欢迎阅读我们关于SQLite 的文章，SQLite 是当今世界上使用最广泛的 SQL 数据库引擎，它基本不需要配置，不需要设置或管理就可以运行。SQLite 是一个是 公开领域 （ public-domain ） 的软件，是一个关系型数据库管理系统（RDBMS），用来在一个大数据表中存储用户定义的记录。对于数据存储和管理来说，数据库引擎要处理复杂的查询命令，这些命令可能会从多个表获取数据然后生成报告和数据总结。

SQLite 是一个非常小、轻量级，不需要独立的服务进程或系统。它可以运行在 UNIX，Linux，Mac OS-X，Android，iOS 和 Windows 上，已经被大量的软件程序使用，如 Opera, Ruby On Rails, Adobe System, Mozilla Firefox, Google Chrome 和 Skype。

1) 基本需求:

在绝大部分支持 SQLite 的平台上安装 SQLite 基本上并没有复杂的要求。

让我们在 CLI 或者 Secure Shell 上使用 sudo 或者 root 权限登录 Ubuntu 服务器。然后更新系统，这样子就可以让操作系统的软件更新到新版本。

在 Ubuntu 上，使用如下的命令来更新系统的软件源。

# apt-get update

如果你要在新安装的 Ubuntu 上部署 SQLite，那么你需要安装一些基础的系统管理工具，如 wget, make, unzip, gcc。

要安装 wget，可以使用下面的命令，如果系统提示的话，输入 Y ：

# apt-get install wget make gcc

2) 下载 SQLite

要下载 SQLite ，最好是在 SQLite 官网下载，如下所示

你也可以直接复制资源的连接然后在命令行使用 wget 下载，如下所示：

# wget https://www.sqlite.org/2015/sqlite-autoconf-3090100.tar.gz

下载完成之后，解压缩安装包，切换工作目录到解压缩后的 SQLite 目录，使用下面的命令。

# tar -zxvf sqlite-autoconf-3090100.tar.gz

3) 安装 SQLite

现在我们要开始安装、配置刚才下载的 SQLite。在 Ubuntu 上编译、安装 SQLite，运行配置脚本：

root@ubuntu-15:~/sqlite-autoconf-3090100# ./configure –prefix=/usr/local

配置要上面的安装位置前缀（prefix）之后，运行下面的命令编译安装包。

root@ubuntu-15:~/sqlite-autoconf-3090100# make
source='sqlite3.c' object='sqlite3.lo' libtool=yes \
DEPDIR=.deps depmode=none /bin/bash ./depcomp \
/bin/bash ./libtool --tag=CC --mode=compile gcc -DPACKAGE_NAME=\"sqlite\" -DPACKAGE_TARNAME=\"sqlite\" -DPACKAGE_VERSION=\"3.9.1\" -DPACKAGE_STRING=\"sqlite\ 3.9.1\" -DPACKAGE_BUGREPORT=\"http://www.sqlite.org\" -DPACKAGE_URL=\"\" -DPACKAGE=\"sqlite\" -DVERSION=\"3.9.1\" -DSTDC_HEADERS=1 -DHAVE_SYS_TYPES_H=1 -DHAVE_SYS_STAT_H=1 -DHAVE_STDLIB_H=1 -DHAVE_STRING_H=1 -DHAVE_MEMORY_H=1 -DHAVE_STRINGS_H=1 -DHAVE_INTTYPES_H=1 -DHAVE_STDINT_H=1 -DHAVE_UNISTD_H=1 -DHAVE_DLFCN_H=1 -DLT_OBJDIR=\".libs/\" -DHAVE_FDATASYNC=1 -DHAVE_USLEEP=1 -DHAVE_LOCALTIME_R=1 -DHAVE_GMTIME_R=1 -DHAVE_DECL_STRERROR_R=1 -DHAVE_STRERROR_R=1 -DHAVE_POSIX_FALLOCATE=1 -I. -D_REENTRANT=1 -DSQLITE_THREADSAFE=1 -DSQLITE_ENABLE_FTS3 -DSQLITE_ENABLE_RTREE -g -O2 -c -o sqlite3.lo sqlite3.c

运行完上面的命令之后，要在 Ubuntu 上完成 SQLite 的安装得运行下面的命令。

# make install

4) 测试 SQLite 安装

要保证 SQLite 3.9 安装成功了，运行下面的命令。

# sqlite3

SQLite 的版本会显示在命令行。

5) 使用 SQLite

SQLite 很容易上手。要获得详细的使用方法，在SQLite 控制台里输入下面的命令。

sqlite> .help

这里会显示全部可用的命令和详细说明。

现在开始最后一部分，使用一点 SQLite 命令创建数据库。

要创建一个新的数据库需要运行下面的命令。

# sqlite3 test.db

然后创建一张新表。

sqlite> create table memos(text, priority INTEGER);

接着使用下面的命令插入数据。

sqlite> insert into memos values('deliver project description', 15);
sqlite> insert into memos values('writing new artilces', 100);

要查看插入的数据可以运行下面的命令。

sqlite> select * from memos;
deliver project description|15
writing new artilces|100

或者使用下面的命令离开。

sqlite> .exit

结论

通过本文你可以了解如果安装支持 JSON1 的最新版的 SQLite，SQLite 从 3.9.0 开始支持 JSON1。这是一个非常棒的库，可以内嵌到应用程序，利用它可以很有效而轻量的管理资源。我们希望你能觉得本文有所帮助，请随意地向我们反馈你遇到的问题和困难。

via: http://linoxide.com/ubuntu-how-to/install-sqlite-json-ubuntu-15-04/

作者：Kashif Siddique 译者：oska874 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

随着互联网行业的不断发展，各种监控工具多得不可胜数。这里列出网上最全的监控工具。让你可以拥有超过80种方式来管理你的机器。在本文中，我们主要包括以下方面：

• 命令行工具
• 网络相关内容
• 系统相关的监控工具
• 日志监控工具
• 基础设施监控工具

监控和调试性能问题是一个艰巨的任务，但用对了正确的工具有时也是很容易的。下面是一些你可能听说过的工具，也有可能没有听说过——何不赶快开始试试？

八大系统监控工具

1. top

这是一个被预装在许多 UNIX 系统中的小工具。当你想要查看在系统中运行的进程或线程时：top 是一个很好的工具。你可以对这些进程以不同的方式进行排序，默认是以 CPU 进行排序的。

