第 9 章 系统技巧

这里,描述配置和管理系统的基本技巧,大部分在控制台操作。

9.1. screen 程序

对通过不可靠或断断续续的连接访问远程主机的人们而言,screen(1) 是一个非常有用的工具,因为它支持可中断的网络连接。

表 9.1. 支持可中断网络连接的程序列表

软件包流行度大小说明
screenV:127, I:2811013VT100/ANSI 终端模拟器混合复用的终端
tmuxV:34, I:136830终端复用的备选方案(使用 “Control-B”代替)

9.1.1. screen(1) 的使用场景

screen(1) 不但允许一个终端窗口运行多个进程,还允许远程 shell 进程支持中断的连接.这里是一个典型的 screen(1) 使用场景.

  1. 登录到一个远程机器。

  2. 在单个控制台上启动 screen

  3. 使用 ^A c (“Control-A” 接着 “c”)在 screen 中创建的窗口执行多个程序.

  4. ^A n (“Control-A” 接着”n”)来在多个 screen 窗口间转换.

  5. 突然,你需要离开你的终端,但你不想丢掉正在做的工作,而这些工作需要连接来保持。

  6. 你可以通过任何方式分离 screen 会话。

    • 残忍地拔掉你的网络连接

    • 输入 ^A d (“Control-A” 接着 “d”) 并手工从远程连接退出登录

    • 输入 ^A DD (“Control-A” 接着 “DD”) 分离 screen 并退出登录

  7. 你重新登录到同一个远处主机(即使从不同的终端)。

  8. 使用 “screen -r“ 启动 screen.

  9. screen 魔术般的重新附上先前所有的 screen 窗口和所有在活动运行的程序.

[提示]提示

对于拨号或者按包计费的网络连接,你可以通过 screen 节省连接费用,应为你可以在断开连接时让一个进程继续运行,当你稍后再次连接时重新附上它。

9.1.2. screen 命令的键绑定

screen 会话里,除了命令按键外的所有键盘输入都会被发送到当前窗口。 screen 所有命令按键是通过 ^A (“Control-A”) 加单个键[加任何参数] 来输入.这里有一些重要的命令按键需要记住。

表 9.2. screen 键绑定列表

键绑定功能说明
^A ?显示帮助屏幕(显示键绑定)
^A c创建一个新的窗口并切换到该窗口
^A n到下一个窗口
^A p到前一个窗口
^A 0到 0 号窗口
^A 1到 1 号窗口
^A w显示窗口列表
^A a作为键盘输入发送 Ctrl-A 到当前窗口
^A h把当前窗口的硬拷贝写到一个文件
^A H开始/结束 当前窗口到文件的记录
^A ^X锁定终端(密码保护)
^A d从终端分离 screen 会话
^A DD分离 screen 会话并退出登录

细节参见 screen(1).

9.2. 数据记录和展示

9.2.1. 日志后台守护进程(daemon)

许多程序在”/var/log/“ 目录下记录它们的活动.

  • 系统日志后台守护进程(daemon): rsyslogd(8)

参见 第 3.2.5 节 “系统消息”第 3.2.4 节 “内核消息”.

9.2.2. 日志分析

这里是主要的日志分析软件 (“~Gsecurity::log-analyzer“ 在 aptitude(8) 中).

表 9.3. 系统日志分析软件列表

软件包流行度大小说明
logwatchV:16, I:182265用 Perl 写的日志分析软件,有好的输出
fail2banV:112, I:1232092禁用造成多个认证错误的 IP
analogV:4, I:1093534web 服务器日志分析
awstatsV:9, I:156910强大和特性全面的 web 服务器日志分析
sargV:3, I:3843生成 squid 分析报告
pflogsummV:1, I:4111Postfix 日志条目概要
syslog-summaryV:0, I:230总结 syslog 日志文件内容
fwlogwatchV:0, I:0479防火墙日志分析软件
squidviewV:0, I:1189监控和分析 squid access.log 文件
swatchV:0, I:0101有正则表达式、高亮和曲线的日志文件查看器
crm114V:0, I:01119Controllable Regex Mutilator 和垃圾邮件过滤 (CRM114)
icmpinfoV:0, I:044解释 ICMP 信息
[注意]注意

CRM114 提供语言架构来写模糊 过滤器,使用了 TRE 正则表达式库 。它主要在垃圾邮件过滤器中使用,但也能够用于日志分析。

9.2.3. 清晰的记录 shell 活动

简单地使用 script(1) (参见 第 1.4.9 节 “记录 shell 活动”)记录 shell 活动会产生一个有控制字符的文件。这些控制字符可以按下面的方式,使用 col(1) 去掉。

  1. $ script
  2. Script started, file is typescript

做些操作……按 Ctrl-D 退出 script.

  1. $ col -bx <typescript >cleanedfile
  2. $ vim cleanedfile

如果你没有 script (例如:在 initramfs 里的启动过程中),你可以使用下面的方式代替。

  1. $ sh -i 2>&1 | tee typescript
[提示]提示

gnome-terminal 之类的x-terminal-emulator 也能够记录。你也许需要增加行缓冲来用滚动条查看。

[提示]提示

你可以使用 screen(1) 和 “^A H“ (参见 第 9.1.2 节 “screen 命令的键绑定”)来进行控制台记录。

[提示]提示

你可以使用 emacs(1) 和 “M-x shell“, “M-x eshell“, 或 “M-x term“ 来进行控制台记录。你稍后可以使用 “C-x C-w“ 将缓冲写到文件。

9.2.4. 定制文本数据的显示

尽管例如 more(1) 和 less(1) 这样的分页程序(参见 第 1.4.5 节 “分页程序”)和用于高亮和格式的自定义工具(参见 第 11.1.8 节 “高亮并格式化纯文本数据”)可以漂亮地显示文本数据,但通用的编辑器 (参见 第 1.4.6 节 “文本编辑器”)是用途最广的,且可定制性最高。

[提示]提示

对于 vim(1) 和它的分页模式别名 view(1),“:set hls” 可以启用高亮搜索。

9.2.5. 定制时间和日期的显示

ls -l” 命令默认的时间和日期显示格式取决于语言环境(相关的值参见 第 1.2.6 节 “时间戳”)。“$LANG” 变量将被首先考虑,但它会被 “$LC_TIME” 变量覆盖。

每个语言环境实际的默认显示格式取决于所使用的 C 标准库的版本(libc6 软件包),也就是说,不同的 Debian 发行版有不同的默认情况。

如果你真的想自定义超出语言环境的时间和日期显示格式,你应该通过 “--time-style” 参数或 “$TIME_STYLE” 的值来设置时间样式值(参见ls(1)、date(1)、“info coreutils 'ls invocation'”)。

表 9.4. wheezy 中 “ls -l” 命令时间和日期的显示案例

时间样式值语言环境时间和日期显示
iso任何值01-19 00:15
long-iso任何值2009-01-19 00:15
full-iso任何值2009-01-19 00:15:16.000000000 +0900
语言环境CJan 19 00:15
语言环境en_US.UTF-8Jan 19 00:15
语言环境es_ES.UTF-8ene 19 00:15
+%d.%m.%y %H:%M任何值19.01.09 00:15
+%d.%b.%y %H:%MCen_US.UTF-819.Jan.09 00:15
+%d.%b.%y %H:%Mes_ES.UTF-819.ene.09 00:15
[提示]提示

你可以使用命令别名以避免在命令行中输入长的选项,例如 “alias ls=’ls —time-style=+%d.%m.%y\ %H:%M’”(参见 第 1.5.9 节 “命令别名”)。

[提示]提示

ISO 8601 遵循这些 iso 格式。

9.2.6. shell 中 echo 的颜色

大部分现代终端的 shell 中 echo 能够使用 ANSI 转义字符来显示颜色(参见 “/usr/share/doc/xterm/ctlseqs.txt.gz”)。

尝试下列例子

  1. $ RED=$(printf "\x1b[31m")
  2. $ NORMAL=$(printf "\x1b[0m")
  3. $ REVERSE=$(printf "\x1b[7m")
  4. $ echo "${RED}RED-TEXT${NORMAL} ${REVERSE}REVERSE-TEXT${NORMAL}"

9.2.7. 有颜色输出的命令

在交互式的环境下,命令的输出带颜色,能够给检查命令的输出带来便利。 我在我的”~/.bashrc“里加入了下面内容.

  1. if [ "$TERM" != "dumb" ]; then
  2. eval "`dircolors -b`"
  3. alias ls='ls --color=always'
  4. alias ll='ls --color=always -l'
  5. alias la='ls --color=always -A'
  6. alias less='less -R'
  7. alias ls='ls --color=always'
  8. alias grep='grep --color=always'
  9. alias egrep='egrep --color=always'
  10. alias fgrep='fgrep --color=always'
  11. alias zgrep='zgrep --color=always'
  12. else
  13. alias ll='ls -l'
  14. alias la='ls -A'
  15. fi

在交互式命令中,使用别名来限制颜色的影响范围。导出环境变量 “export GREP_OPTIONS='--color=auto'“ 也有好处,这样能够让 less(1) 之类的页面程序看到颜色。当使用管道到其它命令时,你想去掉颜色,上面列子 “~/.bashrc“ 中的内容,可以使用 “--color=auto“ 代替.

[提示]提示

在交互式的环境中,通过”TERM=dumb bash“调用 shell ,你能够关闭这些颜色别名。

9.2.8. 记录编辑器复杂的重复操作动作

你能够记录编辑器复杂的重复操作动作。

对于 Vim),请按下面操作。

  • qa“: 开始记录输入字符到有名字的寄存器 “a“.

  • … 编辑器操作

  • q“: 结束记录输入的字符。

  • @a“:执行寄存器 “a 的内容”.

对于 Emacs, 请按下面操作。

  • C-x (“: 开始定义一个键盘宏.

  • … 编辑器操作

  • C-x )“:结束定义一个键盘宏.

  • C-x e“: 执行一个键盘宏.

9.2.9. 记录 X 应用程序的图形

有少量方法可以记录 X 应用程序的图像,包括xterm 显示。

表 9.5. 图形图像处理工具列表

软件包流行度大小命令
xbase-clientsI:2646xwd(1)
gimpV:68, I:34122313GUI 菜单
imagemagickI:400218import(1)
scrotV:8, I:8070scrot(1)

9.2.10. 记录配置文件的变更

有特定的工具可以通过 DVCS 系统的帮助来记录配置文件的变更。

表 9.6. 在 VCS 中记录配置历史的软件包

软件包流行度大小说明
etckeeperV:27, I:32162使用 Git(默认)、MercurialBazaar(新)来保存配置文件和它们的元数据
changetrackV:0, I:071使用 RCS(旧)保存配置文件

我建议使用带有 git(1) 的 etckeeper 软件包,它将整个 “/etc” 置于 VCS 控制之下。它的安装指南和教程参见 “/usr/share/doc/etckeeper/README.gz”。

从本质上讲,运行 “sudo etckeeper init” 来为 “/etc” 初始化 git 仓库,与 第 10.6.5 节 “记录配置历史的 Git” 中所解释的过程相似,但需要特殊的 hook 脚本来进行更全面的设置。

当你改变你的配置时,你可以使用 git(1) 来正常地记录它们。你每次运行软件包管理命令时,它也会自动记录变更。

[提示]提示

你可以通过执行 “sudo GIT_DIR=/etc/.git gitk” 来浏览 “/etc” 的变更记录,你可以清晰地看到新的已安装软件包、已移除软件包和软件包版本的变更。

