你是否很恼火地发现你的浏览器、智能手机和平板上不装广告拦截器不行？ 至少我是这样的。我家里有一些“智能”设备，但是它们似乎没有任何类型的广告拦截软件。 好了，我了解到 Pi-hole 是一个可以运行在树莓派板子上的广告拦截软件，它能在各种广告到达你的设备之前拦截它们。它允许你将任何域加入到黑名单或白名单，并且它有一个很好的仪表盘面板，可以让你深入了解你的家庭网络最常访问的域/网站、最活跃的设备和最常见的广告商。

Pi-hole 原本是运行在树莓派上的，但我想知道它能否在我运行 Armbian Linux 的廉价 Orange Pi 上运行。 好吧，它绝对可以！下面是我让 Pi-hole 能快速运行的方法。

安装 Pi-hole

安装 Pi-hole 是使用终端完成的，所以打开你的 Orange Pi 桌面上的终端或使用 ssh 连接。

因为需要下载软件，所以进入到一个你选定的目录，确保你有写入权限。像这样：

cd <your preferred directory>/

我没有选择 Pi-hole 主页上的“单条命令”安装方式。 我的意思是，他们在那条命令下面写着“用管道到 bash 可能是危险的”，本地安装“更安全”。所以，这里是我的本地安装步骤：

git clone --depth 1 https://github.com/pi-hole/pi-hole.git Pi-hole
cd Pi-hole/automated\ install/
./basic-install.sh

如果你没有以 root 用户身份登录，那么这个安装脚本将提示你输入密码，然后再继续。 如果需要，脚本将下载并安装一些必备的 Linux 软件包。接着它会显示一个红蓝界面，提示你回答有关如何配置 Pi-hole 的几个问题。以我的经验，直接接受默认值就可以了，我后来发现 Pi-hole 的 web 应用可以让你更改设置，比如 DNS 提供商。

该脚本将告诉你在图形界面和终端中 Pi-hole 的密码。 请记住该密码！

脚本还会告诉你 Pi-hole 的网址，应该像这样：

http://<your pi’s IP address>/admin

或者类似这样：

http://orangepipc/admin

输入 Pi-hole 密码，接着你会看到像下面这样的漂亮的仪表盘面板：

请记住更改家庭网络路由器上的 DNS 设置并使用你的 Orange Pi 的地址。 否则，广告不会被过滤！

上面的说明与 Pi-hole 网站提供的替代“安全”方法大致相同，尽管 Armbian 没有被列为官方支持的操作系统。我相信这些说明应该在树莓派或其他运行某种形式的基于 Debian 的 Linux 操作系统的 Pi 上工作。但是，我并没有测试这一点，所以期待听到你的经验（请给我留下简短的评论）。

思考和观察

运行 Pi-hole 一段时间，并研究了在 Pi-hole 面板上出现的信息后，我发现有很多我不知道的网络活动在进行，而它们并不都是我批准的活动。例如，有一些我不知道的关于游戏程序的“有趣”连接从我的孩子的设备上发出，还有社交网络程序显然一直在给我发送骚扰数据。总之，无论是否是无害流量，我很高兴减少了流量负载，即使仅减少了一点点……我的意思是，为什么我应该允许我不想要的或者不关心的应用程序和广告吃掉我的网络流量？好吧，现在他们被封锁了。

像这样为 Orange Pi 设置广告屏蔽很便宜、容易，限制一些不必要的流量在我的家庭网络中进出（特别是与孩子们相关的）使我感到放松多了。如果有兴趣，你可以看看我的上一篇文章，如何轻松设置一个 Orange Pi，并使用下面的链接来查看 Orange Pi 是多么便宜。我相信这是一个值得的投资。

• Amazon 上的 Orange Pi （受益链接）： Orange Pi PC Single Board Computer Quad Core ARM Cortex-A7 1GB DDR3 4K Decode
• AliExpress 上的 Orange Pi 商店 （受益链接）

更新：具有讽刺意味的是，如果你成功地按照这篇文章设置了 Pi-hole，这个站点上（s.click.aliexpress.com）的受益链接会被屏蔽，是否将它加入到白名单取决于你。

via: http://piboards.com/2017/01/07/block-ads-on-all-your-devices-at-home-with-pi-hole-and-an-orange-pi/

作者：MIKE WILMOTH 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

基于 Debian 衍生的 PIXEL 将把树莓派体验带到 x86 上，正如树莓派基金会所宣称的，“我们不只是要为树莓派创造最好的桌面环境，而是要创造最好的桌面环境，如是。”

树莓派基金会将其今年九月份发布的 PIXEL OS 移植到了 PC 和 Mac 上。

PIXEL 的意思是“Pi Improved Xwindows Environment, Lightweight”，即“树莓派改进的轻量级 Xwindows 环境”，树莓派的创始人 Eben Upton 说，“我们觉得大多数用户都希望要这样的一个桌面环境：干净整洁而现代化的用户界面；提升工作效率的生产力软件和编程工具，包括自由软件和专有软件。”

挖掘这个操作系统的其它用途的想法在这几个月来一直浮现在 Upton 的脑海中，正如他写的“在夏天时，我们就问自己一个简单的问题：如果我们这么喜欢 PIXEL，为什么我们非要人们买树莓派才能运行它呢？”

Upton 说他和其他的伙伴们注意到“有大量可以用来安装的 PC 和 Mac 机器丢在那里，它们可以很好的运行 x86 Debian”，并且问他们，“我们可以为这些机器做些什么吗？”

现在答案就是“YES”，树莓派基金会发布了该操作系统的 x86 体验版。

这个操作系统对硬件的需求很低，Upton 说 PIXEL “将运行在像我的 ThinkPad X40 这样的老机器上，它只要 512MB 内存就行。”Upton 认为这样的硬件需求很符合还在使用老式 PC 的学校，这就意味着学生们可以在学校的 x86 上使用和家里的树莓派上一样的 PIXEL 环境。

