CrowdSec 门卫被设计成可以包含在任何 PHP 应用程序中，以帮助阻止攻击者。

PHP 是 Web 上广泛使用的一种编程语言，据估计有近 80% 的网站使用它。我在 CrowdSec 的团队决定，我们需要为服务器管理员提供一个 PHP 门卫，以帮助抵御那些可能试图与 PHP 文件互动的机器人和不良分子。

CrowdSec 门卫可以在应用栈的各个层面上进行设置：Web 服务器、防火墙、CDN 等等。本文关注的是另外一个层次：直接在应用层面设置补救措施。

由于各种原因，直接在应用程序中进行补救是有帮助的：

• 它为潜在的安全威胁提供了业务逻辑上的答案。
• 它提供了关于如何应对安全问题的自由。

虽然 CrowdSec 已经发布了一个 WordPress 门卫，但这个 PHP 库被设计成可以包含在任何 PHP 应用中（例如 Drupal）。该门卫有助于阻止攻击者，用验证码挑战他们，让人类通过，同时阻止机器人。

先决条件

本教程假定你在 Linux 服务器上运行 Drupal，并使用 Apache 作为 Web 服务器。

第一步是在你的服务器上 安装 CrowdSec。你可以用 官方安装脚本 来完成。如果你使用的是 Fedora、CentOS 或类似系统，请下载 RPM 版本：

$ curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh

在 Debian 和基于 Debian 的系统上，下载 DEB 版本：

$ curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh

这些脚本很简单，所以仔细阅读你下载的脚本，以验证它是否导入了 GPG 密钥并配置了一个新的存储库。当你清楚了它的作用后，就执行它，然后安装。

$ sudo dnf install crowdsec || sudo apt install crowdsec

CrowdSec 会自己检测到所有现有的服务，所以不需要进一步的配置就可以立即得到一个能发挥功能的设置。

测试初始设置

现在你已经安装了 CrowdSec，启动一个 Web 应用漏洞扫描器，比如 Nikto，看看它的表现如何：

$ ./nikto.pl -h http://<ip_or_domain>

该 IP 地址已被检测到触发了各种场景，最后一个是 crowdsecurity/http-crawl-non_statics：

然而，CrowdSec 只检测问题，需要一个门卫来应用补救措施。这就是 PHP 门卫发挥作用的地方。

用 PHP 门卫进行补救

现在你可以检测到恶意行为了，你需要在网站层面上阻止 IP。在这个时候，没有用于 Drupal 的门卫可用。然而，你可以直接使用 PHP 门卫。

它是如何工作的？PHP 门卫（和其他门卫一样）对 CrowdSec 的 API 进行调用，并检查是否应该禁止进入的 IP，向他们发送验证码，或者允许他们通过。

Web 服务器是 Apache，所以你可以使用 Apache 的安装脚本：

$ git clone https://github.com/crowdsecurity/cs-php-bouncer.git
$ cd cs-php-bouncer/
$ ./install.sh --apache

门卫的配置是用来保护整个网站。可以通过调整 Apache 的配置保护网站的一个特定部分。

尝试访问网站

PHP 门卫已经安装并配置好。由于之前的网络漏洞扫描行动，你被禁止了，你可以尝试访问该网站看看：

门卫成功阻止了你的流量。如果你在以前的 Web 漏洞扫描后没有被禁止，你可以用增加一个手动决策：

$ cscli decisions add -i <your_ip>

对于其余的测试，删除当前的决策：

$ cscli decisions delete -i <your_ip>

更进一步

我封锁了试图破坏 PHP 网站的 IP。这很好，但那些试图扫描、爬取或 DDoS 的 IP 怎么办？这些类型的检测可能会导致误报，那么为什么不返回一个验证码挑战来检查它是否是一个真正的用户（而不是一个机器人），而不是封锁 IP？

检测爬虫和扫描器

我不喜欢爬虫和坏的用户代理，在 Hub 上有各种方案可以用来发现它们。

确保用 cscli’ 下载了 Hub 上的base-http-scenarios` 集合：

$ cscli collections list | grep base-http-scenarios
crowdsecurity/base-http-scenarios  ✔️ enabled  /etc/crowdsec/collections/base-http-scenarios.yaml

如果没有找到，请安装它，并重新加载 CrowdSec：

$ sudo cscli collections install crowdsecurity/base-http-scenarios
$ sudo systemctl reload crowdsec

用验证码补救

由于检测 DDoS、爬虫或恶意的用户代理可能会导致误报，我更倾向于对任何触发这些情况的 IP 地址返回一个验证码，以避免阻止真正的用户。

为了实现这一点，请修改 profiles.yaml 文件。

在 /etc/crowdsec/profiles.yaml 中的配置文件的开头添加这个 YAML 块：

---
# /etc/crowdsec/profiles.yaml
name: crawler_captcha_remediation
filter: Alert.Remediation == true && Alert.GetScenario() in ["crowdsecurity/http-crawl-non_statics", "crowdsecurity/http-bad-user-agent"]

decisions:
  - type: captcha
    duration: 4h
on_success: break

有了这个配置文件，任何触发 crowdsecurity/http-crawl-non_statics 或 crowdsecurity/http-bad-user-agent 场景的 IP 地址都会被强制执行一个验证码（持续 4 小时）。

接下来，重新加载 CrowdSec：

$ sudo systemctl reload crowdsec

尝试自定义的补救措施

重新启动 Web 漏洞扫描器会触发很多场景，所以你最终会再次被禁止。相反，你可以直接制作一个触发 bad-user-agent 场景的攻击（已知的坏用户代理列表在 这里）。请注意，你必须激活该规则两次才能被禁止。

$ curl --silent -I -H "User-Agent: Cocolyzebot" http://example.com > /dev/null
$ curl -I -H "User-Agent: Cocolyzebot" http://example.com
HTTP/1.1 200 OK
Date: Tue, 05 Oct 2021 09:35:43 GMT
Server: Apache/2.4.41 (Ubuntu)
Expires: Sun, 19 Nov 1978 05:00:00 GMT
Cache-Control: no-cache, must-revalidate
X-Content-Type-options: nosniff
Content-Language: en
X-Frame-Options: SAMEORIGIN
X-Generator: Drupal 7 (http://drupal.org)
Content-Type: text/html; charset=utf-8