9.3. 监控、控制和启动程序活动

程序活动能够使用特殊的工具监控和控制。

表 9.7. 监控和控制程序活动工具列表

软件包流行度大小说明
coreutilsV:891, I:99917478nice(1): 用指定的调度优先权运行一个程序
bsdutilsV:673, I:999393renice(1): 调整一个目前在运行的进程的调度优先权值
procpsV:739, I:999792/proc“ 文件系统工具: ps(1), top(1), kill(1), watch(1), …
psmiscV:427, I:845679/proc“ 文件系统工具: killall(1), fuser(1), peekfd(1), pstree(1)
timeV:15, I:27982time(1):运行一个程序,并从时间消耗方面来报告系统资源的使用
sysstatV:161, I:1831918sar(1), iostat(1), mpstat(1), …: linux 系统性能工具
isagV:0, I:3116sysstat 的交互式的系统活动图
lsofV:391, I:946451lsof(8): 使用 “-p“ 选项列出被一个系统进程打开的文件
straceV:16, I:1532367strace(1):跟踪系统调用和信号
ltraceV:1, I:21363ltrace(1): 跟踪库调用
xtraceV:0, I:0353xtrace(1):跟踪 X11 客户端和服务器端之间的通信
powertopV:9, I:217662powertop(1):系统能耗使用信息
cronV:805, I:997263根据 cron(8) 后台守护进程(daemon)的调度运行一个进程
anacronV:409, I:48299用于非整天 24 小时运行系统的命令计划,类 cron
atV:162, I:310161at(1) 或 batch(1): 在一个特定的时间运行任务或在某一系统负载下运行
[提示]提示

procps 包提供了非常基础的监控、控制程序活动功能和启动程序功能。你应当把他们全部学会。

9.3.1. 进程耗时

显示 命令调用进程的时间消耗。

  1. # time some_command >/dev/null
  2. real 0m0.035s # 执行时间 (占用的真实时间)
  3. user 0m0.000s # 用户模式时间
  4. sys 0m0.020s # 内核模式时间

9.3.2. 调度优先级

进程的调度优先级是被一个进程优先级值控制。

表 9.8. 调度优先级值列表

进程优先级值调度优先级
19最低优先级进程
0非常高的普通用户优先级进程
-20root 用户非常高的优先级进程
  1. # nice -19 top # 非常优先
  2. # nice --20 wodim -v -eject speed=2 dev=0,0 disk.img # 非常快

在某些情况下,极端的进程优先级值会对系统造成伤害。小心使用这个命令。

9.3.3. ps 命令

在 Debian 系统上的 ps(1) 命令同时支持 BSD 和 SystemV 特征,有助于识别静态的进程活动。

表 9.9. ps 命令样式列表

样式典型的命令特征
BSDps aux显示 %CPU %MEM
System Vps -efH显示 PPID

对于僵尸(死了的)子进程,你能够通过 “PPID“ 字段的父进程 ID 来杀死它们。

pstree(1) 命令显示进程树。

9.3.4. top 命令

Debian 系统上的 top(1) 拥有丰富的特征,有助于识别进程有趣的动态行为。

它是一个交互式的全屏程序。你可以通过按”h”键来得到它的使用帮助,按”q”键来终止该程序。

9.3.5. 列出被一个进程打开的文件

你能够通过一个进程 ID(PID)来列出该进程所有打开的文件,例如,PID 为 1 的进程,使用下面的方式。

  1. $ sudo lsof -p 1

PID=1 通常用于 init 程序.

9.3.6. 跟踪程序活动

你能够跟踪程序活动,使用strace(1), ltrace(1), xtrace(1) 来跟踪系统调用和信号、库调用、X11 客户端和服务器端之间的通信。

跟踪 ls 命令的系统调用。

  1. $ sudo strace ls

9.3.7. 识别使用文件和套接字的进程

你可以通过 fuser(1) 来识别出使用文件的进程,例如,用下面的方式识别出 “/var/log/mail.log“ 由哪个进程打开。

  1. $ sudo fuser -v /var/log/mail.log
  2. USER PID ACCESS COMMAND
  3. /var/log/mail.log: root 2946 F.... rsyslogd

你可以看到 “/var/log/mail.log“ 是由 rsyslogd(8) 命令打开并写入。

你可以通过 fuser(1) 来识别出使用套接字的进程,例如,用下面的方式识别出 “smtp/tcp“ 由哪个进程打开。

  1. $ sudo fuser -v smtp/tcp
  2. USER PID ACCESS COMMAND
  3. smtp/tcp: Debian-exim 3379 F.... exim4

现在你知道你的系统运行 exim4(8) 来处理连接到 SMTP 端口 (25)的 TCP 连接.

9.3.8. 使用固定间隔重复一个命令

watch(1) 使用固定间隔重新执行一个命令,并全屏显示输出。

  1. $ watch w

显示哪些人登录到系统,每 2 秒钟更新一次。

9.3.9. 使用文件循环来重复一个命令

通过匹配某些条件的文件来循环重复一个命令,有几种方法,例如,匹配全局模式”*.ext“.

  1. for x in *.ext; do if [ -f "$x"]; then command "$x" ; fi; done
  • find(1) 和 xargs(1) 联合:
  1. find . -type f -maxdepth 1 -name '*.ext' -print0 | xargs -0 -n 1 command
  • find(1) 使用 “-exec“ 选项并执行命令:
  1. find . -type f -maxdepth 1 -name '*.ext' -exec command '{}' \;
  • find(1) 使用 “-exec“ 选项并执行一个短的 shell 脚本:
  1. find . -type f -maxdepth 1 -name '*.ext' -exec sh -c "command '{}' && echo 'successful'" \;

上面的列子确保适当处理怪异的文件名(如包含空格)。 find(1) 更多高级的用法,参见 第 10.1.5 节 “查找文件的语法”.

9.3.10. 从 GUI 启动一个程序

对于 命令行界面(command-line interface,CLI)$PATH 环境变量所指定的目录中第一个匹配相应名称的程序会被执行。参见 第 1.5.3 节 “”$PATH“ 变量”

对于遵从 freedesktop.org 标准的 图形用户界面(graphical user interface,GUI)/usr/share/applications/ 目录中的 *.desktop 文件给每个程序的 GUI 菜单显示提供了必要的属性。参见 第 7.2.2 节 “Freedesktop.org 菜单”

举个例子,chromium.desktop 文件中为 “Chromium 网络浏览器” 定义了相关属性,例如程序名 “Name”,程序执行路径和参数 “Exec”,所使用的图标 “Icon” 等等(参见 桌面配置项规范)。文件内容如下:

  1. [Desktop Entry]
  2. Version=1.0
  3. Name=Chromium Web Browser
  4. GenericName=Web Browser
  5. Comment=Access the Internet
  6. Comment[fr]=Explorer le Web
  7. Exec=/usr/bin/chromium %U
  8. Terminal=false
  9. X-MultipleArgs=false
  10. Type=Application
  11. Icon=chromium
  12. Categories=Network;WebBrowser;
  13. MimeType=text/html;text/xml;application/xhtml_xml;x-scheme-handler/http;x-scheme-handler/https;
  14. StartupWMClass=Chromium
  15. StartupNotify=true

这是一个较为简单的说明。*.desktop 文件像下面那样被搜寻。

桌面环境设置 $XDG_DATA_HOME$XDG_DATA_DIR 环境变量。举个例子,在 GNOME 3 中:

  • 未设置 $XDG_DATA_HOME。(将使用默认值 $HOME/.local/share。)

  • $XDG_DATA_DIRS 被设置为 /usr/share/gnome:/usr/local/share/:/usr/share/

基准目录(参见 XDG Base Directory Specification)和应用程序目录如下所示。

  • $HOME/.local/share/$HOME/.local/share/applications/

  • /usr/share/gnome//usr/share/gnome/applications/

  • /usr/local/share//usr/local/share/applications/

  • /usr/share//usr/share/applications/

*.desktop 文件将按照这个顺序在这些 applications 目录中进行搜寻。

[提示]提示

要建立一个用户自定义的 GUI 菜单项,需要在 $HOME/.local/share/applications/ 目录中添加一个 *.desktop 文件。

[提示]提示

相似地,如果在这些基准目录下的 autostart 目录中建立了一个 .desktop 文件,则 .desktop 文件中指定的程序会在桌面环境启动时自动执行。参见 Desktop Application Autostart Specification

[提示]提示

相似地,如果在 $HOME/Desktop 目录中建立了一个 *.desktop 文件并且桌面环境被配置为支持桌面图标启动器功能,则点击图标时指定的程序会被执行。请注意,$HOME/Desktop 目录的实际名称与语言环境有关。参见 xdg-user-dirs-update(1)。

9.3.11. 自定义被启动的程序

一些程序会被另一个程序自动启动。下面是自定义该过程的方法。

  • 应用程序配置菜单:

    • GNOME3 桌面:“设置” → “系统” → “详细信息” → “默认应用程序”

    • KDE 桌面: “K” → “Control Center 控制中心” → “KDE Components 组件” → “Component Chooser 组件选择器”

    • Iceweasel 浏览器:“编辑” → “首选项” → “应用程序”

    • mc(1):“/etc/mc/mc.ext

  • 例如 “$BROWSER”、“$EDITOR”、“$VISUAL” 和 “$PAGER” 这样的环境变量(参见 eviron(7))

  • ~/.mailcap” 和 “/etc/mailcap” 文件的内容关联了程序的 MIME 类型(参见 mailcap(5))

  • ~/.mime.types” 和 “/etc/mime.types” 文件的内容关联了 MIME 类型的文件扩展名(参见 run-mailcap(1))

[提示]提示

update-mime(8) 会更新 “/etc/mailcap“ 文件,期间会用到 “/etc/mailcap.order“ 文件 (参见 mailcap.order(5)).

[提示]提示

debianutils 软件包提供 sensible-browser(1)、sensible-editor(1) 和 sensible-pager(1),它们可以分别对要调用的编辑器、分页程序和网络浏览器作出明智的选择。我建议你阅读那些 shell 脚本。

[提示]提示

为了在 X 下运行例如 mutt 这样的控制台应用程序来作为你的首选应用程序,你应该像下面那样建立一个 X 应用程序并设置 “/usr/local/bin/mutt-term” 为你想要启动的首选应用程序。

  1. # cat /usr/local/bin/mutt-term <<EOF
  2. #!/bin/sh
  3. gnome-terminal -e "mutt \$@"
  4. EOF
  5. chmod 755 /usr/local/bin/mutt-term

9.3.12. 杀死一个进程

使用 kill(1) 通过进程 ID 来杀死(发送一个信号)一个进程。

使用 killall(1) 或 pkill(1) 通过进程命令的名字或其它属性来做同样的事情。

表 9.10. kill 命令常用信号列表

信号值信号名功能
1HUP重启后台守护进程(daemon)
15TERM普通 kill
9KILL硬 kill

9.3.13. 单次任务时间安排

运行 at(1) 命令来安排一次性的工作。

  1. $ echo 'command -args'| at 3:40 monday

9.3.14. 定时任务安排

使用 cron(8) 来进行定时任务安排。参见 crontab(1) 和 crontab(5).

你能够作为一个普通用户定时运行一个进程,比如, foo 使用 “crontab -e“ 命令创建一个 crontab(5) 的文件 “/var/spool/cron/crontabs/foo“。

这里是一个 crontab(5) 文件的列子。

  1. # use /bin/sh to run commands, no matter what /etc/passwd says
  2. SHELL=/bin/sh
  3. # mail any output to paul, no matter whose crontab this is
  4. MAILTO=paul
  5. # Min Hour DayOfMonth Month DayOfWeek command (Day... are OR'ed)
  6. # run at 00:05, every day
  7. 5 0 * * * $HOME/bin/daily.job >> $HOME/tmp/out 2>&1
  8. # run at 14:15 on the first of every month -- output mailed to paul
  9. 15 14 1 * * $HOME/bin/monthly
  10. # run at 22:00 on weekdays(1-5), annoy Joe. % for newline, last % for cc:
  11. 0 22 * * 1-5 mail -s "It's 10pm" joe%Joe,%%Where are your kids?%.%%
  12. 23 */2 1 2 * echo "run 23 minutes after 0am, 2am, 4am ..., on Feb 1"
  13. 5 4 * * sun echo "run at 04:05 every Sunday"
  14. # run at 03:40 on the first Monday of each month
  15. 40 3 1-7 * * [ "$(date +%a)" == "Mon" ] && command -args
[提示]提示

对那些非连续运行的系统,安装 anacron 软件包来定时执行周期性的命令,命令在接近机器启动的时间运行,并允许有特定的时间间隔。参见 anacron(8) 和 anacrontab(5).

