作为一个系统工程师，你经常需要生成一些显示系统资源利用率的报告，以便确保：1）正在合理利用系统，2）防止出现瓶颈，3）确保可扩展性，以及其它原因。

RHCE 第三部分：监视 Linux 性能活动报告

除了著名的用于检测磁盘、内存和 CPU 使用率的原生 Linux 工具 - 可以给出很多例子，红帽企业版 Linux 7 还提供了另外两个可以为你的报告更多数据的工具套装：sysstat 和 dstat。

在这篇文章中，我们会介绍两者，但首先让我们来回顾一下传统工具的使用。

原生 Linux 工具

使用 df，你可以报告磁盘空间以及文件系统的 inode 使用情况。你需要监视这两者，因为缺少磁盘空间会阻止你保存更多文件（甚至会导致系统崩溃），就像耗尽 inode 意味着你不能将文件链接到对应的数据结构，从而导致同样的结果：你不能将那些文件保存到磁盘中。

# df -h         [以人类可读形式显示输出]
# df -h --total         [生成总计]

检查 Linux 总的磁盘使用

# df -i         [显示文件系统的 inode 数目]
# df -i --total     [生成总计]

检查 Linux 总的 inode 数目

用 du，你可以估计文件、目录或文件系统的文件空间使用。

举个例子，让我们来看看 /home 目录使用了多少空间，它包括了所有用户的个人文件。第一条命令会返回整个 /home 目录当前使用的所有空间，第二条命令会显示子目录的分类列表：

# du -sch /home
# du -sch /home/*

检查 Linux 目录磁盘大小

别错过了：

• 检查 Linux 磁盘空间使用的 12 个 ‘df’ 命令例子
• 查看文件/目录磁盘使用的 10 个 ‘du’ 命令例子

另一个你工具集中不容忽视的工具就是 vmstat。它允许你查看进程、CPU 和 内存使用、磁盘活动以及其它的大概信息。

如果不带参数运行，vmstat 会返回自从上一次启动后的平均信息。尽管你可能以这种方式使用该命令有一段时间了，再看一些系统使用率的例子会有更多帮助，例如在例子中定义了时间间隔。

例如

# vmstat 5 10

会每个 5 秒返回 10 个事例：

检查 Linux 系统性能

正如你从上面图片看到的，vmstat 的输出分为很多列：proc(process)、memory、swap、io、system、和 CPU。每个字段的意义可以在 vmstat man 手册的 FIELD DESCRIPTION 部分找到。

在哪里 vmstat 可以派上用场呢？让我们在 yum 升级之前和升级时检查系统行为：

# vmstat -a 1 5

Vmstat Linux 性能监视

请注意当磁盘上的文件被更改时，活跃内存的数量增加，写到磁盘的块数目（bo）和属于用户进程的 CPU 时间（us）也是这样。

或者直接保存一个大文件到磁盘时（由 dsync 标志引发）：

# vmstat -a 1 5
# dd if=/dev/zero of=dummy.out bs=1M count=1000 oflag=dsync

Vmstat Linux 磁盘性能监视

在这个例子中，我们可以看到大量的块被写入到磁盘（bo），这正如预期的那样，同时 CPU 处理任务之前等待 IO 操作完成的时间（wa）也增加了。

别错过: Vmstat – Linux 性能监视

其它 Linux 工具

正如本文介绍部分提到的，这里有其它的工具你可以用来检测系统状态和利用率（不仅红帽，其它主流发行版的官方支持库中也提供了这些工具）。

sysstat 软件包包含以下工具：

• sar （收集、报告、或者保存系统活动信息）。
• sadf （以多种方式显示 sar 收集的数据）。
• mpstat （报告处理器相关的统计信息）。
• iostat （报告 CPU 统计信息和设备以及分区的 IO统计信息）。
• pidstat （报告 Linux 任务统计信息）。
• nfsiostat （报告 NFS 的输出/输出统计信息）。
• cifsiostat （报告 CIFS 统计信息）
• sa1 （收集并保存二进制数据到系统活动每日数据文件中）。
• sa2 （在 /var/log/sa 目录写入每日报告）。

dstat 比这些工具所提供的功能更多一些，并且提供了更多的计数器和更大的灵活性。你可以通过运行 yum info sysstat 或者 yum info dstat 找到每个工具完整的介绍，或者安装完成后分别查看每个工具的 man 手册。

安装两个软件包：

# yum update && yum install sysstat dstat

sysstat 主要的配置文件是 /etc/sysconfig/sysstat。你可以在该文件中找到下面的参数：

# How long to keep log files (in days).
# If value is greater than 28, then log files are kept in
# multiple directories, one for each month.
HISTORY=28
# Compress (using gzip or bzip2) sa and sar files older than (in days):
COMPRESSAFTER=31
# Parameters for the system activity data collector (see sadc manual page)
# which are used for the generation of log files.
SADC_OPTIONS="-S DISK"
# Compression program to use.
ZIP="bzip2"

sysstat 安装完成后，/etc/cron.d/sysstat 中会添加和启用两个 cron 任务。第一个任务每 10 分钟运行系统活动计数工具，并在 /var/log/sa/saXX 中保存报告，其中 XX 是该月的一天。

