对任何规模的业务来说，网络监控工具都是一个重要的功能。网络监控的目标可能千差万别。比如，监控活动的目标可以是保证长期的网络服务、安全保护、对性能进行排查、网络使用统计等。由于它的目标不同，网络监控器使用很多不同的方式来完成任务。比如对包层面的嗅探，对数据流层面的统计数据，向网络中注入探测的流量，分析服务器日志等。

尽管有许多专用的网络监控系统可以365天24小时监控，但您依旧可以在特定的情况下使用命令行式的网络监控器，某些命令行式的网络监控器在某方面很有用。如果您是系统管理员，那您就应该有亲身使用一些知名的命令行式网络监控器的经历。这里有一份Linux上流行且实用的网络监控器列表。

包层面的嗅探器

在这个类别下，监控工具在链路上捕捉独立的包，分析它们的内容，展示解码后的内容或者包层面的统计数据。这些工具在最底层对网络进行监控、管理，同样的也能进行最细粒度的监控，其代价是影响网络I/O和分析的过程。

1. dhcpdump：一个命令行式的DHCP流量嗅探工具，捕捉DHCP的请求/回复流量，并以用户友好的方式显示解码的DHCP协议消息。这是一款排查DHCP相关故障的实用工具。
2. dsniff：一个基于命令行的嗅探、伪造和劫持的工具合集，被设计用于网络审查和渗透测试。它可以嗅探多种信息，比如密码、NSF流量（LCTT 译注：此处疑为 NFS 流量）、email消息、网络地址等。
3. httpry：一个HTTP报文嗅探器，用于捕获、解码HTTP请求和回复报文，并以用户友好的方式显示这些信息。（LCTT 译注：延伸阅读。 ）
4. IPTraf：基于命令行的网络统计数据查看器。它实时显示包层面、连接层面、接口层面、协议层面的报文/字节数。抓包过程由协议过滤器控制，且操作过程全部是菜单驱动的。（LCTT 译注：延伸阅读。）

5. mysql-sniffer：一个用于抓取、解码MySQL请求相关的数据包的工具。它以可读的方式显示最频繁或全部的请求。
6. ngrep：在网络报文中执行grep。它能实时抓取报文，并用正则表达式或十六进制表达式的方式匹配（过滤）报文。它是一个可以对异常流量进行检测、存储或者对实时流中特定模式报文进行抓取的实用工具。
7. p0f：一个被动的基于包嗅探的指纹采集工具，可以可靠地识别操作系统、NAT或者代理设置、网络链路类型以及许多其它与活动的TCP连接相关的属性。
8. pktstat：一个命令行式的工具，通过实时分析报文，显示连接带宽使用情况以及相关的协议（例如，HTTP GET/POST、FTP、X11）等描述信息。

9. Snort：一个入侵检测和预防工具，通过规则驱动的协议分析和内容匹配，来检测/预防活跃流量中各种各样的后门、僵尸网络、网络钓鱼、间谍软件攻击。
10. tcpdump：一个命令行的嗅探工具，可以基于过滤表达式抓取网络中的报文，分析报文，并且在包层面输出报文内容以便于包层面的分析。他在许多网络相关的错误排查、网络程序debug、或安全监测方面应用广泛。
11. tshark：一个与Wireshark窗口程序一起使用的命令行式的嗅探工具。它能捕捉、解码网络上的实时报文，并能以用户友好的方式显示其内容。

流/进程/接口层面的监控

在这个分类中，网络监控器通过把流量按照流、相关进程或接口分类，收集每个流、每个进程、每个接口的统计数据。其信息的来源可以是libpcap抓包库或者sysfs内核虚拟文件系统。这些工具的监控成本很低，但是缺乏包层面的检视能力。

1. bmon：一个基于命令行的带宽监测工具，可以显示各种接口相关的信息，不但包括接收/发送的总量/平均值统计数据，而且拥有历史带宽使用视图。

2. iftop：一个带宽使用监测工具，可以实时显示某个网络连接的带宽使用情况。它对所有带宽使用情况排序并通过ncurses的接口来进行可视化。他可以方便的监控哪个连接消耗了最多的带宽。（LCTT 译注：延伸阅读。）
3. nethogs：一个基于ncurses显示的进程监控工具，提供进程相关的实时的上行/下行带宽使用信息。它对检测占用大量带宽的进程很有用。（LCTT 译注：延伸阅读。）
4. netstat：一个显示许多TCP/UDP的网络堆栈的统计信息的工具。诸如打开的TCP/UDP连接书、网络接口发送/接收、路由表、协议/套接字的统计信息和属性。当您诊断与网络堆栈相关的性能、资源使用时它很有用。
5. speedometer：一个可视化某个接口发送/接收的带宽使用的历史趋势，并且基于ncurses的条状图进行显示的终端工具。