PIXEL 可以从 DVD 或 USB 盘启动，或者你也可以将它安装到计算机上。你可以下载这个 1.3GB 的 ISO 镜像试试，不过，有些型号的 Mac 可能不能用这个引导镜像启动。Upton 也表示，这还是一个早期发布版本，还在继续改进。

旅行中备份图片 - 组件

介绍

我在很长的时间内一直在寻找一个旅行中备份图片的理想方法，把 SD 卡放进你的相机包会让你暴露在太多的风险之中：SD 卡可能丢失或者被盗，数据可能损坏或者在传输过程中失败。比较好的一个选择是复制到另外一个介质中，即使它也是个 SD 卡，并且将它放到一个比较安全的地方去，备份到远端也是一个可行的办法，但是如果去了一个没有网络的地方就不太可行了。

我理想的备份步骤需要下面的工具:

1. 用一台 iPad pro 而不是一台笔记本。我喜欢轻装旅行，我的大部分旅程都是商务相关的（而不是拍摄休闲的），我痛恨带着个人笔记本的时候还得带着商务本。而我的 iPad 却一直带着，这就是我为什么选择它的原因。
2. 用尽可能少的硬件设备。
3. 设备之间的连接需要很安全。我需要在旅馆和机场使用这套设备，所以设备之间的连接需要是封闭而加密的。
4. 整个过程应该是可靠稳定的，我还用过其他的路由器/组合设备，但是效果不太理想。

设备

我配置了一套满足上面条件并且在未来可以扩充的设备，它包含下面这些部件的使用:

1. 9.7 英寸的 iPad Pro，这是本文写作时最强大、轻薄的 iOS 设备，苹果笔不是必需的，但是作为零件之一，当我在路上可以做一些编辑工作，所有的重活由树莓派做 ，其他设备只能通过 SSH 连接就行。
2. 安装了 Raspbian 操作系统树莓派 3（LCTT 译注：Raspbian 是基于 Debian 的树莓派操作系统）。
3. 树莓派的 Mini SD卡 和 盒子/外壳。
4. 128G 的优盘，对于我是够用了，你可以买个更大的。你也可以买个像这样的移动硬盘，但是树莓派没法通过 USB 给移动硬盘提供足够的电量，这意味你需要额外准备一个供电的 USB hub 以及电缆，这就破坏了我们让设备轻薄的初衷。
5. SD 读卡器
6. 另外的 SD 卡，我会使用几个 SD 卡，在用满之前就会立即换一个，这样就会让我在一次旅途当中的照片散布在不同的 SD 卡上。

下图展示了这些设备之间如何相互连接。

旅行时照片的备份-流程图

树莓派会作为一个安全的热点。它会创建一个自己的 WPA2 加密的 WIFI 网络，iPad Pro 会连入其中。虽然有很多在线教程教你如何创建 Ad Hoc 网络（计算机到计算机的单对单网络），还更简单一些，但是它的连接是不加密的，而且附件的设备很容易就能连接进去。因此我选择创建 WIFI 网络。

相机的 SD 卡通过 SD 读卡器插到树莓派 USB 端口之一，128G 的大容量优盘一直插在树莓派的另外一个 USB 端口上，我选择了一款闪迪的，因为体积比较小。主要的思路就是通过 Python 脚本把 SD 卡的照片备份到优盘上，备份过程是增量备份，每次脚本运行时都只有变化的（比如新拍摄的照片）部分会添加到备份文件夹中，所以这个过程特别快。如果你有很多的照片或者拍摄了很多 RAW 格式的照片，在就是个巨大的优势。iPad 将用来运行 Python 脚本，而且用来浏览 SD 卡和优盘的文件。

作为额外的好处，如果给树莓派连上一根能上网的网线（比如通过以太网口），那么它就可以共享互联网连接给那些通过 WIFI 连入的设备。

1. 树莓派的设置

这部分需要你卷起袖子亲自动手了，我们要用到 Raspbian 的命令行模式，我会尽可能详细的介绍，方便大家进行下去。

安装和配置 Raspbian

给树莓派连接鼠标、键盘和 LCD 显示器，将 SD 卡插到树莓派上，按照树莓派官网的步骤安装 Raspbian。

安装完后，打开 Raspbian 的终端，执行下面的命令:

sudo apt-get update
sudo apt-get upgrade

这将升级机器上所有的软件到最新，我将树莓派连接到本地网络，而且为了安全更改了默认的密码。

Raspbian 默认开启了 SSH，这样所有的设置可以在一个远程的设备上完成。我也设置了 RSA 验证，但这是可选的功能，可以在这里查看更多信息。

这是一个在 Mac 上在 iTerm 里建立 SSH 连接到树莓派上的截图14。（LCTT 译注：原文图丢失。）

建立 WPA2 加密的 WIFI AP

安装过程基于这篇文章，根据我的情况进行了调整。

1. 安装软件包

我们需要安装下面的软件包：

sudo apt-get install hostapd
sudo apt-get install dnsmasq

hostapd 用来使用内置的 WiFi 来创建 AP，dnsmasp 是一个组合的 DHCP 和 DNS 服务其，很容易设置。

2. 编辑 dhcpcd.conf

通过以太网连接树莓派，树莓派上的网络接口配置由 dhcpd 控制，因此我们首先忽略这一点，将 wlan0 设置为一个静态的 IP。

用 sudo nano /etc/dhcpcd.conf 命令打开 dhcpcd 的配置文件，在最后一行添加上如下内容：

denyinterfaces wlan0

注意：它必须放在如果已经有的其它接口行之上。

3. 编辑接口

现在设置静态 IP，使用 sudo nano /etc/network/interfaces 打开接口配置文件，按照如下信息编辑wlan0部分：

allow-hotplug wlan0
iface wlan0 inet static
    address 192.168.1.1
    netmask 255.255.255.0
    network 192.168.1.0
    broadcast 192.168.1.255
#    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

