我目前已从 chroot（译者注：chroot可以构建类似沙盒的环境，建议各位同学先了解chroot） 迁移到 systemd-nspawn，同时我写了一篇快速指南。简单的说，我强烈建议正在使用 systemd 的用户从 chroot 转为 systemd-nspawn，因为只要你的内核配置正确的话，它几乎没有什么缺点。

想必在各大发行版中的用户对 chroot 都不陌生，而且我猜想 Gentoo 用户要时不时的使用它。

chroot 面临的挑战

大多数交互环境下，仅运行chroot还不够。通常还要挂载 /proc， /sys，另外为了确保不会出现类似“丢失 ptys”之类的错误，我们还得 bind（译者注：bind 是 mount 的一个选项） 挂载 /dev。如果你使用 tmpfs，你可能想要以 tmpfs 类型挂载新的 tmp、 var/tmp。接下来你可能还想将其他的挂载点 bind 到 chroot 中。这些都不是特别难，但是一般情况下要写一个脚本来管理它。

现在我按照日常计划执行备份操作，当然有一些不必备份的数据如 tmp 目录，或任何 bind 挂载的内容。当我配置了一个新的 chroot 后就意味着我要更新我的备份配置了，但我经常忘记这点，因为大多数时间里 chroot 挂载点并没有运行。当这些挂载点仍然存在的情况下执行备份的话，那么备份中会多出很多不需要的内容。

当 bind 挂载点包含其他挂载点时（比如挂载时使用 -rbind 选项），这种情况下 systemd 的默认处理方式略有不同。在 bind 挂载中卸载一些东西时，systemd 会将处于 bind 另一边的目录也卸载掉。想像一下，如果我卸载了 chroot 中以 bind 挂载 /dev 的某个目录后，发现主机上的 /dev/pts 与 /dev/shm 也不见了，我肯定会很吃惊。不过好像有其他方法可以避免，但是这不是我们此次讨论的重点。

Systemd-nspawn 优点

Systemd-nspawn 用于启动一个容器，并且它的最简模式就可以像 chroot 那样运行。默认情况下，它自动配置容器所需的开销如 /dev, /tmp 等等。通过配合一些选项它也可配置其他的 bind 挂载点。当容器退出后，所有的挂载点都会被清除。

容器运行时，从外部看上去没什么变化。事实上，可以从同一个 chroot 产生5个不同的 systemd-nspawn 容器实例，并且除了文件系统（不包括 /dev, /tmp等，只有 /usr,/etc 的改变会传递）外它们之间没有任何联系。你的备份将会忽略 bind 挂载点、tmpfs 及任何挂载在容器中的内容。

它同时具有其它优秀容器的优点，比如 containment - 可以杀死容器内的所有活动但不影响外部，等等。它的安全性并不是无懈可击的-它的作用仅仅是防止意外的错误。

如果你使用的是兼容的 sysvinit（它包含了 systemd，openrc），你可以启动容器。这意味着，你可以在容器中使用 fstab 添加挂载点，运行守护进程等。只需要一个 chroot 的开销，几乎就可以获得虚拟化的所有好处（不需要构建内核等）。在一个看起来像 chroot 的容器中运行systemctl poweroff 看起来很奇怪，但这条命令能够起作用。

注意，如果不做额外配置的话那么容器就会共享主机的网络，所以主机上的容器不要运行 sshd。运行一个分离的网络 namespace 不是太难，为了新的实例可以使用DHCP，分离之后记得绑定接口。

操作步骤

让它工作起来是此次讨论中最简短的部分了。

首先系统内核要支持 namespaces 与 devpts：

CONFIG_UTS_NS=y
CONFIG_IPC_NS=y
CONFIG_USER_NS=y
CONFIG_PID_NS=y
CONFIG_NET_NS=y
CONFIG_DEVPTS_MULTIPLE_INSTANCES=y

像 chroot 那样启动 namespace 是非常简单的：

systemd-nspawn -D .