[提示]提示

对于定时系统维护脚本,你能够以root 账户定时运行,把这类脚本放入 “/etc/cron.hourly/“, “/etc/cron.daily/“, “/etc/cron.weekly/“, 或 “/etc/cron.monthly/“. 这些脚本的执行时间,可以通过 “/etc/crontab“ 和 “/etc/anacrontab“ 来定制。

9.3.15. Alt-SysRq 键

内核编译选项 “Magic SysRq key” (SAK 键)提供预防系统故障的措施,该选项现在是 Debian 内核的默认值。按 Alt-SysRq 键,接着按下面键中的一个键,会做拯救系统的神奇事情。

表 9.11. SAK命令键列表

Alt-SysRq 之后的键行为描述
r在 X 崩溃后,从 raw 模式恢复键盘
0把控制台日志级别改变到 0 来减少错误信息
kkill 在当前虚拟控制台上的所有进程
e发送 SIGTERM 到所有进程,除开 init(8)
i发送 SIGKILL 到所有进程,除开 init(8)
ssync 所有已经挂载的文件系统来避免数据损坏
u重新以只读方式挂载所有已挂载的文件系统 (umount)
breboot 系统,不同步或卸载
[提示]提示

阅读 signal(7), kill(1) 和 sync(1) 手册页来理解上面的描述。

“Alt-SysRq s”, “Alt-SysRq u” 和 “Alt-SysRq r” 组合,有助于跳出真正坏的情形,并可以在不停止系统的情况下获得可用的键盘。

参见 “/usr/share/doc/linux-doc-3.*/Documentation/sysrq.txt.gz“.

[小心]小心

由于允许用户访问 root 权限的功能,Alt-SysRq 特性可能被认为是安全风险。在 “/etc/rc.local“ 里面放入”echo 0 >/proc/sys/kernel/sysrq“ 或在 “/etc/sysctl.conf“ 里放入 “kernel.sysrq = 0“来禁用 Alt-SysRq 特性。

[提示]提示

从 SSH 终端等,你能够通过向 “/proc/sysrq-trigger“ 写入内容来使用 Alt-SysRq 特性。例如,从 root shell 提示符运行 “echo s > /proc/sysrq-trigger; echo u > /proc/sysrq-trigger“ 来 syncs 和 umounts 所有已挂载的文件系统。

9.4. 系统维护技巧

9.4.1. 谁在系统里?

你可以通过下面的方法检查谁登录在系统里。

  • who(1) 显示谁登录在系统里面。

  • w(1) 显示谁登录在系统里面,他们在做什么。

  • last(1) 显示用户最后登录的列表。

  • lastb(1) 显示用户最后错误登录的列表。

[提示]提示

/var/run/utmp“ 和 “/var/log/wtmp“ 存储这样的用户信息。参见 login(1) 和 utmp(5).

9.4.2. 警告所有人

你可以通过下面的方式使用 wall(1) 给登录系统的每一个人发送信息。

  1. $ echo "We are shutting down in 1 hour" | wall

9.4.3. 硬件识别

对于 PCI 类设备(AGP, PCI-Express, CardBus, ExpressCard 等), 一开始就使用 lspci(8) (也许加上 “-nn“ 选项) 进行硬件识别比较好。

此外,你可以通过阅读 “/proc/bus/pci/devices“ 里面的内容或浏览”/sys/bus/pci“ 下面的目录树来进行硬件识别(参见 第 1.2.12 节 “procfs 和 sysfs”).

表 9.12. 硬件识别工具列表

软件包流行度大小说明
pciutilsV:195, I:992196Linux PCI 工具: lspci(8)
usbutilsV:84, I:862324Linux USB 工具: lsusb(8)
pcmciautilsV:13, I:2197Linux PCMCIA 工具: pccardctl(8)
scsitoolsV:0, I:3390SCSI 硬件管理工具集: lsscsi(8)
procinfoV:0, I:13135从 “/proc“: lsdev(8) 获得系统信息
lshwV:12, I:94842硬件配置信息: lshw(1)
discoverV:41, I:94790硬件识别系统: discover(8)

9.4.4. 硬件配置

像 GNOME 和 KDE 这类现代图形桌面系统,虽然大部分硬件的配置都能够通过相应的图形配置工具来管理,但知道一些配置它们的基础方式,也是一个好的主意。

表 9.13. 硬件配置工具列表

软件包流行度大小说明
console-setupV:137, I:959411Linux 控制台字体和键盘表工具
x11-xserver-utilsV:282, I:534511X 服务端工具: xset(1), xmodmap(1)
acpidV:145, I:318176管理高级可配置和电源接口(ACPI)事件分发的后台守护进程(daemon)
acpiV:17, I:30245显示 ACPI 设备信息的工具
sleepdV:0, I:086在笔记本空闲时,使其进入休眠状态的后台守护进程(daemon)
hdparmV:408, I:718256硬盘访问优化 (参见 第 9.5.9 节 “硬盘优化”)
smartmontoolsV:134, I:1972117使用 S.M.A.R.T. 控制和监控存储系统
setserialV:5, I:9117串口管理工具集
memtest86+V:1, I:292391内存硬件管理工具集
scsitoolsV:0, I:3390SCSI 硬件管理工具集
setcdV:0, I:135光驱访问优化
big-cursorI:127X 系统的大鼠标光标

这里, ACPI 是一个比 APM 新的电源管理系统框架。

[提示]提示

现代系统的 CPU 频率调整功能,是由内核模块 acpi_cpufreq 管理的。

9.4.5. 系统时间和硬件时间

下面设置系统的硬件时间为:MM/DD hh:mm, CCYY.

  1. # date MMDDhhmmCCYY
  2. # hwclock --utc --systohc
  3. # hwclock --show

Debian 系统的时间通常显示为本地时间,但硬件时间通常使用 UTC(GMT) 时间。

如果硬件(BIOS)时间设置为 UTC 时间,请在“/etc/default/rcS”里面设置“UTC=yes”。

下面是重新配置 Debian 系统使用的时区。

  1. # dpkg-reconfigure tzdata

如果你希望通过网络来更新系统时间,考虑使用 ntp, ntpdatechrony 这类包提供的 NTP 服务。

[提示]提示

systemd 下,是使用 systemd-timesyncd 来替代进行网络时间同步。参见 systemd-timesyncd(8).

参见下面内容。

[提示]提示

ntp 包里面的 ntptrace(8) 能够跟踪 NTP 服务链至原始源。

9.4.6. 终端配置

有几个组件可以用来配置字符控制台和 ncurses(3) 系统功能。

  • /etc/terminfo/*/*” 文件(terminfo(5))

  • $TERM” 环境变量(term(7))

  • setterm(1)、stty(1)、tic(1) 和 toe(1)

如果 xtermterminfo 对非 Debian 的 xterm 不起作用,则当你从远程登陆到 Debian 系统时,你需要改变你的终端类型 “$TERM”,从 “xterm” 更改为功能受限的版本(例如 “xterm-r6”)。更多内容参见 “/usr/share/doc/libncurses5/FAQ”。“dumb” 是 “$TERM” 中最通用的。

9.4.7. 声音基础设施

用于现在的 Linux 的声卡设备驱动程序由 高级 Linux 声音体系(Advanced Linux Sound Architecture,ALSA) 提供。ALSA 提供了兼容之前的 开放声音系统(Open Sound System,OSS)的模拟模式。

[提示]提示

使用 “cat /dev/urandom > /dev/audio” 或 speaker-test(1) 来测试扬声器(^C 停止)。

[提示]提示

如果你无法听到声音,那你的扬声器可能连接到了一个静音输出。现代的声音系统有许多输出。alsa-utils 软件包中的 alsamixer(1) 可以很好地配置声音和静音设置。

应用软件可被配置为不仅直接访问声音设备,也可以通过一些标准化声音服务器系统来访问它们。

表 9.14. 声音软件包

软件包流行度大小说明
alsa-utilsV:341, I:4762283配置和使用 ALSA 的工具
oss-compatV:2, I:2920在 ALSA 下兼容 OSS,预防 “/dev/dsp not found” 错误
jackdV:4, I:279JACK Audio Connection Kit. (JACK) 服务器(低延迟)
libjack0V:1, I:13338JACK Audio Connection Kit. (JACK) 库(低延迟)
nasV:0, I:0243网络音频系统(Network Audio System,NAS)服务器
libaudio2V:60, I:488165网络音频系统(Network Audio System,NAS)
pulseaudioV:350, I:4716398PulseAudio 服务器,替代 ESD
libpulse0V:289, I:604969PulseAudio 客户端库,替代 ESD
libgstreamer1.0-0V:372, I:5745280GStreamer:GNOME 声音引擎
libphonon4I:121680Phonon:KDE 声音引擎

每个流行的桌面环境通常都有一个通用的声音引擎。每个被应用程序使用的声音引擎都可以选择连接到不同的声音服务器。

9.4.8. 关闭屏幕保护

关闭屏幕保护,使用下面的命令。

表 9.15. 关闭屏幕保护命令列表

环境命令
Linux 控制台setterm -powersave off
X 窗口(关闭屏幕保护)xset s off
X 窗口(关闭 dpms)xset -dpms
X 窗口(屏幕保护 GUI 配置)xscreensaver-command -prefs

9.4.9. 关闭蜂鸣声

可以把电脑的扬声器拔掉来关闭蜂鸣声。把 pcspkr 内核模块删除,也可以做到这点。

bash(1) 用到的 readline(3) 程序,当遇到告警字符(ASCII=7)时,将会发生。下面的操作将阻止发生。

  1. $ echo "set bell-style none">> ~/.inputrc

9.4.10. 内存使用

对你来说,这里有两种可用的方法来得到内存的使用情况。

  • /var/log/dmesg” 中的内核启动信息包含了可用内存的精确总大小。

  • free(1) 和 top(1) 显示正在运行的系统中内存资源的相关信息。

下面是一个例子。

  1. # grep '\] Memory' /var/log/dmesg
  2. [ 0.004000] Memory: 990528k/1016784k available (1975k kernel code, 25868k reserved, 931k data, 296k init)
  3. $ free -k
  4. total used free shared buffers cached
  5. Mem: 997184 976928 20256 0 129592 171932
  6. -/+ buffers/cache: 675404 321780
  7. Swap: 4545576 4 4545572

你可能会觉得奇怪:“dmesg 告诉你 free 为 990 MB,而 free -k 告诉你 free 为 320 MB。这丢失了超过 600 MB ……”。

别担心 “Mem:” 这行中 “used” 较大的值以及 “free” 较小的值,放轻松,你需要查看的是下面的那个(在上面的例子中它们是 675404 和 321780)。

对于我的 MacBook,有 1GB=1048576k 内存(显卡系统用掉一些),我看到的如下。

表 9.16. 报告的内存大小

报告大小
dmesg 中 total 的大小1016784k = 1GB - 31792k
dmesg 中的 free990528k
shell 下的 total997184k
shell 下的 free20256k(但有效的为 321780k)

9.4.11. 系统安全性和完整性检查

糟糕的系统维护可能会暴露你的系统,导致它被外部非法使用。

对于系统安全性和完整性的检查,你需要从下面这些方面开始。

表 9.17. 用于系统安全性和完整性检查的工具

软件包流行度大小说明
logcheckV:8, I:10102后台守护进程(daemon),将系统日志文件中的异常通过邮件发送给管理员
debsumsV:5, I:42107实用程序,使用 MD5 校验码对已安装软件包的文件进行校验
chkrootkitV:5, I:24970rootkit 检测软件
clamavV:13, I:58774Unix 的反病毒实用程序 —— 命令行界面
tigerV:2, I:37822报告系统安全漏洞
tripwireV:2, I:311521文件和目录完整性检测软件
johnV:2, I:12452先进的密码破解工具
aideV:1, I:22063高级入侵环境检测 —— 静态二进制
integritV:0, I:0329文件完整性验证程序
crackV:0, I:1149密码猜测程序

下面是一个简单的脚本,用来检测典型的所有人可写的错误文件权限。

  1. # find / -perm 777 -a \! -type s -a \! -type l -a \! \( -type d -a -perm 1777 \)
[小心]小心

由于 debsums 软件包使用本地存储的 MD5 校验码,因此面对恶意攻击,也不能完全相信系统安全性检测工具。

9.5. 数据存储技巧

使用 live CDdebian-installer CD 以救援模式启动你的系统,可以让你简单地重新配置你的启动设备的数据存储。

9.5.1. 硬盘空间使用情况

硬盘空间的使用情况可以通过 mountcoreutilsxdu 软件包提供的程序来评估:

  • mount(8) 显示所有挂载的文件系统(= 磁盘).