6. sysdig：一个可以通过统一的界面对各个Linux子系统进行系统级综合性调试的工具。它的网络监控模块可以监控在线或离线、许多进程/主机相关的网络统计数据，例如带宽、连接/请求数等。（LCTT 译注：延伸阅读。）
7. tcptrack：一个TCP连接监控工具，可以显示活动的TCP连接，包括源/目的IP地址/端口、TCP状态、带宽使用等。

8. vnStat：一个存储并显示每个接口的历史接收/发送带宽视图（例如，当前、每日、每月）的流量监控器。作为一个后台守护进程，它收集并存储统计数据，包括接口带宽使用率和传输字节总数。（LCTT 译注：延伸阅读。）

主动网络监控器

不同于前面提到的被动的监听工具，这个类别的工具们在监听时会主动的“注入”探测内容到网络中，并且会收集相应的反应。监听目标包括路由路径、可供使用的带宽、丢包率、延时、抖动（jitter）、系统设置或者缺陷等。

1. dnsyo：一个DNS检测工具，能够管理跨越多达1500个不同网络的开放解析器的DNS查询。它在您检查DNS传播或排查DNS设置的时候很有用。
2. iperf：一个TCP/UDP带宽测量工具，能够测量两个端点间最大可用带宽。它通过在两个主机间单向或双向的输出TCP/UDP探测流量来测量可用的带宽。它在监测网络容量、调谐网络协议栈参数时很有用。一个叫做netperf的变种拥有更多的功能及更好的统计数据。
3. netcat/socat：通用的网络调试工具，可以对TCP/UDP套接字进行读、写或监听。它通常和其他的程序或脚本结合起来在后端对网络传输或端口进行监听。（LCTT 译注：延伸阅读。）
4. nmap：一个命令行的端口扫描和网络发现工具。它依赖于若干基于TCP/UDP的扫描技术来查找开放的端口、活动的主机或者在本地网络存在的操作系统。它在你审查本地主机漏洞或者建立维护所用的主机映射时很有用。zmap是一个类似的替代品，是一个用于互联网范围的扫描工具。（LCTT 译注：延伸阅读。）
5. ping：一个常用的网络测试工具。通过交换ICMP的echo和reply报文来实现其功能。它在测量路由的RTT、丢包率以及检测远端系统防火墙规则时很有用。ping的变种有更漂亮的界面（例如，noping）、多协议支持（例如，hping）或者并行探测能力（例如，fping）。（LCTT 译注：延伸阅读。）

6. sprobe：一个启发式推断本地主机和任意远端IP地址之间的网络带宽瓶颈的命令行工具。它使用TCP三次握手机制来评估带宽的瓶颈。它在检测大范围网络性能和路由相关的问题时很有用。
7. traceroute：一个能发现从本地到远端主机的第三层路由/转发路径的网络发现工具。它发送限制了TTL的探测报文，收集中间路由的ICMP反馈信息。它在排查低速网络连接或者路由相关的问题时很有用。traceroute的变种有更好的RTT统计功能（例如，mtr）。

应用日志解析器

在这个类别下的网络监测器把特定的服务器应用程序作为目标（例如，web服务器或者数据库服务器）。由服务器程序产生或消耗的网络流量通过它的日志被分析和监测。不像前面提到的网络层的监控器，这个类别的工具能够在应用层面分析和监控网络流量。

1. GoAccess：一个针对Apache和Nginx服务器流量的交互式查看器。基于对获取到的日志的分析，它能展示包括日访问量、最多请求、客户端操作系统、客户端位置、客户端浏览器等在内的多个实时的统计信息，并以滚动方式显示。

2. mtop：一个面向MySQL/MariaDB服务器的命令行监控器，它可以将成本最大的查询和当前数据库服务器负载以可视化的方式显示出来。它在您优化MySQL服务器性能、调谐服务器参数时很有用。

3. ngxtop：一个面向Nginx和Apache服务器的流量监测工具，能够以类似top指令的方式可视化的显示Web服务器的流量。它解析web服务器的查询日志文件并收集某个目的地或请求的流量统计信息。

总结

在这篇文章中，我展示了许多命令行式监测工具，从最底层的包层面的监控器到最高层应用程序层面的网络监控器。了解那个工具的作用是一回事，选择哪个工具使用又是另外一回事。单一的一个工具不能作为您每天使用的通用的解决方案。一个好的系统管理员应该能决定哪个工具更适合当前的环境。希望这个列表对此有所帮助。