2. htop

htop 实质上是 top 的一个增强版本。它更容易对进程排序。它看起来上更容易理解，并且已经内建了许多通用操作。它也是完全交互式的。

3. atop

atop 和 top，htop 非常相似，它也能监控所有进程，但不同于 top 和 htop 的是，它可以按日记录进程的日志供以后分析。它也能显示所有进程的资源消耗。它还会高亮显示已经达到临界负载的资源。

4. apachetop

apachetop 会监控 apache 网络服务器的整体性能。它主要是基于 mytop。它会显示当前的读取进程、写入进程的数量以及请求进程的总数。

5. ftptop

ftptop 给你提供了当前所有连接到 ftp 服务器的基本信息，如会话总数，正在上传和下载的客户端数量以及客户端是谁。

6. mytop

mytop 是一个很简洁的工具，用于监控 mysql 的线程和性能。它能让你实时查看数据库以及正在处理哪些查询。

7. powertop

powertop 可以帮助你诊断与电量消耗和电源管理相关的问题。它也可以帮你进行电源管理设置，以实现对你服务器最有效的配置。你可以使用 tab 键切换选项卡。

8. iotop

iotop 用于检查 I/O 的使用情况，并为你提供了一个类似 top 的界面来显示。它按列显示读和写的速率，每行代表一个进程。当发生交换或 I/O 等待时，它会显示进程消耗时间的百分比。

与网络相关的监控

9. ntopng

ntopng 是 ntop 的升级版，它提供了一个能通过浏览器进行网络监控的图形用户界面。它还有其他用途，如：地理定位主机，显示网络流量和 ip 流量分布并能进行分析。

10. iftop

iftop 类似于 top，但它主要不是检查 cpu 的使用率而是监听所选择网络接口的流量，并以表格的形式显示当前的使用量。像“为什么我的网速这么慢呢？！”这样的问题它可以直接回答。

11. jnettop

jnettop 以相同的方式来监测网络流量但比 iftop 更形象。它还支持自定义的文本输出，并能以友好的交互方式来深度分析日志。

12. bandwidthd

BandwidthD 可以跟踪 TCP/IP 网络子网的使用情况，并能在浏览器中通过 png 图片形象化地构建一个 HTML 页面。它有一个数据库系统，支持搜索、过滤，多传感器和自定义报表。

13. EtherApe

EtherApe 以图形化显示网络流量，可以支持更多的节点。它可以捕获实时流量信息，也可以从 tcpdump 进行读取。也可以使用 pcap 格式的网络过滤器来显示特定信息。

14. ethtool

ethtool 用于显示和修改网络接口控制器的一些参数。它也可以用来诊断以太网设备，并获得更多的统计数据。

15. NetHogs

NetHogs 打破了网络流量按协议或子网进行统计的惯例，它以进程来分组。所以，当网络流量猛增时，你可以使用 NetHogs 查看是由哪个进程造成的。

16. iptraf

iptraf 收集的各种指标，如 TCP 连接数据包和字节数，端口统计和活动指标，TCP/UDP 通信故障，站内数据包和字节数。

17. ngrep

ngrep 就是网络层的 grep。它使用 pcap ，允许通过指定扩展正则表达式或十六进制表达式来匹配数据包。

18. MRTG

MRTG 最初被开发来监控路由器的流量，但现在它也能够监控网络相关的东西。它每五分钟收集一次，然后产生一个 HTML 页面。它还具有发送邮件报警的能力。

19. bmon

bmon 能监控并帮助你调试网络。它能捕获网络相关的统计数据，并以友好的方式进行展示。你还可以与 bmon 通过脚本进行交互。

20. traceroute

traceroute 是一个内置工具，能显示路由和测量数据包在网络中的延迟。

21. IPTState

IPTState 可以让你观察流量是如何通过 iptables，并通过你指定的条件来进行排序。该工具还允许你从 iptables 的表中删除状态信息。

22. darkstat

darkstat 能捕获网络流量并计算使用情况的统计数据。该报告保存在一个简单的 HTTP 服务器中，它为你提供了一个非常棒的图形用户界面。

23. vnStat

vnStat 是一个网络流量监控工具，它的数据统计是由内核进行提供的，其消耗的系统资源非常少。系统重新启动后，它收集的数据仍然存在。有艺术感的系统管理员可以使用它的颜色选项。

24. netstat

netstat 是一个内置的工具，它能显示 TCP 网络连接，路由表和网络接口数量，被用来在网络中查找问题。

25. ss

比起 netstat，使用 ss 更好。ss 命令能够显示的信息比 netstat 更多，也更快。如果你想查看统计结果的总信息，你可以使用命令 ss -s。

26. nmap

Nmap 可以扫描你服务器开放的端口并且可以检测正在使用哪个操作系统。但你也可以将其用于 SQL 注入漏洞、网络发现和渗透测试相关的其他用途。

27. MTR

MTR 将 traceroute 和 ping 的功能结合到了一个网络诊断工具上。当使用该工具时，它会限制单个数据包的跳数，然后监视它们的到期时到达的位置。然后每秒进行重复。

28. Tcpdump

Tcpdump 将按照你在命令行中指定的表达式输出匹配捕获到的数据包的信息。你还可以将此数据保存并进一步分析。

29. Justniffer

Justniffer 是 tcp 数据包嗅探器。使用此嗅探器你可以选择收集低级别的数据还是高级别的数据。它也可以让你以自定义方式生成日志。比如模仿 Apache 的访问日志。

与系统有关的监控

30. nmon

nmon 将数据输出到屏幕上的，或将其保存在一个以逗号分隔的文件中。你可以查看 CPU，内存，网络，文件系统，前列 进程。数据也可以被添加到 RRD 数据库中用于进一步分析。

31. conky

Conky 能监视很多的操作系统数据。它支持 IMAP 和 POP3， 甚至许多流行的音乐播放器！出于方便不同的人，你可以使用自己的 Lua 脚本或程序来进行扩展。

32. Glances

使用 Glances 监控你的系统，其旨在使用最小的空间为你呈现最多的信息。它可以在客户端/服务器端模式下运行，也有远程监控的能力。它也有一个 Web 界面。

33. saidar

Saidar 是一个非常小的工具，为你提供有关系统资源的基础信息。它将系统资源在全屏进行显示。重点是 saidar 会尽可能的简化。

34. RRDtool

RRDtool 是用来处理 RRD 数据库的工具。RRDtool 旨在处理时间序列数据，如 CPU 负载，温度等。该工具提供了一种方法来提取 RRD 数据并以图形界面显示。