当然，你可以看到，你的行为会被抓住。

$ sudo cscli decisions list

如果你试图访问该网站，不会被简单地被阻止，而是会收到一个验证码：

一旦你解决了这个验证码，你就可以重新访问网站了。

接下来，再次解禁自己：

$ cscli decisions delete -i <your_ip>

启动漏洞扫描器：

$ ./nikto.pl -h http://example.com

与上次不同的是，你现在可以看到，你已经触发了几个决策：

当试图访问网站时，禁止决策具有优先权：

总结

这是一个帮助阻止攻击者进入 PHP 网站和应用程序的快速方法。本文只包含一个例子。补救措施可以很容易地扩展，以适应额外的需求。要了解更多关于安装和使用 CrowdSec 代理的信息，查看这个方法指南 来开始。

要下载 PHP 门卫，请到 CrowdSec Hub 或 GitHub。

via: https://opensource.com/article/22/1/php-website-bouncer-crowdsec

作者：Philippe Humeau 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

配置你的系统使用无根容器。

容器是现代计算的一个重要组成部分，随着围绕容器的基础设施的发展，新的和更好的工具开始浮出水面。过去，你只需用 LXC 就可以运行容器，然而随着 Docker 得到了普及，它开始变得越来越复杂。最终，我们在 Podman 得到了我们所期望的容器管理系统：一个无守护进程的容器引擎，它使容器和吊舱易于构建、运行和管理。

容器直接与 Linux 内核能力（如控制组和命名空间）交互，它们在这些命名空间中产生大量的新进程。简而言之，运行一个容器实际上就是在 Linux 系统内部运行一个 Linux 系统。从操作系统的角度来看，它看起来非常像一种管理和特权活动。普通用户通常不能像容器那样自由支配系统资源，所以默认情况下，运行 Podman 需要 root 或 sudo 权限。然而，这只是默认设置，而且这绝不是唯一可用的设置。本文演示了如何配置你的 Linux 系统，使普通用户可以在不使用 sudo 的情况下（“ 无根 rootless ”）运行 Podman。

命名空间的用户 ID

内核命名空间 本质上是一种虚构的结构，可帮助 Linux 跟踪哪些进程属于同一类。这是 Linux 中的“队列护栏”。一个队列中的进程与另一个队列中的进程之间实际上没有区别，但可以将它们用“警戒线”彼此隔离。要声明一组进程为“容器”，而另一组进程为你的操作系统，将它们分开是关键。

Linux 通过用户 ID（UID）和组 ID（GID）来跟踪哪个用户或组拥有的进程。通常情况下，一个用户可以访问一千个左右的从属 UID，以分配给命名空间的子进程。由于 Podman 运行的是分配给启动容器的用户的整个从属操作系统，因此你需要的不仅仅是默认分配的从属 UID 和从属 GID。

你可以用 usermod 命令授予一个用户更多的从属 UID 和从属 GID。例如，要授予用户 tux 更多的从属 UID 和从属 GID，选择一个还没分配用户的适当的高 UID（如 200000），然后将其增加几千：

$ sudo usermod \
    --add-subuids 200000-265536 \
    --add-subgids 200000-265536 \
    tux

命名空间访问

对命名空间数量也有限制。这通常被设置得很高。你可以用 systctl，即内核参数工具来验证用户的命名空间分配：

$ sysctl --all --pattern user_namespaces
user.max_user_namespaces = 28633

这是很充足的命名空间，而且可能是你的发行版默认设置的。如果你的发行版没有这个属性或者设置得很低，那么你可以在文件 /etc/sysctl.d/userns.conf 中输入这样的文本来创建它：

user.max_user_namespaces=28633

加载该设置：

$ sudo sysctl -p /etc/sysctl.d/userns.conf

在没有 root 权限的情况下运行一个容器

当你设置好你的配置，重启你的计算机，以确保你的用户和内核参数的变化被加载和激活。

重启后，试着运行一个容器镜像：

$ podman run -it busybox echo "hello"
hello

容器像命令一样

如果你是第一次接触容器，可能会觉得很神秘，但实际上，它们与你现有的 Linux 系统没有什么不同。它们实际上是在你的系统上运行的进程，没有仿真环境或虚拟机的成本和障碍。容器和你的操作系统之间的区别只是内核命名空间，所以它们实际上只是带有不同标签的本地进程。Podman 使这一点比以往更加明显，当你将 Podman 配置为无根命令，容器感觉更像命令而不是虚拟环境。Podman 使容器和吊舱变得简单，所以请试一试。

via: https://opensource.com/article/22/1/run-containers-without-sudo-podman

作者：Seth Kenlon 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

使得 DNS 难以理解的事情之一是它是 分布式的。有成千上万（也许是几十万？我不知道！）的 权威性域名服务器 authoritative nameserver ，以及至少 1000 万个解析器。而且它们正在运行许多不同的软件！不同服务器运行着不同的软件意味着 DNS 的工作方式有很多不一致的地方，这可能导致各种令人沮丧的问题。

但是，与其谈论这些问题，我更感兴趣的是弄清楚 —— 为什么 DNS 是分布式的是一件好事？

为什么 DNS 是分布式的是件好事？

一个原因是 可扩展性 —— DNS 的分布式设计使其更容易扩展，对故障的恢复能力更强。我发现，尽管 DNS 已经有近 40 年的历史，但它的扩展性仍然很好，这真是令人惊讶。这一点非常重要，但这并不是这篇文章的主题。

相反，我想说的是，它是分布式的意味着你可以 控制 你的 DNS 的工作方式。你可以向巨大而复杂的 DNS 服务器中添加更多的服务器！添加你控制的服务器！

昨天我 在 Twitter 上问 为什么你要运行自己的 DNS 服务器，我得到了很多很好的答案，我想在这里总结一下。

你可以运行 2 种类型的 DNS 服务器

你可以运行 2 种主要类型的 DNS 服务器：

1. 如果你拥有一个域名，你可以为该域名运行一个 权威名称服务器
2. 如果你有一台电脑（或一个有很多电脑的公司），你可以运行一个 解析器 来为这些电脑解析 DNS。