同样，然后 wlan1 编辑如下：

#allow-hotplug wlan1
#iface wlan1 inet manual
#    wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

重要： 使用 sudo service dhcpcd restart 命令重启 dhcpd服务，然后用 sudo ifdown eth0; sudo ifup wlan0 命令来重载wlan0的配置。

4. 配置 Hostapd

接下来，我们需要配置 hostapd，使用 sudo nano /etc/hostapd/hostapd.conf 命令创建一个新的配置文件，内容如下：

interface=wlan0

# Use the nl80211 driver with the brcmfmac driver
driver=nl80211

# This is the name of the network
ssid=YOUR_NETWORK_NAME_HERE

# Use the 2.4GHz band
hw_mode=g

# Use channel 6
channel=6

# Enable 802.11n
ieee80211n=1

# Enable QoS Support
wmm_enabled=1

# Enable 40MHz channels with 20ns guard interval
ht_capab=[HT40][SHORT-GI-20][DSSS_CCK-40]

# Accept all MAC addresses
macaddr_acl=0

# Use WPA authentication
auth_algs=1

# Require clients to know the network name
ignore_broadcast_ssid=0

# Use WPA2
wpa=2

# Use a pre-shared key
wpa_key_mgmt=WPA-PSK

# The network passphrase
wpa_passphrase=YOUR_NEW_WIFI_PASSWORD_HERE

# Use AES, instead of TKIP
rsn_pairwise=CCMP

配置完成后，我们需要告诉dhcpcd 在系统启动运行时到哪里寻找配置文件。 使用 sudo nano /etc/default/hostapd 命令打开默认配置文件，然后找到#DAEMON_CONF="" 替换成DAEMON_CONF="/etc/hostapd/hostapd.conf"。

5. 配置 Dnsmasq

自带的 dnsmasp 配置文件包含很多信息方便你使用它，但是我们不需要那么多选项，我建议把它移动到别的地方（而不要删除它），然后自己创建一个新文件：

sudo mv /etc/dnsmasq.conf /etc/dnsmasq.conf.orig  
sudo nano /etc/dnsmasq.conf  

粘贴下面的信息到新文件中：

interface=wlan0      # Use interface wlan0
listen-address=192.168.1.1 # Explicitly specify the address to listen on
bind-interfaces      # Bind to the interface to make sure we aren't sending things elsewhere
server=8.8.8.8       # Forward DNS requests to Google DNS
domain-needed        # Don't forward short names
bogus-priv           # Never forward addresses in the non-routed address spaces.
dhcp-range=192.168.1.50,192.168.1.100,12h # Assign IP addresses in that range  with a 12 hour lease time

6. 设置 IPv4 转发

最后我们需要做的事就是配置包转发，用 sudo nano /etc/sysctl.conf 命令打开 sysctl.conf 文件，将包含 net.ipv4.ip_forward=1的那一行之前的#号删除，它将在下次重启时生效。

我们还需要给连接到树莓派的设备通过 WIFI 分享互联网连接，做一个 wlan0和 eth0 之间的 NAT。我们可以参照下面的脚本来实现。

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  
sudo iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT  
sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT  

我命名这个脚本名为 hotspot-boot.sh，然后让它可以执行：

sudo chmod 755 hotspot-boot.sh

该脚本应该在树莓派启动的时候运行。有很多方法实现，下面是我实现的方式：

1. 把文件放到/home/pi/scripts目录下。
2. 输入sudo nano /etc/rc.local命令编辑 rc.local 文件，将运行该脚本的命令放到 exit 0之前。（更多信息参照这里）。

编辑后rc.local看起来像这样：

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

# Print the IP address
_IP=$(hostname -I) || true
if [ "$_IP" ]; then
  printf "My IP address is %s\n" "$_IP"
fi

sudo /home/pi/scripts/hotspot-boot.sh &

exit 0

安装 Samba 服务和 NTFS 兼容驱动

我们要安装下面几个软件来启用 samba 协议，使文件浏览器能够访问树莓派分享的文件夹，ntfs-3g 可以使我们能够访问移动硬盘中 ntfs 文件系统的文件。

sudo apt-get install ntfs-3g
sudo apt-get install samba samba-common-bin

你可以参照这些文档来配置 Samba。

重要提示：参考的文档介绍的是挂载外置硬盘到树莓派上，我们不这样做，是因为在这篇文章写作的时候，树莓派在启动时的 auto-mounts 功能同时将 SD 卡和优盘挂载到/media/pi/上，该文章有一些多余的功能我们也不会采用。

2. Python 脚本

树莓派配置好后，我们需要开发脚本来实际拷贝和备份照片。注意，这个脚本只是提供了特定的自动化备份进程，如果你有基本的 Linux/树莓派命令行操作的技能，你可以 ssh 进树莓派，然后创建需要的文件夹，使用cp或rsync命令拷贝你自己的照片从一个设备到另外一个设备上。在脚本里我们用rsync命令，这个命令比较可靠而且支持增量备份。

这个过程依赖两个文件，脚本文件自身和backup_photos.conf这个配置文件，后者只有几行包含被挂载的目的驱动器（优盘）和应该挂载到哪个目录，它看起来是这样的：

mount folder=/media/pi/
destination folder=PDRIVE128GB

重要提示：在这个符号=前后不要添加多余的空格，否则脚本会失效。

下面是这个 Python 脚本，我把它命名为backup_photos.py，把它放到了/home/pi/scripts/目录下，我在每行都做了注释可以方便的查看各行的功能。

