint  /usr/lib/firefox/firefox           0   931732   937590   961504

输出的格式有时候也很重要，smem 提供了一些帮助您格式化内存使用报告的参数，我们将举出几个例子。

设置哪些列在报告中，使用 -c 或者是 --columns 选项，就像下面的命令这样：

$ sudo smem -c "name user pss rss"

按列报告内存使用情况

Name                     User          PSS      RSS
cat                      tecmint       145     1784
cat                      tecmint       147     1676
ck-launch-sessi          tecmint       165     1780
gnome-pty-helpe          tecmint       178     1832
gnome-pty-helpe          tecmint       179     1916
getty                    root          184     2052
getty                    root          187     2060
getty                    root          187     2060
getty                    root          188     2124
getty                    root          196     2064
getty                    root          196     2136
sh                       tecmint       224     1540
acpid                    root          236     1604
syndaemon                tecmint       296     2560
rtkit-daemon             rtkit         326     2548
cron                     root          333     2344
avahi-daemon             avahi         334     1632
irqbalance               root          343     2096
upstart-socket-          root          351     1820
dbus-launch              tecmint       360     2160
upstart-file-br          root          371     1776
xdm                      root          378     2368
kerneloops               kernoops      386     2684
upstart-udev-br          root          427     2132
ssh-agent                tecmint       485      992
...

也可以调用 -p 选项以百分比的形式报告内存使用情况，就像下面的命令这样：

$ sudo smem -p

按百分比报告内存使用情况

  PID User     Command                         Swap      USS      PSS      RSS
 6367 tecmint  cat                            0.00%    0.00%    0.00%    0.02%
 6368 tecmint  cat                            0.00%    0.00%    0.00%    0.02%
 9307 tecmint  sh -c { sudo /usr/lib/linux    0.00%    0.00%    0.00%    0.02%
 2864 tecmint  /usr/bin/ck-launch-session     0.00%    0.00%    0.00%    0.02%
 3544 tecmint  sh -c /usr/lib/linuxmint/mi    0.00%    0.00%    0.00%    0.02%
 5758 tecmint  gnome-pty-helper               0.00%    0.00%    0.00%    0.02%
 7656 tecmint  gnome-pty-helper               0.00%    0.00%    0.00%    0.02%
 1441 root     /sbin/getty -8 38400 tty2      0.00%    0.00%    0.00%    0.03%
 1434 root     /sbin/getty -8 38400 tty5      0.00%    0.00%    0.00%    0.03%
 1444 root     /sbin/getty -8 38400 tty3      0.00%    0.00%    0.00%    0.03%
 1432 root     /sbin/getty -8 38400 tty4      0.00%    0.00%    0.00%    0.03%
 1452 root     /sbin/getty -8 38400 tty6      0.00%    0.00%    0.00%    0.03%
 2619 root     /sbin/getty -8 38400 tty1      0.00%    0.00%    0.00%    0.03%
 1504 root     acpid -c /etc/acpi/events -    0.00%    0.00%    0.00%    0.02%
 3311 tecmint  syndaemon -i 0.5 -K -R         0.00%    0.00%    0.00%    0.03%
 3143 rtkit    /usr/lib/rtkit/rtkit-daemon    0.00%    0.00%    0.00%    0.03%
 1588 root     cron                           0.00%    0.00%    0.00%    0.03%
 1589 avahi    avahi-daemon: chroot helpe     0.00%    0.00%    0.00%    0.02%
 1523 root     /usr/sbin/irqbalance           0.00%    0.00%    0.00%    0.03%
  585 root     upstart-socket-bridge --dae    0.00%    0.00%    0.00%    0.02%
 3033 tecmint  /usr/bin/dbus-launch --exit    0.00%    0.00%    0.00%    0.03%
....

下面的命令将会在输出的最后输出一行汇总信息：

$ sudo smem -t

报告内存占用合计

  PID User     Command                         Swap      USS      PSS      RSS
 6367 tecmint  cat                                0      100      139     1784
 6368 tecmint  cat                                0      100      141     1676
 9307 tecmint  sh -c { sudo /usr/lib/linux        0       96      158     1508
 2864 tecmint  /usr/bin/ck-launch-session         0      144      163     1780
 3544 tecmint  sh -c /usr/lib/linuxmint/mi        0      108      170     1540
 5758 tecmint  gnome-pty-helper                   0      156      176     1916
 7656 tecmint  gnome-pty-helper                   0      156      176     1832
 1441 root     /sbin/getty -8 38400 tty2          0      152      181     2052
 1434 root     /sbin/getty -8 38400 tty5          0      156      184     2060
 1444 root     /sbin/getty -8 38400 tty3          0      156      184     2060
 1432 root     /sbin/getty -8 38400 tty4          0      156      185     2124
 1452 root     /sbin/getty -8 38400 tty6          0      164      193     2064
 2619 root     /sbin/getty -8 38400 tty1          0      164      193     2136
 1504 root     acpid -c /etc/acpi/events -        0      220      232     1604
 3311 tecmint  syndaemon -i 0.5 -K -R             0      260      298     2564
 3143 rtkit    /usr/lib/rtkit/rtkit-daemon        0      300      324     2548
 1588 root     cron                               0      292      326     2344
 1589 avahi    avahi-daemon: chroot helpe         0      124      332     1632
 1523 root     /usr/sbin/irqbalance               0      316      340     2096
  585 root     upstart-socket-bridge --dae        0      328      349     1820
 3033 tecmint  /usr/bin/dbus-launch --exit        0      328      359     2160
 1346 root     upstart-file-bridge --daemo        0      348      370     1776
 2607 root     /usr/bin/xdm                       0      188      375     2368
 1635 kernoops /usr/sbin/kerneloops               0      352      384     2684
  344 root     upstart-udev-bridge --daemo        0      400      426     2132
.....
-------------------------------------------------------------------------------
  134 11                                          0  2171428  2376266  3587972