DNS 不是静态数据库

我经常看到 DNS 的 “电话簿” 比喻，域名就像人名，IP 地址就像电话号码。

这是一个不错的思维模型。但是，“电话簿” 思维模型可能会使你认为，如果你对 google.com 进行 DNS 查询，你将永远得到相同的结果。而这是不正确的。

你在 DNS 查询中得到的记录可能取决于：

• 你在世界的哪个地方（也许你会得到一个离你更近的服务器的 IP 地址）
• 你是否在企业网络里（你可以在其中解析内部域名）
• 该域名是否被你的 DNS 解析器认为是 “坏” 的（它可能被封锁！）
• 之前的 DNS 查询（也许 DNS 解析器正在做基于 DNS 的负载平衡，每次给你一个不同的 IP 地址）
• 你是否在使用机场 Wi-Fi 专属门户（机场 Wi-Fi 会在你登录前以不同的方式解析 DNS 记录，它会给你发送一个特殊的 IP 来重定向你）
• 随便什么

你可能想控制你自己的服务器的很多原因都与 DNS 不是一个静态数据库这一事实有关 —— 对于如何处理 DNS 查询，你可能会有不同的选择（无论是为你的域名还是为你的组织）。

运行权威性名称服务器的理由

这些原因并没有任何特定的顺序。

对于其中一些原因，你不一定必须要运行你自己的权威名称服务器，你只需选择提供了该功能的权威名称服务器服务就行了。

要明确的是：有很多理由 不 运行自己的权威名称服务器 —— 我就没有运行，我也不想说服你应该这样做。它需要时间来维护，你的服务可能不那么可靠，等等。

原因：安全

这条推文说的很好：

[存在] 攻击者通过你的 DNS 供应商的客户支持人员获得 DNS 变更权限的风险，客服本来只应该提供帮助。他们可以被你的 DNS 阻止（也许就是因为缺少这个）。内部可能更容易审计和验证内容。

原因：你喜欢运行 bind/nsd

有几个人提到的一个原因是：“我习惯于编写区域文件和运行 bind 或 nsd ，对我来说这样做更容易。”

如果你喜欢 bind/nsd 的方式，但又不想运维自己的服务器，有几个人提到，你也可以通过运行一个 “隐藏的主服务器” 来获得 bind 的优势，该服务器存储记录，但从一个 “辅助” 服务器提供所有的实际 DNS 查询。这里有一些我发现的关于配置辅助 DNS 的网页，以 NS1、cloudflare 和 Dyn 作为示例。

我真的不知道什么是最佳的权威 DNS 服务器。我想我只在工作中使用过 nsd。

原因：你可以使用新的记录类型

并非所有的 DNS 服务都支持某些较新的 DNS 记录类型，但如果你运行你自己的 DNS，你就可以支持任何你想要的记录类型。

原因：用户界面

你可能不喜欢你正在使用的 DNS 服务的用户界面（或 API，或干脆没有 API）。这与 “你喜欢运行 BIND ”的原因差不多，也许你喜欢编写区域文件的方式。

原因：你可以自己修复问题

当问题出现时，能够自己解决，有一些明显的优点和缺点（优点：你可以解决问题，缺点：你必须解决问题）。

原因：做一些奇怪的、自定义的事情

你可以写一个 DNS 服务器，做任何你想做的事情，它不一定要只返回一组静态记录。

有几个例子：

• Replit 有一篇博文介绍了 为什么他们编写自己的权威性 DNS 服务器来处理路由
• nip.io 将 10.0.0.1.nip.io 映射为 10.0.0.1
• 我为 乱用 dns 而写了一个自定义 DNS 服务器

原因：省钱

权威名称服务器似乎一般按每百万次 DNS 查询收费。比如，似乎 Route 53 每百万次查询收费 0.5 美元，NS1 每百万次查询收费约 8 美元。

我对一个大型网站的权威 DNS 服务器实际需要解决多少次查询没有概念（哪些类型的网站会对其权威 DNS 服务器进行 10 亿次 DNS 查询？可能是很多，但我没有这方面的经验）。但是有几个人在回复中提到成本是一个原因。

原因：你可以改变你的注册商

如果你为你的域名使用一个单独的权威名称服务器，而不是你的注册商的名称服务器，那么当你转移到一个不同的注册商时，你所要做的就是把你的权威 DNS 服务器设置为正确的值，从而使你的 DNS 恢复正常。你不需要迁移你所有的 DNS 记录，那非常痛苦。

但你不需要为此而运行你自己的名字服务器。

原因：地理 DNS

你可能想根据客户的位置为你的域名返回不同的 IP 地址，给他们一个离他们很近的服务器。

这是很多权威的域名服务器服务所提供的服务，你不需要为此而专门运行名字服务器。

原因：避免针对他人的拒绝服务攻击

许多权威 DNS 服务器是共享的。这意味着，如果有人攻击 google.com 或其他的 DNS 服务器，而你恰好在使用同一个权威 DNS 服务器，你可能会受到影响，即使攻击不是针对你。例如，2016 年的这次 对 Dyn 的 DDoS 攻击。

原因：把所有的配置放在一个地方

有一个人提到，他们喜欢把所有的配置（DNS 记录、let's encrypt、nginx 等）放在一台服务器上的同一个地方。

另类原因：把 DNS 当作 VPN 使用

显然，iodine 是一个可以让你通过 DNS 隧道传输流量的权威 DNS 服务器，它可以让你像 VPN 一样与外界联系，

运行解析器的原因

原因：隐私

如果有人能看到你所有的 DNS 查询，他们就有你（或你组织中的每个人）正在访问的所有域名的完整列表！你可能更愿意保持这种隐私。你可能更愿意保持这种隐私。

原因：阻止恶意网站

如果你运行你自己的解析器，你可以（通过不返回任何结果）拒绝解析你认为 “坏” 的域名的 DNS 查询。

几个你可以自己运行（或只是使用）的解析器的例子：

• Pi-Hole 阻止广告商
• Quad9 阻止做恶意软件/网络钓鱼/间谍软件的域名。 Cloudflare 似乎有一个 类似的服务
• 我想也有一些企业安全软件会阻止那些托管恶意软件的域名的 DNS 查询
• DNS 不是静态数据库。它是非常动态的，答案往往实时取决于查询的 IP 地址、内容服务器的当前负载等。除非你将这些记录的服务委托给做出这些决定的实体，否则很难实时实现。
• DNS 委派控制使访问控制非常简单。从区域中切下的部分都由控制委派服务器的人控制，所以对一个主机名的责任是隐含在 DNS 委派中的。