#!/usr/bin/python3

import os
import sys
from sh import rsync

'''
脚本将挂载到 /media/pi 的 SD 卡上的内容复制到目的磁盘的同名目录下，目的磁盘的名字在 .conf文件里定义好了。


Argument:  label/name of the mounted SD Card.
'''

CONFIG_FILE = '/home/pi/scripts/backup_photos.conf'
ORIGIN_DEV = sys.argv[1]

def create_folder(path):

    print ('attempting to create destination folder: ',path)
    if not os.path.exists(path):
        try: 
            os.mkdir(path)
            print ('Folder created.')
        except:
            print ('Folder could not be created. Stopping.')
            return
    else:
        print ('Folder already in path. Using that instead.')



confFile = open(CONFIG_FILE,'rU') 
#重要：: rU 选项将以统一换行模式打开文件，
#所以 \n 和/或 \r 都被识别为一个新行。

confList = confFile.readlines()
confFile.close()


for line in confList:
    line = line.strip('\n')

    try:
        name , value = line.split('=')

        if name == 'mount folder':
            mountFolder = value
        elif name == 'destination folder':
            destDevice = value


    except ValueError:
        print ('Incorrect line format. Passing.')
        pass


destFolder = mountFolder+destDevice+'/'+ORIGIN_DEV
create_folder(destFolder)

print ('Copying files...')

# 取消这行备注将删除不在源处的文件
# rsync("-av", "--delete", mountFolder+ORIGIN_DEV, destFolder)
rsync("-av", mountFolder+ORIGIN_DEV+'/', destFolder)

print ('Done.')

3. iPad Pro 的配置

因为重活都由树莓派干了，文件不通过 iPad Pro 传输，这比我之前尝试的一种方案有巨大的优势。我们在 iPad 上只需要安装上 Prompt2 来通过 SSH 连接树莓派就行了，这样你既可以运行 Python 脚本也可以手动复制文件了。

iPad 用 Prompt2 通过 SSH 连接树莓派

因为我们安装了 Samba，我们可以以更图形化的方式访问连接到树莓派的 USB 设备，你可以看视频，在不同的设备之间复制和移动文件，文件浏览器对于这种用途非常完美。（LCTT 译注：原文视频丢失。）

4. 将它们结合在一起

我们假设SD32GB-03是连接到树莓派 USB 端口之一的 SD 卡的卷标，PDRIVE128GB是那个优盘的卷标，也连接到设备上，并在上面指出的配置文件中定义好。如果我们想要备份 SD 卡上的图片，我们需要这么做：

1. 给树莓派加电打开，将驱动器自动挂载好。
2. 连接树莓派配置好的 WIFI 网络。
3. 用 Prompt2 这个 app 通过 SSH 连接到树莓派。
4. 连接好后输入下面的命令：python3 backup_photos.py SD32GB-03

首次备份需要一些时间，这依赖于你的 SD 卡使用了多少容量。这意味着你需要一直保持树莓派和 iPad 设备连接不断，你可以在脚本运行之前通过 nohup 命令解决：

nohup python3 backup_photos.py SD32GB-03 &

运行完成的脚本如图所示

未来的定制

我在树莓派上安装了 vnc 服务，这样我可以通过其它计算机或在 iPad 上用 Remoter App连接树莓派的图形界面，我安装了 BitTorrent Sync 用来远端备份我的图片，当然需要先设置好。当我有了可以运行的解决方案之后，我会补充我的文章。

你可以在下面发表你的评论和问题，我会在此页下面回复。

via: http://www.movingelectrons.net/blog/2016/06/26/backup-photos-while-traveling-with-a-raspberry-pi.html

作者：Lenin 译者：jiajia9linuxer 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Kickstarter 众筹网站上，一个叫 “MyPi” 的项目用树莓派计算模块制作了一款 SBC（ 单板计算机 （ Single Board Computer ） ），提供一个 mini-PCIe 插槽，串口，宽范围输入电源，以及模块扩展等功能。

你也许觉得奇怪，都 2016 年了，为什么还会有人发布这样一款长得有点像三明治，用过时的 ARM11 构建的 COM （ 模块化计算机 （ Compuer on Module ） ）版本的树莓派单板计算机：树莓派计算模块。原因是这样的，首先，目前仍然有大量工业应用不需要太多 CPU 处理能力，第二，树莓派计算模块仍是目前仅有的基于树莓派硬件的 COM，虽然更便宜、有点像 COM 并采用同样的 700MHz 处理器的 零号树莓派 也很类似。

安装了 COM 和 I/O 组件的 MyPi

装入了可选的工业外壳中

另外，Embedded Micro Technology 还表示它的 SBC 还设计成可升级替换为支持的树莓派计算模块 —— 采用了树莓派 3 的四核、Cortex-A53 博通 BCM2837处理器的 SoC。因为这个产品最近很快就会到货，不确定他们怎么能及时为 Kickstarter 赞助者处理好这一切。不过，以后能支持也挺不错，就算要为这个升级付费也可以接受。

MyPi 并不是唯一一款新的基于树莓派计算模块的商业嵌入式设备。Pigeon Computers 在五月份启动了 Pigeon RB100 的项目，是一个基于 COM 的工业自动化控制器。不过，包括 Techbase Modberry 在内的这一类设备大都出现在 2014 年 COM 发布之后的一小段时间内。

MyPi 的目标是 30 天内筹集 $21,696，目前已经实现了三分之一。早期参与包的价格 $119 起，九月份发货。其他选项有 $187 版本，里面包含了价值 $30 的树莓派计算模块，以及各种线缆。套件里还有各种插件板以及工业外壳可选。