欢迎您通过回复来改进这个列表的内容！

via: http://xmodulo.com/useful-command-line-network-monitors-linux.html

作者：Dan Nanni 译者：wwy-hust 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Linux-Dash是一个用于GNU/Linux机器的，低开销的监控仪表盘。您可以安装试试！Linux Dash的界面提供了您的服务器的所有关键信息的详细视图，可监测的信息包括RAM、磁盘使用率、网络、安装的软件、用户、运行的进程等。所有的信息都被分成几类，您可以通过主页工具栏中的按钮跳到任何一类中。Linux Dash并不是最先进的监测工具，但它十分适合寻找灵活、轻量级、容易部署的应用的用户。

Linux-Dash的功能

• 使用一个基于Web的漂亮的仪表盘界面来监控服务器信息
• 实时的按照你的要求监控RAM、负载、运行时间、磁盘配置、用户和许多其他系统状态
• 支持基于Apache2/niginx + PHP的服务器
• 通过点击和拖动来重排列控件
• 支持多种类型的linux服务器

当前控件列表

• 通用信息
• 平均负载
• RAM
• 磁盘使用量
• 用户
• 软件
• IP
• 网络速率
• 在线状态
• 处理器
• 日志

在Ubuntu server 14.10上安装Linux-Dash

首先您需要确认您安装了Ubuntu LAMP server 14.10，接下来您需要安装下面的包：

sudo apt-get install php5-json unzip

安装这个模块后，需要在apache2中启用该模块，所以您需要使用下面的命令重启apache2服务器：

sudo service apache2 restart

现在您需要下载linux-dash的安装包并安装它：

wget https://github.com/afaqurk/linux-dash/archive/master.zip

unzip master.zip

sudo mv linux-dash-master/ /var/www/html/

接下来您需要使用下面的命令来改变权限：

sudo chmod 755 /var/www/html/linux-dash-master/

现在您便可以访问http://serverip/linux-dash-master/了。您应该会看到类似下面的输出：

via: http://www.ubuntugeek.com/install-linux-dash-web-based-monitoring-tool-on-ubntu-14-10.html

作者：ruchi 译者：wwy-hust 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

提问: 我想在VPS中安装CentOS桌面，并可以直接从我家远程访问GUI桌面。在VPS上设置和访问CentOS远程桌面有什么建议吗？

如何远程办公或者远程弹性化工作制在技术领域正变得越来越流行。这个趋势背后的一个技术就是远程桌面。你的桌面环境在云中，你可以在任何你去的地方，或者在家或者工作场所访问你的远程桌面。

这个教程介绍如何VPS中设置基于CentOS的远程桌面。现在，我们会先展示CentOS的基础环境。

我们假设你已经创建了CentOS 7的VPS实例（比如，使用DigitalOcean 或者 Amazon EC2）。请确保你的VPS实例有至少1GB的内存。不然，CentOS将会在你访问远程桌面的时候会崩溃。

第一步： 安装CentOS桌面

如果你现在安装的CentOS版本是没有桌面的最小版本，你需要先在VPS上安装桌面（比如GNOME）。比如，DigitalOcean的镜像就是最小版本，它需要如下安装桌面GUI

# yum groupinstall "GNOME Desktop" 

在安装完成之后重启VPS。

第二步：安装和配置VNC服务器

接下来就是安装和配置VNC服务器。我们使用的是TigerVNC,一个开源的VNC服务实现。

# yum install tigervnc-server 

现在创建一个用户账户（比如：xmodulo）用来访问远程桌面。

# useradd xmodulo
# passwd xmodulo 

当一个用户尝试使用VNC访问远程桌面时，VNC守护进程就会启动来处理这个请求。这意味着你需要为每个用户创建一个独立的VNC配置文件。

CentOS依靠systemd来管理和配置系统服务。所以我们将使用systemd来为用户xmodulo配置VNC服务器。

首先让我们使用下面任意一条命令来检查VNC服务器的状态。

# systemctl status vncserver@:.service
# systemctl is-enabled [email protected] 

默认的，刚安装的VNC服务并没有激活(禁用)。

现在复制一份通用的VNC服务文件来为用户xmodulo创建一个VNC服务配置。

# cp /lib/systemd/system/[email protected] /etc/systemd/system/vncserver@:1.service 

用本文编辑器来打开配置文件，用实际的用户名（比如：xmodulo）来替换[Service]下面的。同样。在ExecStart后面追加 "-geometry " 参数。最后，要修改下面“ExecStart”和“PIDFile”两行。