35. monit

如果出现故障时，monit 有发送警报以及重新启动服务的功能。它可以对各种数据进行检查，你可以为 monit 写一个脚本，它有一个 Web 用户界面来分担你眼睛的压力。

36. Linux process explorer

Linux process explorer 是类似 OSX 或 Windows 的活动监视器。它比 top 或 ps 的使用范围更广。你可以查看每个进程的内存消耗以及 CPU 的使用情况。

37. df

df 是 disk free 的缩写，它是所有 UNIX 系统预装的程序，用来显示用户有访问权限的文件系统的可用磁盘空间。

38. discus

discus 类似于 df，它的目的是通过使用更吸引人的特性，如颜色，图形和数字来对 df 进行改进。

39. xosview

xosview 是一款经典的系统监控工具，它给你提供包括 IRQ 在内的各个不同部分的简单总览。

40. Dstat

dstat 旨在替代 vmstat，iostat，netstat 和 ifstat。它可以让你查实时查看所有的系统资源。这些数据可以导出为 CSV。最重要的是 dstat 允许使用插件，因此其可以扩展到更多领域。

41. Net-SNMP

SNMP 即“简单网络管理协议”，Net-SNMP 工具套件使用该协议可帮助你收集服务器的准确信息。

42. incron

incron 允许你监控一个目录树，然后对这些变化采取措施。如果你想在目录‘a’中出现新文件时，将其复制到目录‘b’，这正是 incron 能做的。

43. monitorix

Monitorix 是轻量级的系统监控工具。它可以帮助你监控单独一台机器，并为你提供丰富的指标。它也有一个内置的 HTTP 服务器，来查看图表和所有指标的报告。

44. vmstat

vmstat（virtual memory statistics）是一个小型内置工具，能监控和显示机器的内存。

45. uptime

这个小程序能快速显示你机器运行了多久，目前有多少用户登录和系统过去1分钟，5分钟和15分钟的平均负载。

46. mpstat

mpstat 是一个内置的工具，能监视 cpu 的使用情况。最常见的使用方法是 mpstat -P ALL，它给你提供 cpu 的使用情况。你也可以间歇性地更新 cpu 的使用情况。

47. pmap

pmap 是一个内置的工具，报告一个进程的内存映射。你可以使用这个命令来找出导致内存瓶颈的原因。

48. ps

该命令将给你当前所有进程的概述。你可以使用 ps -A 命令查看所有进程。

49. sar

sar 是 sysstat 包的一部分，可以帮助你收集、报告和保存不同系统的指标。使用不同的参数，它会给你提供 CPU、 内存和 I/O 使用情况及其他东西。

50. collectl

类似于 sar，collectl 收集你机器的性能指标。默认情况下，显示 cpu、网络和磁盘统计数据，但它实际收集了很多信息。与 sar 不同的是，collectl 能够处理比秒更小的单位，它可以被直接送入绘图工具并且 collectl 的监控过程更广泛。

51. iostat

iostat 也是 sysstat 包的一部分。此命令用于监控系统的输入/输出。其报告可以用来进行系统调优，以更好地调节你机器上硬盘的输入/输出负载。

52. free

这是一个内置的命令，用于显示你机器上可用的内存大小以及已使用的内存大小。它还可以显示某时刻内核所使用的缓冲区大小。

53. /proc 文件系统

proc 文件系统可以让你查看内核的统计信息。从这些统计数据可以得到你机器上不同硬件设备的详细信息。看看这个 proc 文件统计的完整列表。

54. GKrellM

GKrellm 是一个图形应用程序，用来监控你硬件的状态信息，像CPU，内存，硬盘，网络接口以及其他的。它也可以监视并启动你所选择的邮件阅读器。

55. Gnome 系统监控器

Gnome 系统监控器是一个基本的系统监控工具，其能通过一个树状结构来查看进程的依赖关系，能杀死进程及调整进程优先级，还能以图表形式显示所有服务器的指标。

日志监控工具

56. GoAccess

GoAccess 是一个实时的网络日志分析器，它能分析 apache, nginx 和 amazon cloudfront 的访问日志。它也可以将数据输出成 HTML，JSON 或 CSV 格式。它会给你一个基本的统计信息、访问量、404 页面，访客位置和其他东西。

57. Logwatch

Logwatch 是一个日志分析系统。它通过分析系统的日志，并为你所指定的部分创建一个分析报告。它每天给你一个报告，以便让你花费更少的时间来分析日志。

58. Swatch

像 Logwatch 一样，Swatch 也监控你的日志，但不是给你一个报告，它会匹配你定义的正则表达式，当匹配到后会通过邮件或控制台通知你。它可用于检测入侵者。

59. MultiTail

MultiTail 可帮助你在多个窗口之下监控日志文件。你可以将这些日志文件合并到一个窗口。它可以通过正则表达式的帮助，使用不同的颜色来显示日志文件以方便你阅读。

系统工具

60. acct or psacct

acct 也称 psacct（取决于如果你使用 apt-get 还是 yum）可以监控所有用户执行的命令，包括 CPU 时间和内存占用。一旦安装完成后你可以使用命令 sa 来查看统计。

61. whowatch

类似 acct，这个工具监控系统上所有的用户，并允许你实时查看他们正在执行的命令及运行的进程。它将所有进程以树状结构输出，这样你就可以清楚地看到到底发生了什么。

62. strace

strace 被用于诊断、调试和监控程序之间的相互调用过程。最常见的做法是用 strace 打印系统调用的程序列表，其可以看出程序是否像预期那样被执行了。

63. DTrace

DTrace 可以说是 strace 的大哥。它动态地跟踪与检测代码实时运行的指令。它允许你深入分析其性能和诊断故障。但是，它并不简单，关于这个话题有1200本书之多。

64. webmin

Webmin 是一个基于 Web 的系统管理工具。它不需要手动编辑 UNIX 配置文件，可以让你远程管理系统。它有一对监控模块用于连接它。

65. stat

Stat 是一个内置的工具，用于显示文件和文件系统的状态信息。它会显示文件何时被修改、访问或更改。

66. ifconfig

ifconfig 是一个内置的工具，用于配置网络接口。大多数网络监控工具背后都使用 ifconfig 将网卡设置成混乱模式来捕获所有的数据包。你可以手动执行 ifconfig eth0 promisc 进入混乱模式，使用 ifconfig eth0 -promisc 返回正常模式。

