跳到内容
documentation.suse.com / 管理指南
SUSE Linux Enterprise Server 15 SP3

管理指南

本指南介绍系统管理任务,如维护、监视和自定义初始安装的系统。

出版日期: 2024 年 12 月 12 日
插图清单
范例清单

版权所有 © 2006–2024 SUSE LLC 和贡献者。保留所有权利。

根据 GNU 自由文档许可 (GNU Free Documentation License) 版本 1.2 或(根据您的选择)版本 1.3 中的条款,在此授予您复制、分发和/或修改本文档的权限;本版权声明和许可附带不可变部分。许可版本 1.2 的副本包含在题为GNU Free Documentation License的部分。

有关 SUSE 商标,请参见 https://www.suse.com/company/legal/。所有其他第三方商标分别为相应所有者的财产。商标符号(®、™ 等)代表 SUSE 及其关联公司的商标。星号 (*) 代表第三方商标。

本指南力求涵盖所有细节,但这不能确保本指南准确无误。SUSE LLC 及其关联公司、作者和译者对于可能出现的错误或由此造成的后果皆不承担责任。

前言

1 可用文档

联机文档

https://documentation.suse.com/#sles 上提供了此产品的相关联机文档。您可浏览或下载各种格式的文档。

https://documentation.suse.com/ 上提供了其他产品的相关联机文档。

注意
注意:最新更新

最新的文档更新通常会在文档的英文版中提供。

发行说明

有关发行说明,请参见 https://www.suse.com/releasenotes/

在您的系统中

要以脱机方式使用,请参见安装的系统中 /usr/share/doc 下的文档。许多命令的手册页中也对相应命令进行了详细说明。要查看手册页,请运行 man 后跟特定的命令名。如果系统上未安装 man 命令,请使用 sudo zypper install man 加以安装。

2 改进文档

欢迎您提供针对本文档的反馈及改进建议!我们提供了多种反馈渠道:

服务请求和支持

有关产品可用的服务和支持选项,请参见 https://www.suse.com/support/

要创建服务请求,需在 SUSE Customer Center 中获取一个订阅。请转到 https://scc.suse.com/support/requests 并登录,然后单击新建

Bug 报告

https://bugzilla.suse.com/ 中报告文档问题。要简化此过程,可以使用本文档 HTML 版本中的标题旁边的报告文档 Bug 链接。这样,就会在 Bugzilla 中预先选择正确的产品和类别,并添加当前章节的链接。然后,您便可以立即开始键入 Bug 报告。需要一个 Bugzilla 帐户。

贡献

要帮助改进本文档,请使用本文档 HTML 版本中的标题旁边的编辑源代码链接。这些链接会将您转到 GitHub 上的源代码,在其中可以创建拉取请求。需要一个 GitHub 帐户。

有关本文档使用的文档环境的详细信息,请参见储存库的 README

邮件

另外,您也可以将有关本文档中的错误以及相关反馈发送至:<>。请确保反馈中含有文档标题、产品版本和文档发布日期。请引用相关的章节号和标题(或者包含 URL),并提供问题的简要说明。

3 文档约定

本文档中使用了以下通知和排版约定:

  • /etc/passwd:目录名称和文件名

  • PLACEHOLDERPLACEHOLDER 将会替换为实际的值

  • PATH:环境变量 PATH

  • ls--help:命令、选项和参数

  • 用户:用户和组

  • 软件包名称 :软件包名称

  • AltAltF1:按键或组合键;这些键以大写形式显示,如在键盘上一样

  • 文件 文件 ›  另存为:菜单项,按钮

  • AMD/Intel 本段内容仅与 AMD64/Intel 64 体系结构相关。箭头标记文本块的开始位置和结束位置。

    IBM Z, POWER 本段内容仅与 IBM ZPOWER 体系结构相关。箭头标记文本块的开始位置和结束位置。

  • 跳舞的企鹅企鹅一章,↑其他手册):此内容参见自其他手册中的一章。

  • 必须使用 root 特权运行的命令。您往往还可以在这些命令前加上 sudo 命令,以非特权用户身份来运行它们。

    root # command
    tux > sudo command
  • 可以由非特权用户运行的命令。

    tux > command
  • 注意

    警告
    警告:警报通知

    在继续操作之前,您必须了解的不可或缺的信息。向您指出有关安全问题、潜在数据丢失、硬件损害或物理危害的警告。

    重要
    重要:重要通知

    在继续操作之前,您必须了解的重要信息。

    注意
    注意:注意通知

    额外信息,例如有关软件版本差异的信息。

    提示
    提示:提示通知

    有用信息,例如指导方针或实用性建议。

4 支持

下面提供了 SUSE Linux Enterprise Server 的支持声明和有关技术预览的一般信息。有关产品生命周期的细节,请参见Book “升级指南”, Chapter 2 “生命周期和支持”

如果您有权获享支持,可在第 39 章 “收集系统信息以供支持所用中查找有关如何收集支持票据所需信息的细节。

4.1 SUSE Linux Enterprise Server 支持声明

要获得支持,您需要一个适当的 SUSE 订阅。要查看为您提供的具体支持服务,请转到 https://www.suse.com/support/ 并选择您的产品。

支持级别的定义如下:

L1

问题判定,该技术支持级别旨在提供兼容性信息、使用支持、持续维护、信息收集,以及使用可用文档进行基本查错。

L2

问题隔离,该技术支持级别旨在分析数据、重现客户问题、隔离问题领域,并针对级别 1 不能解决的问题提供解决方法,或作为级别 3 的准备级别。

L3

问题解决,该技术支持级别旨在借助工程方法解决级别 2 支持所确定的产品缺陷。

对于签约的客户与合作伙伴,SUSE Linux Enterprise Server 将为除以下软件包外的其他所有软件包提供 L3 支持:

  • 技术预览。

  • 声音、图形、字体和作品。

  • 需要额外客户合同的软件包。

  • 工作站扩展模块随附的某些软件包仅享受 L2 支持。

  • 名称以 -devel 结尾的软件包(包含头文件和类似的开发人员资源)只能同其主软件包一起接受支持。

SUSE 仅支持使用原始软件包,即,未发生更改且未重新编译的软件包。

4.2 技术预览

技术预览是 SUSE 提供的旨在让用户大致体验未来创新的各种软件包、堆栈或功能。随附这些预览只是为了提供方便,让您有机会在自己的环境中测试新的技术。非常希望您能提供反馈!如果您测试了技术预览,请联系 SUSE 代表,将您的体验和用例告知他们。您的反馈对于我们的未来开发非常有帮助。

但是,技术预览存在以下限制:

  • 技术预览仍处于开发阶段。因此,它们的功能可能不完备、不稳定,或者在其他方面适合用于生产。

  • 技术预览受支持。

  • 技术预览可能仅适用于特定的硬件体系结构。

  • 技术预览的细节和功能可能随时会发生变化。因此,可能无法升级到技术预览的后续版本,而只能进行全新安装。

  • 我们随时可能会放弃技术预览。例如,如果 SUSE 发现某个预览不符合客户或市场的需求,或者不能证明它符合企业标准,则可能会放弃该预览。SUSE 不承诺未来将提供此类技术的受支持版本。

有关产品随附的技术预览的概述,请参见 https://www.suse.com/releasenotes/ 上的发行说明。

第 I 部分 常用任务

  • 1 Bash 和 Bash 脚本
  • 现今,许多人都在使用装有 GNOME 之类图形用户界面 (GUI) 的计算机。尽管 GUI 可提供许多功能,但执行自动化任务时,这些功能会受到限制。外壳是对 GUI 的很好补充,本章将会概述外壳(在本例中为 Bash 外壳)的某些方面。

  • 2 sudo 基本知识
  • 运行某些命令需要 root 特权。但是,出于安全原因及避免出错考虑,我们不建议以 root 身份登录。更安全的做法是先以普通用户身份登录,再使用 sudo 以提升的特权来运行命令。

  • 3 YaST
  • YaST 是一个 SUSE Linux Enterprise Server 工具,它提供了图形界面可在其中完成所有基本的安装和系统配置任务。无论您是要更新软件包、配置打印机、修改防火墙设置、设置 FTP 服务器还是为硬盘分区,都可以使用 YaST 来完成。YaST 使用 Ruby 编写,提供了一个可扩展的体系结构,让您能够通过模块添加新的功能。

  • 4 文本模式下的 YaST
  • 基于 ncurses 的伪图形 YaST 界面主要用于帮助系统管理员管理不带 X 服务器的系统。与传统的 GUI 相比,该界面具备多项优势。您可以使用键盘在 ncurses 界面中导航,并且几乎所有界面元素都有对应的键盘快捷键。ncurses 界面的资源占用较小,即使是在最低配置的硬件上也能快速运行。您可以通过 SSH 连接运行基于 ncurses 的 YaST 版本,以便管理远程系统。请注意,用于运行 YaST 的终端仿真器支持的最小大小为 80x25 个字符。

  • 5 YaST 联机更新
  • SUSE 持续为您的产品提供软件安全更新。默认情况下,用更新小程序来保持您的系统是最新的。有关更新小程序的更多信息请参考Book “部署指南”, Chapter 21 “安装或去除软件”, Section 21.5 “GNOME Package Updater”。本章介绍用于更新软件包的备用工具:YaST 联机更新。

  • 6 使用命令行工具管理软件
  • 本章描述 Zypper 和 RPM,这是两个用于管理软件的命令行工具。有关此环境中使用的术语定义(例如,储存库补丁更新),请参见Book “部署指南”, Chapter 21 “安装或去除软件”, Section 21.1 “术语定义”

  • 7 通过 Snapper 进行系统恢复和快照管理
  • Snapper 可用于创建和管理文件系统快照。文件系统快照可用于保留文件系统在某个时间点的状态副本。Snapper 的标准设置旨在实现系统更改的回滚。但是,您也可以使用它来创建用户数据的磁盘备份。Snapper 基于 Btrfs 文件系统或者采用 XFS(或 Ext4)文件系统的精简配置 LVM 卷实现此功能。

  • 8 使用 KLP 的在线内核增补
  • 本文档介绍内核在线增补 (KLP) 技术的基本原理,并提供 SLE Live Patching 服务的使用准则。

  • 9 事务更新
  • 事务更新在 SUSE Linux Enterprise Server 中以技术预览形式提供,当根文件系统为只读时,可使用技术更新来更新 SLES。事务更新具有原子性(仅当所有更新都成功时,才会应用所有更新),且支持回滚。它不影响正在运行的系统,因为只有在重引导系统后,才会激活更改。由于重引导是中断性的操作,管理员必须确定重引导的开销是否高于中断运行中服务的开销。如果重引导的开销过高,则不要使用事务更新。

    事务更新由 transactional-update 脚本每天运行。该脚本将检查可用的更新。如果存在任何更新,则它会在后台创建根文件系统的新快照,然后从发布渠道提取更新。完全更新新快照后,该快照将标记为活动快照,并在下一次重引导系统后,成为新的默认根文件系统。当 transactional-update 设置为自动运行(默认行为)时,该脚本还会重引导系统。更新运行时间以及重引导维护时段均可配置。

    只能更新属于根文件系统快照的软件包。如果软件包中包含不属于该快照的文件,更新可能会失败或中断系统。

    无法更新需要接受许可证的 RPM。

  • 10 使用 VNC 的远程图形会话
  • 利用虚拟网络计算 (VNC) 可以通过图形桌面来访问远程计算机,并运行远程图形应用程序。VNC 与平台无关,可以从任何操作系统访问远程计算机。本章介绍如何使用桌面客户端 vncviewer 和 Remmina 连接到 VNC 服务器,以及如何操作 VNC 服务器。

    SUSE Linux Enterprise Server 支持两种不同种类的 VNC 会话:自客户端启动起在 VNC 连接期间在线的一次性会话和始终在线直到被明确终止的永久会话。

    VNC 服务器可在不同端口上同时提供两种会话,但打开的会话不能从一种类型转换为另一种类型。

  • 11 使用 RSync 复制文件
  • 当今时代,用户通常都会有数台计算机:家用计算机和办公计算机、笔记本电脑、智能手机或平板电脑。因而,在多个设备之间保持文件和文档同步的任务就变得越发重要。

1 Bash 和 Bash 脚本

现今,许多人都在使用装有 GNOME 之类图形用户界面 (GUI) 的计算机。尽管 GUI 可提供许多功能,但执行自动化任务时,这些功能会受到限制。外壳是对 GUI 的很好补充,本章将会概述外壳(在本例中为 Bash 外壳)的某些方面。

1.1 什么是外壳

通常来说,Linux 外壳就是 Bash (Bourne again Shell)。在本章中提到外壳时,指的是 Bash。除了 Bash 以外,还存在其他一些外壳(ash、csh、ksh、zsh 等),每种外壳都具备不同的功能和特征。如果需要关于其他外壳的更多信息,请在 YaST 中搜索外壳

1.1.1 Bash 配置文件

外壳可调用为:

  1. 交互式登录外壳: 当登录计算机时需要使用此方式,即使用 --login 选项调用 Bash 或通过 SSH 登录到远程计算机时。

  2. 普通交互式外壳: 通常在启动 xterm、konsole、gnome-terminal 或类似的命令行界面 (CLI) 工具时调用此外壳。

  3. 非交互式外壳: 当在命令行调用外壳脚本时调用此外壳。

根据所用外壳的类型,会读取不同的配置文件。下表显示登录和非登录外壳的配置文件。

表 1.1︰ 登录外壳的 Bash 配置文件

文件

说明

/etc/profile

不要修改此文件,否则在下一次更新时可能损坏您的修改!

/etc/profile.local

如果扩展 /etc/profile,请使用此文件

/etc/profile.d/

包含特定程序的系统范围配置文件

~/.配置文件

在此处插入特定于用户的登录外壳配置

请注意,登录外壳还会获取表 1.2 “非登录外壳的 Bash 配置文件”中所列的配置文件。

表 1.2︰ 非登录外壳的 Bash 配置文件

/etc/bash.bashrc

不要修改此文件,否则在下一次更新时可能损坏您的修改!

/etc/bash.bashrc.local

使用此文件插入系统范围的修改(仅 Bash)

~/.bashrc

在此处插入特定于用户的配置

此外,Bash 还使用更多文件:

表 1.3︰ 用于 Bash 的特殊文件

文件

说明

~/.bash_history

包含已键入的所有命令的列表

~/.bash_logout

注销时执行

~/.alias

用户为常用命令定义的别名。有关定义别名的更多细节,请参见 man 1 alias

非登录外壳

下面两个特殊外壳会阻止用户登录到系统:/bin/false/sbin/nologin。当用户尝试登录到系统时,这两个外壳都将失败且不会显示任何提示。这是针对系统用户有意设计的一种安全措施,虽然新式 Linux 操作系统提供了更有效的工具(例如 PAM 和 AppArmor)来控制系统访问。

SUSE Linux Enterprise Server 上的默认行为是将 /bin/bash 指派给人类用户,将 /bin/false/sbin/nologin 指派给系统用户。但由于历史遗留原因,nobody 用户拥有 /bin/bash,而该用户是系统用户默认使用的最低特权用户。但是,如果有多个系统用户使用 nobody,则使用 nobody 而获得的任何一点安全性都将失去。应该可以将它更改为 /sbin/nologin;最快的测试方法是进行此更改,然后看看是否中断了任何服务或应用程序。

使用以下命令列出 /etc/passwd 中已指派给所有用户(系统用户和人类用户)的外壳。输出视您系统上的服务和用户而异:

tux > sort -t: -k 7 /etc/passwd | awk -F: '{print $1"\t" $7}' | column -t
tux               /bin/bash
nobody            /bin/bash
root              /bin/bash
avahi             /bin/false
chrony            /bin/false
dhcpd             /bin/false
dnsmasq           /bin/false
ftpsecure         /bin/false
lightdm           /bin/false
mysql             /bin/false
postfix           /bin/false
rtkit             /bin/false
sshd              /bin/false
tftp              /bin/false
unbound           /bin/false
bin               /sbin/nologin
daemon            /sbin/nologin
ftp               /sbin/nologin
lp                /sbin/nologin
mail              /sbin/nologin
man               /sbin/nologin
nscd              /sbin/nologin
polkitd           /sbin/nologin
pulse             /sbin/nologin
qemu              /sbin/nologin
radvd             /sbin/nologin
rpc               /sbin/nologin
statd             /sbin/nologin
svn               /sbin/nologin
systemd-coredump  /sbin/nologin
systemd-network   /sbin/nologin
systemd-timesync  /sbin/nologin
usbmux            /sbin/nologin
vnc               /sbin/nologin
wwwrun            /sbin/nologin
messagebus        /usr/bin/false
scard             /usr/sbin/nologin

1.1.2 目录结构

下表简要介绍 Linux 系统上最重要的较高级别目录。以下列表中是关于这些目录和重要子目录的更多详细信息。

表 1.4︰ 标准目录树概述

目录

内容

/

根目录 — 目录树的起点。

/bin

基本二进制文件,例如系统管理员和普通用户都需要的命令。通常还包含外壳,如 Bash。

/boot

引导加载程序的静态文件。

/dev

访问特定于主机的设备所需的文件。

/etc

特定于主机的系统配置文件。

/home

储存系统上具有帐户的所有用户的用户主目录。但是,root 的主目录不在 /home 中,而是在 /root 中。

/lib

基本共享库和内核模块。

/media

可卸媒体的挂载点。

/mnt

临时挂载文件系统的挂载点。

/opt

附加应用程序软件包。

/root

超级用户 root 的主目录。

/sbin

基本系统二进制文件。

/srv

系统提供的服务的数据。

/tmp

临时文件。

/usr

具有只读数据的辅助层次结构。

/var

变量数据,如日志文件。

/windows

只在系统上同时安装了 Microsoft Windows* 和 Linux 时可用。包含 Windows 数据。

以下列表提供有关这些目录中有哪些文件和子目录的更多详细信息,并给出一些示例:

/bin

包含 root 和其他用户都可使用的基本 shell 命令。这些命令包括 lsmkdircpmvrmrmdir/bin 也包含 Bash,它是 SUSE Linux Enterprise Server 中的默认外壳。

/boot

包含引导所需的数据,如引导加载程序、内核以及内核开始执行用户模式程序之前使用的其他数据。

/dev

储存代表硬件组件的设备文件。

/etc

包含控制诸如 X Window 系统等程序操作的本地配置文件。/etc/init.d 子目录包含引导过程中可执行的 LSB init 脚本。

/home/USERNAME

储存在系统中建立帐户的所有用户的私人数据。这里的文件只能由其拥有者或系统管理员修改。默认情况下,电子邮件目录和个人桌面配置以隐藏文件和目录的形式储存在此处,例如 .gconf/.config

注意
注意:网络环境中的用户主目录

如果在网络环境中工作,则您的用户主目录可能映射到文件系统中除 /home 之外的其他目录中。

/lib

包含引导系统和运行 root 文件系统中的命令所需的基本共享库。共享库相当于 Windows 中的 DLL 文件。

/media

包含 CD-ROM、闪存盘和数码相机(如果它们使用 USB)等可卸媒体的挂载点。/media 通常包含除系统硬盘之外的各类驱动器。可卸媒体插入或连接到系统并挂载之后,您便可从此处访问该媒体。

/mnt

此目录提供临时挂载的文件系统的挂载点。root 可以在此处挂载文件系统。

/opt

保留用于安装第三方软件。在此处可以找到可选软件和较大附加产品程序包。

/root

root 用户的主目录。root 的个人数据储存在此处。

/run

systemd 和各个组件使用的 tmpfs 目录。/var/run/run 的符号链接。

/sbin

s 所表明的,该目录储存超级用户的实用程序。/sbin 包含 /bin 中的二进制文件以及引导和恢复系统所需的其他二进制文件。

/srv

储存系统提供的服务(如 FTP 和 HTTP)的数据。

/tmp

此目录由需要临时储存文件的程序使用。

重要
重要:在引导时清理 /tmp

系统重引导后,之前储存在 /tmp 中的数据无法保证仍然存在。这视情况而定,例如,取决于 /etc/tmpfiles.d/tmp.conf 中所做的设置。

/usr

/usr 与用户无关,而是 Unix 系统资源 (Unix system resource) 的缩写。/usr 中的数据是可以在符合文件系统层次标准 (FHS) 的各个主机之间共享的静态只读数据。此目录包含所有应用程序(包括 GNOME 等图形桌面),并且会在文件系统中创建次要层次。/usr 储存了多个子目录,例如 /usr/bin/usr/sbin/usr/local/usr/share/doc

/usr/bin

包含一般可访问的程序。

/usr/sbin

包含为系统管理员保留的程序,例如维修功能。

/usr/local

在此目录中,系统管理员可以安装本地的独立于分发包的扩展。

/usr/share/doc

储存系统的各种文档文件和发行描述。在 manual 子目录中可以找到此手册的联机版本。如果安装了多种语言,则此目录可能包含这些手册不同语言的版本。

packages 下可以找到系统上安装的软件包中包含的文档。对于每个包,都会创建一个子目录 /usr/share/doc/packages/PACKAGENAME,通常用其储存该包的自述文件,有时储存示例、配置文件或附加脚本。

如果系统上安装了操作指南,/usr/share/doc 还会包含 howto 子目录,其中有与 Linux 软件的安装和操作相关的许多任务的附加文档。

/var

/usr 用于储存静态只读的数据,而 /var 用于在系统操作期间写入并成为变量数据的数据,例如日志文件或假脱机数据。有关最重要日志文件的概述,可以在 /var/log/ 下找到,请参见见表 40.1 “日志文件”

1.2 编写外壳脚本

使用外壳脚本可以方便地完成各种任务:收集数据、在文本中搜索单词或短语,以及执行其他有用的操作。以下示例显示用于打印文本的小外壳脚本:

例 1.1︰ 用于打印文本的外壳脚本
#!/bin/sh 1
# Output the following line: 2
echo "Hello World" 3

1

第一行开头是 Shebang 字符 (#! ),它表示此文件是一个脚本。在 Shebang 后面指定的解释器将执行该脚本。在本例中,指定的解释器为 /bin/sh

2

第二行是一个以哈希符号开头的注释。我们建议对难以理解的行提供注释。提供适当的注释可以记住该行的用途和功能。另外,可帮助其他阅读者理解您的脚本。在开发社区中,注释被视为一种良好的做法。

3

第三行使用内置命令 echo 打印相应文本。

在运行此脚本之前,必须满足几个先决条件:

  1. 每个脚本都应包含 Shebang 行(如上面的示例所示)。如果该行缺失,您需要手动调用解释器。

  2. 可以将该脚本保存在任何位置。但是,建议将其保存在外壳可以找到的目录中。外壳中的搜索路径由环境变量 PATH 确定。通常,一般用户不具有对 /usr/bin 的写权限。因此,建议将脚本保存在用户目录 ~/bin/ 中。在上例中使用名称 hello.sh

  3. 该脚本需要可执行权限。使用以下命令设置权限:

    tux > chmod +x ~/bin/hello.sh

如果已满足上述所有先决条件,则可以按如下方式执行此脚本:

  1. 作为绝对路径: 可以使用绝对路径执行脚本。在本例中为 ~/bin/hello.sh

  2. 所有位置: 如果 PATH 环境变量包含脚本所在目录,则可以使用 hello.sh 来执行该脚本。

1.3 重定向命令事件

每个命令都可以使用三个通道输入或输出:

  • 标准输出: 这是默认的输出通道。在命令打印某些内容时都会使用标准输出通道。

  • 标准输入: 如果一个命令需要用户或其他命令输入,则使用此通道。

  • 标准错误: 命令使用此通道报告错误。

要重定向这些通道,有以下可行的操作方式:

命令 > 文件

将该命令的输出保存为文件,将删除现有文件。例如,ls 命令会将其输出写入文件 listing.txt

tux > ls > listing.txt
命令 >> 文件

将命令输出追加到文件。例如,ls 命令会将其输出追加到文件 listing.txt

tux > ls >> listing.txt
命令 < 文件

读取该文件作为给定命令的输入。例如,read 命令会将此文件的内容读入变量:

tux > read a < foo
命令 1 | 命令 2

将左侧命令的输出重定向为右侧命令的输入。例如,cat 命令会输出文件 /proc/cpuinfo 的内容。grep 使用此输出仅过滤出包含 cpu 的行:

tux > cat /proc/cpuinfo | grep cpu

每个通道都有一个文件描述符:0(零)表示标准输入,1 表示标准输出,2 表示标准错误。允许在 <> 字符前插入此文件描述符。例如,以下行搜索以 foo 开头的文件,但通过将错误重定向到 /dev/null 而抑制错误。

tux > find / -name "foo*" 2>/dev/null

1.4 使用别名

别名是一个或多个命令的快捷方式定义。别名的语法为:

alias NAME=DEFINITION

例如,下行定义了一个别名 lt,它会输出一份较长的列表(选项 -l),将其按修改时间排序 (-t),并按排好序的倒序打印 (-r):

tux > alias lt='ls -ltr'

要查看所有别名定义,请使用 alias。使用 unalias 和相应的别名删除别名。

1.5 在 Bash 中使用变量

外壳变量可以是全局变量,也可以是局部变量。全局变量(或环境变量)可以在所有外壳中访问。而局部变量仅在当前外壳中可见。

要查看所有环境变量,请使用 printenv 命令。如果需要知道变量的值,请将变量名称作为参数插入:

tux > printenv PATH

也可以使用 echo 查看变量(无论是全局或本地变量):

tux > echo $PATH

要设置局部变量,请使用变量名后加等号和值:

tux > PROJECT="SLED"

不要在等号两边插入空格,否则会出错。要设置环境变量,请使用 export

tux > export NAME="tux"

要删除变量,请使用 unset

tux > unset NAME

下表包含外壳脚本中可以使用的一些常见环境变量:

表 1.5︰ 有用的环境变量

HOME

当前用户的用户主目录

HOST

当前主机名

LANG

当一个工具本地化后,它使用此环境变量中的语言。英语也可以设置为 C

PATH

外壳的搜索路径,冒号分隔的目录列表

PS1

指定在每个命令前打印的普通提示符

PS2

指定在执行多行命令时打印的辅助提示符

PWD

当前工作目录

USER

当前用户

1.5.1 使用参数变量

例如,如果具有脚本 foo.sh,则可以如下执行:

tux > foo.sh "Tux Penguin" 2000

要访问传递给脚本的所有参数,您需要定位参数。$1 表示第一个参数,$2 表示第二个参数,依此类推。至多可以有九个参数。要获取脚本名称,请使用 $0

以下脚本 foo.sh 打印从 1 到 4 的所有参数:

#!/bin/sh
echo \"$1\" \"$2\" \"$3\" \"$4\"

如果使用上述参数执行此脚本,将获取:

"Tux Penguin" "2000" "" ""

1.5.2 使用变量替代项

变量替换将一个模式应用于变量的内容(从左侧或从右侧)。以下列表包含可能的语法格式:

${VAR#pattern}

从左侧删除可能的最短匹配:

tux > file=/home/tux/book/book.tar.bz2
tux > echo ${file#*/}
home/tux/book/book.tar.bz2
${VAR##pattern}

从左侧删除可能的最长匹配:

tux > file=/home/tux/book/book.tar.bz2
tux > echo ${file##*/}
book.tar.bz2
${VAR%pattern}

从右侧删除可能的最短匹配:

tux > file=/home/tux/book/book.tar.bz2
tux > echo ${file%.*}
/home/tux/book/book.tar
${VAR%%pattern}

从右侧删除可能的最长匹配:

tux > file=/home/tux/book/book.tar.bz2
tux > echo ${file%%.*}
/home/tux/book/book
${VAR/pattern_1/pattern_2}

将来自 PATTERN_1VAR 的内容替代为 PATTERN_2

tux > file=/home/tux/book/book.tar.bz2
tux > echo ${file/tux/wilber}
/home/wilber/book/book.tar.bz2

1.6 分组和组合命令

外壳允许您对命令执行连接和分组以有条件地执行。每个命令都返回一个退出码,该退出码确定操作是成功还是失败。如果是 0,则命令成功,任何其他值都表示特定于该命令的一个错误。

以下列表显示可以如何将命令分组:

命令 1 ; 命令 2

顺序地执行这些命令。不检查退出码。以下行使用 cat 显示文件的内容,然后使用 ls 打印其文件属性,而不考虑退出码:

tux > cat filelist.txt ; ls -l filelist.txt
命令 1 && 命令 2

如果左侧命令成功,则运行右侧命令(逻辑运算符 AND)。仅当上一个命令成功时,以下行才显示文件的内容并打印其文件属性(将其与列表中的上一项相比较):

tux > cat filelist.txt && ls -l filelist.txt
命令 1 || 命令 2

当左侧命令失败时运行右侧命令(逻辑运算符 OR)。以下行仅当在 /home/tux/foo 中创建目录失败时才会在 /home/wilber/bar 中创建目录:

tux > mkdir /home/tux/foo || mkdir /home/wilber/bar
funcname(){ ... }

创建外壳函数。您可以使用定位参数访问其参数。以下行定义用于打印短消息的函数 hello

tux > hello() { echo "Hello $1"; }

您可以如下调用此函数:

tux > hello Tux

它会打印:

Hello Tux

1.7 使用通用流程构造

为了控制脚本的流程,外壳有 whileifforcase 等构造语句。

1.7.1 if 控制命令

if 命令用于检查表达式。例如,以下代码测试当前用户是否是 Tux:

if test $USER = "tux"; then
  echo "Hello Tux."
else
  echo "You are not Tux."
fi

测试表达式既可以复杂也可以简单。以下表达式检查文件 foo.txt 是否存在:

if test -e /tmp/foo.txt ; then
  echo "Found foo.txt"
fi

测试表达式也可以缩写在方括号中:

if [ -e /tmp/foo.txt ] ; then
  echo "Found foo.txt"
fi

https://bash.cyberciti.biz/guide/If..else..fi 上可以找到更多有用表达式。

1.7.2 使用 for 命令创建循环

for 循环允许您对一系列项执行命令。例如,以下代码打印关于当前工作目录中 PNG 文件的某些信息:

for i in *.png; do
 ls -l $i
done

1.8 更多信息

关于 Bash 的重要信息在手册页 man bash 中提供。可以在以下列表中找到关于此主题的更多信息:

2 sudo 基本知识

运行某些命令需要 root 特权。但是,出于安全原因及避免出错考虑,我们不建议以 root 身份登录。更安全的做法是先以普通用户身份登录,再使用 sudo 以提升的特权来运行命令。

SUSE Linux Enterprise Server 上,sudo 配置为与 su 的工作方式类似。但是,sudo 提供了一种灵活机制,可让用户使用其他任何用户的特权运行命令。这样,便可为某些用户和组指派具有特定特权的角色。例如,可以允许组 users 的成员使用用户 wilber 的特权运行命令。您可以通过禁止任何命令选项,来进一步限制对命令的访问。虽然 su 始终需要 root 口令才能使用 PAM 进行身份验证,但是您可以将 sudo 配置为使用您自己的身份凭证进行身份验证。这意味着用户无需共享 root 口令,因而提高了安全性。

2.1 sudo 基本用法

以下章节将会介绍 sudo 的基本用法。

2.1.1 运行单个命令

作为普通的用户,您可以在命令前加上 sudo 来以 root 身份运行任何命令。系统会提示您提供 root 口令。如果身份验证成功,便会以 root 身份运行命令:

tux > id -un1
tux
tux > sudo id -un
root's password:2
root
tux > id -un
tux3
tux > sudo id -un
4
root

1

id -un 命令会打印当前用户的登录名。

2

在输入过程中不会显示口令,无论是明文还是屏蔽字符都不显示。

3

只有以 sudo 开头的命令才会以提升的特权运行。

4

提升的特权会持续一段时间,因此您不必再次提供 root口令。

提示
提示:I/O 重定向

使用 sudo 时,I/O 重定向不起作用:

tux > sudo echo s > /proc/sysrq-trigger
bash: /proc/sysrq-trigger: Permission denied
tux > sudo cat < /proc/1/maps
bash: /proc/1/maps: Permission denied

在上面的示例中,只有 echocat 命令才以提升的特权运行。重定向将由用户的外壳以用户特权执行。要以提升的特权执行重定向,请根据第 2.1.2 节 “启动外壳”中所述启动外壳,或使用 dd 实用程序:

echo s | sudo dd of=/proc/sysrq-trigger
sudo dd if=/proc/1/maps | cat

2.1.2 启动外壳

使用 sudo 来以提升的特权运行命令的做法并不总是可行。虽然可以使用 sudo bash 命令,但还是建议您使用以下其中一种内置机制来启动外壳:

sudo -s (<命令>)

启动 SHELL 环境变量所指定的外壳或目标用户的默认外壳。如果指定了某个命令,该命令将被传递到外壳(使用 -c 选项)。否则,外壳将以交互模式运行。

tux:~ > sudo -s
root's password:
root:/home/tux # exit
tux:~ > 
sudo -i (<命令>)

-s 类似,但会作为登录外壳启动外壳。也就是说,系统会对外壳的启动文件(.profile 等)进行处理,并会将当前的工作目录设置为目标用户的主目录。

tux:~ > sudo -i
root's password:
root:~ # exit
tux:~ > 
提示
提示:环境变量

默认情况下,sudo 不会传播环境变量。可以使用 env_reset 选项更改此行为(请参见有用的标志和选项)。

2.2 配置 sudo

sudo 提供各种可配置的选项。

注意
注意:无法使用 sudo

如果您不小心将自己锁定在 sudo 之外,则可以使用 su -root 口令来启动 root 外壳。要修复该错误,请运行 visudo

2.2.1 编辑配置文件

sudo 的主要策略配置文件为 /etc/sudoers。如果该文件的格式错误,您可能会无法进入系统,因此强烈建议您使用 visudo 来进行编辑。visudo 可以防止发生编辑冲突,并会在保存修改内容之前检查语法错误。

您可以通过设置 EDITOR 环境变量来使用 vi 以外的另一种编辑器,例如:

sudo EDITOR=/usr/bin/nano visudo

请记住,/etc/sudoers 文件是由系统软件包提供的,直接在该文件中进行修改可能会中断更新。因此,建议您将自定义配置放到 /etc/sudoers.d/ 目录下的文件中。使用以下命令创建或编辑文件:

sudo visudo -f /etc/sudoers.d/NAME

以下命令使用另一种编辑器(在本例中为 nano)打开文件:

sudo EDITOR=/usr/bin/nano visudo -f /etc/sudoers.d/NAME
注意
注意:/etc/sudoers.d 中忽略的文件

/etc/sudoers 中的 #includedir 指令会忽略以 ~(波浪线)字符结尾或包含 .(点)字符的文件。

关于 visudo 命令的详细信息,请运行 man 8 visudo

2.2.2 sudoers 基本配置语法

sudoers 配置文件包含两种类型的选项:字符串和标志。字符串可以包含任何值,而标志则只能在“ON”或“OFF”之间切换。sudoers 配置文件最重要的语法构造如下:

# Everything on a line after # is ignored 1
Defaults !insults # Disable the insults flag 2
Defaults env_keep += "DISPLAY HOME" # Add DISPLAY and HOME to env_keep
tux ALL = NOPASSWD: /usr/bin/frobnicate, PASSWD: /usr/bin/journalctl 3

1

存在两个例外:#include#includedir 是普通命令。

2

去除 ! 字符可将所需标志设置为 ON。

3

请参见第 2.2.3 节 “基本 sudoers 规则”

有用的标志和选项
targetpw

此标志控制调用用户是需要输入目标用户(例如 root)的口令 (ON) 还是需要输入调用用户的口令 (OFF)。

Defaults targetpw # Turn targetpw flag ON
rootpw

如果设置,sudo 将提示输入 root 口令。默认值为 OFF。

Defaults !rootpw # Turn rootpw flag OFF
env_reset

如果设置,sudo 会构造一个包含 TERMPATHHOMEMAILSHELLLOGNAMEUSERUSERNAMESUDO_* 的最小环境。此外,会从调用环境导入 env_keep 中列出的变量。默认值为“ON”。

Defaults env_reset # Turn env_reset flag ON
env_keep

env_reset 标志设为“ON”时要保留的环境变量列表。

# Set env_keep to contain EDITOR and PROMPT
Defaults env_keep = "EDITOR PROMPT"
Defaults env_keep += "JRE_HOME" # Add JRE_HOME
Defaults env_keep -= "JRE_HOME" # Remove JRE_HOME
env_delete

env_reset 标志设为“OFF”时要去除的环境变量列表。

# Set env_delete to contain EDITOR and PROMPT
Defaults env_delete = "EDITOR PROMPT"
Defaults env_delete += "JRE_HOME" # Add JRE_HOME
Defaults env_delete -= "JRE_HOME" # Remove JRE_HOME

还可以使用 Defaults 令牌为用户、主机和命令集合创建别名。并且,可以仅将选项应用到特定用户集。

关于 /etc/sudoers 配置文件的详细信息,请参见 man 5 sudoers

2.2.3 基本 sudoers 规则

每个规则都遵循以下模式([] 标记的是可选部分):

#Who      Where         As whom      Tag                What
User_List Host_List = [(User_List)] [NOPASSWD:|PASSWD:] Cmnd_List
sudoers 规则语法
User_List

一个或多个(用逗号分隔)标识符:用户名、格式为 %GROUPNAME 的组或格式为 #UID 的用户 ID。可以使用 ! 前缀.

Host_List

一个或多个(用逗号分隔)标识符:(完全限定的)主机名或 IP 地址。可以使用 ! 前缀.Host_List 的常用选项为 ALL

NOPASSWD:|PASSWD:

如果用户在 NOPASSWD: 后面运行的命令与 Cmd_List 匹配,系统不会提示用户输入口令。

PASSWD 是默认选项。仅当 PASSWDNOPASSWD 位于同一行时,才需要指定此选项:

tux ALL = PASSWD: /usr/bin/foo, NOPASSWD: /usr/bin/bar
Cmnd_List

一个或多个(用逗号分隔)说明符:可执行文件的路径,后跟允许使用的可选参数。

/usr/bin/foo     # Anything allowed
/usr/bin/foo bar # Only "/usr/bin/foo bar" allowed
/usr/bin/foo ""  # No arguments allowed

ALL 可以用作 User_ListHost_ListCmnd_List

允许 tux 在无需输入口令的情况下以 root 身份运行所有命令的规则:

tux ALL = NOPASSWD: ALL

允许 tux 运行 systemctl restart apache2 的规则:

tux ALL = /usr/bin/systemctl restart apache2

允许 tux 在不带参数的情况下以 admin 身份运行 wall 的规则:

tux ALL = (admin) /usr/bin/wall ""
警告
警告:不安全的规则

不要使用不带 Defaults targetpwALL ALL = ALL 之类规则。否则,任何人都能够以 root 身份运行命令。

2.3 sudo 用例

虽然默认配置适用于标准的使用方案,您仍可以根据特定需求自定义默认配置。

2.3.1 在无需提供 root 口令的情况下使用 sudo

根据设计,组 wheel 的成员能以 root 身份运行所有带有 sudo 的命令。下面的过程介绍如何将用户帐户添加到 wheel 组。

  1. 将您的用户帐户添加到 wheel 组。

    如果您的用户帐户还不是 wheel 组的成员,请使用 sudo usermod -a -G wheel USERNAME 命令添加。注销然后重新登录即可启用更改。运行 groups USERNAME 命令以校验更改是否成功。

  2. 使用用户帐户的普通口令进行身份验证。

    使用 visudo 命令创建文件 /etc/sudoers.d/userpw(请参见第 2.2.1 节 “编辑配置文件”)并添加以下内容:

    Defaults !targetpw
  3. 选择新默认规则。

    根据是否想要用户重新输入口令,取消对 /etc/sudoers 中相应行的注释,并将默认规则注释掉。

    ## Uncomment to allow members of group wheel to execute any command
    # %wheel ALL=(ALL) ALL
    
    ## Same thing without a password
    # %wheel ALL=(ALL) NOPASSWD: ALL
  4. 提高默认规则的限制性.

    /etc/sudoers 中允许一切操作的规则注释掉或去除:

    ALL     ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
    警告
    警告:sudoers 中的危险规则

    请勿跳过此步骤。否则任何用户都能以 root 身份执行任何命令!

  5. 测试配置.

    wheel 的成员和非成员身份运行 sudo

    tux:~ > groups
    users wheel
    tux:~ > sudo id -un
    tux's password:
    root
    wilber:~ > groups
    users
    wilber:~ > sudo id -un
    wilber is not in the sudoers file.  This incident will be reported.

2.3.2 对 X.Org 应用程序使用 sudo

使用 sudo 启动图形应用程序通常会导致以下错误:

tux > sudo xterm
xterm: Xt error: Can't open display: %s
xterm: DISPLAY is not set

一种简单的解决方法是使用 xhost 来暂时允许 root 用户访问本地用户的 X 会话。可使用以下命令完成此操作:

xhost si:localuser:root

以下命令可去除授予的访问权限:

xhost -si:localuser:root
警告
警告:潜在安全问题

以 root 特权运行图形应用程序存在安全隐患。建议仅在例外的情况下,才启用对图形应用程序的 root 访问权限。另外,建议在关闭图形应用程序后,立即撤消授予的 root 访问权限。

2.4 更多信息

sudo --help 命令提供可用命令行选项的简要概述,而 man sudoers 命令则会提供有关 sudoers 及其配置的详细信息。

3 YaST

YaST 是一个 SUSE Linux Enterprise Server 工具,它提供了图形界面可在其中完成所有基本的安装和系统配置任务。无论您是要更新软件包、配置打印机、修改防火墙设置、设置 FTP 服务器还是为硬盘分区,都可以使用 YaST 来完成。YaST 使用 Ruby 编写,提供了一个可扩展的体系结构,让您能够通过模块添加新的功能。

项目官方网站 (https://yast.opensuse.org/) 上提供了有关 YaST 的更多信息。

3.1 YaST 主题

有关使用特定 YaST 模块和功能的详细信息,请参见文档的各个章节。

管理指南
部署指南
  • 第 25 章: “使用 YaST 更改语言和国家/地区设置

  • 第 20.3 节: “设置打印机”

  • 第 20.2 节: “设置声卡”

  • 第 22 章: “安装模块、扩展和第三方附加产品

  • 第 21.4 节: “管理软件储存库和服务”

  • 第 21 章: “安装或去除软件

  • 第 24 章: “使用 YaST 管理用户

  • 第 20 章: “使用 YaST 设置硬件组件

  • 第 20.1 节: “设置系统键盘布局”

安全和强化指南
  • 第 32 章: “使用 YaST 构建和管理配置文件

  • 第 25.4 节: “使用 YaST 设置 VPN 服务器或客户端”

  • 第 18 章: “使用 YaST 配置安全设置

3.2 YaST 界面概述

YaST 有两个图形界面:一个用于 KDE 和 GNOME 等图形桌面环境,另一个基于 ncurses 的伪图形界面用于不带 X 服务器的系统(请参见第 4 章 “文本模式下的 YaST)。

在图形版 YaST 中,YaST 中的所有模块按类别分组,您可以使用导航侧栏快速访问所需类别中的模块。使用顶部的搜索字段可按名称查找模块。要查找特定的模块,请在搜索字段中输入其名称,然后,便会显示与所输入字符串匹配的模块。

3.3 有用的组合键

图形版 YaST 支持键盘快捷键

Print Screen

截图并保存。但在某些桌面环境中,可能无法正常工作。

ShiftF4

启用和禁用为视觉障碍用户专门优化的调色板。

ShiftF7

启用/禁用记录调试消息。

ShiftF8

打开一个文件对话框,以将日志文件保存到用户定义的位置。

CtrlShiftAltD

发送一个调试事件。YaST 模块可执行特殊的调试操作来对此作出反应。结果取决于具体的 YaST 模块。

CtrlShiftAltM

启动和停止宏记录器。

CtrlShiftAltP

重新播放宏。

CtrlShiftAltS

显示样式表编辑器。

CtrlShiftAltT

将控件树转储到日志文件。

CtrlShiftAltX

打开一个终端窗口 (xterm)。当通过 VNC 安装时很有用。

CtrlShiftAltY

显示控件树浏览器。

4 文本模式下的 YaST

基于 ncurses 的伪图形 YaST 界面主要用于帮助系统管理员管理不带 X 服务器的系统。与传统的 GUI 相比,该界面具备多项优势。您可以使用键盘在 ncurses 界面中导航,并且几乎所有界面元素都有对应的键盘快捷键。ncurses 界面的资源占用较小,即使是在最低配置的硬件上也能快速运行。您可以通过 SSH 连接运行基于 ncurses 的 YaST 版本,以便管理远程系统。请注意,用于运行 YaST 的终端仿真器支持的最小大小为 80x25 个字符。

文本模式下的 YaST 主窗口
图 4.1︰ 文本模式下的 YaST 主窗口

要启动基于 ncurses 的 YaST 版本,请打开终端并运行 sudo yast2 命令。使用 Tab 键或箭头键在菜单项、字段和按钮等界面元素之间导航。您可以使用相应的功能键或键盘快捷键访问 YaST 中的所有菜单项和按钮。例如,您可以按 F9 键来取消当前操作,使用 F10 键可接受更改。在基于 ncurses 的 YaST 界面中,每个菜单项和按钮的标签中都有一个高亮显示的字母。此字母是指派给界面元素的键盘快捷键的一部分。例如,退出按钮中高亮显示了字母 Q。这表示您可以按 AltAlt+Q 来激活该按钮。

提示
提示:刷新 YaST 对话框

如果 YaST 对话框损坏或变形(例如在调整窗口大小时),请按 CtrlL 来刷新并恢复其内容。

4.1 在模块中导航

下面在介绍 YaST 模块中的控制元素时,均假定所有功能键和 Alt 组合键都可用并且没有被指派不同的全局功能。有关可能出现的异常的信息,请参见第 4.3 节 “组合键的限制”

在按钮和选择列表之间移动

使用 →| 键可在按钮和包含选择列表的框架之间移动。要以相反方向导航,请使用 Alt→|Shift→| 组合键。

在选择列表中导航

使用箭头键()可在包含选择列表的活动框架中的各个元素之间移动。如果单个项目超出了框架宽度,可使用 ShiftShift 键水平滚动。如果使用箭头键会导致选择移到另一框架,请改用 CtrlECtrlA 键。

使用按钮、单选按钮和复选框

要选择带空方括号(复选框)或空圆括号(单选按钮)的项目,请按 SpaceEnter 键。或者,可以使用 Althighlighted_letter 直接选择单选按钮和复选框。在这种情况下,无需使用 Enter 键进行确认。如果使用 →| 键导航到某个项目,请按 Enter 键执行所选操作或激活相应的菜单项。

功能键

使用功能键(从 F1F12)可快速访问各种按钮。YaST 屏幕底部的行中显示了可用的功能键组合 (FX)。功能键和按钮的实际映射关系取决于活动 YaST 模块,因为不同的模块提供不同的按钮(细节信息添加删除等)。可以将 F10 用作接受确定下一步完成。按 F1 可访问 YaST 帮助。

使用导航树

某些 YaST 模块使用窗口左侧的导航树选择配置对话框。使用方向键()可在树中导航。使用 Space 可打开或关闭树中的项。在 ncurses 模式下,在导航树中进行选择之后必须按 Enter 才能显示所选对话框。这是一种有意行为,目的是在浏览导航树时避免耗时的重绘。

在软件安装模块中选择软件

使用左侧的过滤器可以列出与指定的字符串匹配的软件包。已安装的软件包标有字母 i。要更改软件包的状态,请按 SpaceEnter。或者,可以使用操作菜单选择所需的状态更改(安装、删除、更新、禁止或锁定)。

软件安装模块
图 4.2︰ 软件安装模块

4.2 高级组合键

基于 ncurses 的 YaST 版本提供有数个高级组合键。

ShiftF1

列出高级热键。

ShiftF4

更改颜色方案。

Ctrl

退出应用程序。

CtrlL

刷新屏幕。

CtrlDF1

列出高级热键。

CtrlDShift D

以屏幕截图的形式将对话框转储到日志文件。

CtrlDShiftY

打开 YDialogSpy 以查看控件层次结构。

4.3 组合键的限制

如果您的窗口管理器使用全局 Alt 组合键,则 YaST 中的 Alt 组合键可能无效。像 AltShift 这样的键也可能会被终端设置占用。

使用 Alt 而不是 Esc

可以代替 Alt 而使用 EscAlt 快捷键。例如,EscH 可代替 AltH。(先按 Esc然后H 键。)

使用 CtrlFCtrlB 执行向后和向前导航

如果 AltShift 组合键被窗口管理器或终端占用,可改用组合键 CtrlF(向前)和 CtrlB(向后)。

功能键的限制

功能键 (F1 ... F12) 也用于执行多种功能。某些功能键可能会被终端占用而不能用于 YaST。但 Alt 组合键和功能键应该始终在纯文本控制台上完全可用。

4.4 YaST 命令行选项

除了文本模式界面以外,YaST 还提供了一个命令行界面。要获取 YaST 命令行选项列表,请使用以下命令:

tux > sudo yast -h

4.4.1 从命令行安装软件包

如果您知道软件包名称,且该软件包是由您的某个活动安装储存库提供的,则您可以使用命令行选项 -i 安装该软件包:

tux > sudo yast -i package_name

tux > sudo yast --install -i package_name

package_name 可以是安装时经过依赖项检查的单个简短软件包名(例如 gvim),也可以是安装时未经过依赖项检查的 RPM 软件包的完整路径。

虽然 YaST 提供了通过命令行管理软件的基本功能,但对于更高级的软件包管理任务,请考虑使用 Zypper。在第 6.1 节 “使用 Zypper”中查找有关使用 Zypper 的详细信息。

4.4.2 使用单个模块

为了节省时间,您可以使用以下命令启动单个 YaST 模块:

tux > sudo yast module_name

使用 yast -lyast --list 可查看系统上所有可用模块的列表。

4.4.3 YaST 模块的命令行参数

为了在脚本中使用 YaST 功能,YaST 提供了对单个模块的命令行支持。但并非所有模块都具有命令行支持。要显示模块的可用选项,请使用以下命令:

tux > sudo yast module_name help

如果某个模块未提供命令行支持,则会以文本模式启动该模块,并显示以下消息:

This YaST module does not support the command line interface.