因此，/var/log/sa/sa05 会包括该月份第 5 天所有的系统活动报告。这里假设我们在上面的配置文件中对 HISTORY 变量使用默认的值：

*/10 * * * * root /usr/lib64/sa/sa1 1 1

第二个任务在每天夜间 11：53 生成每日进程计数总结并把它保存到 /var/log/sa/sarXX 文件，其中 XX 和之前例子中的含义相同：

53 23 * * * root /usr/lib64/sa/sa2 -A

例如，你可能想要输出该月份第 6 天从上午 9:30 到晚上 5：30 的系统统计信息到一个 LibreOffice Calc 或 Microsoft Excel 可以查看的 .csv 文件（这样就可以让你创建表格和图片了）：

# sadf -s 09:30:00 -e 17:30:00 -dh /var/log/sa/sa06 -- | sed 's/;/,/g' > system_stats20150806.csv

你可以在上面的 sadf 命令中用 -j 标记代替 -d 以 JSON 格式输出系统统计信息，这当你在 web 应用中使用这些数据的时候非常有用。

Linux 系统统计信息

最后，让我们看看 dstat 提供什么功能。请注意如果不带参数运行，dstat 默认使用 -cdngy（表示 CPU、磁盘、网络、内存页、和系统统计信息），并每秒添加一行（可以在任何时候用 Ctrl + C 中断执行）：

# dstat

Linux 磁盘统计检测

要输出统计信息到 .csv 文件，可以用 -output 标记后面跟一个文件名称。让我们来看看在 LibreOffice Calc 中该文件看起来是怎样的：

检测 Linux 统计信息输出

为了更多的阅读体验，我强烈建议你查看 dstat 和 sysstat 的 pdf 格式 man 手册。你会找到其它能帮助你创建自定义的详细系统活动报告的选项。

别错过: Sysstat – Linux 的使用活动检测工具

总结

在该指南中我们解释了如何使用 Linux 原生工具以及 RHEL 7 提供的特定工具来生成系统使用报告。在某种情况下，你可能像依赖最好的朋友那样依赖这些报告。

你很可能使用过这篇指南中我们没有介绍到的其它工具。如果真是这样的话，用下面的表单和社区中的其他成员一起分享吧，也可以是任何其它的建议/疑问/或者评论。

我们期待你的回复。

via: http://www.tecmint.com/linux-performance-monitoring-and-file-system-statistics-reports/

作者：Gabriel Cánepa 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

正如第一部分（“设置静态网络路由”）提到的，在这篇文章（RHCE 系列第二部分），我们首先介绍红帽企业版 Linux 7（RHEL）中包过滤和网络地址转换（NAT）的原理，然后再介绍在某些条件发生变化或者需要变动时设置运行时内核参数以改变运行时内核行为。

RHCE 第二部分：网络包过滤

RHEL 7 中的网络包过滤

当我们讨论数据包过滤的时候，我们指防火墙读取每个试图通过它的数据包的包头所进行的处理。然后，根据系统管理员之前定义的规则，通过采取所要求的动作过滤数据包。

正如你可能知道的，从 RHEL 7 开始，管理防火墙的默认服务是 firewalld。类似 iptables，它和 Linux 内核的 netfilter 模块交互以便检查和操作网络数据包。但不像 iptables，Firewalld 的更新可以立即生效，而不用中断活跃的连接 - 你甚至不需要重启服务。

Firewalld 的另一个优势是它允许我们定义基于预配置服务名称的规则（之后会详细介绍）。

在第一部分，我们用了下面的场景：

静态路由网络示意图

然而，你应该记得，由于还没有介绍包过滤，为了简化例子，我们停用了2号路由器的防火墙。现在让我们来看看如何使接收的数据包发送到目的地的特定服务或端口。

首先，让我们添加一条永久规则允许从 enp0s3 (192.168.0.19) 到 enp0s8 (10.0.0.18) 的入站流量：

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

上面的命令会把规则保存到 /etc/firewalld/direct.xml 中：

# cat /etc/firewalld/direct.xml

检查 Firewalld 保存的规则

然后启用规则使其立即生效：

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

现在你可以从 RHEL 7 中通过 telnet 到 web 服务器并再次运行 tcpdump 监视两台机器之间的 TCP 流量，这次2号路由器已经启用了防火墙。

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

如果你想只允许从 192.168.0.18 到 web 服务器（80 号端口）的连接而阻塞 192.168.0.0/24 网络中的其它来源呢？

在 web 服务器的防火墙中添加以下规则：

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

现在你可以从 192.168.0.18 和 192.168.0.0/24 中的其它机器发送到 web 服务器的 HTTP 请求。第一种情况连接会成功完成，但第二种情况最终会超时。