原因：在 nginx 中获得动态代理

这里有一个很酷的故事，来自 这条推文：

我在一个应用程序中写了一个 DNS 服务器，然后把它设置为 nginx 的解析器，这样我就可以获得动态的后端代理，而不需要 nginx 运行 lua。Nginx 向应用程序发送 DNS 查询，应用程序查询 Redis 并作出相应的反应。这对我正在做的事情来说，效果非常好。

原因：避免恶意解析器

一些 ISP 运行的 DNS 解析器会做一些不好的事情，比如把不存在的域名指向他们控制的 IP，向你显示广告或他们控制的奇怪的搜索页面。

使用你控制的解析器或你信任的另一个解析器可以帮助你避免这种情况。

原因：解析内部域名

你可能有一个内部网络，其域名（比如 blah.corp.yourcompany.com）并不在公共互联网上。为内部网络中的机器运行你自己的解析器，就有可能访问这些域名。

无论是访问只在本地的服务，还是为公共互联网上的服务获得本地地址，你都可以在家庭网络中做同样的事情。

原因：避免你的 DNS 查询被中间人劫持

有一个人 说：

我在我的局域网路由器上运行了一个解析器，它的上游使用了基于 HTTPS 的 DNS（DoH），所以物联网和其他不支持 DoH 或 DoT 的设备不会在外面喷射明文 DNS 查询。

就是这样

对我来说，探索 DNS 的 “原因” 感觉很重要，因为它是一个如此复杂凌乱的系统，我认为大多数人如果不理解为什么这些复杂的东西是有用的，就很难有动力去学习这么复杂的主题。

感谢 Marie 和 Kamal 对这篇文章的讨论，也感谢 Twitter 上提供这些原因的所有人。

via: https://jvns.ca/blog/2022/01/05/why-might-you-run-your-own-dns-server-/

作者：Julia Evans 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Linux 或 BSD 操作系统上设置基本的实时流媒体服务器。

实时视频流越来越流行。亚马逊的 Twitch 和谷歌的 YouTube 等平台拥有数百万用户，这些用户消磨了无数小时的来观看直播和录制视频。这些视频服务通常可以免费使用，但需要你拥有一个帐户，并且一般会将你的视频内容隐藏在广告中。有些人不希望他们的视频提供给大众观看，或者想更多地控制自己的视频内容。幸运的是，借助强大的开源软件，任何人都可以设置直播服务器。

入门

在本教程中，我将说明如何使用 Linux 或 BSD 操作系统设置基本的实时流媒体服务器。

搭建实时流媒体服务器不可避免地提到系统需求问题。这些需求多种多样，因为实时流媒体涉及许多因素，例如：

• 流媒体质量： 你想以高清流媒体播放还是标清视频就可以满足你的需求？
• 收视率： 你的视频预计有多少观众？
• 存储： 你是否打算保留已保存的视频流副本？
• 访问： 你的视频流是私有的还是向全世界开放的？

在硬件要求方面没有固定规则，因此我建议你进行测试，以便找到最适合你需求的配置。本项目中，我将服务器安装在配有 4GB 内存、20GB 硬盘空间和单个 Intel i7 处理器内核的虚拟机上。

本项目使用 实时消息传递协议 Real-Time Messaging Protocol （RTMP）来处理音频和视频流。当然还有其他协议可用，但我选择 RTMP 是因为它具有广泛的支持。鉴于像 WebRTC 这样的开放标准变得更加兼容，我比较推荐这条路线。

同样重要的是，要明白“实时”并不总是意味着即时。视频流必须经过编码、传输、缓冲和显示，这通常会增大延迟。延迟可以被缩短或延长，具体取决于你创建的流类型及其属性。

设置 Linux 服务器

你可以使用许多不同的 Linux 发行版，但我更喜欢 Ubuntu，因此我下载了 Ubuntu 服务器版 作为我的操作系统。如果你希望你的服务器具有图形用户界面（GUI），请随意使用 Ubuntu 桌面版 或其多种风味版本之一。然后，我在我的计算机或虚拟机上启动了 Ubuntu 安装程序，并选择了最适合我的环境的设置。以下是我采取的步骤。

注意：因为这是一个服务器，你可能需要设置静态网络。

安装程序完成并重新启动系统后，你会看到一个可爱的新 Ubuntu 系统。 与任何新安装的操作系统一样，安装任何可用的更新：

sudo apt update
sudo apt upgrade

这个流媒体服务器将使用非常强大通用的 Nginx 网络服务器，所以你需要安装它：

sudo apt install nginx

然后你需要获取 RTMP 模块，以便 Nginx 可以处理你的媒体流：

sudo add-apt-repository universe
sudo apt install libnginx-mod-rtmp

修改你的网页服务器配置，使其能够接受和传送你的媒体流。

sudo nano /etc/nginx/nginx.conf

滚动到配置文件的底部并添加以下代码：

rtmp {
   server {
    listen 1935;
    chunk_size 4096;

    application live {
      live on;
      record off;
    }
  }
}

保存配置。我是使用 Nano 来编辑配置文件的异端。在 Nano 中，你可以通过快捷键 Ctrl+X、Y 并按下回车来保存你的配置。

这么一个非常小的配置就可以创建一个可工作的流服务器。稍后你将添加更多内容到此配置中，但这是一个很好的起点。

在开始第一个流之前，你需要使用新配置重新启动 Nginx：

sudo systemctl restart nginx

设置 BSD 服务器

如果是“小恶魔”（LCTT 译者注：FreeBSD 的标志是一个拿着叉子的红色小恶魔）的信徒，那么建立并运行一个流媒体服务器也非常容易。

前往 FreeBSD 网站并下载最新版本。在你的计算机或虚拟机上启动 FreeBSD 安装程序，然后执行初始步骤并选择最适合你环境的设置。由于这是一个服务器，你可能需要设置静态网络。