  • df(1) 报告文件系统使用的硬盘空间。

  • du(1) 报告目录树使用的硬盘空间。

[提示]提示

你可以将 du(8) 的输出传输给 xdu(1x),来使用它的图形交互式演示,例如 “du -k . |xdu”、“sudo du -k -x / |xdu” 等等。

9.5.2. 硬盘分区配置

对于硬盘分区配置,尽管 fdisk(8) 被认为是标准的配置,但是 parted(8) 工具还是值得注意的。

大多数 PC 使用经典的主引导记录(Master Boot Record,MBR)方案,将硬盘分区数据保存在第一个扇区,即 LBA 扇区 0(512 字节)。

[注意]注意

一些带有可扩展固件接口(Extensible Firmware Interface,EFI)的新 PC,包括基于 Intel 的 Mac,使用 全局唯一标识分区表(GUID Partition Table,GPT)方案,硬盘分区数据不保存在第一个扇区。

尽管 fdisk(8) 一直是硬盘分区的标准工具,但现在 parted(8) 替代了它。

表 9.18. 硬盘分区管理软件包

软件包流行度大小GPT说明
util-linuxV:891, I:9994598不支持多种系统工具,包含 fdisk(8) 和 cfdisk(8)
partedV:363, I:561304支持GNU Parted,硬盘分区调整程序
gpartedV:19, I:1322046支持基于 libparted 的 GNOME 分区编辑程序
gdiskV:278, I:513852支持用于 GPT 硬盘的分区编辑程序
kpartxV:16, I:2987支持为分区建立设备映射的程序
[小心]小心

尽管 parted(8) 声称也能用来创建和调整文件系统,但使用维护最好的专门工具来做这些事会更为安全,例如 mkfs(8)(mkfs.msdos(8)、mkfs.ext2(8)、mkfs.ext3(8)、mkfs.ext4(8)……)和 resize2fs(8)。

[注意]注意

为了在 GPTMBR 之间切换,你需要直接删除开头的几个块中的内容(参见 第 9.7.6 节 “清空文件内容”)并使用 “parted /dev/sdx mklabel gpt” 或 “parted /dev/sdx mklabel msdos” 来设置它。请注意,这里使用的 “msdos” 是用于 MBR

9.5.3. 使用 UUID 访问分区

尽管重新配置你的分区或可移动存储介质的激活顺序可能会给分区产生不同的名字,但你可以使用同一个 UUID 来访问它们。如果你有多个硬盘并且你的 BIOS 没有给它们一致的设备名的话,使用 UUID 是不错的选择。

[提示]提示

你可以使用 blkid(8) 来查看一个特定块设备的 UUID

[提示]提示

如果需要的话,设备(例如可移动存储介质)的设备节点可以通过 udev 规则 使其变为静态。参见 第 3.3 节 “udev 系统”

9.5.4. LVM2

LVM2 是一个用于 Linux 内核的逻辑卷管理器)。使用 LVM2 的话,硬盘分区可以创建在逻辑卷上来替代物理硬盘。

LVM 有下列需求。

  • Linux 内核中的设备映射支持(Debian 内核默认支持)

  • 用户自定义设备映射支持库(libdevmapper* 软件包)

  • 用户自定义 LVM2 工具(lvm2 软件包)

请从下面的 man 手册开始了解 LVM2。

  • lvm(8):LVM2 机制的基础知识(列出了所有 LVM2 命令)

  • lvm.conf(5):LVM2 的配置文件

  • lvs(8):报告逻辑卷的相关信息

  • vgs(8):报告卷组的相关信息

  • pvs(8):报告物理卷的相关信息

9.5.5. 文件系统配置

对于 ext4 文件系统, e2fsprogs 包提供下面的工具。

  • mkfs.ext4(8) 创建新的 ext4 文件系统

  • fsck.ext4(8) 检查和修复现有 ext4 文件系统

  • tune2fs(8) 配置 ext4 文件系统的超级块

  • debugfs(8) 交互式的调试 ext4 文件系统. (它有 undel 命令来恢复已经删除的文件.)

mkfs(8) 和 fsck(8) 命令是由 e2fsprogs 包提供的,是各种文件系统相关程序的前端。(mkfs.fstypefsck.fstype). 对于 ext4 文件系统,它们是 mkfs.ext4(8) 和 fsck.ext4(8) (它们被符号链接到 mke2fs(8) 和 e2fsck(8)).

Linux 支持的每一个文件系统,有相似的命令。

表 9.19. 文件系统管理包列表

软件包流行度大小说明
e2fsprogsV:576, I:9991449ext2/ext3/ext4 文件系统工具
reiserfsprogsV:11, I:291132Reiserfs 文件系统工具
dosfstoolsV:128, I:524235FAT 文件系统工具. (Microsoft: MS-DOS, Windows)
xfsprogsV:21, I:983191XFS 文件系统工具. (SGI: IRIX)
ntfs-3gV:186, I:5121479NTFS 文件系统工具. (Microsoft: Windows NT, …)
jfsutilsV:1, I:121577JFS 文件系统工具. (IBM: AIX, OS/2)
reiser4progsV:0, I:41373Reiser4 文件系统工具
hfsprogsV:0, I:8356HFSHFS Plus 文件系统工具. (Apple: Mac OS)
btrfs-progsV:38, I:644027Btrfs 文件系统工具
zerofreeV:3, I:9425把 ext2/3/4 文件系统上空闲块设置为零的程序
[提示]提示

Ext4 文件系统是 Linux 系统上默认的文件系统,强烈推荐使用这个文件系统,除非你有特殊的理由不使用。

[提示]提示

Btrfs 文件系统在 Linux 内核 3.2(Debian wheezy)上存在。它被期望作为 ext4 文件系统之后的下一个默认文件系统。

[警告]警告

在得到当前内核空间的 fsck(8) 特征和引导管理器支持前,你的关键数据不应当使用 Btrfs 文件系统。

[提示]提示

一些工具可以在没有 Linux 内核支持的情况下访问文件系统(参见 第 9.7.2 节 “不挂载磁盘操作文件”).

9.5.6. 文件系统创建和完整性检查

mkfs(8) 在 Linux 系统上创建文件系统。fsck(8) 命令在 Linux系统上提供文件系统完整性检查和修复功能。

在文件系统创建后,Debian 现在默认不周期性的运行 fsck

[小心]小心

已经挂载的文件系统上运行 fsck ,一般是不安全的.

[提示]提示

在 “/etc/mke2fs.conf“ 里设置 “enable_periodic_fsck“ 并使用 “tune2fs -c0 /dev/<partition_name>“ 设置最大挂载数为 0,便可以在重启时,让 root 文件系统包括在内的所有文件系统上,安全的运行fsck(8) 命令. 参见 mke2fs.conf(5) 和 tune2fs(8).

[提示]提示

从启动脚本里面运行的 fsck(8) 命令结果,可以在 “/var/log/fsck/“ 目录下查看。

9.5.7. 通过挂载选项优化文件系统

/etc/fstab” 中包含了基础的静态文件系统配置。例如,

  1. # <file system> <mount point> <type> <options> <dump> <pass>
  2. proc /proc proc defaults 0 0
  3. UUID=709cbe4c-80c1-56db-8ab1-dbce3146d2f7 / ext4 noatime,errors=remount-ro 0 1
  4. UUID=817bae6b-45d2-5aca-4d2a-1267ab46ac23 none swap sw 0 0
  5. /dev/scd0 /media/cdrom0 udf,iso9660 user,noauto 0 0
[提示]提示

UUID(参见 第 9.5.3 节 “使用 UUID 访问分区”)可以替代一般的块设备名称(例如 “/dev/sda1”、“/dev/sda2”……)来识别一个块设备。

一个文件系统的性能和特性可以通过所用的挂载选项来进行优化(参见 fstab(5) 和 mount(8))。值得注意的有以下几点。

  • defaults” 选项隐含的默认选项为:“rw,suid,dev,exec,auto,nouser,async”。(通常)

  • noatime” 或 “relatime” 选项对于加速读取访问非常有效。(通常)

  • user” 选项允许一个普通用户挂载文件系统。这个选项是 “noexec,nosuid,nodev” 选项的组合。(通常,用于 CD 或 usb 存储设备)

  • noexec,nodev,nosuid” 选项组合被用来增强安全性。(通常)

  • noauto“ 选项限制挂载,只有明确进行挂载操作才进行挂载(通常)

  • 用于 ext3fs 的 “data=journal” 选项可以增强电源故障时数据的完整性,但会损失一些写入速度。

[提示]提示

配置 root 文件系统非默认的日志模式,你需要向内核提供启动参数(参见 第 3.1.2 节 “第二阶段:引载加载程序”),比如说 “rootflags=data=journal“。对于 lenny 版本,默认的日志模式是 “rootflags=data=ordered“.对于 squeeze 版本,是”rootflags=data=writeback“.

9.5.8. 通过超级块(superblock)优化文件系统

一个文件系统的特性可以使用 tune2fs(8) 命令通过超级块来优化。

  • 执行 “sudo tune2fs -l /dev/hda1” 可以显示 “/dev/hda1” 上的文件系统超级块内容。

  • 执行”sudo tune2fs -c 50 /dev/hda1“ 改变 “/dev/hda1“ 文件系统的检查(在启动时执行 fsck)频率为每 50 次启动.