任何下面的命令可以验证这个结果：

# telnet 10.0.0.20 80
# wget 10.0.0.20

我强烈建议你看看 Fedora Project Wiki 中的 Firewalld Rich Language 文档更详细地了解关于富规则的内容。

RHEL 7 中的网络地址转换（NAT）

网络地址转换（NAT）是为专用网络中的一组计算机（也可能是其中的一台）分配一个独立的公共 IP 地址的过程。这样，在内部网络中仍然可以用它们自己的私有 IP 地址来区别，但外部“看来”它们是一样的。

另外，网络地址转换使得内部网络中的计算机发送请求到外部资源（例如因特网），然后只有源系统能接收到对应的响应成为可能。

现在让我们考虑下面的场景：

网络地址转换

在2号路由器中，我们会把 enp0s3 接口移动到外部区域（external），enp0s8 到内部区域（external），伪装（masquerading）或者说 NAT 默认是启用的：

# firewall-cmd --list-all --zone=external
# firewall-cmd --change-interface=enp0s3 --zone=external
# firewall-cmd --change-interface=enp0s3 --zone=external --permanent
# firewall-cmd --change-interface=enp0s8 --zone=internal
# firewall-cmd --change-interface=enp0s8 --zone=internal --permanent

对于我们当前的设置，内部区域（internal） - 以及和它一起启用的任何东西都是默认区域：

# firewall-cmd --set-default-zone=internal

下一步，让我们重载防火墙规则并保持状态信息：

# firewall-cmd --reload

最后，在 web 服务器中添加2号路由器为默认网关：

# ip route add default via 10.0.0.18

现在你会发现在 web 服务器中你可以 ping 1号路由器和外部网站（例如 tecmint.com）：

# ping -c 2 192.168.0.1
# ping -c 2 tecmint.com

验证网络路由

在 RHEL 7 中设置内核运行时参数

在 Linux 中，允许你更改、启用以及停用内核运行时参数，RHEL 也不例外。当操作条件发生变化时，/proc/sys 接口（sysctl）允许你实时设置运行时参数改变系统行为，而不需太多麻烦。

为了实现这个目的，会用 shell 内建的 echo 写 /proc/sys/<category> 中的文件，其中 <category> 一般是以下目录中的一个：

• dev: 连接到机器中的特定设备的参数。
• fs: 文件系统配置（例如 quotas 和 inodes）。
• kernel: 内核配置。
• net: 网络配置。
• vm: 内核的虚拟内存的使用。

要显示所有当前可用值的列表，运行

# sysctl -a | less

在第一部分中，我们通过以下命令改变了 net.ipv4.ip_forward 参数的值以允许 Linux 机器作为一个路由器。

# echo 1 > /proc/sys/net/ipv4/ip_forward

另一个你可能想要设置的运行时参数是 kernel.sysrq，它会启用你键盘上的 Sysrq 键，以使系统更好的运行一些底层功能，例如如果由于某些原因冻结了后重启系统：

# echo 1 > /proc/sys/kernel/sysrq

要显示特定参数的值，可以按照下面方式使用 sysctl：

# sysctl <parameter.name>

例如，

# sysctl net.ipv4.ip_forward
# sysctl kernel.sysrq

有些参数，例如上面提到的某个，只需要一个值，而其它一些（例如 fs.inode-state）要求多个值：

查看内核参数

不管什么情况下，做任何更改之前你都需要阅读内核文档。

请注意系统重启后这些设置会丢失。要使这些更改永久生效，我们需要添加内容到 /etc/sysctl.d 目录的 .conf 文件，像下面这样：

# echo "net.ipv4.ip_forward = 1" > /etc/sysctl.d/10-forward.conf

（其中数字 10 表示相对同一个目录中其它文件的处理顺序）。

并用下面命令启用更改：

# sysctl -p /etc/sysctl.d/10-forward.conf

总结

在这篇指南中我们解释了基本的包过滤、网络地址变换和在运行的系统中设置内核运行时参数并使重启后能持久化。我希望这些信息能对你有用，如往常一样，我们期望收到你的回复！

别犹豫，在下面的表单中和我们分享你的疑问、评论和建议吧。

via: http://www.tecmint.com/perform-packet-filtering-network-address-translation-and-set-kernel-runtime-parameters-in-rhel/

作者：Gabriel Cánepa 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

RHCE（Red Hat Certified Engineer，红帽认证工程师）是红帽公司的一个认证，红帽向企业社区贡献开源操作系统和软件，同时它还给公司提供训练、支持和咨询服务。

RHCE 考试准备指南

这个 RHCE 是一个绩效考试（代号 EX300），面向那些拥有更多的技能、知识和能力的红帽企业版 Linux（RHEL）系统高级系统管理员。

重要： 获得RHCE 认证前需要先有 红帽认证系统管理员认证 （ Red Hat Certified System Administrator，RHCSA ） 。