在安装程序完成并重新启动系统后，你应该就拥有了一个闪亮的新 FreeBSD 系统。像任何其他新安装的系统一样，你可能希望更新所有内容（从这一步开始，请确保你以 root 身份登录）：

pkg update
pkg upgrade

安装 Nano 来编辑配置文件：

pkg install nano

这个流媒体服务器将使用非常强大通用的 Nginx 网络服务器。 你可以使用 FreeBSD 所拥有的优秀 ports 系统来构建 Nginx。

首先，更新你的 ports 树：

portsnap fetch
portsnap extract

进入 Nginx ports 目录：

cd /usr/ports/www/nginx

运行如下命令开始构建 Nginx：

make install

你将看到一个屏幕，询问你的 Nginx 构建中要包含哪些模块。对于这个项目，你需要添加 RTMP 模块。向下滚动直到选中 RTMP 模块，并按下空格键。然后按回车键继续剩下的构建和安装。

Nginx 安装完成后，就该为它配置流式传输了。

首先，在 /etc/rc.conf 中添加一个条目以确保 Nginx 服务器在系统启动时启动：

nano /etc/rc.conf

将此文本添加到文件中：

nginx_enable="YES"

接下来，创建一个网站根目录，Nginx 将从中提供其内容。我自己的目录叫 stream：

cd /usr/local/www/
mkdir stream
chmod -R 755 stream/

现在你已经创建了你的流目录，通过编辑配置文件来配置 Nginx：

nano /usr/local/etc/nginx/nginx.conf

在文件顶部加载你的流媒体模块：

load_module /usr/local/libexec/nginx/ngx_stream_module.so;
load_module /usr/local/libexec/nginx/ngx_rtmp_module.so;

在 Server 部分下，更改 root 位置以匹配你之前创建的目录位置：

Location / {
  root /usr/local/www/stream
}

最后，添加你的 RTMP 设置，以便 Nginx 知道如何处理你的媒体流：

rtmp {
  server {
    listen 1935;
    chunk_size 4096;
    
    application live {
      live on;
      record off;
    }
  }
}

保存配置。在 Nano 中，你可以通过快捷键 Ctrl+X、Y，然后按回车键来执行此操作。

如你所见，这么一个非常小的配置将创建一个工作的流服务器。稍后，你将添加更多内容到此配置中，但这将为你提供一个很好的起点。

但是，在开始第一个流之前，你需要使用新配置重新启动 Nginx：

service nginx restart

设置你的流媒体软件

使用 OBS 进行广播

现在你的服务器已准备好接受你的视频流，是时候设置你的流媒体软件了。本教程使用功能强大的开源的 Open Broadcast Studio（OBS）。

前往 OBS 网站，找到适用于你的操作系统的版本并安装它。OBS 启动后，你应该会看到一个首次运行向导，该向导将帮助你使用最适合你的硬件的设置来配置 OBS。

OBS 没有捕获任何内容，因为你没有为其提供源。在本教程中，你只需为流捕获桌面。单击“ 来源 Source ”下的 “+” 按钮，选择“ 显示捕获 Screen Capture ”，然后选择要捕获的桌面。

单击“ 确定 OK ”，你应该会看到 OBS 镜像了你的桌面。

现在可以将你新配置的视频流发送到你的服务器了。在 OBS 中，单击“ 文件 > 设置 File > Settings ”。 单击“ 流 Stream ”部分，并将“ 串流类型 Stream Type ” 设置为“ 自定义流媒体服务器 Custom Streaming Server ”。

在 URL 框中，输入前缀 rtmp:// 后跟流媒体服务器的 IP 地址，后跟 /live。例如，rtmp://IP-ADDRESS/live。

接下来，你可能需要输入“ 串流密钥 Stream key ”，这是观看你的流所需的特殊标识符。 在“ 串流密钥 Stream key ”框中输入你想要（并且可以记住）的任何关键词。

单击“ 应用 Apply ”，然后单击“ 确定 OK ”。

现在 OBS 已配置为将你的流发送到你的服务器，你可以开始你的第一个视频流。 单击“ 开始推流 Start Streaming ”。

如果一切正常，你应该会看到按钮更改为“ 停止推流 Stop Streaming ”，并且在 OBS 的底部将出现一些带宽指标。

如果你收到错误消息，请仔细检查 OBS 中的流设置是否有拼写错误。如果一切看起来都不错，则可能是另一个问题阻止了它的工作。

观看你的视频流

如果没有人观看，就说明直播视频不是很好，所以请成为你的第一个观众！

有许多支持 RTMP 的开源媒体播放器，但最著名的可能是 VLC 媒体播放器。

安装并启动 VLC 后，通过单击“ 媒体 > 打开网络串流 Media > Open Network Stream ” 打开你的流。输入你的流的路径，添加你在 OBS 中设置的串流密钥，然后单击“ 播放 Play ”。 例如，rtmp://IP-ADDRESS/live/SECRET-KEY。

你现在应该可以看到自己的实时视频流了！

接下来要做什么？

本项目是一个非常简单的设置，可以让你开始工作。 以下是你可能想要使用的另外两个功能。

• 限制访问： 你可能想要做的下一件事情是限制对你服务器的访问，因为默认设置允许任何人与服务器之间进行流传输。有多种设置方法，例如操作系统防火墙、.htaccess 文件，甚至使用 STMP 模块中的内置访问控制。
• 录制流： 这个简单的 Nginx 配置只会流传输而不会保存你的视频，但这很容易修改。在 Nginx 配置文件中的 RTMP 部分下，设置录制选项和要保存视频的位置。确保你设置的路径存在并且 Nginx 能够写入它。

application live {
  live on;
  record all;
  record_path /var/www/html/recordings;
  record_unique on;
}

实时流媒体的世界在不断发展，如果你对更高级的用途感兴趣，可以在互联网上找到许多其他很棒的资源。祝你好运，直播快乐！

via: https://opensource.com/article/19/1/basic-live-video-streaming-server

作者：Aaron J.Prisk 选题：lujun9972 译者：Starryi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