下列各节介绍具有命令行支持的所有 YaST 模块,并简要说明了其所有命令和可用选项。

4.4.3.1 常用 YaST 模块命令

所有 YaST 模块都支持以下命令:

help

列出所有模块的支持命令及其说明:

tux > sudo yast lan help
longhelp

help 作用相同,但添加了所有命令选项及其说明的详细列表:

tux > sudo yast lan longhelp
xmlhelp

longhelp 作用相同,但输出采用 XML 文本结构并重定向至某个文件:

tux > sudo yast lan xmlhelp xmlfile=/tmp/yast_lan.xml
interactive

进入交互模式。这样,您就可以直接运行该模块的命令,而无需在命令前加上 sudo yast 前缀。使用 exit 可以退出交互模式。

4.4.3.2 yast add-on

从指定的路径添加新附加产品:

 tux > sudo yast add-on http://server.name/directory/Lang-AddOn-CD1/

您可以使用以下协议来指定来源路径:http:// ftp:// nfs:// disk:// cd:// 或 dvd://。

4.4.3.3 yast audit-laf

显示和配置 Linux Audit Framework。有关更多细节,请参见Book “安全和强化指南yast audit-laf 接受以下命令:

set

设置选项:

tux > sudo yast audit-laf set log_file=/tmp/audit.log

要显示完整的选项列表,请运行 yast audit-laf set help

show

显示选项的设置:

tux > sudo yast audit-laf show diskspace
space_left: 75
space_left_action: SYSLOG
admin_space_left: 50
admin_space_left_action: SUSPEND
action_mail_acct: root
disk_full_action: SUSPEND
disk_error_action: SUSPEND

要显示完整的选项列表,请运行 yast audit-laf show help

4.4.3.4 yast dhcp-server

管理 DHCP 服务器以及配置其设置。yast dhcp-server 接受以下命令:

disable

禁用 DHCP 服务器服务。

enable

启用 DHCP 服务器服务。

host

配置单个主机的设置。

interface

指定要侦听的网络接口:

tux > sudo yast dhcp-server interface current
Selected Interfaces: eth0
Other Interfaces: bond0, pbu, eth1

要显示完整的选项列表,请运行 yast dhcp-server interface help

options

管理全局 DHCP 选项。要显示完整的选项列表,请运行 yast dhcp-server options help

status

打印 DHCP 服务的状态。

subnet

管理 DHCP 子网选项。要显示完整的选项列表,请运行 yast dhcp-server subnet help

4.4.3.5 yast dns-server

管理 DNS 服务器配置。yast dns-server 接受以下命令:

acls

显示访问控制列表设置:

 tux > sudo yast dns-server acls show
 ACLs:
 -----
  Name       Type        Value
  ----------------------------
  any        Predefined
  localips   Predefined
  localnets  Predefined
  none       Predefined
dnsrecord

配置区域资源记录:

tux > sudo yast dnsrecord add zone=example.org query=office.example.org type=NS value=ns3

要显示完整的选项列表,请运行 yast dns-server dnsrecord help

forwarders

配置 DNS 转发器:

tux > sudo yast dns-server forwarders add ip=10.0.0.100
tux > sudo yast dns-server forwarders show
[...]
Forwarder IP
------------
10.0.0.100

要显示完整的选项列表,请运行 yast dns-server forwarders help

host

立即处理“A”及其相关的“PTR”记录:

tux > sudo yast dns-server host show zone=example.org

要显示完整的选项列表,请运行 yast dns-server host help

logging

配置日志记录设置:

tux > sudo yast dns-server logging set updates=no transfers=yes

要显示完整的选项列表,请运行 yast dns-server logging help

mailserver

配置区域邮件服务器:

tux > sudo yast dns-server mailserver add zone=example.org mx=mx1 priority=100

要显示完整的选项列表,请运行 yast dns-server mailserver help

nameserver

配置区域名称服务器:

tux > sudo yast dns-server nameserver add zone=example.com ns=ns1

要显示完整的选项列表,请运行 yast dns-server nameserver help

soa

配置授权起始 (SOA) 记录:

tux > sudo yast dns-server soa set zone=example.org serial=2006081623 ttl=2D3H20S

要显示完整的选项列表,请运行 yast dns-server soa help

startup

管理 DNS 服务器服务:

tux > sudo yast dns-server startup atboot

要显示完整的选项列表,请运行 yast dns-server startup help

transport

配置区域传输规则。要显示完整的选项列表,请运行 yast dns-server transport help

zones

管理 DNS 区域:

tux > sudo yast dns-server zones add name=example.org zonetype=master

要显示完整的选项列表,请运行 yast dns-server zones help

4.4.3.6 yast disk

打印所有磁盘或分区的相关信息。唯一支持的命令是 list,后跟以下任一选项:

disks

列出系统中配置的所有磁盘:

tux > sudo yast disk list disks
Device   | Size       | FS Type | Mount Point | Label | Model
---------+------------+---------+-------------+-------+-------------
/dev/sda | 119.24 GiB |         |             |       | SSD 840
/dev/sdb |  60.84 GiB |         |             |       | WD1003FBYX-0
partitions

列出系统中的所有分区:

tux > sudo yast disk list partitions
Device         | Size       | FS Type | Mount Point | Label | Model
---------------+------------+---------+-------------+-------+------
/dev/sda1      |   1.00 GiB | Ext2    | /boot       |       |
/dev/sdb1      |   1.00 GiB | Swap    | swap        |       |
/dev/sdc1      | 698.64 GiB | XFS     | /mnt/extra  |       |
/dev/vg00/home | 580.50 GiB | Ext3    | /home       |       |
/dev/vg00/root | 100.00 GiB | Ext3    | /           |       |
[...]

4.4.3.7 yast ftp-server

配置 FTP 服务器设置。yast ftp-server 接受以下选项:

SSL、TLS

通过 SSL 和 TLS 控制安全连接。SSL 选项仅对 vsftpd 有效。

tux > sudo yast ftp-server SSL enable
tux > sudo yast ftp-server TLS disable
access

配置访问权限:

tux > sudo yast ftp-server access authen_only

要显示完整的选项列表,请运行 yast ftp-server access help

anon_access

配置匿名用户的访问权限:

tux > sudo yast ftp-server anon_access can_upload

要显示完整的选项列表,请运行 yast ftp-server anon_access help

anon_dir

指定匿名用户的目录。服务器上必须已存在该目录:

tux > sudo yast ftp-server anon_dir set_anon_dir=/srv/ftp

要显示完整的选项列表,请运行 yast ftp-server anon_dir help

chroot

控制 change root 环境 (chroot):

tux > sudo yast ftp-server chroot enable
tux > sudo yast ftp-server chroot disable
idle-time

设置最大闲置时间(分钟),经过该时间后 FTP 服务器会终止当前的连接:

tux > sudo yast ftp-server idle-time set_idle_time=15
logging

确定是否将日志消息保存到日志文件中:

tux > sudo yast ftp-server logging enable
tux > sudo yast ftp-server logging disable
max_clients

指定并行连接的客户端的最大数目:

tux > sudo yast ftp-server max_clients set_max_clients=1500
max_clients_ip

指定通过 IP 并行连接的客户端的最大数目:

tux > sudo yast ftp-server max_clients_ip set_max_clients=20
max_rate_anon

指定匿名客户端允许使用的最大数据传输速度 (KB/s):

tux > sudo yast ftp-server max_rate_anon set_max_rate=10000
max_rate_authen

指定通过本地身份验证的用户允许使用的最大数据传输速度 (KB/s):

tux > sudo yast ftp-server max_rate_authen set_max_rate=10000
port_range

指定被动连接答复的端口范围:

tux > sudo yast ftp-server port_range set_min_port=20000 set_max_port=30000

要显示完整的选项列表,请运行 yast ftp-server port_range help

show

显示 FTP 服务器设置。

startup

控制 FTP 启动方法:

tux > sudo yast ftp-server startup atboot

要显示完整的选项列表,请运行 yast ftp-server startup help

umask

指定 authenticated:anonymous 用户的文件权限掩码:

tux > sudo yast ftp-server umask set_umask=177:077
welcome_message

指定当用户连接到 FTP 服务器时显示的文本:

tux > sudo yast ftp-server welcome_message set_message="hello everybody"

4.4.3.8 yast http-server

配置 HTTP 服务器 (Apache2)。yast http-server 接受以下命令:

configure

配置 HTTP 服务器主机设置:

tux > sudo yast http-server configure host=main servername=www.example.com \
 serveradmin=admin@example.com

要显示完整的选项列表,请运行 yast http-server configure help

hosts

配置虚拟主机:

tux > sudo yast http-server hosts create servername=www.example.com \
 serveradmin=admin@example.com documentroot=/var/www

要显示完整的选项列表,请运行 yast http-server hosts help

listen

指定 HTTP 服务器应该侦听的端口和网络地址:

tux > sudo yast http-server listen add=81
tux > sudo yast http-server listen list
Listen Statements:
==================
:80
:81
tux > sudo yast http-server delete=80

要显示完整的选项列表,请运行 yast http-server listen help

mode

启用或禁用向导模式:

tux > sudo yast http-server mode wizard=on
modules

控制 Apache2 服务器模块:

tux > sudo yast http-server modules enable=php5,rewrite
tux > sudo yast http-server modules disable=ssl
tux > sudo http-server modules list
[...]
Enabled rewrite
Disabled ssl
Enabled php5
[...]

4.4.3.9 yast kdump

配置 kdump 设置。有关 kdump 的详细信息,请参见Book “系统分析和微调指南”, Chapter 18 “Kexec 和 Kdump”, Section 18.7 “Kdump 基本配置”yast kdump 接受以下命令:

copykernel

将内核复制到转储目录。

customkernel

指定自定义内核名称的 kernel_string 部分。命名模式为 /boot/vmlinu[zx]-kernel_string[.gz]

tux > sudo yast kdump customkernel kernel=kdump

要显示完整的选项列表,请运行 yast kdump customkernel help

dumpformat

指定转储内核映像的(压缩)格式。可用格式有“none”、“ELF”、“compressed”或“lzo”:

tux > sudo yast kdump dumpformat dump_format=ELF
dumplevel

指定转储级别,范围从 0 到 31:

tux > sudo yast kdump dumplevel dump_level=24
dumptarget

指定用于保存转储映像的目标:

tux > sudo kdump dumptarget taget=ssh server=name_server port=22 \
 dir=/var/log/dump user=user_name

要显示完整的选项列表,请运行 yast kdump dumptarget help

immediatereboot

控制系统是否应该在将核心保存到 kdump 内核中后立即重引导:

tux > sudo yast kdump immediatereboot enable
tux > sudo yast kdump immediatereboot disable
keepolddumps

指定保留旧转储映像的数量。可指定保留零个到全部保留:

tux > sudo yast kdump keepolddumps no=5
kernelcommandline

指定需要传递到 kdump 内核的命令行:

tux > sudo yast kdump kernelcommandline command="ro root=LABEL=/"
kernelcommandlineappend

指定需要追加到默认命令行字符串的命令行:

tux > sudo yast kdump kernelcommandlineappend command="ro root=LABEL=/"
notificationcc

指定用于抄送通知邮件的电子邮件地址:

tux > sudo yast kdump notificationcc email="user1@example.com user2@example.com"
notificationto

指定用于发送通知邮件的电子邮件地址:

tux > sudo yast kdump notificationto email="user1@example.com user2@example.com"
show

显示 kdump 设置:

tux > sudo yast kdump show
Kdump is disabled
Dump Level: 31
Dump Format: compressed
Dump Target Settings
target: file
file directory: /var/crash
Kdump immediate reboots: Enabled
Numbers of old dumps: 5
smtppass

指定含有用于发送通知邮件的纯文本 SMTP 口令的文件:

tux > sudo yast kdump smtppass pass=/path/to/file
smtpserver

指定用于发送通知邮件的 SMTP 服务器主机名:

tux > sudo yast kdump smtpserver server=smtp.server.com
smtpuser

指定用于发送通知邮件的 SMTP 用户名:

tux > sudo yast kdump smtpuser user=smtp_user
startup

启用或禁用启动选项:

tux > sudo yast kdump startup enable alloc_mem=128,256
tux > sudo yast kdump startup disable

4.4.3.10 yast keyboard

配置虚拟控制台的系统键盘。它不会影响图形桌面环境(例如 GNOME 或 KDE)中的键盘设置。yast keyboard 接受以下命令:

list

列出所有可用的键盘布局。

set

激活新的键盘布局设置:

tux > sudo yast keyboard set layout=czech
summary

显示当前的键盘配置。

4.4.3.11 yast lan

配置网卡。yast lan 接受以下命令:

add

配置新网卡:

tux > sudo yast lan add name=vlan50 ethdevice=eth0 bootproto=dhcp

要显示完整的选项列表,请运行 yast lan add help

delete

删除某个现有网卡:

tux > sudo yast lan delete id=0
edit

更改某个现有网卡的配置:

tux > sudo yast lan edit id=0 bootproto=dhcp
list

显示网卡配置摘要:

tux > sudo yast lan list
id name,           bootproto
0 Ethernet Card 0, NONE
1 Network Bridge,  DHCP

4.4.3.12 yast language

配置系统语言。yast language 接受以下命令:

list

列出所有可用的语言。

set

指定系统的主要语言和次要语言:

tux > sudo yast language set lang=cs_CZ languages=en_US,es_ES no_packages

4.4.3.13 yast mail

显示邮件系统的配置:

tux > sudo yast mail summary

4.4.3.14 yast nfs

控制 NFS 客户端。yast nfs 接受以下命令:

add

添加新 NFS 载具:

tux > sudo yast nfs add spec=remote_host:/path/to/nfs/share file=/local/mount/point

要显示完整的选项列表,请运行 yast nfs add help

delete

删除现有的 NFS 载具:

tux > sudo yast nfs delete spec=remote_host:/path/to/nfs/share file=/local/mount/point

要显示完整的选项列表,请运行 yast nfs delete help

edit

更改现有的 NFS 载具:

tux > sudo yast nfs edit spec=remote_host:/path/to/nfs/share \
 file=/local/mount/point type=nfs4

要显示完整的选项列表,请运行 yast nfs edit help

list

列出现有的 NFS 载具:

tux > sudo yast nfs list
Server            Remote File System    Mount Point    Options
----------------------------------------------------------------
nfs.example.com   /mnt                  /nfs/mnt       nfs
nfs.example.com   /home/tux/nfs_share   /nfs/tux       nfs

4.4.3.15 yast nfs-server

配置 NFS 服务器。yast nfs-server 接受以下命令:

add

将目录添加到导出中:

tux > sudo yast nfs-server add mountpoint=/nfs/export hosts=*.allowed_hosts.com

要显示完整的选项列表,请运行 yast nfs-server add help

delete

从 NFS 导出中删除目录:

 tux > sudo yast nfs-server delete mountpoint=/nfs/export
set

指定 NFS 服务器的其他参数:

tux > sudo yast nfs-server set enablev4=yes security=yes

要显示完整的选项列表,请运行 yast nfs-server set help

start

启动 NFS 服务器服务:

tux > sudo yast nfs-server start
stop

停止 NFS 服务器服务:

tux > sudo yast nfs-server stop
summary

显示 NFS 服务器配置摘要:

tux > sudo yast nfs-server summary
NFS server is enabled
NFS Exports
* /mnt
* /home

NFSv4 support is enabled.
The NFSv4 domain for idmapping is localdomain.
NFS Security using GSS is enabled.

4.4.3.16 yast nis

配置 NIS 客户端。yast nis 接受以下命令:

configure

更改 NIS 客户端的全局设置:

tux > sudo yast nis configure server=nis.example.com broadcast=yes

要显示完整的选项列表,请运行 yast nis configure help

disable

禁用 NIS 客户端:

tux > sudo yast nis disable
enable

允许您的计算机作为 NIS 客户端:

tux > sudo yast nis enable server=nis.example.com broadcast=yes automounter=yes

要显示完整的选项列表,请运行 yast nis enable help

find

显示给定域的可用 NIS 服务器:

tux > sudo yast nis find domain=nisdomain.com
summary

显示 NIS 客户端的配置摘要。

4.4.3.17 yast nis-server

配置 NIS 服务器。yast nis-server 接受以下命令:

master

配置 NIS 主服务器:

tux > sudo yast nis-server master domain=nisdomain.com yppasswd=yes

要显示完整的选项列表,请运行 yast nis-server master help

slave

配置 NIS 从属服务器:

tux > sudo yast nis-server slave domain=nisdomain.com master_ip=10.100.51.65

要显示完整的选项列表,请运行 yast nis-server slave help

stop

停止 NIS 服务器:

tux > sudo yast nis-server stop
summary

显示 NIS 服务器配置摘要:

tux > sudo yast nis-server summary

4.4.3.18 yast proxy

配置代理设置。yast proxy 接受以下命令:

authentication

指定代理的身份验证选项:

tux > sudo yast proxy authentication username=tux password=secret

要显示完整的选项列表,请运行 yast proxy authentication help

enable、disable

启用或禁用代理设置。

set

更改当前代理设置:

tux > sudo yast proxy set https=proxy.example.com

要显示完整的选项列表,请运行 yast proxy set help

summary

显示代理设置。

4.4.3.19 yast rdp

控制远程桌面设置。yast rdp 接受以下命令:

allow

允许远程访问服务器的桌面:

tux > sudo yast rdp allow set=yes
list

显示远程桌面配置摘要。

4.4.3.20 yast samba-client

配置 Samba 客户端设置。yast samba-client 接受以下命令:

configure

更改 Samba 的全局设置:

tux > sudo yast samba-client configure workgroup=FAMILY
isdomainmember

检查计算机是否为域成员:

tux > sudo yast samba-client isdomainmember domain=SMB_DOMAIN
joindomain

让计算机成为域成员:

tux > sudo yast samba-client joindomain domain=SMB_DOMAIN user=username password=pwd
winbind

启用或禁用 Winbind 服务(winbindd 守护程序):

tux > sudo yast samba-client winbind enable
tux > sudo yast samba-client winbind disable

4.4.3.21 yast samba-server

配置 Samba 服务器设置。yast samba-server 接受以下命令:

backend

指定储存用户信息的后端:

tux > sudo yast samba-server backend smbpasswd

要显示完整的选项列表,请运行 yast samba-server backend help

configure

配置 Samba 服务器的全局设置:

tux > sudo yast samba-server configure workgroup=FAMILY description='Home server'

要显示完整的选项列表,请运行 yast samba-server configure help

list

显示可用共享列表:

tux > sudo yast samba-server list
Status     Type Name
==============================
Disabled   Disk profiles
Enabled    Disk print$
Enabled    Disk homes
Disabled   Disk groups
Enabled    Disk movies
Enabled    Printer printers
role

指定 Samba 服务器的角色:

tux > sudo yast samba-server role standalone

要显示完整的选项列表,请运行 yast samba-server role help

service

启用或禁用 Samba 服务(smbnmb):

tux > sudo yast samba-server service enable
tux > sudo yast samba-server service disable
share

操作单个 Samba 共享:

tux > sudo yast samba-server share name=movies browseable=yes guest_ok=yes

要显示完整的选项列表,请运行 yast samba-server share help

4.4.3.22 yast security

控制主机的安全级别。yast security 接受以下命令:

level

指定主机的安全级别:

tux > sudo yast security level server

要显示完整的选项列表,请运行 yast security level help

set

设置特定选项的值:

tux > sudo yast security set passwd=sha512 crack=yes

要显示完整的选项列表,请运行 yast security set help

summary

显示当前安全配置的摘要:

sudoyast security summary

4.4.3.23 yast sound

配置声卡设置。yast sound 接受以下命令:

add

配置新声卡。不使用任何参数时,该命令会添加检测到的第一个声卡。

tux > sudo yast sound add card=0 volume=75

要显示完整的选项列表,请运行 yast sound add help

channels

列出声卡的可用音量声道:

tux > sudo yast sound channels card=0
Master 75
PCM 100
modules

列出所有可用的声音内核模块:

tux > sudo yast sound modules
snd-atiixp ATI IXP AC97 controller (snd-atiixp)
snd-atiixp-modem ATI IXP MC97 controller (snd-atiixp-modem)
snd-virtuoso Asus Virtuoso driver (snd-virtuoso)
[...]
playtest

在声卡上播放测试声音:

tux > sudo yast sound playtest card=0
remove

去除配置的声卡:

tux > sudo yast sound remove card=0
tux > sudo yast sound remove all
set

为声卡指定新值:

tux > sudo yast sound set card=0 volume=80
show

显示有关声卡的详细信息:

tux > sudo yast sound show card=0
Parameters of card 'ThinkPad X240' (using module snd-hda-intel):

align_buffer_size
 Force buffer and period sizes to be multiple of 128 bytes.
bdl_pos_adj
 BDL position adjustment offset.
beep_mode
 Select HDA Beep registration mode (0=off, 1=on) (default=1).
 Default Value: 0
enable_msi
 Enable Message Signaled Interrupt (MSI)
[...]
summary

打印系统上所有声卡的配置摘要:

tux > sudo yast sound summary
volume

指定声卡的音量级别:

sudoyast sound volume card=0 play

4.4.3.24 yast sysconfig

控制 /etc/sysconfig 下的文件中的变量。yast sysconfig 接受以下命令:

clear

为变量设置空值:

tux > sudo yast sysconfig clear=POSTFIX_LISTEN
提示
提示:多个文件中的变量

如果变量在多个文件中可用,请使用 VARIABLE_NAME$FILE_NAME 语法:

tux > sudo yast sysconfig clear=CONFIG_TYPE$/etc/sysconfig/mail
details

显示有关变量的详细信息:

tux > sudo yast sysconfig details variable=POSTFIX_LISTEN
Description:
Value:
File: /etc/sysconfig/postfix
Possible Values: Any value
Default Value:
Configuration Script: postfix
Description:
 Comma separated list of IP's
 NOTE: If not set, LISTEN on all interfaces
list

显示已修改变量的摘要。使用 all 可列出所有变量及相应的值:

tux > sudo yast sysconfig list all
AOU_AUTO_AGREE_WITH_LICENSES="false"
AOU_ENABLE_CRONJOB="true"
AOU_INCLUDE_RECOMMENDS="false"
[...]
set

为变量设置值:

tux > sudo yast sysconfig set DISPLAYMANAGER=gdm
提示
提示:多个文件中的变量

如果变量在多个文件中可用,请使用 VARIABLE_NAME$FILE_NAME 语法:

tux > sudo yast sysconfig set CONFIG_TYPE$/etc/sysconfig/mail=advanced

4.4.3.25 yast tftp-server

配置 TFTP 服务器。yast tftp-server 接受以下命令:

directory

指定 TFTP 服务器的目录:

tux > sudo yast tftp-server directory path=/srv/tftp
tux > sudo yast tftp-server directory list
Directory Path: /srv/tftp
status

控制 TFTP 服务器服务的状态:

tux > sudo yast tftp-server status disable
tux > sudo yast tftp-server status show
Service Status: false
tux > sudo yast tftp-server status enable

4.4.3.26 yast timezone

配置时区。yast timezone 接受以下命令:

list

按地区分组列出所有可用的时区:

tux > sudo yast timezone list
Region: Africa
Africa/Abidjan (Abidjan)
Africa/Accra (Accra)
Africa/Addis_Ababa (Addis Ababa)
[...]
set

为时区配置指定新值:

tux > sudo yast timezone set timezone=Europe/Prague hwclock=local
summary

显示时区配置摘要:

tux > sudo yast timezone summary
Current Time Zone: Europe/Prague
Hardware Clock Set To: Local time
Current Time and Date: Mon 12. March 2018, 11:36:21 CET

4.4.3.27 yast users

管理用户帐户。yast users 接受以下命令:

add

添加新用户:

tux > sudo yast users add username=user1 password=secret home=/home/user1

要显示完整的选项列表,请运行 yast users add help

delete

删除现有用户帐户:

tux > sudo yast users delete username=user1 delete_home

要显示完整的选项列表,请运行 yast users delete help

edit

更改现有用户帐户:

tux > sudo yast users edit username=user1 password=new_secret

要显示完整的选项列表,请运行 yast users edit help

list

列出按用户类型过滤的现有用户:

tux > sudo yast users list system

要显示完整的选项列表,请运行 yast users list help

show

显示有关某个用户的细节:

tux > sudo yast users show username=wwwrun
Full Name: WWW daemon apache
List of Groups: www
Default Group: wwwrun
Home Directory: /var/lib/wwwrun
Login Shell: /sbin/nologin
Login Name: wwwrun
UID: 456

要显示完整的选项列表,请运行 yast users show help

5 YaST 联机更新

SUSE 持续为您的产品提供软件安全更新。默认情况下,用更新小程序来保持您的系统是最新的。有关更新小程序的更多信息请参考Book “部署指南”, Chapter 21 “安装或去除软件”, Section 21.5 “GNOME Package Updater”。本章介绍用于更新软件包的备用工具:YaST 联机更新。

更新软件储存库提供了 SUSE® Linux Enterprise Server 的最新补丁。如果安装时已注册您的产品,则更新储存库已配置。如果您尚未注册 SUSE Linux Enterprise Server,可通过在 YaST 中启动产品注册来完成注册。或者,可以从信任的源中手动添加更新储存库。要添加或去除储存库,请使用 YaST 中的软件 ›  软件储存库来启动储存库管理器。请在Book “部署指南”, Chapter 21 “安装或去除软件”, Section 21.4 “管理软件储存库和服务”中了解更多有关储存库管理器的内容。

注意
注意:访问更新编目时出错

如果您不能访问更新编目,可能是由于订阅已过期。通常,SUSE Linux Enterprise Server 会附带一年或三年的订阅,在此期间您可以访问更新编目。订阅结束后,将拒绝您访问更新编目。

如果访问更新编目时遭到拒绝,您将看到一条警告消息,提示您访问 SUSE Customer Center 并查看您的订阅。可通过 https://scc.suse.com// 访问 SUSE Customer Center。

SUSE 提供了不同相关级别的更新:

安全性更新

修复严重的安全性危害,请务必安装。

推荐更新

修复可能危及计算机安全的问题。

可选更新

修复非安全性相关的问题或提供增强功能。

5.1 联机更新对话框

要打开 YaST 联机更新对话框,请启动 YaST 并选择软件 › 联机更新。也可以从命令行输入 yast2 online_update 来启动该对话框。

联机更新窗口由四部分组成。

YaST 联机更新
图 5.1︰ YaST 联机更新

左侧的摘要部分列出了 SUSE Linux Enterprise Server 可用的补丁。补丁按安全相关性(安全性推荐可选)排序。您可以从显示补丁类别中选择以下某个选项来更改摘要部分的视图:

必需的补丁(默认视图)

当前未安装的适用于系统上已安装的软件包的补丁。

不必需的补丁

适用于系统上未安装的软件包的补丁,或要求已满足的补丁(因为已从另一源对相关软件包进行了更新)。

所有补丁

SUSE Linux Enterprise Server 的所有可用补丁。

摘要部分的每个列表项都由符号和补丁名称组成。如需了解可能符号及其含义的概述,请按 ShiftF1安全性建议补丁需要的操作是自动预设置的。这些操作有自动安装自动更新自动删除

如果从非更新储存库的某个储存库安装最新软件包,此安装可能满足此软件包的某个补丁的要求。在这种情况下,在补丁摘要前会显示一个复选标记。该补丁将显示在列表中,直到将其标记用于安装。这实际上不会安装补丁(因为该软件包已经是最新的),而是将该补丁标记为已安装。

摘要部分选择一个项,可在对话框左下角的补丁描述中查看简短描述。右上部分列出所选补丁中包含的软件包(一个补丁可以由多个软件包组成)。单击右上部分中的项可以查看有关补丁中包含的各个软件包的细节。

5.2 安装补丁

在 YaST 的“联机更新”对话框中,您可以一次性安装所有可用的补丁,也可以手动选择所需的补丁。还可以还原已应用于系统的补丁。

默认情况下,您的系统当前可用的所有新补丁(可选补丁除外)都已标记为可安装。一旦您单击接受应用,将自动应用它们。如果一个或多个补丁需要重引导系统,在开始安装补丁之前,系统会发出相关通知。此时,您可以选择继续安装所选补丁、跳过需要重引导的所有补丁的安装并安装剩余的补丁,或者返回补丁手动选择屏幕。

过程 5.1︰ 使用 YaST 联机更新应用补丁
  1. 启动 YaST 并选择软件 ›  联机更新

  2. 要自动应用您的系统当前可用的所有新补丁(可选补丁除外),请单击应用接受

  3. 首先请修改要应用的补丁选择:

    1. 使用界面中提供的相应过滤器和视图。有关细节,请参见第 5.1 节 “联机更新对话框”

    2. 根据您的需要和喜好选择或取消选择补丁,方法是右键单击补丁并从上下文菜单中选择相应操作。

      重要
      重要:始终应用安全更新

      除非很有必要,否则请不要取消选择任何安全性相关的补丁。因为这些补丁可修复严重的安全性危害,防止系统遭受攻击。

    3. 多数补丁包含几个软件包的更新。要更改对单个软件包执行的操作,请在包视图中右键单击某个软件包,并选择一项操作。

    4. 要确认您的选择并应用所选补丁,请单击应用接受以继续。

  4. 安装完成后,单击完成退出 YaST 联机更新。您的系统现在已是最新的了。

5.3 自动联机更新

您可以使用 YaST 配置每日、每周或每月的自动更新。安装 yast2-online-update-configuration 软件包。

默认情况下,更新将以增量 RPM 的形式供您下载。由于基于增量 RPM 重构建 RPM 软件包需要占用大量内存和处理器资源,出于性能考虑,某些设置或硬件配置可能要求您禁用增量 RPM。

某些补丁(如需要许可协议的内核更新或软件包)需要用户交互,这可能会导致自动更新过程停止。您可以配置以跳过需要用户交互的补丁。

使用 YaST 软件模块中的补丁选项卡可以查看可用的及已安装的补丁,包括 Bug 报告和 CVE 公告的参考内容。

过程 5.2︰ 配置自动联机更新
  1. 安装后,启动 YaST 并选择软件 › 联机更新。选择配置 › 联机更新。如果 yast2-online-update-configuration 未安装,系统会提示您进行安装。

    YaST 联机更新配置
    图 5.2︰ YaST 联机更新配置

    也可以从命令行输入 yast2 online_update_configuration 来启动该模块。

  2. 选择更新间隔:每日每周每月

  3. 有时,补丁可能需要引起管理员的注意,例如,在重启动关键服务时。而此补丁可能是适用于 Docker 开放源代码引擎的更新,运行此更新需要重启动所有容器。在安装补丁之前,系统会向用户告知此操作的后果,并要求他们确认是否安装该补丁。此类补丁称为交互式补丁

    自动安装补丁时,系统会假设您已确认要安装交互式补丁。如果您希望在安装之前先检查这些补丁,请选中跳过交互式补丁。在这种情况下,自动增补期间会跳过交互式补丁。请确保定期运行手动联机更新,以检查是否有交互式补丁正在等待安装。

  4. 要自动接受任何许可协议,请激活同意许可证

  5. 要自动安装更新包推荐的所有软件包,请激活包含推荐的软件包

  6. 要禁用增量 RPM(出于性能方面的考虑),请取消选中使用增量 RPM

  7. 要按照类别(例如安全性或推荐)过滤补丁,请选中按类别过滤,并从列表中添加适当的补丁类别。只会安装选中类别的补丁,合理的做法是仅启用自动安全更新,并手动检查所有其他更新。增补操作通常比较可靠,但您可能想要测试非安全性补丁,并在遇到任何问题时进行回滚。

    • Packagemanager 和 YaST 提供的补丁用于软件包管理以及 YaST 功能和模块。

    • 安全性补丁提供至关重要的更新和 Bug 修复。

    • 推荐补丁提供可选的 Bug 修复和增强功能。

    • 可选表示新软件包。

    • 其他相当于杂项。

    • 文档不可用。

  8. 单击确定确认您的配置。

之后,自动联机更新将不会自动重启动系统。如果有的软件包更新需要重引导系统,您需要手动重引导。

6 使用命令行工具管理软件

本章描述 Zypper 和 RPM,这是两个用于管理软件的命令行工具。有关此环境中使用的术语定义(例如,储存库补丁更新),请参见Book “部署指南”, Chapter 21 “安装或去除软件”, Section 21.1 “术语定义”

6.1 使用 Zypper

Zypper 是用于安装、更新和去除软件包的命令行包管理器。它还可管理储存库。这一点对于完成远程软件管理任务或从外壳脚本管理软件尤其有用。

6.1.1 一般使用

Zypper 的常用语法为:

zypper [--global-options] COMMAND  [--command-options] [arguments]

不需要括在括号中的组件。有关常规选项和所有命令的列表,请参见 zypper help。要获取有关特定命令的帮助,请键入 zypper help 命令

Zypper 命令

执行 Zypper 最简单的方式是,键入其名称后跟一个命令。例如,要将所有需要的补丁应用于系统,请使用:

tux > sudo zypper patch
全局选项

此外,您还可以选择使用一个或多个全局选项,只需在命令前面键入它们即可:

tux > sudo zypper --non-interactive patch

在上面的示例中,选项 --non-interactive 表示在不询问任何问题的情况下运行命令(自动应用默认回答)。

命令特定的选项

要使用特定于某个命令的选项,请紧接在该命令后面键入这些选项:

tux > sudo zypper patch --auto-agree-with-licenses

在上面的示例中,--auto-agree-with-licenses 用于将所有需要的补丁应用于系统,不要求您确认任何许可条款,而是自动接受许可条款。

参数

某些命令需要一个或多个参数。例如,使用 install 命令时,需要指定您要安装的一个或多个软件包:

tux > sudo zypper install mplayer

某些选项还需要单个参数。用以下命令可列出所有已知模式:

tux > zypper search -t pattern

您可以组合上述所有模式。例如,下面的命令在冗长模式下运行时将安装 mcvim 软件包(来自 factory 储存库):

tux > sudo zypper -v install --from factory mc vim

--from 选项可在从指定储存库请求软件包时让所有储存库都处于启用状态(以解决任何依赖问题)。--repo--from 的别名,您可以使用两者中的任何一个。

多数 Zypper 命令都有 dry-run 选项,它模拟给定的命令。它可用于测试。

tux > sudo zypper remove --dry-run MozillaFirefox

Zypper 支持 --userdata 字符串全局选项。您可以使用此选项指定一个将会写入 Zypper 的日志文件和插件(例如 Btrfs 插件)的字符串。它可以用于标记和标识日志文件中的事务。

tux > sudo zypper --userdata STRING patch

6.1.2 使用 Zypper 子命令

Zypper 子命令是储存在 zypper_execdir (/usr/lib/zypper/commands) 中的可执行文件。如果在 zypper_execdir 中找不到某个子命令,Zypper 会自动在 $PATH 的剩余部分中搜索该子命令。您可以编写自己的本地扩展,并将其储存在用户空间中。

不支持在 Zypper 外壳中执行子命令和使用全局 Zypper 选项。

列出可用的子命令:

tux > zypper help subcommand
[...]
Available zypper subcommands in '/usr/lib/zypper/commands'

  appstream-cache
  lifecycle
  migration
  search-packages

Zypper subcommands available from elsewhere on your $PATH

  <none>

查看子命令的帮助屏幕:

tux > zypper help appstream-cache

6.1.3 使用 Zypper 安装和去除软件

要安装或去除软件包,请使用以下命令:

tux > sudo zypper install PACKAGE_NAME
tux > sudo zypper remove PACKAGE_NAME
警告
警告:不要去除必需的系统软件包

不要去除必需的系统软件包,例如 glibczypperkernel 。如果去除这些包,系统可能会变得不稳定,或完全停止工作。

6.1.3.1 选择要安装或去除的软件包

可以使用 zypper installzypper remove 命令通过多种方法来找到软件包。

按确切的软件包名称
tux > sudo zypper install MozillaFirefox
按确切的软件包名称和版本号
tux > sudo zypper install MozillaFirefox-52.2
按储存库别名和软件包名称
tux > sudo zypper install mozilla:MozillaFirefox

其中 mozilla 是用于安装的储存库别名。

按使用通配符的软件包名称

您可以选择名称以特定字符串开头或结尾的所有软件包。使用通配符要小心,特别是去除软件包的时候。以下命令将安装名称以Moz开头的所有软件包:

tux > sudo zypper install 'Moz*'
提示
提示:去除所有 -debuginfo 软件包

在调试问题时,您有时需要临时安装大量的 -debuginfo 软件包,以获取有关正在运行的进程的详细信息。在调试会话完成后,如果您需要清理环境,请运行以下命令:

tux > sudo zypper remove '*-debuginfo'
按功能

例如,要安装不知道名称的软件包,这些功能就很有用。下面的命令将安装软件包 MozillaFirefox属性:

tux > sudo zypper install firefox
按功能、硬件体系结构或版本

可以结合功能指定硬件体系结构和版本:

  • 所需硬件体系结构的名称需要追加在功能的后面,两者以句点分隔。例如,要指定 AMD64/Intel 64 体系结构(在 Zypper 中命名为 x86_64),请使用:

    tux > sudo zypper install 'firefox.x86_64'
  • 版本必须追加到字符串的末尾,并且前面必须带有一个运算符:<(小于)、<=(小于等于)、=(等于)、>=(大于等于)或 >(大于)。

    tux > sudo zypper install 'firefox>=74.2'
  • 还可以指定硬件体系结构与版本组合要求:

    tux > sudo zypper install 'firefox.x86_64>=74.2'
按 RPM 文件的路径

您还可以指定软件包的本地或远程路径:

tux > sudo zypper install /tmp/install/MozillaFirefox.rpm
tux > sudo zypper install http://download.example.com/MozillaFirefox.rpm

6.1.3.2 同时安装和去除软件包

要同时安装和去除软件包,请使用 +/- 修饰符。要安装 emacs 并同时去除 vim 请使用:

tux > sudo zypper install emacs -vim

要去除 emacs 并同时安装 vim 请使用:

tux > sudo zypper remove emacs +vim

为避免 - 开头的软件包名称被解释为命令行选项,要始终把它用作第二个参数。如果做不到这点,在它之前加上 --

tux > sudo zypper install -emacs +vim       # Wrong
tux > sudo zypper install vim -emacs        # Correct
tux > sudo zypper install -- -emacs +vim    # Correct
tux > sudo zypper remove emacs +vim         # Correct

6.1.3.3 清理已去除软件包的依赖项

如果您想将在指定的软件包去除后不再需要的所有软件包(随指定的软件包)自动去除,请使用 --clean-deps 选项:

tux > sudo zypper rm --clean-deps PACKAGE_NAME

6.1.3.4 在脚本中使用 Zypper

默认情况下,在安装或删除选定软件包之前或发生问题时,Zypper 会要求确认。您可以使用 --non-interactive 选项覆盖此行为。必须在实际命令(installremovepatch)的前面指定此选项,如下所示:

tux > sudo zypper --non-interactive install PACKAGE_NAME

该选项允许在脚本和 cron 任务中使用 Zypper。

6.1.3.5 安装或下载源软件包

要安装某个软件包的对应源软件包,请使用:

tux > zypper source-install PACKAGE_NAME

root 身份执行时,源软件包的默认安装位置为 /usr/src/packages/;以用户身份运行时,则为 ~/rpmbuild。可以在本地 rpm 配置中更改这些值。

使用此命令还会安装指定软件包的版本依赖项。如果不想执行此操作,请添加开关 -D

tux > sudo zypper source-install -D PACKAGE_NAME

要只安装版本依赖项,请使用 -d

tux > sudo zypper source-install -d PACKAGE_NAME

当然,只有当储存库列表中启用了含有源软件包的储存库时,才能这样做(默认添加但不启用它)。请参见第 6.1.6 节 “使用 Zypper 管理储存库” 了解有关储存库管理的细节。

可使用以下方法来获取储存库中所有源软件包的列表:

tux > zypper search -t srcpackage

您也可以将所有已安装软件包的源软件包下载到本地目录。要下载源软件包,请使用:

tux > zypper source-download

默认的下载目录是 /var/cache/zypper/source-download。您可以使用 --directory 选项更改下载目录。若只想显示缺失或多余的软件包而不进行下载或删除任何内容,请使用 --status 选项。要删除多余的源软件包,请使用 --delete 选项。要禁用删除,请使用 --no-delete 选项。

6.1.3.6 从禁用的储存库安装软件包

通常,您只能安装或刷新来自启用的储存库的软件包。--plus-content 标记选项可帮助您指定要刷新的、要在当前 Zypper 会话期间暂时启用的,以及要在会话完成后禁用的储存库。

例如,要启用可以提供其他 -debuginfo-debugsource 软件包的储存库,请使用 --plus-content debug。可以多次指定此选项。

要暂时启用此类“调试”储存库以安装特定的 -debuginfo 软件包,请按如下所示使用该选项:

tux > sudo zypper --plus-content debug \
   install "debuginfo(build-id)=eb844a5c20c70a59fc693cd1061f851fb7d046f4"

对于缺少的 debuginfo 软件包,gdb 将会报告 build-id 字符串。

注意
注意:已禁用安装媒体

仍会配置 SUSE Linux Enterprise Server 安装媒体中的储存库,但成功安装后会禁用这些储存库。您可以使用 --plus-content 选项从安装媒体而不是联机储存库安装软件包。在调用 zypper 之前,请确保该媒体可用,例如,将 DVD 插入计算机的光驱中。

6.1.3.7 实用程序

要校验所有依赖项是否仍然满足,并修复缺少的依赖项,请使用:

tux > zypper verify

除了依赖项必须满足外,某些软件包还推荐其他软件包。只有在实际可用并可安装时才会安装这些推荐软件包。如果推荐的软件包在推荐它们的软件包已安装(通过添加其他软件包或硬件)之后才可用,请使用以下命令:

tux > sudo zypper install-new-recommends

此命令在插入网络摄像头或 Wi-Fi 设备后非常有用。如果可用,它将安装设备驱动程序和相关软件。只有在满足特定硬件依赖项后,才可安装驱动程序和相关软件。

6.1.4 使用 Zypper 更新软件

用 Zypper 更新软件有三种方式:安装软件包、安装软件包的新版本或更新整个分发包。最后一种方式可通过 zypper dist-upgrade 来实现。中介绍了如何升级 SUSE Linux Enterprise ServerBook “升级指南”, Chapter 1 “升级路径和方法”

6.1.4.1 安装全部所需的补丁

要安装所有适用于您系统的正式发布的补丁,请运行:

tux > sudo zypper patch

系统将会检查您计算机上配置的储存库中提供的所有补丁是否与您的安装相关。如果相关(未分为可选功能类别),则会立即安装这些补丁。请注意,正式的更新储存库仅在注册 SUSE Linux Enterprise Server 安装后才可用。

如果即将安装的补丁所包含的更改要求重引导系统,您会在重引导前收到警告。

单纯使用 zypper patch 命令不会应用来自第三方储存库的软件包。要同时更新第三方储存库,请使用 with-update 命令选项,如下所示:

tux > sudo zypper patch --with-update

要额外安装可选补丁,请使用:

tux > sudo zypper patch --with-optional

要安装与特定 Bugzilla 问题相关的所有补丁,请使用:

tux > sudo zypper patch --bugzilla=NUMBER

要安装与特定 CVE 数据库项相关的所有补丁,请使用:

tux > sudo zypper patch --cve=NUMBER

例如,要安装 CVE 编号为 CVE-2010-2713 的安全补丁,请执行:

tux > sudo zypper patch --cve=CVE-2010-2713

如果只想安装影响 Zypper 和软件包管理本身的补丁,请使用:

tux > sudo zypper patch --updatestack-only

请记住,如果您使用了 updatestack-only 命令选项,将会丢弃原本还会更新其他储存库的其他命令选项。

6.1.4.2 列出补丁

为了让您确定补丁是否可用,Zypper 允许您查看以下信息:

所需补丁的数目

要列出所需补丁(适用于您的系统但尚未安装的补丁)的数目,请使用 patch-check

tux > zypper patch-check
Loading repository data...
Reading installed packages...
5 patches needed (1 security patch)

可以结合 --updatestack-only 选项使用此命令,以便仅列出影响 Zypper 和软件包管理本身的补丁。

所需补丁的列表

要列出全部所需的补丁(适用于您的系统但尚未安装的补丁),请使用 zypper list-patches

所有补丁的列表

要列出 SUSE Linux Enterprise Server 可用的所有补丁,而不管它们是否已安装或适用于您的安装,请使用 zypper patches

还可以列出并安装与特定问题相关的补丁。要列出特定的补丁,请使用带以下选项的 zypper list-patches 命令:

按 Bugzilla 问题

要列出与 Bugzilla 问题相关的全部所需补丁,请使用 --bugzilla 选项。

要列出针对特定 Bug 的补丁,您也可以指定 Bug 编号:--bugzilla=编号。要搜索与多个 Bugzilla 问题相关的补丁,请在 bug 编号之间添加逗号,例如:

tux > zypper list-patches --bugzilla=972197,956917
按 CVE 编号

要列出与 CVE(公共漏洞和披露)数据库中某个项相关的全部所需补丁,请使用 --cve 选项。

要列出针对特定 CVE 数据库项的补丁,您也可以指定 CVE 编号:--cve=编号。要搜索与多个 CVE 数据库项相关的补丁,请在 CVE 编号之间添加逗号,例如:

tux > zypper list-patches --bugzilla=CVE-2016-2315,CVE-2016-2324

要列出所有补丁而不管是否需要安装它们,请另外使用 --all 选项。例如,要列出指派有 CVE 编号的所有补丁,请使用:

tux > zypper list-patches --all --cve
Issue | No.           | Patch             | Category    | Severity  | Status
------+---------------+-------------------+-------------+-----------+----------
cve   | CVE-2019-0287 | SUSE-SLE-Module.. | recommended | moderate  | needed
cve   | CVE-2019-3566 | SUSE-SLE-SERVER.. | recommended | moderate  | not needed
[...]