也可以像 chroot 那样退出。在内部可以运行 mount 并且可以看到默认它已将 /dev 与 /tmp 准备好了。 ”.“就是 chroot 的路径，也就是当前路径。在它内部运行的是 bash。

如果要添加一些 bind 挂载点也非常简便：

systemd-nspawn -D . --bind /usr/portage

现在，容器中的 /usr/portage 就与主机的对应目录绑定起来了，我们无需 sync /etc。如果想要绑定到指定的路径，只要在原路径后添加 ”:dest“，相当于 chroot 的 root（--bind foo 与 --bind foo:foo是一样的）。

如果容器具有 init 功能并且可以在内部运行，可以通过添加 -b 选项启动它：

systemd-nspawn -D . --bind /usr/portage -b

可以观察到 init 的运作。关闭容器会自动退出。

如果容器内运行了 systemd ，你可以使用 -h 选项将它的日志重定向到主机的systemd日志：

systemd-nspawn -D . --bind /usr/portage -j -b

使用 nspawn 注册容器以便它能够在 machinectl 中显示。如此可以方便的在主机上对它进行操作，如启动新的 getty， ssh 连接，关机等。

如果你正在使用 systemd 那么甩开 chroot 拥抱 nspawn 吧。

via: http://rich0gentoo.wordpress.com/2014/07/14/quick-systemd-nspawn-guide/

作者：rich0 译者：SPccman 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Hello，大家好！我是——邪恶君子！

今天，给大家分享一下解决源码包编译安装 LEMP 环境下开启 OpenSSL 功能问题的过程。前几天，在访问页面时，突然报错，要求开启 openssl 功能。那怎么办呢，首先想到的是 yum 安装，但是，安装后还是没解决，因为 LEMP 的环境是源码包编译安装的，所以，还需要编译安装 openssl。

经过邪恶不懈的努力，终于找到了解决办法，而且真的成功了，下面就给大家分享一下！

首先，要确保 LEMP 环境是源码包编译安装的，并且要清楚 PHP 的安装目录在哪里。

其次，可以通过 yum 源的方式或者源码包编译安装 OpenSSL、OpenSSL-devel 两个包。

然后，进入到 PHP 解压出来的目录里面，我这里的目录是 PHP-5.4.24。在 PHP 目录下，会有一个 ext 的扩展目录，进入里面，找到并进入 openssl 的目录。这时，我们所在的目录是：/root/php-5.4.24/ext/openssl

这个目录下会有如下文件，看图：

然后，执行 /usr/local/php5/bin/phpize 命令（在执行前要确保已安装 m4 和 autoconf 两个工具，否则会报错）。

注意：这里是我的phpize路径，根据自己的安装路径执行；如果找不到，使用 whereis phpize 查找。如果执行时报错无法找到 config.m4 文件，那么就把目录下面的 config0.m4 重命名 config.m4，因为 config0.m4就是config.m4 的模版。

如果命令成功执行完毕，那么目录下面就会自动多出个 configure 文件，这时，只需要编译安装就行了。过程如下：

# ./configure --with-openssl --with-php-config=/usr/local/php5/bin/php-config
# make && make install

耐心等候，安装完成后，会在当前的modules目录下面多出一个openssl.so文件；然后在php.ini配置文件最后面加上如下一行内容：

extension=openssl.so

然后，重启nginx服务和php-fpm，就可以了！

至此，在源码编译安装LNMP环境下开启openssl功能成功解决！

如果有在操作中遇到啥问题，可以留言交流一下，共同学习，共同进步！

Personal Home Page：http://linux.cn/space/16475

在之前的教程中，我对如何简单地使用Quagga把CentOS系统变成一个不折不扣地OSPF路由器做了一些介绍。Quagga是一个开源路由软件套件。在这个教程中，我将会重点讲讲如何把一个Linux系统变成一个BGP路由器，还是使用Quagga，演示如何建立BGP与其它BGP路由器对等。