LVM 为你配置存储的方式提供了极大的灵活性。

逻辑卷管理器 Logical Volume Manager （LVM）允许在操作系统和硬件之间建立一个抽象层。通常，你的操作系统会查找磁盘（/dev/sda、/dev/sdb 等）和这些磁盘中的分区（/dev/sda1、/dev/sdb1 等）。

LVM 在操作系统和磁盘之间创建了一个虚拟层。LVM 不是一个驱动器持有一定数量的分区，而是创建一个统一的存储池（称为 卷组 Volume Group ），跨越任意数量的物理驱动器（称为 物理卷 Physical Volume ）。使用卷组中可用的存储，LVM 可以为你的操作系统提供类似磁盘和分区的功能。

操作系统完全没有意识到它被“欺骗”了。

由于 LVM 虚拟地创建卷组和逻辑卷，因此即使在系统运行时，也可以轻松调整它们的大小或移动它们，或者创建新卷。此外，LVM 提供了其它情况下不存在的特性，比如创建逻辑卷的活动快照时无需首先卸载磁盘。

LVM 中的卷组是一个命名的虚拟容器，将底层物理磁盘组合在一起。它充当一个池，可以从中创建不同大小的 逻辑卷 Logical Volume 。逻辑卷包含实际的文件系统并且可以跨越多个磁盘，并且不需要物理上连续。

特性

• 分区名称通常具有系统名称，例如 /dev/sda1。LVM 具有便于人们理解的名称，例如 home 或者 media。
• 分区的总大小受底层物理磁盘大小的限制。在 LVM 中，卷可以跨越多个磁盘，并且仅受 LVM 中所有物理磁盘总大小的限制。
• 分区通常只有在磁盘未使用且已卸载时才能调整大小、移动或删除。LVM 卷可以在系统运行时进行操作。
• 只能通过分配与分区相邻的可用空间来扩展分区。LVM 卷可以从任何地方占用可用空间。
• 扩展分区涉及移动数据以腾出可用空间，这非常耗时，并且可能会在断电期间导致数据丢失。LVM 卷可以从卷组中的任何地方占用可用空间，甚至可以在另一块磁盘上。
• 因为在 LVM 中创建卷非常容易，所以它鼓励创建不同的卷，例如创建单独的卷来测试功能或尝试不同的操作系统。对于分区，此过程将非常耗时并且容易出错。
• 快照只能在 LVM 中创建。它允许你创建当前逻辑卷的时间点镜像，即使在系统运行时也可以。这非常适合备份。

测试设置

作为演示，假设你的系统具有以下驱动器配置：

NAME    MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda    202:0    0   8G  0 disk
`-xvda1 202:1    0   8G  0 part /
xvdb    202:16   0   1G  0 disk
xvdc    202:32   0   1G  0 disk
xvdd    202:48   0   2G  0 disk
xvde    202:64   0   5G  0 disk
xvdf    202:80   0   8G  0 disk

步骤 1. 初始化磁盘以用于 LVM

运行 pvcreate /dev/xvdb /dev/xvdc /dev/xvdd /dev/xvde /dev/xvdf。输出应如下：

Physical volume "/dev/xvdb" successfully created
Physical volume "/dev/xvdc" successfully created
Physical volume "/dev/xvdd" successfully created
Physical volume "/dev/xvde" successfully created
Physical volume "/dev/xvdf" successfully created

使用 pvs 或者 pvdisplay 查看结果：

"/dev/xvde" is a new physical volume of "5.00 GiB"
--- NEW Physical volume ---
PV Name               /dev/xvde
VG Name
PV Size               5.00 GiB
Allocatable           NO
PE Size               0
Total PE              0
Free PE               0
Allocated PE          0
PV UUID               728JtI-ffZD-h2dZ-JKnV-8IOf-YKdS-8srJtn

"/dev/xvdb" is a new physical volume of "1.00 GiB"
--- NEW Physical volume ---
PV Name               /dev/xvdb
VG Name
PV Size               1.00 GiB
Allocatable           NO
PE Size               0
Total PE              0
Free PE               0
Allocated PE          0
PV UUID               zk1phS-7uXc-PjBP-5Pv9-dtAV-zKe6-8OCRkZ

"/dev/xvdd" is a new physical volume of "2.00 GiB"
--- NEW Physical volume ---
PV Name               /dev/xvdd
VG Name
PV Size               2.00 GiB
Allocatable           NO
PE Size               0
Total PE              0
Free PE               0
Allocated PE          0
PV UUID               R0I139-Ipca-KFra-2IZX-o9xJ-IW49-T22fPc

"/dev/xvdc" is a new physical volume of "1.00 GiB"
--- NEW Physical volume ---
PV Name               /dev/xvdc
VG Name
PV Size               1.00 GiB
Allocatable           NO
PE Size               0
Total PE              0
Free PE               0
Allocated PE          0
PV UUID               FDzcVS-sq22-2b13-cYRj-dXHf-QLjS-22Meae

"/dev/xvdf" is a new physical volume of "8.00 GiB"
--- NEW Physical volume ---
PV Name               /dev/xvdf
VG Name
PV Size               8.00 GiB
Allocatable           NO
PE Size               0
Total PE              0
Free PE               0
Allocated PE          0
PV UUID               TRVSH9-Bo5D-JHHb-g0NX-8IoS-GG6T-YV4d0p

步骤 2. 创建卷组

运行 vgcreate myvg /dev/xvdb /dev/xvdc /dev/xvdd /dev/xvde /dev/xvdf。通过 vgs 或者 vgdisplay 查看结果：

--- Volume group ---
VG Name               myvg
System ID
Format                lvm2
Metadata Areas        5
Metadata Sequence No  1
VG Access             read/write
VG Status             resizable
MAX LV                0
Cur LV                0
Open LV               0
Max PV                0
Cur PV                5
Act PV                5
VG Size               16.98 GiB
PE Size               4.00 MiB
Total PE              4347
Alloc PE / Size       0 / 0
Free  PE / Size       4347 / 16.98 GiB
VG UUID               ewrrWp-Tonj-LeFa-4Ogi-BIJJ-vztN-yrepkh