    • 执行 “sudo tune2fs -j /dev/hda1” 会给文件系统添加日志功能,即 “/dev/hda1” 的文件系统从 ext2 转换为 ext3。(对未挂载的文件系统这么做。)
  • 执行 “sudo tune2fs -O extents,uninit_bg,dir_index /dev/hda1 && fsck -pf /dev/hda1” 在 “/dev/hda1” 上将它从 ext3 转换为 ext4。(对未挂载的系统这么做。)

[提示]提示

尽管 tune2fs(8) 的名字是这样的,但它不仅能用于 ext2 文件系统,也能用于 ext3ext4 文件系统。

9.5.9. 硬盘优化

[警告]警告

在你折腾硬盘配置之前,请检查你的硬件并阅读 hdparam(8) 的 man 手册页,因为这可能会对数据完整性造成相当大的危害。

你可以通过 “hdparm -tT /dev/hda” 来测试 “/dev/hda” 硬盘的访问速度。对于一些使用 (E)IDE 连接的硬盘,你可以使用 “hdparm -q -c3 -d1 -u1 -m16 /dev/hda” 来启用 “(E)IDE 32 位支持”、启用 “using_dma flag”、设置 “interrupt-unmask flag” 并设置 “multiple 16 sector I/O”(危险!),从而加速硬盘访问速度。

你可以通过 “hdparm -W /dev/sda” 来测试 “/dev/sda” 硬盘的写入缓存功能。你可以使用 “hdparm -W 0 /dev/sda” 关闭写入缓存功能。

现代高速 CD-ROM 光驱,你可以使用 “setcd -x 2“ 降低速度,来读取不当压缩的 CDROM 光盘。

9.5.10. 固态硬盘优化

固态硬盘(solid state drive,SSD)的性能和硬盘磨损可以通过下列方式优化。

  • 使用最新的 Linux 内核。(>= 3.2)

  • 减少读取硬盘访问的硬盘写入。

    • /etc/fstab 中设置 “noatime” 或 “relatime” 挂载选项。
  • 启用 TRIM 命令。

    • /etc/fstab 中为 ext4 文件系统、swap 分区、Btrfs 等设置 discard 挂载选项。参见 fstab(5)。

    • /etc/lvm/lvm.conf 中为 LVM) 设置 “discard” 选项。参见 lvm.conf(5)。

    • /etc/crypttab 中为 dm-crypt 设置 “discard” 选项。参见 crypttab(5)。

  • 启用 SSD 硬盘空间分配优化方案。

    • /etc/fstab 中为 Brtfs 设置 “ssd” 挂载选项。
  • 对于笔记本电脑,使系统每 10 分钟刷新数据到硬盘。

    • /etc/fstab 中设置 “commit=600” 挂载选项。参见 fstab(5)。

    • 设置 pm-utils 使用笔记本模式,即使在 AC 电源供电下。参见 Debian BTS #659260.

[警告]警告

将刷新间隔从一般的 5 秒改为 10 分钟会导致遇到电源故障时数据容易丢失。

9.5.11. 使用 SMART 预测硬盘故障

你可以使用兼容 SMART 的 smartd(8) 后台守护进程(daemon)来监控和记录你的硬盘。

  1. BIOS 中启用 SMART 功能。

  2. 安装 smartmontools 软件包。

  3. 通过 df(1) 列出硬盘驱动并识别它们。

    • 让我们假设要监控的硬盘为 “/dev/hda”。
  4. 检查 “smartctl -a /dev/hda” 的输出,看 SMART 功能是否已启用。

    • 如果没有,通过 “smartctl -s on -a /dev/hda” 启用它。
  5. 通过下列方式运行 smartd(8) 后台守护进程(daemon)。

    • 消除 /etc/default/smartmontools” 文件中 “start_smartd=yes” 的注释。

    • 通过 “sudo /etc/init.d/smartmontools restart” 重新启动 smartd(8) 后台守护进程(daemon)。

[提示]提示

smartd(8) 后台守护进程(daemon)可以使用 /etc/smartd.conf 文件进行自定义,文件中包含了相关的警告。

9.5.12. 通过 $TMPDIR 指定临时存储目录

应用程序一般在临时存储目录 “/tmp” 下建立临时文件。如果 “/tmp” 没有足够的空间,你可以通过 $TMPDIR 变量来为程序指定临时存储目录。

9.5.13. 通过 LVM 扩展可用存储空间

在安装时创建在 Logical Volume Manager 逻辑卷管理(LVM)) (Linux 特性) 上的分区,它们可以容易的通过合并扩展或删除扩展的方式改变大小,而不需要在多个存储设备上进行大量的重新配置。

9.5.14. 通过挂载另一个分区来扩展可用存储空间

如果你有一个空的分区(例如 “/dev/sdx”),你可以使用 mkfs.ext4(1) 将它格式化,并使用 mount(8) 将它挂载到你需要更多空间的目录。(你需要复制原始数据内容。)

  1. $ sudo mv work-dir old-dir
  2. $ sudo mkfs.ext4 /dev/sdx
  3. $ sudo mount -t ext4 /dev/sdx work-dir
  4. $ sudo cp -a old-dir/* work-dir
  5. $ sudo rm -rf old-dir
[提示]提示

你也可以选择挂载一个空硬盘映像文件(参见 第 9.6.5 节 “制作空的磁盘映像文件”)作为一个循环设备(参见 第 9.6.3 节 “挂载磁盘映像文件”)。实际的硬盘使用量会随着实际存储数据的增加而增加。

9.5.15. 通过 “mount —bind” 挂载另一个目录来扩展可用存储空间

如果你在另一个分区里有一个带有可用空间的空目录(例如 “/path/to/emp-dir”),你可以通过带有 “--bind” 选项的 mount(8),将它挂载到一个你需要更多空间的目录(例如 “work-dir”)。

  1. $ sudo mount --bind /path/to/emp-dir work-dir

9.5.16. 通过 overlay 挂载(overlay-mounting)另一个目录来扩展可用存储空间

如果你在另一个分区表中有可用的空间(例如,“/path/to/empty” 和 “/path/to/work”),你可以在其中建立一个目录并堆栈到你需要空间的那个旧的目录(例如,“/path/to/old”),要这样做,你需要用于 Linux 3.18 版内核或更新版本(对应 Debian Stetch 9.0 或更新版本)的 OverlayFS

  1. $ sudo mount -t overlay overlay \
  2. -olowerdir=/path/to/old-dir,upperdir=/path/to/empty,workdir=/path/to/work

/path/to/empty” 和 “/path/to/work” 应该位于可读写的分区,从而能够写入 “/path/to/old”。

9.5.17. 使用符号链接扩展可用存储空间

[小心]小心

这是一个已弃用的做法。某些软件在遇到“软链接目录”时可能不会正常工作。请优先使用上文所述的“挂载”的途径。

如果你在另一个分区里有一个带有可用空间的空目录(例如 “/path/to/emp-dir”),你可以使用 ln(8) 建立目录的一个符号链接。

  1. $ sudo mv work-dir old-dir
  2. $ sudo mkdir -p /path/to/emp-dir
  3. $ sudo ln -sf /path/to/emp-dir work-dir
  4. $ sudo cp -a old-dir/* work-dir
  5. $ sudo rm -rf old-dir
[警告]警告

别对由系统管理的目录(例如 “/opt”)使用“链接到目录”,这样的链接在系统升级时可能会被覆盖。

9.6. 磁盘映像

我们在这里讨论磁盘影响的操作。

9.6.1. 制作磁盘映像文件

一个未挂载设备(例如,第二个 SCSI 或 串行 ATA 设备 “/dev/sdb”)的磁盘映像文件 “disk.img” 可以使用 cp(1) 或 dd(1) 通过下列方式建立。

  1. # cp /dev/sdb disk.img
  2. # dd if=/dev/sdb of=disk.img

传统 PC 中位于主 IDE 硬盘第一扇区的主引导记录(MBR)(参见 第 9.5.2 节 “硬盘分区配置”)的磁盘映像可以使用 dd(1) 通过下列方式建立。

  1. # dd if=/dev/hda of=mbr.img bs=512 count=1
  2. # dd if=/dev/hda of=mbr-nopart.img bs=446 count=1
  3. # dd if=/dev/hda of=mbr-part.img skip=446 bs=1 count=66
  • mbr.img”:带有分区表的 MBR

  • mbr-nopart.img”:不带分区表的 MBR

  • mbr-part.img”:仅 MBR 的分区表

如果你使用 SCSI 或 串行 ATA 设备作为启动硬盘,你需要使用 “/dev/sda” 替代 “/dev/hda”。

如果你要建立原始硬盘的一个硬盘分区的映像,你需要使用 “/dev/hda1” 等替代 “/dev/hda”。

9.6.2. 直接写入硬盘

磁盘映像文件 “disk.img” 可以通过下列方式写入到一个匹配大小的未挂载设备(例如,第二个 SCSI 设备 “/dev/sdb”。

  1. # dd if=disk.img of=/dev/sdb

相似地,硬盘分区映像文件 “partition.img” 可以通过下列方式写入到匹配大小的未挂载分区(例如,第二个 SCSI 设备的第一个分区 “/dev/sdb1”)。

  1. # dd if=partition.img of=/dev/sdb1

9.6.3. 挂载磁盘映像文件

可以使用循环设备通过下列方式挂载和卸载包含单个分区映像的磁盘映像 “partition.img”。

  1. # losetup -v -f partition.img
  2. Loop device is /dev/loop0
  3. # mkdir -p /mnt/loop0
  4. # mount -t auto /dev/loop0 /mnt/loop0
  5. ...hack...hack...hack
  6. # umount /dev/loop0
  7. # losetup -d /dev/loop0

可以简化为如下步骤。

  1. # mkdir -p /mnt/loop0
  2. # mount -t auto -o loop partition.img /mnt/loop0
  3. ...hack...hack...hack
  4. # umount partition.img

可以使用 循环设备 挂载包含多个分区的磁盘映像 “disk.img” 的每个分区。因为循环设备默认不管理分区,因此我们需要通过下列方式重新设置它。

  1. # modinfo -p loop # verify kernel capability
  2. max_part:Maximum number of partitions per loop device
  3. max_loop:Maximum number of loop devices
  4. # losetup -a # verify nothing using the loop device
  5. # rmmod loop
  6. # modprobe loop max_part=16

现在循环设备可以管理多达 16 个分区。

  1. # losetup -v -f disk.img
  2. Loop device is /dev/loop0
  3. # fdisk -l /dev/loop0
  4. Disk /dev/loop0: 5368 MB, 5368709120 bytes
  5. 255 heads, 63 sectors/track, 652 cylinders
  6. Units = cylinders of 16065 * 512 = 8225280 bytes
  7. Disk identifier: 0x452b6464
  8. Device Boot Start End Blocks Id System
  9. /dev/loop0p1 1 600 4819468+ 83 Linux
  10. /dev/loop0p2 601 652 417690 83 Linux
  11. # mkdir -p /mnt/loop0p1
  12. # mount -t ext4 /dev/loop0p1 /mnt/loop0p1
  13. # mkdir -p /mnt/loop0p2
  14. # mount -t ext4 /dev/loop0p2 /mnt/loop0p2
  15. ...hack...hack...hack
  16. # umount /dev/loop0p1
  17. # umount /dev/loop0p2
  18. # losetup -d /dev/loop0

或者,你也可以使用 kpartx 软件包中的 kpartx(8) 建立 设备映射设备来达到相同的效果。

  1. # kpartx -a -v disk.img
  2. ...
  3. # mkdir -p /mnt/loop0p2
  4. # mount -t ext4 /dev/mapper/loop0p2 /mnt/loop0p2
  5. ...
  6. ...hack...hack...hack
  7. # umount /dev/mapper/loop0p2
  8. ...
  9. # kpartx -d /mnt/loop0
[注意]注意

你也可以使用循环设备利用偏移量来跳过 MBR 等,来挂载此类磁盘映像的单个分区。但这更加容易出错。

9.6.4. 清理磁盘映像文件

使用下面的方式,一个磁盘映像文件 “disk.img“ 能够清理掉所有已经删除的文件,成为一个干净的稀疏映像 “new.img“。

  1. # mkdir old; mkdir new
  2. # mount -t auto -o loop disk.img old
  3. # dd bs=1 count=0 if=/dev/zero of=new.img seek=5G
  4. # mount -t auto -o loop new.img new
  5. # cd old
  6. # cp -a --sparse=always ./ ../new/
  7. # cd ..
  8. # umount new.img
  9. # umount disk.img

如果 “disk.img” 位于 ext2、ext3 或 ext4,你也可以像下面那样使用 zerofree 软件包中的 zerofree(8)。

  1. # losetup -f -v disk.img
  2. Loop device is /dev/loop3
  3. # zerofree /dev/loop3
  4. # cp --sparse=always disk.img new.img

9.6.5. 制作空的磁盘映像文件

按下面的方式使用 dd(1) ,可以制作一个大小为 5GiB 的空磁盘映像文件。

  1. $ dd bs=1 count=0 if=/dev/zero of=disk.img seek=5G

按下面的方式使用环回设备,你能够在这个磁盘映像”disk.img“上创建 ext4 文件系统。

  1. # losetup -f -v disk.img
  2. Loop device is /dev/loop1
  3. # mkfs.ext4 /dev/loop1
  4. ...hack...hack...hack
  5. # losetup -d /dev/loop1
  6. $ du --apparent-size -h disk.img
  7. 5.0G disk.img
  8. $ du -h disk.img
  9. 83M disk.img

对于 “disk.img“,它的文件大小是5.0 GiB,而它实际磁盘使用仅仅是 83MiB.这个差距可能是由于 ext4 里面有稀疏文件.