以下是基于红帽企业版 Linux 7 考试的考试目标，我们会在该 RHCE 系列中分别介绍：

• 第一部分：如何在 RHEL 7 中设置和测试静态路由
• 第二部分：如何进行包过滤、网络地址转换和设置内核运行时参数
• 第三部分：如何使用 Linux 工具集产生和发送系统活动报告
• 第四部分：使用 Shell 脚本进行自动化系统维护
• 第五部分：如何在 RHEL 7 中管理系统日志（配置、轮换和导入到数据库）
• 第六部分：设置 Samba 服务器并配置 FirewallD 和 SELinux 支持客户端文件共享
• 第七部分：设置 NFS 服务器及基于 Kerberos 认证的客户端
• 第八部分：在 Apache 上使用网络安全服务（NSS）通过 TLS 提供 HTTPS 服务
• 第九部分：如何使用无客户端配置来设置 Postfix 邮件服务器（SMTP）
• 第十部分：在 RHEL/CentOS 7 中设置网络时间协议（NTP）服务器
• 第十一部分：如何配置一个只缓存的 DNS 服务器

在你的国家查看考试费用和注册考试，可以到 RHCE 认证 网页。

在 RHCE 的第一和第二部分，我们会介绍一些基本的但典型的情形，也就是静态路由原理、包过滤和网络地址转换。

RHCE 系列第一部分：设置和测试网络静态路由

请注意我们不会作深入的介绍，但以这种方式组织内容能帮助你开始第一步并继续后面的内容。

红帽企业版 Linux 7 中的静态路由

现代网络的一个奇迹就是有很多可用设备能将一组计算机连接起来，不管是在一个房间里少量的机器还是在一栋建筑物、城市、国家或者大洲之间的多台机器。

然而，为了能在任意情形下有效的实现这些，需要对网络包进行路由，或者换句话说，它们从源到目的地的路径需要按照某种规则。

静态路由是为网络包指定一个路由的过程，而不是使用网络设备提供的默认网关。除非另有指定静态路由，网络包会被导向默认网关；而静态路由则基于预定义标准所定义的其它路径，例如数据包目的地。

我们在该篇指南中会考虑以下场景。我们有一台 RHEL 7，连接到 1号路由器 [192.168.0.1] 以访问因特网以及 192.168.0.0/24 中的其它机器。

第二个路由器（2号路由器）有两个网卡：enp0s3 同样连接到路由器1号以访问互联网，及与 RHEL 7 和同一网络中的其它机器通讯，另外一个网卡（enp0s8）用于授权访问内部服务所在的 10.0.0.0/24 网络，例如 web 或数据库服务器。

该场景可以用下面的示意图表示：

静态路由网络示意图

在这篇文章中我们会集中介绍在 RHEL 7 中设置路由表，确保它能通过1号路由器访问因特网以及通过2号路由器访问内部网络。

在 RHEL 7 中，你可以通过命令行用 ip 命令 配置和显示设备和路由。这些更改能在运行的系统中及时生效，但由于重启后不会保存，我们会使用 /etc/sysconfig/network-scripts 目录下的 ifcfg-enp0sX 和 route-enp0sX 文件永久保存我们的配置。

首先，让我们打印出当前的路由表：

# ip route show

检查当前路由表

从上面的输出中，我们可以得出以下结论：

• 默认网关的 IP 是 192.168.0.1，可以通过网卡 enp0s3 访问。
• 系统启动的时候，它启用了到 169.254.0.0/16 的 zeroconf 路由（只是在本例中）。也就是说，如果机器设置通过 DHCP 获取 IP 地址，但是由于某些原因失败了，它就会在上述网段中自动分配到一个地址。这一行的意思是，该路由会允许我们通过 enp0s3 和其它没有从 DHCP 服务器中成功获得 IP 地址的机器机器相连接。
• 最后，但同样重要的是，我们也可以通过 IP 地址是 192.168.0.18 的 enp0s3 与 192.168.0.0/24 网络中的其它机器连接。

下面是这样的配置中你需要做的一些典型任务。除非另有说明，下面的任务都在2号路由器上进行。

确保正确安装了所有网卡：

# ip link show

如果有某块网卡停用了，启动它：

# ip link set dev enp0s8 up

分配 10.0.0.0/24 网络中的一个 IP 地址给它：

# ip addr add 10.0.0.17 dev enp0s8

噢！我们分配了一个错误的 IP 地址。我们需要删除之前分配的那个并添加正确的地址（10.0.0.18）：

# ip addr del 10.0.0.17 dev enp0s8
# ip addr add 10.0.0.18 dev enp0s8

现在，请注意你只能添加一个通过网关到目标网络的路由，网关需要可以访问到。因为这个原因，我们需要在 192.168.0.0/24 范围中给 enp0s3 分配一个 IP 地址，这样我们的 RHEL 7 才能连接到它：