# vi /etc/systemd/system/vncserver@:1.service 

[Service]
Type=forking
# Clean any existing files in /tmp/.X11-unix environment
ExecStartPre=/bin/sh -c '/usr/bin/vncserver -kill %i > /dev/null 2>&1 || :'
ExecStart=/sbin/runuser -l xmodulo -c "/usr/bin/vncserver %i -geometry 1024x768"
PIDFile=/home/xmodulo/.vnc/%H%i.pid
ExecStop=/bin/sh -c '/usr/bin/vncserver -kill %i > /dev/null 2>&1 || :'

现在为用户xmodulo设置密码（可选）。首先切换到该用户，并运行vncserver命令。

# su - xmodulo
# vncserver

你会被提示输入用户的VNC密码。密码设置完成后，你下次需要用这个密码来访问你的远程桌面。

最后，重新加载服务来使新的VNC配置生效：

# systemctl daemon-reload

在启动时自动启动VNC服务：

# systemctl enable vncserver@:1.service

检查vnc服务正在监听的端口：

# netstat -tulpn | grep vnc 

端口5901是VNC默认的客户端连接到VNC服务器使用的端口。

第三步：通过SSH连接到远程桌面

从设计上说，VNC使用的远程帧缓存（RFB）并不是一种安全的协议，那么在VNC客户端上直接连接到VNC服务器上并不是一个好主意。任何敏感信息比如密码都可以在VNC流量中被轻易地泄露。因此，我强烈建议使用SSH隧道来加密你的VNC流量。

在你要运行VNC客户端的本机上，使用下面的命令来创建一个连接到远程VPS的SSH通道。当被要输入SSH密码时，输入用户的密码。

$ ssh xmodulo@<VPS-IP-address> -L 5901:127.0.0.1:5901 

用你自己的VNC用户名来替换“xmodulo”，并填上你自己的VPS IP地址。

一旦SSH通道建立之后，远程VNC流量就会通过ssh通道路由并发送到127.0.0.1:5901。

现在启动你最爱的VNC客户端（比如：vinagre），来连接到127.0.0.1:5901。

你将被要求输入VNC密码。当你输入VNC密码时，你就可以安全地连接到CentOS的远程桌面了。

然后就会看到如题图的显示。

via: http://ask.xmodulo.com/centos-remote-desktop-vps.html

作者：Dan Nanni 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

大家好，今天我们来学习一些在你使用 Docker 之前需要了解的重要的 Docker 命令。Docker 是一个开源项目，提供了一个可以打包、装载和运行任何应用的轻量级容器的开放平台。它没有语言支持、框架和打包系统的限制，从小型的家用电脑到高端服务器，在何时何地都可以运行。这使它们可以不依赖于特定软件栈和供应商，像一块块积木一样部署和扩展网络应用、数据库和后端服务。

Docker 命令简单易学，也很容易实现或实践。这是一些你运行 Docker 并充分利用它需要知道的简单 Docker 命令。

1. 拉取 Docker 镜像

由于容器是由 Docker 镜像构建的，首先我们需要拉取一个 docker 镜像来开始。我们可以从 Docker Registry Hub 获取所需的 docker 镜像。在我们使用 pull 命令拉取任何镜像之前，为了避免 pull 命令的一些恶意风险，我们需要保护我们的系统。为了保护我们的系统不受这个风险影响，我们需要添加 127.0.0.1 index.docker.io 到 /etc/hosts 条目。我们可以通过使用喜欢的文本编辑器完成。

# nano /etc/hosts

现在，增加下面的一行到文件并保存退出。

127.0.0.1 index.docker.io

要拉取一个 docker 镜像，我们需要运行下面的命令。

# docker pull registry.hub.docker.com/busybox

我们可以检查本地是否有可用的 Docker 镜像。

# docker images

2. 运行 Docker 容器

现在，成功地拉取要求的或所需的 Docker 镜像之后，我们当然想运行这个 Docker 镜像。我们可以用 docker run 命令在镜像上运行一个 docker 容器。在 Docker 镜像上运行一个 docker 容器时我们有很多选项和标记。我们使用 -t 和 -i 选项来运行一个 docker 镜像并进入容器，如下面所示。