不带 COM 和插件板的 MyPi 主板

以及它的接口定义

树莓派计算模块能给 MyPi 带来博通 BCM2835 Soc，512MB 内存，以及 4GB eMMC 存储空间。MyPi 主板扩展了一个 microSD 卡槽，一个 HDMI 接口，两个 USB 2.0 接口，一个 10/100M 以太网口，还有一个像网口的 RS232 端口（通过 USB 连接）。

插上树莓派计算模块和 mini-PCIe 模块的 MyPi 的两个视角

插上树莓派计算模块和 mini-PCIe 模块的 MyPi 的两个视角

MyPi 还将配备一个 mini-PCIe 插槽，据说“只支持 USB，以及只适用 mPCIe 形式的调制解调器”。还带有一个 SIM 卡插槽。板上还有双标准的树莓派摄像头接口，一个音频输出接口，自带备用电池的 RTC，LED 灯。还支持宽范围的 9-23V 直流输入。

Embedded Micro 表示，MyPi 是为那些树莓派爱好者们设计的，他们拼接了太多 HAT 外接板，已经不能有效地工作了，或者不能很好地装入工业外壳里。MyPi 支持 HAT，另外还提供了公司自己定义的 “ASIO” （特定应用接口）插件模块，它会将自己的 I/O 扩展到载板上，载板再将它们连到载板边上的 8针的绿色凤凰式工业 I/O 连接器（标记了“ASIO Out”）上，在下面图片里有描述。

MyPi 的模块扩展接口

就像 Kickstarter 页面里描述的：“比起在板边插满带 IO 信号接头的 HAT 板，我们更愿意把同样的 IO 信号接到另一个接头，它直接接到绿色的工业接头上。” 另外，“通过简单地延长卡上的插脚长度（抬高），你将来可以直接扩展 IO 集 - 这些都不需要任何排线！”Embedded Micro 表示。

MyPi

它的可选 I/O 插件板卡

像上面展示的，这家公司为 MyPi 提供了一系列可靠的 ASIO 插卡，。一开始这些会包括 CAN 总线，4-20mA 传感器信号，RS485，窄带 RF，等等。

更多信息

MyPi 在 Kickstarter 上提供了 7 月 23 日到期的 79 英镑（$119）早期参与包（不包括树莓派计算模块），预计九月份发货。更多信息请查看 Kickstarter 上 MyPi 的页面 以及 Embedded Micro Technology 官网。

via: http://hackerboards.com/industrial-sbc-builds-on-rpi-compute-module/

作者：Eric Brown 译者：zpl1025 校对：Ezio

本文由 LCTT 原创编译，Linux中国 荣誉推出

Chromium OS for SBCs（ 单板机 （ Single-Board Computers ） ）项目正在招募新成员以继续发展。

该项目的志愿者们为我们奉献了一个精心调制的开源 Chromium OS 的单板机移植版，支持树莓派 2 和树莓派 3 以及一些其它的单板机。他们已经完成了目标，但是这并不是项目的终点。

项目负责人 Dylan Callahan 说，一些项目成员已经离开了该项目去做其它的志愿者项目了。这种事情经常发生，不仅仅是这个开源项目。简单的说，Dylan Callahan 需要更多人来延续维护该项目的进一步发展。

“我正在开发新的 Beta 版本，也在努力解决很多 bug 和添加新功能。我希望可以更快一些，我们已经有一些项目成员由于个人原因离开了，还有一些去参与其它志愿者项目了”，Dylan Callahan 说，“我们要让 Chromium OS for SBCs 继续前行，我们不能给你支付薪水，但是我们可以给你提供经验。”

因此，如果你在将 Chromium OS 移植到其它设备方面有经验，或者你就是想成为这个极棒的项目的新开发者，你可以访问项目官网加入该团队。在那里，你可以找到关于 Chromium OS for SBCs 的一切细节。甚至即使你在这个领域没有任何经验，但是你想参与，也欢迎你加入！

像很多 LinuxJournal 的读者一样，我也过上了当今非常普遍的“科技游牧”生活，在网络之间，从一个接入点到另一个接入点，我们身处现实世界的不同地方却始终保持连接到互联网和日常使用的其它网络上。近来我发现越来越多的网络环境开始屏蔽对外的常用端口比如 SMTP（端口 25），SSH（端口 22）之类的。当你走进一家咖啡馆然后想 SSH 到你的一台服务器上做点事情的时候发现端口 22 被屏蔽了是一件很烦的事情。

不过，我到目前为止还没发现有什么网络环境会把 HTTPS 给墙了（端口 443）。在稍微配置了一下家中的树莓派 2 之后，我成功地让自己通过接入树莓派的 443 端口充当跳板，从而让我在各种网络环境下都能连上想要的目标端口。简而言之，我把家中的树莓派设置成了一个 OpenVPN 的端点和 SSH 端点，同时也是一个 Apache 服务器，所有这些服务都监听在 443 端口上，以便可以限制我不想暴露的网络服务。

备注

此解决方案能搞定大多数有限制的网络环境，但有些防火墙会对外部流量调用 深度包检查 （ Deep packet inspection ） ，它们时常能屏蔽掉用本篇文章里的方式传输的信息。不过我到目前为止还没在这样的防火墙后测试过。同时，尽管我使用了很多基于密码学的工具（OpenVPN，HTTPS，SSH），我并没有非常严格地审计过这套配置方案（LCTT 译注：作者的意思是指这套方案能帮你绕过端口限制，但不代表你的活动就是完全安全的）。有时候甚至 DNS 服务都会泄露你的信息，很可能在我没有考虑周到的角落里会有遗漏。我强烈不推荐把此跳板配置方案当作是万无一失的隐藏网络流量的办法，此配置只是希望能绕过一些端口限制连上网络，而不是做一些危险的事情。