# ip addr add 192.168.0.19 dev enp0s3

最后，我们需要启用包转发：

# echo "1" > /proc/sys/net/ipv4/ip_forward

并停用/取消防火墙（从现在开始，直到下一篇文章中我们介绍了包过滤）：

# systemctl stop firewalld
# systemctl disable firewalld

回到我们的 RHEL 7（192.168.0.18），让我们配置一个通过 192.168.0.19（2号路由器的 enp0s3）到 10.0.0.0/24 的路由：

# ip route add 10.0.0.0/24 via 192.168.0.19

之后，路由表看起来像下面这样：

# ip route show

确认网络路由表

同样，在你尝试连接的 10.0.0.0/24 网络的机器中添加对应的路由：

# ip route add 192.168.0.0/24 via 10.0.0.18

你可以使用 ping 测试基本连接：

在 RHEL 7 中运行：

# ping -c 4 10.0.0.20

10.0.0.20 是 10.0.0.0/24 网络中一个 web 服务器的 IP 地址。

在 web 服务器（10.0.0.20）中运行

# ping -c 192.168.0.18

192.168.0.18 也就是我们的 RHEL 7 机器的 IP 地址。

另外，我们还可以使用 tcpdump（需要通过 yum install tcpdump 安装）来检查我们 RHEL 7 和 10.0.0.20 中 web 服务器之间的 TCP 双向通信。

首先在第一台机器中启用日志：

# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

在同一个系统上的另一个终端，让我们通过 telnet 连接到 web 服务器的 80 号端口（假设 Apache 正在监听该端口；否则应在下面命令中使用正确的监听端口）：

# telnet 10.0.0.20 80

tcpdump 日志看起来像下面这样：

检查服务器之间的网络连接

通过查看我们 RHEL 7（192.168.0.18）和 web 服务器（10.0.0.20）之间的双向通信，可以看出已经正确地初始化了连接。

请注意你重启系统后会丢失这些更改。如果你想把它们永久保存下来，你需要在我们运行上面的命令的相同系统中编辑（如果不存在的话就创建）以下的文件。

尽管对于我们的测试例子不是严格要求，你需要知道 /etc/sysconfig/network 包含了一些系统范围的网络参数。一个典型的 /etc/sysconfig/network 看起来类似下面这样：

# Enable networking on this system?
NETWORKING=yes
# Hostname. Should match the value in /etc/hostname
HOSTNAME=yourhostnamehere
# Default gateway
GATEWAY=XXX.XXX.XXX.XXX
# Device used to connect to default gateway. Replace X with the appropriate number.
GATEWAYDEV=enp0sX

当需要为每个网卡设置特定的变量和值时（正如我们在2号路由器上面做的），你需要编辑 /etc/sysconfig/network-scripts/ifcfg-enp0s3 和 /etc/sysconfig/network-scripts/ifcfg-enp0s8 文件。

下面是我们的例子，

TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.0.19
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NAME=enp0s3
ONBOOT=yes

以及

TYPE=Ethernet
BOOTPROTO=static
IPADDR=10.0.0.18
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
NAME=enp0s8
ONBOOT=yes

其分别对应 enp0s3 和 enp0s8。

由于要为我们的客户端机器(192.168.0.18)进行路由，我们需要编辑 /etc/sysconfig/network-scripts/route-enp0s3：

10.0.0.0/24 via 192.168.0.19 dev enp0s3

现在reboot你的系统，就可以在路由表中看到该路由规则。

总结

在这篇文章中我们介绍了红帽企业版 Linux 7 的静态路由。尽管场景可能不同，这里介绍的例子说明了所需的原理以及进行该任务的步骤。结束之前，我还建议你看一下 Linux 文档项目 （ The Linux Documentation Project ） 网站上的《 安全加固和优化 Linux （ Securing and Optimizing Linux ） 》的第四章，以了解这里介绍主题的更详细内容。

在下篇文章中我们会介绍数据包过滤和网络地址转换，结束 RHCE 验证需要的网络基本技巧。

如往常一样，我们期望听到你的回复，用下面的表格留下你的疑问、评论和建议吧。

via: http://www.tecmint.com/how-to-setup-and-configure-static-network-routing-in-rhel/

作者：Gabriel Cánepa 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

大家好，今天我们将会认识一些非常有价值的全球认可的Linux认证。Linux认证是不同的Linux专业机构在全球范围内进行的认证程序。Linux认证可以让Linux专业人才可以在服务器领域或者相关公司等等这些地方更容易获得Linux相关的工作。Linux认证评估一个人在Linux的各个领域里的专业程度。有很多不错的Linux专业机构提供不同的Linux认证。但是，在公司谋取一份工作时全球仅有少数被非常认可的Linux认证含金量很高，这些工作包括管理服务器，虚拟化，安装系统与软件，配置程序，应用支持和其他Linux操作系统相关的东西。随着全球使用Linux操作系统的服务器的增长，拉动了对于Linux专业人才的需求。为了更好的证明Linux专业技术水平，在全球看来，更好的、著名的认证总是有着更高的优先级。