67. ulimit

ulimit 是一个内置的工具，可监控系统资源，并可以限制任何监控资源不得超标。比如做一个 fork 炸弹，如果使用 ulimit 正确配置了将完全不受影响。

68. cpulimit

CPULimit 是一个小工具，用于监控并限制进程对 CPU 的使用率。其特别可以用于将批处理作业对 CPU 的使用率保持在一定范围。

69. lshw

lshw 是一个小的内置工具，能提取关于本机硬件配置的详细信息。它可以输出 CPU 版本和主板配置。

70. w

w 是一个内置命令，用于显示当前登录用户的信息及他们所运行的进程。

71. lsof

lsof 是一个内置的工具，可让你列出所有打开的文件和网络连接。从那里你可以看到文件是由哪个进程打开的，基于进程名可找到其特定的用户，或杀死属于某个用户的所有进程。

基础架构监控工具

72. Server Density

我们的 服务器监控工具 它有一个 web 界面，使你可以进行报警设置并可以通过图表来查看所有系统的网络指标。你还可以设置监控的网站，无论是否在线。Server Density 允许你设置用户的权限，你可以根据我们的插件或 api 来扩展你的监控。该服务已经支持 Nagios 的插件了。

73. OpenNMS

OpenNMS 主要有四个功能区：事件管理和通知；发现和配置；服务监控和数据收集。其设计为可被在多种网络环境中定制。

74. SysUsage

SysUsage 通过 Sar 和其他系统命令持续监控你的系统。一旦达到阈值它也可以进行报警通知。SysUsage 本身也可以收集所有的统计信息并存储在一个地方。它有一个 Web 界面可以让你查看所有的统计数据。

75. brainypdm

brainypdm 是一个数据管理和监控工具，它能收集来自 nagios 或其它常规来源的数据并以图表显示。它是跨平台的，其基于 Web 并可自定义图形。

76. PCP

PCP 可以收集来自多个主机的指标，并且效率很高。它也有一个插件框架，所以你可以让它收集对你很重要的指标。你可以通过任何一个 Web 界面或 GUI 访问图形数据。它比较适合大型监控系统。

77. KDE 系统守护

这个工具既是一个系统监控器也是一个任务管理器。你可以通过工作表来查看多台机器的服务指标，如果需要杀死一个进程或者你需要启动一个进程，它可以在 KDE 系统守护中来完成。

78. Munin

Munin 既是一个网络也是系统监控工具，当一个指标超出给定的阈值时它会提供报警机制。它运用 RRDtool 创建图表，并且它也有 Web 界面来显示这些图表。它更强调的是即插即用的功能并且有许多可用的插件。

79. Nagios

Nagios 是系统和网络监控工具，可帮助你监控多台服务器。当发生错误时它也有报警功能。它的平台也有很多的插件。

80. Zenoss

Zenoss 提供了一个 Web 界面，使你可以监控所有的系统及网络指标。此外，它能自动发现网络资源和修改网络配置。并且会提醒你采取行动，它也支持 Nagios 的插件。

81. Cacti

(和上一个一样!) Cacti 是一个网络图形解决方案，其使用 RRDtool 进行数据存储。它允许用户在预定的时间间隔进行投票服务并将结果以图形显示。Cacti 可以通过 shell 脚本扩展来监控你所选择的来源。

82. Zabbix

Zabbix 是一个开源的基础设施监控解决方案。它使用了许多数据库来存放监控统计信息。其核心是用 C 语言编写，并在前端中使用 PHP。如果你不喜欢安装代理端，Zabbix 可能是一个最好选择。

附加部分

感谢您的建议。这是我们的一个附加部分，由于我们需要重新编排所有的标题，鉴于此，这是在最后的一个简短部分，根据您的建议添加的一些 Linux 监控工具：

83. collectd

Collectd 是一个 Unix 守护进程，用来收集所有的监控数据。它采用了模块化设计并使用插件来填补一些缺陷。这样能使 collectd 保持轻量级并可进行定制。

84. Observium

Observium 是一个自动发现网络的监控平台，支持大量硬件平台和操作系统。Observium 专注于提供一个优美、功能强大、简单直观的界面来显示网络的健康和状态。

85. Nload

这是一个命令行工具来监控网络的吞吐量。它很整洁，因为它使用两个图表和其他一些类似传输的数据总量这样的有用数据来对进出站流量进行可视化。你可以使用如下方法安装它：

yum install nload

或者

sudo apt-get install nload

86. SmokePing

SmokePing 可以跟踪你网络延迟，并对他们进行可视化。有各种为 SmokePing 开发的延迟测量插件。如果图形用户界面对你来说非常重要，现在有一个正在开发中的插件来实现此功能。

87. MobaXterm

如果你整天在 windows 环境下工作。你可能会觉得 Windows 下终端窗口的限制。MobaXterm 正是由此而来的，它允许你使用多个通常出现在 Linux 中的命令。这将会极大地帮助你在监控方面的需求！

88. Shinken monitoring

Shinken 是一个监控框架，其是采用 python 对 Nagios 进行了完全重写。它的目的是增强灵活性和管理更大环境。但仍保持所有的 nagios 配置和插件。

via: https://blog.serverdensity.com/80-linux-monitoring-tools-know/

作者：Jonathan Sundqvist 译者：strugglingyouth 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

随着安全威胁的不断发生，入侵检测系统（IDS）在如今的数据中心环境中显得尤为必要。然而，随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网，对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系统性能的途径是多线程入侵检测系统，它将 CPU 密集型的深度包检测工作并行的分配给多个并发任务来完成。这样的并行检测可以充分利用多核硬件的优势来轻松提升入侵检测系统的吞吐量。在这方面有两个知名的开源项目，分别是 Suricata 和 Bro。

这个教程里，我会向大家演示如何在 Linux 服务器上安装和配置 Suricata 入侵检测系统。

在 Linux 上安装 Suricata IDS

让我们从源文件来构建 Suricata，但在此之前，需要按如下所示先安装几个依赖包。

在 Debian, Ubuntu 或者 Linux Mint 操作系统上安装依赖包

$ sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libjansson-dev

在 CentOS, Fedora 或者 RHEL 操作系统上安装依赖包

$ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel

一旦将所有依赖包安装完毕，我们就可以继续安装 Suricata 了。

首先从 http://suricata-ids.org/download/ 下载 Suricata 源代码，然后构建它。撰写这篇文章的时候，其最新版本号为 2.0.8 。

$ wget http://www.openinfosecfoundation.org/download/suricata-2.0.8.tar.gz
$ tar -xvf suricata-2.0.8.tar.gz
$ cd suricata-2.0.8
$ ./configure --sysconfdir=/etc --localstatedir=/var