6.1.4.3 安装新的软件包版本

如果某个安装源只包含新软件包,但未提供补丁,则 zypper patch 不会产生任何作用。要使用可用的较新版本更新所有已安装的软件包(同时还要保持系统完整性),请使用:

tux > sudo zypper update

要更新个别软件包,请用更新或安装命令指定软件包:

tux > sudo zypper update PACKAGE_NAME
tux > sudo zypper install PACKAGE_NAME

可使用此命令来获取所有新的可安装软件包的列表:

tux > zypper list-updates

请注意,此命令只会列出符合以下准则的软件包:

  • 与已安装的软件包拥有相同的供应商,

  • 由至少与已安装软件包拥有相同优先级的储存库提供,

  • 可安装(满足所有依赖项)。

所有新的可用软件包(无论是否可安装)的列表可通过以下方式获取:

tux > sudo zypper list-updates --all

要找出新软件包无法安装的原因,请使用上面所述的 zypper installzypper update 命令。

6.1.4.4 识别孤立的软件包

每当您从 Zypper 中去除某个储存库或者升级系统时,某些软件包可能会进入孤立状态。这些孤立的软件包不再属于任何活动储存库。以下命令可以列出这些软件包:

tux > sudo zypper packages --orphaned

借助此列表,您可以确定是否仍然需要某个软件包,或者是否可以安全去除某个软件包。

6.1.5 识别使用已删除文件的进程和服务

在增补、更新或去除软件包时,系统上可能有一些正在运行的进程会继续使用更新或去除后已被删除的文件。运行 zypper ps 可以列出使用已删除文件的进程。如果此类进程属于某个已知的服务,则会列出服务名称,方便您重启动该服务。默认情况下,zypper ps 会显示一个表:

tux > zypper ps
PID   | PPID | UID | User  | Command      | Service      | Files
------+------+-----+-------+--------------+--------------+-------------------
814   | 1    | 481 | avahi | avahi-daemon | avahi-daemon | /lib64/ld-2.19.s->
      |      |     |       |              |              | /lib64/libdl-2.1->
      |      |     |       |              |              | /lib64/libpthrea->
      |      |     |       |              |              | /lib64/libc-2.19->
[...]
PID:进程 ID
PPID:父进程 ID
UID:运行进程的用户的 ID
登录:运行进程的用户的登录名
命令:用于执行进程的命令
服务:服务名称(仅当命令与系统服务关联时)
文件:已删除文件的列表

通过如下方式可控制 zypper ps 的输出格式:

zypper ps-s

创建一份简短表格,其中不会显示已删除的文件。

tux > zypper ps -s
PID   | PPID | UID  | User    | Command      | Service
------+------+------+---------+--------------+--------------
814   | 1    | 481  | avahi   | avahi-daemon | avahi-daemon
817   | 1    | 0    | root    | irqbalance   | irqbalance
1567  | 1    | 0    | root    | sshd         | sshd
1761  | 1    | 0    | root    | master       | postfix
1764  | 1761 | 51   | postfix | pickup       | postfix
1765  | 1761 | 51   | postfix | qmgr         | postfix
2031  | 2027 | 1000 | tux     | bash         |
zypper ps-ss

仅显示与系统服务关联的进程。

PID   | PPID | UID  | User    | Command      | Service
------+------+------+---------+--------------+--------------
814   | 1    | 481  | avahi   | avahi-daemon | avahi-daemon
817   | 1    | 0    | root    | irqbalance   | irqbalance
1567  | 1    | 0    | root    | sshd         | sshd
1761  | 1    | 0    | root    | master       | postfix
1764  | 1761 | 51   | postfix | pickup       | postfix
1765  | 1761 | 51   | postfix | qmgr         | postfix
zypper ps-sss

仅显示使用已删除文件的系统服务。

avahi-daemon
irqbalance
postfix
sshd
zypper ps--print "systemctl status %s"

显示用于检索可能需要重启动的服务状态信息的命令。

systemctl status avahi-daemon
systemctl status irqbalance
systemctl status postfix
systemctl status sshd

有关服务处理的详细信息,请参见第 15 章 “systemd 守护程序

6.1.6 使用 Zypper 管理储存库

Zypper 的所有安装或补丁命令均基于已知储存库列表。要列出系统已知的所有储存库,请使用命令:

tux > zypper repos

结果将类似于与以下输出:

例 6.1︰ Zypper — 已知储存库的列表
tux > zypper repos
# | Alias        | Name          | Enabled | Refresh
--+--------------+---------------+---------+--------
1 | SLEHA-15-GEO | SLEHA-15-GEO  | Yes     | No
2 | SLEHA-15     | SLEHA-15      | Yes     | No
3 | SLES15       | SLES15        | Yes     | No

当在各个命令中指定储存库时,可以使用别名、URI 或 zypper repos 命令输出中的储存库编号。储存库别名是用于储存库处理命令中的储存库名称的简短版本。请注意,在修改储存库列表后,储存库编号可能会更改。别名本身不会更改。

默认情况下不显示储存库的 URI 或优先级之类的细节。用以下命令可以列出所有细节:

tux > zypper repos -d

6.1.6.1 添加储存库

要添加储存库,请运行

tux > sudo zypper addrepo URI ALIAS

URI 可以是互联网储存库、网络资源、目录、CD 或 DVD(有关细节请参见 https://en.opensuse.org/openSUSE:Libzypp_URIs)。ALIAS 是储存库的唯一简写标识符。您可以随意选择别名,前提是它必须唯一。如果指定的别名已在使用,Zypper 将发出警告。

6.1.6.2 刷新储存库

zypper 可让您从配置的储存库中提取软件包的更改。要提取更改,请运行:

tux > sudo zypper refresh
注意
注意:zypper 的默认行为

有些命令默认会自动执行 refresh,因此您不需要明确运行该命令。

使用 refresh 命令时搭配 --plus-content 选项还可查看已禁用储存库中的更改:

tux > sudo zypper --plus-content refresh

该选项虽然会提取储存库中的更改,但会使禁用储存库的状态保持不变,即仍为禁用。

6.1.6.3 去除储存库

要从列表中去除某个储存库,请将命令 zypper removerepo 与要删除的储存库的别名或编号结合使用。例如,要从例 6.1 “Zypper — 已知储存库的列表”中去除储存库 SLEHA-12-GEO,请使用下列命令之一:

tux > sudo zypper removerepo 1
tux > sudo zypper removerepo "SLEHA-12-GEO"

6.1.6.4 修改储存库

zypper modifyrepo 启用或禁用储存库。您还可以用该命令更改储存库的属性(例如刷新行为、名称或优先级)。以下命令将会启用名为 updates 的储存库、打开自动刷新并将其优先级设置为 20:

tux > sudo zypper modifyrepo -er -p 20 'updates'

修改储存库并不局限于单个储存库 — 您也可以对组执行该操作:

-a:所有储存库
-l:本地储存库
-t:远程储存库
-m TYPE:特定类型的储存库(其中 TYPE 可以是以下之一:httphttpsftpcddvddirfilecifssmbnfshdiso

要重命名安装源别名,请使用 renamerepo 命令。以下示例将别名从 Mozilla Firefox 更改为 firefox

tux > sudo zypper renamerepo 'Mozilla Firefox' firefox

6.1.7 使用 Zypper 查询储存库和软件包

Zypper 提供各种查询储存库或软件包的方式。要获取所有可用的产品、模式、软件包或补丁的列表,请使用以下命令:

tux > zypper products
tux > zypper patterns
tux > zypper packages
tux > zypper patches

要查询特定软件包的所有储存库,请使用 search。要获得有关特定软件包的信息,请使用 info 命令。

6.1.7.2 在所有 SLE 模块中搜索软件包

要搜索当前已启用的 SLE 模块内部和外部的软件包,请使用 search-packages 子命令。此命令会联系 SUSE Customer Center,并在所有模块中搜索匹配的软件包,例如:

tux > zypper search-packages package1 package2

zypper search-packages 提供以下选项:

  • 搜索与您的搜索字符串完全匹配的软件包:-x--match-exact

  • 按模块对结果进行分组(默认:按软件包分组):-g、 --group-by-module

  • 显示有关软件包的更多详细信息:-d--details

  • 以 XML 格式输出搜索结果:--xmlout

6.1.7.3 搜索特定功能

要搜索提供特殊功能的软件包,请使用命令 what-provides。例如,如果您想知道哪个软件包提供 Perl 模块 SVN::Core,请使用以下命令:

tux > zypper what-provides 'perl(SVN::Core)'

what-provides 软件包名rpm -q --whatprovides 软件包名类似,不过 RPM 只能查询 RPM 数据库(即所有已安装的软件包的数据库)。另一方面,Zypper 将告诉您任意储存库的功能的提供商,而非仅已安装的储存库功能的提供商。

6.1.7.4 显示软件包信息

要查询个别软件包,请使用 info 命令,并用完整软件包名称作为参数。这会显示有关某个软件包的详细信息。如果软件包名与储存库中的所有软件包名都不匹配,该命令会输出非软件包匹配项的详细信息。如果您请求特定类型(通过使用 -t 选项),但该类型不存在,该命令会输出其他可用的匹配项,但不提供详细信息。

如果您指定源软件包,该命令会显示基于该源软件包构建的二进制软件包。如果您指定二进制软件包,该命令会输出用来构建该二进制软件包的源软件包。

如果还要显示该软件包必需/推荐的软件包,则使用选项 --requires--recommends

tux > zypper info --requires MozillaFirefox

6.1.8 显示生命周期信息

SUSE 产品的支持周期一般为 10 年。通常,您可以使用 SUSE 的延长支持产品将标准生命周期延长三年。根据您的产品,在 https://www.suse.com/lifecycle 中找到具体的支持生命周期。

要检查您的产品和所支持软件包的生命周期,请如下所示使用 zypper lifecycle 命令:

root # zypper lifecycle
    Product end of support
Codestream: SUSE Linux Enterprise Server 15             2028-07-31
    Product: SUSE Linux Enterprise Server 15 SP3        n/a*

Module end of support
Basesystem Module                                       n/a*
Desktop Applications Module                             n/a*
Server Applications Module                              n/a*

Package end of support if different from product:
autofs                                   Now, installed 5.1.3-7.3.1, update available 5.1.3-7.6.1

6.1.9 配置 Zypper

Zypper 现在随附配置文件,允许您永久更改 Zypper 的行为(系统范围或用户特定)。要进行系统范围更改,请编辑 /etc/zypp/zypper.conf。要进行用户特定的更改,请编辑 ~/.zypper.conf。如果 ~/.zypper.conf 尚不存在,您可以使用 /etc/zypp/zypper.conf 作为模板:将其复制到 ~/.zypper.conf 并根据您的喜好进行调整。请参见文件中的注释,获取有关可用选项的帮助。

6.1.10 查错

如果您在访问配置的储存库中的软件包时遇到问题(例如,尽管您知道某个软件包在某个储存库中,但 Zypper 找不到该软件包),刷新储存库或许可以解决问题:

tux > sudo zypper refresh

如果不起作用,则尝试

tux > sudo zypper refresh -fdb

这会强制完全刷新和重构建数据库,包括强制下载原始元数据。

6.1.11 Btrfs 文件系统上的 Zypper 回滚功能

如果根分区上使用的是 Btrfs 文件系统,且系统中安装了 snapper,当 Zypper 提交对文件系统所做的更改以创建相应的文件系统快照时,会自动调用 snapper。这些快照可用于还原 Zypper 进行的任何更改。有关更多信息,请参见第 7 章 “通过 Snapper 进行系统恢复和快照管理

6.1.12 更多信息

有关从命令行管理软件的详细信息,请输入 zypper helpzypper help  命令,或参见 zypper(8) 手册页。有关详尽的命令参考、最重要的命令的速查表,以及如何在脚本和应用程序中使用 Zypper 的信息,请参见 https://en.opensuse.org/SDB:Zypper_usage。最新 SUSE Linux Enterprise Server 版本的软件更改列表可在 https://en.opensuse.org/openSUSE:Zypper_versions 中找到。

6.2 RPM - 软件包管理器

RPM(RPM 程序包管理器)用于管理软件包。其主要程命令为 rpmrpmbuild。用户、系统管理员和软件包构建人员可以查询强大的 RPM 数据库以获得有关已安装软件的详细信息。

rpm 有五种模式:安装、卸装(或更新)软件包、重构建 RPM 数据库、查询 RPM 库或独立 RPM 存档、对软件包执行完整性检查以及对软件包签名。rpmbuild 可用于从原始源构建可安装的软件包。

用特殊的二进制格式对可安装 RPM 存档进行打包。这些存档由要安装的程序文件和某些元信息组成,这些元信息供 rpm 在安装过程中配置软件包使用或者储存在 RPM 数据库中进行存档。RPM 存档通常具有扩展名 .rpm

提示
提示:软件开发包

对于一些软件包,软件开发所需的组件(库、报头、包含文件等)已纳入独立的软件包中。只有当您要自己编译软件时才需要这些开发包(例如最新的 GNOME 软件包)。可以通过扩展名 -devel 确定这些开发包,例如软件包 alsa-develgimp-devel

6.2.1 校验软件包真实性

RPM 软件包具有 GPG 签名。要校验 RPM 软件包的签名,请使用 rpm --checksig  PACKAGE-1.2.3.rpm 命令确定该软件包是来自 SUSE 还是另一个可信机构。特别建议对来自互联网的更新软件包使用此命令。

修复操作系统中的问题时,您可能需要将问题临时修复 (PTF) 安装到生产系统中。SUSE 提供的软件包已使用特殊的 PTF 密钥签名。但是,与 SUSE Linux Enterprise 11 不同,SUSE Linux Enterprise 12 系统上默认不会导入此密钥。要手动导入该密钥,请使用以下命令:

tux > sudo rpm --import \
/usr/share/doc/packages/suse-build-key/suse_ptf_key.asc

导入该密钥后,您可以在系统上安装 PTF 软件包。

6.2.2 管理软件包:安装、更新和卸装

安装 RPM 存档的步骤通常十分简单,执行运行:rpm -i 软件包.rpm。使用此命令可以安装软件包,但前提是满足其依赖项并且不与其他软件包冲突。如果出现错误消息,rpm 将请求那些需要安装的软件包以满足依赖项要求。在后台,RPM 数据库确保不出现冲突 - 一个特定文件只能属于一个软件包。通过选择不同的选项,您可以强制 rpm 忽略这些默认设置,但这只供专家用户使用。否则,将影响系统的完整性并可能使系统无法更新。

选项 -U--upgrade 以及 -F--freshen 可用于更新软件包(例如,rpm -F PACKAGE.rpm)。此命令将删除旧版本的文件并立即安装新文件。两个版本之间的差别是:-U 安装系统中以前不存在的软件包,而 -F 只更新以前安装的软件包。更新时,rpm 使用以下策略小心更新配置文件:

  • 如果配置文件未被系统管理员更改,则 rpm 将安装适当文件的新版本。系统管理员无需执行任何操作。

  • 如果配置文件在更新前曾被系统管理员更改,则 rpm 会以扩展名 .rpmorig.rpmsave(备份文件)保存更改的文件,并安装新软件包中的版本。仅当原先安装的文件和较新的版本不同时,才执行此操作。如果是这种情况,则将备份文件(.rpmorig.rpmsave)与新安装的文件进行比较,并在新文件中再次进行更改。之后,请删除所有 .rpmorig.rpmsave 文件,以免以后的更新出现问题。

  • 如果配置文件已存在并且 .spec 文件中指定了 noreplace 标签,则出现 .rpmnew 文件。

更新后,在使用 .rpmsave.rpmnew 文件进行比较后应将它们删除,从而防止它们阻碍以后的更新。如果 RPM 数据库以前未能识别文件,则将为其指派扩展名 .rpmorig

否则,将使用 .rpmsave。换句话说,.rpmorig 是从异系统格式更新为 RPM 的结果。.rpmsave 是从较早的 RPM 更新为较新的 RPM 的结果。.rpmnew 不提供任何有关系统管理员是否对配置文件进行过任何更改的信息。/var/adm/rpmconfigcheck 中提供这些文件的列表。不覆盖某些配置文件(如 /etc/httpd/httpd.conf)以允许继续进行操作。

-U 开关的作用并完全等同于使用 -e 选项进行卸载以及使用 -i 选项进行安装,它还有其他作用。只要可能,就可以使用 -U

要去除软件包,请输入 rpm -e PACKAGE。仅当不存在未解决的依赖项问题时,此命令才会删除软件包。例如,只要有其他程序需要 Tcl/Tk,理论上就不能删除它。即使是在这种情况下,RPM 也会向数据库寻求帮助。如果出于任何原因无法进行此删除操作(即使存在其他依赖项),则最好使用选项 --rebuilddb 重构建 RPM 数据库。

6.2.3 增量 RPM 软件包

增量 RPM 软件包包含旧版本和新版本的 RPM 软件包之间的差别。在旧 RPM 上应用增量 RPM 将得到全新的 RPM。不需要旧 RPM 的副本,因为增量 RPM 也可以与已安装的 RPM 一起工作。增量 RPM 软件包的大小甚至比补丁 RPM 小,这有利于通过互联网传送更新软件包。缺点是,涉及增量 RPM 的更新操作与使用纯粹 RPM 或补丁 RPM 进行更新的情况相比,占用的 CPU 周期要长得多。

makedeltarpmapplydelta 二进制文件是增量 RPM 套件(软件包 deltarpm)的一部分,可帮助您创建和应用增量 RPM 软件包。使用以下命令可以创建名为 new.delta.rpm 的增量 RPM。以下命令假设 old.rpmnew.rpm 是存在的:

tux > sudo makedeltarpm old.rpm new.rpm new.delta.rpm

如果旧软件包已经安装,则使用 applydeltarpm 可以从文件系统重新构建新的 RPM:

tux > sudo applydeltarpm new.delta.rpm new.rpm

如果不访问文件系统而从旧 RPM 得到它,请使用 -r 选项:

tux > sudo applydeltarpm -r old.rpm new.delta.rpm new.rpm

关于技术详细信息,请参见 /usr/share/doc/packages/deltarpm/README

6.2.4 RPM查询

-q 选项的 rpm 将启动查询,如此用户便可查看 RPM 存档(通过添加选项 -p)并查询已安装软件包的 RPM 数据库。可以使用多个开关指定所需信息的类型。请参见表 6.1 “基本 RPM 查询选项”

表 6.1︰ 基本 RPM 查询选项

-i

软件包信息

-l

文件列表

-f FILE

查询包含文件 FILE 的软件包(必须使用 FILE 指定完整路径)

-s

带有状态信息的文件列表(间接指定 -l

-d

仅列出文档文件(间接指定 -l

-c

仅列出配置文件(间接指定 -l

--dump

带有完整详细信息的文件列表(将用于 -l-c-d

--provides

列出软件包中可被另一个软件包通过 --requires 请求的功能

--requires, -R

软件包需要的功能

--scripts

安装脚本(预安装、后安装、卸载)

例如,命令 rpm -q -i wget 显示例 6.2 “rpm -q -i wget 中所示的信息。

例 6.2︰ rpm -q -i wget
Name        : wget
Version     : 1.14
Release     : 17.1
Architecture: x86_64
Install Date: Mon 30 Jan 2017 14:01:29 CET
Group       : Productivity/Networking/Web/Utilities
Size        : 2046483
License     : GPL-3.0+
Signature   : RSA/SHA256, Thu 08 Dec 2016 07:48:44 CET, Key ID 70af9e8139db7c82
Source RPM  : wget-1.14-17.1.src.rpm
Build Date  : Thu 08 Dec 2016 07:48:34 CET
Build Host  : sheep09
Relocations : (not relocatable)
Packager    : https://www.suse.com/
Vendor      : SUSE LLC <https://www.suse.com/>
URL         : http://www.gnu.org/software/wget/
Summary     : A Tool for Mirroring FTP and HTTP Servers
Description :
Wget enables you to retrieve WWW documents or FTP files from a server.
This can be done in script files or via the command line.
Distribution: SUSE Linux Enterprise 15

只有当您指定带有完整路径的完整文件名时,选项 -f 才起作用。根据需要提供任意多个文件名。例如:

tux > rpm -q -f /bin/rpm /usr/bin/wget
rpm-4.14.1-lp151.13.10.x86_64
wget-1.19.5-lp151.4.1.x86_64

如果只知道部分文件名,则可以使用外壳脚本,如例 6.3 “搜索软件包的脚本”所示。当运行所显示的脚本时,将部分文件名以参数的形式传递给脚本。

rpm -q --changelog PACKAGE 命令会按日期排序显示有关特定软件包的详细更改信息列表。

借助已安装的 RPM 数据库,可以进行校验检查。使用 -V--verify 启动这些检查。将 rpm 与此选项搭配使用,将显示软件包中自安装后已更改的所有文件。rpm 使用八位字符符号来提供有关以下更改的提示:

表 6.2︰ RPM 校验选项

5

MD5 校验和

S

文件大小

L

符号链接

T

修改时间

D

主要和次要设备编号

U

所有者

G

M

方式(权限和文件类型)

对于配置文件,将输出字母 c。例如,对于 /etc/wgetrcwget 软件包)的更改:

tux > rpm -V wget
S.5....T c /etc/wgetrc

RPM 数据库的文件被放置在 /var/lib/rpm 中。如果分区 /usr 的大小为 1 GB,则此数据库可能会占用将近 30 MB,特别是在完全更新之后。如果数据库比预期大得多,则最好使用选项 --rebuilddb 重构建数据库。在执行此操作之前,制作旧数据库的备份。cron 脚本 cron.daily 每天制作数据库的副本(用 gzip 打包)并将这些副本储存在 /var/adm/backup/rpmdb 中。副本的数目是由 /etc/sysconfig/backup 中的变量 MAX_RPMDB_BACKUPS(默认值为 5)控制的。对于 1 GB 的 /usr,单个备份的大小大约为 1 MB。

6.2.5 安装和编译源软件包

所有源软件包都带有 .src.rpm 扩展名(源 RPM)。

注意
注意:安装的源软件包

源软件包可以从安装媒体复制到硬盘并使用 YaST 解压缩。但是,在软件包管理器中它们不会被标记为已安装 ([i])。这是因为源软件包不是在 RPM 数据库中输入的。只有已安装的操作系统软件列在 RPM 数据库中。安装源软件包时,只将源代码添加到系统中。

以下目录必须可用于 /usr/src/packages 中的 rpmrpmbuild(除非在诸如 /etc/rpmrc 这样的文件中指定自定义设置):

SOURCES

代表原始源(.tar.bz2.tar.gz 文件等)和发行版特定的调整(大多数为 .diff.patch 文件)

SPECS

代表 .spec 文件,类似于元 Makefile,该文件控制构建进程

BUILD

在此目录中解压缩、增补和编译所有源

RPMS

储存完整的二进制软件包的位置

SRPMS

这里是源 RPM

使用 YaST 安装源软件包时,所有必需的组件都安装在 /usr/src/packages 中:源和调整项位于 SOURCES 中,相关的 .spec 文件位于 SPECS 中。

警告
警告:系统完整性

不要对系统组件(glibcrpm 等)进行试验,因为这样做会影响系统的稳定性。

下面的示例使用 wget.src.rpm 软件包。安装源软件包后,应具有类似以下列表中的文件:

/usr/src/packages/SOURCES/wget-1.19.5.tar.bz2
/usr/src/packages/SOURCES/wgetrc.patch
/usr/src/packages/SPECS/wget.spec

rpmbuild -bX /usr/src/packages/SPECS/wget.spec 会启动编译。X 是通配符,代表构建进程的不同阶段(有关详细信息,请参见 --help 的输出或 RPM 文档)。以下内容只是简要描述:

-bp

/usr/src/packages/BUILD 中准备源:解压和打补丁。

-bc

执行与 -bp 相同的操作,但还进行编译。

-bi

执行与 -bp 相同的操作,但还安装生成的软件。注意:如果软件包不支持 BuildRoot 功能,则可能会重写配置文件。

-bb

执行与 -bi 相同的操作,但还创建二进制软件包。如果编译成功,二进制软件包应该在 /usr/src/packages/RPMS 中。

-ba

执行与 -bb 相同的操作,但还创建源 RPM。如果编译成功,二进制软件包应该在 /usr/src/packages/SRPMS 中。

--short-circuit

跳过某些步骤。

现在可以使用 rpm -i 或最好使用 rpm -U 来安装创建的二进制 RPM。使用 rpm 进行安装使它显示在 RPM 数据库中。

请记住,规范文件中的 BuildRoot 指令已弃用。如果您仍然需要此功能,请使用 --buildroot 选项作为替代方法。

6.2.6 使用 build 编译 RPM 软件包

许多软件包存在的风险是构建进程中会将许多不需要的文件添加到正在运行的系统中。为防止发生这种情况,请使用 build,它将创建构建软件包的已定义环境。要建立这一 chroot 环境,build 脚本必须和完整的软件包树结构一起提供。可以通过 NFS 或从 DVD 使用硬盘上的此树。使用 build --rpms DIRECTORY 设置位置。与 rpm 不同,build 命令在源目录中查找 .spec 文件。要用系统中 /media/dvd 下挂载的 DVD 构建 wget(如上例所示),请以 root 用户身份使用以下命令:

root # cd /usr/src/packages/SOURCES/
root # mv ../SPECS/wget.spec .
root # build --rpms /media/dvd/suse/ wget.spec

随后,将在 /var/tmp/build-root 建立一个最小的环境。在此环境中构建软件包。完成后,生成的软件包位于 /var/tmp/build-root/usr/src/packages/RPMS 中。

build 脚本提供多个其他选项。例如,使脚本优先选择您自己的 RPM、忽略构建环境的初始化或者将 rpm 命令限制在上述阶段之一。使用 build --help 并通过阅读 build 手册页来访问更多信息。

6.2.7 用于 RPM 存档和 RPM 数据库的工具

Midnight Commander (mc) 可以显示 RPM 存档的内容并复制部分内容。它将存档表示为虚拟文件系统,提供 Midnight Commander 所有常用的菜单选项。使用 F3 键显示 HEADER。使用光标键和 Enter 键查看存档结构。使用 F5 键复制部分存档。

拥有全部功能的软件包管理器将作为 YaST 模块提供。有关详细信息,请参见Book “部署指南”, Chapter 21 “安装或去除软件”

7 通过 Snapper 进行系统恢复和快照管理

Snapper 可用于创建和管理文件系统快照。文件系统快照可用于保留文件系统在某个时间点的状态副本。Snapper 的标准设置旨在实现系统更改的回滚。但是,您也可以使用它来创建用户数据的磁盘备份。Snapper 基于 Btrfs 文件系统或者采用 XFS(或 Ext4)文件系统的精简配置 LVM 卷实现此功能。

Snapper 具有命令行界面和 YaST 界面。Snapper 可让您在以下类型的文件系统上创建和管理文件系统快照:

  • Btrfs:适用于 Linux 的“写入时复制”文件系统,其本身支持子卷的文件系统快照。(子卷是物理分区中可单独挂载的文件系统。)

    您也可以从 Btrfs 快照引导。有关详细信息,请参见第 7.3 节 “通过从快照引导来执行系统回滚”

  • 采用 XFS 或 Ext4 格式化的精简配置 LVM 卷。

您可以使用 Snapper 执行以下任务:

7.1 默认设置

SUSE Linux Enterprise Server 上的 Snapper 设置为系统更改的撤销和恢复工具。默认情况下,SUSE Linux Enterprise Server 的根分区 (/) 使用 Btrfs 格式。如果根分区 (/) 足够大(约为 16 GB 以上),则会自动启用创建快照功能。默认情况下,在除 / 以外的分区上会禁用快照。

提示
提示:在已安装系统中启用 Snapper

如果您在安装期间禁用了 Snapper,以后随时都可启用它。要执行此操作,请运行以下命令创建根文件系统的默认 Snapper 配置:

tux > sudo snapper -c root create-config /

之后,按第 7.1.4.1 节 “禁用/启用快照”中所述启用不同的快照类型。

请注意,要在 Btrfs 根文件系统上使用快照,需按照安装程序的建议设置包含子卷的文件系统,并且分区大小至少为 16 GB。

创建快照时,快照与原始点都会指向文件系统中的同一个块。因此一开始时快照并不占用额外的磁盘空间。但如果修改了原始文件系统中的数据,则会复制已更改的数据块,同时将旧的数据块作为快照保留。因此,快照就将占用与已修改数据相同的空间。所以久而久之,分配给快照的空间便会不断增长。其结果是,即便从包含快照的 Btrfs 文件系统删除文件可能也不会释放磁盘空间!

注意
注意:快照位置

快照始终存放在创建快照的那个分区或子卷中,而无法将快照存储到其他分区或子卷。

因此,包含快照的分区需大于不包含快照的分区。确切的空间大小在很大程度上取决于要保留的快照数量以及数据修改量。按照以往经验,应为分区分配两倍于一般情况下使用的空间。为了防止磁盘上的空间耗尽,系统会自动清理旧快照。有关细节,请参考第 7.1.4.4 节 “控制快照存档”

7.1.1 默认设置

大于 16 GB 的磁盘
  • 配置文件:/etc/snapper/configs/root

  • USE_SNAPPER=yes

  • TIMELINE_CREATE=no

小于 16 GB 的磁盘
  • 配置文件:未创建

  • USE_SNAPPER=no

  • TIMELINE_CREATE=yes

7.1.2 快照类型

尽管快照本身在技术方面并无区别,但我们根据触发它们的事件将其分成三类:

时间线快照

每小时创建一个快照,且旧的快照会自动删除。默认情况下,会保留最近十天、最近十个月以及最近十年的首张快照。时间线快照默认为禁用状态。

安装快照

每次使用 YaST 或 Zypper 安装一个或多个软件包时,会创建一对快照:一个是在安装开始前(),另一个是在安装完成后()。如果安装了内核等重要的系统组件,快照对会标记为重要 (important=yes)。旧的快照会自动删除。默认情况下,会保留最近十个重要快照和最近十个普通快照(包括管理快照)。安装快照默认为启用状态。

管理快照

每次使用 YaST 管理系统时都会创建一对快照:一个是在 YaST 模块启动之前(),另一个是在该模块关闭之后()。旧的快照会自动删除。默认情况下,会保留最近十个重要快照和最近十个普通快照(包括安装快照)。管理快照默认为启用状态。

7.1.3 从快照中排除的目录

出于多种不同的理由,有些目录需要排除在快照之外。以下列表显示了排除的所有目录:

/boot/grub2/i386-pc/boot/grub2/x86_64-efi/boot/grub2/powerpc-ieee1275/boot/grub2/s390x-emu

不能回滚引导加载程序配置。上面列出的目录是架构专属目录。前两个目录位于 AMD64/Intel 64 计算机上,后两个目录分别位于 IBM POWER 和 IBM Z 上。

/home

如果独立的分区中没有 /home,便会将该目录排除以免在回滚时发生数据丢失。

/opt

第三方产品通常安装到 /opt 下。排除此目录是为了防止在回滚时卸装这些应用程序。

/srv

包含 Web 和 FTP 服务器的数据。排除此目录是为了防止在回滚时发生数据丢失。

/tmp

包含临时文件和缓存的所有目录都会排除在快照范围之外。

/usr/local

在手动安装软件时会用到此目录。系统会将该目录排除以免在回滚时卸载这些安装的软件。

/var

此目录包含许多变量文件(包括日志、暂时缓存、/var/opt 中的第三方产品),是虚拟机映像和数据库的默认位置。因此,创建此子卷是为了从快照中排除所有这些变量数据,且已禁用“写入时复制”。

7.1.4 自定义设置

SUSE Linux Enterprise Server 自带的默认设置经过多方面的考虑,适合多数使用情况。不过,您可以根据自己的需要对创建自动快照以及保留快照的各个方面进行配置。

7.1.4.1 禁用/启用快照

这三种快照类型(时间线、安装、管理)都可以单独启用或禁用。

禁用/启用时间线快照

启用: snapper -c root set-config "TIMELINE_CREATE=yes"

禁用: snapper -c root set-config "TIMELINE_CREATE=no"

时间线快照默认会启用,但根分区除外。

禁用/启用安装快照

启用:: 安装 snapper-zypp-plugin 软件包

禁用:: 卸装 snapper-zypp-plugin 软件包

安装快照默认为启用状态。

禁用/启用管理快照

启用::/etc/sysconfig/yast2 中将 USE_SNAPPER 设置为 yes

禁用::/etc/sysconfig/yast2 中将 USE_SNAPPER 设置为 no

管理快照默认为启用状态。

7.1.4.2 控制安装快照

使用 YaST 或 Zypper 安装软件包时所创建的快照会由 snapper-zypp-plugin 进行处理。何时创建快照由 XML 配置文件 /etc/snapper/zypp-plugin.conf 定义。默认情况下,该文件如下所示:

 1 <?xml version="1.0" encoding="utf-8"?>
 2 <snapper-zypp-plugin-conf>
 3  <solvables>
 4   <solvable match="w"1 important="true"2>kernel-*3</solvable>
 5   <solvable match="w" important="true">dracut</solvable>
 6   <solvable match="w" important="true">glibc</solvable>
 7   <solvable match="w" important="true">systemd*</solvable>
 8   <solvable match="w" important="true">udev</solvable>
 9   <solvable match="w">*</solvable>4
10  </solvables>
11 </snapper-zypp-plugin-conf>

1

match 属性定义模式是 Unix 外壳风格的通配符 (w) 还是 Python 正则表达式 (re)。

2

如果匹配指定模式而且对应的软件包标记为 important(例如内核软件包),则快照也会标记为 important。

3

用于匹配软件包名称的模式。根据 match 属性的设置,特殊字符可能会被解析为外壳通配符或是正则表达式。此模式匹配名称以 kernel- 开头的所有软件包。

4

此行无条件匹配所有软件包。

在这样的快照配置下,只要安装了软件包,就会创建快照对(第 9 行)。如果标记为 important 的内核、dracut、glibc、systemd 或 udev 软件包已安装,快照对也会标记为 important(第 4 行到第 8 行)。所有规则都会进行评估。

要禁用某规则,可以删除该规则或通过 XML 注释的方式将其停用。举例来说,如果不希望系统在每次安装软件包时创建快照对,可以将第 9 行注释掉:

 1 <?xml version="1.0" encoding="utf-8"?>
 2 <snapper-zypp-plugin-conf>
 3  <solvables>
 4   <solvable match="w" important="true">kernel-*</solvable>
 5   <solvable match="w" important="true">dracut</solvable>
 6   <solvable match="w" important="true">glibc</solvable>
 7   <solvable match="w" important="true">systemd*</solvable>
 8   <solvable match="w" important="true">udev</solvable>
 9   <!-- <solvable match="w">*</solvable> -->
10  </solvables>
11 </snapper-zypp-plugin-conf>

7.1.4.3 创建和挂载新子卷

系统支持在 / 层次下创建新的子卷,并永久性挂载该卷。此类子卷将从快照中排除。切勿在现有快照中创建此类子卷,因为在回滚之后,您将无法再删除快照。

SUSE Linux Enterprise Server 上配置了 /@/ 子卷,该子卷充当永久性子卷(例如 /opt/srv/home 等)的独立根目录。您创建和永久挂载的任何新子卷都需要在这个初始根文件系统中创建。

为此,请运行以下命令。在此示例中,从 /dev/sda2 创建了一个新子卷 /usr/important

tux > sudo mount /dev/sda2 -o subvol=@ /mnt
tux > sudo btrfs subvolume create /mnt/usr/important
tux > sudo umount /mnt

/etc/fstab 中的相应项需类似于:

/dev/sda2 /usr/important btrfs subvol=@/usr/important 0 0
提示
提示:禁用写入时复制 (cow)

子卷可能包含经常更改的文件,例如虚拟化的磁盘映像、数据库文件或日志文件。如果是这样,可考虑对此卷禁用写入时复制功能,以免复制磁盘块。可在 /etc/fstab 中使用 nodatacow 挂载选项来实现此目的:

/dev/sda2 /usr/important btrfs nodatacow,subvol=@/usr/important 0 0

或者,要为单个文件或目录禁用写入时复制功能,请使用命令 chattr +C 路径

7.1.4.4 控制快照存档

快照会占用磁盘空间。为了防止磁盘空间耗尽而导致系统中断,旧的快照会自动删除。默认情况下,将保留最多 10 个重要的安装快照与管理快照,以及最多 10 个普通的安装快照与管理快照。如果这些快照占用的空间超过根文件系统大小的 50%,将会删除其他快照。系统始终会至少保留 4 个重要快照和 2 个普通快照。

有关如何更改这些值的指导,请参考第 7.5.1 节 “管理现有配置”

7.1.4.5 在精简配置的 LVM 卷上使用快照

除了在 Btrfs 文件系统上创建快照之外,Snapper 还支持在 XFS、Ext4 或 Ext3 格式化的精简配置 LVM 卷(支持在常规 LVM 卷上创建快照)上创建快照。有关 LVM 卷的详细信息和设置指导,请参考Book “部署指南”, Chapter 10 “专家分区程序”, Section 10.2 “LVM 配置”

要在精简配置的 LVM 卷上使用 Snapper,需要为其创建 Snapper 配置。在 LVM 上要使用 --fstype=lvm(文件系统) 指定文件系统。文件系统的有效值为 ext3etx4xfs。示例:

tux > sudo snapper -c lvm create-config --fstype="lvm(xfs)" /thin_lvm

您可以按照第 7.5.1 节 “管理现有配置”中的说明根据需要调整此配置。

7.2 使用 Snapper 撤销更改

SUSE Linux Enterprise Server 上的 Snapper 经过预配置,可以用来撤销 zypper 和 YaST 所做的更改。要实现此功能,请对 Snapper 进行配置,让其在每次运行 zypper 和 YaST 前后创建一个快照对。您也可以使用 Snapper 来恢复被意外删除或修改的系统文件。要实现此目的,需要对根分区启用时间线快照 — 有关细节,请参见第 7.1.4.1 节 “禁用/启用快照”

默认情况下,上述的自动快照针对根分区及其子卷所配置。若希望针对 /home 等其他分区生成快照,您可以创建自定义配置。

重要
重要:撤消更改与回滚的比较

通过快照来恢复数据时,必须知道,Snapper 可以处理两种完全不同的情形:

撤消更改

在如下文中所述撤销更改时,系统会对两个快照进行比较,并撤销两个快照之间的更改。借助这种方式可以明确地选择要恢复的文件。

回滚

在如第 7.3 节 “通过从快照引导来执行系统回滚”中所述进行回滚时,系统会重设置为创建快照时的状态。

撤销更改时,可以将快照与现有系统进行比较。如果比较后恢复所有发生变化的文件,那么结果会和回滚完全相同。但是,还是建议使用第 7.3 节 “通过从快照引导来执行系统回滚”中介绍的方法进行回滚,因为回滚操作的速度更快,而且您可以在进行回滚前查看系统。

警告
警告:数据一致性

在创建快照时并没有能确保数据一致性的机制。如果在创建快照的同时写入某个文件(例如数据库),将导致文件损坏或写入不完整。恢复此类文件会产生问题。而且,有些系统文件(例如 /etc/mtab)甚至永远都无法恢复。因此强烈建议您要始终仔细查看已更改文件及其差异的列表。只恢复您要还原的操作真正包含的文件。

7.2.1 撤消 YaST 和 Zypper 更改

如果在安装时使用 Btrfs 设置根分区,则将自动安装 Snapper(经过预配置,可以回滚 YaST 或 Zypper 所做的更改)。每次启动 YaST 模块或 Zypper 事务时,会创建两个快照:即截获模块启动之前文件系统状态的前快照以及截获模块完成之后状态的后快照

您可以使用 YaST Snapper 模块或 snapper 命令行工具,通过从前快照恢复文件来撤销 YaST 或 Zypper 所做的更改。您也可以使用该工具比较这两张快照,以查看更改了哪些文件。您还可以显示文件的两个版本之间的差异 (diff)。

过程 7.1︰ 使用 YaST 快照程序模块撤销更改
  1. 从 YaST 中的其他部分或通过输入 yast2 snapper 来启动 Snapper 模块。

  2. 务必将当前配置设置为。除非手动添加自己的 Snapper 配置,否则请始终做此设置。

  3. 从列表中选择前后快照对。YaST 和 Zypper 快照对都属于前后类型。在说明栏中,YaST 快照以 zypp(y2base) 标记;Zypper 快照以 zypp(zypper)标记。

    Image
  4. 单击显示更改,会打开一个文件列表显示两张快照之间的差异。

    Image
  5. 查看文件列表。要显示文件的前后版本之间的差异,请从列表中选中该文件。

    Image
  6. 要恢复一个或多个文件,请通过勾选相应的复选框选择相关的文件或目录。单击恢复选定,然后单击以确认该操作。

    Image

    要恢复单一文件,请单击其名称以激活该文件的差异视图。单击从第一个快照恢复,然后单击予以确认。

过程 7.2︰ 使用 snapper 命令撤销更改
  1. 运行 snapper list -t pre-post 以获取 YaST 与 Zypper 快照的列表。在说明列中,YaST 快照标为 yast MODULE_NAME;Zypper 快照标为 zypp(zypper)

    tux > sudo snapper list -t pre-post
    Pre # | Post # | Pre Date                      | Post Date                     | Description
    ------+--------+-------------------------------+-------------------------------+--------------
    311   | 312    | Tue 06 May 2018 14:05:46 CEST | Tue 06 May 2018 14:05:52 CEST | zypp(y2base)
    340   | 341    | Wed 07 May 2018 16:15:10 CEST | Wed 07 May 2018 16:15:16 CEST | zypp(zypper)
    342   | 343    | Wed 07 May 2018 16:20:38 CEST | Wed 07 May 2018 16:20:42 CEST | zypp(y2base)
    344   | 345    | Wed 07 May 2018 16:21:23 CEST | Wed 07 May 2018 16:21:24 CEST | zypp(zypper)
    346   | 347    | Wed 07 May 2018 16:41:06 CEST | Wed 07 May 2018 16:41:10 CEST | zypp(y2base)
    348   | 349    | Wed 07 May 2018 16:44:50 CEST | Wed 07 May 2018 16:44:53 CEST | zypp(y2base)
    350   | 351    | Wed 07 May 2018 16:46:27 CEST | Wed 07 May 2018 16:46:38 CEST | zypp(y2base)
  2. 使用 snapper status PRE..POST。文件内容发生了更改会以 c 标记、添加了文件会以 + 标记、删除了文件会以 - 标记。

    tux > sudo snapper status 350..351
    +..... /usr/share/doc/packages/mikachan-fonts
    +..... /usr/share/doc/packages/mikachan-fonts/COPYING
    +..... /usr/share/doc/packages/mikachan-fonts/dl.html
    c..... /usr/share/fonts/truetype/fonts.dir
    c..... /usr/share/fonts/truetype/fonts.scale
    +..... /usr/share/fonts/truetype/みかちゃん-p.ttf
    +..... /usr/share/fonts/truetype/みかちゃん-pb.ttf
    +..... /usr/share/fonts/truetype/みかちゃん-ps.ttf
    +..... /usr/share/fonts/truetype/みかちゃん.ttf
    c..... /var/cache/fontconfig/7ef2298fde41cc6eeb7af42e48b7d293-x86_64.cache-4
    c..... /var/lib/rpm/Basenames
    c..... /var/lib/rpm/Dirnames
    c..... /var/lib/rpm/Group
    c..... /var/lib/rpm/Installtid
    c..... /var/lib/rpm/Name
    c..... /var/lib/rpm/Packages
    c..... /var/lib/rpm/Providename
    c..... /var/lib/rpm/Requirename
    c..... /var/lib/rpm/Sha1header
    c..... /var/lib/rpm/Sigmd5
  3. 要显示某份文件的差异,请运行 snapper diff PRE..POST 文件名。如果没有指定文件名,则会显示所有文件的差异。

    tux > sudo snapper diff 350..351 /usr/share/fonts/truetype/fonts.scale
    --- /.snapshots/350/snapshot/usr/share/fonts/truetype/fonts.scale       2014-04-23 15:58:57.000000000 +0200
    +++ /.snapshots/351/snapshot/usr/share/fonts/truetype/fonts.scale       2014-05-07 16:46:31.000000000 +0200
    @@ -1,4 +1,4 @@
    -1174
    +1486
     ds=y:ai=0.2:luximr.ttf -b&h-luxi mono-bold-i-normal--0-0-0-0-c-0-iso10646-1
     ds=y:ai=0.2:luximr.ttf -b&h-luxi mono-bold-i-normal--0-0-0-0-c-0-iso8859-1
    [...]
  4. 要恢复一或多份文件,请运行 snapper -v undochange PRE..POST 文件名。如果没有指定文件名,则会恢复所有已更改的文件。

    tux > sudo snapper -v undochange 350..351
         create:0 modify:13 delete:7
         undoing change...
         deleting /usr/share/doc/packages/mikachan-fonts
         deleting /usr/share/doc/packages/mikachan-fonts/COPYING
         deleting /usr/share/doc/packages/mikachan-fonts/dl.html
         deleting /usr/share/fonts/truetype/みかちゃん-p.ttf
         deleting /usr/share/fonts/truetype/みかちゃん-pb.ttf
         deleting /usr/share/fonts/truetype/みかちゃん-ps.ttf
         deleting /usr/share/fonts/truetype/みかちゃん.ttf
         modifying /usr/share/fonts/truetype/fonts.dir
         modifying /usr/share/fonts/truetype/fonts.scale
         modifying /var/cache/fontconfig/7ef2298fde41cc6eeb7af42e48b7d293-x86_64.cache-4
         modifying /var/lib/rpm/Basenames
         modifying /var/lib/rpm/Dirnames
         modifying /var/lib/rpm/Group
         modifying /var/lib/rpm/Installtid
         modifying /var/lib/rpm/Name
         modifying /var/lib/rpm/Packages
         modifying /var/lib/rpm/Providename
         modifying /var/lib/rpm/Requirename
         modifying /var/lib/rpm/Sha1header
         modifying /var/lib/rpm/Sigmd5
         undoing change done
警告
警告:还原用户添加操作

建议不要使用 Snapper 通过撤销更改的方式来还原用户添加。因为快照中排除了一些目录,文件系统中将保留属于用户的文件。如果使用已删除用户的 ID 创建新用户,该用户将继承原用户的文件。因此,强烈建议您使用 YaST 的用户和组管理工具来删除用户。

7.2.2 使用 Snapper 恢复文件

除了安装和管理快照之外,Snapper 还会创建时间线快照。您可以使用这些备份快照还原意外删除的文件或文件的前一个版本。您也可以使用 Snapper 的差异功能来确定在某个时间点所做的修改。

还原文件功能对于默认情况下不会生成快照的那些子卷或分区上的数据特别有用。例如,要从主目录还原文件,可以为自动生成时间线快照的 /home 创建单独的 Snapper 配置。有关指导,请参见第 7.5 节 “创建并修改 Snapper 配置”

警告
警告:恢复文件与回滚的比较

从根文件系统(由 Snapper 的根配置定义)生成的快照可用于执行系统回滚。进行此类回滚时,建议先从快照引导,然后再执行回滚。有关详细信息,请参见 第 7.3 节 “通过从快照引导来执行系统回滚”

从根文件系统快照还原所有文件(如下文中所述)也可以达到回滚的目的,但不建议这样做。您可以还原个别文件,例如还原 /etc 目录中的某个配置文件,但不能从快照中还原一系列文件。

此限制仅针对根文件系统的快照!

过程 7.3︰ 使用 YaST Snapper 模块恢复文件
  1. 从 YaST 中的其他部分或通过输入 yast2 snapper 来启动 Snapper 模块。

  2. 选择要从中选择快照的当前配置

  3. 选择要用于恢复文件的时间线快照,并选择显示更改。时间线快照的类型为单一,描述为时间线

  4. 单击文件名从文本框中选择文件。系统会显示快照版本和当前系统之间的差异。勾选复选框来选中要恢复的文件。请对要恢复的所有文件执行此操作。

  5. 单击恢复选定,然后单击以确认该操作。

过程 7.4︰ 使用 snapper 命令恢复文件
  1. 运行以下命令来显示特定配置的一系列时间线快照:

    tux > sudo snapper -c CONFIG list -t single | grep timeline

    CONFIG 需要替换为现有的 Snapper 配置。使用 snapper list-configs 显示列表。

  2. 运行以下命令来显示指定快照中发生更改的一系列文件:

    tux > sudo snapper -c CONFIG status SNAPSHOT_ID..0

    SNAPSHOT_ID 替换为您要用于恢复文件的快照的 ID。

  3. (可选)运行以下命令列出当前文件版本与快照中文件版本的差异:

    tux > sudo snapper -c CONFIG diff SNAPSHOT_ID..0 FILE NAME

    如果不指定 <FILE NAME>,则会显示所有文件的差异。

  4. 要恢复一个或多个文件,请运行

    tux > sudo snapper -c CONFIG -v undochange SNAPSHOT_ID..0 FILENAME1 FILENAME2

    如果没有指定文件名,则会恢复所有已更改的文件。

7.3 通过从快照引导来执行系统回滚

SUSE Linux Enterprise Server 上包含的 GRUB 2 版本可以从 Btrfs 快照进行引导。与 Snapper 的回滚功能相结合,就能恢复配置错误的系统。只有针对默认 Snapper 配置()创建的快照才可引导。

重要
重要:支持的配置

SUSE Linux Enterprise Server 15 SP3 开始,只有在根分区的默认子卷配置未更改过的情况下,才支持系统回滚。

引导快照时,快照中包含的文件系统部分会装载为只读状态;从快照中排除的所有其他文件系统和部分会加载为读写状态,并且可以修改。

重要
重要:撤消更改与回滚的比较

通过快照来恢复数据时,必须知道,Snapper 可以处理两种完全不同的情形:

撤消更改

在如第 7.2 节 “使用 Snapper 撤销更改”中所述撤销更改时,系统会对两个快照进行比较,并还原两个快照之间的更改。通过这种方式可以明确指定不还原所选的文件。

回滚

在如下文所述进行回滚时,系统会重设置为生成快照时的状态。

要从可引导快照进行回滚,必须满足以下要求。执行默认安装时,系统会进行相应的设置。

从可引导快照执行回滚的要求
  • 根文件系统必须是 Btrfs。不支持从 LVM 卷快照引导。

  • 根文件系统必须在单个设备、单个分区和单个子卷上。/srv 等快照中排除的目录(参见第 7.1.3 节 “从快照中排除的目录”了解完整列表)可以位于单独的分区。

  • 系统应能够借助安装的引导加载程序进行引导。

要从可引导快照进行回滚,请执行以下操作:

  1. 引导系统。在引导菜单中选择可引导快照,然后选择要引导的快照。快照会按日期顺序从近到远一一列出。

  2. 登录系统。仔细检查是否一切运行正常。请注意,您无法对快照包含的任何目录进行写操作。写入其他目录的数据无论您下一步选择什么操作都不会丢失。

  3. 根据您是否要执行回滚,选择下一步操作:

    1. 如果您不想对当前状态的系统执行回滚,请重引导进入当前的系统状态。然后,您便可选择另一个快照,或是启动救援系统。

    2. 要执行回滚,请运行

      tux > sudo snapper rollback

      然后重引导。在引导屏幕上,选择默认的引导项以重引导至恢复后的系统。系统即会创建回滚前文件系统状态的快照。根的默认子卷将替换为全新的读写快照。有关详细信息,请参见第 7.3.1 节 “回滚后的快照”

      通过 -d 选项添加快照的说明非常实用。例如:

      New file system root since rollback on DATE TIME
提示
提示:回滚到特定的安装状态

如果安装期间未禁用快照,将在初始系统安装结束时创建初始可引导快照。您随时可以通过引导此快照返回到该状态。该快照可通过 after installation 说明识别。

开始对服务包或新的主要版本进行系统升级时,也会创建可引导快照(前提是未禁用快照)。

7.3.1 回滚后的快照

在执行回滚之前,将会创建正在运行的文件系统的快照。快照说明会引用在回滚中恢复的快照的 ID。

对于通过回滚创建的快照,其 Cleanup 属性的值会设为 number。因此,回滚快照会在达到设置的快照数后自动删除。有关细节,请参考第 7.7 节 “快照的自动清理”。如果快照包含重要数据,请在系统去除快照之前从快照中提取数据。

7.3.1.1 回滚快照示例

例如,在全新安装之后,系统上存在以下可用的快照:

root # snapper --iso list
Type   | # |     | Cleanup | Description           | Userdata
-------+---+ ... +---------+-----------------------+--------------
single | 0 |     |         | current               |
single | 1 |     |         | first root filesystem |
single | 2 |     | number  | after installation    | important=yes

运行 sudo snapper rollback 之后,将会创建快照 3,它包含执行回滚前系统的状态。快照 4 是新的默认 Btrfs 子卷,因此是重引导之后的系统。

root # snapper --iso list
Type   | # |     | Cleanup | Description           | Userdata
-------+---+ ... +---------+-----------------------+--------------
single | 0 |     |         | current               |
single | 1 |     | number  | first root filesystem |
single | 2 |     | number  | after installation    | important=yes
single | 3 |     | number  | rollback backup of #1 | important=yes
single | 4 |     |         |                       |

7.3.2 访问和识别快照引导项

要从快照引导,请重引导计算机并选择从只读的快照启动引导加载程序。一个屏幕即会打开,列出所有可引导的快照。最近的快照列在最前面,最旧的快照列在最后面。使用 导航,然后按 Enter 激活选定的快照。从引导菜单激活快照不会立即重引导计算机,而是打开选定快照的引导加载程序。

引导加载程序:快照
图 7.1︰ 引导加载程序:快照

引导加载程序中的每个快照项遵循一种可方便您识别快照的命名模式:

[*]1OS2 (KERNEL3,DATE4TTIME5,DESCRIPTION6)

1

如果快照标记为重要,该项将标有 * 号。

2

操作系统标签。

4

采用 YYYY-MM-DD 格式的日期。

5

采用 HH:MM 格式的时间。

6

此字段包含快照的说明。对于手动创建的快照,这是使用选项 --description 创建的字符串,或自定义字符串(请参见提示:为引导加载程序快照项设置自定义说明)。对于自动创建的快照,这是调用的工具,例如 zypp(zypper)yast_sw_single。较长的说明可能会被截断,具体视引导屏幕的大小而定。

提示
提示:为引导加载程序快照项设置自定义说明

可以将快照说明字段中的默认字符串替换为自定义字符串。例如,如果自动创建的说明不能提供充分的描述,或者用户提供的说明太长,这种做法将十分有用。要为快照 NUMBER 设置自定义字符串 STRING,请使用以下命令:

tux > sudo snapper modify --userdata "bootloader=STRING" NUMBER

说明的长度不应超过 25 个字符,超过此大小的任何内容都无法在引导屏幕上正常显示。

7.3.3 限制

不可能实现完整的系统回滚,即将整个系统恢复到生成快照时完全相同的状态。

7.3.3.1 从快照中排除的目录

根文件系统快照并不包含所有目录。请参见第 7.1.3 节 “从快照中排除的目录”了解详情和背后的原因。正因为此,这些目录中的数据并不会恢复,也就造成了以下限制。

执行回滚后,附加产品和第三方软件可能会无法使用

在快照中排除的子卷(如 /opt)上安装了数据的应用程序和附加产品,如果在快照中包含的子卷上也安装了部分应用程序数据,则回滚后,这些应用程序和附加产品将无法工作。要解决此问题,需要重新安装该应用程序或附加产品。

文件访问问题

如果某个应用程序在快照和当前系统之间更改了文件权限和/或所有权,回滚后,该应用程序可能无法访问这些文件。请在回滚后重设置受影响的文件的权限和/或所有权。

不兼容的数据格式

如果服务或应用程序在快照和当前系统之间建立了新的数据格式,回滚后,该应用程序可能无法读取受影响的数据文件。

混合了代码和数据的子卷

诸如 /srv 之类的子卷可能同时包含代码和数据。回滚可能会导致代码失效。例如,降级 PHP 的版本可能会导致 Web 服务器的 PHP 脚本被破坏。

用户数据

如果回滚操作从系统中删除了用户,这些用户在快照中未包含的目录上所拥有的数据并不会删除。如果使用相同的用户 ID 创建新用户,该用户便会继承原用户的文件。请使用 find 之类的工具找到并删除孤立的文件。

7.3.3.2 不回滚引导加载程序数据

无法回滚引导加载程序,因为引导加载程序的所有阶段必须相互匹配。这在 /boot 回滚时并不能保证。

7.4 在用户主目录中启用 Snapper

您可以为用户的 /home 目录启用快照,以便为以下多个用例提供支持:

  • 个人用户可以管理自己的快照和回滚。

  • 系统用户,例如要跟踪配置文件、文档等数据副本的数据库、系统和网络管理员。

  • Samba 与主目录和 Btrfs 后端进行共享。

每个用户的目录都是 /home 的 Btrfs 子卷。您可以手动设置快照(请参见第 7.4.3 节 “手动启用主目录中的快照”),但更便捷的方式是使用 pam_snapperpam_snapper 软件包用于安装 pam_snapper.so 模块和帮助程序脚本,这些模块和脚本可自动创建用户和配置 Snapper。

pam_snapper 提供与 useradd 命令、可插入身份验证模块 (PAM) 及 Snapper 的集成。默认情况下,它会在用户登录和注销时创建快照;当某些用户在很长一段时间内都处于登录状态时,它还会创建基于时间的快照。您可以使用常规 Snapper 命令和配置文件更改默认值。

7.4.1 安装 pam_snapper 和创建用户

最简单的方法是使用格式化为 Btrfs 的新 /home 目录且在没有现有用户的情况下开始。安装 pam_snapper

root # zypper in pam_snapper

将下面一行添加到 /etc/pam.d/common-session 中:

session optional pam_snapper.so

使用 /usr/lib/pam_snapper/pam_snapper_useradd.sh 脚本创建新用户和主目录。该脚本默认会执行试运行。请编辑脚本,将 DRYRUN=1 更改为 DRYRUN=0。现在,您便可以创建新用户:

root # /usr/lib/pam_snapper/pam_snapper_useradd.sh \
username group passwd=password
Create subvolume '/home/username'
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.