# docker run -it busybox

从上面的命令中，我们进入了容器并可以通过交互 shell 访问它的内容。我们可以键入 Ctrl-D 从shell中退出。

现在，在后台运行容器，我们用 -d 标记分离 shell，如下所示。

# docker run -itd busybox

如果你想进入到一个正在运行的容器，我们可以使用 attach 命令加一个容器 id。可以使用 docker ps 命令获取容器 id。

# docker attach <container id>

3. 检查容器运行

不论容器是否运行，查看日志文件都很简单。我们可以使用下面的命令去检查是否有 docker 容器在实时运行。

# docker ps

现在，查看正在运行的或者之前运行的容器的日志，我们需要运行以下的命令。

# docker ps -a

4. 查看容器信息

我们可以使用 inspect 命令查看一个 Docker 容器的各种信息。

# docker inspect <container id>

5. 杀死或删除

我们可以使用容器 id 杀死或者停止 docker 容器（进程），如下所示。

# docker stop <container id>

要停止每个正在运行的容器，我们需要运行下面的命令。

# docker kill $(docker ps -q)

现在，如我我们希望移除一个 docker 镜像，运行下面的命令。

# docker rm <container id>

如果我们想一次性移除所有 docker 镜像，我们可以运行以下命令。

# docker rm $(docker ps -aq)

结论

这些都是充分学习和使用 Docker 很基本的 docker 命令。有了这些命令，Docker 变得很简单，可以提供给最终用户一个易用的计算平台。根据上面的教程，任何人学习 Docker 命令都非常简单。如果你有任何问题，建议，反馈，请写到下面的评论框中以便我们改进和更新内容。多谢！ 希望你喜欢 :-)

via: http://linoxide.com/linux-how-to/important-docker-commands/

作者：Arun Pyasi 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

这些是关于使用 OpenSSL 生成证书授权（CA）、中间证书授权和末端证书的速记随笔，内容包括 OCSP、CRL 和 CA 颁发者信息，以及指定颁发和有效期限等。

我们将建立我们自己的根 CA，我们将使用根 CA 来生成一个中间 CA 的例子，我们将使用中间 CA 来签署末端用户证书。

根 CA

创建根 CA 授权目录并切换到该目录：

mkdir ~/SSLCA/root/
cd ~/SSLCA/root/

为我们的根 CA 生成一个8192位长的 SHA-256 RSA 密钥：

openssl genrsa -aes256 -out rootca.key 8192

样例输出：

Generating RSA private key, 8192 bit long modulus
.........++
....................................................................................................................++
e is 65537 (0x10001)

如果你想要用密码保护该密钥，请添加 -aes256 选项。

创建自签名根 CA 证书 ca.crt；你需要为你的根 CA 提供一个身份：

openssl req -sha256 -new -x509 -days 1826 -key rootca.key -out rootca.crt

样例输出：

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:NL
State or Province Name (full name) [Some-State]:Zuid Holland
Locality Name (eg, city) []:Rotterdam
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Sparkling Network
Organizational Unit Name (eg, section) []:Sparkling CA
Common Name (e.g. server FQDN or YOUR name) []:Sparkling Root CA
Email Address []:

创建一个存储 CA 序列的文件：

touch certindex
echo 1000 > certserial
echo 1000 > crlnumber

放置 CA 配置文件，该文件持有 CRL 和 OCSP 末端的存根。

# vim ca.conf
[ ca ]
default_ca = myca

[ crl_ext ]
issuerAltName=issuer:copy 
authorityKeyIdentifier=keyid:always

 [ myca ]
 dir = ./
 new_certs_dir = $dir
 unique_subject = no
 certificate = $dir/rootca.crt
 database = $dir/certindex
 private_key = $dir/rootca.key
 serial = $dir/certserial
 default_days = 730
 default_md = sha1
 policy = myca_policy
 x509_extensions = myca_extensions
 crlnumber = $dir/crlnumber
 default_crl_days = 730

 [ myca_policy ]
 commonName = supplied
 stateOrProvinceName = supplied
 countryName = optional
 emailAddress = optional
 organizationName = supplied
 organizationalUnitName = optional

 [ myca_extensions ]
 basicConstraints = critical,CA:TRUE
 keyUsage = critical,any
 subjectKeyIdentifier = hash
 authorityKeyIdentifier = keyid:always,issuer
 keyUsage = digitalSignature,keyEncipherment,cRLSign,keyCertSign
 extendedKeyUsage = serverAuth
 crlDistributionPoints = @crl_section
 subjectAltName  = @alt_names
 authorityInfoAccess = @ocsp_section

 [ v3_ca ]
 basicConstraints = critical,CA:TRUE,pathlen:0
 keyUsage = critical,any
 subjectKeyIdentifier = hash
 authorityKeyIdentifier = keyid:always,issuer
 keyUsage = digitalSignature,keyEncipherment,cRLSign,keyCertSign
 extendedKeyUsage = serverAuth
 crlDistributionPoints = @crl_section
 subjectAltName  = @alt_names
 authorityInfoAccess = @ocsp_section