在我们进入细节之前，一些BGP的背景知识还是必要的。边界网关协议（即BGP）是互联网的域间路由协议的实际标准。在BGP术语中，全球互联网是由成千上万相关联的自治系统(AS)组成，其中每一个AS代表每一个特定运营商提供的一个网络管理域（据说，美国前总统乔治.布什都有自己的 AS 编号）。

为了使其网络在全球范围内路由可达，每一个AS需要知道如何在英特网中到达其它的AS。这时候就需要BGP出来扮演这个角色了。BGP是一个AS去与相邻的AS交换路由信息的语言。这些路由信息通常被称为BGP线路或者BGP前缀。包括AS号(ASN；全球唯一号码)以及相关的IP地址块。一旦所有的BGP线路被当地的BGP路由表学习和记录，每一个AS将会知道如何到达互联网的任何公网IP。

在不同域(AS)之间路由的能力是BGP被称为外部网关协议(EGP)或者域间协议的主要原因。就如一些路由协议，例如OSPF、IS-IS、RIP和EIGRP都是内部网关协议(IGPs)或者域内路由协议，用于处理一个域内的路由.

测试方案

在这个教程中，让我们来使用以下拓扑。

我们假设运营商A想要建立一个BGP来与运营商B对等交换路由。它们的AS号和IP地址空间的细节如下所示：

• 运营商 A: ASN (100)， IP地址空间 (100.100.0.0/22)， 分配给BGP路由器eth1网卡的IP地址(100.100.1.1)
• 运营商 B: ASN (200)， IP地址空间 (200.200.0.0/22)， 分配给BGP路由器eth1网卡的IP地址(200.200.1.1)

路由器A和路由器B使用100.100.0.0/30子网来连接到对方。从理论上来说，任何子网从运营商那里都是可达的、可互连的。在真实场景中，建议使用掩码为30位的公网IP地址空间来实现运营商A和运营商B之间的连通。

在 CentOS中安装Quagga

如果Quagga还没安装好，我们可以使用yum来安装Quagga。

# yum install quagga 

如果你正在使用的是CentOS7系统，你需要应用一下策略来设置SELinux。否则，SElinux将会阻止Zebra守护进程写入它的配置目录。如果你正在使用的是CentOS6，你可以跳过这一步。

# setsebool -P zebra_write_config 1 

Quagga软件套件包含几个守护进程，这些进程可以协同工作。关于BGP路由，我们将把重点放在建立以下2个守护进程。

• Zebra:一个核心守护进程用于内核接口和静态路由.
• BGPd:一个BGP守护进程.

配置日志记录

在Quagga被安装后，下一步就是配置Zebra来管理BGP路由器的网络接口。我们通过创建一个Zebra配置文件和启用日志记录来开始第一步。

# cp /usr/share/doc/quagga-XXXXX/zebra.conf.sample /etc/quagga/zebra.conf 

在CentOS6系统中：

# service zebra start
# chkconfig zebra on

在CentOS7系统中:

# systemctl start zebra
# systemctl enable zebra 

Quagga提供了一个叫做vtysh特有的命令行工具，你可以输入与路由器厂商(例如Cisco和Juniper)兼容和支持的命令。我们将使用vtysh shell来配置BGP路由在教程的其余部分。

启动vtysh shell 命令，输入：

# vtysh

提示将被改成该主机名，这表明你是在vtysh shell中。

Router-A#

现在我们将使用以下命令来为Zebra配置日志文件：

Router-A# configure terminal
Router-A(config)# log file /var/log/quagga/quagga.log
Router-A(config)# exit

永久保存Zebra配置：

Router-A# write

在路由器B操作同样的步骤。

配置对等的IP地址

下一步，我们将在可用的接口上配置对等的IP地址。

Router-A# show interface   #显示接口信息

Interface eth0 is up, line protocol detection is disabled
. . . . .
Interface eth1 is up, line protocol detection is disabled
. . . . .