[提示]提示

稀疏文件的实际磁盘使用会随着数据的写入而增加。

回环设备设备映射 设备上使用类似的操作,在这些设备按 第 9.6.3 节 “挂载磁盘映像文件” 挂载后, 你能够使用 parted(8) 或 fdisk(8)对这个磁盘映像”disk.img“进行分区,能够使用 mkfs.ext4(8), mkswap(8)在上面创建文件系统等.

9.6.6. 制作 ISO9660 镜像文件

源目录“下的目录树可以通过如下所示的 cdrkit 提供的 genisoimage(1) 命令来制作 ISO9660 镜像文件,”cd.iso“。

  1. # genisoimage -r -J -T -V volume_id -o cd.iso source_directory

类似的,可引导的 ISO9660 镜像文件,”cdboot.iso“, 能够从 debian-installer 类似目录树 “source_directory“ 制作,方式如下。

  1. # genisoimage -r -o cdboot.iso -V volume_id \
  2. -b isolinux/isolinux.bin -c isolinux/boot.cat \
  3. -no-emul-boot -boot-load-size 4 -boot-info-table source_directory

这里的 Isolinux boot loader (参见 第 3.1.2 节 “第二阶段:引载加载程序”) 是用于启动的.

按下面的方式,你可以直接从光驱设备计算 md5sum 值,并制作 ISO9660 镜像。

  1. $ isoinfo -d -i /dev/cdrom
  2. CD-ROM is in ISO 9660 format
  3. ...
  4. Logical block size is: 2048
  5. Volume size is: 23150592
  6. ...
  7. # dd if=/dev/cdrom bs=2048 count=23150592 conv=notrunc,noerror | md5sum
  8. # dd if=/dev/cdrom bs=2048 count=23150592 conv=notrunc,noerror > cd.iso
[警告]警告

为了得到正确结果,你必须小心避免 Linux ISO9600 文件系统预读 bug。

9.6.7. 直接写入文件到 CD/DVD-R/RW

[提示]提示

对于由 cdrkit 提供的 wodim(1) 来讲,DVD 仅仅是一个大的 CD。

你能够通过如下所示的命令找到可用的设备。

  1. # wodim --devices

然后将空的 CD-R 插入 CD 驱动器并且把 ISO9660 镜像文件,”cd.iso“ 写入到设备中,例如用如下所示的 wodim(1) 将数据写入到 “/dev/hda“ 设备。

  1. # wodim -v -eject dev=/dev/hda cd.iso

如果用 CD-RW 代替 CD-R,用如下所示的命令来替代。

  1. # wodim -v -eject blank=fast dev=/dev/hda cd.iso
[提示]提示

如果你的桌面系统自动挂载 CDs,在使用 wodim(1) 之前在终端里面用 “sudo umount /dev/hda“ 卸载它。

9.6.8. 挂载 ISO9660 镜像文件

如果 “cd.iso“ 包含一个 ISO9660 镜像, 下面的命令手工挂载这个文件到 “/cdrom“.

  1. # mount -t iso9660 -o ro,loop cd.iso /cdrom
[提示]提示

现代桌面系统能够自动挂载可移动介质,如按 ISO9660 格式化的 CD(参见 第 10.1.7 节 “可移动存储设备”).

9.7. 二进制数据

这里,我们讨论直接操作存储介质上的二进制数据。

9.7.1. 查看和编辑二进制数据

最基础的查看二进制数据的方法是使用 “od -t x1“ 命令。

表 9.20. 查看和修改二进制数据的软件包列表

软件包流行度大小说明
coreutilsV:891, I:99917478基础软件包,有 od(1) 来导出文件(HEX, ASCII, OCTAL, …)
bsdmainutilsV:60, I:99626工具软件包,有 hd(1) 来导出文件(HEX, ASCII, OCTAL, …)
hexeditV:1, I:1272二进制浏览和编辑器(HEX, ASCII)
blessV:0, I:41028全功能的十六进制编辑器(GNOME)
oktetaV:1, I:151508全功能的十六进制编辑器(KDE4)
ncurses-hexeditV:0, I:2132二进制浏览和编辑器(HEX, ASCII, EBCDIC)
beavV:0, I:0133二进制浏览和编辑器(HEX, ASCII, EBCDIC, OCTAL, …)
[提示]提示

HEX 是十六进制英文hexadecimal首字母缩略词,基数 radix 是 16。OCTAL 是八进制英文octal 首字母缩略词,基数 radix是 8。ASCII是美国信息交换标准代码 American Standard Code for Information Interchange 的英文缩写,即正常的英语文本代码。EBCDIC是扩展二进制编码十进制交换码 Extended Binary Coded Decimal Interchange Code 的英文缩写,在 IBM 大型机 操作系统上使用。

9.7.2. 不挂载磁盘操作文件

有工具可以在没有挂载磁盘的情况下读写文件。

表 9.21. 不挂载磁盘操作文件的软件包列表

软件包流行度大小说明
mtoolsV:10, I:83389不挂载磁盘的 MSDOS 文件工具
hfsutilsV:0, I:71884不挂载磁盘的 HFS 和 HFS+ 文件工具

9.7.3. 数据冗余

Linux 内核所提供的RAID软件系统提供内核文件系统级别的数据冗余来实现高水平的存储可靠性。

有在应用程序级别增加数据冗余来实现高水平存储可靠性的工具。

表 9.22. 向文件添加数据冗余的工具列表

软件包流行度大小说明
par2V:4, I:15271奇偶校验档案卷设置,用于检查和修复文件
dvdisasterV:0, I:21741CD/DVD 媒体数据损失/划伤/老化的保护
dvbackupV:0, I:0413使用 MiniDV 便携式摄像机的备份工具(提供 rsbep(1))
vdmfecV:0, I:097使用前向纠错恢复丢失的块

9.7.4. 数据文件恢复和诊断分析

有用于数据文件恢复和诊断分析的工具。

表 9.23. 数据文件恢复和诊断分析软件包列表

软件包流行度大小说明
testdiskV:3, I:381426分区扫描和磁盘恢复的实用程序
magicrescueV:0, I:3259通过查找幻数 magic 字节来恢复文件的工具(译注:请 man file 来了解幻数)
scalpelV:0, I:487简洁、高性能的文件提取
myrescueV:0, I:383恢复损坏硬盘中的数据
extundeleteV:1, I:11148恢复删除 ext3/4 文件系统上的文件的实用程序
ext4magicV:0, I:4233恢复删除 ext3/4 文件系统上的文件的实用程序
ext3grepV:0, I:3281帮助恢复 ext3 文件系统上删除的文件的工具
scrounge-ntfsV:0, I:350NTFS 文件系统的数据恢复程序
gzrtV:0, I:033gzip 恢复工具包
sleuthkitV:2, I:241511诊断分析工具(Sleuthkit)
autopsyV:0, I:21027SleuthKit 的图形化界面
foremostV:0, I:7104恢复数据的诊断程序
guymagerV:0, I:11030基于 Qt 的诊断图像工具
dcflddV:0, I:5106增强版的 dd,用于诊断和安全
[提示]提示

e2fsprogs 软件包里有 debugfs(8) 命令,使用该命令里的 list_deleted_inodesundel 指令,你能够恢复 ext2 文件系统上删除的文件。

9.7.5. 把大文件分成多个小文件

当一个文件太大而不能备份的时候,你应该在备份之前先把它分割为多个小于 2000MiB 的小文件,稍后再把这些小文件合并为初始的文件。

  1. $ split -b 2000m large_file
  2. $ cat x* >large_file
[小心]小心

为了防止文件名冲突,请确保没有任何以 “x“ 开头的文件。

9.7.6. 清空文件内容

为了清除诸如日志文件之类的文件的内容,不要用 rm(1) 命令去删除文件然后创建新的空文件,因为这个文件可能在命令执行的期间还在被使用。以下是清除文件内容的正确方法。

  1. $ :>file_to_be_cleared

9.7.7. 样子文件

下面的命令创建样子文件或空文件。

  1. $ dd if=/dev/zero of=5kb.file bs=1k count=5
  2. $ dd if=/dev/urandom of=7mb.file bs=1M count=7
  3. $ touch zero.file
  4. $ : > alwayszero.file

你将发现下列文件。

  • 5kb.file“ 是 5KB 的全零数据。

  • 7mb.file“ 是 7MB 随机数据。

  • zero.file“ 也许是一个 0 字节的文件。如果这个文件之前就存在,则它的 mtime 会被更新,而它的内容和长度保持不变。

  • alwayszero.file“ 一定是一个 0 字节文件。如果这个文件之前存在,则它的 mtime 会被更新,而它的内容会被清零。

9.7.8. 擦除整块硬盘

有几种方法来完全擦除设备上整个硬盘上数据,比如说,在 “/dev/sda“ 上的 USB 内存盘。

[小心]小心

在执行这里的命令之前,你应该用 mount(8) 命令来查看 USB 记忆棒的挂载位置。”/dev/sda“ 指向的设备可能是装有整个系统的 SCSI 硬盘或者 serial-ATA 硬盘。

如下所示是通过数据归 0 的方式来擦除硬盘上所有数据的。

  1. # dd if=/dev/zero of=/dev/sda

如下是用随机数据重写的方式来擦除所有数据的。

  1. # dd if=/dev/urandom of=/dev/sda

如下是用随机数据重写的方式来高效擦除所有数据。

  1. # shred -v -n 1 /dev/sda

因为 dd(1) 命令在许多可引导的 Linux CDs (例如 Debian 安装光盘) 上的 shell 环境下都是可用的,你能够在装有系统的硬盘上,例如 “/dev/hda“, “/dev/sda“ 等等设备上运行擦除命令来完全清除已经安装的系统。

9.7.9. 擦除硬盘上的未使用的区域

硬盘(或 USB 记忆棒)上未使用的区域,例如“/dev/sdb1”可能仍然包含可被擦除的数据,因为他们本身只是解除了从文件系统的链接,这些可以通过重写来清除。

  1. # mount -t auto /dev/sdb1 /mnt/foo
  2. # cd /mnt/foo
  3. # dd if=/dev/zero of=junk
  4. dd: writing to `junk': No space left on device
  5. ...
  6. # sync
  7. # umount /dev/sdb1
[警告]警告