用户首次登录时,/etc/skel 中的文件将会复制到其主目录。列出您的 Snapper 配置,以校验是否已创建用户的配置:

root # snapper list --all
Config: home_username, subvolume: /home/username
Type   | # | Pre # | Date | User | Cleanup | Description | Userdata
-------+---+-------+------+------+---------+-------------+---------
single | 0 |       |      | root |         | current     |

一段时间过后,此输出中将会填充快照列表,用户可以使用标准 Snapper 命令对其进行管理。

7.4.2 去除用户

使用 /usr/lib/pam_snapper/pam_snapper_userdel.sh 脚本去除用户。该脚本默认会执行试运行,请编辑脚本,将 DRYRUN=1 更改为 DRYRUN=0。此操作将去除用户、用户的主子卷、Snapper 配置,并会删除所有快照。

root # /usr/lib/pam_snapper/pam_snapper_userdel.sh username

7.4.3 手动启用主目录中的快照

使用 Snapper 手动设置用户主目录的步骤如下。/home 必须已格式化为 Btrfs,并且目前尚未创建用户。

root # btrfs subvol create /home/username
root # snapper -c home_username create-config /home/username
root # sed -i -e "s/ALLOW_USERS=\"\"/ALLOW_USERS=\"username\"/g" \
/etc/snapper/configs/home_username
root # yast users add username=username home=/home/username password=password
root # chown username.group /home/username
root # chmod 755 /home/username/.snapshots

7.5 创建并修改 Snapper 配置

每一个分区或 Btrfs 子卷都有一个专用的配置文件用于定义 Snapper 的行为方式。这些配置文件位于 /etc/snapper/configs/ 下。

如果根文件系统足够大(大约有 12 GB),安装时将自动对根文件系统 / 启用快照。相应的默认配置命名为 root。该配置可创建和管理 YaST 及 Zypper 快照。有关默认值列表,请参见第 7.5.1.1 节 “配置数据”

注意
注意:启用快照所需的最小根文件系统大小

第 7.1 节 “默认设置”中所述,要启用快照,根文件系统中需要有额外的可用空间。所需空间取决于所安装的软件包数量以及快照中包括的卷更改量,另外还取决于快照频率和存档的快照数。

要在安装期间自动启用快照,需要满足最小根文件系统大小。目前,此大小约为 12 GB。将来,这个值可能会发生变化,具体视基础系统的体系结构和大小而定。它取决于安装媒体内 /control.xml 文件中以下标记的值:

<root_base_size>
<btrfs_increase_percentage>

该值通过下面的公式计算得出:ROOT_BASE_SIZE * (1 + BTRFS_INCREASE_PERCENTAGE/100)

请记住,此值是最小大小。请考虑分给根文件系统更多空间。一般而言,两倍于未启用快照时将使用的大小即可。

您可以为使用 Btrfs 格式化的其他分区或 Btrfs 分区上的现有子卷创建自己的配置。在以下示例中,我们将设置 Snapper 配置,以便对驻留在单独的、以 Btrfs 格式化且挂载点为 /srv/www 的分区的 Web 服务器数据进行备份。

创建配置后,您可以直接使用 snapper,也可以使用 YaST Snapper 模块,从这些快照恢复文件。在 YaST 中,您需要选择您的当前配置,同时还需要使用全局开关 -c 指定 snapper 的配置(例如 snapper -c myconfig list)。

要创建新的 Snapper 配置,请运行 snapper create-config

tux > sudo snapper -c www-data1 create-config /srv/www2

1

配置文件的名称。

2

要生成快照的分区或 Btrfs 子卷的挂载点。

此命令将使用合理的默认值(取自 /etc/snapper/config-templates/default)创建新的配置文件 /etc/snapper/configs/www-data。有关如何调整这些值的指导,请参考第 7.5.1 节 “管理现有配置”

提示
提示:配置默认值

新配置的默认值取自 /etc/snapper/config-templates/default。要使用自己的一组默认值,请在相同的目录中创建此文件的副本然后按照需要进行调整。要使用此功能,请在 create-config 命令中指定 -t 选项:

tux > sudo snapper -c www-data create-config -t MY_DEFAULTS /srv/www

7.5.1 管理现有配置

snapper 命令有多个子命令可用于管理现有配置。您可以列出、显示这些配置,也可以对它们进行删除和修改:

列出配置

使用 snapper list-configs 子命令可以获取所有现有配置:

tux > sudo snapper list-configs
Config | Subvolume
-------+----------
root   | /
usr    | /usr
local  | /local
显示配置

使用 snapper -c CONFIG get-config 子命令可以显示指定的配置。请将 CONFIG 替换为 snapper list-configs 显示的配置名称之一。有关配置选项的更多信息,请参见第 7.5.1.1 节 “配置数据”

要显示默认配置,请运行:

tux > sudo snapper -c root get-config
修改配置

使用 snapper -c CONFIG set-config OPTION=VALUE 子命令可以修改指定配置中的选项。请将 CONFIG 替换为 snapper list-configs 显示的配置名称之一。OPTIONVALUE 的可能值可参见第 7.5.1.1 节 “配置数据”

删除配置

使用 snapper -c CONFIG delete-config 子命令可以删除配置。请将 CONFIG 替换为 snapper list-configs 显示的配置名称之一。

7.5.1.1 配置数据

每个配置都包含一系列选项,这些选项可以通过命令行进行修改。下面的列表提供了每个选项的细节。要更改某个值,请运行 snapper -c CONFIG set-config "KEY=VALUE"

ALLOW_GROUPSALLOW_USERS

授予普通用户使用快照的权限。有关更多信息,请参见第 7.5.1.2 节 “以普通用户身份使用 Snapper”

默认值为 "".

BACKGROUND_COMPARISON

定义在创建前后快照后是否应在后台对它们进行比较。

默认值为 "yes"

EMPTY_*

为前后快照相同的快照对定义清理算法。有关详细信息,请参见 第 7.7.3 节 “清理无差异的快照对”

FSTYPE

分区的文件系统类型。不更改。

默认值为 "btrfs"

NUMBER_*

为安装快照与管理快照定义清理算法。有关详细信息,请参见 第 7.7.1 节 “清理编号快照”

QGROUP / SPACE_LIMIT

将定额支持添加到清理算法。有关详细信息,请参见 第 7.7.5 节 “添加磁盘定额支持”

SUBVOLUME

分区或子卷生成快照的挂载点。不更改。

默认值为 "/".

SYNC_ACL

如果普通用户要使用 Snapper(请参见第 7.5.1.2 节 “以普通用户身份使用 Snapper”),他们必须能访问 .snapshot 目录,并且能读取其中的文件。如果 SYNC_ACL 设置为 yes,Snapper 会通过 ACL 自动允许 ALLOW_USERS 和 ALLOW_GROUPS 项指定的用户和组访问这些目录及其中的文件。

默认值为 "no"

TIMELINE_CREATE

如果设置为 yes,便会每小时创建一个快照。有效值:yesno.

默认值为 "no"

TIMELINE_CLEANUP / TIMELINE_LIMIT_*

为时间线快照定义清理算法。有关详细信息,请参见 第 7.7.2 节 “清理时间线快照”

7.5.1.2 以普通用户身份使用 Snapper

默认情况下,Snapper 只能由 root 用户使用。但在特定情况下,某些组或用户也需要创建快照或通过还原至快照来撤销更改:

  • 想要为 /srv/www 生成快照的网站管理员

  • 想要为自己的主目录生成快照的用户

要实现这些目的,您可以创建用于为用户和/或组授予权限的 Snapper 配置。指定的用户必须能连接并访问相应的 .snapshots 目录。要实现这一点,最简单的方法是将 SYNC_ACL 选项设置为 yes

过程 7.5︰ 让普通用户可以使用 Snapper

请注意,此过程中的所有步骤都需要由 root 用户运行。

  1. 如果 Snapper 配置尚不存在,请为用户可在其上使用 Snapper 的分区或子卷创建一个 Snapper 配置。有关指导,请参见第 7.5 节 “创建并修改 Snapper 配置”。示例:

    tux > sudo snapper --config web_data create /srv/www
  2. /etc/snapper/configs/CONFIG 下创建配置文件,其中“CONFIG”是您在上一步中使用 -c/--config 指定的值(例如 /etc/snapper/configs/web_data)。根据需要进行调整。有关详细信息,请参见第 7.5.1 节 “管理现有配置”

  3. ALLOW_USERS 和(或)ALLOW_GROUPS 设置值,以分别为用户和(或)组授予权限。多个条目需要使用 Space 分隔。例如,要为用户 www_admin 授予权限,可运行:

    tux > sudo snapper -c web_data set-config "ALLOW_USERS=www_admin" SYNC_ACL="yes"
  4. 此时,指定的用户和(或)组便可以使用指定的 Snapper 配置。您可以使用 list 命令对其进行测试,例如:

    www_admin:~ > snapper -c web_data list

7.6 手动创建和管理快照

Snapper 的功能并不仅限于根据配置自动创建和管理快照;您还可以使用命令行工具或 YaST 模块手动创建快照对(前快照和后快照)或单一快照。

所有 Snapper 操作皆针对现有配置执行(有关详细信息,请参见第 7.5 节 “创建并修改 Snapper 配置”)。您可以只为存在配置的分区或卷生成快照。默认情况下使用系统配置 (root)。要为自己的配置创建或管理快照,则需要明确选择您的配置。使用 YaST 中的当前配置下拉框,或在命令行上指定 -c(即 snapper -c 我的配置 命令)。

7.6.1 快照元数据

每一张快照均由快照本身以及一些元数据组成。创建快照时,您还需要指定元数据。修改快照就意味着更改其元数据——您无法修改其内容。使用 snapper list 可显示现有快照及其元数据:

snapper --config home list

列出配置 home 的快照。要列出默认配置 (root) 的快照,请使用 snapper -c root listsnapper list

snapper list -a

列出所有现有配置的快照。

snapper list -t pre-post

列出默认 (root) 配置的所有前快照和后快照对。

snapper list -t single

列出默认 (root) 配置的所有单一类型的快照。

每一张快照可以使用以下元数据:

  • 类型:快照类型,有关详细信息,请参见第 7.6.1.1 节 “快照类型”。不能更改此数据。

  • 编号:快照的唯一编号。不能更改此数据。

  • 前编号:指定相应前快照的编号。仅适用于后类型。不能更改此数据。

  • 说明:快照的说明。

  • 用户数据:扩展的说明。您可使用逗号分隔的“键=值”列表格式指定自定义数据:reason=testing, project=foo。此字段也可用于将快照标记为重要 (important=yes) 以及列出创建快照的用户 (user=tux)。

  • 清理算法:快照的清理算法。有关详细信息,请参见第 7.7 节 “快照的自动清理”

7.6.1.1 快照类型

Snapper 能够分清三种不同类型的快照:前快照、后快照以及单一快照。从物理上讲,这三种快照没有什么不同,但 Snapper 会针对不同类型采用不同的处理方式。

修改的文件系统快照。每个快照对应于一个快照。例如,用于自动创建 YaST/Zypper 快照。

修改的文件系统快照。每个快照对应于一个快照。例如,用于自动创建 YaST/Zypper 快照。

单一

独立的快照。例如,用于每小时自动创建快照。此为创建快照时的默认类型。

7.6.1.2 清理算法

Snapper 提供有三种清理旧快照的算法。这些算法在日常的 cron 作业中执行。您可以定义要在 Snapper 配置中保留的不同类型的快照数(有关细节,请参见第 7.5.1 节 “管理现有配置”)。

数量

当达到某一快照计数时将删除旧快照。

时间线

将删除超过一定时限的旧快照,但保留若干个每小时、每天、每月和每年快照。

无差异前后快照对

将删除无差异的前后快照对。

7.6.2 创建快照

要创建快照,请运行 snapper create,或者在 YaST 模块 Snapper 中单击创建。以下示例解释了如何从命令行创建快照。本文档未明确介绍 Snapper 的 YaST 界面,它所提供的功能相同。

提示
提示:快照说明

为了便于日后确定快照的用途,请始终指定有意义的说明。还可以通过 --userdata 选项指定附加信息。

snapper create --from 17 --description "with package2"

从现有的快照(由 snapper list 返回的快照编号指定)创建独立的快照(单一类型)。(这适用于 Snapper 0.8.4 和更高版本。)

snapper create --description "2014 年第二周快照"

创建默认 (root) 配置的独立快照(单一类型)并附加说明。因为没有指定清理算法,将不会自动删除快照。

snapper --config home create --description "~tux 中清理"

为名为 home 的自定义配置创建独立快照(单一类型)并附加说明。因为没有指定清理算法,将不会自动删除快照。

snapper --config home create --description "每日数据备份" --cleanup-algorithm timeline>

为名为 home 的自定义配置创建独立快照(单一类型)并附加说明。一旦符合为配置中的时间线清理算法指定的条件,便会自动删除快照。

snapper create --type pre--print-number--description "Apache 配置清理之前"--userdata "important=yes"

创建类型的快照并打印快照编号。创建用于保存之前之后状态的快照对所需的首个命令。该快照标记为重要。

snapper create --type post--pre-number 30--description "Apache 配置清理之后"--userdata "important=yes"

创建类型的快照且其对应的快照编号为 30。创建用于保存之前之后状态的快照对所需的第二个命令。该快照标记为重要。

snapper create --command COMMAND--description "命令前后"

运行命令前后自动创建快照对。此选项仅在于命令行上使用 snapper 时可用。

7.6.3 修改快照元数据

Snapper 允许您修改说明、清理算法及快照的用户数据。其他元数据均无法更改。以下示例解释了如何从命令行修改快照。使用 YaST 界面会比较简单。

要在命令行上修改快照,您需要知道其编号。使用 snapper list 可显示所有快照及其编号。

YaST 的 Snapper 模块已列出所有快照。从列表中选择一个快照,然后单击修改

snapper modify --cleanup-algorithm "timeline" 10

修改默认 (root) 配置的第 10 张快照的元数据。清理算法设置为 timeline

snapper --config home modify --description "每日备份" -cleanup-algorithm "timeline"120

修改名为 home 的自定义配置的第 120 张快照的元数据。将设置新的说明并取消设置清理算法。

7.6.4 删除快照

要使用 YaST 的 Snapper 模块删除快照,请从列表中选择快照,然后单击删除

要使用命令行工具删除快照,需要知道其编号。运行 snapper list 命令获取快照编号。要删除快照,请运行 snapper delete 编号

不允许删除当前的默认子卷快照。

使用 Snapper 删除快照时,在后台运行的 Btrfs 进程将会回收释放的空间。因此,可用空间的可见性与可用性会延迟。如果您希望在删除快照后立即可以使用释放的空间,请结合选项 --sync 使用 delete 命令。

提示
提示:删除快照对

删除快照时,您应始终删除与其对应的快照(反之亦然)。

snapper delete 65

删除默认 (root) 配置的第 65 张快照。

snapper -c home delete 89 90

删除名为 home 的自定义配置的第 89 张和第 90 张快照。

snapper delete --sync 23

删除默认 (root) 配置的快照 23,并使释放的空间立即可用。

提示
提示:删除未参照的快照

有时,虽然 Btrfs 快照存在,但却缺少包含 Snapper 元数据的 XML 文件。这种情况表示快照对 Snapper 不可见,需要手动将其删除:

btrfs subvolume delete /.snapshots/SNAPSHOTNUMBER/snapshot
rm -rf /.snapshots/SNAPSHOTNUMBER
提示
提示:旧快照占用的磁盘空间更多

如果您要删除快照以释放硬盘上的空间,请务必先删除旧快照。快照生成的时间越长,其占用的空间就越大。

也可以通过日常的 cron 作业自动删除快照。有关细节,请参考第 7.6.1.2 节 “清理算法”

7.7 快照的自动清理

快照会占用磁盘空间,随着时间的推移,快照占用的磁盘空间可能会变得非常多。为了防止磁盘上的空间耗尽,Snapper 提供了用于自动删除旧快照的算法。这些算法根据时间线快照和编号快照(管理快照与安装快照对)而有所不同。您可以指定要为每种类型保留的快照数。

除此之外,您可以选择指定一个磁盘空间定额,用于定义快照可占用的最大磁盘空间大小。系统还可以自动删除前快照与后快照没有任何不同的快照对。

清理算法始终绑定到单个 Snapper 配置,因此您需要为每个配置指定算法。要防止自动删除特定的快照,请参见 可以防止删除快照吗?

默认设置 (root) 配置为清理编号快照以及空的前快照与后快照对。已启用定额支持 - 快照占用的空间不可超过根分区可用磁盘空间的 50%。时间线快照默认处于禁用状态,因此,时间线清理算法也处于禁用状态。

7.7.1 清理编号快照

编号快照(管理快照与安装快照对)的清理由 Snapper 配置的以下参数控制。

NUMBER_CLEANUP

启用或禁用安装快照与管理快照对的清理。如果启用该参数,则当快照总数超过 NUMBER_LIMIT 和/或 NUMBER_LIMIT_IMPORTANT 指定的数字以及 NUMBER_MIN_AGE 指定的时限时,将删除快照对。有效值:yes(启用)、no(禁用)。

默认值为 "yes"

用于更改或设置值的示例命令:

tux > sudo snapper -c CONFIG set-config "NUMBER_CLEANUP=no"
NUMBER_LIMIT / NUMBER_LIMIT_IMPORTANT

定义要保留多少个普通和/或重要安装快照与管理快照对。如果 NUMBER_CLEANUP 设置为 "no",则会忽略此参数。

NUMBER_LIMIT 的默认值为 "2-10"NUMBER_LIMIT_IMPORTANT 的默认值为 "4-10"。该清理算法会删除超出指定最大值的快照,而不考虑快照和文件系统空间。该算法还会删除超出最小值的快照,直到达到快照和文件系统数量限制。

用于更改或设置值的示例命令:

tux > sudo snapper -c CONFIG set-config "NUMBER_LIMIT=10"
重要
重要:范围值与常量值的比较

如果启用定额支持(请参见第 7.7.5 节 “添加磁盘定额支持”),则需要将限制指定为最小值-最大值范围,例如 2-10。如果禁用定额支持,则需要提供常量值,例如 10,否则清理将会失败并返回错误。

NUMBER_MIN_AGE

定义快照在自动删除前必须保留的最小时限(以秒为单位)。保留时间小于此处指定值的快照不会删除,不管这样的快照有多少。

默认值为 "1800"

用于更改或设置值的示例命令:

tux > sudo snapper -c CONFIG set-config "NUMBER_MIN_AGE=864000"
注意
注意:限制和时限

NUMBER_LIMITNUMBER_LIMIT_IMPORTANTNUMBER_MIN_AGE 始终都会评估。只有同时符合全部条件才会删除快照。

如果您希望不考虑时限而始终保留 NUMBER_LIMIT* 所定义数量的快照,可将 NUMBER_MIN_AGE 设置为 0

下面的示例显示了保留最近 10 个重要和 10 个普通快照(不论保留期限)的配置:

NUMBER_CLEANUP=yes
NUMBER_LIMIT_IMPORTANT=10
NUMBER_LIMIT=10
NUMBER_MIN_AGE=0

另外,如果不想保留超过一定时限的快照,可将 NUMBER_LIMIT* 设置为 0,并用 NUMBER_MIN_AGE 指定时限。

下面的示例显示了只保留十天以内的快照的配置:

NUMBER_CLEANUP=yes
NUMBER_LIMIT_IMPORTANT=0
NUMBER_LIMIT=0
NUMBER_MIN_AGE=864000

7.7.2 清理时间线快照

时间线快照的清理由 Snapper 配置的以下参数控制。

TIMELINE_CLEANUP

启用或禁用时间线快照的清理。如果启用该参数,则当快照总数超过 TIMELINE_LIMIT_* 指定的数字以及 TIMELINE_MIN_AGE 指定的时限时,将删除快照。有效值:yesno.

默认值为 "yes"

用于更改或设置值的示例命令:

tux > sudo snapper -c CONFIG set-config "TIMELINE_CLEANUP=yes"
TIMELINE_LIMIT_DAILYTIMELINE_LIMIT_HOURLYTIMELINE_LIMIT_MONTHLYTIMELINE_LIMIT_WEEKLYTIMELINE_LIMIT_YEARLY

按小时、天、月、周和年保留的快照数量。

每项的默认值为 "10",但 TIMELINE_LIMIT_WEEKLY 除外,该参数默认设置为 "0"

TIMELINE_MIN_AGE

定义快照在自动删除前必须保留的最小时限(以秒为单位)。

默认值为 "1800"

例 7.1︰ 时间线配置示例
TIMELINE_CLEANUP="yes"
TIMELINE_CREATE="yes"
TIMELINE_LIMIT_DAILY="7"
TIMELINE_LIMIT_HOURLY="24"
TIMELINE_LIMIT_MONTHLY="12"
TIMELINE_LIMIT_WEEKLY="4"
TIMELINE_LIMIT_YEARLY="2"
TIMELINE_MIN_AGE="1800"

此示例配置能够实现按小时生成将自动清理的快照。TIMELINE_MIN_AGETIMELINE_LIMIT_* 始终会一起评估。在本示例中,快照删除前的最小保留时限设置为 30 分钟(1800 秒)。因为我们会每小时创建一次快照,所以确保了只会保留最近的快照。如果 TIMELINE_LIMIT_DAILY 设置为非零值,则表示还会保留当天的首张快照。

保留的快照
  • 每小时:最近创建的 24 个快照。

  • 每天:保留最近 7 天内每天创建的首个快照。

  • 每月:保留最近 12 个月内每月的最后一天创建的首个快照。

  • 每周:保留最近 4 周内每周最后一天创建的首个快照。

  • 每年:保留最近 2 年内每年最后一天创建的首个快照。

7.7.3 清理无差异的快照对

第 7.1.2 节 “快照类型”中所述,每当您运行 YaST 模块或执行 Zypper 时,将在启动时创建一个前快照,在退出时创建一个后快照。如果您未进行过任何更改,则前快照与后快照没有差异。在 Snapper 配置中设置以下参数可自动删除此类快照对:

EMPTY_PRE_POST_CLEANUP

如果设置为 yes,系统会删除前后快照相同的快照对。

默认值为 "yes"

EMPTY_PRE_POST_MIN_AGE

定义前后快照相同的快照对在自动删除之前必须保留的最短时限(以秒为单位)。

默认值为 "1800"

7.7.4 清理手动创建的快照

Snapper 未针对手动创建的快照提供自定义清理算法。但是,您可以向手动创建的快照指派 number 或 timeline 清理算法。如此,该快照将加入您所指定的算法的清理队列。可以在创建快照时或通过修改现有快照来指定清理算法:

snapper create --description "Test" --cleanup-algorithm number

为默认 (root) 配置创建独立快照(单一类型)并指派 number 清理算法。

snapper modify --cleanup-algorithm "timeline" 25

使用数字 25 修改快照,并指派 timeline 清理算法。

7.7.5 添加磁盘定额支持

除了上述 number 和/或 timeline 清理算法外,Snapper 还支持定额。您可以定义允许快照占用的可用空间百分比。此百分比值始终适用于相应 Snapper 配置中定义的 Btrfs 子卷。

Btrfs 定额将应用到子卷,而非应用到用户。除了使用 Btrfs 定额之外,还可以将磁盘空间定额应用到用户和组(例如,使用 quota 命令)。

如果在安装期间启用了 Snapper,则会自动启用定额支持。如果您是在安装后的某个时间手动启用 Snapper 的,则可以通过运行 snapper setup-quota 来启用定额支持。这需要您具有有效的配置(有关详细信息,请参见第 7.5 节 “创建并修改 Snapper 配置”)。

定额支持由 Snapper 配置的以下参数控制。

QGROUP

Snapper 使用的 Btrfs 定额组。如果未设置,请运行 snapper setup-quota。如果已设置,则仅在您熟悉 man 8 btrfs-qgroup 的情况下才可对其进行更改。此值是使用 snapper setup-quota 设置的,不应更改。

SPACE_LIMIT

允许快照使用的空间限制,以 1 (100%) 的分数表示。有效值范围为 0 到 1(0.1 = 10%,0.2 = 20%...)。

需遵守以下限制和指导原则:

  • 只能在已激活现有 number 和/或 timeline 清理算法的前提下才能激活定额。如果未激活任何清理算法,则无法应用定额限制。

  • 启用定额支持后,Snapper 将根据需要执行两轮清理。第一轮清理将应用针对编号快照和时间线快照指定的规则。仅当完成这一轮清理后超出定额时,在第二轮清理中才会应用定额特定的规则。

  • 即使启用了定额支持,Snapper 也始终会保留 NUMBER_LIMIT*TIMELINE_LIMIT* 值指定的快照数,而不管是否超出了定额。因此,建议为 NUMBER_LIMIT*TIMELINE_LIMIT* 指定范围值 (MIN-MAX),以确保可以应用定额。

    例如,如果设置了 NUMBER_LIMIT=5-20,Snapper 将执行第一轮清理,并将普通的编号快照数量减至 20 个。如果这 20 个快照超出定额,Snapper 将在第二轮清理中删除最旧的快照,直到符合定额限制。系统始终会至少保留 5 个快照,不管这些快照占用了多少空间。

7.8 显示快照使用的独占磁盘空间

快照会共享数据以有效利用储存空间,因此,使用 dudf 等普通命令无法准确度量已用的磁盘空间。想要在启用了定额的 Btrfs 上释放磁盘空间,需要知道每个快照使用的独占磁盘空间量,而不是共享的空间量。Snapper 0.6 和更高版本会在 Used Space 列中报告每个快照使用的磁盘空间:

root # snapper--iso list
  # | Type   | Pre # | Date                | User | Used Space | Cleanup | Description           | Userdata     
----+--------+-------+---------------------+------+------------+---------+-----------------------+--------------
 0  | single |       |                     | root |            |         | current               |              
 1* | single |       | 2019-07-22 13:08:38 | root |  16.00 KiB |         | first root filesystem |              
 2  | single |       | 2019-07-22 14:21:05 | root |  14.23 MiB | number  | after installation    | important=yes
 3  | pre    |       | 2019-07-22 14:26:03 | root | 144.00 KiB | number  | zypp(zypper)          | important=no 
 4  | post   |     3 | 2019-07-22 14:26:04 | root | 112.00 KiB | number  |                       | important=no 
 5  | pre    |       | 2019-07-23 08:19:36 | root | 128.00 KiB | number  | zypp(zypper)          | important=no 
 6  | post   |     5 | 2019-07-23 08:19:43 | root |  80.00 KiB | number  |                       | important=no 
 7  | pre    |       | 2019-07-23 08:20:50 | root | 256.00 KiB | number  | yast sw_single        |              
 8  | pre    |       | 2019-07-23 08:23:22 | root | 112.00 KiB | number  | zypp(ruby.ruby2.5)    | important=no 
 9  | post   |     8 | 2019-07-23 08:23:35 | root |  64.00 KiB | number  |                       | important=no 
10  | post   |     7 | 2019-07-23 08:24:05 | root |  16.00 KiB | number  |                       |

btrfs 命令提供快照已使用空间的另一种视图:

root # btrfs qgroup show -p /
qgroupid         rfer         excl parent  
--------         ----         ---- ------  
0/5          16.00KiB     16.00KiB ---     
[...]    
0/272         3.09GiB     14.23MiB 1/0     
0/273         3.11GiB    144.00KiB 1/0     
0/274         3.11GiB    112.00KiB 1/0     
0/275         3.11GiB    128.00KiB 1/0     
0/276         3.11GiB     80.00KiB 1/0     
0/277         3.11GiB    256.00KiB 1/0     
0/278         3.11GiB    112.00KiB 1/0     
0/279         3.12GiB     64.00KiB 1/0     
0/280         3.12GiB     16.00KiB 1/0     
1/0           3.33GiB    222.95MiB ---

qgroupid 列显示每个子卷的标识号,并指派 qgroup 级别/ID 的组合。

rfer 列显示子卷中引用的数据总量。

excl 列显示每个子卷中的独占数据。

parent 列显示子卷的父 qgroup。

最后一个项目 1/0 显示父 qgroup 的总计。在上面的示例中,如果去除所有子卷,将释放 222.95 MiB 空间。运行以下命令查看与每个子卷关联的快照:

root # btrfs subvolume list -st /
ID	gen	top level	path	
--	---	---------	----	
267	298	266		@/.snapshots/1/snapshot
272	159	266		@/.snapshots/2/snapshot
273	170	266		@/.snapshots/3/snapshot
274	171	266		@/.snapshots/4/snapshot
275	287	266		@/.snapshots/5/snapshot
276	288	266		@/.snapshots/6/snapshot
277	292	266		@/.snapshots/7/snapshot
278	296	266		@/.snapshots/8/snapshot
279	297	266		@/.snapshots/9/snapshot
280	298	266		@/.snapshots/10/snapshot

将一个服务包升级到另一个服务包会导致快照占用系统子卷上的大量磁盘空间。因此对于不再需要的快照,建议手动删除。有关详细信息,请参见 第 7.6.4 节 “删除快照”

7.9 常见问题解答

问: 为何 Snapper 从不显示 /var/log/tmp 和其他目录中的更改?

因为我们将部分目录排除在了快照之外。详细的列表和具体原因请参见第 7.1.3 节 “从快照中排除的目录”。为了将路径从快照中排除,我们为该路径创建了子卷。

问: 我可以从引导加载程序引导快照吗?

可以。有关细节,请参考第 7.3 节 “通过从快照引导来执行系统回滚”

问: 可以防止删除快照吗?

目前,Snapper 尚无防止手动删除快照的功能。不过,您可以防止清理算法自动删除快照。除非您使用 --cleanup-algorithm 指定了清理算法,否则不会为手动创建的快照(请参见第 7.6.2 节 “创建快照”)指派清理算法。自动创建的快照始终会被指派 numbertimeline 算法。要从一个或多个快照去除此类指派,请执行以下操作:

  1. 列出所有可用快照:

    tux > sudo snapper list -a
  2. 记住您要防止删除的快照数。

  3. 运行以下命令并将数字占位符替换为您记住的数字:

    tux > sudo snapper modify --cleanup-algorithm "" #1 #2 #n
  4. 再次运行 snapper list -a 检查结果。在 Cleanup 列中,您修改的快照所对应的项现在应该为空。

问: 何处能获得有关 Snapper 的详细信息?

请访问 Snapper 的主页,网址为:http://snapper.io/

8 使用 KLP 的在线内核增补

本文档介绍内核在线增补 (KLP) 技术的基本原理,并提供 SLE Live Patching 服务的使用准则。

KLP 让您无需重引导便可应用 Linux 内核的最新安全性更新。如此可最大限度地提高系统正常运行时间和可用性,这对于任务关键型系统而言尤为重要。

本文档中提供的信息与 AMD64/Intel 64、POWER 和 IBM Z 体系结构相关。Xen 超级管理程序支持 KLP。

8.1 内核在线增补的优势

KLP 提供了多项优势。

  • 对于需获得或维护特定合规认证的组织而言,确保大量服务器自动保持最新状态至关重要。KLP 可在帮助实现合规的同时,减少对费用高昂的维护期的需求。

  • 签订了服务级别协议合同的公司必须保证其系统可用性和正常运行时间达到特定的级别。在线增补可在不产生停机时间的情况下增补系统。

  • 由于 KLP 是标准系统更新机制的一部分,因此无需专门培训或引入复杂的维护例程。

8.2 内核在线增补概述

内核在线补丁通过内含经过修改的代码的软件包提供,此类软件包与主内核软件包不同。在线补丁具有累积性,因此最新的补丁包含内核软件包先前补丁的所有修复。每个内核在线软件包都与为其发布的确切内核修订版关联。每新增一个修复,在线补丁软件包版本号都会相应增加。

重要
重要:在线补丁与内核更新

在线补丁仅包含关键修复,不会替代常规的内核更新,后者需要重引导系统。可以将在线补丁视为在执行适当的内核更新和重引导前用于暂时保护内核的措施。

下图阐述了在线补丁与内核更新之间的总体关系。使用 klp -v patches 命令可以查看当前有效的在线补丁所解决的 CVE 列表和缺陷报告。

Image

您可以安装多个版本的内核软件包及其在线补丁。这些软件包不会冲突。您可以为正在运行的内核安装更新的内核软件包及在线补丁。在此情况下,您可能会收到重引导系统的提示。订阅了 SLE Live Patching 的用户有权获享技术支持,只要正在运行的内核存在在线补丁更新(请参见第 8.5.1 节 “检查在线补丁的失效日期”)。

激活 KLP 后,每个内核更新都会附带在线补丁软件包。此在线补丁不包含任何修复,而是充当相应内核未来在线补丁的种子。这些空种子补丁称为初始补丁

8.2.1 内核在线增补范围

SLE Live Patching 的增补范围包括 SUSE 通用漏洞评分系统(CVSS;SUSE CVSS 基于 CVSS v3.0 系统开发)7 级以上系统稳定或数据损害相关漏洞和 bug 修复。但从技术上而言,为属于指定类别的所有修复都创建在线补丁可能并不现实。因此,SUSE 保留在因技术原因而无法创建内核在线补丁的情况下跳过相应修复的权利。目前超过 95% 的合格修复都是以在线补丁的形式发布的。有关 CVSS(SUSE CVSS 评分基础)的详细信息,请参见 Common Vulnerability Scoring System SIG

8.2.2 内核在线增补局限性

KLP 涉及替换功能和妥善处理相互依赖的功能集的替换。这通过将旧代码调用重定向到不同内存位置的更新代码来完成。数据结构的变化使情况变得更加复杂,因为数据会保持原状,无法扩展或重新解译。尽管使用某些技术可以间接更改数据结构,但有些修复无法转换为在线补丁。在此情况下,只能通过系统重启动来应用修复。

8.3 使用 YaST 激活内核在线增补

要在您的系统上激活 KLP,您需要拥有有效的 SLES 和 SLE Live Patching 订阅。请访问 SUSE Customer Center 检查您的订阅的状态,并获取 SLE Live Patching 订阅的注册代码。

要在您的系统上激活内核在线增补,请执行以下步骤:

  1. 运行 yast2 registration 命令并单击选择扩展

  2. 在可用扩展列表中选择 SUSE Linux Enterprise Live Patching 15,然后单击下一步

  3. 确认许可条款并单击下一步

  4. 输入您的 SLE Live Patching 注册代码并单击下一步

  5. 检查安装摘要和选定的模式。系统应该会自动选择安装在线增补SLE Live Patching 生命周期数据模式以及一些其他软件包以满足依赖关系。

  6. 单击接受完成安装。这样将会在您的系统上安装基础内核在线增补组件、初始在线补丁,以及所需的依赖项。

8.4 从命令行激活内核在线增补

要激活内核在线增补,您需要拥有有效的 SLES 和 SLE Live Patching 订阅。请访问 SUSE Customer Center 查看您的订阅的状态,并获取 SLES Live Patching 订阅的注册代码。

  1. 运行 sudo SUSEConnect --list-extensions。请记住 SLES Live Patching 的确切激活命令。示例命令输出(缩略版):

    $ SUSEConnect --list-extensions
    ...
    SUSE Linux Enterprise Live Patching 15 SP3 x86_64
    Activate with: SUSEConnect -p sle-module-live-patching/15.3/x86_64 \
      -r ADDITIONAL REGCODE
  2. 使用获得的命令后跟 -r LIVE_PATCHING_REGISTRATION_CODE 激活 SLES Live Patching,例如:

    SUSEConnect -p sle-module-live-patching/15.3/x86_64 \
      -r LIVE_PATCHING_REGISTRATION_CODE
  3. 使用 zypper install -t pattern lp_sles 命令安装所需的软件包和依赖项。

至此,系统已完成在线增补。

后台进行的过程如下:当软件包安装系统检测到某个安装的内核可以在线增补,并且软件通道中存在相应的在线补丁时,系统会选择安装该在线补丁。然后内核会在软件包安装过程中接收到在线补丁修复。在产品安装完成前,内核就会进行在线增补。

8.5 执行内核在线增补

内核在线补丁是在常规的系统更新过程中安装的。但您应了解以下几点。

  • 如果已为正在运行的内核安装 kernel-livepatch-* 软件包,内核会进行在线增补。您可以使用 zypper se --details kernel-livepatch-* 命令来检查您的系统上安装了哪些内核在线补丁软件包。

  • 如果安装了 kernel-default 软件包,更新管理器会提示您重引导系统。为避免此消息显示,您可以将内核更新从增补操作中筛除。这可以通过使用 Zypper 添加软件包锁来实现。SUSE Manager 还可让您过滤通道内容(请参见使用 SUSE Manager 进行在线增补)。

  • 您可以使用 klp status 命令检查增补状态。要检查安装的补丁,请运行 klp -v patches 命令。

  • 请记住,虽然系统上可能会安装多个内核软件包,但任何时间只有一个软件包在运行。同样,虽然系统上可能会安装多个在线补丁软件包,但只有一个在线补丁会装载到内核中。

  • 有效的在线补丁包含在 initrd 中。这表示如果发生了意外重引导,系统启动时会应用在线补丁修复,因此不需要再次执行增补。

8.5.1 检查在线补丁的失效日期

确保 lifecycle-data-sle-module-live-patching 已安装,然后运行 zypper lifecycle 命令。在输出的 Package end of support if different from product 部分应该可以看到在线补丁的失效日期。

每个在线补丁自底层内核软件包发布起一年内都会收到更新。您可以使用维护的内核、补丁更新和生命周期页面根据运行的内核版本查看失效日期,无需安装产品扩展。

8.6 内核在线增补问题查错

8.6.1 手动降级补丁

如果您发现了最新的在线补丁有问题,可以将当前安装的在线补丁降级回之前的版本。我们建议在系统开始显现出问题前执行补丁降级。请注意,在系统日志中跟踪内核警告或内核错误的系统可能不适合使用补丁降级过程。如果您不确定系统是否满足补丁降级的要求,请联系 SUSE 技术支持部门获得帮助。

过程 8.1︰ 手动降级补丁
  1. 使用 klp -v patches 命令确定正在运行的在线补丁。以 RPM: 开头的行中显示的就是当前正在运行的补丁。例如:

    RPM: kernel-livepatch-5_3_18-24_29-default-2-2.1.x86_64

    上例中的 5_3_18-24_29-default 指的就是正在运行的内核版本。

  2. 使用 zypper search -s kernel-livepatch-RUNNING_KERNEL_VERSION-default 命令搜索补丁的先前版本。该命令会返回可用软件包版本列表。请注意,每个新在线补丁软件包发行版的版本号会加 1。请务必选择版本号低于当前版本号的发行版。

  3. 使用 zypper in --oldpackage kernel-livepatch-RUNNING_KERNEL_VERSION-default=DESIRED_VERSION 命令安装所需的版本。

9 事务更新

事务更新在 SUSE Linux Enterprise Server 中以技术预览形式提供,当根文件系统为只读时,可使用技术更新来更新 SLES。事务更新具有原子性(仅当所有更新都成功时,才会应用所有更新),且支持回滚。它不影响正在运行的系统,因为只有在重引导系统后,才会激活更改。由于重引导是中断性的操作,管理员必须确定重引导的开销是否高于中断运行中服务的开销。如果重引导的开销过高,则不要使用事务更新。

事务更新由 transactional-update 脚本每天运行。该脚本将检查可用的更新。如果存在任何更新,则它会在后台创建根文件系统的新快照,然后从发布渠道提取更新。完全更新新快照后,该快照将标记为活动快照,并在下一次重引导系统后,成为新的默认根文件系统。当 transactional-update 设置为自动运行(默认行为)时,该脚本还会重引导系统。更新运行时间以及重引导维护时段均可配置。

只能更新属于根文件系统快照的软件包。如果软件包中包含不属于该快照的文件,更新可能会失败或中断系统。

无法更新需要接受许可证的 RPM。

9.1 技术预览的限制

技术预览的功能存在某些限制。transactional-update 对于以下软件包不起作用:

  • 另一方面, nginx 默认的 index.html 页可能不可用

  • tomcat-webappstomcat-admin-webapps

  • phpMyAdmin

  • sca-appliance-*

  • mpi-selector

  • emacs 可正常工作(Emacs 游戏除外)

  • 联结bind-chrootenv

  • docbook*

  • sblim-sfcb*

  • texlive*

  • iso_ent

  • openjade

  • opensp

  • pcp

  • plymouth

  • postgresql-server-10

  • pulseaudio-gdm-hooks

  • smartmontools

系统安装程序的更新程序组件不适用于只读文件系统,因为此类文件系统不支持事务更新。

其他注意事项:

  • 一般情况下,最好在更新系统之后尽早重引导计算机。

  • 每次只能应用一项更新。在应用一项更新之后到应用下一项更新之前,请务必重引导。

  • 在事务更新之后直到将计算机重引导,都不应运行 update-alternatives

  • 在事务更新之后直到重引导,都不要创建新的系统用户或系统组。允许创建普通用户和组(UID > 1000,GID > 1000)。

  • YaST 尚不能识别事务更新。如果 YaST 模块需要安装额外的软件包,此操作将无法正常执行。而只是修改 /etc 中配置文件的常规系统操作可正常进行。

  • 对于 php7-fastcgi,必须手动创建指向 /usr/bin/php-cgi 的符号链接 /srv/www/cgi-bin/php

  • ntp是要从早期 SLES 版本迁移的 Legacy 模块的一部分。它在新的 SUSE Linux Enterprise Server 安装中不再受支持,且已替换为 chrony。如果您继续使用 ntp,需要进行全新安装才能正常使用事务更新。

  • sblim-sfcb:整个 sblim 生态系统与事务更新不兼容。

  • btrfs-defrag(来自 btrfsmaintenance 软件包)不适用于只读根文件系统。

  • 对于 btrfs-balance/etc/sysconfig/btrfsmaintenance 中的变量 BTRFS_BALANCE_MOUNTPOINTS 必须从 / 更改为 /.snapshots

  • 对于 btrfs-scrub/etc/sysconfig/btrfsmaintenance 中的变量 BTRFS_SCRUB_MOUNTPOINTS 必须从 / 更改为 /.snapshots

9.2 启用 transactional-update

必须在系统安装期间启用 Transactional Server 模块,然后选择 Transactional Server 系统角色。不支持稍后再于正在运行的系统中从 Transactional Server 模块安装任何软件包,此操作可能会使系统中断。

请注意,不支持更改根分区的子卷布局,或者将根分区的子目录或子卷放到其各自的分区中(/home/var/srv/opt 除外),此类操作很可能会使系统中断。

9.3 管理自动更新

自动更新由每天运行一次的 systemd.timer 控制。此操作会应用所有更新,并告知 rebootmgrd 应重引导计算机。您可以调整更新运行时间,具体请参见“systemd.timer(5)”。要调整维护时段(即 rebootmgrd 重引导系统的时间),请参见“rebootmgrd(8)”。

您可以使用以下命令禁用自动事务更新:

root # systemctl --now disable transactional-update.timer

9.4 transactional-update 命令

transactional-update 命令会启用更新的原子性安装或去除,即仅当所有更新都可以成功安装时,才会应用这些更新。在应用更新之前,transactional-update 会创建系统的快照,您可以恢复此快照。重引导后,所有更改才会生效。

--continue

可使用 --continue 选项对现有快照进行多次更改,而无需重引导。

默认的 transactional-update 行为是从当前根文件系统创建新快照。如果您忘记了某项操作,例如,忘记了安装某个新软件包,必须重引导来应用先前的更改,然后再次运行 transactional-update 以安装忘记安装的软件包,并再次重引导。不能在未进行重引导的情况下多次运行 transactional-update 命令来向快照添加更多更改,因为这样做只会创建多个独立的快照,这些快照并不会包含先前快照中的更改。

您可使用 --continue 选项在不重引导的情况下,进行任意次数的更改。每次会创建一个独立的快照,且每个快照都包含您在先前快照中进行的所有更改以及新的更改。视需要重复此过程任意次数,当最终快照包含所需的所有更改时,再重引导系统,然后最终快照便会成为新的根文件系统。

--continue 选项的另一个有用功能是,可让您选择任一现有快照作为新快照的基础快照。以下示例演示如何运行 transactional-update 在基于快照 13 的某个快照中安装新软件包,然后再次运行该命令来安装另一个软件包:

root # transactional-update pkg install package_1
root # transactional-update --continue 13 pkg install package_2

--continue [num] 选项会调用 snapper create --from,请参见第 7.6.2 节 “创建快照”

cleanup

如果当前根文件系统与活动的根文件系统为同一个(在重引导之后,transactional-update 创建包含更新的新快照之前),将为没有清理算法的所有旧快照设置一个清理算法。如此可确保 Snapper 会删除旧快照(请参见“snapper(8)”中有关清理算法的章节)。此操作还会去除 /var/lib/overlay 中所有未引用的(因此也未使用)/etc 覆盖目录:

root # transactional-update cleanup
pkg in/install

使用 zypper install 命令从可用渠道安装单个软件包。此命令还可用于安装程序临时修复 (PTF) RPM 文件。

root # transactional-update pkg install package_name

root # transactional-update pkg install rpm1 rpm2
pkg rm/remove

使用 zypper remove 命令从活动快照中去除单个软件包。此命令还可用于去除 PTF RPM 文件。

root # transactional-update pkg remove package_name
pkg up/update

使用 zypper update 命令更新活动快照中的单个软件包。只能更新属于基础文件系统快照的软件包。

root # transactional-update pkg remove package_name
up/update

如果有新的可用更新,将会创建一个新快照,并使用 zypper up/update 更新该快照。

root # transactional-update up
dup

如果有新的可用更新,将会创建一个新快照,并使用 zypper dup –no-allow-vendor-change 更新该快照。然后,该快照将会激活,并在重引导后成为新的根文件系统。

root # transactional-update dup
patch

如果有新的可用更新,将会创建一个新快照,并使用 zypper patch 更新该快照。

root # transactional-update patch
rollback

此选项会设置默认子卷。在使用读/写文件系统的系统上可调用 snapper rollback。在只读文件系统上,如果未提供任何参数,当前系统将设置为新的默认根文件系统。如果您指定了编号,则该快照将用作默认的根文件系统。在只读文件系统上,不会创建任何额外快照。

root # transactional-update rollback snapshot_number
grub.cfg

此参数会创建新的 GRUB2 配置。有时需要调整引导配置,例如,添加额外的内核参数。编辑 /etc/default/grub,运行 transactional-update grub.cfg,然后重引导以激活更改。您必须立即重引导,否则,下一次运行 transactional-update 时会使用默认值重写新的 GRUB2 配置。

root # transactional-update grub.cfg
reboot

此参数在完成操作后会触发重引导。

root # transactional-update dup reboot
--help

此时会输出包含选项和子命令的帮助屏幕。

root # transactional-update --help

9.5 查错

如果升级失败,请运行 supportconfig 来收集日志数据。将生成的文件(包括 /var/log/transactional-update.log)提供给 SUSE 支持人员。

10 使用 VNC 的远程图形会话

利用虚拟网络计算 (VNC) 可以通过图形桌面来访问远程计算机,并运行远程图形应用程序。VNC 与平台无关,可以从任何操作系统访问远程计算机。本章介绍如何使用桌面客户端 vncviewer 和 Remmina 连接到 VNC 服务器,以及如何操作 VNC 服务器。

SUSE Linux Enterprise Server 支持两种不同种类的 VNC 会话:自客户端启动起在 VNC 连接期间在线的一次性会话和始终在线直到被明确终止的永久会话。

VNC 服务器可在不同端口上同时提供两种会话,但打开的会话不能从一种类型转换为另一种类型。

10.1 vncviewer 客户端

要连接到服务器提供的 VNC 服务,需要使用客户端。SUSE Linux Enterprise Server 中的默认客户端是 tigervnc 软件包提供的 vncviewer

10.1.1 使用 vncviewer CLI 进行连接

要启动 VNC 查看器并发起与服务器的会话,请使用以下命令:

tux > vncviewer jupiter.example.com:1

若不使用 VNC 显示器编号,您也可以指定带两个冒号的端口号:

tux > vncviewer jupiter.example.com::5901
注意
注意:显示号和端口号

您在 VNC 客户端中指定的实际显示号或端口号必须与在目标计算机上通过 vncserver 命令提取的显示号或端口号相同。有关更多信息,请参见第 10.4 节 “配置永久 VNC 服务器会话”

10.1.2 使用 vncviewer GUI 进行连接

在不指定 --listen 或要连接的主机的情况下运行 vncviewer 会显示一个窗口,要求您输入连接细节。按第 10.1.1 节 “使用 vncviewer CLI 进行连接”中所述在 VNC 服务器字段中输入主机,然后单击连接

vncviewer 要求输入连接细节
图 10.1︰ vncviewer

10.1.3 未加密连接通知

VNC 协议支持不同类型的加密连接,请不要将这些连接与口令身份验证相混淆。如果某个连接未使用 TLS,VNC 查看器的窗口标题中可能会出现(连接未加密!)文本。

10.2 Remmina:远程桌面客户端

Remmina 是功能丰富的新式远程桌面客户端。它支持多种访问方法,例如 VNC、SSH、RDP 和 Spice。

10.2.1 安装

要使用 Remmina,请检查系统上是否安装了 remmina 软件包,如未安装,请加以安装。记得还要安装适用于 Remmina 的 VNC 插件:

root # zypper in remmina remmina-plugin-vnc

10.2.2 主窗口

通过输入 remmina 命令运行 Remmina。

Remmina 的主窗口
图 10.2︰ Remmina 的主窗口

该应用程序主窗口显示储存的远程会话列表。在这里,您可以添加和保存新远程会话、快速启动新会话而不保存、启动以前保存的会话,或设置 Remmina 的全局首选项。

10.2.3 添加远程会话

要添加和保存新远程会话,请单击主窗口左上方的 添加新会话远程桌面首选项窗口即会打开。

远程桌面首选项
图 10.3︰ 远程桌面首选项

在用于指定新添加的远程会话配置文件的字段中填写信息。最重要的技术包括:

名称

配置文件的名称,将列于主窗口中。

协议

连接到远程会话时要使用的协议,例如 VNC。

服务器

远程服务器的 IP 或 DNS 地址和显示号。

用户名、口令

要用于进行远程身份验证的身份凭证。保留为空表示不进行身份验证。

色深、质量

根据连接速度和质量选择最佳选项。

选择高级选项卡可输入更具体的设置。

提示
提示:禁用加密

如果客户端与远程服务器之间的通讯不加密,请激活禁用加密,否则连接会失败。

选择 SSH 选项卡可显示高级 SSH 隧道通讯进程和身份验证选项。

单击保存进行确认。新设置的配置文件将列在主窗口中。

10.2.4 启动远程会话

您可以启动以前保存的会话,也可以快速启动一个远程会话而不保存连接细节。

10.2.4.1 快速启动远程会话

要快速启动远程会话而不添加并保存连接细节,请使用主窗口顶部的下拉框和文本框。

快速启动
图 10.4︰ 快速启动

从下拉框中选择通讯协议(例如 VNC),然后输入 VNC 服务器 DNS 或 IP 地址,后跟一个冒号和显示号,然后按 Enter 确认。

10.2.4.2 打开保存的远程会话

要打开特定的远程会话,请从会话列表中双击该会话。

10.2.4.3 远程会话窗口

远程会话会在新窗口的标签中打开。每个标签托管一个会话。窗口左侧的工具栏可用来管理窗口/会话,例如切换全屏模式、调整窗口大小以适应会话的显示大小、将特定按键发送到会话、对会话进行屏幕截图,或设置图像质量。

正在查看远程会话的 Remmina
图 10.5︰ 正在查看远程会话的 Remmina

10.2.5 编辑、复制和删除保存的会话

编辑保存的某个远程会话,请在 Remmina 的主窗口中右键单击其名称,然后选择编辑。有关相关字段的说明,请参见第 10.2.3 节 “添加远程会话”