配置eth0接口的参数：

site-A-RTR# configure terminal
site-A-RTR(config)# interface eth0
site-A-RTR(config-if)# ip address 100.100.0.1/30
site-A-RTR(config-if)# description "to Router-B"
site-A-RTR(config-if)# no shutdown
site-A-RTR(config-if)# exit

继续配置eth1接口的参数：

site-A-RTR(config)# interface eth1
site-A-RTR(config-if)# ip address 100.100.1.1/24
site-A-RTR(config-if)# description "test ip from provider A network"
site-A-RTR(config-if)# no shutdown
site-A-RTR(config-if)# exit

现在确认配置：

Router-A# show interface 

Interface eth0 is up, line protocol detection is disabled
  Description: "to Router-B"
  inet 100.100.0.1/30 broadcast 100.100.0.3
Interface eth1 is up, line protocol detection is disabled
  Description: "test ip from provider A network"
  inet 100.100.1.1/24 broadcast 100.100.1.255

Router-A# show interface description   #显示接口描述

Interface       Status  Protocol  Description
eth0            up      unknown   "to Router-B"
eth1            up      unknown   "test ip from provider A network"

如果一切看起来正常，别忘记保存配置。

Router-A# write

同样地，在路由器B重复一次配置。

在我们继续下一步之前，确认下彼此的IP是可以ping通的。

Router-A# ping 100.100.0.2 

PING 100.100.0.2 (100.100.0.2) 56(84) bytes of data.
64 bytes from 100.100.0.2: icmp_seq=1 ttl=64 time=0.616 ms

下一步，我们将继续配置BGP对等和前缀设置。

配置BGP对等

Quagga守护进程负责BGP的服务叫bgpd。首先我们来准备它的配置文件。

# cp /usr/share/doc/quagga-XXXXXXX/bgpd.conf.sample /etc/quagga/bgpd.conf 

在CentOS6系统中：

# service bgpd start
# chkconfig bgpd on

在CentOS7中：

# systemctl start bgpd
# systemctl enable bgpd

现在，让我们来进入Quagga 的shell。

# vtysh

第一步，我们要确认当前没有已经配置的BGP会话。在一些版本，我们可能会发现一个AS号为7675的BGP会话。由于我们不需要这个会话，所以把它移除。

Router-A# show running-config 

... ... ...
router bgp 7675
 bgp router-id 200.200.1.1
... ... ... 

我们将移除一些预先配置好的BGP会话，并建立我们所需的会话取而代之。

Router-A# configure terminal
Router-A(config)# no router bgp 7675
Router-A(config)# router bgp 100
Router-A(config)# no auto-summary
Router-A(config)# no synchronizaiton
Router-A(config-router)# neighbor 100.100.0.2 remote-as 200
Router-A(config-router)# neighbor 100.100.0.2 description "provider B"
Router-A(config-router)# exit
Router-A(config)# exit
Router-A# write 

路由器B将用同样的方式来进行配置，以下配置提供作为参考。

Router-B# configure terminal
Router-B(config)# no router bgp 7675
Router-B(config)# router bgp 200
Router-B(config)# no auto-summary
Router-B(config)# no synchronizaiton
Router-B(config-router)# neighbor 100.100.0.1 remote-as 100
Router-B(config-router)# neighbor 100.100.0.1 description "provider A"
Router-B(config-router)# exit
Router-B(config)# exit
Router-B# write 

当相关的路由器都被配置好，两台路由器之间的对等将被建立。现在让我们通过运行下面的命令来确认：

Router-A# show ip bgp summary 

从输出中，我们可以看到"State/PfxRcd"部分。如果对等关闭，输出将会显示"Idle"或者"Active'。请记住，单词'Active'这个词在路由器中总是不好的意思。它意味着路由器正在积极地寻找邻居、前缀或者路由。当对等是up状态，"State/PfxRcd"下的输出状态将会从特殊邻居接收到前缀号。