这对您的USB 记忆棒来说通常已经足够好了,但这还不完美。大部分已擦除的文件名和它们的属性可能隐藏并留在文件系统中。

9.7.10. 恢复已经删除但仍然被打开的文件

即使你不小心删除了某个文件,只要这个文件仍然被一些应用程序所使用(读或者写),恢复此文件是可能的。

尝试下列例子

  1. $ echo foo > bar
  2. $ less bar
  3. $ ps aux | grep 'less[ ]'
  4. bozo 4775 0.0 0.0 92200 884 pts/8 S+ 00:18 0:00 less bar
  5. $ rm bar
  6. $ ls -l /proc/4775/fd | grep bar
  7. lr-x------ 1 bozo bozo 64 2008-05-09 00:19 4 -> 2 /home/bozo/bar (deleted)
  8. $ cat /proc/4775/fd/4 > 3bar
  9. $ ls -l
  10. -rw-r--r-- 1 bozo bozo 4 2008-05-09 00:25 bar
  11. $ cat bar
  12. foo

当你安装了 lsof 软件包的时候,在另外一个终端执行如下命令。

  1. $ ls -li bar
  2. 2228329 -rw-r--r-- 1 bozo bozo 4 2008-05-11 11:02 bar
  3. $ lsof |grep bar|grep less
  4. less 4775 bozo 4r REG 8,3 4 2228329 /home/bozo/bar
  5. $ rm bar
  6. $ lsof |grep bar|grep less
  7. less 4775 bozo 4r REG 8,3 4 2228329 /home/bozo/bar (deleted)
  8. $ cat /proc/4775/fd/4 > bar
  9. $ ls -li bar
  10. 2228302 -rw-r--r-- 1 bozo bozo 4 2008-05-11 11:05 bar
  11. $ cat bar
  12. foo

9.7.11. 查找所有硬链接

有硬链接的文件,能够使用 “ls -li“ 确认。

  1. $ ls -li
  2. total 0
  3. 2738405 -rw-r--r-- 1 root root 0 2008-09-15 20:21 bar
  4. 2738404 -rw-r--r-- 2 root root 0 2008-09-15 20:21 baz
  5. 2738404 -rw-r--r-- 2 root root 0 2008-09-15 20:21 foo

baz“ 和 “foo“ 的链接数为 “2” (>1),表示他们有硬链接。它们的 inode 号都是”2738404”.这表示它们是同样的硬链接文件。如果你不想偶然碰巧发现硬链接文件,你可以通过 inode 号来查找它。比如说, 按下面的方式查找 “2738404” 。

  1. # find /path/to/mount/point -xdev -inum 2738404

9.7.12. 不可见磁盘空间消耗

所有打开的文件被删除后,仍然消耗磁盘空间,尽管他们不能够被普通的 du(1) 所看见。这些被删除的文件和他们的大小,可以通过下面的方式列出。

  1. # lsof -s -X / |grep deleted

9.8. 数据加密提示

在可以物理访问您的 PC的情况下,任何人都可以轻易获得 root 权限,访问您的 PC 上的所有文件 (见 第 4.7.4 节 “root 密码安全”)。 这意味着登录密码系统在您的PC被偷盗时并不能保证您私人和敏感数据的安全。您必须部署数据加密技术来实现。尽管 GNU 隐私守护 (见 第 10.3 节 “数据安全基础”) 可以对文件进行加密,但它需要一些用户端的工作。

dm-crypteCryptfs通过 Linux 内核模块与很少的用户操作实现本地自动数据加密。

表 9.24. 数据加密工具列表

软件包流行度大小说明
cryptsetupV:29, I:78402可用于加密的块设备 的实用程序(dm-crypt / 3LUKS
cryptmountV:4, I:5228可用于加密的块设备着重于正常用户挂载/卸载的实用程序( dm-crypt / LUKS
ecryptfs-utilsV:3, I:5460可用于堆叠加密文件系统的实用程序( eCryptfs)

Dm-crypt 是一个使用 device-mapper 加密的文件系统. Device-mapper 映射一个块设备到另外一个。

eCryptfs 是另外一个加密文件系统,使用了堆叠文件系统。堆叠文件系统把它自己堆叠在已挂载文件系统的一个已有目录之上。

[小心]小心

数据加密会消耗 CPU 时间等资源,请权衡其利弊。

[注意]注意

通过 debian-installer (lenny 或更新版),整个 Debian 系统能够被安装到一个加密的磁盘上,使用 dm-crypt/LUKS 和 initramfs.

[提示]提示

请参阅 第 10.3 节 “数据安全基础” 用户空间加密实用程序: GNU Privacy Guard

9.8.1. 使用 dm-crypt/LUKS 加密移动磁盘

您可以用dm-crypt/LUKS加密大容量可移动设备上数据,例如挂载在“/dev/sdx”上的USB 记忆棒。你只需按如下步骤简单地把它格式化。

  1. # badblocks -c 1024 -s -w -t random -v /dev/sdx
  2. # fdisk /dev/sdx
  3. ... "n" "p" "1" "return" "return" "w"
  4. # cryptsetup luksFormat /dev/sdx1
  5. ...
  6. # cryptsetup open --type luks /dev/sdx1 sdx1
  7. ...
  8. # ls -l /dev/mapper/
  9. total 0
  10. crw-rw---- 1 root root 10, 60 2008-10-04 18:44 control
  11. brw-rw---- 1 root disk 254, 0 2008-10-04 23:55 sdx1
  12. # mkfs.vfat /dev/mapper/sdx1
  13. ...
  14. # cryptsetup luksClose sdx1

然后,它就可以正常的在现代桌面环境下,例如 GNOME 桌面可以使用 gnome-mount(1),挂载到 “/media/<disk_label“。只不过它会要求输入密码 (参见第 10.1.7 节 “可移动存储设备”)。不同的是写入的数据都是加密的。你可以把它格式化成其他格式的文件系统,例如用 “mkfs.ext4 /dev/mapper/sdx1“ 把它格式化为 ext4。

[注意]注意

如果您对数据的安全性要求很高,您可能需要重写多次(在上述示例中的”badblocks“命令)。虽然这个操作非常耗费时间。

9.8.2. 用dm-crypt加密的交换分区

让我们假设你原先的”/etc/fstab“包含以下内容。

  1. /dev/sda7 swap sw 0 0

您可以使用 dm-crypt 通过如下步骤启用加密的交换分区。

  1. # aptitude install cryptsetup
  2. # swapoff -a
  3. # echo "cswap /dev/sda7 /dev/urandom swap" >> /etc/crypttab
  4. # perl -i -p -e "s/\/dev\/sda7/\/dev\/mapper\/cswap/" /etc/fstab
  5. # /etc/init.d/cryptdisks restart
  6. ...
  7. # swapon -a

9.8.3. 使用dm-crypt/LUKS挂载加密的磁盘

用dm-crypt/LUKS在”/dev/sdc5“ 上创建的加密磁盘可以用如下步骤挂载到”/mnt“:

  1. $ sudo cryptsetup open /dev/sdc5 ninja --type luks
  2. Enter passphrase for /dev/sdc5: ****
  3. $ sudo lvm
  4. lvm> lvscan
  5. inactive '/dev/ninja-vg/root' [13.52 GiB] inherit
  6. inactive '/dev/ninja-vg/swap_1' [640.00 MiB] inherit
  7. ACTIVE '/dev/goofy/root' [180.00 GiB] inherit
  8. ACTIVE '/dev/goofy/swap' [9.70 GiB] inherit
  9. lvm> lvchange -a y /dev/ninja-vg/root
  10. lvm> exit
  11. Exiting.
  12. $ sudo mount /dev/ninja-vg/root /mnt

9.8.4. 用eCryptfs自动加密文件

您可以用eCryptfsecryptfs-utils包对~/Private/下的创建的文件自动加密。

  • 根据下面的提示运行ecryptfs-setup-private(1)并设置~/Private/

  • 通过运行ecryptfs-mount-private(1)激活“~/Private/”。

  • 将敏感数据文件移动到”~/Private/“并根据要求创建符号链接。

    • 候选:”~/.fetchmailrc“、”~/.ssh/identity“,”~/.ssh/id_rsa“,”~/.ssh/id_dsa“和”go-rwx“的其他文件
  • 将敏感数据目录移动到”~/Private/“的子目录中并按要求创建符号链接。

    • 候选:”~/.gnupg“和”go-rwx的其他目录
  • 创建从“~/Desktop/Private/”到“~/Private/的符号链接,实现更方便的桌面操作。

  • 通过运行 ecryptfs-umount-private(1) 停用”~/Private/“。

  • 在你需要加密文件时,使用“ecryptfs-mount-private”命令激活“~/Private/”目录。

[提示]提示

因为 eCryptfs 只是选择性的加密敏感数据,它的花费比使用 dm-crypt 在 root 或 “/home“ 设备加密的花费少的多。它不需要任何特殊的磁盘上的存储分配,但是其不能保证文件系统所有元数据的秘密性。

9.8.5. 自动挂载 eCryptfs

如果您使用您的登录密码为环绕加密密钥,您可以通过 PAM (可插拔身份验证模块)自动化安装 eCryptfs。

在”/etc/pam.d/common-auth“文件中的 “pam_permit.so“前插入下面的行。

  1. auth required pam_ecryptfs.so unwrap

在”/etc/pam.d/common-session“文件中插入下面的行作为最后一行。

  1. session optional pam_ecryptfs.so unwrap

在”/etc/pam.d/common-password“中的第一个活动行插入下面的行。

  1. password required pam_ecryptfs.so

这相当方便。

[警告]警告

PAM的配置错误可能会把您锁在自己的系统外。请参阅 第 4 章 认证

[小心]小心

如果你使用你自己的登录密码作为环绕加密密钥,加密的数据和用户登录密码的安全性一样 (参见第 4.3 节 “好密码”)。除非你已认真设置了一个强密码,否则你的数据仍然处在危险中,当别人偷了笔记本以后,然后运行密码破解 软件 (参见第 4.7.4 节 “root 密码安全”)。

9.9. 内核

对于支持的架构,Debian 使用软件包来分发模块化的 Linux内核.

9.9.1. Linux 内核 2.6/3.x

相对于 2.4 版来说,Linux 内核的 2.6/3.x 版有一些值得注意的特征。

  • 设备由 udev 系统创建(参见 第 3.3 节 “udev 系统”).

  • 读写访问 IDE CD/DVD 设备,不再使用 ide-scsi 模块.

  • 网络包过滤功能使用 iptables 内核模块.

Linux 版本从 2.6.39 跳到 3.0,不仅仅是一个主要的技术改变,也是第 20 个周年纪念日。

9.9.2. 内核参数

许多 Linux 特性可以按下面的方式,通过内核参数来配置。

参见 “kernel-parameters.txt(.gz)“ 和 linux-doc-3.* 软件包提供的其它相关文档 (“/usr/share/doc/linux-doc-3.*/Documentation/filesystems/*“)。

9.9.3. 内核头文件

大部分普通程序编译时不需要内核头文件,如果你直接使用它们来编译,甚至会导致编译中断。在 Debian 系统上,普通程序编译依赖 libc6-dev 软件包 (由 glibc 源代码包创建)提供的,在”/usr/include/linux“ 和 “/usr/include/asm“ 里的头文件。

[注意]注意

对于编译一些内核相关的程序,比如说从外部源代码编译的内核模块和 automounter 后台守护(daemon)程序(amd),你必须包含相应的内核头文件到路径里,比如”-I/usr/src/linux-particular-version/include/“, 到你的命令行。 module-assistant(8) (它的简称 m-a)帮助我们更简单的为一个或者多个个性化内核编译和安装模块软件包。

9.9.4. 编译内核和相关模块

Debian 有它自己的方式来编译内核和相关模块。

表 9.25. Debian 系统内核编译需要安装的主要软件包列表

软件包流行度大小说明
build-essentialI:49920创建 Debian 软件包所必须的软件包: make, gcc, …
bzip2V:157, I:970122bz2 文件压缩和解压缩工具
libncurses5-devI:1166ncurses 开发者库和文档
gitV:305, I:47835040git:Linux 内核使用的分布式版本控制系统
fakerootV:35, I:521228为非 root 用户创建软件包提供一个伪造的 root 环境
initramfs-toolsV:371, I:989112创建 initramfs 的工具(Debian 规范)
dkmsV:70, I:219294动态内核模块支持 dynamic kernel module support (DKMS) (通用)
devscriptsV:9, I:572623Debian Package maintainer Debian 包维护者的帮助脚本(Debian 规范)

如果你在 第 3.1.2 节 “第二阶段:引载加载程序” 使用 initrd , 请一定阅读 initramfs-tools(8), update-initramfs(8), mkinitramfs(8) 和initramfs.conf(5) 里的相关信息。

[警告]警告

在编译 Linux 内核源代码时,请不要放置从”/usr/include/linux“ 和 “/usr/include/asm“ 到源代码树(比如:”/usr/src/linux*“) 里目录的符号链接。(一些过期的文档建议这样做.)