 [alt_names]
 DNS.0 = Sparkling Intermidiate CA 1
 DNS.1 = Sparkling CA Intermidiate 1

 [crl_section]
 URI.0 = http://pki.sparklingca.com/SparklingRoot.crl
 URI.1 = http://pki.backup.com/SparklingRoot.crl

 [ocsp_section]
 caIssuers;URI.0 = http://pki.sparklingca.com/SparklingRoot.crt
 caIssuers;URI.1 = http://pki.backup.com/SparklingRoot.crt
 OCSP;URI.0 = http://pki.sparklingca.com/ocsp/
 OCSP;URI.1 = http://pki.backup.com/ocsp/

如果你需要设置某个特定的证书生效/过期日期，请添加以下内容到[myca]：

# format: YYYYMMDDHHMMSS
default_enddate = 20191222035911
default_startdate = 20181222035911

创建中间 CA

生成中间 CA （名为 intermediate1）的私钥：

openssl genrsa -out intermediate1.key 4096

生成中间 CA 的 CSR：

openssl req -new -sha256 -key intermediate1.key -out intermediate1.csr

样例输出：

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:NL
State or Province Name (full name) [Some-State]:Zuid Holland
Locality Name (eg, city) []:Rotterdam
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Sparkling Network
Organizational Unit Name (eg, section) []:Sparkling CA
Common Name (e.g. server FQDN or YOUR name) []:Sparkling Intermediate CA
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

确保中间 CA 的主体（CN）和根 CA 不同。

用根 CA 签署中间 CA 的 CSR：

openssl ca -batch -config ca.conf -notext -in intermediate1.csr -out intermediate1.crt

样例输出：

Using configuration from ca.conf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'NL'
stateOrProvinceName   :ASN.1 12:'Zuid Holland'
localityName          :ASN.1 12:'Rotterdam'
organizationName      :ASN.1 12:'Sparkling Network'
organizationalUnitName:ASN.1 12:'Sparkling CA'
commonName            :ASN.1 12:'Sparkling Intermediate CA'
Certificate is to be certified until Mar 30 15:07:43 2017 GMT (730 days)

Write out database with 1 new entries
Data Base Updated

生成 CRL（同时采用 PEM 和 DER 格式）：

openssl ca -config ca.conf -gencrl -keyfile rootca.key -cert rootca.crt -out rootca.crl.pem

openssl crl -inform PEM -in rootca.crl.pem -outform DER -out rootca.crl

每次使用该 CA 签署证书后，请生成 CRL。

如果你需要撤销该中间证书：

openssl ca -config ca.conf -revoke intermediate1.crt -keyfile rootca.key -cert rootca.crt

配置中间 CA

为该中间 CA 创建一个新文件夹，然后进入该文件夹：

mkdir ~/SSLCA/intermediate1/
cd ~/SSLCA/intermediate1/

从根 CA 拷贝中间证书和密钥：

cp ~/SSLCA/root/intermediate1.key ./
cp ~/SSLCA/root/intermediate1.crt ./

创建索引文件：

touch certindex
echo 1000 > certserial
echo 1000 > crlnumber

创建一个新的 ca.conf 文件：

# vim ca.conf
[ ca ]
default_ca = myca

[ crl_ext ]
issuerAltName=issuer:copy 
authorityKeyIdentifier=keyid:always

 [ myca ]
 dir = ./
 new_certs_dir = $dir
 unique_subject = no
 certificate = $dir/intermediate1.crt
 database = $dir/certindex
 private_key = $dir/intermediate1.key
 serial = $dir/certserial
 default_days = 365
 default_md = sha1
 policy = myca_policy
 x509_extensions = myca_extensions
 crlnumber = $dir/crlnumber
 default_crl_days = 365

 [ myca_policy ]
 commonName = supplied
 stateOrProvinceName = supplied
 countryName = optional
 emailAddress = optional
 organizationName = supplied
 organizationalUnitName = optional

 [ myca_extensions ]
 basicConstraints = critical,CA:FALSE
 keyUsage = critical,any
 subjectKeyIdentifier = hash
 authorityKeyIdentifier = keyid:always,issuer
 keyUsage = digitalSignature,keyEncipherment
 extendedKeyUsage = serverAuth
 crlDistributionPoints = @crl_section
 subjectAltName  = @alt_names
 authorityInfoAccess = @ocsp_section

 [alt_names]
 DNS.0 = example.com
 DNS.1 = example.org

 [crl_section]
 URI.0 = http://pki.sparklingca.com/SparklingIntermidiate1.crl
 URI.1 = http://pki.backup.com/SparklingIntermidiate1.crl