复制保存的某个远程会话,请在 Remmina 的主窗口中右键单击其名称,然后选择复制。在远程桌面首选项窗口中,更改配置文件的名称,(可选)调整相关选项,然后单击保存确认。

删除保存的某个远程会话,请在 Remmina 的主窗口中右键单击其名称,然后选择删除。在下一个对话框中,单击确认。

10.2.6 从命令行运行远程会话

如果您需要从命令行或使用批处理文件打开远程会话,而不先打开应用程序主窗口,请使用以下语法:

 tux > remmina -c profile_name.remmina

Remmina 的配置文件储存在您主目录下的 .local/share/remmina/ 目录中。要确定哪个配置文件属于您要打开的会话,请运行 Remmina,在主窗口中单击会话名称,然后在窗口底部的状态行中查看配置文件的路径。

读取配置文件的路径
图 10.6︰ 读取配置文件的路径

如果 Remmina 未在运行,您可以将配置文件重命名为更合理的文件名,例如 sle15.remmina。您甚至可以将配置文件复制到自定义目录,并从该目录中使用 remmina -c 命令来运行它。

10.3 在 VNC 服务器上配置一次性会话

一次性会话由远程客户端启动。它在服务器上启动图形登录屏幕。这样您可以选择启动会话的用户,并且如果登录管理器支持,还可以选择桌面环境。终止与此类 VNC 会话的客户端连接时,此会话中启动的所有应用程序也将终止。一次性 VNC 会话不能共享,但可以在一台主机上同时存在多个会话。

过程 10.1︰ 启用一次性 VNC 会话
  1. 启动 YaST ›  网络服务 ›  远程管理 (VNC)

  2. 选中允许远程管理(不含会话管理)

  3. 如果您打算在 Web 浏览器窗口中访问 VNC 会话,请激活允许使用 Web 浏览器访问

  4. 如果需要,还可以选中打开防火墙中的端口(例如,当网络接口配置为在外部区域中时)。如果有多个网络接口,请通过防火墙细节将打开防火墙端口限制为特定的接口。

  5. 单击下一步确认您的设置。

  6. 如果不是所有需要的软件包都可使用,则需要批准安装缺少的软件包。

    提示
    提示:重启动显示管理器

    YaST 对显示管理器设置进行了更改。您需要注销当前图形会话并重启动显示管理器,以使更改生效。

远程管理
图 10.7︰ 远程管理

10.3.1 可用配置

SUSE Linux Enterprise Server 上的默认配置对会话使用 1024x768 像素(颜色深度 16 位)。会话在端口 5901(对于普通VNC 查看器,等同于 VNC 显示器 1)和端口 5801 上可用(对于 Web 浏览器)。

其他配置可在不同端口上使用,请参见第 10.3.3 节 “配置一次性 VNC 会话”

VNC 显示器编号和 X 显示器编号是独立于一次性会话的。VNC 显示器编号手动指派给服务器支持的每个配置(如上例中的 :1)。只要 VNC 会话启动时带任一配置,就会自动获取可用 X 显示器编号。

默认情况下,VNC 客户端与服务器将尝试通过安装后生成的自我签名 SSL 证书安全通讯。您可以使用默认的证书,也可以将它替换为您自己的证书。使用自我签名证书时,需要在首次连接之前,在 VNC 查看器和 Web 浏览器中确认证书的签名。

10.3.2 启动一次性 VNC 会话

要连接一次性 VNC 会话,必须安装 VNC 查看器,另请参见第 10.1 节 “vncviewer 客户端”。或者,可在支持 JavaScript 的 Web 浏览器中输入以下 URL 来查看 VNC 会话:http://jupiter.example.com:5801

10.3.3 配置一次性 VNC 会话

如果不需要或想修改默认配置,则可以跳过此部分。

一次性 VNC 会话通过 systemd 套接字 xvnc.socket 启动。该套接字默认提供六个配置块:三个用于 VNC 查看器(vnc1vnc3),另外三个用于 JavaScript 客户端(vnchttpd1vnchttpd3)。默认情况下,只有 vnc1vnchttpd1 是活动的。

要在引导时激活 VNC 服务器套接字,请运行以下命令:

tux > sudo  systemctl enable xvnc.socket

要立即启动套接字,请运行:

tux > sudo  systemctl start xvnc.socket

Xvnc 服务器可通过 server_args 选项配置。有关选项列表,请参见 Xvnc --help

当添加自定义配置时,请确保它们未使用已由其他配置、其他服务或同一主机上的现有永久 VNC 会话使用的端口。

通过输入以下命令激活配置更改:

tux > sudo systemctl reload xvnc.socket
重要
重要:防火墙和 VNC 端口

按照过程 10.1 “启用一次性 VNC 会话” 中的描述激活远程管理时,端口 58015901 将在防火墙中打开。如果用于 VNC 会话的网络接口受防火墙保护,则为 VNC 会话激活更多端口时,需要手动打开各个端口。有关指导,请参见Book “安全和强化指南”, Chapter 24 “掩蔽和防火墙”

10.4 配置永久 VNC 服务器会话

可以从多个客户端同时访问持续会话。为了便于演示,我们选择一个较为理想的配置,一个客户端具有完全访问权限,所有其他客户端只具有查看访问权限。另一个用例是:教员可能需要在其中访问学员桌面的培训会话。

提示
提示:连接永久 VNC 会话

要连接持续 VNC 会话,必须安装 VNC 查看器。有关更多细节,请参见第 10.1 节 “vncviewer 客户端”。或者,可在支持 JavaScript 的 Web 浏览器中输入以下 URL 来查看 VNC 会话:http://jupiter.example.com:5801

持续 VNC 会话分为以下两类:

10.4.1 使用 vncserver 启动的 VNC 会话

此类型的持续 VNC 会话在服务器上启动。该会话和其上启动的所有应用程序运行时不考虑客户端连接,直到会话被终止。永久会话访问受到两种可用口令类型的保护:

  • 授予完全访问权限的普通口令或

  • 可选仅查看口令,授予非交互(仅查看)访问权限。

一个会话可一次具有两种类型的多个客户端连接。

过程 10.2︰ 使用 vncserver 启动永久 VNC 会话
  1. 打开外壳,确保以拥有 VNC 会话的用户身份登录。

  2. 如果用于 VNC 会话的网络接口受防火墙保护,则需要手动打开防火墙中您的会话所使用的端口。如果启动多个会话,还可以选择打开一个端口范围。有关如何配置防火墙的细节,请参见Book “安全和强化指南”, Chapter 24 “掩蔽和防火墙”

    vncserver 对显示器 :1 使用端口 5901,对显示器 :2 使用端口 5902,依次类推。对于永久会话,VNC 显示器和 X 显示器通常具有相同编号。

  3. 要其他具有 1024x768 像素和颜色深度为 16 的会话,请输入以下命令:

    vncserver -alwaysshared -geometry 1024x768 -depth 16

    vncserver 命令会在您未指定时选取一个未使用的显示编号,并打印输出它的选择。有关更多选项,请参见 man 1 vncserver

当您首次运行 vncserver 时,它会要求您输入一个口令,以获取会话的完全访问权限。如果需要,还可以提供口令用于会话的仅查看访问。

这里提供的口令还用作同一用户将来启动会话的口令。这些口令可以用 vncpasswd 命令更改。

重要
重要:安全注意事项

确保使用长度够长的高强度口令(八个或更多字符)。不要共享这些口令。

要终止会话,请从 VNC 查看器中关闭运行于 VNC 会话内的桌面环境,像您关闭普通本地 X 会话那样关闭它。

如果希望手动终止会话,请在 VNC 服务器上打开外壳并确保您已作为拥有要终止的 VNC 会话的用户登录。运行以下命令来终止在显示器 :1 上运行的会话:vncserver -kill :1

10.4.1.1 配置永久 VNC 会话

通过编辑 $HOME/.vnc/xstartup 可以配置持续 VNC 会话。默认情况下,此外壳脚本会启动它启动时所处的同一个 GUI/窗口管理器。在 SUSE Linux Enterprise Server 中,此 GUI/窗口管理器为 GNOME 或 IceWM。如果要使用您选择的窗口管理器启动会话,请设置变量 WINDOWMANAGER

WINDOWMANAGER=gnome vncserver -geometry 1024x768
WINDOWMANAGER=icewm vncserver -geometry 1024x768
注意
注意:每个用户一种配置

持续 VNC 会话在单个按用户配置中进行配置。由同一个用户启动的多个会话都使用相同的启动文件和口令文件。

10.4.2 使用 vncmanager 启动的 VNC 会话

过程 10.3︰ 启用永久 VNC 会话
  1. 启动 YaST ›  网络服务 ›  远程管理 (VNC)

  2. 激活允许远程管理(含会话管理)

  3. 如果您打算在 Web 浏览器窗口中访问 VNC 会话,请激活允许使用 Web 浏览器访问

  4. 如果需要,还可以选中打开防火墙中的端口(例如,当网络接口配置为在外部区域中时)。如果有多个网络接口,请通过防火墙细节将打开防火墙端口限制为特定的接口。

  5. 单击下一步确认您的设置。

  6. 如果不是所有需要的软件包都可使用,则需要批准安装缺少的软件包。

    提示
    提示:重启动显示管理器

    YaST 对显示管理器设置进行了更改。您需要注销当前图形会话并重启动显示管理器,以使更改生效。

10.4.2.1 配置永久 VNC 会话

过程 10.3 “启用永久 VNC 会话”中所述启用 VNC 会话管理后,便可以使用您喜欢的 VNC 查看器(例如 vncviewer 或 Remmina)正常连接到远程会话。此时将显示登录屏幕。登录后,您桌面环境的系统托盘中将出现“VNC”图标。单击该图标可打开 VNC 会话窗口。如果该图标未出现,或者您的桌面环境不支持图标放在系统托盘中,请手动运行 vncmanager-controller

VNC 会话设置
图 10.8︰ VNC 会话设置

有几个设置会影响 VNC 会话的行为:

非持续,私用

这相当于一次性会话。其他用户将看不到此会话,它在您断开连接后即会终止。有关更多信息,请参考第 10.3 节 “在 VNC 服务器上配置一次性会话”

持续,可见

其他用户可以看见此类会话,它在您断开连接后仍保持运行。

会话名称

您可以在此处指定持续会话的名称,以便在重新连接时可以轻松识别它。

不需要口令

任何人不必使用用户身份凭证登录即可访问会话。

需要用户登录

需要使用有效的用户名和口令登录后才能访问会话。该选项会在允许的用户文本框中列出有效的用户名。

一次允许一个客户端

防止多个用户同时加入该会话。

一次允许多个客户端

允许多个用户同时加入持续会话。适合用于远程演示或培训会话。

单击确定进行确认。

10.4.2.2 加入永久 VNC 会话

第 10.4.2.1 节 “配置永久 VNC 会话”中所述设置持续 VNC 会话后,可通过 VNC 查看器加入它。当 VNC 客户端连接到服务器后,系统将提示您选择是要创建新会话还是加入现有会话:

加入永久 VNC 会话
图 10.9︰ 加入永久 VNC 会话

当您单击现有会话的名称后,系统可能要求您输入登录身份凭证,具体取决于持续会话设置。

10.5 在 VNC 服务器上配置加密

如果 VNC 服务器设置正确,则 VNC 服务器与客户端之间的所有通讯都会被加密。身份验证在会话开始时进行;实际的数据传输在身份验证后开始。

无论是一次性还是持续 VNC 会话,安全性选项都通过 server_args 行中 /usr/bin/Xvnc 命令的 -securitytypes 参数配置。-securitytypes 参数会选择身份验证方法和加密。它的选项如下:

身份验证
None、TLSNone、X509None

无身份验证。

VncAuth、TLSVnc、X509Vnc

身份验证使用自定义口令。

Plain、TLSPlain、X509Plain

身份验证使用 PAM 来验证用户的口令。

加密
None、vncAuth、plain

不加密。

TLSNone、TLSVnc、TLSPlain

匿名 TLS 加密。对所有内容加密,但不校验远程主机。因此,您可以防护被动攻击者,但不能防御中间人攻击者。

X509None、X509Vnc、X509Plain

使用证书进行 TLS 加密。如果使用自我签名证书,则在第一次连接时,系统将要求您校验证书。在以后的连接中,仅当证书有变动时,系统才会向您发出警告。因此,在第一次连接时,您可以防御中间人攻击之外的所有其他攻击(类似于使用典型的 SSH)。如果使用由证书颁发机构签名且与计算机名称匹配的证书,您的安全将得到全面保障(类似于使用典型的 HTTPS)。

提示
提示:证书和密钥的路径

如果使用基于 X509 的加密,需要通过 -X509Cert-X509Key 选项指定 X509 证书和密钥的路径。

如果您选择多种安全性类型(用逗号分隔),将会使用客户端和服务器都支持且允许的第一种安全性。如此,您便可在服务器上配置随机加密。如果您需要支持不支持加密的 VNC 客户端,此功能将十分有用。

在客户端上,您也可以指定允许的安全性类型,以防在您连接到已知启用了加密的服务器时遭到降级攻击(虽然在该情况下,我们的 vncviewer 会发出“连接未加密!”消息来警告您)。

11 使用 RSync 复制文件

当今时代,用户通常都会有数台计算机:家用计算机和办公计算机、笔记本电脑、智能手机或平板电脑。因而,在多个设备之间保持文件和文档同步的任务就变得越发重要。

警告
警告:数据丢失风险

您在开始使用同步工具之前,应该先熟悉其特性和功能。请务必备份您的重要文件。

11.1 概念概述

对于要通过慢速网络连接同步大量数据的情况,Rsync 提供了可靠的方法来只传输文件中的更改。此方法不仅适用于文本文件,还适用于二进制文件。为了检测文件之间的差异,Rsync 将文件分为多个块,并计算它们的校验和。

检测更改对计算能力有一定的要求。因此,请确保两端的计算机均具有足够的资源,包括 RAM。

当需要定期传输大量只包含微小更改的数据时,Rsync 特别有用。进行备份时就常常用到该工具。Rsync 也非常适合用来镜像试验服务器,此类服务器将 Web 服务器的完整目录树储存到 DMZ 内的某台 Web 服务器中。

Rsync 并不是同步工具,虽然它的名字看上去有些像。Rsync 工具一次只能在一个方向复制数据。它不会也不能反向复制数据。如果您需要既能同步源又能同步目标的双向工具,请使用 Csync。

11.2 基本语法

Rsync 是一个命令行工具,基本语法如下:

rsync [OPTION] SOURCE [SOURCE]... DEST

您可以在任何本地或远程计算机上使用 Rsync,前提是您拥有相应的访问权限和写入权限。可以有多个 SOURCE 项。SOURCEDEST 占位符可以是路径和/或 URL。

下面介绍一些最常用的 Rsync 选项:

-v

输出较详细的文本

-a

存档模式;以递归方式复制文件并保留时间戳、用户/组所有权、文件权限和符号链接

-z

压缩传输的数据

注意
注意:尾部斜杠计数

使用 Rsync 时,要特别注意尾部斜杠。目录后面的尾部斜杠表示目录的内容。没有尾部斜杠表示目录本身

11.3 在本地复制文件和目录

下面的说明假设当前用户拥有 /var/backup 目录的写入许可权限。要将单个文件从计算机上的一个目录复制到另一个路径,请使用以下命令:

tux > rsync -avz backup.tar.xz /var/backup/

文件 backup.tar.xz 会复制到 /var/backup/,绝对路径是 /var/backup/backup.tar.xz

请勿忘记在 /var/backup/ 目录后面加上尾部斜杠!如果不插入斜杠,文件 backup.tar.xz 会复制到 /var/backup(文件)中,而不是 /var/backup/ 目录中!

复制目录与复制单个文件相似。下面的示例将目录 tux/ 及其内容复制到 /var/backup/ 目录中:

tux > rsync -avz tux /var/backup/

在绝对路径 /var/backup/tux/ 中可找到副本。

11.4 远程复制文件和目录

两台计算机上都需要有 Rsync 工具。要从远程目录复制文件或将文件复制到远程目录,需要提供 IP 地址或域名。如果本地计算机和远程计算机上当前的用户名相同,则可以不指定用户名。

要使用相同的用户(在本地和远程主机上)将文件 file.tar.xz 从本地主机复制到远程主机 192.168.1.1,请使用以下命令:

tux > rsync -avz file.tar.xz  tux@192.168.1.1:

根据您的个人偏好,也可以使用下面的命令,它们的作用相同:

tux > rsync -avz file.tar.xz 192.168.1.1:~
tux > rsync -avz file.tar.xz 192.168.1.1:/home/tux

在使用标准配置的所有情况下,系统会提示您输入远程用户的通行口令。此命令会将 file.tar.xz 复制到用户 tux 的主目录(通常为 /home/tux)。

远程复制目录与在本地复制目录相似。下面的示例将目录 tux/ 及其内容复制到 192.168.1.1 主机上的远程目录 /var/backup/

tux > rsync -avz tux 192.168.1.1:/var/backup/

假设您在主机 192.168.1.1 上拥有写入许可权限,便可在绝对路径 /var/backup/tux 中找到副本。

11.5 配置和使用 Rsync 服务器

Rsync 可作为在默认端口 873 上侦听传入连接的守护程序 (rsyncd) 运行。此守护程序可以接收复制目标

下面的说明介绍如何在 jupiter 上创建具有备份目标的 Rsync 服务器。此目标可用于储存您的备份。要创建 Rsync 服务器,请执行以下操作:

过程 11.1︰ 设置 Rsync 服务器
  1. 在 jupiter 上,创建用于储存您所有备份文件的目录。在此示例中,我们使用 /var/backup

    root # mkdir /var/backup
  2. 指定所有权。在此示例中,该目录为用户组中的用户 tux 所拥有:

    root # chown tux.users /var/backup
  3. 配置 rsyncd 守护程序。

    我们将配置文件分割成一个主文件,和一些用于存放您的备份目标的模块。如此,以后便可更轻松地添加其他目标。全局值可以储存在 /etc/rsyncd.d/*.inc 文件中,而模块放置在 etc/rsyncd.d/*.conf 文件中:

    1. 创建目录 /etc/rsyncd.d/

      root # mkdir /etc/rsyncd.d/
    2. 在主配置文件 /etc/rsyncd.conf 中,添加以下几行:

      # rsyncd.conf main configuration file
      log file = /var/log/rsync.log
      pid file = /var/lock/rsync.lock
      
      &merge /etc/rsyncd.d 1
      &include /etc/rsyncd.d 2

      1

      /etc/rsyncd.d/*.inc 文件中的全局值合并到主配置文件中。

      2

      /etc/rsyncd.d/*.conf 文件中装载任何模块(或目标)。这些文件不应该包含对全局值的任何参照。

    3. 在文件 /etc/rsyncd.d/backup.conf 中通过以下几行创建您的模块(您的备份目标):

      # backup.conf: backup module
      [backup] 1
         uid = tux 2
         gid = users 2
         path = /var/backup 3
         auth users = tux  4
         secrets file = /etc/rsyncd.secrets 5
         comment = Our backup target

      1

      备份目标。可以使用您喜欢的任何名称。但最好根据目标的用途来命名,并使用在 *.conf 文件中所用的相同名称。

      2

      指定在进行文件传输时所用的用户名或组名。

      3

      定义用于储存备份的路径(从步骤 1 中)。

      4

      指定允许的用户的逗号分隔列表。列表以最简单的方式包含允许连接到此模块的用户名。在我们的示例中,只允许用户 tux

      5

      指定包含用户名和明文口令的行所在文件的路径。

    4. 创建包含以下内容的 /etc/rsyncd.secrets 文件,并替换 PASSPHRASE

      # user:passwd
      tux:PASSPHRASE
    5. 确保该文件只有 root 用户可读:

      root # chmod 0600 /etc/rsyncd.secrets
  4. 通过以下命令启动并启用 rsyncd 守护程序:

    root # systemctl enable rsyncd
    root # systemctl start rsyncd
  5. 测试是否可访问 Rsync 服务器:

    tux > rsync jupiter::

    您应该会看到类似如下的响应:

    backup          Our backup target

    若非如此,请检查您的配置文件、防火墙和网络设置。

上述步骤创建了 Rsync 服务器,现在可以使用它来储存备份。下例还创建了一个列出所有连接的日志文件。此文件储存在 /var/log/rsyncd.log 中。如果您要对传输进行调试,那么它非常有用。

要列出备份目标的内容,请使用以下命令:

tux > rsync -avz jupiter::backup

此命令会列出服务器上 /var/backup 目录中存在的所有文件。此请求还记录在日志文件 /var/log/rsyncd.log 中。要开始实际传输,请提供源目录。使用 . 表示当前目录。例如,下面的命令会将当前目录复制到 Rsync 备份服务器:

tux > rsync -avz . jupiter::backup

默认情况下,Rsync 不会在运行时删除文件和目录。要允许删除,必须另外指定选项 --delete。为保证不删除任何较新的文件,可转而使用选项 --update。必须手动解决所有冲突。

11.6 更多信息

Csync

双向文件同步工具,请参见 https://csync.org/

RSnapshot

创建增量备份,请参见 https://rsnapshot.org

Unison

与 CSync 类似的文件同步工具,但具有图形界面,请参见 https://www.seas.upenn.edu/~bcpierce/unison/

Rear

一个灾难恢复框架,请参见《SUSE Linux Enterprise High Availability Extension 管理指南》中的“使用 Rear (Relax-and-Recover) 实现灾难恢复”一章。

第 II 部分 引导 Linux 系统

  • 12 引导过程简介
  • 引导 Linux 系统涉及不同组件和任务。固件和硬件初始化过程(取决于计算机的体系结构)完成后,系统将通过引导加载程序 GRUB 2 启动内核。在此之后,引导进程完全由操作系统控制,并由 systemd 处理。systemd 会提供一组目标,用于引导与日常使用、维护或紧急情况相关的配置。

  • 13 UEFI(统一可扩展固件接口)
  • UEFI(统一可扩展固件接口)是用于系统硬件自带的固件、系统所有的硬件组件以及操作系统之间的接口。

  • 14 引导加载程序 GRUB 2
  • 本章介绍如何配置 SUSE® Linux Enterprise Server 中使用的引导加载程序 GRUB 2。GRUB 是传统 GRUB 引导加载程序(现在称作GRUB Legacy)的后继产品。从 SUSE® Linux Enterprise Server 版本 12 开始,就已使用 GRUB 2 作为默认的引导加载程序。产品中提供了一个 YaST 模块来配置最重要的设置。第 12 章 “引导过程简介 中将引导过程作为一个整体进行了介绍。有关 UEFI 计算机的安全引导支持的细节,请参见第 13 章 “UEFI(统一可扩展固件接口)

  • 15 systemd 守护程序
  • systemd 负责初始化系统,它的进程 ID 为 1。systemd 由内核直接启动,信号 9(该信号通常会终止进程)对它不起作用。所有其他程序或由 systemd 直接启动,或由它的其中一个子进程启动。systemd 取代了 System V init 守护程序,并且通过支持 init 脚本与 System V init 完全兼容。

12 引导过程简介

引导 Linux 系统涉及不同组件和任务。固件和硬件初始化过程(取决于计算机的体系结构)完成后,系统将通过引导加载程序 GRUB 2 启动内核。在此之后,引导进程完全由操作系统控制,并由 systemd 处理。systemd 会提供一组目标,用于引导与日常使用、维护或紧急情况相关的配置。

12.1 术语

本章使用的术语可能存在歧义。为了理解本章中术语的用法,请阅读以下定义:

init

有两个不同的进程通常命名为 init

  • 用于挂载根文件系统的 initramfs 进程

  • 从实际根文件系统执行且用于启动其他所有进程的操作系统进程

在这两种情况下,systemd 程序都会处理此任务。首先会从 initramfs 执行此进程,以挂载根文件系统。挂载成功后,将从根文件系统以初始进程的形式重新执行此进程。为了避免混淆这两个 systemd 进程,我们将第一个进程称为 init on initramfs,将第二个进程称为 systemd

initrd / initramfs

initrd(初始 RAM 磁盘)是一个映像文件,内含内核所装载的并且作为临时根文件系统从 /dev/ram 挂载的根文件系统映像。挂载此文件系统需要使用文件系统驱动程序。

从内核 2.6.13 开始,initrd 已由 initramfs(初始 RAM 文件系统)取代,后者无需文件系统驱动程序即可挂载。SUSE Linux Enterprise Server 只使用 initramfs。但是,由于 initramfs 作为 /boot/initrd 储存,因此通常将其称为initrd。本章只使用名称 initramfs

12.2 Linux 引导进程

Linux 引导进程包括多个阶段,每个阶段由一个不同组件来代表:

12.2.1 初始化和引导加载程序阶段

在初始化阶段,将设置计算机的硬件并准备好设备。此过程根据硬件体系结构的不同有很大的差别。

SUSE Linux Enterprise Server 在所有体系结构中都使用引导加载程序 GRUB 2。根据体系结构和固件,启动 GRUB 2 引导加载程序的过程可能包括多个步骤。引导加载程序的用途是装载内核以及基于 RAM 的初始文件系统 (initramfs)。有关 GRUB 2 的详细信息,请参见第 14 章 “引导加载程序 GRUB 2

12.2.1.1 AArch64 和 AMD64/Intel 64 上的初始化和引导加载程序阶段

在打开计算机之后,BIOS 或 UEFI 将初始化屏幕和键盘并测试主内存。直到这一阶段,计算机不访问任何大容量储存媒体。随后,将从 CMOS 值装载有关当前日期、时间和最重要的外设的信息。识别引导媒体及其几何尺寸之后,系统控制权将从 BIOS/UEFI 转到引导加载程序。

在装配传统 BIOS 的计算机上,只能装载引导磁盘的第一个 512 字节物理数据扇区(主引导记录,MBR)中的代码。只有极少量的 GRUB 2 代码能够挂载 MBR。引导加载程序的唯一作用就是从 MBR 与第一个分区(MBR 分区表)之间的间隙处,或是从 BIOS 引导分区(GPT 分区表)装载包含文件系统驱动程序的 GRUB 2 核心映像。此映像包含文件系统驱动程序,因此能够访问根文件系统中的 /boot/boot 包含 GRUB 2 核心的附加模块以及内核和 initramfs 映像。获取此分区的访问权限后,GRUB 2 会将内核和 initramfs 映像装载到内存中,并将控制权交接到内核。

从包含已加密分区 /boot 的加密文件系统引导 BIOS 系统时,需要输入解密口令两次。GRUB 2 使用第一次输入的口令来解密 /bootsystemd 使用第二次输入的口令来装载加密的卷。

在装配 UEFI 的计算机上,引导过程比装配传统 BIOS 的计算机要简单得多。固件能够读取包含 GPT 分区表的磁盘的 FAT 格式化系统分区。此 EFI 系统分区(在运行的系统中装载为 /boot/efi)可提供足够的空间用于托管由固件直接装载和执行的完备 GRUB 2。

如果 BIOS/UEFI 支持网络引导,则也可以配置提供引导加载程序的引导服务器。然后,可以通过 PXE 引导系统。BIOS/UEFI 充当引导加载程序。它会从引导服务器获取引导映像,然后启动系统。这完全不依赖本地硬盘。

12.2.1.2 IBM Z 上的初始化和引导加载程序阶段

在 IBM Z 上,必须通过名为 zipl(z 初始程序装载)的引导加载程序初始化引导进程。尽管 zipl 支持读取不同的文件系统,但它不支持 SLE 默认文件系统 (Btrfs) 或者从快照引导。因此,SUSE Linux Enterprise Server 使用两阶段的引导过程来确保引导时完全支持 Btrfs:

  1. zipl/boot/zipl 分区引导,该分区可格式化为 Ext2、Ext3、Ext4 或 XFS 文件系统。此分区包含一个极简的内核,以及一个装载到内存中的 initramfs。initramfs 包含 Btrfs 驱动程序(及其他组件)和引导加载程序 GRUB 2。内核是使用参数 initgrub(告知要启动 GRUB 2)启动的。

  2. 内核会挂载根文件系统,使 /boot 可访问。现在,将从 initramfs 启动 GRUB 2。GRUB 2 从 /boot/grub2/grub.cfg 读取其配置,并从 /boot 装载最终的内核和 initramfs。现在,将通过 Kexec 装载新内核。

12.2.2 内核阶段

引导加载程序转交系统控制权后,所有体系结构中的引导过程都是相同的。引导加载程序会将内核和基于 RAM 的初始文件系统 (initramfs) 都装载到内存中,而内核将接管控制权。

内核设立内存管理并检测 CPU 类型及其功能后,将初始化硬件,并从内存中挂载使用 initramfs 装载的临时根文件系统。

12.2.2.1 initramfs 文件

initramfs(初始 RAM 文件系统)是一个小型 cpio 存档,可由内核装载到 RAM 磁盘中。该文件位于 /boot/initrd 中。可以使用名为 dracut 的工具创建该文件,有关细节,请参见 man 8 dracut

initramfs 提供了一个极简的 Linux 环境,可用于在挂载实际根文件系统之前执行程序。这个最小的 Linux 环境由 BIOS 或 UEFI 例程载入内存,而且除了需要足够的内存外没有特定的硬件要求。initramfs 存档必须始终提供一个名为 init 的可执行文件,该文件执行根文件系统上的 systemd 守护程序,使引导进程得以继续。

在能够挂载 root 文件系统并启动操作系统之前,内核需要相应的驱动程序来访问 root 文件系统所在的设备。这些驱动程序可能包括用于特定类型硬盘的特殊驱动程序,甚至还可能包括访问网络文件系统所需的网络驱动程序。根文件系统所需的模块由 init on initramfs 装载。装载模块后,udev 将为 initramfs 提供所需的设备。在引导过程的后面,更改 root 文件系统之后需要重新生成设备。可以使用 systemd 单元 systemd-udev-trigger.service 来实现此目的。

12.2.2.1.1 重新生成 initramfs

由于 initramfs 包含多个驱动程序,因此,每当其中某个驱动程序有新版本发布时,都需要更新 initramfs。在安装包含驱动程序更新的软件包时可以自动完成这种更新。YaST 或 zypper 通过显示用于生成 initramfs 的命令的输出来告知此状况。但在某些情况下,您需要手动重新生成 initramfs

由于更换硬件而需添加驱动程序

如果需要更换硬件(例如硬盘),并且引导时此硬件需要内核中的不同驱动程序,则您必须更新 initramfs 文件。

打开或创建 /etc/dracut.conf.d/10-DRIVER.conf 并添加以下行(请注意前导空格):

force_drivers+=" DRIVER1"

用驱动程序的模块名称替换 DRIVER1。如果您需要添加多个驱动程序,请将其全部列出并以空格分隔:

force_drivers+=" DRIVER1 DRIVER2"

继续过程 12.1 “生成 initramfs”

将系统目录移到 RAID 或 LVM

每当您要将正在运行的系统中的交换文件或系统目录(例如 /usr)移到 RAID 或逻辑卷时,都需要创建一个包含软件 RAID 或 LVM 驱动程序支持的 initramfs

为此,请在 /etc/fstab 中创建相关的项,并挂载新项(例如,使用 mount -a 和/或 swapon -a)。

继续过程 12.1 “生成 initramfs”

将磁盘添加到包含根文件系统的 LVM 组或 Btrfs RAID

每当您要在包含根文件系统的逻辑卷组或者 Btrfs RAID 中添加(或去除)磁盘时,都需要创建一个支持扩容的卷的 initramfs。请按照过程 12.1 “生成 initramfs”中的指导操作。

继续过程 12.1 “生成 initramfs”

更改内核变量

如果您在 sysctl 界面中通过编辑相关文件(/etc/sysctl.conf/etc/sysctl.d/*.conf)更改了内核变量的值,系统下次重引导时,这项更改将会丢失。即使您在运行时使用 sysctl --system 装载这些值,更改也不会保存到 initramfs 文件中。您需要根据过程 12.1 “生成 initramfs”中所述更新该文件。

过程 12.1︰ 生成 initramfs

请注意,以下过程中的所有命令都需要以 root 用户身份执行。

  1. 运行以下命令生成新的 initramfs 文件

    dracut MY_INITRAMFS

    请将 MY_INITRAMFS 替换为所选的文件名。新的 initramfs 将创建为 /boot/MY_INITRAMFS

    或者运行 dracut -f。这会重写当前使用的现有文件。

  2. (如果在上一步中运行了 dracut -f,请跳过此步骤。)为上一步中创建的 initramfs 文件创建链接:

    (cd /boot && ln -sf MY_INITRAMFS initrd)
  3. 在 IBM Z 体系结构中,另外还需运行 grub2-install

12.2.3 Init on initramfs 阶段

由内核从 initramfs 挂载的临时根文件系统包含可执行文件 systemd(下面称作 init on initramfs,另请参见第 12.1 节 “术语”)。此程序执行挂载正确根文件系统所需的全部操作。它为所需的文件系统提供内核功能,并为使用 udev 的大量储存控制器提供设备驱动程序。

initramfs 上的 init 的主要用途是准备真实 root 文件系统的挂载和访问。根据您的系统配置的不同,initramfs 上的 init 负责以下任务。

装载内核模块

根据硬件配置的不同,可能需要一些特殊的驱动程序来访问计算机的硬件组件(最重要的组件是硬盘)。要访问最终的 root 文件系统,内核需要装载适当的文件系统驱动程序。

提供块特殊文件

内核根据装载的模块生成设备事件。udev 会处理这些事件并在 RAM 文件系统的 /dev 中生成所需的特殊块文件。没有这些特殊文件,文件系统和其他设备将不可访问。

管理 RAID 和 LVM 设置

如果将系统配置为在 RAID 或 LVM 下保存根文件文件系统,则 initramfs 上的 init 将设置 LVM 或 RAID 以支持以后对根文件系统的访问。

管理网络配置

如果将系统配置为使用通过网络挂载的 root 文件系统(通过 NFS 挂载),则 init 必须确保装载了正确的网络驱动程序,并确保将其设置为支持访问 root 文件系统。

如果文件系统驻留在一个联网的块设备(如 iSCSI 或 SAN)上,则与储存服务器的连接也由 initramfs 上的 init 设置。SUSE Linux Enterprise Server 支持在主要目标不可用的情况下从次要 iSCSI 目标引导。有关 iSCSI 引导目标配置的更多细节,请参见Book “储存管理指南”, Chapter 15 “经由 IP 网络的大容量储存:iSCSI”, Section 15.3.1 “使用 YaST 配置 iSCSI 发起端”

注意
注意:处理挂载失败问题

如果根文件系统无法从引导环境中挂载,则必须先对其进行检查和修复,才能继续引导。如果文件系统为 Ext3 和 Ext4,文件系统检查程序将会自动启动。如果是 XFS 和 Btrfs 文件系统,则不会自动开始修复过程,而是向用户显示有关可用于修复文件系统的选项的信息。成功修复文件系统后,退出引导环境将会使系统重试挂载根文件系统。如果挂载成功,将正常继续引导。

12.2.3.1 安装过程中的 init on initramfs 阶段

如果在安装过程的初始引导阶段调用 init on initramfs,它要执行的任务将与上述任务不同。请注意,安装系统也不会从 initramfs 启动 systemd — 这些任务由 linuxrc 执行。

查找安装媒体

当您启动安装进程时,计算机会装载一个安装内核以及一个包含 YaST 安装程序的特殊 init。YaST 安装程序正在 RAM 文件系统中运行,它需要知道安装媒体的位置,才能访问安装媒体以安装操作系统。

启动硬件识别并装载适当的内核模块

第 12.2.2.1 节 “initramfs 文件”中所述,引导过程从最少的一组驱动程序(可在大多数硬件配置中使用)开始。在 AArch64、POWER 和 AMD64/Intel 64 计算机上,linuxrc 会启动初始硬件扫描进程,以确定适合您的硬件配置的驱动程序集。在 IBM Z 上,需要提供驱动程序及其参数的列表(例如,通过 linuxrc 或 parmfile 提供)。

这些驱动程序用于生成引导系统所需的自定义 initramfs。如果引导时不需要这些模块,但冷插拔时需要,您可以使用 systemd 装载这些模块。有关详细信息,请参见第 15.6.4 节 “装载内核模块”

装载安装系统

系统在正确识别硬件后会装载相应的驱动程序。udev 程序会创建特殊的设备文件,linuxrc 使用 YaST 安装程序启动安装系统。

启动 YaST

最后,linuxrc 启动 YaST,后者则启动包安装和系统配置。

12.2.4 systemd 阶段

找到实际的根文件系统后,对其进行错误检查并挂载。如果挂载成功,系统会清理 initramfs 并执行根文件系统上的 systemd 守护程序。systemd 是 Linux 的系统和服务管理器。它是作为 PID 1 启动的父进程,充当用于启动和维护用户空间服务的 init 系统。有关详细信息,请参见 第 15 章 “systemd 守护程序

13 UEFI(统一可扩展固件接口)

UEFI(统一可扩展固件接口)是用于系统硬件自带的固件、系统所有的硬件组件以及操作系统之间的接口。

UEFI 在 PC 系统上的应用范围越来越广,因此正在逐渐替代传统的 PC-BIOS。例如,UEFI 能够很好地支持 64 位系统,提供安全的引导(安全引导,要求固件为 2.3.1c 或以上版本)。安全引导是其最为重要的特性之一。最后,借助 UEFI,标准固件将能够用于所有 x86 平台。

除此之外,UEFI 还具有以下优点:

  • 从带有 GUID 分区表 (GPT) 的大磁盘(超过 2 TiB)引导。

  • 独立于 CPU 的架构和驱动程序。

  • 带有网络功能的灵活的预操作系统环境。

  • 通过 PC-BIOS 式仿真支持引导老式操作系统的 CSM(兼容支持模块)。

有关详细信息,请参见http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface。以下小节仅针对部分功能如何在 SUSE Linux Enterprise Server 中实现而列举一些提示,并不代表 UEFI 的整体概述。

13.1 安全引导

在 UEFI 领域中,要想保障引导程序的安全,需要建立一个信任链。平台是此信任链的根;在 SUSE Linux Enterprise Server 环境中,可将主板和板载固件视为平台。换句话说,它就是硬件供应商,信任链从硬件供应商流向组件制造商、OS 供应商等。

系统通过公共密钥加密法表示信任。硬件供应商将所谓的“平台密钥 (PK)”放入固件中,代表可信根。操作系统供应商与其他方将其密钥与“平台密钥”签署在一起,以此记录他们之间的信任关系。

最后,除非这些可信的密钥之一(即 OS 引导加载程序、位于一些 PCI Express 卡的闪存上或磁盘上的一些驱动程序,或者更新的固件本身)签署了代码,否则要求固件不得执行该代码,从而建立安全保障。

要使用安全引导,您需要用固件信任的密钥对您的 OS 加载程序签名,并且需要 OS 加载程序校验其加载的内核是否可信。

可以将密钥交换密钥 (KEK) 添加到 UEFI 密钥数据库中。这样,其他证书只要签署了 PK 的私用部分,即可由您使用。

13.1.1 SUSE Linux Enterprise Server 上实施

默认情况下安装微软的密钥交换密钥 (KEK)。

注意
注意:需要 GUID 分区表 (GPT)

UEFI/x86_64 安装中默认会启用安全引导功能。您可在引导加载程序设置对话框的引导代码选项选项卡中找到启用安全引导支持选项。该选项支持在固件中的安全引导已激活时引导,同时也支持在安全引导已停用时引导。

安全引导支持
图 13.1︰ 安全引导支持

“安全引导”特性要求 GUID 分区表 (GPT) 使用主引导记录 (MBR) 替代旧的分区。如果安装期间 YaST 检测到 EFI 模式,则会设法创建 GPT 分区。UEFI 预期会在 FAT 格式的 EFI 系统分区(ESP) 上查找到 EFI 程序。

要支持 UEFI 安全引导,需要有引导加载程序,且固件认可其数字签名是可信密钥。该密钥需要先天为固件所信任(无需任何手动干预)。

有两种办法可以实现。一种是与硬件供应商合作,让其签署 SUSE 密钥,然后 SUSE 会使用该 SUSE 密钥签署引导加载程序;另一种是通过微软的 Windows 徽标认证计划使引导加载程序获得认证,并使微软认可 SUSE 签名密钥(也就是让加载程序使用他们的 KEK 签名)。至此,SUSE 使引导加载程序获得了 UEFI 签名服务(在此情况下为 Microsoft)的签名。

UEFI:安全引导过程
图 13.2︰ UEFI:安全引导过程

SUSE 在实施层使用默认将会安装的 shim 加载程序。这是一种可以避免法律纠纷的智能解决方案,能够大幅简化认证和签名步骤。shim 加载程序的任务是装载 GRUB 2 等引导加载程序并对其进行校验,之后,此引导加载程序将装载仅由一个 SUSE 密钥签名的内核。SUSE 从全新安装的 SLE11 SP3 开始提供此功能,并要求启用 UEFI 安全引导。

可信用户分为以下两类:

  • 首先是持有密钥的用户。平台密钥 (PK) 几乎允许所有操作。密钥交换密钥 (KEK) 的许可范围与 PK 一致,但不能更改 PK。

  • 其次是能够以物理方式访问机器的任何用户。具有物理访问权限的用户可以重引导机器并对 UEFI 进行配置。

UEFI 提供下列两类变量以满足这些用户的需求:

  • 第一类变量即所谓的已验证的变量,它们可从引导过程(所谓的“引导服务环境”)和正在运行的操作系统中更新。仅当对变量新值签名的密钥是用于对变量旧值签名的相同密钥时,才能进行更新。而且,您只能向这类变量追加或将其更改为序列号更高的数值。

  • 第二类变量即所谓的仅供引导服务使用的变量。引导进程中运行的任何代码都可以获取这些变量。在结束引导进程并准备启动 OS 的时间间隔内,引导加载程序必须调用 ExitBootServices 呼叫。此后将无法获取这些变量,OS 也无法接触到这些变量。

各类 UEFI 密钥列表属于第一类,因为该类变量除了允许联机更新外,还允许添加密钥、驱动程序、固件指纹以及将其列入黑名单。第二类变量即仅供引导服务使用的变量。该类变量有助于以安全且支持开源的方式实施安全引导,因此符合 GPLv3 要求。

SUSE 首先启动 shim,它是一个小而简单的 EFI 引导加载程序,由 SUSE 和 Microsoft 签名。

这样一来,shim 即可加载并执行。

shim 随后继续验证其想要加载的引导加载程序是否可信。默认情况下,shim 会使用其主体中所嵌入的独立的 SUSE 证书。此外,shim 还允许登记其他密钥,用于覆盖默认的 SUSE 密钥。下文将这些密钥称为机器拥有者密钥或缩写为 MOK。

接下来,引导加载程序会验证内核,然后加以引导。该内核将在模块上执行同样的操作。

13.1.2 MOK(机器拥有者密钥)

要替换特定内核、驱动程序或引导过程中的其他组件,必须使用机器拥有者密钥 (MOK)。mokutil 工具可帮助您管理 MOK。

您可以使用 mokutil 创建 MOK 登记请求。该请求储存在名为 MokNew 的 UEFI 运行时 (RT) 变量中。在下一次引导期间,shim 引导加载程序会检测 MokNew 并装载 MokManager,这将为您提供几个选项。您可以使用从磁盘登记密钥从磁盘登记哈希选项来将密钥添加到 MokList。使用登记 MOK 选项可从 MokNew 变量复制密钥。

通常会在 shim 无法装载 grub2 并回退到装载 MokManager 时执行从磁盘登记密钥。由于 MokNew 尚不存在,您可以选择在 UEFI 分区上查找密钥。

13.1.3 引导自定义内核

以下内容基于 https://en.opensuse.org/openSUSE:UEFI#Booting_a_custom_kernel

安全引导不会阻止您使用自行编译的内核。您必须使用自己的证书在该内核上签名,并让固件或 MOK 得以识别该证书。

  1. 创建一个自定义的 X.509 密钥以及用于签名的证书:

    openssl req -new -x509 -newkey rsa:2048 -keyout key.asc \
      -out cert.pem -nodes -days 666 -subj "/CN=$USER/"

    有关创建证书的详细信息,请参见 https://en.opensuse.org/openSUSE:UEFI_Image_File_Sign_Tools#Create_Your_Own_Certificate

  2. 将密钥和证书打包成 PKCS#12 结构:

    tux > openssl pkcs12 -export -inkey key.asc -in cert.pem \
      -name kernel_cert -out cert.p12
  3. 生成用于 pesign 的 NSS 数据库:

    tux > certutil -d . -N
  4. 将 PKCS#12 中包含的密钥和证书导入 NSS 数据库:

    tux > pk12util -d . -i cert.p12
  5. 使用 pesign 将新签名赋予内核:

    tux > pesign -n . -c kernel_cert -i arch/x86/boot/bzImage \
      -o vmlinuz.signed -s
  6. 列出内核映像上的签名:

    tux > pesign -n . -S -i vmlinuz.signed

    此时,您可以照常在 /boot 中安装内核。由于内核现有一个自定义的签名,因此需要将用于签名的证书导入 UEFI 固件或 MOK 中。

  7. 将证书转为 DER 格式,以供导入固件或 MOK:

    tux > openssl x509 -in cert.pem -outform der -out cert.der
  8. 将证书复制到 ESP 以简化访问:

    tux > sudo cp cert.der /boot/efi/
  9. 使用 mokutil 自动启动 MOK 列表。

      1. 将证书导入到 MOK 中:

        tux > mokutil --root-pw --import cert.der

        --root-pw 选项可让 root 用户直接使用。

      2. 检查准备注册的证书列表:

        tux > mokutil --list-new
      3. 重引导系统;shim 应该会启动 MokManager。您需要输入 root 口令以确认将证书导入到 MOK 列表中。

      4. 检查新导入的密钥以前是否注册过:

        tux > mokutil --list-enrolled
      1. 此外,若要手动启动 MOK,也可以采用这一过程:

        重引导

      2. 在 GRUB 2 菜单中,按 c 键。

      3. 类型:

        chainloader $efibootdir/MokManager.efi
        boot
      4. 选择从磁盘登记密钥

      5. 导航至 cert.der 文件并按 Enter

      6. 按照指导登记密钥。正常情况下应按“0”,然后按“y”予以确认。

        除此之外,固件菜单也可能提供了多种向“签名数据库”中添加新密钥的方式。

13.1.4 使用非内置驱动程序

在启用安全引导的情况下,不支持在安装过程中添加非内置驱动程序(即,不是 SUSE Linux Enterprise Server 自带的驱动程序)。用于 SolidDriver/PLDP 的签名密钥默认不受信任。

您可以通过两种不同的方式,在启用安全引导的情况下于安装期间安装第三方驱动程序。在这两种情况下,都要:

  • 在安装前,通过固件或系统管理工具将所需密钥添加到固件数据库中。此选项取决于您当前使用的具体硬件。请咨询您的硬件供应商了解详细信息。

  • 使用 https://drivers.suse.com/ 上或硬件供应商提供的可引导驱动程序 ISO,在首次引导时将所需密钥登记到 MOK 列表中。

要使用可引导驱动程序 ISO 将驱动程序密钥登记到 MOK 列表中,请执行以下步骤:

  1. 将上文所述 ISO 映像刻录到空 CD/DVD 媒体中。

  2. 使用新的 CD/DVD 媒体开始安装,并准备好标准的安装媒体或网络安装服务器的 URL。

    如果您要进行网络安装,请在引导命令行上使用 install= 选项输入网络安装源的 URL。

    如果您是从光学媒体安装,安装程序会先从驱动程序包引导,然后要求插入产品的第一张安装光盘。

  3. 安装时将会使用包含经过更新的驱动程序的 initrd。

有关详细信息,请参见https://drivers.suse.com/doc/Usage/Secure_Boot_Certificate.html

13.1.5 功能和限制

以安全引导模式引导时,可以使用以下功能:

  • 安装到 UEFI 默认的引导加载程序位置,这是为了保留或恢复 EFI 引导项而采用的机制。

  • 通过 UEFI 重引导。

  • 如果没有其他可回退到的旧版 BIOS,Xen 超级管理程序将使用 UEFI 引导。

  • 支持 UEFI IPv6 PXE 引导。

  • UEFI 视频模式支持,内核可以从 UEFI 检索视频模式,以使用相同的参数配置 KMS 模式。

  • UEFI 支持从 USB 设备引导。

以安全引导模式引导时,存在以下限制:

  • 为确保他人无法轻易绕过安全引导,系统在安全引导下运行时会禁用部分内核特性。

  • 引导加载程序、内核以及内核模块必须经过签名。

  • Kexec 和 Kdump 处于禁用状态。

  • 休眠(挂起到磁盘)处于禁用状态。

  • 无法访问 /dev/kmem/dev/mem,连 root 用户也不例外。

  • 无法访问 I/O 端口,连 root 用户也不例外。所有 X11 图形驱动程序必须使用内核驱动程序。

  • 无法通过 sysfs 访问 PCI BAR。

  • 无法使用 ACPI 中的 custom_method

  • 无法使用 asus-wmi 模块的 debugfs。

  • acpi_rsdp 参数对内核没有任何影响。

13.2 更多信息

14 引导加载程序 GRUB 2

本章介绍如何配置 SUSE® Linux Enterprise Server 中使用的引导加载程序 GRUB 2。GRUB 是传统 GRUB 引导加载程序(现在称作GRUB Legacy)的后继产品。从 SUSE® Linux Enterprise Server 版本 12 开始,就已使用 GRUB 2 作为默认的引导加载程序。产品中提供了一个 YaST 模块来配置最重要的设置。第 12 章 “引导过程简介 中将引导过程作为一个整体进行了介绍。有关 UEFI 计算机的安全引导支持的细节,请参见第 13 章 “UEFI(统一可扩展固件接口)

14.1 GRUB Legacy 与 GRUB 2 之间的主要差异

  • 配置储存在不同的文件中。

  • 支持更多的文件系统(例如 Btrfs)。

  • 可以直接读取 LVM 或 RAID 设备上储存的文件。

  • 用户界面可翻译,并可以改变主题。

  • 包含一个用于装载模块的机制,以支持更多功能,例如文件系统等。

  • 自动搜索和生成其他内核与操作系统(例如 Windows)的引导项。

  • 包含一个类似于 Bash 的精简控制台。

14.2 配置文件结构

GRUB 2 的配置基于以下文件:

/boot/grub2/grub.cfg

此文件包含 GRUB 2 菜单项的配置。它替代了 GRUB Legacy 中的 menu.lst。不要编辑 grub.cfg — 它是由命令 grub2-mkconfig -o /boot/grub2/grub.cfg 自动生成的。

/boot/grub2/custom.cfg

此可选文件在引导时由 grub.cfg 直接检索,可用于向引导菜单添加自定义项。从 SUSE Linux Enterprise Server 12 SP2 开始,使用 grub-once 时也将分析这些项目。

/etc/default/grub

此文件控制 GRUB 2 的用户设置,通常包含背景和主题等其他环境设置。

/etc/grub.d/ 下的脚本

在执行 grub2-mkconfig -o /boot/grub2/grub.cfg 命令期间,将读取此目录中的脚本。主配置文件 /boot/grub/grub.cfg 中集成了这些脚本的说明。

/etc/sysconfig/bootloader

此配置文件保存一些基本设置,例如引导加载程序类型,以及是否要启用 UEFI 安全引导支持。

/boot/grub2/x86_64-efi/boot/grub2/power-ieee1275/boot/grub2/s390x

这些配置文件包含特定于体系结构的选项。

可以通过多种方式控制 GRUB 2。可以在图形菜单(启动屏幕)中选择现有配置的引导项。配置从文件 /boot/grub2/grub.cfg 装载,而该文件是基于其他配置文件编译的(参见下文)。所有 GRUB 2 配置文件都被视为系统文件,编辑这些配置文件需要拥有 root 特权。