以下是配置信息的样例。

Suricata Configuration:
  AF_PACKET support:                       yes
  PF_RING support:                         no
  NFQueue support:                         no
  NFLOG support:                           no
  IPFW support:                            no
  DAG enabled:                             no
  Napatech enabled:                        no
  Unix socket enabled:                     yes
  Detection enabled:                       yes

  libnss support:                          yes
  libnspr support:                         yes
  libjansson support:                      yes
  Prelude support:                         no
  PCRE jit:                                yes
  LUA support:                             no
  libluajit:                               no
  libgeoip:                                no
  Non-bundled htp:                         no
  Old barnyard2 support:                   no
  CUDA enabled:                            no

现在可以编译、安装了。

$ make
$ sudo make install

Suricata 源代码带有默认的配置文件。按照如下方法安装这些默认配置文件即可。

$ sudo make install-conf

正如你所料，如果没有IDS规则集的话，Suricata 什么用也没有。幸好 Makefile 为我们提供了 IDS 规则集的安装选项。安装方法如下。

$ sudo make install-rules

以上的规则安装命令会从 EmergingThreats.net 上下载可用的社区规则集快照，并且将其存储在 /etc/suricata/rules 目录下。

首次配置 Suricata IDS

现在到了配置 Suricata 的时候了。配置文件的位置是 /etc/suricata/suricata.yaml。参照以下命令，用文本编辑器打开这个文件。

$ sudo vi /etc/suricata/suricata.yaml

文件中有一些运行所需的基本配置。

为default-log-dir关键字指定 Suricata 日志文件所在的位置。

default-log-dir: /var/log/suricata/

在vars部分下方，你会发现几项对 Suricata 来说很重要变量。HOME_NET变量需要指定 Suricata 检查的网络。被分配给 EXTERNAL_NET 变量的 !$HOME_NET 代表除本地网络之外的其他网络。XXX_PORTS变量用来辨别不同服务所用到的端口号。需要注意的是无论使用什么端口，Suricata 都可以自动检测 HTTP 流量。所以是不是正确指定端口就显得没那么重要了。

vars:
    HOME_NET: "[192.168.122.0/24]"
    EXTERNAL_NET: "!$HOME_NET"
    HTTP_PORTS: "80"
    SHELLCODE_PORTS: "!80"
    SSH_PORTS: 22

host-os-policy 部分用于防御利用操作系统网络栈的自身行为来逃避检测的一些知名攻击手段（例如：TCP reassembly）。作为对策，通过针对目标操作系统而对检测引擎算法进行微调，现代 IDC 提供了“基于目标”的检测手段。因此，如果你知道某台主机运行了什么操作系统的话，将这个信息提供给 Suricata 就可以大幅提高检测的成功率。这就是 host-os-policy 存在的意义。本例中，默认的 IDC 策略是 Linux 系统。如果针对某个 IP 地址没有指定操作系统信息，Suricata 会默认应用基于 Linux 系统的检测策略。如下，当捕获到对 192.168.122.0/28 和 192.168.122.155通讯时，Suricata 就会应用基于 Windows 系统的检测策略。

host-os-policy:
  # These are Windows machines.
  windows: [192.168.122.0/28, 192.168.122.155]
  bsd: []
  bsd-right: []
  old-linux: []
  # Make the default policy Linux.
  linux: [0.0.0.0/0]
  old-solaris: []
  solaris: ["::1"]
  hpux10: []
  hpux11: []
  irix: []
  macos: []
  vista: []
  windows2k3: []

在 threading 部分下，你可以为不同的 Suricata 线程指定 CPU 关联。默认状态下，CPU 关联 是被禁止使用的 (set-cpu-affinity: no)，这意味着 Suricata 会分配其线程到所有可用的 CPU 核心上。Suricata 会默认为每一个 CPU 核心创建一个检测线程。你可以通过指定 detect-thread-ratio: N 来调整此行为。此处会创建 N*M 个检测线程，M 代表 CPU 核心总数。

threading:
  set-cpu-affinity: no
  detect-thread-ratio: 1.5

通过以上对线程的设置，Suricata 会创建 1.5*M 个检测线程，M 是系统的 CPU 核心总数。

如果你想对 Suricata 配置有更多的了解，可以去翻阅默认配置文件。里边配有有大量的注释以供你清晰理解。

使用 Suricata 进行入侵监控

现在是时候让 Suricata 跑起来了，但在这之前还有一个步骤需要去完成。

当你使用 pcap 捕获模式的时候，强烈建议关闭 Suricata 监听网卡上的任何的包卸载（例如 LRO/GRO）功能。这些功能会干扰包的实时捕获行为。

按照以下方法关闭 eth0 接口的 LRO/GRO 功能。

$ sudo ethtool -K eth0 gro off lro off

这里要注意，在使用某些网卡的情况下，你会看到如下警告信息。忽略它们就行了，这些信息只不过告诉你你的网卡不支持 LRO 功能而已。

Cannot change large-receive-offload

Suricata 支持许多运行模式。运行模式决定着 IDC 会使用何种线程。以下命令可以查看所有 可用的运行模式。

$ sudo /usr/local/bin/suricata --list-runmodes

Suricata 使用的默认运行模式是 autofp（ auto flow pinned load balancing （ 自动流绑定负载均衡 ） 的缩写）。这个模式下，来自某一个流的包会被分配到一个单独的检测线程中。这些流会根据未被处理的包的最低数量来分配相应的线程。

最后，让我们将 Suricata 运行起来，看看它表现如何。

$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth0 --init-errors-fatal

本例中，我们在一个8核心系统中监控 eth0 网络接口。如上所示，Suricata 创建了13个包处理线程和3个管理线程。包处理线程中包括一个 PCAP 包捕获线程，12个检测线程(由8*1.5得出)。这表示 IDS 内的1个包捕获线程均衡负载到12个检测线程中。管理线程包括1个流管理和2个计数/统计相关线程。

以下是一个关于Suricata处理的线程截图(由 htop 绘制)。

Suricata 检测日志存储在 /var/log/suricata 目录下。

$ tail -f /var/log/suricata/fast.log

04/01/2015-15:47:12.559075  [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46997
04/01/2015-15:49:06.565901  [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46317
04/01/2015-15:49:06.566759  [**] [1:2200074:1] SURICATA TCPv4 invalid checksum [**] [Classification: (null)] [Priority: 3] {TCP} 172.16.253.158:22 -> 172.16.253.1:46317