这里是一些全球认可的Linux认证，我们接下来将会一一谈到。

1. CompTIA Linxu+

CompTIA Linux+ 是LPI（Linux Professional Institute，Linux专业委员会）主办的一个Linux认证，在全世界范围内提供培训。其提供的Linux相关知识，可以用于从事一大批Linux相关专业的工作，如Linux管理员、高级网络管理员、系统管理员、Linux数据库管理员和Web管理员。如果任何人想从事安装和维护Linux操作系统，该课程会帮助他达到认证要求，并且通过提供对Linux系统更宽阔的认识，能够为通过考试做好准备。LPI的CompTIA Linux+认证的主要目的就是，提供给证书持有者足够扎实的，关于安装软件、操作、管理和设备排障的知识。我们可以付出一定的费用、时间和努力，完成CompTIA Linux+，同时获得三个业内认可的证书：LPI LPIC-1和SUSE Certified Linux Administrator （CLA）证书。

• 认证代码 : LX0-103，LX0-104（2015年3月30日启动）或者LX0-101，LX0-102
• 题目数量：每次考试60道题
• 题目类型：多选
• 考试时长：90分钟
• 要求：A+，Network+，并且有至少12个月的Linux管理经验
• 分数线：500 （对于200-800的范围来说）
• 语言：英语，将来会有德语，葡萄牙语，繁体中文，西班牙。
• 有效期：认证后三年有效

注意：不同系列的考试不能合并。如果你考的是LX0-101，那么你必须考LX0-102完成认证。同样的，LX0-103和LX0-104又是一个系列。LX0-103和LX0-104系列是LX0-101和LX0-102系列的升级版。

2. LPIC

LPIC，全称Linux专业委员会认证（ Linux Professional Institute Certification），是Linux专业委员会的一个Linux认证程序。这是一个多级别的认证程序，要求在每个级别通过一系列（通常是两个）的认证考试。该认证有三个级别，包括初级水平认证 LPIC-1 ，高级水平认证 LPIC-2和最高水平认证 LPIC-3。前两个认证侧重于 Linux系统管理，而最后一个认证侧重一些专业技能，包括虚拟化和安全。为了得到 LPIC-3 认证，一个持有有效的 LPIC-1 与LPIC-2 认证的考生必须通过300复杂环境测试、303安全测试、304虚拟化测试和高可用性测试中的一个。LPIC-1认证按照证书持有者可以通过运行Linux，使用命令行界面和基本的网络知识安装，维护，配置等任务而设计，LPIC-2测试考生是否作为管理中小型混合网络的候选人。LPIC-3认证是为企业级Linux专业技能设计所设计，代表了最高的专业水平和不针对特定 Linux 发行版的行业认证。

• 认证代码：LPIC-1（101和102），LPIC-2（201和202）和LPIC-3（300，303或者304）
• 题目类型：60个多项选择
• 考试时长：90分钟
• 要求：无，建议有 Linux Essentials 认证
• 分数线：500（在200-800的范围内）
• 语言：LPIC-1：英语，德语，意大利语，葡萄牙语，西班牙语（现代），汉语（简体），汉语（繁体），日语
• LPIC-2：英语，德语，葡萄牙语，日语
• LPIC-3：英语，日语
• 有效期：退休之后五年内仍然有效

3.Oracle Linux OCA

Oracle联合认证（OCA）为个人而定制，适用于那些想证明其部署和管理Oracle Linux操作系统的知识牢固的人。该认证专业知识仅仅针对Oracle Linux发行版，这个系统完全是为Oracle产品特别剪裁的，可以运行Oracle设计的系统，包括Oracle Exadata数据库服务器，Oracle Exalytics In-Memory 服务器，Oracle Exalogic 均衡云，和Oracle数据库应用等。Oracle Linux的“坚不可摧企业内核”为企业应用带来了高性能、高扩展性和稳定性。OCA认证覆盖了如管理本地磁盘设备、管理文件系统、安装和移除Solaris包与补丁，优化系统启动过程和系统进程。这是拿到OCP证书系列的第一步。OCA认证以其前身为Sun Certified Solaris Associate（SCSAS）而为人所知。

• 认证代码：OCA
• 题目类型：75道多项选择
• 考试时长：120分钟
• 要求：无
• 分数线：64%
• 有效期：永远有效

4. Oracle Linux OCP

Oracle专业认证(OCP)是Oracle公司为Oracle Linux提供的一个认证，覆盖更多的进阶知识和技能，对于一个Oracle Linux管理员来说。它囊括的知识有配置网络接口、管理交换分区配置、崩溃转储、管理软件、数据库和重要文件。OCP认证是技术性专业知识和专业技能的基准测试，这些知识与技能需要在公司里广泛用于开发、部署和管理应用、中间件和数据库。Oracle Linux OCP的工作机会在增长，这得益于工作市场和经济发展。根据考试纲领，证书持有者有能力胜任安全管理、为Oracle 数据库准备Oracle Linux系统、排除故障和进行恢复操作、安装软件包、安装和配置内核模块、维护交换空间、完成用户和组管理、创建文件系统、配置逻辑卷管理（LVM）、文件分享服务等等。