起步

让我们先从你需要什么说起，我用的是树莓派 2，装载了最新版本的 Raspbian，不过这个配置也应该能在树莓派 Model B 上运行；512MB 的内存对我们来说绰绰有余了，虽然性能可能没有树莓派 2这么好，毕竟相比于四核心的树莓派 2， Model B 只有一颗单核心 CPU。我的树莓派放置在家里的防火墙和路由器的后面，所以我还能用这个树莓派作为跳板访问家里的其他电子设备。同时这也意味着我的流量在互联网上看起来仿佛来自我家的 ip 地址，所以这也算某种意义上保护了我的匿名性。如果你没有树莓派，或者不想从家里运行这个服务，那你完全可以把这个配置放在一台小型云服务器上（LCTT 译注：比如 IPS ）。你只要确保服务器运行着基于 Debian 的 Linux 发行版即可，这份指南依然可用。

图 1 树莓派，即将成为我们的加密网络端点

安装并配置 BIND

无论你是用树莓派还是一台服务器，当你成功启动之后你就可以安装 BIND 了，这是一个驱动了互联网相当一部分的域名服务软件。你将会把 BIND 仅仅作为缓存域名服务使用，而不用把它配置为用来处理来自互联网的域名请求。安装 BIND 会让你拥有一个可以被 OpenVPN 使用的 DNS 服务器。安装 BIND 十分简单，apt-get 就可以直接搞定:

root@test:~# apt-get install bind9
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
  bind9utils
Suggested packages:
  bind9-doc resolvconf ufw
The following NEW packages will be installed:
  bind9 bind9utils
0 upgraded, 2 newly installed, 0 to remove and 0 not upgraded.
Need to get 490 kB of archives.
After this operation, 1,128 kB of additional disk space will be used.
Do you want to continue [Y/n]? y

在我们把 BIND 作为缓存域名服务器之前，还有一些小细节需要配置。两个修改都在/etc/bind/named.conf.options里完成。首先你要取消注释掉 forwarders 这一节内容，同时你还要增加一个可以转发域名请求的目标服务器。作为例子我会用 Google 的 DNS 服务器（8.8.8.8）（LCTT 译注：国内的话需要找一个替代品）；文件的 forwarders 节看上去大致是这样的：

forwarders {
    8.8.8.8;
};

第二点你需要做的更改是允许来自内网和本机的查询请求，直接把这一行加入配置文件的后面，记得放在最后一个};之前就可以了：

allow-query { 192.168.1.0/24; 127.0.0.0/16; };

上面那行配置会允许此 DNS 服务器接收来自其所在的网络（在本例中，我的网络就在我的防火墙之后）和本机的请求。下一步，你需要重启一下 BIND 的服务：

root@test:~# /etc/init.d/bind9 restart
[....] Stopping domain name service...: bind9  
waiting for pid 13209 to die
. ok
[ ok ] Starting domain name service...: bind9.

现在你可以测试一下 nslookup 来确保你的服务正常运行了：

root@test:~# nslookup
> server localhost
Default server: localhost
Address: 127.0.0.1#53
> www.google.com
Server:     localhost
Address:    127.0.0.1#53

Non-authoritative answer:
Name:   www.google.com
Address: 173.194.33.176
Name:   www.google.com
Address: 173.194.33.177
Name:   www.google.com
Address: 173.194.33.178
Name:   www.google.com
Address: 173.194.33.179
Name:   www.google.com
Address: 173.194.33.180

完美！现在你的系统里已经有一个正常的域名服务在工作了，下一步我们来配置一下OpenVPN。

安装并配置 OpenVPN

OpenVPN 是一个运用 SSL/TLS 作为密钥交换的开源 VPN 解决方案。同时它也非常便于在 Linux 环境下部署。配置 OpenVPN 可能有一点点难，不过其实你也不需要在默认的配置文件里做太多修改。首先你需要运行一下 apt-get 来安装 OpenVPN：

root@test:~# apt-get install openvpn
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
  liblzo2-2 libpkcs11-helper1
Suggested packages:
  resolvconf
The following NEW packages will be installed:
  liblzo2-2 libpkcs11-helper1 openvpn
0 upgraded, 3 newly installed, 0 to remove and 0 not upgraded.
Need to get 621 kB of archives.
After this operation, 1,489 kB of additional disk space will be used.
Do you want to continue [Y/n]? y

现在 OpenVPN 已经安装好了，你需要去配置它了。OpenVPN 是基于 SSL 的，并且它同时依赖于服务端和客户端两方的证书来工作。为了生成这些证书，你需要在机器上配置一个证书签发（CA）。幸运地，OpenVPN 在安装中自带了一些用于生成证书的脚本比如 “easy-rsa” 来帮助你加快这个过程。你将要创建一个文件目录用于放置 easy-rsa 脚本，从模板目录复制过来：

root@test:~# mkdir /etc/openvpn/easy-rsa
root@test:~# cp -rpv /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/

下一步，把 vars 文件复制一个备份：

root@test:/etc/openvpn/easy-rsa# cp vars vars.bak

接下来，编辑一下 vars 以让其中的信息符合你的状态。我将以我需要编辑的信息作为例子：

KEY_SIZE=4096
KEY_COUNTRY="US"
KEY_PROVINCE="CA"
KEY_CITY="Silicon Valley"
KEY_ORG="Linux Journal"
KEY_EMAIL="[email protected]"

下一步是导入（source）一下 vars 中的环境变量，这样系统就能把其中的信息当作环境变量处理了：

root@test:/etc/openvpn/easy-rsa# source ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys

搭建 CA（证书签发）

接下来你要运行一下 clean-all 来确保有一个清理干净的系统工作环境，紧接着你就要做证书签发了。注意一下我修改了一些 changeme 的所提示修改的内容以符合我需要的安装情况：

root@test:/etc/openvpn/easy-rsa# ./clean-all
root@test:/etc/openvpn/easy-rsa# ./build-ca
Generating a 4096 bit RSA private key
...................................................++
...................................................++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that
will be incorporated into your certificate request.
What you are about to enter is what is called a
Distinguished Name or a DN.
There are quite a few fields but you can leave some
blank. For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CA]:
Locality Name (eg, city) [Silicon Valley]:
Organization Name (eg, company) [Linux Journal]:
Organizational Unit Name (eg, section) [changeme]:SecTeam
Common Name (eg, your name or your server's hostname [changeme]:test.linuxjournal.com
Name [changeme]:test.linuxjournal.com
Email Address [[email protected]]:

生成服务端证书

一旦 CA 创建好了，你接着就可以生成客户端的 OpenVPN 证书了：

root@test:/etc/openvpn/easy-rsa# ./build-key-server test.linuxjournal.com
Generating a 4096 bit RSA private key
...................................................++
writing new private key to 'test.linuxjournal.com.key'
-----
You are about to be asked to enter information that
will be incorporated into your certificate request.
What you are about to enter is what is called a
Distinguished Name or a DN.
There are quite a few fields but you can leave some
blank. For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CA]:
Locality Name (eg, city) [Silicon Valley]:
Organization Name (eg, company) [Linux Journal]:
Organizational Unit Name (eg, section) [changeme]:SecTeam
Common Name (eg, your name or your server's hostname) [test.linuxjournal.com]:
Name [changeme]:test.linuxjournal.com
Email Address [[email protected]]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'Silicon Valley'
organizationName      :PRINTABLE:'Linux Journal'
organizationalUnitName:PRINTABLE:'SecTeam'
commonName            :PRINTABLE:'test.linuxjournal.com'
name                  :PRINTABLE:'test.linuxjournal.com'
emailAddress          :IA5STRING:'[email protected]'
Certificate is to be certified until Sep  1 06:23:59 2025 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

下一步需要用掉一些时间来生成 OpenVPN 服务器需要的 Diffie-Hellman 密钥。这个步骤在一般的桌面级 CPU 上会需要几分钟的时间，但在 ARM 构架的树莓派上，会用掉超级超级长的时间。耐心点，只要终端上的点还在跳，那么一切就在按部就班运行（下面的示例省略了不少的点）：

root@test:/etc/openvpn/easy-rsa# ./build-dh
Generating DH parameters, 4096 bit long safe prime,
 ↪generator 2
This is going to take a long time
....................................................+
<省略了不少的点>

生成客户端证书

现在你要生成一下客户端用于登录 OpenVPN 的密钥。通常来说 OpenVPN 都会被配置成使用证书验证的加密方式，在这个配置下客户端需要持有由服务端签发的一份证书：

root@test:/etc/openvpn/easy-rsa# ./build-key bills-computer
Generating a 4096 bit RSA private key
...................................................++
...................................................++
writing new private key to 'bills-computer.key'
-----
You are about to be asked to enter information that
will be incorporated into your certificate request.
What you are about to enter is what is called a
Distinguished Name or a DN. There are quite a few
fields but you can leave some blank.
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CA]:
Locality Name (eg, city) [Silicon Valley]:
Organization Name (eg, company) [Linux Journal]:
Organizational Unit Name (eg, section) [changeme]:SecTeam
Common Name (eg, your name or your server's hostname) [bills-computer]:
Name [changeme]:bills-computer
Email Address [[email protected]]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CA'
localityName          :PRINTABLE:'Silicon Valley'
organizationName      :PRINTABLE:'Linux Journal'
organizationalUnitName:PRINTABLE:'SecTeam'
commonName            :PRINTABLE:'bills-computer'
name                  :PRINTABLE:'bills-computer'
emailAddress          :IA5STRING:'[email protected]'
Certificate is to be certified until Sep  1 07:35:07 2025 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
root@test:/etc/openvpn/easy-rsa#

现在你需要再生成一个 HMAC 码作为共享密钥来进一步增加整个加密提供的安全性：

root@test:~# openvpn --genkey --secret /etc/openvpn/easy-rsa/keys/ta.key

配置服务器

最后，我们到了配置 OpenVPN 服务的时候了。你需要创建一个 /etc/openvpn/server.conf 文件；这个配置文件的大多数地方都可以套用模板解决。设置 OpenVPN 服务的主要修改在于让它只用 TCP 而不是 UDP 链接。这是下一步所必需的---如果不是 TCP 连接那么你的服务将不能工作在端口 443 上。创建 /etc/openvpn/server.conf 然后把下述配置丢进去：

port 1194
proto tcp
dev tun
ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/test.linuxjournal.com.crt ## or whatever your hostname was
key easy-rsa/keys/test.linuxjournal.com.key  ## Hostname key- This file should be kept secret
management localhost 7505
dh easy-rsa/keys/dh4096.pem
tls-auth /etc/openvpn/certs/ta.key 0
server 10.8.0.0 255.255.255.0 # The server will use this subnet for clients connecting to it
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp" # Forces clients to redirect all traffic through the VPN
push "dhcp-option DNS 192.168.1.1" # Tells the client to use the DNS server at 192.168.1.1 for DNS - replace with the IP address of the OpenVPN machine and clients will use the BIND server setup earlier
keepalive 30 240
comp-lzo # Enable compression
persist-key
persist-tun
status openvpn-status.log
verb 3

最后，你将需要在服务器上启用 IP 转发，配置 OpenVPN 为开机启动，并立刻启动 OpenVPN 服务：

root@test:/etc/openvpn/easy-rsa/keys# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
root@test:/etc/openvpn/easy-rsa/keys# sysctl -p /etc/sysctl.conf
net.core.wmem_max = 12582912
net.core.rmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.wmem_max = 12582912
net.core.rmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.wmem_max = 12582912
net.core.rmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.ipv4.ip_forward = 0
net.ipv4.ip_forward = 1

root@test:/etc/openvpn/easy-rsa/keys# update-rc.d openvpn defaults
update-rc.d: using dependency based boot sequencing

root@test:/etc/openvpn/easy-rsa/keys# /etc/init.d/openvpn start
[ ok ] Starting virtual private network daemon:.