在这个例子的输出中，BGP对等只是在AS100和AS200之间呈up状态。因此没有前缀被更改，所以最右边列的数值是0。

配置前缀通告

正如一开始提到，AS 100将以100.100.0.0/22作为通告，在我们的例子中AS 200将同样以200.200.0.0/22作为通告。这些前缀需要被添加到BGP配置如下。

在路由器-A中：

Router-A# configure terminal
Router-A(config)# router bgp 100
Router-A(config)# network 100.100.0.0/22
Router-A(config)# exit
Router-A# write

在路由器-B中：

Router-B# configure terminal
Router-B(config)# router bgp 200
Router-B(config)# network 200.200.0.0/22
Router-B(config)# exit
Router-B# write 

在这一点上，两个路由器会根据需要开始通告前缀。

测试前缀通告

首先，让我们来确认前缀的数量是否被改变了。

Router-A# show ip bgp summary 

为了查看所接收的更多前缀细节，我们可以使用以下命令，这个命令用于显示邻居100.100.0.2所接收到的前缀总数。

 Router-A# show ip bgp neighbors 100.100.0.2 advertised-routes 

查看哪一个前缀是我们从邻居接收到的：

Router-A# show ip bgp neighbors 100.100.0.2 routes 

我们也可以查看所有的BGP路由器：

Router-A# show ip bgp 

以上的命令都可以被用于检查哪个路由器通过BGP在路由器表中被学习到。

Router-A# show ip route 

代码: K - 内核路由, C - 已链接 , S - 静态 , R - 路由信息协议 , O - 开放式最短路径优先协议,

       I - 中间系统到中间系统的路由选择协议, B - 边界网关协议, > - 选择路由, * - FIB 路由

C>* 100.100.0.0/30 is directly connected, eth0
C>* 100.100.1.0/24 is directly connected, eth1
B>* 200.200.0.0/22 [20/0] via 100.100.0.2, eth0, 00:06:45

Router-A# show ip route bgp 

B>* 200.200.0.0/22 [20/0] via 100.100.0.2, eth0, 00:08:13

BGP学习到的路由也将会在Linux路由表中出现。

[root@Router-A~]# ip route 

100.100.0.0/30 dev eth0  proto kernel  scope link  src 100.100.0.1
100.100.1.0/24 dev eth1  proto kernel  scope link  src 100.100.1.1
200.200.0.0/22 via 100.100.0.2 dev eth0  proto zebra

最后，我们将使用ping命令来测试连通。结果将成功ping通。

[root@Router-A~]# ping 200.200.1.1 -c 2

总而言之，本教程将重点放在如何在CentOS系统中运行一个基本的BGP路由器。这个教程让你开始学习BGP的配置，一些更高级的设置例如设置过滤器、BGP属性调整、本地优先级和预先路径准备等，我将会在后续的教程中覆盖这些主题。

希望这篇教程能给大家一些帮助。

via: http://xmodulo.com/centos-bgp-router-quagga.html

作者：Sarmed Rahman 译者：disylee 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

无论简单与否，我们都有机会去了解这么一件事，那就是备份的重要性从来都不可以被低估。考虑到备份的方法真的多如牛毛，你可能想要知道怎样来有效地为你的系统选择正确的工具和和合适的策略。

在本文中，我将为你介绍backup-manager，一个简单易用的命令行备份工具，在大多数的Linux发行版的标准软件库中都能见到它的身影。

是什么让备份管理器在众多的备份工具或备份策略中脱颖而出呢？让我来简单介绍一些它的与众不同的特性吧：

• 简单的设计与管理：配置文件易于读懂和编辑，即便是初学者也很容易上手。
• 一劳永逸：它在配置好后就可以通过cron周期性运作。
• 支持多种协议远程备份：无缝整合多种传输协议、应用和云后端（如，FTP，SCP，SSH-GPG，rsync，AWS S3等等）来传输生成的归档包到一组远程主机。
• 支持数据库备份：包括支持开箱即用备份MySQL/MariaDB和PostgreSQL数据库。
• 支持加密：备份过程中支持基于GPG文件的加密。