日志也可以提供 Json 格式以便导入：

$ tail -f /var/log/suricata/eve.json

{"timestamp":"2015-04-01T15:49:06.565901","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"TCP","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"SURICATA TCPv4 invalid checksum","category":"","severity":3}}
{"timestamp":"2015-04-01T15:49:06.566759","event_type":"alert","src_ip":"172.16.253.158","src_port":22,"dest_ip":"172.16.253.1","dest_port":46317,"proto":"TCP","alert":{"action":"allowed","gid":1,"signature_id":2200074,"rev":1,"signature":"SURICATA TCPv4 invalid checksum","category":"","severity":3}}

总结

这篇教程中，我为大家演示了如何在一台多核 Linux 服务器上安装 Suricata 入侵检测系统。不同于单线程的 Snort IDS ，Suricata 可以很容易的从多核硬件的多进程特性所带来的好处中获益。定制 Suricata 来最大化其效能和检测范围是一个很好的主意。Suricata 的粉丝们维护着一个 在线 Wiki，如果你打算将 Suricata 部署到你的环境中，我强烈建议你去那儿取取经。

如果你现在已经开始使用 Suricata 了的话，把你的经验也分享出来吧。

via: http://xmodulo.com/install-suricata-intrusion-detection-system-linux.html

作者：Dan Nanni 译者：mr-ping 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Munin 是一款类似 RRD tool 的非常棒的系统监控工具，它能提供给你多方面的系统性能信息，例如 磁盘、网络、进程、系统和用户。这些是 Munin 默认监控的内容。

Munin 如何工作？

Munin 以客户端-服务器模式运行。主服务器上运行的 Munin 服务器进程会从本地运行的客户端守护进程（Munin 可以监控它自己的资源）或者远程客户端（Munin 可以监控上百台机器）收集数据，然后在它的 web 界面上以图形的方式显示出来。

在服务器中配置 Munin

要配置服务器端和客户端，我们需要完成以下两步。

1. 安装 Munin 服务器软件包并配置，使得它能从客户端收集数据。
2. 安装 Munin 客户端，使得服务器能连接到客户端守护进程进行数据收集。

在 Linux 上安装 munin 服务器端

在基于 Ubuntu/Debian 的机器上安装 Munin 服务器：

apt-get install munin apache2

在基于 Redhat/CentOS 的机器上安装 Munin 服务器：

在基于 Redhat 的机器上安装 Munin 之前，你需要确保 启用 EPEL 软件仓库，因为基于 Redhat 的机器的软件仓库默认没有 Munin。

yum install munin httpd

在 Linux 上配置 Munin 服务器端

下面是我们要在服务器上启动 Munini 所进行的步骤：

1. 在 /etc/munin/munin.conf 中添加需要监控的主机详情。
2. 配置 apache web 服务器使其包括 munin 配置。
3. 为 web 界面创建用户名和密码
4. 重启 apache 服务器

步骤 1

在 /etc/munin/munin.conf 文件中添加主机条目。调到文件末尾添加要监控的客户端。在这个例子中，我添加了要监控的数据库服务器和它的 IP 地址。

示例：

[db.linuxnix.com]
 address 192.168.1.25
 use_node_name yes

保存文件并退出。

步骤 2

在 /etc/apache2/conf.d 目录中编辑或创建文件 munin.conf 用于包括 Munin 和 Apache 相关的配置。另外注意一点，默认其它和 web 相关的 Munin 配置保存在 /var/www/munin 目录。

vi /etc/apache2/conf.d/munin.conf

内容：

Alias /munin /var/www/munin
<Directory /var/www/munin>
 Order allow,deny
 Allow from localhost 127.0.0.0/8 ::1
 AllowOverride None
 Options ExecCGI FollowSymlinks
 AddHandler cgi-script .cgi
 DirectoryIndex index.cgi
 AuthUserFile /etc/munin/munin.passwd
 AuthType basic
 AuthName "Munin stats"
 require valid-user
 <IfModule mod_expires.c>
 ExpiresActive On
 ExpiresDefault M310
 </IfModule>
</Directory>

保存文件并退出。

步骤 3

现在为查看 munin 的图示而创建用户名和密码：

htpasswd -c /etc/munin/munin-htpasswd munin

注意：对于 Redhat/Centos 机器，要访问你的配置文件，需要在每个路径中用 “httpd” 替换 “apache2”。

步骤 4

重启 Apache 服务器，使得 Munin 配置生效。

基于 Ubuntu/Debian ：

service apache2 restart

基于 Centos/Redhat ：

service httpd restart

在 Linux 上安装和配置 Munin 客户端

步骤 1

在 Linux 上安装 Munin 客户端

apt-get install munin-node

注意：如果你想监控你的 Munin 服务器端，你也需要在服务器端安装 munin-node。

步骤 2

编辑 munin-node.conf 文件配置客户端。

vi /etc/munin/munin-node.conf

示例：

allow ^127\.0\.0\.1$
allow ^10\.10\.20\.20$

# 监听到哪个地址上
host *

# 以及哪个端口
port 4949

注意： 10.10.20.20 是我的 Munin 服务器，它连接到客户端的 4949 端口获取数据。

步骤 3

在客户端机器中重启 munin-node：

service munin-node restart

测试连接

检查你是否能从服务器的连接到客户端的 4949 端口，如果不行，你需要在客户端机器中的防火墙打开该端口。

telnet db.linuxnix.com 4949

访问 Munin web 页面

http://munin.linuxnix.com/munin/index.html

希望这些能对你配置基本的 Munin 服务器有所帮助。

via: http://www.linuxnix.com/install-and-configure-munin-monitoring-server-in-linux/

作者：Surendra Anne 译者：ictlyh 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Git 问世之前，分布式版本控制从来都不是一件简单的事。Git 是一个自由开源的软件，旨在轻松且快速地对从小规模到非常巨大的项目进行管理。Git 最开始由 Linus Torvalds 开发，他同时也是著名的 Linux 内核的创建者。在 git 和分布式版本控制系统领域中，GitLab 是一个极棒的新产品。它是一个基于 web 的 Git 仓库管理应用，包含代码审查、wiki、问题跟踪等诸多功能。使用 GitLab 可以很方便、快速地创建、审查、部署及托管代码。尽管它在其官方的服务器提供了与 Github 类似的免费托管的代码仓库，但它也可以运行在我们自己的服务器上。GitLab 有两个不同的版本： 社区版 （ Community Edition ） 和 企业版 （ Enterprise Edition ） 。社区版本完全免费且开源，遵循 MIT 协议；而企业版则遵循一个专有的协议，包含一些社区版中没有的功能。下面介绍的是有关如何在我们自己的运行着 Ubuntu、Fedora 或 Debian 操作系统的机器上安装 GitLab 社区版的简单步骤。