步骤 3: 创建逻辑卷

运行以下命令：

lvcreate myvg --name media --size 4G
lvcreate myvg --name home --size 4G

使用 lvs 或者 lvdisplay 验证结果：

--- Logical volume ---
LV Path                /dev/myvg/media
LV Name                media
VG Name                myvg
LV UUID                LOBga3-pUNX-ZnxM-GliZ-mABH-xsdF-3VBXFT
LV Write Access        read/write
LV Creation host, time ip-10-0-5-236, 2017-02-03 05:29:15 +0000
LV Status              available
# open                 0
LV Size                4.00 GiB
Current LE             1024
Segments               1
Allocation             inherit
Read ahead sectors     auto
- currently set to     256
Block device           252:0

--- Logical volume ---
LV Path                /dev/myvg/home
LV Name                home
VG Name                myvg
LV UUID                Hc06sl-vtss-DuS0-jfqj-oNce-qKf6-e5qHhK
LV Write Access        read/write
LV Creation host, time ip-10-0-5-236, 2017-02-03 05:29:40 +0000
LV Status              available
# open                 0
LV Size                4.00 GiB
Current LE             1024
Segments               1
Allocation             inherit
Read ahead sectors     auto
- currently set to     256
Block device           252:1

步骤 4: 创建文件系统

使用以下命令创建文件系统：

vgcreate myvg /dev/xvdb /dev/xvdc /dev/xvdd /dev/xvde /dev/xvdf
mkfs.ext3 /dev/myvg/media
mkfs.ext3 /dev/myvg/home

挂载它：

mount /dev/myvg/media /media
mount /dev/myvg/home /home

使用 lsblk 命令查看完整配置：

NAME         MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda         202:0    0   8G  0 disk
`-xvda1      202:1    0   8G  0 part /
xvdb         202:16   0   1G  0 disk
xvdc         202:32   0   1G  0 disk
xvdd         202:48   0   2G  0 disk
xvde         202:64   0   5G  0 disk
`-myvg-media 252:0    0   4G  0 lvm  /media
xvdf         202:80   0   8G  0 disk
`-myvg-home  252:1    0   4G  0 lvm  /home

步骤 5: 扩展 LVM

添加一块新的 /dev/xvdg 磁盘。要扩展 home 卷，运行以下命令：

pvcreate /dev/xvdg
vgextend myvg /dev/xvdg
lvextend -l 100%FREE /dev/myvg/home
resize2fs /dev/myvg/home

运行 df -h，你应该可以看到新的磁盘大小。

就是这样！

LVM 为你配置存储的方式提供了极大的灵活性。尝试一下，并享受 LVM 的乐趣！

本文首发于 作者个人博客，经授权改编。

via: https://opensource.com/article/21/9/add-storage-lvm

作者：Ayush Sharma 选题：lujun9972 译者：perfiffer 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

你好！最近我和几个朋友聊天，他们提到希望知道如何使用 dig 来进行 DNS 查询，所以这是一篇关于它的速读博文。

当我第一次使用 dig 时，我发现它有点吓人 —— 有这么多的选项！我打算把大部分的选项省略。在这篇文章中，我打算不谈 dig 的大部分选项，只谈我实际使用的选项。

我最近还了解到，你可以设置一个 .digrc 配置文件，让它的输出更容易阅读，这让它的使用变得更加轻松。

几年前我还画了一个关于 dig 的 zine 页，但我想写这篇文章来包括更多的信息。

两种类型的 dig 参数：查询和格式化

有两种主要的参数可以传递给 dig：

1. 告诉 dig 要进行什么 DNS 查询的参数。
2. 告诉 dig 如何 格式化响应的参数。

首先，让我们看一下查询选项。

主要的查询选项

你通常想控制 DNS 查询的 3 件事是：

1. 名称（如 jvns.ca）。默认情况下，查询的是空名称（.）。
2. DNS 查询类型（如 A 或 CNAME）。默认是 A。
3. 发送查询的 服务器（如 8.8.8.8）。默认是 /etc/resolv.conf 中的内容。

其格式是：

dig @server name type

这里有几个例子：

• dig @8.8.8.8 jvns.ca 向谷歌的公共 DNS 服务器（8.8.8.8）查询 jvns.ca。
• dig ns jvns.ca 对 jvns.ca 进行类型为 NS 的查询。

-x：进行反向 DNS 查询

我偶尔使用的另一个查询选项是 -x，用于进行反向 DNS 查询。下面是输出结果的样子。

$ dig -x 172.217.13.174
174.13.217.172.in-addr.arpa. 72888 IN PTR yul03s04-in-f14.1e100.net。

-x 不是魔术。dig -x 172.217.13.174 只是对 174.13.217.172.in-addr.arpa. 做了一个 PTR 查询。下面是如何在不使用 `-x’ 的情况下进行完全相同的反向 DNS 查询。

$ dig ptr 174.13.217.172.in-addr.arpa.
174.13.217.172.in-addr.arpa. 72888 IN PTR yul03s04-in-f14.1e100.net。

我总是使用 -x，因为它可以减少输入。

格式化响应的选项

现在，让我们讨论一下你可以用来格式化响应的参数。

我发现 dig 默认格式化 DNS 响应的方式对初学者来说是很难接受的。下面是输出结果的样子：

; <<>> DiG 9.16.20 <<>> -r jvns.ca
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28629
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: d87fc3022c0604d60100000061ab74857110b908b274494d (good)
;; QUESTION SECTION:
;jvns.ca.           IN  A

;; ANSWER SECTION:
jvns.ca.        276 IN  A   172.64.80.1

;; Query time: 9 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat Dec 04 09:00:37 EST 2021
;; MSG SIZE  rcvd: 80

如果你不习惯看这个，你可能需要花点时间来筛选，找到你要找的 IP 地址。而且大多数时候，你只对这个响应中的一行感兴趣（jvns.ca. 180 IN A 172.64.80.1）。

下面是我最喜欢的两种方法，可以使 dig 的输出更容易管理：

方式 1 : +noall +answer

这告诉 dig 只打印 DNS 响应中的“答案”部分的内容。下面是一个查询 google.com 的 NS 记录的例子：

$ dig +noall +answer ns google.com
google.com.     158564  IN  NS  ns4.google.com.
google.com.     158564  IN  NS  ns1.google.com.
google.com.     158564  IN  NS  ns2.google.com.
google.com.     158564  IN  NS  ns3.google.com.