[注意]注意

当在 Debian stable 版里编译最新的 Linux 内核时, 可能需要使用一些从Debian unstable 版里 backported 向后移植的最新版本的工具。

[注意]注意

dynamic kernel module support (DKMS)动态内核模块支持 是一个新的分布式独立框架,被设计用来允许单个的内核模块在不改变整个内核的情况下升级。这可以用于维护内核代码树外部的模块。这也使你升级内核时,重新编译模块变得非常简单。

9.9.5. 编译内核源代码:Debian 内核团队推荐

从上游内核源代码编译个性化的内核二进制包,你应当使用由它提供的 “deb-pkg“ 对象。

  1. $ sudo apt-get build-dep linux
  2. $ cd /usr/src
  3. $ wget http://www.kernel.org/pub/linux/kernel/v3.11/linux-<version>.tar.bz2
  4. $ tar -xjvf linux-<version>.tar.bz2
  5. $ cd linux-<version>
  6. $ cp /boot/config-<version> .config
  7. $ make menuconfig
  8. ...
  9. $ make deb-pkg
[提示]提示

linux-source-<version> 软件包使用 “/usr/src/linux-<version>.tar.bz2“ 提供有 Debian 补丁的 Linux内核源代码。

从 Debian 内核源代码软件包编译特定的二进制包,你应当使用 “debian/rules.gen“ 里的 “binary-arch_<architecture>_<featureset>_<flavour>“ 对象。

  1. $ sudo apt-get build-dep linux
  2. $ apt-get source linux
  3. $ cd linux-3.*
  4. $ fakeroot make -f debian/rules.gen binary-arch_i386_none_686

进阶信息参见:

9.9.6. 硬件驱动和固件

硬件驱动是运行在目标系统上的代码。大部分硬件驱动现在是自由软件,已经包含在普通的 Debian 内核软件包里,放在 main 区域。

  • GPU 驱动

    • Intel GPU 驱动 (main)

    • AMD/ATI GPU 驱动 (main)和/

    • NVIDIA GPU 驱动 (nouveau) 驱动放在 main , 由厂家支持的二进制驱动,放在 non-free.)

  • Softmodem 驱动

    • martian-modem 和 sl-modem-dkms 软件包 (non-free)

固件是加载在设备上的代码(比如说,CPU microcode, GPU 运行的渲染代码, 或 FPGA / CPLD 数据……)部分固件包是作为自由软件存在,但是很多固件包由于包含有没有源代码的数据,二进制不是作为自由软件存在。

  • firmware-linux-free (main)

  • firmware-linux-nonfree (non-free)

  • firmware-linux-* (non-free)

  • *-firmware (non-free)

  • intel-microcode (non-free)

  • amd64-microcode (non-free)

请注意 non-freecontrib 的软件包不是 Debian 系统的一部分。启用和禁用 non-freecontrib 区域的配置,在 第 2.1.4 节 “Debian 档案库基础” 里描述。你应当注意到 第 2.1.5 节 “Debian 是100% 的自由软件” 里的描述,使用 non-freecontrib 软件包会有负面影响。

9.10. 虚拟化系统

通过使用虚拟系统,我们能在单个机器上同时运行多个系统。

[提示]提示

参见 http://wiki.debian.org/SystemVirtualization.

9.10.1. 虚拟化工具

除了简单的 chroot 工具外,Debian上还有一些有关系统虚拟化仿真的软件包。这些软件包能够帮你创建虚拟系统。

表 9.26. 虚拟化工具列表

软件包流行度大小说明
schrootV:7, I:102708在 chroot 下执行 Debian 二进制包的特异工具
sbuildV:1, I:4286从 Debian 源码构建 Debian 二进制包的工具
pbuilderV:2, I:16966Debian 软件包的打包软件
debootstrapV:6, I:63298搭建一个基本的 Debian 系统 (用 sh 写的)
cdebootstrapV:0, I:3116搭建一个 Debian 系统 (用 C 写的)
virt-managerV:10, I:422298虚拟机管理器: 用于管理虚拟机的桌面应用
libvirt-clientsV:43, I:621167libvirt 的库程序
bochsV:0, I:17194Bochs: IA-32 PC 仿真器
qemuI:3494QEMU: 快速的通用处理器仿真器
qemu-systemI:2195QEMU: 全功能系统的模拟二进制
qemu-userV:0, I:1389671QEMU: 用户模式的模拟二进制
qemu-utilsV:11, I:1076083QEMU: 工具集
qemu-kvmV:10, I:61107KVM: x86 硬件上有 硬件辅助虚拟化的全虚拟化
virtualboxV:12, I:16106495VirtualBox:i386 和 amd64 上 x86 的虚拟化解决方案
xen-toolsV:0, I:4727用于管理 debian XEN 虚拟服务器的工具
wineV:19, I:82192Wine: Windows 应用程序编程接口实现(标准套件)
dosboxV:2, I:182742DOSBox:有 Tandy/Herc/CGA/EGA/VGA/SVGA 显卡,声音和 DOS 的 x86 模拟器
dosemuV:0, I:24891DOSEMU: Linux DOS 模拟器
vzctlV:0, I:11112OpenVZ 服务器虚拟化解决方案 - 控制工具
vzquotaV:0, I:1236OpenVZ 服务器虚拟化解决方案 - 份额工具
lxcV:10, I:1518761Linux 容器 用户层工具

参见维基百科 Comparison of platform virtual machines 来获得不同平台的虚拟化解决方案的详细比较信息。

9.10.2. 虚拟化工作流

[注意]注意

这里所描述的功能只在 squeeze 或以后的版本中是可用的。

[注意]注意

自从 lenny 之后,默认的 Debian 内核就是支持 KVM 的。

典型的虚拟化工作流涉及以下几个步骤。

9.10.3. 挂载虚拟磁盘映像文件

对于原始磁盘映像文件,参见 第 9.6 节 “磁盘映像”.

对于其它虚拟磁盘映像文件,你能够用使用 network block device网络块设备 协议的 qemu-nbd(8) 来导出他们,并使用内核模块 nbd 来挂载它们.

qemu-nbd(8) 支持 QEMU 所支持的磁盘格式: QEMU 支持下列磁盘格式: raw, qcow2, qcow, vmdk, vdi, bochs, cow (user-mode Linux copy-on-write), parallels, dmg, cloop, vpc), vvfat (virtual VFAT)和主机设备.

网络块设备 能够用和回环设备一样的方式支持分区 (参见 第 9.6.3 节 “挂载磁盘映像文件”). 你能够按下面的方式挂载 “disk.img“ 的第一个分区.

  1. # modprobe nbd max_part=16
  2. # qemu-nbd -v -c /dev/nbd0 disk.img
  3. ...
  4. # mkdir /mnt/part1
  5. # mount /dev/nbd0p1 /mnt/part1
[提示]提示

你可以给 qemu-nbd(8) 使用 “-P 1“ 选项来导出”disk.img“的第一个分区.

9.10.4. Chroot 系统

chroot(8) 提供最基本的方式来运行一个不同的 GNU/Linux 系统实例,并且不需要重启原有的系统。

[小心]小心

下面的列子假设根源系统和 chroot 系统都共享相同的 CPU 架构。

你可以按下面的方式学会怎样建立和使用 chroot(8),通过在 script(1) 下运行 pbuilder(8) 程序。

  1. $ sudo mkdir /sid-root
  2. $ sudo pbuilder --create --no-targz --debug --buildplace /sid-root

你能够看到 debootstrap(8) 或 cdebootstrap(1) 是如何在 “/sid-root“ 下部署 sid 环境的系统数据.

[提示]提示

这些 debootstrap(8) 或 cdebootstrap(1) 是 Debian 安装器用来安装 Debian 的.这些也可以用来在不使用 Debian 安装盘的情况下,给一个系统安装 Debian,也可以替代安装其它 GNU/Linux 发行版。

  1. $ sudo pbuilder --login --no-targz --debug --buildplace /sid-root

你可以看到一个 sid 环境的系统 shell 是如何按下面的方式创建的。

  1. 拷贝本地配置 ("/etc/hosts“, "/etc/hostname“, "/etc/resolv.conf“)

  2. 挂载 “/proc“ 文件系统

  3. 挂载 “/dev/pts“ 文件系统

  4. 创建 “/usr/sbin/policy-rc.d“ 的过程,总是 101 退出

  5. 运行 “chroot /sid-root bin/bash -c 'exec -a -bash bin/bash'

[注意]注意

一些在 chroot 下的程序,需要访问比根源系统上的 pbuilder 能够提供的文件之外更多的文件.例如,”/sys“, “/etc/passwd“, “/etc/group“, “/var/run/utmp“, “/var/log/wtmp“等等.也许需要使用 bind-mounted 或拷贝.

[注意]注意

/usr/sbin/policy-rc.d“ 文件阻止在 Debian 系统上自动启动后台守护程序。参见 “/usr/share/doc/sysv-rc/README.policy-rc.d.gz“.

[提示]提示

专用的 chroot 软件包 pbuilder 的原始用途,是构建一个 chroot 系统,并在 chroot 里面打包软件包。它是一个理想的系统,可以用来检查软件包的安装依赖性是否正确,确保不需要的和错误的安装依赖在最终的软件包中不存在。

[提示]提示

类似的 schroot 软件包可以给你一个这样的主意,在 amd64 根源系统上运行 i386 chroot 系统。

9.10.5. 多桌面系统

我建议在 Debian 稳定版上使用 QEMU 或者 VirtualBox,这些软件应用虚拟化技术安全的运行多桌面系统。这能让你运行 Debian 不稳定版测试版上的桌面应用并且没有与之相关的通常意义上的风险。

因为单纯的 QEMU 工具是非常慢的,当主机系统支持 KVM 的时候,建议使用它来加速。

按下面的方法,能够创建一个可以用于QEMU 的包含有 Debian 系统的虚拟磁盘映像 “virtdisk.qcow2“,这个 Debian 系统使用 debian 安装器:小 CD安装。

  1. $ wget http://cdimage.debian.org/debian-cd/5.0.3/amd64/iso-cd/debian-503-amd64-netinst.iso
  2. $ qemu-img create -f qcow2 virtdisk.qcow2 5G
  3. $ qemu -hda virtdisk.qcow2 -cdrom debian-503-amd64-netinst.iso -boot d -m 256
  4. ...

Debian wiki: QEWU 可以查看更多信息。

VirtualBox 自带的 Qt) 图形界面工具是相当直观的。关于它的图形界面和命令行工具的解释可以在 VisualBox 用户手册VirtualBox 用户手册(PDF) 中查看。

[提示]提示

虚拟化下运行 UbuntuFedora 之类的其它 GNU/Linux 发行版,是一个不错的学习其配置技巧的方法。其它专有操作系统也可以在这个 GNU/Linux 虚拟化下很好的运行。