• 认证代码：OCP
• 题目类型：60至80道多项选择题
• 考试时长：120分钟
• 要求：Oracle Linux OCA
• 分数线：64%
• 有效期：永远有效

5. RHCSA

RHCSA是红帽公司作为红帽认证系统工程师推出的一个认证程序。RHCSA们是指一些拥有在著名的红帽Linux环境下完成核心系统管理技能和能力的人。这是一个入门级的认证程序，关注在系统管理上的实际胜任能力，包括安装、配置一个红帽Linux系统，接入一个可用的网络提供网络服务。一个红帽认证的系统管理员可以理解和使用基本的工具，用以处理文件、目录、命令行环境和文档；操作运行中的系统，包括以不同的启动级别启动、识别进程、开启和停止虚拟机和控制服务；使用分区和逻辑卷配置本地存储；创建和配置文件系统和文件系统属性，包括权限、加密、访问控制列表和网络文件系统；部署配置和维护系统，包括软件安装、更新和核心服务；管理用户和组，包括使用一个中心的目录用于验证；安全性的工作，包括基本的基本防火墙和SELinux配置。要获得RHCE和其他认证，首先得认证过RHCSA。

• 认证代码：RHCSA
• 课程代码：RH124，RH134和RH199
• 考试代码：EX200
• 考试时长：21-22小时，取决于选择的课程
• 要求：无。有一些Linux基础知识更好
• 分数线：300总分，210过（70%）
• 有效期：3年

6. RHCE

RHCE，也叫做红帽认证工程师，是一个中到高级水平的认证程序，为一些想要学习更多技能和知识，成为一个负责红帽企业Linux的高级系统管理员的RHCSA开设的，RHCE应该有能力、知识和技能来配置静态路由、包过滤、NAT、设定内核运行参数、配置一个ISCSI初始化程序，生成并发送系统用量报告、使用shell脚本自动完成系统维护任务、配置系统日志，包括远程日志、提供网络服务如HTTP/HTTPS、FTP、NFS、SMB、SMTP、SSH和NTP等等。推荐希望获得更多高级水平的认证的RHCSA们、已经完成系统管理员I，II和III、或者已经完成RHCE 快速跟进培训的人们参加认证。

• 认证代码：RHCE
• 课程代码：RH124，RH134，RH254和RH199
• 考试代码：EX200和EX300
• 考试时长：21-22个小时，取决于所选课程
• 要求：一个RHCSA证书
• 分数线：300总分，210过（70%）
• 有效期：3年

7. RHCA

RHCA即红帽认证架构师，是红帽公司的一个认证程序。它的关注点在系统管理的实际能力，包括安装和配置一个红帽Linux系统，并加入到一个可用网络中运行网络服务。RHCA是所有红帽认证中最高水平的认证。考生需要选择他们希望针对的领域，或者选择合格的红帽认证的任意组合来创建一个他们自己的领域。这里有三个主要的领域：数据中心、云和应用平台。精通数据中心领域的RHCA能够运行、管理数据中心；而熟悉云的可以创建、配置和管理私有云和混合云、云应用平台以及使用红帽企业Linux平台的灵活存储方案；精通应用平台集合的RHCA拥有技能如安装、配置和管理红帽JBoss企业应用平台和应用，云应用平台和混合云环境，借助红帽的OpenShift企业版，使用红帽JBoss数据虚拟化技术从多个资源里组合数据。

• 认证代码：RHCA
• 课程代码：CL210，CL220.CL280，RH236，RH318，RH413，RH436，RH442，JB248和JB450
• 考试代码：EX333，EX401，EX423或者EX318，EX436和EX442
• 考试时长：21-22个小时，取决于所选课程
• 要求：未过期的RHCE证书
• 分数线：300总分，210过（70%）
• 有效期：3年

8. SUSE CLA

SUSE认证Linux管理员（SUSE CLA）是SUSE推出的一个初级认证，关注点在SUSE Linux企业服务器环境下的日常任务管理。为了获得SUSE CLA认证，不用必须完成课程任务，只需要通过考试就能获得认证。SUSE CLA们能够、也有技术去使用Linux桌面、定位并利用帮助资源、管理Linux文件系统、用Linux Shell和命令行工作、安装SLE 11 SP22、管理系统安装、硬件、备份和恢复、用YaST管理Linux、Linux进程和服务、存储、配置网络、远程接入、SLE 11 SP2监控，任务自动化和管理用户访问和安全工作。我们可以同时获得SUSE CLA，LPIC-1和CompTIA Linux认证，因为SUSE，Linux Professional Institute和CompATI合作提供了这个同时获得三个Linux认证的机会。