这里的格式是：

NAME         TTL            TYPE   CONTENT
google.com   158564   IN    NS     ns3.google.com.

顺便说一下：如果你曾经想知道 IN 是什么意思，它是指“查询类”，代表“ 互联网 internet ”。它基本上只是上世纪 80、90 年代的遗物，当时还有其他网络与互联网竞争，如“ 混沌网络 chaosnet ”。

方式 2：+short

这就像 dig +noall +answer，但更短：它只显示每条记录的内容。比如说：

$ dig +short ns google.com
ns2.google.com.
ns1.google.com.
ns4.google.com.
ns3.google.com.

你可以在 digrc 中设置格式化选项

如果你不喜欢 dig 的默认格式（我就不喜欢！），你可以在你的主目录下创建一个 .digrc 文件，告诉它默认使用不同的格式。

我非常喜欢 +noall +answer 格式，所以我把 +noall +answer 放在我的 ~/.digrc 中。下面是我使用该配置文件运行 dig jvns.ca 时的情况。

$ dig jvns.ca
jvns.ca.        255在172.64.80.1中

这样读起来就容易多了！

如果我想回到所有输出的长格式（我有时会这样做，通常是因为我想看响应的权威部分的记录），我可以通过运行再次得到一个长答案。

$ dig +all jvns.ca

dig +trace

我使用的最后一个 dig 选项是 +trace。dig +trace 模仿 DNS 解析器在查找域名时的做法 —— 它从根域名服务器开始，然后查询下一级域名服务器（如 .com），以此类推，直到到达该域名的权威域名服务器。因此，它将进行大约 30 次 DNS 查询。（我用 tcpdump 检查了一下，对于每个根域名服务器的 A / AAAA 记录它似乎要进行 2 次查询，所以这已经是 26 次查询了。我不太清楚它为什么这样做，因为它应该已经有了这些 IP 的硬编码，但它确实如此。）

我发现这对了解 DNS 的工作原理很有用，但我不认为我用它解决过问题。

为什么要用 dig

尽管有一些更简单的工具来进行 DNS 查询（如 dog 和 host），我发现自己还是坚持使用 dig。

我喜欢 dig 的地方实际上也是我 不喜欢 dig 的地方 —— 它显示了大量的细节！

我知道，如果我运行 dig +all，它将显示 DNS 响应的所有部分。例如，让我们查询 jvns.ca 的一个根名称服务器。响应有 3 个部分，我可能会关心：回答部分、权威部分和附加部分。

$ dig @h.root-servers.net. jvns.ca +all
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18229
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 9
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;jvns.ca.           IN  A

;; AUTHORITY SECTION:
ca.         172800  IN  NS  c.ca-servers.ca.
ca.         172800  IN  NS  j.ca-servers.ca.
ca.         172800  IN  NS  x.ca-servers.ca.
ca.         172800  IN  NS  any.ca-servers.ca.

;; ADDITIONAL SECTION:
c.ca-servers.ca.    172800  IN  A   185.159.196.2
j.ca-servers.ca.    172800  IN  A   198.182.167.1
x.ca-servers.ca.    172800  IN  A   199.253.250.68
any.ca-servers.ca.  172800  IN  A   199.4.144.2
c.ca-servers.ca.    172800  IN  AAAA    2620:10a:8053::2
j.ca-servers.ca.    172800  IN  AAAA    2001:500:83::1
x.ca-servers.ca.    172800  IN  AAAA    2620:10a:80ba::68
any.ca-servers.ca.  172800  IN  AAAA    2001:500:a7::2

;; Query time: 103 msec
;; SERVER: 198.97.190.53#53(198.97.190.53)
;; WHEN: Sat Dec 04 11:23:32 EST 2021
;; MSG SIZE  rcvd: 289

dog 也显示了 “附加” 部分的记录，但它没有明确指出哪个是哪个（我猜 + 意味着它在附加部分？） ，但它似乎没有显示“权威”部分的记录。

$ dog @h.root-servers.net. jvns.ca 
  NS ca.                2d0h00m00s A "c.ca-servers.ca."
  NS ca.                2d0h00m00s A "j.ca-servers.ca."
  NS ca.                2d0h00m00s A "x.ca-servers.ca."
  NS ca.                2d0h00m00s A "any.ca-servers.ca."
   A c.ca-servers.ca.   2d0h00m00s + 185.159.196.2
   A j.ca-servers.ca.   2d0h00m00s + 198.182.167.1
   A x.ca-servers.ca.   2d0h00m00s + 199.253.250.68
   A any.ca-servers.ca. 2d0h00m00s + 199.4.144.2
AAAA c.ca-servers.ca.   2d0h00m00s + 2620:10a:8053::2
AAAA j.ca-servers.ca.   2d0h00m00s + 2001:500:83::1
AAAA x.ca-servers.ca.   2d0h00m00s + 2620:10a:80ba::68
AAAA any.ca-servers.ca. 2d0h00m00s + 2001:500:a7::2

而 host 似乎只显示“答案”部分的记录（在这种情况下没有得到记录）：

$ host jvns.ca h.root-servers.net
Using domain server:
Name: h.root-servers.net
Address: 198.97.190.53#53
Aliases:

总之，我认为这些更简单的 DNS 工具很好（我甚至自己做了一个 简单的网络 DNS 工具），如果你觉得它们更容易，你绝对应该使用它们，但这就是为什么我坚持使用 dig 的原因。drill 的输出格式似乎与 dig 的非常相似，也许 drill 更好！但我还没有真正试过它。

就这些了

我最近才知道 .digrc，我非常喜欢使用它，所以我希望它能帮助你们中的一些人花更少的时间来整理 dig 的输出！

有人在 Twitter 上指出，如果有办法让 dig 显示响应的简短版本，其中也包括响应的状态（如 NOERROR、NXDOMAIN、SERVFAIL 等），那就更好了！我同意这个观点！不过我在手册中没有找到这样的选项。

via: https://jvns.ca/blog/2021/12/04/how-to-use-dig/

作者：Julia Evans 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出