在Linux上安装备份管理器

备份管理器的安装是快速而无痛的，因为它就包含在大多数Linux发行版的基础软件库中。

Debian，Ubuntu及其衍生版

# aptitude install backup-manager 

在基于Debian的系统中安装时，会提示你输入要存放备份归档文件的目录。如果选择的目录不存在，那么当你首次运行备份管理器时它会自动创建。

选择OK并按回车键。

在下一步中，会询问你要备份的所有目录（用空格分隔）。建议，但不是严格要求，列出同一父目录中的几个子目录，而不要仅仅输入父目录。

你可以跳过该步骤并在以后对配置文件中BM\_TARBALL\_DIRECTORIESb变量进行设置。否则的话，就请尽可能多地添加你想要的目录，然后选择OK：

Fedora或CentOS/RHEL

# yum install backup-manager 

在CentOS/RHEL上，在运行以上yum命令前，你将需要先启用EPEL仓库。

配置备份管理器

备份管理器的主配置文件是/etc/backup-manager.conf。该文件被划分为几个章节，里面定义了备份方法和相关的变量（或“键值”），这些配置让备份管理器成为一个多样化的工具，可以广泛地应付各种状况。

出于演示目的，我们将考虑以下环境：

• 每周对/etc，/home以及/var/log目录进行一次完整备份（我们将在下面通过cron设置备份的频率）。
• 通过SSH传输.tar.gz备份归档文件到两台不同主机dev1和dev3上指定的目标目录。
• 通过SSH备份本地MySQL数据库到相同目标主机。

用你喜爱的文本编辑器打开/etc/backup-manager.conf文件，并编辑以下变量。如果你愿意，你大可不必理会那些#开头的行。在本文中，它只是用作说明的注释：

# Specify the backup method(s) that will be used.
# tarball: takes a list of directories and builds the corresponding tarballs.
# mysql: archives MySQL databases using mysqldump. To restore the database, you # need to use the same tool manually.
export BM_ARCHIVE_METHOD="tarball mysql"

# Where to store the backups.
export BM_REPOSITORY_ROOT="/var/archives"

# The following directive indicates backup-manager to name 
# the generated files after the directory that was backed up.
export BM_TARBALL_NAMEFORMAT="long"

# Define the compression type for the generated files.
export BM_TARBALL_FILETYPE="tar.gz"

# List the directories that you want to backup.
export BM_TARBALL_DIRECTORIES="/etc /home /var/log"

# Exclude some subdirectories or file extensions.
export BM_TARBALL_BLACKLIST="/var/log/myotherapp.log *.mp3 *.mp4"

# List the database(s) that you want to backup, separated by spaces.
export BM_MYSQL_DATABASES="mysql mybase wordpress dotclear phpbb2"

# MySQL username.
export BM_MYSQL_ADMINLOGIN="root"

# MySQL password for username.
export BM_MYSQL_ADMINPASS="mypassword"

# Add support for DROP statements (optional).
export BM_MYSQL_SAFEDUMPS="true"

# The hostname or IP address where the database(s) reside.
export BM_MYSQL_HOST="localhost"

# Port where MySQL server is listening.
export BM_MYSQL_PORT="3306"

# Compression type (optional).
export BM_MYSQL_FILETYPE="gzip"

# Do not archive remote hosts, but only localhost.
BM_TARBALL_OVER_SSH="false"

# User account for SSH upload.
export BM_UPLOAD_SSH_USER="root"

# Absolute path of the user's private key for passwordless SSH login.
export BM_UPLOAD_SSH_KEY="/root/.ssh/id_rsa"

# Remote hosts (make sure you have exported your public key to them):
export BM_UPLOAD_SSH_HOSTS="dev1 dev3"

# Remote destination for uploading backups. If it doesn't exist, 
# this directory will be created automatically the first time
# backup-manager runs.
export BM_UPLOAD_SSH_DESTINATION="/var/archives/backups/$HOSTNAME"