配置 OpenVPN 客户端

客户端的安装取决于客户端的操作系统，但你需要将之前生成的证书和密钥复制到你的客户端上，并导入你的 OpenVPN 客户端并新建一个配置文件。每种操作系统下的 OpenVPN 客户端在操作上会有些稍许不同，这也不在这篇文章的覆盖范围内，所以你最好去看看特定操作系统下的 OpenVPN 文档来获取更多信息。请参考本文档里的资源那一节。

安装 SSLH —— "魔法"多协议切换工具

本文章介绍的解决方案最有趣的部分就是运用 SSLH 了。SSLH 是一个多重协议工具——它可以监听 443 端口的流量，然后分析他们是 SSH，HTTPS 还是 OpenVPN 的通讯包，并把它们分别转发给正确的系统服务。这就是为何本解决方案可以让你绕过大多数端口封杀——你可以一直使用 HTTPS 通讯，因为它几乎从来不会被封杀。

同样，直接 apt-get 安装：

root@test:/etc/openvpn/easy-rsa/keys# apt-get install sslh
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
  apache2 apache2-mpm-worker apache2-utils apache2.2-bin apache2.2-common
  libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap libconfig9
Suggested packages:
  apache2-doc apache2-suexec apache2-suexec-custom openbsd-inetd inet-superserver
The following NEW packages will be installed:
  apache2 apache2-mpm-worker apache2-utils apache2.2-bin apache2.2-common
  libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap libconfig9 sslh
0 upgraded, 11 newly installed, 0 to remove and 0 not upgraded.
Need to get 1,568 kB of archives.
After this operation, 5,822 kB of additional disk space will be used.
Do you want to continue [Y/n]? y

在 SSLH 被安装之后，包管理器会询问要在 inetd 还是 standalone 模式下允许。选择 standalone 模式，因为你希望 SSLH 在它自己的进程里运行。如果你没有安装 Apache，apt 包管理器会自动帮你下载并安装的，尽管它也不是完全不可或缺。如果你已经有 Apache 了，那你需要确保它只监听 localhost 端口而不是所有的端口（不然的话 SSLH 会无法运行，因为 443 端口已经被 Apache 监听占用）。安装后，你会看到一个如下所示的错误信息：

[....] Starting ssl/ssh multiplexer: sslhsslh disabled, please adjust the configuration to your needs
[FAIL] and then set RUN to 'yes' in /etc/default/sslh to enable it. ... failed!
failed!

这其实并不是错误信息，只是 SSLH 在提醒你它还未被配置所以无法启动，这很正常。配置 SSLH 相对来说比较简单。它的配置文件放置在 /etc/default/sslh，你只需要修改 RUN 和 DAEMON_OPTS 变量就可以了。我的 SSLH 配置文件如下所示：

# Default options for sslh initscript
# sourced by /etc/init.d/sslh

# Disabled by default, to force yourself
# to read the configuration:
# - /usr/share/doc/sslh/README.Debian (quick start)
# - /usr/share/doc/sslh/README, at "Configuration" section
# - sslh(8) via "man sslh" for more configuration details.
# Once configuration ready, you *must* set RUN to yes here
# and try to start sslh (standalone mode only)

RUN=yes

# binary to use: forked (sslh) or single-thread (sslh-select) version
DAEMON=/usr/sbin/sslh

DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 --openvpn 127.0.0.1:1194 --pidfile /var/run/sslh/sslh.pid"

保存编辑并启动 SSLH：

root@test:/etc/openvpn/easy-rsa/keys# /etc/init.d/sslh start
[ ok ] Starting ssl/ssh multiplexer: sslh.

现在你应该可以从 443 端口 ssh 到你的树莓派了，它会正确地使用 SSLH 转发：

$ ssh -p 443 [email protected]
root@test:~#

SSLH 现在开始监听端口 443 并且可以转发流量信息到 SSH、Apache 或者 OpenVPN ，这取决于抵达流量包的类型。这套系统现已整装待发了！

结论

现在你可以启动 OpenVPN 并且配置你的客户端连接到服务器的 443 端口了，然后 SSLH 会从那里把流量转发到服务器的 1194 端口。但鉴于你正在和服务器的 443 端口通信，你的 VPN 流量不会被封锁。现在你可以舒服地坐在陌生小镇的咖啡店里，畅通无阻地通过你的树莓派上的 OpenVPN 浏览互联网。你顺便还给你的链接增加了一些安全性，这个额外作用也会让你的链接更安全和私密一些。享受通过安全跳板浏览互联网把！

参考资源

• 安装与配置 OpenVPN: https://wiki.debian.org/OpenVPN和http://cryptotap.com/articles/openvpn
• OpenVPN 客户端下载: https://openvpn.net/index.php/open-source/downloads.html
• OpenVPN iOS 客户端: https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8
• OpenVPN Android 客户端: https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=en
• Tunnelblick for Mac OS X (OpenVPN 客户端): https://tunnelblick.net
• SSLH 介绍: http://www.rutschle.net/tech/sslh.shtml和https://github.com/yrutschle/sslh

via: http://www.linuxjournal.com/content/securi-pi-using-raspberry-pi-secure-landing-point?page=0,0

作者：Bill Childers 译者：Moelf 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出