另外，smem 也提供了选项以图形的形式报告内存的使用情况，我们将会在下一小节深入介绍。

比如，你可以生成一张进程的 PSS 和 RSS 值的条状图。在下面的例子中，我们会生成属于 root 用户的进程的内存占用图。

纵坐标为每一个进程的 PSS 和 RSS 值，横坐标为 root 用户的所有进程（的 ID）：

$ sudo smem --userfilter="root" --bar pid -c"pss rss"

Linux Memory Usage in PSS and RSS Values

也可以生成进程及其 PSS 和 RSS 占用量的饼状图。以下的命令将会输出一张 root 用户的所有进程的饼状图。

--pie name 意思为以各个进程名字为标签，-s 选项用来以 PSS 的值排序。

$ sudo smem --userfilter="root" --pie name -s pss

Linux Memory Consumption by Processes

除了 PSS 和 RSS ，其它的字段也可以用于图表的标签：

假如需要获得帮助，非常简单，仅需要输入 smem -h 或者是浏览帮助页面。

关于 smem 的介绍到此为止，不过想要更好的了解它，可以通过 man 手册获得更多的选项，然后一一实践。有什么想法或者疑惑，都可以跟帖评价。

参考链接: https://www.selenic.com/smem/

via: http://www.tecmint.com/smem-linux-memory-usage-per-process-per-user/

作者：Aaron Kili 译者：dongfengweixiao 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

作为一个 Ubuntu 16.04 LTS 的初学者。如何在 Ubuntu 14.04 和 16.04 的主机上搭建网桥呢？

顾名思义，网桥的作用是通过物理接口连接内部和外部网络。对于虚拟端口或者 LXC/KVM/Xen/容器来说，这非常有用。网桥虚拟端口看起来是网络上的一个常规设备。在这个教程中，我将会介绍如何在 Ubuntu 服务器上通过 bridge-utils (brctl) 命令行来配置 Linux 网桥。

网桥化的网络示例

图 01: Kvm/Xen/LXC 容器网桥示例 (br0)

在这个例子中，eth0 和 eth1 是物理网络接口。eth0 连接着局域网，eth1 连接着上游路由器和互联网。

安装 bridge-utils

使用 apt-get 命令 安装 bridge-utils：

$ sudo apt-get install bridge-utils

或者

$ sudo apt install bridge-utils

样例输出:

图 02: Ubuntu 安装 bridge-utils 包

在 Ubuntu 服务器上创建网桥

使用你熟悉的文本编辑器修改 /etc/network/interfaces ，例如 vi 或者 nano ：

$ sudo cp /etc/network/interfaces /etc/network/interfaces.bakup-1-july-2016
$ sudo vi /etc/network/interfaces

接下来设置 eth1 并且将它映射到 br1 ，输入如下（删除或者注释所有 eth1 相关配置）：

### br1 使用静态公网 IP 地址，并以 ISP 的路由器作为网关
auto br1
iface br1 inet static
        address 208.43.222.51
        network 255.255.255.248
        netmask 255.255.255.0
        broadcast 208.43.222.55
        gateway 208.43.222.49
        bridge_ports eth1
        bridge_stp off
        bridge_fd 0
        bridge_maxwait 0

接下来设置 eth0 并将它映射到 br0，输入如下（删除或者注释所有 eth0 相关配置）：

auto br0
iface br0 inet static
        address 10.18.44.26
        netmask 255.255.255.192
        broadcast 10.18.44.63
        dns-nameservers 10.0.80.11 10.0.80.12
        # set static route for LAN
        post-up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.18.44.1
        post-up route add -net 161.26.0.0 netmask 255.255.0.0 gw 10.18.44.1
        bridge_ports eth0
        bridge_stp off
        bridge_fd 0
        bridge_maxwait 0

关于 br0 和 DHCP 的一点说明

如果使用 DHCP ，配置选项是这样的：

auto br0
iface br0 inet dhcp
        bridge_ports eth0
        bridge_stp off
        bridge_fd 0
        bridge_maxwait 0

保存并且关闭文件。

重启服务器或者网络服务

你需要重启服务器或者输入下列命令来重启网络服务（在 SSH 登录的会话中这可能不管用）：

$ sudo systemctl restart networking

如果你证使用 Ubuntu 14.04 LTS 或者更老的没有 systemd 的系统，输入：

$ sudo /etc/init.d/restart networking

验证网络配置成功

使用 ping/ip 命令来验证 LAN 和 WAN 网络接口运行正常：

### 查看 br0 和 br1
ip a show
### 查看路由信息
ip r
### ping 外部站点
ping -c 2 cyberciti.biz
### ping 局域网服务器
ping -c 2 10.0.80.12

样例输出：

图 03: 验证网桥的以太网连接

现在，你就可以配置 br0 和 br1 来让 XEN/KVM/LXC 容器访问因特网或者私有局域网了。再也没有必要去设置特定路由或者 iptables 的 SNAT 规则了。

via: http://www.cyberciti.biz/faq/how-to-create-bridge-interface-ubuntu-linux/

作者：VIVEK GITE 译者：MikeCoder 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出