运行备份管理器

要手动运行备份管理器，请输入以下命令。你也可以选择添加‘-v’标识以便一步一步详细检查运行过程。

# backup-manager 

BM\_TARBALL\_DIRECTORIES列出的目录将作为tarball备份到BM\_REPOSITORY\_ROOT目录，然后通过SSH传输到BM\_UPLOAD\_SSH\_DESTINATION指定的主机dev1和dev3。

正如你在上面图片中看到的那样，备份管理器在运行的时候创建了一个名为/root/.back-manager\_my.cnf的文件，MySQL密码通过BM\_MYSQL\_ADMINPASS指定。那样，mysqldump可以验证到MySQL服务器，而不必在命令行以明文格式接受密码，那样会有安全风险。

通过cron运行备份管理器

一旦决定哪一天是进行每周备份的最佳日子（最佳时间），你可以让cron来为你运行备份管理器。

打开root的crontab文件（注意，你必须以root登录）：

# crontab -e 

假定你想要在星期天的上午5:15分运行备份管理器，那么就添加下面这行。

15 05 * * 0 /usr/sbin/backup-manager > /dev/null 2>&1

小结

在本文中，我已经展示了备份管理器这个备份工具是怎样的简单而强大，并且易于使用。在你的备份策略中，你可能还有其它几个选项需要考虑，请参阅手册页或用户手册，里面也包含了几个部署实例和建议。

希望此文对你有所帮助，请在下面随意提问和评论。

via: http://xmodulo.com/linux-backup-manager.html

作者：Gabriel Cánepa 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Question：我想到SSH存在1和2两个版本（SSH1和SSH2）。这两者之间有什么不同？还有我该怎么在Linux上检查SSH协议的版本？

安全Shell（SSH）通过加密的安全通信通道来远程登录或者远程执行命令。SSH被设计来替代不安全的明文协议，如telnet、rsh和rlogin。SSH提供了大量需要的特性，如认证、加密、数据完整性、授权和转发/通道。

SSH1 vs. SSH2

SSH协议规范存在一些小版本的差异，但是有两个主要的大版本：SSH1 (版本号 1.XX) 和 SSH2 (版本号 2.00)。

事实上，SSH1和SSH2是两个完全不同互不兼容的协议。SSH2明显地提升了SSH1中的很多方面。首先，SSH是宏设计，几个不同的功能（如：认证、传输、连接）被打包进一个单一的协议，SSH2带来了比SSH1更强大的安全特性，如基于MAC的完整性检查，灵活的会话密钥更新、充分协商的加密算法、公钥证书等等。

SSH2由IETF标准化，且它的实现在业界被广泛部署和接受。由于SSH2对于SSH1的流行和加密优势，许多产品对SSH1放弃了支持。在写这篇文章的时候，OpenSSH仍旧支持SSH1和SSH2，然而在所有的现代Linux发行版中，OpenSSH服务器默认禁用了SSH1。

检查支持的SSH协议版本

方法一

如果你想检查本地OpenSSH服务器支持的SSH协议版本，你可以参考/etc/ssh/sshd\_config这个文件。用文本编辑器打开/etc/ssh/sshd\_config，并且查看"Protocol"字段。

如果如下显示，就代表服务器只支持SSH2。

Protocol 2

如果如下显示，就代表服务器同时支持SSH1和SSH2。

Protocol 1,2

方法二

如果因为OpenSSH服务其运行在远端服务器上而你不能访问/etc/ssh/sshd\_config。你可以使用叫ssh的SSH客户端来检查支持的协议。具体说来，就是强制ssh使用特定的SSH协议，接着我么查看SSH服务器的响应。