 [ocsp_section]
 caIssuers;URI.0 = http://pki.sparklingca.com/SparklingIntermediate1.crt
 caIssuers;URI.1 = http://pki.backup.com/SparklingIntermediate1.crt
 OCSP;URI.0 = http://pki.sparklingca.com/ocsp/
 OCSP;URI.1 = http://pki.backup.com/ocsp/

修改 [alt_names] 部分，添加你需要的主体备选名。如果你不需要主体备选名，请移除该部分包括subjectAltName = @alt_names的行。

如果你需要设置一个指定的生效/到期日期，请添加以下内容到 [myca]：

# format: YYYYMMDDHHMMSS
default_enddate = 20191222035911
default_startdate = 20181222035911

生成一个空白 CRL（同时以 PEM 和 DER 格式）：

openssl ca -config ca.conf -gencrl -keyfile rootca.key -cert rootca.crt -out rootca.crl.pem

openssl crl -inform PEM -in rootca.crl.pem -outform DER -out rootca.crl

生成末端用户证书

我们使用这个新的中间 CA 来生成一个末端用户证书，请重复以下操作来使用该 CA 为每个用户签署。

mkdir enduser-certs

生成末端用户的私钥：

openssl genrsa -out enduser-certs/enduser-example.com.key 4096

生成末端用户的 CSR：

openssl req -new -sha256 -key enduser-certs/enduser-example.com.key -out enduser-certs/enduser-example.com.csr

样例输出：

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:NL
State or Province Name (full name) [Some-State]:Noord Holland
Locality Name (eg, city) []:Amsterdam
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:IT Dept
Common Name (e.g. server FQDN or YOUR name) []:example.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

使用中间 CA 签署末端用户的 CSR：

openssl ca -batch -config ca.conf -notext -in enduser-certs/enduser-example.com.csr -out enduser-certs/enduser-example.com.crt

样例输出：

Using configuration from ca.conf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'NL'
stateOrProvinceName   :ASN.1 12:'Noord Holland'
localityName          :ASN.1 12:'Amsterdam'
organizationName      :ASN.1 12:'Example Inc'
organizationalUnitName:ASN.1 12:'IT Dept'
commonName            :ASN.1 12:'example.com'
Certificate is to be certified until Mar 30 15:18:26 2016 GMT (365 days)

Write out database with 1 new entries
Data Base Updated

生成 CRL（同时以 PEM 和 DER 格式）：

openssl ca -config ca.conf -gencrl -keyfile intermediate1.key -cert intermediate1.crt -out intermediate1.crl.pem

openssl crl -inform PEM -in intermediate1.crl.pem -outform DER -out intermediate1.crl

每次你使用该 CA 签署证书后，都需要生成 CRL。

如果你需要撤销该末端用户证书：

openssl ca -config ca.conf -revoke enduser-certs/enduser-example.com.crt -keyfile intermediate1.key -cert intermediate1.crt

样例输出：

Using configuration from ca.conf
Revoking Certificate 1000.
Data Base Updated

通过连接根证书和中间证书来创建证书链文件。

cat ../root/rootca.crt intermediate1.crt > enduser-certs/enduser-example.com.chain

发送以下文件给末端用户：

enduser-example.com.crt
enduser-example.com.key
enduser-example.com.chain

你也可以让末端用户提供他们自己的 CSR，而只发送给他们这个 .crt 文件。不要把它从服务器删除，否则你就不能撤销了。

校验证书

你可以对证书链使用以下命令来验证末端用户证书：

openssl verify -CAfile enduser-certs/enduser-example.com.chain enduser-certs/enduser-example.com.crt 
enduser-certs/enduser-example.com.crt: OK

你也可以针对 CRL 来验证。首先，将 PEM 格式的 CRL 和证书链相连接：

cat ../root/rootca.crt intermediate1.crt intermediate1.crl.pem > enduser-certs/enduser-example.com.crl.chain

验证证书：

openssl verify -crl_check -CAfile enduser-certs/enduser-example.com.crl.chain enduser-certs/enduser-example.com.crt

没有撤销时的输出：

enduser-certs/enduser-example.com.crt: OK

撤销后的输出如下：

enduser-certs/enduser-example.com.crt: CN = example.com, ST = Noord Holland, C = NL, O = Example Inc, OU = IT Dept
error 23 at 0 depth lookup:certificate revoked

via: https://raymii.org/s/tutorials/OpenSSL_command_line_Root_and_Intermediate_CA_including_OCSP_CRL%20and_revocation.html