• 认证代码：SUSE CLA
• 课程代码：3115，3116
• 考试代码：050-720，050-710
• 问题类型：多项选择
• 考试时长：90分钟
• 要求：无
• 分数线：512

9. SUSE CLP

SUSE认证Linux专业人员（CLP）是一个认证程序，为那些希望获得关于SUSE Linux企业服务器更多高级且专业的知识的人而服务。SUSE CLP是通过SUSE CLA认证后的下一步。应该通过CLA的考试并拥有证书，然后通过完成CLP的考试才能获得CLP的认证。通过SUSE CLP认证的人员有能力完成安装和配置SLES 11系统、维护文件系统、管理软件包、进程、打印、配置基础网络服务、samba、Web服务器、使用IPv6、创建和运行bash shell脚本。

• 认证代码：SUSE CLP
• 课程代码：3115，3116和3117
• 考试代码：050-721，050-697
• 考试类型：手写
• 考试时长：180分钟
• 要求：SUSE CLA 认证

10. SUSE CLE

SUSE认证Linux工程师(CLE)是一个工程师级别的高级认证，为那些已经通过CLE考试的人准备。为了获得CLE认证，人们需要已经获得SUSE CLA和CLP的认证。获得CLE认证的人员拥有架设复杂SUSE Linux企业服务器环境的技能。CLE认证过的人可以配置基本的网络服务、管理打印、配置和使用Open LDAP、samba、IPv6、完成服务器健康检测和性能调优、创建和执行shell脚本、部署SUSE Linux企业板、通过Xen实现虚拟化等等。

• 认证代码：SUSE CLE
• 课程代码：3107
• 考试代码：050-723
• 考试类型：手写
• 考试时长：120分钟
• 要求：SUSE CLP 10或者11证书

11. LFCS

Linux基金会认证系统管理员（LFCS）认证考生使用Linux和通过终端环境使用Linux的知识。LFCS是Linux基金会的一个认证程序，为使用Linux操作系统工作的系统管理员和工程师准备。Linux基金会联合业内专家、Linux内核社区，测试考生的核心领域、关键技能、知识和应用能力。通过LFCS认证的人员拥有一些技能、知识和能力，包括在命令行下编辑和操作文件、管理和处理文件系统与存储的错误、聚合分区作为LVM设备、配置交换分区、管理网络文件系统、管理用户帐号/权限和属组、创建并执行bash shell脚本、安装/升级/移除软件包等等。

• 认证代码：LFCS
• 课程代码：LFCS201，LFCS220（可选）
• 考试代码：LFCS 考试
• 考试时长：2小时
• 要求：无
• 分数线：74%
• 语言：英语
• 有效期：两年

12. LFCE

Linux基金会认证工程师（LFCE），是Linux基金会为Linux工程师推出的认证。相比于LFCS，通过LFCE认证的人员在Linux方面拥有更大范围的技能。这是一个工程师级别的高级认证程序。LFCE认证的人具备一些网络管理方面的技能和能力，如配置网络服务、配置包过滤、监控网络性能、IP流量、配置文件系统和文件服务、网络文件系统、从仓库安装/升级软件包、管理网络安全、配置iptables、http服务、代理服务、邮件服务等等。由于其为高级工程级别的认证程序，所以普遍认为相比LFCS，学习和通过的难度更大些。

• 认证代码：LFCE
• 课程代码：LFS230
• 考试代码：LFCE 考试
• 考试时长：2小时
• 要求：认证过LFCS
• 分数线：72%
• 语言：英语
• 有效期：2年

我们发现的情况（这仅仅是我们的观点）

最近的调查表明，在不同的高端招聘代理中，称80%的Linux工作描述更倾向于红帽的认证。如果你是一个学生/新手，并且想学习Linux，那么我们建议选择越来越流行的Linux基金会认证，或者CompTIA Linux也可以是一个选择。如果你已经了解了oracle或suse，或者在他们的产品上工作，那oracle/suse的认证会更好些，如果你在公司里工作了，这些认证会对你的职业生涯成长有帮助 :-)

总结

在这个世界上，成千上万的大公司正在运行跑着Linux操作系统的服务器和主框架机，为了在这些服务器上管理、配置和工作，总是存在着对Linux技术/专业知识高度认证的需求。这些国际上承认的认证对某些人在Linux的职业生涯扮演很重要的角色。这些遍布全球的公司运行着Linux，需要Linux工程师、系统管理员和已经获得认证且在Linux相关领域干得不错的人员。全球认可的Linux认证，对于专业知识和职业生涯的辉煌都是重中之重，所以好好准备考试并获得认证，对于在Linux建立职业生涯是一个很好的选择。如果你有任何问题，想法，反馈，请写在下方的评论框里，让我们好知道哪些东西需要添加或者改进。谢谢！:-)

via: http://linoxide.com/linux-how-to/12-globally-recognized-linux-certifications/

作者：Arun Pyasi 译者：wi-cuckoo 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出