下面的命令强制ssh使用SSH1：

$ ssh -1 user@remote_server

下面的命令强制ssh使用SSH2：

$ ssh -2 user@remote_server

如果远程SSH服务器只支持SSH2,那么第一个带“-1”的选项就会出现像下面的错误信息：

Protocol major versions differ: 1 vs. 2

如果SSH服务器同时支持SSH1和SSH2,那么两个命令都有效。

方法三

另一个检查版本的方法是运行SSH扫描工具，叫做scanssh。这个命令行工具在你想要检查一组IP地址或者整个本地网络来升级SSH1兼容的SSH服务器时很有用。

下面是基本的SSH版本扫描语法。

$ sudo scanssh -s ssh -n [ports] [IP addresses or CIDR prefix] 

"-n"选项可以指定扫描的SSH端口。你可以用都好分隔来扫描多个端口，不带这个选项，scanssh会默认扫描22端口。

使用下面的命令来发现192.168.1.0/24本地网络中的SSH服务器，并检查SSH协议v版本：

$ sudo scan -s ssh 192.168.1.0/24 

如果scanssh为特定IP地址报告“SSH-1.XX-XXXX”，这暗示着相关的SSH服务器支持的最低版本是SSH1.如果远程服务器只支持SSH2,scanssh会显示“SSH-2.0-XXXX”。

via: http://ask.xmodulo.com/check-ssh-protocol-version-linux.html

译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Attic是一个Python写的删除重复数据的备份程序，其主要目标是提供一种高效安全的数据备份方式。重复数据消除技术的使用使得Attic适用于日常备份，因为它可以只存储那些修改过的数据。

Attic特性

空间高效存储

可变块大小重复数据消除技术用于减少检测到的冗余数据存储字节数量。每个文件被分割成若干可变长度组块，只有那些从没见过的组合块会被压缩并添加到仓库中。

可选数据加密

所有数据可以使用256位AES加密进行保护，并使用HMAC-SHA256验证数据完整性和真实性。

离场备份

Attic可以通过SSH将数据存储到安装有Attic的远程主机上。

备份可作为文件系统挂载

备份归档可作为用户空间文件系统挂载，用于便捷地验证和恢复备份。

安装attic到ubuntu 14.10

打开终端并运行以下命令

sudo apt-get install attic

使用Attic

手把手实例教学

在进行备份之前，首先要对仓库进行初始化：

$ attic init /somewhere/my-repository.attic

将~/src和~/Documents目录备份到名为Monday的归档：

$ attic create /somwhere/my-repository.attic::Monday ~/src ~/Documents

第二天创建一个新的名为Tuesday的归档：

$ attic create --stats /somwhere/my-repository.attic::Tuesday ~/src ~/Documents

该备份将更快些，也更小些，因为只有之前从没见过的新数据会被存储。--stats选项会让Attic输出关于新创建的归档的统计数据，比如唯一数据（不和其它归档共享）的数量：

归档名：Tuesday
归档指纹：387a5e3f9b0e792e91ce87134b0f4bfe17677d9248cb5337f3fbf3a8e157942a
开始时间： Tue Mar 25 12:00:10 2014
结束时间： Tue Mar 25 12:00:10 2014
持续时间： 0.08 seconds
文件数量： 358
        最初大小    压缩后大小  重复数据删除后大小
本归档： 57.16 MB    46.78 MB    151.67 kB
所有归档：114.02 MB  93.46 MB    44.81 MB

列出仓库中所有归档：

$ attic list /somewhere/my-repository.attic

Monday Mon Mar 24 11:59:35 2014
Tuesday Tue Mar 25 12:00:10 2014

列出Monday归档的内容：

$ attic list /somewhere/my-repository.attic::Monday

drwxr-xr-x user group 0 Jan 06 15:22 home/user/Documents
-rw-r--r-- user group 7961 Nov 17 2012 home/user/Documents/Important.doc

恢复Monday归档：

$ attic extract /somwhere/my-repository.attic::Monday

通过手动删除Monday归档恢复磁盘空间：

$ attic delete /somwhere/my-backup.attic::Monday

详情请查阅Attic文档。

via: http://www.ubuntugeek.com/attic-deduplicating-backup-program.html

作者：ruchi 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出