1. 安装先决条件

首先，我们需要安装 GitLab 所依赖的软件包。我们将安装 curl，用以下载我们所需的文件；安装openssh-server ，以此来通过 ssh 协议登录到我们的机器上；安装ca-certificates，用它来添加 CA 认证；以及 postfix，把它作为一个 MTA(Mail Transfer Agent，邮件传输代理)。

注： 若要安装 GitLab 社区版，我们需要一个至少包含 2 GB 内存和 2 核 CPU 的 linux 机器。

在 Ubuntu 14 .04/Debian 8.x 中

鉴于这些依赖包都可以在 Ubuntu 14.04 和 Debian 8.x 的官方软件仓库中获取到，我们只需通过使用 apt-get 包管理器来安装它们。为此，我们需要在一个终端或控制台中执行下面的命令：

# apt-get install curl openssh-server ca-certificates postfix

在 Fedora 22 中

在 Fedora 22 中，由于 yum 已经被弃用了，默认的包管理器是 dnf。为了安装上面那些需要的软件包，我们只需运行下面的 dnf 命令：

# dnf install curl openssh-server postfix

2. 打开并开启服务

现在，我们将使用我们默认的初始化系统来打开 sshd 和 postfix 服务。并且我们将使得它们在每次系统启动时被自动开启。

在 Ubuntu 14.04 中

由于在 Ubuntu 14.04 中安装的是 SysVinit 初始化系统，我们将使用 service 命令来开启 sshd 和 postfix 守护进程：

# service sshd start
# service postfix start

现在，为了使得它们在每次开机启动时被自动开启，我们需要运行下面的 update-rc.d 命令：

# update-rc.d sshd enable
# update-rc.d postfix enable

在 Fedora 22/Debian 8.x 中

鉴于 Fedora 22 和 Debian 8.x 已经用 Systemd 代替了 SysVinit 来作为默认的初始化系统，我们只需运行下面的命令来开启 sshd 和 postfix 服务：

# systemctl start sshd postfix

现在，为了使得它们在每次开机启动时可以自动运行，我们需要运行下面的 systemctl 命令：

# systemctl enable sshd postfix

Created symlink from /etc/systemd/system/multi-user.target.wants/sshd.service to /usr/lib/systemd/system/sshd.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/postfix.service to /usr/lib/systemd/system/postfix.service.

3. 下载 GitLab

现在，我们将使用 curl 从官方的 GitLab 社区版仓库下载二进制安装文件。首先，为了得到所需文件的下载链接，我们需要浏览到该软件仓库的页面。为此，我们需要在运行着相应操作系统的 linux 机器上运行下面的命令。

在 Ubuntu 14.04 中

由于 Ubuntu 和 Debian 使用相同的 debian 格式的安装包，我们需要在 https://packages.gitlab.com/gitlab/gitlab-ce?filter=debs 下搜索所需版本的 GitLab，然后点击有着 ubuntu/trusty 标签的链接，即我们运行着的 Ubuntu 14.04。接着一个新的页面将会出现，我们将看到一个下载按钮，然后我们在它的上面右击，得到文件的链接，然后像下面这样使用 curl 来下载它。

# curl https://packages.gitlab.com/gitlab/gitlab-ce/packages/ubuntu/trusty/gitlab-ce_8.1.2-ce.0_amd64.deb

在 Debian 8.x 中

与 Ubuntu 类似，我们需要在 https://packages.gitlab.com/gitlab/gitlab-ce?filter=debs 页面中搜索所需版本的 GitLab，然后点击带有 debian/jessie 标签的链接，即我们运行着的 Debian 8.x。接着，一个新的页面将会出现，然后我们在下载按钮上右击，得到文件的下载链接。最后我们像下面这样使用 curl 来下载该文件。

# curl https://packages.gitlab.com/gitlab/gitlab-ce/packages/debian/jessie/gitlab-ce_8.1.2-ce.0_amd64.deb/download

在 Fedora 22 中

由于 Fedora 使用 rpm 文件来作为软件包，我们将在 https://packages.gitlab.com/gitlab/gitlab-ce?filter=rpms 页面下搜索所需版本的 GitLab，然后点击所需发行包的链接，这里由于我们运行的是 Fedora 22，所以我们将选择带有 el/7 标签的发行包。一个新的页面将会出现，在其中我们可以看到一个下载按钮，我们将右击它，得到所需文件的链接，然后像下面这样使用 curl 来下载它。

# curl https://packages.gitlab.com/gitlab/gitlab-ce/packages/el/7/gitlab-ce-8.1.2-ce.0.el7.x86_64.rpm/download

4. 安装 GitLab

在相应的软件源被添加到我们的 linux 机器上之后，现在我们将使用相应 linux 发行版本中的默认包管理器来安装 GitLab 社区版。

在 Ubuntu 14.04/Debian 8.x 中

要在运行着 Ubuntu 14.04 或 Debian 8.x linux 发行版本的机器上安装 GitLab 社区版，我们只需运行如下的命令：

# dpkg -i gitlab-ce_8.1.2-ce.0_amd64.deb

在 Fedora 22 中

我们只需执行下面的 dnf 命令来在我们的 Fedora 22 机器上安装 GitLab。

# dnf install gitlab-ce-8.1.2-ce.0.el7.x86_64.rpm

5. 配置和开启 GitLab

GitLab 社区版已经成功地安装在我们的 linux 系统中了，接下来我们将要配置和开启它了。为此，我们需要运行下面的命令，这在 Ubuntu、Debian 和 Fedora 发行版本上都一样：

# gitlab-ctl reconfigure

6. 允许通过防火墙

假如在我们的 linux 机器中已经启用了防火墙程序，为了使得 GitLab 社区版的 web 界面可以通过网络进行访问，我们需要允许 80 端口通过防火墙，这个端口是 GitLab 社区版的默认端口。为此，我们需要运行下面的命令。

在 iptables 中

Ubuntu 14.04 默认安装和使用的是 iptables。所以，我们将运行下面的 iptables 命令来打开 80 端口：

# iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

# /etc/init.d/iptables save

在 firewalld 中

由于 Fedora 22 和 Debian 8.x 默认安装了 systemd，它包含了作为防火墙程序的 firewalld。为了使得 80 端口（http 服务） 能够通过 firewalld，我们需要执行下面的命令。