注意
注意:激活配置更改

手动编辑 GRUB 2 配置文件后,需要运行 grub2-mkconfig -o /boot/grub2/grub.cfg 以激活更改。但使用 YaST 更改配置时就不需要如此,因为 YaST 会自动运行 此命令。

14.2.1 /boot/grub2/grub.cfg 文件

带有引导菜单的图形启动屏幕内容由 GRUB 2 配置文件 /boot/grub2/grub.cfg 控制,该文件包含有关可以通过菜单引导的所有分区或操作系统的信息。

系统每次引导时,GRUB 2 会直接从文件系统装载菜单文件。因此,在更改配置文件后不需要重新安装 GRUB 2。安装或去除内核后,系统会自动重构建 grub.cfg

grub.cfg 是运行 grub2-mkconfig -o /boot/grub2/grub.cfg 命令时,基于文件 /etc/default/grub 以及 /etc/grub.d/ 目录中的脚本编译的。因此,切勿手动编辑该文件,而应该编辑相关的源文件,或者根据第 14.3 节 “使用 YaST 配置引导加载程序”中所述,使用 YaST 引导加载程序模块来修改配置。

14.2.2 /etc/default/grub 文件

此文件包含 GRUB 2 的其他常规选项,例如,显示菜单的时间,或者要引导的默认操作系统。要列出所有可用选项,请查看以下命令的输出:

tux > grep "export GRUB_DEFAULT" -A50 /usr/sbin/grub2-mkconfig | grep GRUB_

除了已定义的变量外,用户还可以引入自己的变量,以后在 /etc/grub.d 目录中的脚本内使用。

编辑 /etc/default/grub 后,请使用 grub2-mkconfig -o /boot/grub2/grub.cfg 更新主要配置文件。

注意
注意:范围

此文件中设置的所有选项是会影响所有引导项的常规选项。通过 GRUB_*_XEN_* 配置选项可以设置 Xen 内核或 Xen 超级管理程序的特定选项。有关细节,请参见下文。

GRUB_DEFAULT

设置默认会引导的引导菜单项。它的值可以是数字值、菜单项的完整名称或saved

GRUB_DEFAULT=2 引导第三个(从零开始计数)引导菜单项。

GRUB_DEFAULT="2>0" 引导第三个顶级菜单项的第一个子菜单项。

GRUB_DEFAULT="Example boot menu entry" 引导标题为Example boot menu entry的菜单项。

GRUB_DEFAULT=saved 引导 grub2-oncegrub2-set-default 命令指定的项。grub2-reboot 只设置下一次重引导的默认引导项,而 grub2-set-default 设置发生更改之前的默认引导项。grub2-editenv list 列出下一个引导项。

GRUB_HIDDEN_TIMEOUT

等待用户按某个键的指定秒数。在此期间,除非用户按下某个键,否则不显示菜单。如果用户在指定的时间内未按任何键,控制权将转交给 GRUB_TIMEOUTGRUB_HIDDEN_TIMEOUT=0 首先会检查是否已按下 Shift,如果是,则显示引导菜单,否则会立即引导默认的菜单项。如果 GRUB 2 只识别了一个可引导操作系统,则默认行为就是如此。

GRUB_HIDDEN_TIMEOUT_QUIET

如果指定 false,则在激活了 GRUB_HIDDEN_TIMEOUT 功能时,会在一个空白屏幕上显示倒数计时器。

GRUB_TIMEOUT

在自动引导默认引导项之前,显示引导菜单的期限(以秒为单位)。如果按下某个键,则会取消超时,GRUB 2 将等待您手动做出选择。如果指定 GRUB_TIMEOUT=-1,则在您手动选择引导项之前,会一直显示菜单。

GRUB_CMDLINE_LINUX

此行中的项将添加到正常和恢复模式的引导项的末尾。使用它可以向引导项添加内核参数。

GRUB_CMDLINE_LINUX_DEFAULT

GRUB_CMDLINE_LINUX 一样,但只能在正常模式下追加项。

GRUB_CMDLINE_LINUX_RECOVERY

GRUB_CMDLINE_LINUX 一样,但只能在恢复模式下追加项。

GRUB_CMDLINE_LINUX_XEN_REPLACE

此项将完全替代所有 Xen 引导项的 GRUB_CMDLINE_LINUX 参数。

GRUB_CMDLINE_LINUX_XEN_REPLACE_DEFAULT

GRUB_CMDLINE_LINUX_XEN_REPLACE 一样,但只会替代 GRUB_CMDLINE_LINUX_DEFAULT 的参数。

GRUB_CMDLINE_XEN

此项只为 Xen guest 内核指定内核参数 — 工作原理与 GRUB_CMDLINE_LINUX 相同。

GRUB_CMDLINE_XEN_DEFAULT

GRUB_CMDLINE_XEN 一样 — 工作原理与 GRUB_CMDLINE_LINUX_DEFAULT 相同。

GRUB_TERMINAL

启用和指定输入/输出终端设备。可以是 console(PC BIOS 和 EFI 控制台)、serial(串行终端)、ofconsole(开放式固件控制台)或默认值 gfxterm(图形模式输出)。用引号括住所需的选项可以启用多个设备,例如 GRUB_TERMINAL="console serial"

GRUB_GFXMODE

gfxterm 图形终端使用的分辨率。请注意,您只能使用您的图形卡 (VBE) 支持的模式。默认值为“auto”,即尝试选择首选的分辨率。在 GRUB 2 命令行中键入 videoinfo 可以显示 GRUB 2 适用的屏幕分辨率。GRUB 2 引导菜单屏幕显示后,键入 C 即可访问命令行。

您还可以指定颜色深度,方法是将其值追加到分辨率设置的后面,例如 GRUB_GFXMODE=1280x1024x24

GRUB_BACKGROUND

设置 gfxterm 图形终端的背景图像。该图像必须是 GRUB 2 在引导时可读的文件,并且必须以 .png.tga.jpg.jpeg 后缀结尾。必要时,系统会缩放该图像以适合屏幕。

GRUB_DISABLE_OS_PROBER

如果将此选项设置为 true,将禁用自动搜索其他操作系统的功能。系统只会检测 /boot/ 中的内核映像,以及 /etc/grub.d/ 中您自己的脚本内的选项。

SUSE_BTRFS_SNAPSHOT_BOOTING

如果将此选项设置为 true,GRUB 2 可直接引导至 Snapper 快照。有关详细信息,请参见第 7.3 节 “通过从快照引导来执行系统回滚”

有关选项的完整列表,请参见 GNU GRUB 手册

14.2.3 /etc/grub.d 中的脚本

在执行 grub2-mkconfig -o /boot/grub2/grub.cfg 命令期间,将读取此目录中的脚本。脚本中的指令将整合到 /boot/grub2/grub.cfg 中。grub.cfg 中菜单项的顺序由此目录中文件的运行顺序来决定。具有前导编号的文件先执行,从最小的编号开始。00_header10_linux 之前运行,而后者又在 40_custom 之前运行。如果存在采用字母名称的文件,这些文件将在采用编号命名的文件后面执行。在执行 grub2-mkconfig 期间,只有可执行文件才能在 grub.cfg 中生成输出。默认情况下,/etc/grub.d 目录中的所有文件都是可执行文件。

提示
提示:将自定义内容永久保存在 grub.cfg

由于每次运行 grub2-mkconfig 时都会重新编译 /boot/grub2/grub.cfg,因此所有自定义内容都会丢失。如果要将您的行直接插入到 /boot/grub2/grub.cfg 中,并且希望在运行 grub2-mkconfig 之后它们不会丢失,请将这些行插入到下面两行之间

### BEGIN /etc/grub.d/90_persistent ###

### END /etc/grub.d/90_persistent ###

90_persistent 脚本可确保此类内容会保留下来。

下面列出了最重要的脚本:

00_header

设置环境变量,例如系统文件位置、显示设置、主题和以前保存的项。它还可以导入 /etc/default/grub 中储存的首选项。通常,不需要对此文件进行更改。

10_linux

识别根设备上的 Linux 内核,并创建相关的菜单项。这包括关联的恢复模式选项(如果已启用)。主菜单页中只显示最新内核,其他内核包含在子菜单中。

30_os-prober

此脚本使用 os-prober 来搜索 Linux 和其他操作系统,并将结果列于 GRUB 2 菜单中。其中的某些部分可以识别其他特定操作系统,例如 Windows 或 macOS。

40_custom

使用此文件可以方便地在 grub.cfg 中包含自定义引导项。切勿更改开头的 exec tail -n +3 $0 部分。

处理顺序根据前导编号确定,编号最小的脚本最先执行。如果多个脚本的前导编号相同,则根据整个名称的字母顺序来决定执行顺序。

提示
提示:/boot/grub2/custom.cfg

如果您创建了 /boot/grub2/custom.cfg 并在其中填充了内容,则引导时系统会自动将它包含到 /boot/grub40/grub.cfg 中紧接在 40_custom 后面的位置。

14.2.4 BIOS 驱动器与 Linux 设备之间的映射

在 GRUB Legacy 中,device.map 配置文件用于基于 BIOS 驱动器号派生 Linux 设备名称。不一定总能正确猜测出 BIOS 驱动器与 Linux 设备之间的映射。例如,如果 IDE 和 SCSI 驱动器的引导顺序在 BIOS 配置中被交换,则 GRUB Legacy 就会发生顺序错误。

GRUB 2 在生成 grub.cfg 时使用设备 ID 字符串 (UUID) 或文件系统标签,因此避免了此问题。GRUB 2 实用程序会即时创建一个临时设备映射,这通常足以满足需要,在单磁盘系统中尤其如此。

但是,如果您需要覆盖 GRUB 2 的自动设备映射机制,请创建自定义映射文件 /boot/grub2/device.map。以下示例将更改映射,使 DISK 3 成为引导磁盘。请注意,GRUB 2 分区编号以 1 开始,而不是像 GRUB Legacy 中那样以 0 开始。

(hd1)  /dev/disk-by-id/DISK3 ID
(hd2)  /dev/disk-by-id/DISK1 ID
(hd3)  /dev/disk-by-id/DISK2 ID

14.2.5 在引导过程中编辑菜单项

当系统由于配置错误而不再能够引导时,如果能够直接编辑菜单项,就会很有帮助。使用菜单编辑器还可以在不更改系统配置的情况下测试新设置。

  1. 在图形引导菜单中,使用方向键选择要编辑的项。

  2. E 打开基于文本的编辑器。

  3. 使用方向键移到您要编辑的行。

    GRUB 2 引导编辑器
    图 14.1︰ GRUB 2 引导编辑器

    现在,您可以采取以下两种做法:

    1. 将用空格分隔的参数添加到以 linuxlinuxefi 开头的行的末尾,以编辑内核参数。https://en.opensuse.org/Linuxrc 上提供了完整的参数列表。

    2. 或者编辑常规选项,以更改内核版本等。按 →| 键会显示所有可能的补全建议。

  4. F10 使用您所做的更改引导系统,或者按 Esc 放弃您的编辑,并返回到 GRUB 2 菜单。

通过这种方式进行的更改仅会应用到当前引导过程,而不会永久保存。

重要
重要:引导过程中的键盘布局

US 键盘布局是引导时唯一可用的键盘布局。请参见Book “部署指南”, Chapter 12 “查错”, Section 12.3 “从安装媒体引导失败”, 美式键盘布局

注意
注意:安装媒体中的引导加载程序

在使用传统 BIOS 的系统上,安装媒体中的引导加载程序仍是 GRUB Legacy。要添加引导参数,请选择一项,然后开始键入。在安装引导项中添加的选项将永久保存在安装的系统中。

注意
注意:在 IBM Z 上编辑 GRUB 2 菜单项

IBM Z 上的光标移动操作和编辑命令有所不同,有关细节,请参见第 14.4 节 “IBM Z 上终端使用方式的差异”

14.2.6 设置引导口令

即使在操作系统引导之前,GRUB 2 也支持对文件系统的访问。没有 root 权限的用户可以访问 Linux 系统中的文件,而在引导系统后,他们将无权访问这些文件。要阻止此类访问或防止用户引导某些菜单项,请设置引导口令。

重要
重要:引导需要口令

如果设置了引导口令,则每次引导时都需要输入该口令,这意味着系统不会自动引导。

按如下步骤设置引导口令。或者使用 YaST(使用口令保护引导加载程序 )。

  1. 使用 grub2-mkpasswd-pbkdf2 来加密口令:

    tux > sudo grub2-mkpasswd-pbkdf2
    Password: ****
    Reenter password: ****
    PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.9CA4611006FE96BC77A...
  2. 将生成的字符串连同 set superusers 命令一起粘贴到文件 /etc/grub.d/40_custom 中。

    set superusers="root"
    password_pbkdf2 root grub.pbkdf2.sha512.10000.9CA4611006FE96BC77A...
  3. 要将更改导入到主要配置文件中,请运行:

    tux > sudo grub2-mkconfig -o /boot/grub2/grub.cfg

在重引导后,当您尝试引导某个菜单项时,系统会提示您输入用户名和口令。输入 root 以及您在执行 grub2-mkpasswd-pbkdf2 命令期间键入的口令。如果身份凭证正确,系统将引导选定的引导项。

有关详细信息,请参见https://www.gnu.org/software/grub/manual/grub.html#Security

14.3 使用 YaST 配置引导加载程序

SUSE Linux Enterprise Server 系统中,配置引导加载程序一般选项最简单的方式就是使用 YaST 模块。在 YaST 控制中心,选择系统 ›  引导加载程序。该模块会显示您系统的当前引导加载程序配置,并允许您进行更改。

使用引导代码选项选项卡可查看和更改类型、位置和高级加载程序设置的相关设置。您可以选择要在标准模式还是 EFI 模式下使用 GRUB 2。

引导代码选项
图 14.2︰ 引导代码选项
重要
重要:EFI 系统要求使用 GRUB2-EFI

如果您使用的是 EFI 系统,则只能安装 GRUB2-EFI,否则您的系统不再能够引导。

重要
重要:重新安装引导加载程序

要重新安装引导加载程序,请务必在 YaST 中更改设置,然后再将其改回来。例如,要重新安装 GRUB2-EFI,请先选择 GRUB2,然后立即将其切换回 GRUB2-EFI

否则,可能只会重新安装引导加载程序的一部分。

注意
注意:自定义引导加载程序

要使用此处未列出的引导加载程序,请选择不要安装任何引导加载程序。在选择该选项之前,请仔细阅读您的引导加载程序文档。

14.3.1 引导加载程序位置和引导代码选项

引导加载程序的默认位置为主引导记录 (MBR) 或 / 分区的引导扇区,具体视分区设置而定。要修改引导加载程序的位置,请遵循以下步骤:

过程 14.1︰ 更改引导加载程序位置
  1. 选择引导代码选项选项卡,然后为引导加载程序位置选择以下某个选项:

    从主引导记录引导

    选择此选项将在包含 /boot 目录的磁盘 MBR 中安装引导加载程序。通常,这将是挂载到 / 的磁盘,但如果 /boot 挂载到其他磁盘上的独立分区中,则将会使用该磁盘的 MBR。

    从根分区引导

    这将在 / 分区的引导扇区安装引导加载程序。

    自定义根分区

    手动使用此选项来指定引导加载程序的位置。

  2. 单击确定以应用更改。

代码选项
图 14.3︰ 代码选项

引导代码选项选项卡包含以下额外的选项:

在分区表中设置活动标志,以引导分区

激活包含 /boot 目录的分区。对于 POWER 系统,则会激活 PReP 分区。此选项用于具有旧 BIOS 的系统和/或旧式操作系统,因为它们可能无法从非活动的分区引导。您可以放心地启用此选项。

将通用引导代码写入 MBR 中

如果 MBR 包含自定义的“非 GRUB”代码,此选项会用不受操作系统限制的通用代码替换该代码。如果您停用此选项,系统可能变得无法引导。

启用可信引导支持

启动支持可信计算功能(可信平台模块 (TPM))的 TrustedGRUB2。有关详细信息,请参见https://github.com/Sirrix-AG/TrustedGRUB2

保护性 MBR 标志部分包含以下选项:

set

适用于传统旧式 BIOS 引导。

remove

适用于 UEFI 引导。

do not change

如果您已有一个正常运行的系统,这通常是最适合的选项。

大多数情况下,YaST 默认会使用适合的选项。

14.3.2 调整磁盘顺序

如果您的计算机有多个硬盘,您可以指定磁盘的引导顺序。如果从 MBR 引导,将在列表中的第一个磁盘中安装 GRUB 2。默认在该磁盘中安装 SUSE Linux Enterprise Server。列表的其余部分是有关 GRUB 2 的设备映射程序的提示(请参见第 14.2.4 节 “BIOS 驱动器与 Linux 设备之间的映射”)。

警告
警告:无法引导的系统

通常情况下,默认值几乎对所有部署都有效。如果您错误地更改了磁盘的引导顺序,系统下次重引导时可能无法引导。例如,如果列表中的第一个磁盘不在 BIOS 引导序列中,并且列表中的其他磁盘有空 MBR,系统将无法引导。

过程 14.2︰ 设置磁盘顺序
  1. 打开引导代码选项选项卡。

  2. 单击编辑磁盘引导顺序

  3. 如果列出了多个磁盘,请选择一个,然后单击向上向下来对显示的磁盘重新排序。

  4. 单击确定两次以保存更改。

14.3.3 配置高级选项

可以通过引导加载程序选项选项卡来配置高级引导参数。

14.3.3.1 引导加载程序选项选项卡

引导加载程序选项
图 14.4︰ 引导加载程序选项
引导加载程序超时

通过键入新值或者用鼠标单击相应的方向键来更改超时(以秒为单位)的值。

探测外来操作系统

如果选择该选项,引导加载程序将会搜索其他系统(例如 Windows)或其他 Linux 安装。

引导时隐藏菜单

隐藏引导菜单并引导默认项。

调整默认引导项

默认引导部分列表中选择所需的项。请注意,引导项名称中的>符号用于分隔引导部分及其子部分。

使用口令保护引导加载程序

使用一个附加的口令保护引导加载程序和系统。有关手动配置的细节,请参见第 14.2.6 节 “设置引导口令”。如果激活此选项,则每次引导时都需要输入该引导口令,这意味着系统不会自动引导。但是,如果您更喜欢 GRUB 1 的行为方式,请额外启用仅防止修改引导项。使用此设置时,任何人都可以选择引导项并引导系统,仅在修改引导项时,才需要提供 GRUB 2 root 用户的口令。

14.3.3.2 内核参数选项卡

内核参数
图 14.5︰ 内核参数
可选的内核命令行参数

在此处指定可选的内核参数,以启用/禁用系统功能、添加驱动程序,等等。

CPU 缓解措施

SUSE 针对为防御 CPU 边信道攻击而部署的所有软件缓解措施发布了一个或多个内核引导命令行参数。其中一些参数可能会导致性能损失。请根据您的设置选择以下其中一个选项,在安全性和性能之间取得平衡:

自动 启用您的 CPU 型号所需的全部缓解措施,但不防范跨 CPU 线程的攻击。此设置可能会在一定程度上影响性能,具体视工作负载而定。

自动 + 禁用 SMT 提供整套可用的安全缓解措施。启用您的 CPU 型号所需的全部缓解措施。此外,它还会禁用同步多线程 (SMT),以免受到跨多个 CPU 线程发起的边信道攻击。此设置可能会进一步影响性能,具体取决于工作负载。

禁用所有缓解措施。CPU 可能会遭到边信道攻击,具体取决于 CPU 型号。此设置不会对性能造成任何影响。

手动 不设置任何缓解措施级别。请使用内核命令行选项手动指定 CPU 缓解措施。

使用图形控制台

如果选中该选项,引导菜单会显示在图形启动屏幕中,而不是以文本模式显示。默认情况下,系统会自动设置引导屏幕的分辨率,但您可以通过控制台分辨率手动进行设置。可以使用控制台主题文件选择器指定图形主题定义文件。请仅在您想要应用自己的定制主题时,才更改此设置。

使用串行控制台

如果您的计算机是通过串行控制台控制的,则可激活此选项并指定要使用的 COM 端口及其运行速度。请参见 info grubhttp://www.gnu.org/software/grub/manual/grub.html#Serial-terminal

14.4 IBM Z 上终端使用方式的差异

在 3215 和 3270 终端上,光标的移动方式以及在 GRUB 2 中发出编辑命令的方式存在一些差异和限制。

14.4.1 限制

交互能力

交互性存在严重的限制。键入时通常不能获得直观的反馈。要查看光标所在的位置,请键入下划线 (_)。

注意
注意:3270 与 3215 的对比

与 3215 终端相比,3270 终端在显示和刷新屏幕方面要好得多。

光标的移动

无法进行传统的光标移动操作。AltMetaCtrl 和光标键不起作用。要移动光标,请使用第 14.4.2 节 “组合键”中列出的组合键。

加字符

插入符 (^) 用作控制字符。要键入文本 ^ 后再键入一个字母,请键入 ^^字母

输入

Enter 键不起作用,请改用 ^J

14.4.2 组合键

常用的替代键

^J

确认(Enter

^L

中止,返回前一状态

^I

Tab 键补全(在编辑模式与外壳模式下)

菜单模式下可用的键:

^A

移到第一项

^E

移到最后一项

^P

移到上一项

^N

移到下一项

^G

上移一页

^C

下移一页

^F

引导选定的项或进入子菜单(与 ^J 的作用相同)

E

编辑选定的项

C

进入 GRUB-Shell

编辑模式下可用的键:

^P

上移一行

^N

下移一行

^B

向左移一个字符

^F

向右移一个字符

^A

移到行首

^E

移到行尾

^H

退格

^D

delete

^K

删除光标起当前行

^Y

复制

^O

插入空行

^L

刷新屏幕

^X

引导项

^C

进入 GRUB-Shell

命令行模式下可用的键:

^P

上一个命令

^N

历史中的下一个命令

^A

移到行首

^E

移到行尾

^B

向左移一个字符

^F

向右移一个字符

^H

退格

^D

delete

^K

删除光标起当前行

^U

删除行

^Y

复制

14.5 有用的 GRUB 2 命令

grub2-mkconfig

基于 /etc/default/grub 以及 /etc/grub.d/ 中的脚本生成新的 /boot/grub2/grub.cfg

例 14.1︰ grub2-mkconfig 用法
grub2-mkconfig -o /boot/grub2/grub.cfg
提示
提示:语法检查

运行不带任何参数的 grub2-mkconfig 会将配置打印到 STDOUT 中供用户查看。在写入 /boot/grub2/grub.cfg 后使用 grub2-script-check 可以检查其语法。

重要
重要:grub2-mkconfig 无法修复 UEFI 安全引导表

如果您使用的是 UEFI 安全引导,而您的系统无法再正常连接 GRUB 2,您可能需要另外重新安装 Shim 并重新生成 UEFI 引导表。要执行此操作,请使用:

root # shim-install --config-file=/boot/grub2/grub.cfg
grub2-mkrescue

为安装的 GRUB 2 配置创建一个可引导的救援映像。

例 14.2︰ grub2-mkrescue 用法
grub2-mkrescue -o save_path/name.iso iso
grub2-script-check

检查给定文件中有无语法错误。

例 14.3︰ grub2-script-check 用法
grub2-script-check /boot/grub2/grub.cfg
grub2-once

仅设置下次引导的默认引导项。要获取可用引导项的列表,请使用 --list 选项。

例 14.4︰ grub2-once 用法
grub2-once number_of_the_boot_entry
提示
提示:grub2-once 帮助

不使用任何选项调用该程序可以获取所有可用选项的完整列表。

14.6 更多信息

https://www.gnu.org/software/grub/ 上提供了有关 GRUB 2 的大量信息。还请参见 grub 信息页面。您也可以在技术信息搜索 () 中搜索关键字GRUB 2https://www.suse.com/support,以获取有关特殊问题的信息。

15 systemd 守护程序

systemd 负责初始化系统,它的进程 ID 为 1。systemd 由内核直接启动,信号 9(该信号通常会终止进程)对它不起作用。所有其他程序或由 systemd 直接启动,或由它的其中一个子进程启动。systemd 取代了 System V init 守护程序,并且通过支持 init 脚本与 System V init 完全兼容。

systemd 的主要优点是通过并行化服务启动,大大加快了引导速度。另外,systemd 只在确实有需要时才会启动服务。即不会在系统引导时无条件启动守护程序,而是在第一次需要时才会启动。systemd 还支持内核控制组 (cgroup)、创建快照和恢复系统状态。有关更多细节,请参见 http://www.freedesktop.org/wiki/Software/systemd/

15.1 systemd 概念

下面的部分解释了 systemd 背后的概念。

systemd 是适用于 Linux 的系统和会话管理器,它与 System V 及 LSB init 脚本兼容。systemd 的主要功能包括:

  • 并行化能力

  • 使用套接字及 D-Bus 激活来启动服务

  • 按需启动守护程序

  • 使用 Linux cgroup 跟踪进程

  • 创建快照和恢复系统状态

  • 维护挂载点和自动挂载点

  • 实施精细的、基于事务依赖性的服务控制逻辑

15.1.1 单元文件

单元配置文件包含有关以下项目的信息:服务、套接字、设备、挂载点、自动挂载点、交换文件或分区、启动目标、监控的文件系统路径、受 systemd 控制和监管的计时器、临时系统状态快照、资源管理部分或一组外部创建的进程。

单元文件是 systemd 用于描述下列各项的通用术语:

  • 服务: 进程相关信息(例如运行守护程序);文件以 .service 结尾

  • 目标: 用于将单元分组以及在启动期间用作同步点;文件以 .target 结尾

  • 套接字: IPC 或网络套接字或文件系统 FIFO 相关信息,适用于基于套接字的激活(如 inetd);文件以 .socket 结尾

  • 路径: 用于触发其他单元(例如,在文件更改时运行服务);文件以 .path 结尾

  • 计时器: 受控制计时器相关信息,适用于基于计时器的激活;文件以 .timer 结尾

  • 挂载点: 通常由 fstab 生成器自动生成;文件以 .mount 结尾

  • 自动挂载点: 文件系统自动挂载点相关信息;文件以 .automount 结尾

  • 交换: 内存分页的交换设备或文件相关信息;文件以 .swap 结尾

  • 设备: sysfs/udev(7) 设备树中公开的设备相关信息;文件以 .device 结尾

  • 范围/部分: 有关分层管理一组进程的资源的概念;文件以 .scope/.slice 结尾

有关 systemd 单元文件的详细信息,请参见 http://www.freedesktop.org/software/systemd/man/systemd.unit.html

15.2 基本用法

System V init 系统使用若干命令来处理服务:init 脚本、insservtelinit 及其他。systemd 可简化服务管理,因为对于大部分处理服务的任务,只需要记住一条命令:systemctl。它使用命令加子命令表示法,与 gitzypper 相似:

systemctl GENERAL OPTIONS SUBCOMMAND SUBCOMMAND OPTIONS

有关完整的手册,请参见 man 1 systemctl

提示
提示:终端输出和 Bash 补全

如果输出传递到某个终端(而不是某个管道或文件),systemd 命令默认会将长输出发送到分页器。使用 --no-pager 选项可关闭分页模式。

systemd 还支持 bash 补全,允许您输入子命令的头几个字母,然后按 →|。此功能只能在 bash 外壳中使用,并且需要安装 bash-completion 软件包。

15.2.1 管理正在运行的系统中的服务

用于管理服务的子命令与使用 System V init 管理服务的子命令相同(startstop 等)。服务管理命令的一般语法如下所示:

systemd
systemctl reload|restart|start|status|stop|... MY_SERVICE(S)
System V init
rcMY_SERVICE(S) reload|restart|start|status|stop|...

systemd 允许您一次管理多个服务。不用像 System V init 要逐个执行 init 脚本,而是执行如下命令:

tux > sudo systemctl start MY_1ST_SERVICE MY_2ND_SERVICE

要列出系统上所有可用的服务,请运行:

tux > sudo systemctl list-unit-files --type=service

下表列出了 systemd 和 System V init 最重要的服务管理命令:

表 15.1︰ 服务管理命令

任务

systemd 命令

System V init 命令

启动:

start
start

停止:

stop
stop

重启动: 关闭服务,然后再启动这些服务。如果某项服务尚未运行,它将会启动。

restart
restart

有条件地重启动: 如果服务当前正在运行,则重启动它们。对未在运行的服务不执行任何操作。

try-restart
try-restart

重新装载: 让服务在不中断操作的情况下重新装载它们的配置文件。使用案例:让 Apache 重新装载修改过的 httpd.conf 配置文件。请注意,并非所有服务都支持重新装载。

reload
reload

重新装载或重启动: 如果支持重新装载则重新装载服务,否则重启动服务。如果某项服务尚未运行,它将会启动。

reload-or-restart
n/a

有条件地重新装载或重启动: 如果支持重新装载则重新装载服务,否则,如果服务当前正在运行,则重启动服务。对未在运行的服务不执行任何操作。

reload-or-try-restart
n/a

获得详细的状态信息: 列出服务状态的相关信息。systemd 命令会显示说明、可执行文件、状态、cgroup 及服务发出的最新消息等细节(请参见第 15.6.9 节 “调试服务”)。使用 System V init 显示的详细程度因服务而异。

status
status

获得简要的状态信息: 显示服务是否处于活动状态。

is-active
status

15.2.2 永久启用/禁用服务

上一节中提到的服务管理命令可让您操控当前会话的服务。systemd 还允许您永久启用或禁用服务,让它们在用户要求时自动启动或永远不可用。您可以使用 YaST 或在命令行上运行命令来实现此目的。

15.2.2.1 在命令行上启用/禁用服务

下表列出了 systemd 和 System V init 用于启用和禁用服务的命令:

重要
重要:服务启动

在命令行上启用服务时,服务不会自动启动。它会安排在下一次系统启动或运行级别/目标发生更改时启动。要在启用服务之后立即启动它,请显式运行 systemctl start MY_SERVICErc MY_SERVICE start

表 15.2︰ 用于启用和禁用服务的命令

任务

systemd 命令

System V init 命令

启用:

systemctl enable MY_SERVICE(S)

insserv MY_SERVICE(S), chkconfig -a MY_SERVICE(S)

禁用:

systemctl disable MY_SERVICE(S).service

insserv -r MY_SERVICE(S)chkconfig -d MY_SERVICE(S)

检查: 显示某项服务是否启用。

systemctl is-enabled MY_SERVICE

chkconfig MY_SERVICE

重新启用: 与重启动服务相似,此命令先禁用服务,然后再启用该服务。可用来使用默认值重新启用服务。

systemctl reenable MY_SERVICE

屏蔽: 禁用某项服务之后,仍然可以手动启动它。要彻底禁用服务,您需要屏蔽它。须谨慎使用该功能。

systemctl mask MY_SERVICE

取消屏蔽: 屏蔽某项服务之后,只有在将其取消屏蔽之后才能再次使用它。

systemctl unmask MY_SERVICE

15.3 系统启动和目标管理

启动和关闭系统的整个过程由 systemd 负责维护。从这一点来看,可以将内核视为一个后台进程,其任务是维护所有其他进程,以及根据其他程序的请求来调整 CPU 时间和硬件访问。

15.3.1 目标与运行级别的比较

使用 System V init 时,系统引导到所谓的运行级别。运行级别定义系统如何启动以及正在运行的系统中有哪些服务可用。运行级别是有编号的;最知名的运行级别是 0(关闭系统)、3(联网的多用户模式)和 5(联网并使用显示管理器的多用户模式)。

systemd 使用所谓的目标单元引入新的概念。不过,它仍然与运行级别概念完全兼容。目标单元用名称而不是编号来标识,并具有特定的作用。例如,目标 local-fs.targetswap.target 用于挂载本地文件系统和交换空间。

目标 graphical.target 提供联网并使用显示管理器的多用户系统,作用与运行级别 5 相当。复杂目标(如 graphical.target)通过将一部分其他目标组合起来充当目标。systemd 通过组合现有目标简化了创建自定义目标的工作,从而提供了极大的灵活性。

下面的列表显示了最重要的 systemd 目标单元。有关完整列表,请参见 man 7 systemd.special

选定的 systemd 目标单元
default.target

默认引导的目标。这并不是实际目标,而是指向另一个目标(如 graphic.target)的符号链接,可通过 YaST 永久更改(请参见第 15.4 节 “使用 YaST 管理服务”)。要为某个会话更改它,请在引导提示处使用内核参数 systemd.unit=MY_TARGET.target

emergency.target

在控制台上启动紧急外壳。请仅在引导提示处按以下格式使用它:systemd.unit=emergency.target

graphical.target

启动联网的具有多用户支持和显示管理器的系统。

halt.target

关闭系统。

mail-transfer-agent.target

启动发送和接收邮件所需的所有服务。

multi-user.target

启动联网的多用户系统。

reboot.target

重新引导系统。

rescue.target

启动不联网的单用户系统。

为了与 System V init 运行级别系统保持兼容,systemd 提供了名为 runlevelX.target 的特殊目标,与编号为 X 的相应运行级别相对应。

如果您想知道当前的目标,请使用命令:systemctl get-default

表 15.3︰ System V 运行级别和 systemd 目标单元

System V 运行级别

systemd 目标

用途

0

runlevel0.targethalt.targetpoweroff.target

系统关闭

1、S

runlevel1.targetrescue.target

单用户模式

2

runlevel2.targetmulti-user.target

无远程联网的本地多用户模式

3

runlevel3.targetmulti-user.target

完整的联网多用户模式

4

runlevel4.target

未使用/用户定义

5

runlevel5.targetgraphical.target

联网并使用显示管理器的完整多用户模式

6

runlevel6.targetreboot.target

系统重引导

重要
重要:systemd 会忽略 /etc/inittab

System V init 系统中的运行级别在 /etc/inittab 中配置。systemd 使用此配置。有关如何创建您自己的可引导目标的指导,请参考第 15.5.4 节 “创建自定义目标”

15.3.1.1 用于更改目标的命令

可使用下列命令来操作目标单元:

任务

systemd 命令

System V init 命令

更改当前目标/运行级别

systemctl isolate MY_TARGET.target

telinit X

更改为默认目标/运行级别

systemctl default

获得当前目标/运行级别

systemctl list-units --type=target

对于 systemd,一般会有多个活动目标。该命令可列出当前处于活动状态的所有目标。

who -r

runlevel

永久更改默认运行级别

使用服务管理器或运行以下命令:

ln -sf /usr/lib/systemd/system/ MY_TARGET.target /etc/systemd/system/default.target

使用服务管理器或更改以下行

id: X:initdefault:

/etc/inittab 中)

更改当前引导进程的默认运行级别

在引导提示处输入以下选项

systemd.unit= MY_TARGET.target

在引导提示处输入所需的运行级别编号。

显示目标/运行级别的依赖项

systemctl show -p "Requires" MY_TARGET.target

systemctl show -p "Wants" MY_TARGET.target

Requires 会列出硬性依赖项(必须解决的依赖项),而 Wants 会列出软性依赖项(情况允许时解决的依赖项)。

15.3.2 调试系统的启动

systemd 提供了分析系统启动过程的方法。您可以查看所有服务及其状态的列表(而不必分析 /var/log/)。systemd 还允许您扫描启动过程,以了解每项服务启动用了多长时间。

15.3.2.1 查看服务的启动情况

要查看系统引导后所启动服务的完整列表,请输入命令 systemctl。该命令会列出所有活动服务,如下所示(已精简)。要获得特定服务的详细信息,请使用 systemctl status MY_SERVICE

例 15.1︰ 列出活动服务
root # systemctl
UNIT                        LOAD   ACTIVE SUB       JOB DESCRIPTION
[...]
iscsi.service               loaded active exited    Login and scanning of iSC+
kmod-static-nodes.service   loaded active exited    Create list of required s+
libvirtd.service            loaded active running   Virtualization daemon
nscd.service                loaded active running   Name Service Cache Daemon
chronyd.service             loaded active running   NTP Server Daemon
polkit.service              loaded active running   Authorization Manager
postfix.service             loaded active running   Postfix Mail Transport Ag+
rc-local.service            loaded active exited    /etc/init.d/boot.local Co+
rsyslog.service             loaded active running   System Logging Service
[...]
LOAD   = Reflects whether the unit definition was properly loaded.
ACTIVE = The high-level unit activation state, i.e. generalization of SUB.
SUB    = The low-level unit activation state, values depend on unit type.

161 loaded units listed. Pass --all to see loaded but inactive units, too.
To show all installed unit files use 'systemctl list-unit-files'.

要想只列出无法启动的服务,请使用 --failed 选项。

例 15.2︰ 列出失败的服务
root # systemctl --failed
UNIT                   LOAD   ACTIVE SUB    JOB DESCRIPTION
apache2.service        loaded failed failed     apache
NetworkManager.service loaded failed failed     Network Manager
plymouth-start.service loaded failed failed     Show Plymouth Boot Screen

[...]

15.3.2.2 调试启动时间

为了调试系统启动时间,systemd 提供了 systemd-analyze 命令。该命令会显示总启动时间及按启动时间排序的服务列表,还可以生成 SVG 图,以显示各服务相对于其他服务的启动时间。

列出系统启动时间
root # systemd-analyze
Startup finished in 2666ms (kernel) + 21961ms (userspace) = 24628ms
列出服务启动时间
root # systemd-analyze blame
    15.000s backup-rpmdb.service
    14.879s mandb.service
     7.646s backup-sysconfig.service
     4.940s postfix.service
     4.921s logrotate.service
     4.640s libvirtd.service
     4.519s display-manager.service
     3.921s btrfsmaintenance-refresh.service
     3.466s lvm2-monitor.service
     2.774s plymouth-quit-wait.service
     2.591s firewalld.service
     2.137s initrd-switch-root.service
     1.954s ModemManager.service
     1.528s rsyslog.service
     1.378s apparmor.service
    [...]
服务启动时间图
root # systemd-analyze plot > jupiter.example.com-startup.svg
Image

15.3.2.3 查看完整的启动过程

上面的命令列出了已启动的服务及其启动时间。如需更详细的概述,请在引导提示符处指定以下参数,以指示 systemd 创建完整启动过程的详细日志。

systemd.log_level=debug systemd.log_target=kmsg

现在,systemd 会将日志消息写入内核环缓冲区。使用 dmesg 查看该缓冲区:

tux > dmesg -T | less

15.3.3 System V 兼容性

systemd 与 System V 兼容,因此,您仍可以使用现有的 System V init 脚本。但是,至少有一个已知问题会导致 System V init 脚本不能立即与 systemd 配合使用:通过 init 脚本中的 susudo 以其他用户身份启动服务会导致脚本失败,生成访问被拒绝错误。

使用 susudo 更改用户时,会启动 PAM 会话。完成 init 脚本后会终止此会话。因此,init 脚本启动的服务也会终止。要解决此问题,请执行以下步骤:

  1. 创建与 init 脚本同名、扩展名为 .service 的服务文件封装程序:

    [Unit]
    Description=DESCRIPTION
    After=network.target
    
    [Service]
    User=USER
    Type=forking1
    PIDFile=PATH TO PID FILE1
    ExecStart=PATH TO INIT SCRIPT start
    ExecStop=PATH TO INIT SCRIPT stop
    ExecStopPost=/usr/bin/rm -f PATH TO PID FILE1
    
    [Install]
    WantedBy=multi-user.target2

    UPPERCASE LETTERS 中写入的所有值替换为适当的值。

    1

    可选 — 仅当 init 脚本启动守护程序时才使用。

    2

    multi-user.target 在引导进入 graphical.target 时也会启动 init 脚本。如果只应在引导进入显示管理器时才将它启动,请在此处使用 graphical.target

  2. 使用 systemctl start 应用程序启动守护程序。

15.4 使用 YaST 管理服务

基本服务管理也可以通过 YaST 服务管理器模块实现。该模块支持启动、停止、启用和禁用服务。它还可让您显示服务的状态以及更改默认目标。要启动 YaST 模块,请选择 YaST ›  系统 ›  服务管理器

服务管理器
图 15.1︰ 服务管理器
更改默认系统目标

要更改系统引导到的目标,请从默认系统目标下拉框中选择某个目标。最常用的目标是图形界面(启动图形登录屏幕)和多用户(以命令行模式启动系统)。

启动或停止服务

从表中选择一个服务。状态列显示它当前是(活动)否(非活动)正在运行。通过选择启动停止可切换其状态。

为当前正在运行的会话启动或停止服务会更改其状态。要更改服务在整个重引导过程中的状态,您需要启用或禁用服务。

定义服务启动行为

服务可以在引导时自动启动,也可以手动启动。从表中选择一个服务。启动列显示它当前是手动启动还是引导时启动。通过选择启动模式可切换其状态。

要在当前会话中更改服务状态,您需要按照上述方式启动或停止服务。

查看状态消息

要查看某个服务的状态消息,请从列表中选择该服务,然后选择显示细节。您看到的输出与 systemctl -l status MY_SERVICE 命令生成的输出完全相同。

15.5 自定义 systemd

以下几节介绍了 systemd 自定义的一些示例。

警告
警告:防止您的自定义被覆盖

在自定义 systemd 时,请务必使用目录 /etc/systemd/切勿使用 /usr/lib/systemd/。否则,您的更改将在 systemd 下次更新时被覆盖。

15.5.1 自定义单元文件

建议使用 systemctl edit SERVICE 命令来自定义单元文件。此命令会启动默认的文本编辑器,并创建一个在 /etc/systemd/system/NAME.service.d/ 中包含 override.conf 文件的目录。该命令还确保会向正在运行的 systemd 进程通知这些更改。

或者,您可以通过运行 systemctl edit --full SERVICE 打开原始文件的副本进行编辑,而不是打开空白文件。编辑文件时,请确保未去除任何现有部分。

下面将练习如何更改系统等待 MariaDB 启动的时间。以 root 身份运行 systemctl edit --full mariadb.service。打开的文件如下所示:

[Unit]
Description=MySQL server
Wants=basic.target
Conflicts=mariadb.target
After=basic.target network.target

[Install]
WantedBy=multi-user.target
Alias=mysql.service

[Service]
Restart=on-abort
Type=notify
ExecStartPre=/usr/lib/mysql/mysql-systemd-helper  install
ExecStartPre=/usr/lib/mysql/mysql-systemd-helper  upgrade
ExecStart=/usr/lib/mysql/mysql-systemd-helper     start

# Configures the time to wait for start-up/stop
TimeoutSec=300

# Prevent writes to /usr, /boot, and /etc
ProtectSystem=full

# Prevent accessing /home, /root and /run/user
ProtectHome=true

UMask=007

调整 TimeoutSec 值并保存更改。要启用更改,请以 root 身份运行 systemctl daemon-reload

有关详细信息,请参考可使用 man 1 systemctl 命令调用的手册页。

15.5.2 创建插入式文件

要对配置文件进行细微更改,请使用所谓的插入式文件。使用插入式文件,您无需编辑或覆盖单元文件本身,即可扩展单元文件的配置。

例如,要更改位于 /usr/lib/systemd/system/FOOBAR.SERVICEFOOBAR 服务的单个值,请按以下步骤操作:

  1. 创建名为 /etc/systemd/system/FOOBAR.service.d/ 的目录。

    注意 .d 后缀。该目录必须命名为与要用插入式文件修补的服务相似的名称。

  2. 在该目录中,创建 your_modification.conf 文件。

    确保文件中仅包含要修改的值所在的那一行。

  3. 将更改保存到 文件中。

注意
注意:避免名称冲突

为避免插入式文件与 SUSE 自带的文件之间出现名称冲突,建议在所有插入式文件名前加上一个两位数和一个短划线:例如,80-override.conf

以下范围为预留值范围:

  • 0-19,为 systemd 上游预留

  • 20-25,为 SUSE 自带的 systemd 预留

  • 26-29,为 SUSE 软件包(systemd 除外)预留

  • 50,为使用 systemctl set-property 创建的插入式文件预留

请使用大于此范围的两位数,以确保 SUSE 自带的任何插入式文件都不会覆盖您自己的插入式文件。

您可以使用 systemctl cat $UNIT 来列出并校验哪些文件考虑纳入单元配置。

15.5.3 xinetd 服务转换为 systemd

SUSE Linux Enterprise Server 15 版本开始,去除了 xinetd 基础架构。本节概述如何将现有的自定义 xinetd 服务文件转换为 systemd 套接字。

对于每个 xinetd 服务文件,您至少要有两个 systemd 单元文件:套接字文件 (*.socket) 和关联的服务文件 (*.service)。套接字文件告诉 systemd 要创建哪个套接字,服务文件告诉 systemd 要启动哪个可执行文件。

以下面的 xinetd 服务文件为例:

root # cat /etc/xinetd.d/example
service example
{
  socket_type = stream
  protocol = tcp
  port = 10085
  wait = no
  user = user
  group = users
  groups = yes
  server = /usr/libexec/example/exampled
  server_args = -auth=bsdtcp exampledump
  disable = no
}

要将它转换为 systemd,需要下面两个配套的文件:

root # cat /usr/lib/systemd/system/example.socket
[Socket]
ListenStream=0.0.0.0:10085
Accept=false

[Install]
WantedBy=sockets.target
root # cat /usr/lib/systemd/system/example.service
[Unit]
Description=example

[Service]
ExecStart=/usr/libexec/example/exampled -auth=bsdtcp exampledump
User=user
Group=users
StandardInput=socket

有关 systemd 的“套接字”和“服务”文件选项的完整列表,请参见 systemd.socket 和 systemd.service 手册页(man 5 systemd.socketman 5 systemd.service)。

15.5.4 创建自定义目标

System V init SUSE 系统上未使用运行级别 4,以便允许管理员创建自己的运行级别配置。systemd 允许您创建任意数目的自定义目标。建议您从采用 graphical.target 等现有目标开始。

  1. 将配置文件 /usr/lib/systemd/system/graphical.target 复制到 /etc/systemd/system/MY_TARGET.target,并根据需要调整该文件。

  2. 上一步中复制的配置文件已涵盖目标的必要(硬性)依赖项。如果还要涵盖需要的(软性)依赖项,请创建目录 /etc/systemd/system/MY_TARGET.target.wants

  3. 对每个需要的服务,创建从 /usr/lib/systemd/system 链到 /etc/systemd/system/MY_TARGET.target.wants 的符号链接。

  4. 设置好目标后,重新装载 systemd 配置以使新目标可用:

    tux > sudo systemctl daemon-reload

15.6 高级用法

以下几节介绍了适合系统管理员的高级主题。有关更高级的 systemd 文档,请参考 Lennart Pöttering 撰写的适用于管理员的 systemd 相关系列,网址为 http://0pointer.de/blog/projects

15.6.1 清理临时目录

systemd 支持定期清理临时目录。将会自动迁移并激活前一系统版本中的配置。tmpfiles.d(负责管理临时文件)将从 /etc/tmpfiles.d/*.conf/run/tmpfiles.d/*.conf/usr/lib/tmpfiles.d/*.conf 文件中读取其配置。/etc/tmpfiles.d/*.conf 中的配置将覆盖其他两个目录中的相关配置(/usr/lib/tmpfiles.d/*.conf 是软件包用于储存其配置文件的位置)。

配置格式为每个路径一行,该行包含操作与路径、(可选)模式、所有权、期限和参数字段,具体取决于操作。以下示例将取消链接 X11 锁定文件:

Type Path               Mode UID  GID  Age Argument
r    /tmp/.X[0-9]*-lock

要获取 tmpfile 计时器的状态:

tux > sudo systemctl status systemd-tmpfiles-clean.timer
systemd-tmpfiles-clean.timer - Daily Cleanup of Temporary Directories
 Loaded: loaded (/usr/lib/systemd/system/systemd-tmpfiles-clean.timer; static)
 Active: active (waiting) since Tue 2018-04-09 15:30:36 CEST; 1 weeks 6 days ago
   Docs: man:tmpfiles.d(5)
         man:systemd-tmpfiles(8)

Apr 09 15:30:36 jupiter systemd[1]: Starting Daily Cleanup of Temporary Directories.
Apr 09 15:30:36 jupiter systemd[1]: Started Daily Cleanup of Temporary Directories.

有关处理临时文件的详细信息,请参见 man 5 tmpfiles.d

15.6.2 系统日志

第 15.6.9 节 “调试服务” 介绍如何查看给定服务的日志消息。但可显示的日志消息并不仅限于服务日志。您还可以访问和查询 systemd 写入的完整日志,即所谓的日志。使用 journalctl 命令可显示完整的日志消息,从最早的项开始。有关诸如应用过滤器或更改输出格式的选项,请参考 man 1 journalctl

15.6.3 快照

您可以使用 isolate 子命令将 systemd 的当前状态保存到指定快照中,并在日后还原到该状态。此功能在测试服务或自定义目标时非常有用,因为它可让您随时回到定义的状态。快照仅在当前会话中可用,重引导时将自动删除。快照名称必须以 .snapshot 结尾。

创建快照
tux > sudo systemctl snapshot MY_SNAPSHOT.snapshot
删除快照
tux > sudo systemctl delete MY_SNAPSHOT.snapshot
查看快照
tux > sudo systemctl show MY_SNAPSHOT.snapshot
激活快照
tux > sudo systemctl isolate MY_SNAPSHOT.snapshot

15.6.4 装载内核模块

通过使用 systemd 以及 /etc/modules-load.d 中的配置文件,可以在引导时自动装载内核模块。该文件应该命名为 MODULE.conf 并包含以下内容:

# load module MODULE at boot time
MODULE

如果某个软件包安装了用于装载内核模块的配置文件,该文件将安装到 /usr/lib/modules-load.d。如果存在两个同名的配置文件,将优先使用 /etc/modules-load.d 中的那个配置文件。

有关详细信息,请参见 modules-load.d(5) 手册页。

15.6.5 装载服务之前执行操作

使用 System V init 时,需要在装载服务之前执行的操作必须在 /etc/init.d/before.local 中指定。systemd 不再支持此过程。如果您需要在启动服务之前执行操作,请执行以下步骤:

装载内核模块

/etc/modules-load.d 目录中创建一个 drop-in 文件(有关语法,请参见 man modules-load.d

创建文件或目录、清理目录、更改所有权

/etc/tmpfiles.d 中创建一个 drop-in 文件(有关语法,请参见 man tmpfiles.d

其他任务

基于下面的模板创建一个系统服务文件,例如 /etc/systemd/system/before.service

[Unit]
Before=NAME OF THE SERVICE YOU WANT THIS SERVICE TO BE STARTED BEFORE
[Service]
Type=oneshot
RemainAfterExit=true
ExecStart=YOUR_COMMAND
# beware, executable is run directly, not through a shell, check the man pages
# systemd.service and systemd.unit for full syntax
[Install]
# target in which to start the service
WantedBy=multi-user.target
#WantedBy=graphical.target

创建服务文件后,应运行以下命令(以 root 身份):

tux > sudo systemctl daemon-reload
tux > sudo systemctl enable before

每次修改服务文件时,都需要运行:

tux > sudo systemctl daemon-reload

15.6.6 内核控制组 (cgroup)

在传统 System V init 系统上,并不总是能够明确地将某个进程指派给生成它的服务。一些服务(例如 Apache)会生成大量第三方进程(例如 CGI 或 Java 进程),这些进程本身又会生成更多进程。这使得明确指派变得非常困难,甚至无法做到。另外,服务可能不会正常终止,导致部分子服务仍保持运行状态。

systemd 通过将每个服务放入它自己的 cgroup 中,解决了这个问题。cgroups 是一项内核功能,允许将进程及其所有子进程聚合到分层组织的组中。systemd 根据每个 cgroup 的服务名称命名各 cgroup。因为非特权进程不允许离开它的 cgroup,这提供了一种行之有效的方式,可通过服务名称来标记该服务生成的所有进程。

要列出属于某个服务的所有进程,请使用命令 systemd-cgls。结果将如下所示(已精简):

例 15.3︰ 列出属于某个服务的所有进程
root # systemd-cgls --no-pager
├─1 /usr/lib/systemd/systemd --switched-root --system --deserialize 20
├─user.slice
│ └─user-1000.slice
│   ├─session-102.scope
│   │ ├─12426 gdm-session-worker [pam/gdm-password]
│   │ ├─15831 gdm-session-worker [pam/gdm-password]
│   │ ├─15839 gdm-session-worker [pam/gdm-password]
│   │ ├─15858 /usr/lib/gnome-terminal-server

[...]