作者：Remy van Elst 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

在我们KVM系列专题的第四部分，我们将会一起讨论下在命令行界面下来管理KVM环境。我们分别用‘virt-install’和virsh命令行工具来创建并配置虚拟机和存储池，用qemu-img命令行工具来创建并管理磁盘映像。

Linux系统的KVM管理

在这篇文章里没有什么新的概念，我们只是用命令行工具重复之前所做过的事情，也没有什么前提条件，都是相同的过程，之前的文章我们都讨论过。

第一步: 配置存储池

Virsh命令行工具是一款管理virsh客户域的用户界面。virsh程序能在命令行中运行所给的命令以及它的参数。

本节中，我们要用它给我们的KVM环境创建存储池。想知道关于这个工具的更多信息，用以下这条命令。

# man virsh

1. 用virsh带pool-define-as的命令来定义新的存储池，你需要指定名字、类型和类型参数。

本例中，我们将名字取为Spool1，类型为目录。默认情况下你可以提供五个参数给该类型：

• source-host
• source-path
• source-dev
• source-name
• target

对于目录类型，我们需要用最后一个参数“target”来指定存储池的路径，其它参数项我们可以用“-”来填充。

# virsh pool-define-as Spool1 dir - - - - "/mnt/personal-data/SPool1/"

创建新存储池

2. 查看环境中我们所有的存储池，用以下命令。

# virsh pool-list --all

列出所有存储池

3. 现在我们来构造存储池了，用以下命令来构造我们刚才定义的存储池。

# virsh pool-build Spool1

构造存储池

4. 用带pool-start参数的virsh命令来激活并启动我们刚才创建并构造完成的存储池。

# virsh pool-start Spool1

激活存储池

5. 查看环境中存储池的状态，用以下命令。

# virsh pool-list --all

查看存储池状态

你会发现Spool1的状态变成了已激活。

6. 对Spool1进行配置，让它每次都能被libvirtd服务自启动。

# virsh pool-autostart Spool1

配置KVM存储池

7. 最后来看看我们新的存储池的信息吧。

# virsh pool-info Spool1

查看KVM存储池信息

恭喜你，Spool1已经准备好待命，接下来我们试着创建存储卷来使用它。

第二步: 配置存储卷/磁盘映像

现在轮到磁盘映像了，用qemu-img命令在Spool1中创建一个新磁盘映像。获取更多细节信息，可以查看man手册。

# man qemu-img

8. 我们应该在qemu-img命令之后指定“create, check,…”等等操作、磁盘映像格式、你想要创建的磁盘映像的路径和大小。

# qemu-img create -f raw /mnt/personal-data/SPool1/SVol1.img 10G

创建存储卷

9. 通过使用带info的qemu-img命令，你可以获取到你的新磁盘映像的一些信息。

查看存储卷信息

警告: 不要用qemu-img命令来修改被运行中的虚拟机或任何其它进程所正在使用的映像，那样映像会被破坏。

现在是时候来创建虚拟机了。

第三步: 创建虚拟机

10. 现在到最后一个环节了，在最后一步中，我们将用virt-install命令来创建虚拟机。virt-install是一个用来创建新的KVM虚拟机命令行工具，它使用“libvirt”管理程序库。想获取更多细节，同样可以查看man手册。

# man virt-install

要创建新的KVM虚拟机，你需要用到带以下所有信息的命令。

• Name: 虚拟机的名字。
• Disk Location: 磁盘映像的位置。
• Graphics : 怎样连接VM，通常是SPICE。
• vcpu : 虚拟CPU的数量。
• ram : 以兆字节计算的已分配内存大小。
• Location : 指定安装源路径。
• Network : 指定虚拟网络，通常是virbr0网桥。

virt-install --name=rhel7 --disk path=/mnt/personal-data/SPool1/SVol1.img --graphics spice --vcpu=1 --ram=1024 --location=/run/media/dos/9e6f605a-f502-4e98-826e-e6376caea288/rhel-server-7.0-x86_64-dvd.iso --network bridge=virbr0

创建新的虚拟机

11. 你会看到弹出一个virt-vierwer窗口，像是在通过它在与虚拟机通信。

虚拟机启动程式

虚拟机安装过程

结论

以上就是我们KVM教程的最后一部分了，当然我们还没有完全覆盖到全部，我们只是打了个擦边球，所以现在该轮到你来好好地利用这些丰富的资源来做自己想做的事了。

• KVM Getting Started Guide
• KVM Virtualization Deployment and Administration Guide

via: http://www.tecmint.com/kvm-management-tools-to-manage-virtual-machines/

作者：Mohammad Dosoukey 译者：ZTinoZ 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出