# firewall-cmd --permanent --add-service=http
success
# firewall-cmd --reload
success

7. 访问 GitLab Web 界面

最后，我们将访问 GitLab 社区版的 web 界面。为此，我们需要将我们的 web 浏览器指向 GitLab 服务器的网址，根据我们的配置，可能是 http://ip-address/ 或 http://domain.com/ 的格式。在我们成功指向该网址后，我们将会看到下面的页面。

现在，为了登录进面板，我们需要点击登录按钮，它将询问我们的用户名和密码。然后我们将输入默认的用户名和密码，即 root 和 5iveL!fe 。在登录进控制面板后，我们将被强制要求为我们的 GitLab root 用户输入新的密码。

8. 创建仓库

在我们成功地更改密码并登录到我们的控制面板之后，现在，我们将为我们的新项目创建一个新的仓库。为此，我们需要来到项目栏，然后点击 新项目 绿色按钮。

接着，我们将被询问给我们的项目输入所需的信息和设定，正如下面展示的那样。我们甚至可以从其他的 git 仓库提供商和仓库中导入我们的项目。

做完这些后，我们将能够使用任何包含基本 git 命令行的 Git 客户端来访问我们的 Git 仓库。我们可以看到在仓库中进行的任何活动，例如创建一个里程碑，管理问题，合并请求，管理成员，便签，Wiki 等。

总结

GitLab 是一个用来管理 git 仓库的很棒的开源 web 应用。它有着漂亮的带有诸多酷炫功能的响应式界面。它还打包有许多酷炫功能，例如管理群组，分发密钥，持续集成，查看日志，广播消息，钩子，系统 OAuth 应用，模板等。（注：OAuth 是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。--- 摘取自 维基百科上的 OAuth 词条） 它还可以和大量的工具进行交互如 Slack，Hipchat，LDAP，JIRA，Jenkins，有很多类型的钩子和完整的 API。它至少需要 2 GB 的内存和 2 核 CPU 来流畅运行，支持多达 500 个用户，但它也可以被扩展到多个工作服务器上。

假如你有任何的问题，建议，回馈，请将它们写在下面的评论框中，以便我们可以提升或更新我们的内容。谢谢！

via: http://linoxide.com/linux-how-to/install-gitlab-on-ubuntu-fedora-debian/

作者：Arun Pyasi 译者：FSSlc 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

作为系统管理员，你计划在 Linux 上使用 OpenSSH，完成日常工作的自动化，比如文件传输、备份数据库转储文件到另一台服务器等。为实现该目标，你需要从主机 A 能自动登录到主机 B。自动登录也就是说，要在 shell 脚本中使用ssh，而无需要输入任何密码。

本文会告诉你怎样在 CentOS/RHEL 上设置 SSH 免密码登录。自动登录配置好以后，你可以通过它使用 SSH （Secure Shell）和安全复制 （SCP）来移动文件。

SSH 是开源的，是用于远程登录的最为可靠的网络协议。系统管理员用它来执行命令，以及通过 SCP 协议在网络上向另一台电脑传输文件。

通过配置 SSH 免密码登录，你可以享受到如下的便利：

• 用脚本实现日常工作的自动化。
• 增强 Linux 服务器的安全性。这是防范虚拟专用服务器（VPS）遭受暴力破解攻击的一个推荐的方法，SSH 密钥单凭暴力破解是几乎不可攻破的。

什么是 ssh-keygen

ssh-keygen 是一个用来生成、创建和管理 SSH 认证用的公私钥的工具。通过 ssh-keygen 命令，用户可以创建支持SSH1 和 SSH2 两个协议的密钥。ssh-keygen 为 SSH1 协议创建 RSA 密钥，SSH2 则可以是 RSA 或 DSA。

什么是 ssh-copy-id

ssh-copy-id 是用来将本地公钥拷贝到远程的 authorized\_keys 文件的脚本命令，它还会将身份标识文件追加到远程机器的 ~/.ssh/authorized\_keys 文件中，并给远程主机的用户主目录适当的的权限。

SSH 密钥

SSH 密钥为登录 Linux 服务器提供了更好且安全的机制。运行 ssh-keygen 后，将会生成公私密钥对。你可以将公钥放置到任意服务器，从持有私钥的客户端连接到服务器的时，会用它来解锁。两者匹配时，系统无需密码就能解除锁定。

在 CentOS 和 RHEL 上设置免密码登录 SSH

以下步骤在 CentOS 5/6/7、RHEL 5/6/7 和 Oracle Linux 6/7 上测试通过。

节点1 : 192.168.0.9 节点2 : 192.168.l.10

步骤1 :

测试节点1到节点2的连接和访问：

[root@node1 ~]# ssh [email protected]
The authenticity of host '192.168.0.10 (192.168.0.10)' can't be established.
RSA key fingerprint is 6d:8f:63:9b:3b:63:e1:72:b3:06:a4:e4:f4:37:21:42.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.0.10' (RSA) to the list of known hosts.
[email protected]'s password:
Last login: Thu Dec 10 22:04:55 2015 from 192.168.0.1
[root@node2 ~]#

步骤二：

使用 ssh-key-gen 命令生成公钥和私钥，这里要注意的是可以对私钥进行加密保护以增强安全性。

[root@node1 ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
b4:51:7e:1e:52:61:cd:fb:b2:98:4b:ad:a1:8b:31:6d [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
|          . ++   |
|         o o  o  |
|        o o o  . |
|       . o + ..  |
|        S   .  . |
|         .   .. .|
|        o E oo.o |
|         = ooo.  |
|        . o.o.   |
+-----------------+

步骤三：

用 ssh-copy-id 命令将公钥复制或上传到远程主机，并将身份标识文件追加到节点2的 ~/.ssh/authorized\_keys 中：

[root@node1 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub 192.168.0.10
[email protected]'s password:
Now try logging into the machine, with "ssh '192.168.0.10'", and check in:

.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

步骤四：

验证免密码 SSH 登录节点2：

[root@node1 ~]# ssh [email protected]
Last login: Sun Dec 13 14:03:20 2015 from www.ehowstuff.local

我希望这篇文章能帮助到你，为你提供 SSH 免密码登录 CentOS / RHEL 的基本认知和快速指南。

原载: http://www.ehowstuff.com/ssh-login-without-password-centos/

作者：skytech 译者：fw8899 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出