└─system.slice
  ├─systemd-hostnamed.service
  │ └─17616 /usr/lib/systemd/systemd-hostnamed
  ├─cron.service
  │ └─1689 /usr/sbin/cron -n
  ├─postfix.service
  │ ├─ 1676 /usr/lib/postfix/master -w
  │ ├─ 1679 qmgr -l -t fifo -u
  │ └─15590 pickup -l -t fifo -u
  ├─sshd.service
  │ └─1436 /usr/sbin/sshd -D

[...]

有关 cgroups 的更多信息,请参见Book “系统分析和微调指南”, Chapter 9 “内核控制组”

15.6.7 终止服务(发送信号)

第 15.6.6 节 “内核控制组 (cgroup)”中所述,在 System V init 系统中,并不总是能够将某个进程指派给其父服务。这导致终止服务及其所有子进程变得很困难。尚未终止的子进程将一直保持为僵停状态。

systemd 的概念是将每个服务限定在某个 cgroup 中,从而可以明确识别一个服务的所有子进程,因此可让您将信号发送到这些进程中的每一个进程。您可使用 systemctl kill 向服务发送信号。有关可用信号的列表,请参考 man 7 signals

向服务发送 SIGTERM

SIGTERM 是发送的默认信号。

tux > sudo systemctl kill MY_SERVICE
向服务发送 SIGNAL

可使用 -s 选项指定应该发送的信号。

tux > sudo systemctl kill -s SIGNAL MY_SERVICE
选择进程

默认情况下,kill 命令会向指定 cgroup 的所有进程发送信号。您可以将发送范围限制为 controlmain 进程。后一个选项可用于通过发送 SIGHUP 强制服务重新装载其配置的情况:

tux > sudo systemctl kill -s SIGHUP --kill-who=main MY_SERVICE

15.6.8 有关 D-Bus 服务的重要说明

D-Bus 服务是 systemd 客户端与作为 pid 1 运行的 systemd 管理器之间进行通讯的消息总线。虽然 dbus 是个独立的守护程序,但它也是 init 基础架构的组成部分。

在正在运行的系统中终止或重启动 dbus 的效果类似于尝试终止或重启动 pid 1。此操作将中断 systemd 客户端与服务器间的通讯,并使大部分 systemd 功能不可用。

因此,不建议也不支持终止或重启动 dbus

更新 dbus 或与 dbus 有关的软件包需要重引导。如果不确定是否需要重引导,请运行 sudo zypper ps -s。如果 dbus 显示在所列服务之中,则表明您需要重引导系统。

请记住,即使自动更新配置为跳过需要重引导的软件包,dbus 仍会更新。

15.6.9 调试服务

默认情况下,systemd 的输出不会太详细。如果服务启动成功,则不会产生任何输出。如果服务启动失败,则会显示简短的错误消息。不过,systemctl status 提供了调试服务的启动和操作的途径。

systemd 附带了自己的日志记录机制(日志)来记录系统消息。这可让您一并显示服务消息与状态消息。status 命令的工作方式与 tail 相似,也可以采用不同的格式显示日志消息,是一个功能强大的调试工具。

显示服务启动失败消息

每当服务启动失败时,使用 systemctl status MY_SERVICE 可获得详细的错误消息:

root # systemctl start apache2
Job failed. See system journal and 'systemctl status' for details.
root # systemctl status apache2
   Loaded: loaded (/usr/lib/systemd/system/apache2.service; disabled)
   Active: failed (Result: exit-code) since Mon, 04 Apr 2018 16:52:26 +0200; 29s ago
   Process: 3088 ExecStart=/usr/sbin/start_apache2 -D SYSTEMD -k start (code=exited, status=1/FAILURE)
   CGroup: name=systemd:/system/apache2.service

Apr 04 16:52:26 g144 start_apache2[3088]: httpd2-prefork: Syntax error on line
205 of /etc/apache2/httpd.conf: Syntax error on li...alHost>
显示最后 N 条服务消息

status 子命令的默认行为是显示服务发出的最后 10 条消息。若要更改要显示的消息数目,请使用 --lines=N 参数:

tux > sudo systemctl status chronyd
tux > sudo systemctl --lines=20 status chronyd
以附加模式显示服务消息

要显示服务消息的实时流,请使用 --follow 选项,效果与 tail -f 相似:

tux > sudo systemctl --follow status chronyd
消息输出格式

--output=模式参数可让您更改服务消息的输出格式。最重要的可用模式包括:

short

默认格式。显示日志消息,以及用户能看懂的时戳。

verbose

所有字段的完整输出。

cat

精简输出,不含时戳。

15.7 systemd 计时器单元

与 cron 类似,systemd 计时器单元提供了一种在 Linux 上安排作业的机制。虽然 systemd 计时器单元的用途与 cron 相同,但其具备几项优点。

  • 使用计时器单元安排的作业可以依赖其他 systemd 服务。

  • 计时器单元被视为常规 systemd 服务,因此可以使用 systemctl 进行管理。

  • 计时器可以是实时计时器,也可以是单调计时器。

  • 时间单元会被记录到 systemd 日志中,使得更易于监视和查错。

systemd 计时器单元通过 .timer 文件扩展名标识。

15.7.1 systemd 计时器类型

计时器单元可以使用单调和实时计时器。

  • 与 cron 作业类似,实时计时器是根据日历事件触发的。实时计时器使用选项 OnCalendar 进行定义。

  • 单调计时器将从某个特定起点开始经过指定时间后触发。后者可以是系统引导或系统单元激活事件。有几个选项可用于定义单调计时器,包括 OnBootSecOnUnitActiveSecOnTypeSec。单调计时器不是永久的,每次重引导后都将被重置。

15.7.2 systemd 计时器和服务单元

每个计时器单元都必须有一个其所控制的对应 systemd 单元文件。也就是说,将由 .timer 文件激活并管理对应的 .service 文件。使用计时器时,.service 文件不需要 [Install] 部分,因为服务将由计时器管理。

15.7.3 具体示例

为了理解 systemd 计时器单元的基本知识,我们设置了一个触发 foo.sh 外壳脚本的计时器。

第一步是创建用于控制外壳脚本的 systemd 服务单元。为此,请打开一个新的文本文件进行编辑,并添加以下服务单元定义:

[Unit]
Description="Foo shell script"

[Service]
ExecStart=/usr/local/bin/foo.sh

将文件以名称 foo.service 保存到目录 /etc/systemd/system/ 中。

接下来,打开一个新的文本文件进行编辑,并添加以下计时器定义:

[Unit]
Description="Run foo shell script"

[Timer]
OnBootSec=5min
OnUnitActiveSec=24h
Unit=foo.service

[Install]
WantedBy=multi-user.target

上述示例中的 [Timer] 部分指定了要触发的服务 (foo.service) 以及触发时间。在本例中,选项 OnBootSec 指定了一个在系统引导后五分钟触发服务的单调计时器,而选项 OnUnitActiveSec 会在服务被激活后 24 小时触发服务(即计时器将每天触发一次服务)。最后,选项 WantedBy 指定应在系统达到多用户目标时启动计时器。

您也可以不指定单调计时器,而是使用选项 OnCalendar 指定实时计时器。下面的实时计时器定义从星期一 12:00 开始,每周触发一次相关服务单元。

[Timer]
OnCalendar=weekly
Persistent=true

选项 Persistent=true 表示如果计时器错过了上一次启动时间(例如,由于系统关闭),则会在计时器激活后立即触发服务。

选项 OnCalendar 还可以用于使用以下格式来定义触发服务的具体日期和时间:DayOfWeek Year-Month-Day Hour:Minute:Second。下面的示例会在每天早上 5 点触发服务:

OnCalendar=*-*-* 5:00:00

您可以使用星号指定任何值,使用逗号列出可能的值。使用由 .. 分隔的两个值可表示一个连续的范围。下面的示例会在每个月的星期五下午 6 点触发服务:

OnCalendar=Fri *-*-1..7 18:00:00

要在不同的时间触发服务,您可以指定多个 OnCalendar 项:

OnCalendar=Mon..Fri 10:00
OnCalendar=Sat,Sun 22:00

在上面的示例中,会在工作日的上午 10 点和周末的晚上 10 点触发服务。

编辑好计时器单元文件后,使用名称 foo.timer 将其保存到 /etc/systemd/system/ 目录中。要检查所创建的单元文件是否正确,请运行以下命令:

tux > sudo  systemd-analyze verify /etc/systemd/system/foo.*

如果命令未返回任何输出,则表示文件成功通过了校验。

要启动计时器,请使用命令 sudo systemctl start foo.timer。要在引导时启用计时器,请运行命令 sudo systemctl enable foo.timer

15.7.4 管理 systemd 计时器

由于计时器被视为常规 systemd 单元,因此您可以使用 systemctl 来管理它们。您可以使用 systemctl start 启动计时器,使用 systemctl enable 启用计时器,依此类推。除此之外,您还可以使用命令 systemctl list-timers 列出所有活动计时器。要列出包括非活动计时器在内的所有计时器,请运行命令 systemctl list-timers --all

15.8 更多信息

有关 systemd 的详细信息,请参考以下联机资源:

主页

http://www.freedesktop.org/wiki/Software/systemd

适用于管理员的 systemd

Lennart Pöttering 是 systemd 的作者之一,他撰写了一系列博客文章(写本章时已有 13 篇)。它们可在 http://0pointer.de/blog/projects 找到。

第 III 部分 系统

  • 16 64 位系统环境中的 32 位和 64 位应用程序
  • SUSE® Linux Enterprise Server 可用于多种 64 位平台。开发商尚未将所有 32 位应用程序移植到 64 位系统。本章简要概述了如何在 64 位 SUSE Linux Enterprise Server 平台上实现 32 位支持。

  • 17 journalctl:查询 systemd 日志
  • systemd 具有自己的日志记录系统,称作日志。由于所有系统事件都会写入日志,因此不需要运行基于 syslog 的服务。

  • 18 update-alternatives:管理命令和文件的多个版本
  • 系统上往往会安装同一个工具的多个版本。为了让管理员可以选择,以及能一起安装和使用多个不同的版本,备选项系统提供了以一致的方式管理此类版本的功能。

  • 19 基本网络知识
  • Linux 提供集成进各类网络结构中所需的网络工具和功能。可以通过 YaST 配置使用网络卡进行的网络访问。也可以手动进行配置。在本章中,仅描述基础机制和相关网络配置文件。

  • 20 打印机操作
  • SUSE® Linux Enterprise Server 支持使用多种类型的打印机进行打印,其中包括远程网络打印机。可以手动或使用 YaST 配置打印机。有关配置描述,请参见Book “部署指南”, Chapter 20 “使用 YaST 设置硬件组件”, Section 20.3 “设置打印机”。启动和管理打印任务时既可以使用图形实用程序,也可以使用命令行实用程序。如果打印机未能按预期正常工作,请参见第 20.8 节 “查错”

  • 21 图形用户界面。
  • SUSE Linux Enterprise Server 包含 X.org 服务器和 GNOME 桌面。本章介绍用于所有用户的图形用户界面配置。

  • 22 使用 FUSE 访问文件系统
  • FUSE 是用户空间中的文件系统 (file system in user space) 的缩写。这表示您可以将文件系统作为非特权用户配置和挂载。通常,只有 root 用户才能执行此任务。FUSE 自身是一个内核模块。它与插件组合,允许您扩展 FUSE 以访问几乎所有文件系统,如远程 SSH 连接、ISO 映像等.

  • 23 管理内核模块
  • 虽然 Linux 属于单内核,但可通过内核模块加以扩展。这些特殊对象可以插入到内核中,并可按需去除。就实际角度而言,内核模块使添加和去除内核本身未包含的驱动程序和接口成为现实。Linux 提供了若干用于管理内核模块的命令。

  • 24 使用 udev 进行动态内核设备管理
  • 内核几乎可以添加或删除运行系统中的任何设备。设备状态的更改(无论插入还是移除设备)需要传播给用户空间。插入及识别设备后需要对其进行配置。某个设备已识别状态的任何更改都需要通知给此设备的用户。udev 可提供所需的基础结构来动态维护 /dev 目录中的设备节点文件和符号链接。udev 规则提供了将外部工具插入内核设备事件处理的方式。因而,您可以通过添加在内核设备处理过程中执行的特定脚本,来自定义 udev 设备处理方式,或者可以在设备处理期间请求并导入其他数据进行评估。

  • 25 特殊系统功能
  • 本章首先提供有关各种软件包、虚拟控制台和键盘布局的信息。讨论诸如 bashcronlogrotate 等软件组件,因为在最后的发行周期中已对这些组件进行了更改或增强。即使这些组件很小或者被认为不太重要,用户也应该更改它们的默认行为,因为这些组件往往与系统密切相关。本章的最后是有关语言和国家/地区特定设置(I18N 和 L10N)的内容。

  • 26 使用 NetworkManager
  • NetworkManager 是用于便携式计算机和其他可移动计算机的理想解决方案。它支持网络连接的顶级加密类型和标准,包括 802.1x 保护的网络的连接。802.1X 是基于端口的网络访问控制的本地和城域网 IEEE 标准。使用 NetworkManager,您在外出时就不必顾虑网络接口的配置,以及在有线或无线网络之间切换的问题。NetworkManager 可自动连接到已知无线网络或并行管理多个网络连接 - 然后将最快的连接用作默认连接。而且,您还可手动在可用网络之间切换,并使用系统盘中的小程序管理网络连接。

  • 27 电源管理
  • 本章介绍的功能和硬件在 IBM Z 中不存在,因此本章内容与这些平台无关。

  • 28 持久内存
  • 本章包含有关使用配备非易失性主内存的 SUSE Linux Enterprise 的附加信息。此类内存称为持久内存,由一个或多个 NVDIMM 构成。

16 64 位系统环境中的 32 位和 64 位应用程序

SUSE® Linux Enterprise Server 可用于多种 64 位平台。开发商尚未将所有 32 位应用程序移植到 64 位系统。本章简要概述了如何在 64 位 SUSE Linux Enterprise Server 平台上实现 32 位支持。

用于 64 位平台 POWER、IBM Z 和 AMD64/Intel 64 的 SUSE Linux Enterprise Server 可让现有的 32 位应用程序无需额外配置 即可在 64 位环境中运行。相应的 32 位平台是 POWER for POWER 和 x86 for AMD64/Intel 64。这种支持意味着您可以继续使用首选的 32 位应用程序,而无需等待对应的 64 位端口可用。当前的 POWER 系统以 32 位模式运行大多数应用程序,但您可以运行 64 位应用程序。

注意
注意:不支持构建 32 位应用程序

SUSE Linux Enterprise Server 不支持编译 32 位应用程序。它只为 32 位二进制文件提供运行时支持。

16.1 运行时支持

重要
重要:不同应用程序版本之间的冲突

如果某个应用程序同时适用于 32 位和 64 位环境,安装这两个版本可能会导致出现问题。在这种情况下,请决定要安装哪一个版本,以避免潜在的运行时错误。

此规则的一个例外是 PAM(可插入身份验证模块)。SUSE Linux Enterprise Server 在身份验证过程中使用 PAM 作为在用户和应用程序之间充当媒介的层。在同时运行了 32 位应用程序的 64 位操作系统上,请始终安装 32 位和 64 位 PAM 版本。

每个应用程序都需要一系列的库才能正常执行。不巧的是,这些库的 32 位和 64 位版本的名称是相同的。必须通过另一种方法对它们加以区分。

为了与 32 位版本保持兼容,64 位和 32 位库将储存在同一位置。在 32 位和 64 位环境中,libc.so.6 的 32 位版本都位于 /lib/libc.so.6 下。

所有 64 位库和对象文件都位于名为 lib64 的目录中。以往通常出现在 /lib/usr/lib 下的 64 位对象文件现在位于 /lib64/usr/lib64 下。这意味着 /lib/usr/lib 下有储存 32 位库的空间,因此两个版本的文件名都可以保持不变。

如果 /lib 下的 32 位子目录的数据内容与字词大小无关,则不会移动这些子目录。此方案符合 LSB(Linux 标准库)和 FHS(文件系统层次标准)。

16.2 内核规范

AMD64/Intel 64、POWER 和 IBM Z 适用的 64 位内核提供 64 位和 32 位两种内核 ABI(应用程序二进制接口)。后者与对应的 32 位内核的 ABI 相同。这意味着,32 位和 64 位应用程序与 64 位内核的通讯方式是相同的。

针对 64 位内核的 32 位系统调用仿真不支持系统程序使用的某些 API。这取决于平台。出于此原因,少数应用程序(例如 lspci)必须在非 POWER 平台上编译为 64 位程序才能正常运行。在 IBM Z 上,并非所有 ioctl 都可在 32 位内核 ABI 中使用

64 位内核只能装载 64 位内核模块。必须专门为 64 位内核编译 64 位模块。无法将 32 位内核模块与 64 位内核搭配使用。

提示
提示:内核可装载模块

某些应用程序需要单独的内核可装载模块。如果您想要在 64 位系统环境中使用 32 位应用程序,请与应用程序供应商和 SUSE 联系。确保 64 位版本的内核可装载模块以及 32 位编译版本的内核 API 适用于此模块。

17 journalctl:查询 systemd 日志

systemd 具有自己的日志记录系统,称作日志。由于所有系统事件都会写入日志,因此不需要运行基于 syslog 的服务。

日志本身是 systemd 管理的系统服务,全名为 systemd-journald.service。它会根据从内核、用户进程、标准输入和系统服务错误收到的日志记录信息,维护结构化的索引日志,并以此方式来收集和储存日志记录数据。systemd-journald 服务默认处于启用状态。

tux > sudo systemctl status systemd-journald
systemd-journald.service - Journal Service
   Loaded: loaded (/usr/lib/systemd/system/systemd-journald.service; static)
   Active: active (running) since Mon 2014-05-26 08:36:59 EDT; 3 days ago
     Docs: man:systemd-journald.service(8)
           man:journald.conf(5)
 Main PID: 413 (systemd-journal)
   Status: "Processing requests..."
   CGroup: /system.slice/systemd-journald.service
           └─413 /usr/lib/systemd/systemd-journald
[...]

17.1 将日志设为永久

默认情况下,日志在 /run/log/journal/ 中储存日志数据。由于 /run/ 目录具有易失本性,因此,在重引导时会丢失日志数据。要永久保存日志数据,/var/log/journal/ 目录必须存在且具有正确的所有权和权限,使 systemd-journald 服务能够储存其数据。systemd 将为您创建该目录,如果您执行以下操作,它将会切换到永久日志记录:

  1. root 身份打开 /etc/systemd/journald.conf 进行编辑。

    root # vi /etc/systemd/journald.conf
  2. 将包含 Storage= 的行取消注释,并将它更改为

    [...]
    [Journal]
    Storage=persistent
    #Compress=yes
    [...]
  3. 保存该文件,然后重启动 systemd-journald:

    root # systemctl restart systemd-journald

17.2 journalctl:有用开关

本节介绍了一些可用来增强 journalctl 默认行为的常见有用选项。journalctl 手册页 man 1 journalctl 中介绍了所有开关。

提示
提示:与特定可执行文件相关的消息

要显示与特定可执行文件相关的所有日志消息,请指定该可执行文件的完整路径:

tux > sudo journalctl /usr/lib/systemd/systemd
-f

仅显示最近的日志消息,另外,在将新的日志项添加到日志时会列显这些新项。

列显消息并跳转到日志末尾,以便在页导航中显示最新的项。

-r

以倒序列显日志消息,让最新的项列在最前面。

-k

仅显示内核消息。这等效于字段匹配 _TRANSPORT=kernel(参见第 17.3.3 节 “根据字段过滤”)。

-u

仅显示指定 systemd 单元的消息。这等效于字段匹配 _SYSTEMD_UNIT=UNIT(参见 第 17.3.3 节 “根据字段过滤”)。

tux > sudo journalctl -u apache2
[...]
Jun 03 10:07:11 pinkiepie systemd[1]: Starting The Apache Webserver...
Jun 03 10:07:12 pinkiepie systemd[1]: Started The Apache Webserver.

17.3 过滤日志输出

如果不结合任何开关调用 journalctl,它将显示日志的整个内容,最旧的项列在最前面。您可按特定的开关和字段过滤输出。

17.3.1 根据引导编号过滤

journalctl 可以根据特定的系统引导过滤消息。要列出所有可用引导,请运行

tux > sudo journalctl --list-boots
-1 097ed2cd99124a2391d2cffab1b566f0 Mon 2014-05-26 08:36:56 EDT—Fri 2014-05-30 05:33:44 EDT
 0 156019a44a774a0bb0148a92df4af81b Fri 2014-05-30 05:34:09 EDT—Fri 2014-05-30 06:15:01 EDT

第一列列出引导偏移:0 表示当前引导,-1 表示上一次引导,-2 表示再上一次引导,以此类推。第二列包含引导 ID,其后是特定引导的限制时间戳。

显示当前引导中的所有消息:

tux > sudo journalctl -b

如果需要查看来自前一引导的日志消息,请加一个偏移参数。下面的示例将输出前一引导的消息:

tux > sudo journalctl -b -1

另一种方法是根据引导 ID 列出引导消息。要实现此目的,请使用 _BOOT_ID 字段:

tux > sudo journalctl _BOOT_ID=156019a44a774a0bb0148a92df4af81b

17.3.2 根据时间间隔过滤

您可通过指定开始日期和/或结束日期来过滤 journalctl 的输出。日期规范应采用类似于“2014-06-30 9:17:16”的格式。如果省略时间部分,则会假设为午夜。如果省略秒,则会假设为“:00”。如果省略日期部分,则会假设为当日。您也可以不采用数字表示,而是指定关键字“yesterday”、“today”或“tomorrow”。它们表示当日前一天、当日或者当日后一天的午夜。如果指定“now”,则表示当前时间。您还可以指定以 -+ 为前缀的相对时间,分别表示当前时间之前或之后的特定时间。

仅显示从现在开始生成的新消息,并持续更新输出:

tux > sudo journalctl --since "now" -f

显示从昨天午夜到 3:20AM 的所有消息:

tux > sudo journalctl --since "today" --until "3:20"

17.3.3 根据字段过滤

您可以按特定的字段过滤日志输出。要匹配的字段语法为 FIELD_NAME=MATCHED_VALUE,例如 _SYSTEMD_UNIT=httpd.service。您可以在单个查询中指定多个匹配条件,以进一步过滤输出消息。有关默认字段的列表,请参见 man 7 systemd.journal-fields

显示特定进程 ID 生成的消息:

tux > sudo journalctl _PID=1039

显示属于特定用户 ID 的消息:

# journalctl _UID=1000

显示来自内核环缓冲区的消息(与 dmesg 的生成结果相同):

tux > sudo journalctl _TRANSPORT=kernel

显示来自服务的标准输出或错误输出的消息:

tux > sudo journalctl _TRANSPORT=stdout

仅显示指定服务生成的消息:

tux > sudo journalctl _SYSTEMD_UNIT=avahi-daemon.service

如果指定了两个不同的字段,则仅显示同时与两个表达式匹配的项:

tux > sudo journalctl _SYSTEMD_UNIT=avahi-daemon.service _PID=1488

如果两个匹配条件引用了相同的字段,则显示与两个表达式中任意一个匹配的所有项:

tux > sudo journalctl _SYSTEMD_UNIT=avahi-daemon.service _SYSTEMD_UNIT=dbus.service

您可以使用“+”分隔符将两个表达式组合成一个逻辑“OR”。以下示例将显示来自进程 ID 为 1480 的 Avahi 服务进程的所有消息,以及来自 D-Bus 服务的所有消息:

tux > sudo journalctl _SYSTEMD_UNIT=avahi-daemon.service _PID=1480 + _SYSTEMD_UNIT=dbus.service

17.4 调查 systemd 错误

本节将介绍一个简单的示例,演示如何找出并修复在 apache2 启动期间 systemd 报告的错误。

  1. 尝试启动 apache2 服务:

    # systemctl start apache2
    Job for apache2.service failed. See 'systemctl status apache2' and 'journalctl -xn' for details.
  2. 我们来看看该服务的状态如何:

    tux > sudo systemctl status apache2
    apache2.service - The Apache Webserver
       Loaded: loaded (/usr/lib/systemd/system/apache2.service; disabled)
       Active: failed (Result: exit-code) since Tue 2014-06-03 11:08:13 CEST; 7min ago
      Process: 11026 ExecStop=/usr/sbin/start_apache2 -D SYSTEMD -DFOREGROUND \
               -k graceful-stop (code=exited, status=1/FAILURE)

    导致错误的进程 ID 为 11026。

  3. 显示与进程 ID 11026 相关的详细消息:

    tux > sudo journalctl -o verbose _PID=11026
    [...]
    MESSAGE=AH00526: Syntax error on line 6 of /etc/apache2/default-server.conf:
    [...]
    MESSAGE=Invalid command 'DocumenttRoot', perhaps misspelled or defined by a module
    [...]
  4. 修复 /etc/apache2/default-server.conf 中的拼写错误,启动 apache2 服务,然后列显其状态:

    tux > sudo systemctl start apache2 && systemctl status apache2
    apache2.service - The Apache Webserver
       Loaded: loaded (/usr/lib/systemd/system/apache2.service; disabled)
       Active: active (running) since Tue 2014-06-03 11:26:24 CEST; 4ms ago
      Process: 11026 ExecStop=/usr/sbin/start_apache2 -D SYSTEMD -DFOREGROUND
               -k graceful-stop (code=exited, status=1/FAILURE)
     Main PID: 11263 (httpd2-prefork)
       Status: "Processing requests..."
       CGroup: /system.slice/apache2.service
               ├─11263 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
               ├─11280 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
               ├─11281 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
               ├─11282 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
               ├─11283 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
               └─11285 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]

17.5 Journald 配置

通过修改 /etc/systemd/journald.conf 可调整 systemd-journald 服务的行为。本节只介绍了基本的选项设置。有关完整的文件描述,请参见 man 5 journald.conf。请注意,要使更改生效,需要使用以下命令重启动日志

tux > sudo systemctl restart systemd-journald

17.5.1 更改日志大小限制

如果将日志日志数据保存到永久位置(参见第 17.1 节 “将日志设为永久”),这些数据最多会占用 /var/log/journal 所在文件系统空间的 10%。例如,如果 /var/log/journal 位于一个 30 GB /var 的分区中,则日志最多会占用 3 GB 磁盘空间。要更改此限制,请更改(并取消注释)SystemMaxUse 选项:

SystemMaxUse=50M

17.5.2 将日志转发到 /dev/ttyX

您可以将日志转发到终端设备,以便在首选的终端屏幕(例如 /dev/tty12)上了解相关的系统消息。将以下 journald 选项更改为

ForwardToConsole=yes
TTYPath=/dev/tty12

17.5.3 将日志转发到系统日志工具

Journald 与传统的系统日志实现工具(例如 rsyslog)向后兼容。请确保满足以下条件:

  • 已安装 rsyslog。

    tux > sudo rpm -q rsyslog
    rsyslog-7.4.8-2.16.x86_64
  • 已启用 rsyslog 服务。

    tux > sudo systemctl is-enabled rsyslog
    enabled
  • 已在 /etc/systemd/journald.conf 中启用转发到 syslog 设置。

    ForwardToSyslog=yes

17.6 使用 YaST 过滤 systemd 日志

过滤 systemd 日志的简单方法(无需处理 journalctl 语法)是使用 YaST 日志模块。使用 sudo zypper in yast2-journal 安装该模块后,请在 YaST 中选择 系统 ›  Systemd 日志 启动该模块。也可以在命令行中输入 sudo yast2 journal 来启动该模块。

YaST systemd 日志
图 17.1︰ YaST systemd 日志

模块将在表中显示日志项。使用顶部的搜索框可以搜索包含特定字符的项,这类似于使用 grep。要按日期和时间、单位、文件或优先级过滤项,请单击更改过滤器,然后设置相应的选项。

17.7 在 GNOME 中查看日志

您可以使用 GNOME 日志来查看日志。可从应用程序菜单启动它。要查看系统日志消息,需要以 root 身份运行它,例如使用 xdg-su gnome-logs。按 AltF2 时可执行此命令。

18 update-alternatives:管理命令和文件的多个版本

系统上往往会安装同一个工具的多个版本。为了让管理员可以选择,以及能一起安装和使用多个不同的版本,备选项系统提供了以一致的方式管理此类版本的功能。

18.1 概览

SUSE Linux Enterprise Server 上,有些程序执行的是相同或类似的任务。例如,如果系统上既安装了 Java 1.7,也安装了 Java 1.8,则会从 RPM 软件包中调用备选项系统脚本 (update-alternatives)。备选项系统默认将参照版本 1.8:版本越高,优先级就越高。不过,管理员可以更改该默认设置,并可将通用名称指向版本 1.7。

本章使用了下列术语:

术语
管理目录

默认的 /var/lib/rpm/alternatives 目录,其中包含有关备选项当前状态的信息。

备选项

文件系统中某个特定文件的名称,可使用备选项系统通过通用名称访问。

备选项目录

包含符号链接的默认 /etc/alternatives 目录。

通用名称

该名称(例如 /usr/bin/edit)参照可通过备选项系统使用的多个文件中的一个。

链接组

一组相关的符号链接,可作为一个组更新。

主链接

链接组中用于确定如何配置组中其他链接的链接。

从属链接

链接组中受主链接控制的链接。

符号链接 (symlink)

在同一文件系统中作为另一个文件的参照的文件。备选项系统使用备选项目录中的符号链接在一个文件的各个版本之间切换。

管理员可通过 update-alternatives 命令修改备选项目录中的符号链接。

备选项系统提供 update-alternatives 命令供您创建、去除、维护和显示有关符号链接的信息。虽然这些符号链接通常是指向命令,但它们也可以指向 JAR 存档、手册页及其他文件。本章中的示例使用了命令和手册页,但它们也适用于其他文件类型。

备选项系统使用备选项目录来收集指向可能的备选项的链接。安装包含备选项的新软件包时,就会将新的备选项添加至系统。是否将新软件包的备选项选为默认值取决于它的优先级和设置的模式。一般而言,版本较高的软件包优先级也较高。备选项系统可以在两种模式下工作:

  • 自动模式: 在此模式下,备选项系统会确保组中的链接指向适合组且优先级最高的备选项。

  • 手动模式: 在此模式下,备选项系统不会对系统管理员的设置进行任何更改。

例如,在备选项系统中,java 命令具有以下链接层次结构:

例 18.1︰ java 命令的备选项系统
/usr/bin/java 1
 -> /etc/alternatives/java 2
     -> /usr/lib64/jvm/jre-10-openjdk/bin/java 3

1

通用名称。

2

备选项目录中的符号链接。

3

备选项之一。

18.2 使用案例

默认从 RPM 软件包中调用 update-alternatives 脚本。安装或去除一个软件包时,该脚本会处理该软件包所有的符号链接。不过,您可以从命令行中手动运行该脚本,以便:

  • 显示通用名称的当前备选项。

  • 更改备选项的默认值。

  • 为备选项创建一组相关的文件。

18.3 获取备选项的概览

要检索所有已配置备选项的名称,请使用:

tux > ls /var/lib/alternatives

要获取所有已配置备选项的概览及其值,请使用

tux > sudo update-alternatives --get-selections
asadmin                        auto     /usr/bin/asadmin-2.7
awk                            auto     /usr/bin/gawk
chardetect                     auto     /usr/bin/chardetect-3.6
dbus-launch                    auto     /usr/bin/dbus-launch.x11
default-displaymanager         auto     /usr/lib/X11/displaymanagers/gdm
[...]

18.4 查看有关特定备选项的细节

检查备选项最简单的方法就是查看命令的符号链接。例如,如果您想知道 java 命令参照的是什么,请使用以下命令:

tux > readlink --canonicalize /usr/bin/java
/usr/lib64/jvm/jre-10-openjdk/bin/java

如果您看到相同的路径(在本例中为 /usr/bin/java),则此命令没有备选项。

要查看全部的备选项(包括从属链接),请使用 --display 选项:

tux > sudo update-alternatives --display java
java - auto mode
  link best version is /usr/lib64/jvm/jre-1.8.0-openjdk/bin/java
  link currently points to /usr/lib64/jvm/jre-1.8.0-openjdk/bin/java
  link java is /usr/bin/java
  slave java.1.gz is /usr/share/man/man1/java.1.gz
  slave jre is /usr/lib64/jvm/jre
  slave jre_exports is /usr/lib64/jvm-exports/jre
  slave keytool is /usr/bin/keytool
  slave keytool.1.gz is /usr/share/man/man1/keytool.1.gz
  slave orbd is /usr/bin/orbd
  slave orbd.1.gz is /usr/share/man/man1/orbd.1.gz
[...]

18.5 设置备选项的默认版本

/usr/bin 中的命令默认会参照优先级最高的备选项目录。例如,java 命令默认会显示下面的版本号:

tux > java -version
openjdk version "10.0.1" 2018-04-17
OpenJDK Runtime Environment (build 10.0.1+10-suse-lp150.1.11-x8664)
OpenJDK 64-Bit Server VM (build 10.0.1+10-suse-lp150.1.11-x8664, mixed mode)

要将默认 java 命令更改为参照先前的版本,请运行:

tux > sudo update-alternatives --config java
root's password:
There are 2 choices for the alternative java (providing /usr/bin/java).

  Selection    Path                                       Priority   Status
------------------------------------------------------------
* 0            /usr/lib64/jvm/jre-10-openjdk/bin/java      2005      auto mode
  1            /usr/lib64/jvm/jre-1.8.0-openjdk/bin/java   1805      manual mode
  2            /usr/lib64/jvm/jre-10-openjdk/bin/java      2005      manual mode
  3            /usr/lib64/jvm/jre-11-openjdk/bin/java      0         manual mode

Press <enter> to keep the current choice[*], or type selection number:

根据您的系统和安装的版本,具体的 Java 版本号会有所不同。选择 1 之后,java 会显示下面的版本号:

tux > java -version
java version "1.8.0_171"
OpenJDK Runtime Environment (IcedTea 3.8.0) (build 1.8.0_171-b11 suse-lp150.2.3.1-x86_64)
OpenJDK 64-Bit Server VM (build 25.171-b11, mixed mode)

另外,请记住以下几点:

  • 在手动模式下安装另一个 Java 版本时,备选项系统既不会更改链接,也不会更改通用名称。

  • 在自动模式下安装另一个 Java 版本时,备选项系统会更改 Java 主链接及所有从属链接(如第 18.4 节 “查看有关特定备选项的细节”中所示)。要检查主/从关系,请使用:

    tux > sudo update-alternatives --display java

18.6 安装自定义备选项

本节介绍如何在系统上设置自定义备选项。示例做了以下假设:

  • 有两个具有类似功能的脚本:foo-2foo-3

  • 这些脚本储存在 /usr/local/bin 目录中,以免与 /usr/bin 中的系统工具产生任何冲突。

  • 有一个主链接 foo 指向 foo-2foo-3

要在您的系统上提供备选项,请执行以下步骤:

  1. 将您的脚本复制到 /usr/local/bin 目录中。

  2. 让脚本可执行:

    tux > sudo chmod +x /usr/local/bin/foo-{2,3}
  3. 针对两个脚本运行 update-alternatives

    tux > sudo update-alternatives --install \
       /usr/local/bin/foo 1\
       foo 2\
       /usr/local/bin/foo-2 3\
       200 4
    tux > sudo update-alternatives --install \
       /usr/local/bin/foo 1\
       foo 2\
       /usr/local/bin/foo-3 3\
       300 4

    --install 后面的选项含义如下:

    1

    通用名称。为了避免混淆,该名称通常是不含任何版本号的脚本名称。

    2

    主链接的名称。必须相同。

    3

    位于 /usr/local/bin 中的原始脚本的路径。

    4

    优先级.我们给 foo-2 设置一个低于 foo-3 的优先级。最好使用增大得非常明显的数字来区分优先级。例如,foo-2 的优先级是 200,foo-3 的优先级是 300。

  4. 检查主链接:

    tux > sudo update-alternatives --display foo
    foo - auto mode
      link best version is /usr/local/bin/foo-3
      link currently points to /usr/local/bin/foo-3
      link foo is /usr/local/bin/foo
    /usr/local/bin/foo-2 - priority 200
    /usr/local/bin/foo-3 - priority 300

完成所述步骤后,便可以使用主链接 /usr/local/bin/foo 了。

如果需要,可以安装其他的备选项。要去除备选项,请使用以下命令:

tux > sudo update-alternatives --remove foo /usr/local/bin/foo-2

去除此脚本之后,foo 组的备选项系统看上去如下所示:

tux > sudo update-alternatives --display foo
foo - auto mode
  link best version is /usr/local/bin/foo-3
  link currently points to /usr/local/bin/foo-3
  link foo is /usr/local/bin/foo
/usr/local/bin/foo-3 - priority 300

18.7 定义依赖备选项

如果您有备选项,则仅凭脚本本身不足以完成任务。大部分命令都不是完全独立的:它们通常随附其他文件,例如扩展、配置或手册页。要创建依赖于主链接的备选项,请使用从属备选项

我们假设要扩展第 18.6 节 “安装自定义备选项”中的示例,并提供手册页和配置文件:

  • 两个手册页(foo-2.1.gzfoo-3.1.gz)储存在 /usr/local/man/man1 目录中。

  • 两个配置文件(foo-2.conffoo-3.conf)储存在 /etc 中。

请执行以下步骤将其他文件添加至备选项中:

  1. 将配置文件复制到 /etc 中:

    tux > sudo cp foo-{2,3}.conf /etc
  2. 将手册页复制到 /usr/local/man/man1 目录中:

    tux > sudo cp foo-{2,3}.1.gz /usr/local/man/man1/
  3. 使用 --slave 选项将从属链接添加至主脚本:

    tux > sudo update-alternatives --install \
       /usr/local/bin/foo foo /usr/local/bin/foo-2 200 \
       --slave /usr/local/man/man1/foo.1.gz \
       foo.1.gz \
       /usr/local/man/man1/foo-2.1.gz \
       --slave /etc/foo.conf \
       foo.conf \
       /etc/foo-2.conf
    tux > sudo update-alternatives --install \
       /usr/local/bin/foo foo /usr/local/bin/foo-3 300 \
       --slave /usr/local/man/man1/foo.1.gz \
       foo.1.gz \
       /usr/local/man/man1/foo-3.1.gz \
       --slave /etc/foo.conf \
       foo.conf \
       /etc/foo-3.conf
  4. 检查主链接:

    foo - auto mode
      link best version is /usr/local/bin/foo-3
      link currently points to /usr/local/bin/foo-3
      link foo is /usr/local/bin/foo
      slave foo.1.gz is /usr/local/man/man1/foo.1.gz
      slave foo.conf is /etc/foo.conf
    /usr/local/bin/foo-2 - priority 200
      slave foo.1.gz: /usr/local/man/man1/foo-2.1.gz
      slave foo.conf: /etc/foo-2.conf
    /usr/local/bin/foo-3 - priority 300
      slave foo.1.gz: /usr/local/man/man1/foo-3.1.gz
      slave foo.conf: /etc/foo-3.conf

如果您使用 update-alternatives --config foo 将链接更改为 foo-2,则所有从属链接也会随之更改。

19 基本网络知识

Linux 提供集成进各类网络结构中所需的网络工具和功能。可以通过 YaST 配置使用网络卡进行的网络访问。也可以手动进行配置。在本章中,仅描述基础机制和相关网络配置文件。

Linux 和其他 Unix 操作系统均使用 TCP/IP 协议。该协议不是单个网络协议,而是提供多种服务的一系列网络协议。TCP/IP 协议系列中的数种协议中所列的协议用于通过 TCP/IP 在两台计算机之间交换数据。由 TCP/IP 连接而成的网络构成了全球网络,也称作互联网

RFC 指注释请求 (Request for Comments)。RFC 由一些文档组成,用来描述各种互联网协议和操作系统及其应用程序的实施过程。RFC 文档用来描述如何设置互联网协议。有关 RFC 的更多信息,请参见 http://www.ietf.org/rfc.html

TCP/IP 协议系列中的数种协议
TCP

传送控制协议:面向连接的安全协议。要传输的数据首先由应用程序作为数据流发送,然后由操作系统转换为相应的格式。数据到达目标主机上的相应应用程序时采用最初发送时的原始数据流格式。TCP 确定在传输过程中是否有任何数据丢失或发生混乱。只要涉及到数据序列就会实施 TCP。

UDP

用户数据报协议:无连接、不安全的协议。要传送的数据以应用程序生成的数据包的形式发送。不能保证数据以正确的顺序到达接收方,也可能丢失数据。UDP 适用于面向记录的应用程序。它的等待时间比 TCP 稍短。

ICMP

互联网控制消息协议:这不是面向最终用户的协议,而是用来发出错误报告的特殊控制协议,能够控制参与 TCP/IP 数据传送的计算机的行为。此外,它还提供一种特殊的回应方式,可以通过 ping 程序查看该方式。

IGMP

互联网组管理协议:此协议控制实施 IP 多路广播时的计算机行为。

图 19.1 “TCP/IP 的简化层模型” 中所示,数据交换在不同的层中进行。实际的网络层是通过 IP(互联网协议)的不安全数据传送。IP 的上面是 TCP(传送控制协议),它能够确保一定程度的数据传送安全性。IP 层由底层硬件相关协议(例如以太网)提供支持。

TCP/IP 的简化层模型
图 19.1︰ TCP/IP 的简化层模型

该图为每一层都提供了一到两个示例。层按照抽象程度排序。最底层非常接近硬件。最上层则几乎就是硬件的完全抽象化。每一层都有自己的特殊功能。每一层的特殊功能多隐含在其描述中。数据链路层和物理层表示所用的物理网络(如以太网)。

几乎所有硬件协议都在面向数据包的基础上发挥作用。要传送的数据收集在中(一次无法发送所有数据)。TCP/IP 包最大约为 64 KB。包通常要小得多,因为可能受到网络硬件的限制。以太网上的数据包最大约为 1500 个字节。通过以太网发送数据时,TCP/IP 包的大小不能超过这个限额。如果传送更多数据,操作系统需要发送更多的数据包。

为使层实现其指定功能,必须在数据包中保存与每层相关的附加信息。这些信息保存在数据包的报头中。每一层都在每个新包的开头附加一小块称为协议报头的数据。图 19.2 “TCP/IP 以太网数据包”中演示了一个通过以太网电缆传送的 TCP/IP 数据包示例。校验和位于包的末尾而不是开头,这样更便于网络硬件处理。

TCP/IP 以太网数据包
图 19.2︰ TCP/IP 以太网数据包

当应用程序通过网络发送数据时,数据会穿越每个层次,所有传递都在 Linux 内核中实施(只有物理层除外)。每一层都负责准备好数据,以便传递到下一层。最底层最后负责发送数据。接收数据时则逆向执行整个过程。正像剥洋葱皮那样,在每一层中都要从传输数据中删除协议报头。最后,传输层负责使数据可供目标上的应用程序使用。通过这种方式,每一层只与其上一层或下一层通讯。对于应用程序而言,数据是通过无线连接还是有线连接传输都无关紧要。同样,只要数据包的格式正确,传送哪种数据对数据线也无关紧要。

19.1 IP 地址和路由

各节的论述仅限于 IPv4 网络。有关 IPv6 协议(IPv4 的后续协议)的信息,请参见第 19.2 节 “IPv6 - 新一代互联网”

19.1.1 IP 地址

互联网上的每台计算机都有一个唯一的 32 位地址。这些 32 位(或 4 字节)地址通常按例 19.1 “编写 IP 地址”的第二行所示的格式书写。

例 19.1︰ 编写 IP 地址
IP Address (binary):  11000000 10101000 00000000 00010100
IP Address (decimal):      192.     168.       0.      20

在十进制格式中,四字节以十进制数书写,其间以句点分隔。IP 地址被指派给主机或网络接口。它在全球只能使用一次。这条规则也有例外,但这些例外与下文无关。

IP 地址中的点表示分级系统。直到 20 世纪 90 年代,IP 地址仍然有严格的分类。但是,此系统经证实太过死板,已经废止。现已改为使用无类别路由 - (CIDR,无类别域间路由)。

19.1.2 网络掩码和路由

网络掩码用于定义子网的地址范围。如果两台主机位于同一子网中,它们可直接相互访问。如果它们位于不同子网中,则需要用于处理此子网的所有通讯的网关地址才能相互访问。要检查两个 IP 地址是否位于同一个子网中,只需分别将两个地址与网络掩码进行AND操作。如果结果相同,则两个 IP 地址在同一个本地网络中。如果结果不同,则仅能通过网关连接远程 IP 地址和远程接口。

要了解网络掩码如何工作,可查看例 19.2 “将 IP 地址链接到网络掩码”。网络掩码有 32 位,它确定 IP 地址有多少属于网络。对于所有为 1 的位,将它们在 IP 地址中的相应位标记为属于网络。对于所有值为 0 的位,标记其属于子网内。这意味着值为 1 的位越多,子网就越小。因为网络掩码总是由多个连续的 1 位组成,所以也可通过计算网络掩码中的位数来确定。在例 19.2 “将 IP 地址链接到网络掩码”中,第一个 24 位的网络也可写作 192.168.0.0/24

例 19.2︰ 将 IP 地址链接到网络掩码
IP address (192.168.0.20):  11000000 10101000 00000000 00010100
Netmask   (255.255.255.0):  11111111 11111111 11111111 00000000
---------------------------------------------------------------
Result of the link:         11000000 10101000 00000000 00000000
In the decimal system:           192.     168.       0.       0

IP address (213.95.15.200): 11010101 10111111 00001111 11001000
Netmask    (255.255.255.0): 11111111 11111111 11111111 00000000
---------------------------------------------------------------
Result of the link:         11010101 10111111 00001111 00000000
In the decimal system:           213.      95.      15.       0

再举个例子:通过同一以太网电缆相连的所有计算机通常都位于同一子网中,可直接访问。即使用交换机或网桥物理分隔该子网,这些主机仍然可以直接访问。

仅在网关是为目标网络配的时,才能访问本地子网外部的 IP 地址。通常情况下,只有一个网关处理所有外部流量。然而,也可能为不同的子网配置多个网关。

如果配置了网关,所有的外部 IP 包将发送到相应的网关。此网关随后会尝试以相同的方式转发该包(从主机到主机)直到到达目标主机或超过该包的 TTL(存活时间)。

特定地址
基础网络地址

这是网络掩码和该网络中的任意地址,如例 19.2 “将 IP 地址链接到网络掩码” 中的 Result(结果)所示。不能将此地址指派给任何主机。

广播地址

这可以解释为:访问此子网中的所有主机。要生成此地址,需要将网络掩码反转为二进制格式,并使用逻辑 OR 链接到基本网络地址。因此,以上示例会生成 192.168.0.255。该地址无法指派给任何主机。

本地主机

地址 127.0.0.1 指派给每台主机的回路设备。可以使用此地址以及通过 IPv4 定义的完整 127.0.0.0/8 回写网络中的所有地址为您自己的计算机设置一个连接。对于 IPv6,仅存在一个回写地址 (::1)。

由于 IP 地址必须在全球范围内唯一,您不能随机选择地址。共有三个地址域可用于建立基于 IP 的专用网络。这些地址无法与互联网上的其他地址建立任何连接,因为它们不能通过互联网传送。这些地址域在 RFC 1597 中指定,并且列在表 19.1 “专用 IP 地址域” 中。

表 19.1︰ 专用 IP 地址域

网络/网络掩码

10.0.0.0/255.0.0.0

10.x.x.x

172.16.0.0/255.240.0.0

172.16.x.x172.31.x.x

192.168.0.0/255.255.0.0

192.168.x.x

19.2 IPv6 - 新一代互联网

重要
重要:IBM Z:IPv6 支持

IBM Z 硬件的 CTC 和 IUCV 网络连接不支持 IPv6。

由于万维网 (WWW) 的出现,过去十五年内,越来越多的计算机通过 TCP/IP 进行通讯,互联网的规模发生了爆炸性的增长。自从 1990 年在 CERN (http://public.web.cern.ch) 任职的 Tim Berners-Lee 开创了 WWW,互联网主机的数量已从几千台猛增至上亿台。

如上所述,IPv4 地址只有 32 位。而且还有不少 IP 地址丢失,它们因网络组织结构的原因而无法使用。子网中可用的地址数量是位数的平方减 2。举例来说,某个子网可以有 2 个、6 个或 14 个可用地址。如果要将 128 台主机连接到互联网,您的子网要提供 256 个 IP 地址,其中只有 254 个可用,因为有两个 IP 地址需要供该子网本身的结构使用:广播和基础网络地址。

在当前的 IPv4 协议下,DHCP 或 NAT(网络地址转换)是用来避免出现地址短缺的典型机制。这些方法与用来分隔专用地址空间和公用地址空间的规定相结合,肯定能够缓解短缺状况;它们的问题在于不仅配置烦琐,而且也加重了维护的负担。要在 IPv4 网络中设置主机,您需要若干地址项,如主机本身的 IP 地址、子网掩码、网关地址,可能还要提供名称服务器地址。所有这些项都是必需的,而且无法从其他任何地方得到这些项。

利用 IPv6,地址的短缺和复杂的配置都将成为过去。以下各节进一步描述了 IPv6 带来的改进和优点,以及如何从旧协议过渡到新协议。

19.2.1 优点

新协议带来的最为重要同时也最为显著的改进是极大地扩展了可用的地址空间。IPv6 地址由 128 位值而不是传统的 32 位值组成,它提供的 IP 地址数目多达 10 的 15 次方的若干倍。

不过,IPv6 与以前的不同不仅限于长度,其内部结构也发生了变化,这种结构可以包含更多的有关系统和系统所属网络的具体信息。有关详细信息,请参见第 19.2.2 节 “地址类型和结构”

下面列出了新协议的其他优点:

自动配置

IPv6 使网络可以支持即插即用,这意味着无需任何手动配置即可将新安装的系统集成到(本地)网络中。新主机可以使用其自动配置机制,依赖名为邻居发现 (ND) 的协议从邻近的路由器提供的信息中得到自己的地址。这种方法不要求管理员参与,并且无需维护用于分配地址的中央服务器,这是 IPv4 无法媲美的(IPv4 中需要使用 DHCP 服务器来自动分配地址)。

不过,如果路由器已连接到交换机,则路由器应发送带标志的定期通告,告知网络中的主机彼此应如何交互。有关更多信息,请参见 RFC 2462 和 radvd.conf(5) 手册页以及 RFC 3315。

移动能力

利用 IPv6,为一个网络接口同时指派多个地址成为可能。这样用户能够轻松访问多个网络,如同使用移动电话公司提供的国际漫游服务一样轻松自如。当您带着手机出国时,手机只要进入通信区域就会自动登录国外的服务,这样无论您身处何地,用同一个号码都可以联系到您,而且您也能像在国内一样拨打电话。

安全通讯

在 IPv4 中,网络安全是一项附加功能。IPv6 则将 IPsec 作为其核心功能之一,允许系统通过安全隧道通讯,避免被互联网上的外来者窃听。

向后兼容性

实际上,要想将整个互联网一下子从 IPv4 转换为 IPv6 是不可能的。因此,这两个协议不仅要能在互联网上共存,还应能够共存于一个系统中,这一点至关重要。要实现这一点,一方面两种地址应兼容(IPv4 地址可以轻松转换为 IPv6 地址),另一方面还要使用多个隧道。请参见第 19.2.3 节 “IPv4 与 IPv6 并存”。此外,系统可以依赖双栈 IP 技术同时支持两种协议,这意味着系统中有两种完全分开的网络堆栈,从而避免这两种版本的协议相互影响。

通过多路广播自定义定制服务

在 IPv4 中,有些服务(如 SMB)需要向本地网络中的所有主机广播其数据包。IPv6 使服务器能够通过多路广播对主机寻址(即将多个主机作为组的一部分寻址),因而提供了更精细的方法。这种方法与通过广播对所有主机寻址,或通过单路广播单独对每个主机寻址均不同。将哪些主机作为一组来寻址可能要取决于具体的应用程序。可使用一些预定义的组来寻址,例如对所有名称服务器寻址(所有名称服务器多路广播组),或对所有路由器寻址(所有路由器多路广播组)。

19.2.2 地址类型和结构

如上所述,当前的 IP 协议存在两个重要限制:IP 地址日益短缺,并且配置网络、维护路由选择表的任务变得越来越复杂繁重。IPv6 通过将地址空间扩展到 128 位解决了第一个问题。通过引入分级地址结构,结合先进的网络地址分配技术和多宿主功能(将多个地址指派给同一个设备,从而支持对多个网络的访问),第二个问题也得到缓解。

使用 IPv6 时,了解三种类型的地址十分有用:

单路广播

这类地址只与一个网络接口关联。采用这类地址的包只传递到一个目标。因此,使用单路广播地址可以将包传送到本地网络或互联网上的单个主机。

多路广播

这类地址与一组网络接口相关。采用这类地址的包将传递到属于该组的所有目标。多路广播地址主要供特定网络服务使用,用于以有序的方式与特定的主机组通讯。

任意广播

这类地址与一组接口相关。采用这类地址的包将根据基础路由协议的原则,传递给该组中与发送方最为接近的成员。任意广播地址便于主机在特定网络区域内找到提供特定服务的服务器。同一类型的所有服务器都具有相同的任意广播地址。在请求服务时,主机会收到路由协议决定的最接近它的服务器的回复。如果出于某种原因此服务器无法回复,协议会自动选择距离稍远一些的服务器,依此类推。

IPv6 地址分为八组,每组四位数字,代表十六位,采用十六进制表示法。它们之间用冒号 (:) 分隔。可以删除某组中的前置零字节,但不能删除组中或组末的零。另一个约定是:连续的零字节若超过四个,则可以省略为双冒号形式。不过,每个地址只允许有一个这样的 ::。中演示了这种简写表示法,其中的三行全部表示同一地址。例 19.3 “示例 IPv6 地址”

例 19.3︰ 示例 IPv6 地址
fe80 : 0000 : 0000 : 0000 : 0000 : 10 : 1000 : 1a4
fe80 :    0 :    0 :    0 :    0 : 10 : 1000 : 1a4
fe80 :                           : 10 : 1000 : 1a4

IPv6 地址的每个部分都有明确的功能。前面的字节构成前缀,用于指定地址类型。中间部分是地址的网络部分,但可以不用。地址的结尾构成主机部分。在 IPv6 中,网络掩码是通过在地址末尾的斜杠后指明前缀的长度来定义的。例 19.4 “指定前缀长度的 IPv6 地址” 中的地址包含上述信息,即:前 64 位构成地址的网络部分,后 64 位构成地址的主机部分。换言之,64 表示网络掩码由左起的 64 个 1 位值构成。与 IPv4 一样,IP 地址使用 AND 结合网络掩码值,以确定主机位于同一子网中还是其他网络中。

例 19.4︰ 指定前缀长度的 IPv6 地址
fe80::10:1000:1a4/64

IPv6 可以识别几种预定义的前缀类型。各种 IPv6 前缀中列出了其中的一部分。

各种 IPv6 前缀
00

IPv4 地址和 IPv6 上的 IPv4 兼容地址。这些用于与 IPv4 保持兼容。要使用这些地址,仍然需要依赖路由器将 IPv6 包转换为 IPv4 包。有若干特殊地址(如用于回路设备的地址)也采用此前缀。

23 作为第一个数字

可聚合全局单路广播地址。类似 IPv4 的情况,可以指定某个接口作为特定子网的一部分。目前,有以下地址空间:2001::/16(生产质量地址空间)和 2002::/16(6to4 地址空间)。

fe80::/10

链路本地地址。不应路由带有这种前缀的地址,而只能从同一子网中访问。

fec0::/10

站点本地地址。可以路由这种地址,但只局限在它们所属的组织的网络之内。实际上,这些是相当于当前的专用网络地址空间(如 10.x.x.x)的 IPv6 地址。

ff

这些是多路广播地址。

单路广播地址由三个基本部分组成:

公共拓扑结构

第一部分(也包含上述前缀之一)用于通过公共互联网路由数据包。其中包含提供互联网访问的公司或机构的相关信息。

站点拓朴结构

第二部分包含要将包传递到的子网的路由信息。

接口 ID

第三部分标识要将包传递到的接口。其中允许使用 MAC。由于 MAC 是硬件厂商编程到设备中的全球唯一的固定标识符,配置过程得到了极大简化。事实上,前 64 个地址位共同构成 EUI-64 令牌,后 48 位从 MAC 中提取,其余的 24 位包含有关令牌类型的特殊信息。这样还可以将 EUI-64 令牌指派给没有 MAC 的接口,如基于 PPP 的接口。

在这个基础结构之上,IPv6 还区分五种不同的单路广播地址:

:: (未指定)

在首次初始化接口时(此时尚无法通过其他方法确定地址),这类地址可被主机用作其源地址。

::1(回路)

回路设备的地址。

IPv4 兼容地址

IPv6 地址由 IPv4 地址和 96 个零位组成的前缀构成。这类兼容地址用于隧道通讯进程(请参见第 19.2.3 节 “IPv4 与 IPv6 并存”),以便 IPv4 和 IPv6 主机与在纯 IPv4 环境中操作的其他主机通讯。

映射到 IPv6 的 IPv4 地址

这类地址以 IPv6 表示法指定纯 IPv4 地址。

本地地址

有两类地址可供本地使用:

链路本地

这类地址只能在本地子网中使用。不能具有此类源地址或目标地址的包路由到互联网或其他子网。这些地址包含特殊的前缀 (fe80::/10) 和网卡的接口 ID,中间部分为零字节。这类地址在自动配置过程中使用,用于与同一子网中的其他主机通讯。

站点本地

可以将采用这类地址的包路由到其他子网,但不能路由到更广阔的互联网 — 不能跨越组织自身的网络。这类地址用于内部网,相当于 IPv4 定义的专用地址空间。其中包含特殊的前缀 (fec0::/10)、接口 ID,及指定子网 ID 的 16 位字段。其余部分也会填入零字节。

作为 IPv6 引进的全新功能,每个网络接口通常可以获得多个 IP 地址,这个功能的优点即在于:可以通过同一接口访问多个网络。其中一个网络可以用 MAC 和已知前缀进行全自动配置,这样当启用 IPv6 (使用链路本地地址)后,即可访问本地网络中的所有主机。由于其中使用了 MAC,所用的任何 IP 地址都是全球唯一的。地址中只有指定站点拓朴结构公共拓朴结构的部分才是可变部分,这取决于主机当前运行所在的实际网络。

要使主机在不同网络间切换,主机至少需要两个地址。其中之一 - 本地地址,不仅包含接口 ID 而且包含该主机通常所属的本地网络的标识符(以及相应的前缀)。本地地址是静态地址,因此一般不变。所有要发送到移动主机的包仍可以传递到该主机,不管它是在本地网络还是其他任何网络中操作。这一点得益于 IPv6 引进的全新功能,如无状态自动配置邻居发现。除本地地址之外,移动主机还获得一个或多个额外的地址,这些地址属于该主机漫游到的外地网络。这些地址称为转交地址。本地网络有一种功能,可以在主机漫游到外地时转发要发送给该主机的所有包。在 IPv6 环境中,这项任务由本地代理来完成,该代理可以接收要发送到本地地址的所有包,并通过隧道进行转发。另一方面,发送到转交地址的那些包可直接转发到移动主机,而不必进行任何特殊的迂回处理。

19.2.3 IPv4 与 IPv6 并存

将与互联网相连的所有主机从 IPv4 迁移到 IPv6 是一个逐步的过程。这两种协议将在未来一定时间内并存。通过双栈技术来实施这两种协议,可以在同一系统上同时支持这两种协议。但这仍然没有解决启用了 IPv6 的主机如何与 IPv4 主机通讯,以及应如何通过当前的网络(绝大部分都基于 IPv4)传输 IPv6 数据包的问题。最好的解决方案就是提供隧道处理功能和兼容地址(请参见 第 19.2.2 节 “地址类型和结构”)。

IPv6 主机多少孤立于(全球)IPv4 网络,它可通过隧道通讯:IPv6 包封装为 IPv4 包,以便在 IPv4 网络中移动。这种在两个 IPv4 主机间的连接被称为隧道。要实现这种功能,包必须包含 IPv6 目标地址(或相应的前缀),以及隧道接收端远程主机的 IPv4 地址。根据主机管理员间的协议,可以手动配置基本的隧道。这也称作静态隧道

但是,静态隧道的配置和维护往往过于烦琐,不能适应日常通讯需要。因此,IPv6 提供了三种不同的动态隧道方法:

6over4

IPv6 包被自动封装为 IPv4 包,并通过支持多路广播的 IPv4 网络发送。这种方法诱导 IPv6 将整个网络(互联网)视为一个巨大的局域网 (LAN)。这样即可自动确定 IPv4 隧道的接收端。不过,这种方法的可扩展性不够好,而且不易推行,因为 IP 多路广播在互联网上尚未普及。因此,它提供的解决方案仅适用于支持多路广播的小型公司网络或机构网络。RFC 2529 中对这种方法作出了规定。

6to4

利用这种方法,可以从 IPv6 地址自动生成 IPv4 地址,从而支持孤立的 IPv6 主机通过 IPv4 网络进行通讯。不过,用这种方法在孤立的 IPv6 主机和互联网之间通讯时存在一些问题。RFC 3056 中对这种方法进行了描述。

IPv6 隧道中介程序

这种方法依赖特殊的服务器为 IPv6 主机提供专用隧道。RFC 3053 中对此进行了描述。

19.2.4 配置 IPv6

要配置 IPv6,通常无需在各个工作站上执行任何更改。默认情况下启用 IPv6。要在已安装系统上禁用或启用 IPv6,请使用 YaST 网络设置模块。在全局选项选项卡上,根据需要选择或取消选择启用 IPv6 选项。要暂时启用直至下次重引导,请以 root 身份输入 modprobe -i ipv6。装载 IPv6 模块后无法将其卸载。

由于 IPv6 使用自动配置,将给网卡指派链路-本地网络中的地址。一般不在工作站上管理路由选择表。工作站可以使用路由器广告协议查询网络路由器,了解应实施的前缀和网关。使用 radvd 程序可以设置 IPv6 路由器。此程序会通知工作站对 IPv6 地址使用哪个前缀和哪个路由器。或者,可以使用 zebra/quagga 自动配置两个地址和路由选择。

有关如何使用 /etc/sysconfig/network 文件设置各种隧道的信息,请参见 ifcfg-tunnel 的手册页 (man ifcfg-tunnel)。

19.2.5 更多信息

上文的概述中并未全面论述 IPv6 这一主题。如果要深入了解这种较新的协议,请参考以下联机文档和书籍:

http://www.ipv6.org/

学习 IPv6 知识的起点。

http://www.ipv6day.org

启动您自己的 IPv6 网络所需的所有信息。

http://www.ipv6-to-standard.org/

已启用 IPv6 的产品列表。

http://www.bieringer.de/linux/IPv6/

在此可找到 Linux IPv6-HOWTO 以及许多与该主题有关的链接。

RFC 2460

有关 IPv6 的基础 RFC。

IPv6 essentials

Silvia Hagen 所著的 IPv6 Essentials(ISBN 0-596-00125-8) 中描述了该主题的所有重要方面。

19.3 名称解析

DNS 有助于将 IP 地址指派给一个或多个名称,并将名称指派给 IP 地址。在 Linux 中,这种转换通常由一种特殊的称为 bind 的软件来完成。负责这种转换的计算机称为名称服务器。这些名称构成了具有层次结构的系统,各个名称组成部分之间用句点分隔。不过,这个名称层次与上述 IP 地址层次无关。

考虑以 hostname.domain 格式书写的完整名称,如 jupiter.example.com。完整名称,即完全限定的域名 (FQDN),由主机名和域名 (example.com) 组成。后者还包含顶级域或 TLD (com)。

TLD 的指派由于历史原因已经变得十分混乱。传统的指派方法是美国所用的三字母域名,而世界其他地方采用的标准是双字母 ISO 国家/地区代码。此外,2000 年还引进了较长的 TLD,表示特定的活动领域(例如 .info.name.museum)。

在互联网发展的早期阶段( 1990 年之前),文件 /etc/hosts 被用来储存互联网上表示的所有计算机的名称。后来事实证明随着接入互联网的计算机与日俱增,这种方法很快就行不通了。为此人们开发了一个分散式数据库,以十分分散的方式储存主机名。这个数据库类似名称服务器,它并不储存与互联网上的所有主机相关的数据,但可以向其他名称服务器发送请求。

位于层次顶级的是 root 名称服务器。这些 root 名称服务器管理顶级域,并由网络信息中心 (NIC) 运行。每个 root 名称服务器都了解负责特定顶级域的名称服务器。有关顶级域 NIC 的信息,请参见 http://www.internic.net

DNS 不仅可以解析主机名,还能够为整个域识别出负责接收电子邮件的主机,即邮件交换器 (MX)

为解析 IP 地址,您的计算机必须了解至少一个名称服务器及其 IP 地址。使用 YaST 可轻松指定此类名称服务器。有关如何在 SUSE® Linux Enterprise Server 中配置针对名称服务器的访问,请参见第 19.4.1.4 节 “配置主机名和 DNS”。有关如何设置您自己的名称服务器,请参见第 31 章 “域名系统

whois 协议与 DNS 密切相关。使用此程序可以快速找出负责给定域的服务器。

注意
注意:MDNS 和 .local 域名

.local 顶级域由解析程序视为 link-local 域。DNS 请求作为多路广播 DNS 请求(而不是常规 DNS 请求)发送。如果已在名称服务器配置中使用 .local 域,必须在 /etc/host.conf 中关闭此选项。有关更多信息,请参见 host.conf 手册页。

要在安装期间关闭 MDNS,请使用 nomdns=1 引导参数。

有关多路广播 DNS 的详细信息,请参见 http://www.multicastdns.org

19.4 使用 YaST 配置网络连接

Linux 上有多个支持的联网类型。其中多数使用不同的设备名,配置文件分布在文件系统上的多个位置。关于手动网络配置方面的详细概述,请参见第 19.5 节 “手动配置网络连接”

已建立链接的所有网络接口(已连接网络电缆)将自动进行配置。可随时在已安装系统中配置额外的硬件。以下章节将介绍 SUSE Linux Enterprise Server 支持的所有网络连接类型的网络配置。

提示
提示:IBM Z:可热插拔网卡

IBM Z 平台支持可热插拔网卡,但不支持通过 DHCP 自动将它们进行网络集成(与 PC 情况相同)。检测到网卡后,您需要手动配置接口。

19.4.1 使用 YaST 配置网卡

要在 YaST 中配置以太网卡或 Wi-Fi/蓝牙卡,请选择系统 ›  网络设置。启动模块后,YaST 将显示网络设置对话框,其中包括四个选项卡:全局选项概述主机名/DNS路由选择

通过全局选项选项卡可设置常规联网选项,例如网路设置方法、IPv6 和常规 DHCP 选项。有关详细信息,请参见第 19.4.1.1 节 “配置全局联网选项”

概述选项卡包含关于已安装网络接口和配置的信息。会列出已正确检测到的所有网卡及其名称。您可在此对话框中手动配置新卡、删除或更改其配置。要手动配置未自动检测到的网卡,请参见第 19.4.1.3 节 “配置未检测到的网卡”。要更改所配置网卡的配置,请参见第 19.4.1.2 节 “更改网卡的配置”

通过主机名/DNS 选项卡可设置计算机的主机名和要使用的服务器名称。有关详细信息,请参见第 19.4.1.4 节 “配置主机名和 DNS”

路由选择选项卡用于配置路由选择。有关更多信息,请参见第 19.4.1.5 节 “配置路由”

配置网络设置
图 19.3︰ 配置网络设置

19.4.1.1 配置全局联网选项

通过 YaST 网络设置模块的全局选项选项卡,可设置重要的全局联网选项,如使用 NetworkManager、IPv6 和 DHCP 客户端选项。这些设置适用于所有网络接口。

注意
注意:NetworkManager 由 Workstation Extension 提供

现在,NetworkManager 由 SUSE Linux Enterprise Workstation Extension 提供。要安装 NetworkManager,请激活 Workstation Extension 储存库,然后选择 NetworkManager 软件包。

网络设置方法中,选择管理网络连接的方法。如果希望 NetworkManager 桌面小程序管理所有接口的连接,请选择 NetworkManager 服务。NetworkManager 非常适用于在多个有线和无线网络之间切换。如果您运行的不是桌面环境,或者您的计算机是 Xen 服务器、虚拟系统或者会在网络中提供 DHCP 或 DNS 等网络服务,请使用 Wicked 服务方法。如果使用 NetworkManager,则应使用 nm-applet 配置网络选项,并且网络设置模块的概述主机名/DNS路由选择选项卡会被禁用。有关 NetworkManager 的详细信息,请参见 SUSE Linux Enterprise Desktop 文档。

IPv6 协议设置中,选择是否使用 IPv6 协议。可将 IPv6 与 IPv4 一起使用。默认情况下,会启用 IPv6。但是在不使用 IPv6 协议的网络中,如果禁用 IPv6 协议,响应时间会更快。要禁用 IPv6,请停用启用 IPv6。如果禁用了 IPv6,内核将不再自动装载 IPv6 模块。重启动后会应用此设置。

DHCP 客户端选项中,配置 DHCP 客户端的选项。在单个网络上,每个 DHCP 客户端的 DHCP 客户端标识符必须不同。如果保留为空,会默认为网络接口的硬件地址。但是,如果正在运行若干使用相同网络接口(即相同硬件地址)的虚拟机,则在此处指定唯一的自由格式标识符。

要发送的主机名指定当 DHCP 客户端将消息发送到 DHCP 服务器时,主机名选项字段使用的字符串。某些 DHCP 服务器会根据此主机名(动态 DNS)来更新名称服务器区域(正向和反向记录)。此外,有些 DHCP 服务器要求要发送的主机名选项字段包含来自客户端的 DHCP 消息中的特定字符串。如果保留 AUTO,将发送当前的主机名(即 /etc/HOSTNAME 中定义的主机名)。将选项字段保留空白则不会发送任何主机名。

如果您不希望根据 DHCP 中的信息更改默认路由,请停用通过 DHCP 更改默认路由

19.4.1.2 更改网卡的配置

要更改网卡的配置,请在 YaST 网络设置 ›  概述中已检测到的网卡列表中选择一个网卡,然后单击编辑。将显示网卡设置对话框,可在其中使用常规地址硬件选项卡调整网卡配置。

19.4.1.2.1 配置 IP 地址

您可在网卡设置对话框的地址选项卡中设置网卡的 IP 地址或 IP 地址的确定方法。同时支持 IPv4 和 IPv6 地址。网卡可设置为无 IP 地址(对于绑定设备很有用)、静态指派的 IP 地址(IPv4 或 IPv6)或通过 DHCP和/或 Zeroconf 指派的动态地址

如果使用动态地址,则选择是使用仅 DHCP 版本 4(用于 DHCPv4)、DHCP 版本 6(用于 DHCPv6)还是 DHCP 版本 4 和 6

如果可能,安装期间的首个带链接的可用网卡将会通过 DHCP 自动配置为使用自动 IP 地址。

注意
注意:IBM Z 和 DHCP

在 IBM Z 平台上,只有具备 MAC 地址的网卡才支持基于 DHCP 的地址配置。属于这种情况的只有 OSA 和 OSA Express 网卡。

如果使用的是 DSL 线路,但 ISP(互联网服务提供商)没有指派静态 IP,此时还应使用 DHCP。如果决定使用 DHCP,请打开 YaST 网卡配置模块的网络设置对话框,在全局选项选项卡的 DHCP 客户端选项中配置细节。如果您使用虚拟主机设置,其中不同的主机都通过同一接口通信,则需要用 DHCP 客户端标识符来区分。

DHCP 比较适合客户端配置,但不太适合服务器配置。要设置静态 IP 地址,请如下继续操作:

  1. 在 YaST 网卡配置模块的概述选项卡中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 地址选项卡中,选择静态指派的 IP 地址

  3. 输入 IP 地址。IPv4 和 IPv6 地址均可使用。在子网掩码中输入子网掩码。如果使用 IPv6 地址,则对于前缀长度使用 /64 格式的子网掩码

    或者,您可以为此地址输入一个完全限定的主机名,该主机名将写入到 /etc/hosts 配置文件。

  4. 单击下一步

  5. 要激活配置,请单击确定

注意
注意:接口激活和链路检测

在激活网络接口期间,wicked 会检查载波,并且只有在检测到链路之后,才会应用 IP 配置。如果不管链路状态为何,您都需要应用配置(例如,您要测试侦听某个地址的服务),则可以在 /etc/sysconfig/network/ifcfg 内的接口配置文件中添加变量 LINK_REQUIRED=no 来跳过链路检测。

另外,您可以使用变量 LINK_READY_WAIT=5 来指定等待链路的超时值(以秒为单位)。

有关 ifcfg-* 配置文件的详细信息,请参见第 19.5.2.5 节 “/etc/sysconfig/network/ifcfg-*man 5 ifcfg

如果使用静态地址,则不会自动配置名称服务器和默认网关。要配置名称服务器,请按照第 19.4.1.4 节 “配置主机名和 DNS” 中所述进行。要配置网关,请按照第 19.4.1.5 节 “配置路由” 中所述进行。

19.4.1.2.2 配置多个地址

一个网络设备可以有多个 IP 地址。

注意
注意:别名是兼容功能

这些所谓的别名或标签只能分别用于 IPv4。对于 IPv6 则忽略它们。使用 iproute2 网络接口可以有一个或多个地址。

要使用 YaST 设置网卡的其他地址,请执行以下步骤:

  1. 在 YaST 网络设置对话框的概述选项卡中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 地址 ›  附加地址 选项卡中,单击添加

  3. 输入 IPv4 地址标签IP 地址网络掩码。不要在别名中包含接口名称。

  4. 要激活该配置,请确认设置。

19.4.1.2.3 更改设备名称和 udev 规则

可更改网卡在使用时的设备名称。还可确定 udev 是通过网卡的硬件 (MAC) 地址还是通过总线 ID 来标识网卡。后一个选项更适合大型服务器,因为便于热插拔网卡。要使用 YaST 设置这些选项,请执行以下步骤:

  1. 在 YaST 网络设置对话框的概述选项卡中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 转到常规选项卡。当前设备名称显示在 Udev 规则中。单击更改

  3. 选择 udev 应通过网卡的 MAC 地址还是总线 ID 来识别网卡。网卡的当前 MAC 地址和总线 ID 显示在对话框中。

  4. 要更改设备名称,请选中更改设备名称选项并编辑名称。

  5. 要激活该配置,请确认设置。

19.4.1.2.4 更改网卡内核驱动程序

对于某些网卡,可能会提供某些内核驱动程序。如果网卡已配置,YaST 允许您从可用的合适驱动程序列表中选择一个要使用的内核驱动程序。还可为内核驱动程序指定选项。要使用 YaST 设置这些选项,请执行以下步骤:

  1. 在 YaST 网络设置模块的概述选项卡中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 转到硬件选项卡。

  3. 模块名称中选择要使用的内核驱动程序。在选项中以 = =VALUE 格式为所选驱动程序输入任何选项。如果使用多个选项,应用空格分隔这些选项。

  4. 要激活该配置,请确认设置。

19.4.1.2.5 激活网络设备

如果使用结合 wicked 的方法,便可以将设备配置为在引导期间、连接电缆时或检测到网卡时启动、以手动方式启动或永不启动设备。要更改设备启动,请如下继续操作:

  1. 在 YaST 的系统 ›  网络设置中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 常规选项卡中,从设备激活选择所希望的项。

    选择在引导时可在系统引导时启动设备。使用在电缆连接时将对任何现有物理连接监视接口。使用在热插拔时,可在接口可用时对其进行设置。这与在引导时选项很相似,唯一区别是如果引导时接口不存在,将不会发生错误。选择手动可通过 ifup 手动控制接口。选择从不将不启动设备。通过 NFSroot在引导时相似,区别是使用 systemctl stop wicked.service 命令不会关闭接口;如果 wicked 处于活动状态,则 network 服务还会处理 wicked 服务。如果您使用 NFS 或 iSCSI 根文件系统,则选择此选项。

  3. 要激活该配置,请确认设置。

提示
提示:NFS 用作根文件系统

在通过网络以 NFS 共享形式挂载根分区的(无磁盘)系统中,配置可供访问 NFS 共享的网络设备时需保持谨慎。

关闭或重引导系统时,默认的处理顺序是关闭网络连接,然后卸载根分区。对于 NFS 根分区,这种顺序会产生问题,因为在尚未激活与 NFS 共享的网络连接的情况下,根分区无法完全卸载。为防止系统停用相关的网络设备,请按第 19.4.1.2.5 节 “激活网络设备”中所述打开网络设备配置选项卡,然后在设备激活窗格中选择通过 NFSroot

19.4.1.2.6 设置最大传输单元大小

您可为接口设置最大传输单元 (MTU)。MTU 是指允许的最大包大小(以字节为单位)。更高的 MTU 可带来更高的带宽效率。但是较大的包有时可能会堵塞较慢的接口,从而增加后续包的延迟。

  1. 在 YaST 的系统 ›  网络设置中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 常规选项卡中,从设置 MTU 列表中选择所需项。

  3. 要激活该配置,请确认设置。

19.4.1.2.7 PCIe 多功能设备

系统支持对以下技术提供支持的多功能设备:LAN、iSCSI 和 FCoE。YaST FCoE 客户端 (yast2 fcoe-client) 会在额外的列中显示私用标志,以允许用户选择用于 FCoE 的设备。YaST 网络模块 (yast2 lan) 会针对网络配置排除仅储存设备

关于 FCoE 的详细信息,请参见Book “储存管理指南”, Chapter 16 “以太网光纤通道储存:FCoE”, Section 16.3 “使用 YaST 管理 FCoE 服务”

19.4.1.2.8 IP-over-InfiniBand (IPoIB) 的 Infiniband 配置
  1. 在 YaST 的系统 ›  网络设置中选择 InfiniBand 设备,然后单击编辑

  2. 常规选项卡中,选择一种 IP-over-InfiniBand (IPoIB) 模式:已连接(默认)或数据报

  3. 要激活该配置,请确认设置。

有关 InfiniBand 的更多信息,请参见 /usr/src/linux/Documentation/infiniband/ipoib.txt

19.4.1.2.9 配置防火墙

您不必按Book “安全和强化指南”, Chapter 24 “掩蔽和防火墙”, Section 24.4 “firewalld中所述执行详细的防火墙设置,只需在设置设备的过程中决定设备的基本防火墙配置。按如下所示继续:

  1. 打开 YaST 的系统 ›  网络设置模块。在概述选项卡中,从已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 进入网络设置对话框的常规选项卡。

  3. 确定要将接口指派到的防火墙区域。下列选项可用:

    防火墙已禁用

    此选项只有在禁用防火墙和防火墙未在运行时才可用。仅当计算机属于受外部防火墙保护的大型网络时才使用此选项。

    自动指派区域

    此选项只有在启用防火墙后才可用。防火墙正在运行且接口自动指派给防火墙区域。包含关键字 any 的区域或外部区域将用于此类接口。

    内部区域(不受保护)

    防火墙正在运行,但不会强制执行任何规则来保护此接口。当计算机属于受外部防火墙保护的大型网络时才使用此选项。当计算机具有多个网络接口时,此选项还可用于连接到内部网络的接口。

    非管制区域

    隔离区域是位于内部网络和(恶意)互联网之前的附加防线。可从内部网络和互联网访问指派到此区域的主机,但指派到此区域的主机无法访问内部网络。

    外部区域

    防火墙在此接口上运行,并且全面保护其抵御其他假定有害的网络流量。这是默认选项。

  4. 要激活该配置,请确认设置。

19.4.1.3 配置未检测到的网卡

如果未正确检测到某个网卡,该卡将不会包含在已检测到的网卡列表中。如果确定系统包含网卡的驱动程序,则可以手动对其进行配置。还可以配置特殊网络设备类型,例如网桥、绑定、TUN 或 TAP。要配置未检测到的网卡(或特殊设备),请如下操作:

  1. 在 YaST 的系统 ›  网络设置 ›  概述对话框中,单击添加

  2. 硬件对话框中,从可用选项中设置接口的设备类型配置名称。如果网卡为 USB 设备,请激活相应的复选框,并单击下一步退出此对话框。或者,如果需要,您可定义要用于网卡的内核模块名称及其选项

    Ethtool 选项中,您可以为接口设置 ifup 使用的 ethtool 选项。有关可用选项的信息,请参见 ethtool 手册页。

    如果选项字符串以 - 开头(例如,-K INTERFACE_NAME rx on),则会用当前接口名称替换字符串中的第二个词。否则(例如,autoneg off speed 10ifup 会在开头添加 -s INTERFACE_NAME

  3. 单击下一步

  4. 常规地址硬件选项卡中,配置所有所需的选项,如接口的 IP 地址、设备激活或防火墙区域。有关配置选项的更多信息,请参见第 19.4.1.2 节 “更改网卡的配置”

  5. 如果选择无线作为接口的设备类型,则在下一个对话框中配置无线连接。

  6. 要激活新的网络配置,请确认设置。

19.4.1.4 配置主机名和 DNS

如果您在安装期间未更改网络配置,并且已有以太网卡可用,则系统会自动为您的计算机生成主机名并激活 DHCP。这同样适用于主机连接到网络环境所需的名称服务信息。如果网络地址设置使用了 DHCP,则会向域名服务器列表自动填充相应数据。如果希望使用静态设置,则手动设置这些值。

要更改计算机名称并调整名称服务器搜索列表,则如下继续操作:

  1. 转到 YaST 的系统 › 模块中的网络设置主机名/DNS 选项卡。

  2. 输入主机名。请注意,主机名是全局性的,将应用到所有网络接口。

    如果使用 DHCP 获取 IP 地址,则计算机的主机名将由 DHCP 服务器自动设置。如果连接到不同网络,您应禁用此行为,因为其他网络可能会指派不同的主机名,而在运行时更改主机名可能会导致混淆图形桌面。要禁止使用 DHCP 获取 IP 地址,请停用通过 DHCP 更改主机名

  3. 修改 DNS 配置中,请选择修改 DNS 配置(名称服务器、搜索列表以及 /run/netconfig/resolv.conf 文件的内容)的方式。

    如果选择了使用默认策略选项,则配置由 netconfig 脚本处理,该脚本合并了静态定义的数据(通过 YaST 或在配置文件中)与动态获取的数据(来自 DHCP 客户端或 NetworkManager)。此默认策略可满足通常情况。

    如果选择了仅手动选项,则不允许 netconfig 修改 /run/netconfig/resolv.conf 文件。但是,此文件可手动编辑。

    如果已选择自定义策略选项,则应指定用于定义合并策略的自定义策略规则字符串。该字符串包含了接口名称的逗号分隔列表,可考虑作为设置的有效源。除完整接口名外,也可使用基本通配符来匹配多个接口。例如,eth* ppp? 首先以所有 eth 为目标,然后是 ppp0 到 ppp9 的所有接口。有两个特殊策略值表示如何应用 /etc/sysconfig/network/config 文件中定义的静态设置:

    STATIC

    静态设置需要与动态设置合并到一起。

    STATIC_FALLBACK

    仅当动态配置不可用时,才使用静态设置。

    有关更多信息,请参见 netconfig(8) 的手册页 (man 8 netconfig)。

  4. 输入名称服务器并填写域搜索列表。名称服务器必须由 IP 地址指定(如 192.168.1.116),而非由主机名指定。域搜索选项卡中指定的名称是用于解析主机名(未指定域)的域名。如果使用多个域搜索,则使用逗号或空格分隔域。

  5. 要激活该配置,请确认设置。

也可以使用 YaST 从命令行编辑主机名。YaST 所做更改会立即生效(手动编辑 /etc/HOSTNAME 文件时则不是这样)。要更改主机名,请使用以下命令:

root # yast dns edit hostname=HOSTNAME

要更改名称服务器,请使用以下命令:

root # yast dns edit nameserver1=192.168.1.116
root # yast dns edit nameserver2=192.168.1.117
root # yast dns edit nameserver3=192.168.1.118

19.4.1.5 配置路由

要使计算机能够与其他计算机和其他网络进行通信,必须提供路由选择信息以使网络流量使用正确的路径。如果使用 DHCP,则将自动提供此信息。如果使用静态设置,则必须手动添加此数据。

  1. 在 YaST 中,转到网络设置 ›  路由选择

  2. 输入默认网关(如果需要是 IPv4 和 IPv6)的 IP 地址。默认网关与每个可能的目标匹配,但是如果存在与所需地址匹配的路由表项,则会使用此项,而不是通过默认网关使用默认路由。

  3. 可在路由选择表中输入多个项。输入目标网络 IP 地址、网关 IP 地址和网络掩码。选择将流量路由到定义的网络要经过的设备(减号代表任何设备)。要忽略这些值中的任何值,请使用减号 -。要在表中输入默认网关,请在目标字段中使用默认

    注意
    注意:路由优先级

    如果使用更多的默认路由,则可以指定用于确定具有更高优先级的路由的度量选项。要指定度量选项,请在选项中输入 - metric NUMBER。默认情况下使用具有最高度量的路由。如果网络设备已断开连接,则删除其路由并使用下一个路由。

  4. 如果系统是路由器,请根据需要在网络设置中启用 IPv4 转发IPv6 转发

  5. 要激活该配置,请确认设置。

19.4.2 IBM Z:配置网络设备

SUSE Linux Enterprise Server for IBM Z 支持多种类型的网络接口。可使用 YaST 来对所有这些接口进行配置。

19.4.2.1 qeth-hsi 设备

要将 qeth-hsi (Hipersocket) 接口添加到安装的系统中,请启动 YaST 中的系统 › 网络设置模块。选择标记为 Hipersocket 的设备之一以用作 READ 设备地址,然后单击编辑。输入设备编号供读、写和控制通道(例如设备编号格式:0.0.0800)。然后单击“下一步”。在网络地址设置对话框中,为新接口指定 IP 地址和网络掩码,然后单击下一步确定退出网络配置。

19.4.2.2 qeth-ethernet 设备

要将 qeth-ethernet(IBM OSA Express 以太网卡)接口添加到安装的系统中,请启动 YaST 中的系统 ›  网络设置模块。选择标有 IBM OSA 快速以太网卡的任一设备以用作“读”设备地址并单击编辑。输入设备编号供读、写和控制通道(例如设备编号格式:0.0.0700)。输入所需的端口名称、端口号(如适用)、一些其他选项、您的 IP 地址以及适用的网络掩码。单击下一步确定退出网络配置。

19.4.2.3 ctc 设备

要将 ctc(IBM 并行 CTC 适配器)接口添加到安装的系统中,请启动 YaST 中的系统 ›  网络设置模块。选择标记为 IBM 并行 CTC 适配器的设备之一,用作读取通道,然后单击配置。选择适合您设备的 设备设置(通常为兼容性方式)。指定您的 IP 地址和远程合作伙伴的 IP 地址。如果需要,可使用高级 › 详细设置调整 MTU 的大小。单击下一步确定退出网络配置。

警告
警告:不再支持 CTC

不建议使用此接口。未来版本的 SUSE Linux Enterprise Server 将不支持此接口。

19.4.2.4 lcs 设备

要将 lcs(IBM OSA-2 适配器)接口添加到安装的系统中,请启动 YaST 中的系统 ›  网络设置模块。选择标记为 IBM OSA-2 适配器的设备之一,然后单击配置。输入所需的端口号、一些其他选项、您的 IP 地址以及适用的网络掩码。单击下一步确定退出网络配置。

19.4.2.5 IUCV 设备

要将 iucv (IUCV) 接口添加到安装的系统中,请启动 YaST 中的系统 ›  网络设置模块。选择标记为 IUCV 的设备并单击编辑。YaST 会提示您输入 IUCV 合作伙伴(同级)的名称。输入该名称(此项区分大小写),然后选择下一步。指定您的合作伙伴的 IP 地址远程 IP 地址。如果需要,在常规选项卡上设置 MTU 大小。单击下一步确定退出网络配置。

警告
警告:不再支持 IUCV

不建议使用此接口。未来版本的 SUSE Linux Enterprise Server 将不支持此接口。

19.5 手动配置网络连接

应该将手动配置网络软件作为最后的选择。建议使用 YaST。但是,对网络配置背景信息的了解将对您使用 YaST 有所帮助。

19.5.1 wicked 网络配置

名为 wicked 的工具和库提供了一个用于配置网络的新框架。

传统网络接口管理面临的其中一项挑战是,各种不同的网络管理层混杂在一个脚本中,最多在两个不同的脚本中。这些脚本彼此之间如何交互没有明确的定义。这会导致出现无法预测的问题、模糊的约束和约定等情况。针对各种不同的情况部署多个特殊入侵层增大了维护负担。所用的地址配置协议是通过 dhcpcd 等守护程序实现的,而这些守护程序与基础架构中其他组件的交互很不通畅。为了持续识别接口,引入了新潮的接口命名模式,而这需要繁重的 udev 支持。

wicked 的理念是通过多种方式剖析问题。它没有采用任何全新的技术,而是尝试将不同项目中的观点集中起来,以建立一个更好的整体解决方案。

实现此目的的方法之一是使用客户端/服务器模型。wicked 可借此为地址配置等任务定义能够很好地集成到整个框架中的标准化工具。例如,使用特定的地址配置时,管理员可能要求应该通过 DHCP 或 IPv4 zeroconf 配置接口。在这种情况下,地址配置服务只会从它的服务器获得租用,并传递到安装了所请求地址和路由的 wicked 服务器进程。

剖析问题的另一种方法是强制实施分层机制。对于任何类型的网络接口,都可以定义一个 dbus 服务,用于配置网络接口的设备层 — VLAN、桥接、绑定或半虚拟化设备。地址配置等常用功能通过在这些设备特定的服务基础上分层的联合服务实现,您不必专门实施这些功能。

wicked 框架使用各种 dbus 服务来实现这两个方面的功能,这些服务将会根据其类型挂接到网络接口。本文提供了 wicked 中的当前对象层次的简要概述。

每个网络接口以 /org/opensuse/Network/Interfaces 的子对象表示。该子对象的名称由其 ifindex 指定。例如,ifindex 通常为 1 的回写接口是 /org/opensuse/Network/Interfaces/1,注册的第一个以太网接口是 /org/opensuse/Network/Interfaces/2

每个网络接口都有一个关联的,该类用于选择该接口支持的 dbus 接口。默认情况下,每个网络接口的类为 netif,wickedd 将自动挂接与此类兼容的所有接口。在当前实施中,这些兼容的接口包括:

org.opensuse.Network.Interface

一般网络接口功能,例如,打开或关闭链路、指派 MTU 等

org.opensuse.Network.Addrconf.ipv4.dhcp, org.opensuse.Network.Addrconf.ipv6.dhcp, org.opensuse.Network.Addrconf.ipv4.auto

适用于 DHCP、IPv4 zeroconf 等的地址配置服务

除此之外,网络接口可能还需要或者提供特殊的配置机制。例如,对于某个以太网设备,您应该能够控制链路速度、校验和卸载等。为了实现此目的,以太网设备都有一个名为 netif-ethernet 的自己的类,该类属于 netif 的子类。因此,指派给以太网接口的 dbus 接口具有上面列出的所有服务以及 org.opensuse.Network.Ethernet 服务,后者只适用于属于 netif-ethernet 类的对象。

同样,桥接、VLAN、绑定或 infiniband 等接口类型也存在适用类。

您要如何与某个首先需要创建的接口(例如 VLAN,它实际上是位于以太网设备上的虚拟网络接口)交互呢?为此,wicked 定义了出厂接口,例如 org.opensuse.Network.VLAN.Factory。这种出厂接口只提供单一功能,就是让您创建所请求类型的接口。这些出厂接口将挂接到 /org/opensuse/Network/Interfaces 列表节点。

19.5.1.1 wicked 体系结构和功能

图 19.4 “wicked 体系结构”中所述,wicked 服务由几个部分组成。

wicked 体系结构
图 19.4︰ wicked 体系结构

wicked 目前支持以下功能:

  • 使用配置文件后端来分析 SUSE 样式的 /etc/sysconfig/network 文件。

  • 使用内部配置后端以 XML 格式表示网络接口配置。

  • 打开和关闭常规网络接口,例如以太网或 InfiniBand,VLAN、网桥、绑定、tun、tap、虚设设备、macvlan、macvtap、hsi、qeth、iucv 和无线(当前限制为一个 wpa-psk/eap 网络)设备。

  • 内置 DHCPv4 客户端和内置 DHCPv6 客户端。

  • 默认启动的 nanny 守护程序有助于在设备可用(接口热插入)时自动激活配置的接口,以及在检测到链路(载波)时设置 IP 配置。有关更多信息,请参见第 19.5.1.3 节 “Nanny”

  • wicked 过去是以与 systemd 集成的 DBus 服务组形式来实现的。因此,一般的 systemctl 命令将会适用于 wicked

19.5.1.2 使用 wicked

在 SUSE Linux Enterprise 上,默认会运行 wicked。如果您要检查当前启用了哪个组件以及该组件是否正在运行,请调用:

systemctl status network

如果已启用 wicked,您将看到类似于下面的行:

wicked.service - wicked managed network interfaces
    Loaded: loaded (/usr/lib/systemd/system/wicked.service; enabled)
    ...

如果运行的是其他组件(例如 NetworkManager)并且您想切换到 wicked,请先停止正在运行的组件,然后启用 wicked

systemctl is-active network && \
systemctl stop      network
systemctl enable --force wicked

如此会启用 wicked 服务、创建从 network.servicewicked.service 的别名链路,并在下次引导时启动网络。

启动服务器进程:

systemctl start wickedd

这将会启动 wickedd(主服务器)和关联的请求方:

/usr/lib/wicked/bin/wickedd-auto4 --systemd --foreground
/usr/lib/wicked/bin/wickedd-dhcp4 --systemd --foreground
/usr/lib/wicked/bin/wickedd-dhcp6 --systemd --foreground
/usr/sbin/wickedd --systemd --foreground
/usr/sbin/wickedd-nanny --systemd --foreground

然后激活网络:

systemctl start wicked

或者使用 network.service 别名:

systemctl start network

这些命令使用 /etc/wicked/client.xml 中定义的默认配置源或系统配置源。

要启用调试,请在 /etc/sysconfig/network/config 中设置 WICKED_DEBUG,例如:

WICKED_DEBUG="all"

或者,要省略一些信息:

WICKED_DEBUG="all,-dbus,-objectmodel,-xpath,-xml"

使用客户端实用程序显示所有接口的接口信息,或者显示以 IFNAME 指定的接口的接口信息:

wicked show all
wicked show IFNAME

XML 格式的输出:

wicked show-xml all
wicked show-xml IFNAME

打开一个接口:

wicked ifup eth0
wicked ifup wlan0
...

由于未指定配置源,wicked 客户端将检查 /etc/wicked/client.xml 中为它定义的默认配置源:

  1. firmware:iSCSI 引导固件表 (iBFT)

  2. compat: ifcfg 文件 — 为兼容性而实施

将会应用 wicked 从指定接口的这些源中获取的任何设置。预期的重要性顺序为 firmwarecompat - 将来此顺序可能会发生变化。

有关更多信息,请参见 wicked 手册页。

19.5.1.3 Nanny

Nanny 是一个事件与策略驱动的守护程序,负责热插拔设备等异步或被动性方案。因此,Nanny 守护程序可帮助启动或者重启动延迟的设备或临时消失的设备。Nanny 将监视设备和链路变化,并集成当前策略集定义的新设备。即使 ifup 已经因指定的超时约束而退出,Nanny 也会继续设置。

默认情况下,Nanny 守护程序在系统上处于活动状态。您可在 /etc/wicked/common.xml 配置文件中启用它:

<config>
  ...
  <use-nanny>true</use-nanny>
</config>

如果使用此设置,ifup 和 ifreload 会将包含有效配置的策略应用到 Nanny 守护程序;然后,Nanny 将配置 wickedd,从而确保支持热插拔。它将在后台等待事件或更改(例如,打开新的设备或载体)。

19.5.1.4 启用多个接口

对于绑定和网桥,有效的做法是在一个文件 (ifcfg-bondX) 中定义整个设备拓扑,并一次性将它激活。然后,当您指定(网桥或绑定的)顶级接口名称时,wicked 可以激活整个配置:

wicked ifup br0

此命令会按适当的顺序自动设置网桥及其依赖项,而无需分别列出依赖项(端口等)。

要在一个命令中激活多个接口:

wicked ifup bond0 br0 br1 br2

要激活所有接口:

wicked ifup all

19.5.1.5 将隧道与 wicked 配合使用

如果您需要将隧道与 Wicked 结合使用,可以使用专门针对此用途的 TUNNEL_DEVICE。它可让您指定一个可选的设备名称,以将隧道绑定至该设备。隧道式包将只能通过此设备路由。

有关详细信息,请参见 man 5 ifcfg-tunnel

19.5.1.6 处理增量变化

有了 wicked,当您要重新配置某个接口时,并不需要真正将它关闭(除非内核有此要求)。例如,要将另一个 IP 地址或路由添加到静态配置的网络接口,请将该 IP 地址添加到接口定义,然后再次执行ifup操作。服务器会尽量做到只更新那些已更改的设置。这适用于链路级选项,例如设备 MTU 或 MAC 地址;也适用于网络级设置,例如地址、路由,甚至地址配置模式(例如,从静态配置转为 DHCP 时)。

当然,对于合并了多个实体设备(例如桥接或绑定设备)的虚拟接口,事情会变得有些棘手。对于绑定设备,当设备运行时,您无法更改某些参数,否则会导致出错。

但是,您仍可以添加或去除绑定设备或桥接的子设备,或者选择绑定设备的主接口。

19.5.1.7 Wicked 扩展:地址配置

wicked 设计为使用外壳脚本扩展。这些扩展可在 config.xml 文件中定义。

目前支持多个种类的扩展:

  • 链路配置:这些脚本负责根据客户端提供的配置来设置设备的链路层,以及负责将链路层再次拆解。

  • 地址配置:这些脚本负责管理设备的地址配置。通常,地址配置和 DHCP 由 wicked 自身管理,但是,可借助扩展来实现。

  • 防火墙扩展:这些脚本可以应用防火墙规则。

通常,扩展中包含一个启动命令和一个停止命令、一个可选的pid 文件,以及传递给脚本的一组环境变量。

为了演示此扩展的工作原理,请查看 etc/server.xml 中定义的防火墙扩展:

<dbus-service interface="org.opensuse.Network.Firewall">
 <action name="firewallUp"   command="/etc/wicked/extensions/firewall up"/>
 <action name="firewallDown" command="/etc/wicked/extensions/firewall down"/>

 <!-- default environment for all calls to this extension script -->
 <putenv name="WICKED_OBJECT_PATH" value="$object-path"/>
 <putenv name="WICKED_INTERFACE_NAME" value="$property:name"/>
 <putenv name="WICKED_INTERFACE_INDEX" value="$property:index"/>
</dbus-service>

该扩展附加到 <dbus-service> 标记,并定义针对此接口的操作应执行的命令。此外,声明可以定义并初始化传递给操作的环境变量。

19.5.1.8 Wicked 扩展:配置文件

您也可以使用脚本来扩展配置文件的处理。例如,extensions/resolver 脚本根据 server.xml 中配置的行为来最终处理租用中的 DNS 更新:

<system-updater name="resolver">
 <action name="backup" command="/etc/wicked/extensions/resolver backup"/>
 <action name="restore" command="/etc/wicked/extensions/resolver restore"/>
 <action name="install" command="/etc/wicked/extensions/resolver install"/>
 <action name="remove" command="/etc/wicked/extensions/resolver remove"/>
</system-updater>

wickedd 中收到更新时,系统更新程序例程将分析租用,并调用解析程序脚本中的适当命令(backupinstall等)。此后便可以使用 /sbin/netconfig 或者通过手动写入 /run/netconfig/resolv.conf(作为回退)来配置 DNS 设置。

19.5.2 配置文件

本节对网络配置文件进行了概述并解释了它们的作用和所使用的格式。

19.5.2.1 /etc/wicked/common.xml

/etc/wicked/common.xml 文件包含所有应用程序应使用的通用定义。该文件源自/包含在此目录中的其他配置文件中。尽管您可以使用此文件允许在所有 wicked 组件间进行调试,但建议使用 /etc/wicked/local.xml 文件来实现此目的。应用维护更新后,您所做的更改可能会丢失,因为 /etc/wicked/common.xml 可能会被覆盖。/etc/wicked/common.xml 文件包含默认安装中的 /etc/wicked/local.xml,因此您通常不需要修改 /etc/wicked/common.xml

如果要通过将 <use-nanny> 设置为 false 来禁用 nanny,请重启动 wickedd.service,然后运行以下命令以应用所有配置和策略:

tux > sudo wicked ifup all
注意
注意:配置文件

如果 wickeddwickednanny 程序自身的配置文件不存在,则会尝试读取 /etc/wicked/common.xml

19.5.2.2 /etc/wicked/server.xml

wickedd 服务器进程会在启动时读取文件 /etc/wicked/server.xml。该文件将扩展储存到 /etc/wicked/common.xml 中。除此之外,此文件可配置解析程序的处理方式,以及从 addrconf 请求方(例如 DHCP)接收信息的方式。

建议您将需要对此文件进行的所有更改都添加到单独的文件 /etc/wicked/server-local.xml/etc/wicked/server.xml )。使用单独的文件可避免在维护更新期间覆盖您的更改。

19.5.2.3 /etc/wicked/client.xml

/etc/wicked/client.xmlwicked 命令使用。该文件指定发现 ibft 管理的设备时所用脚本的位置,并可配置网络接口配置的位置。

建议您将需要对此文件进行的所有更改都添加到单独的文件 /etc/wicked/client-local.xml/etc/wicked/server.xml 会包含该文件的内容)。使用单独的文件可避免在维护更新期间覆盖您的更改。

19.5.2.4 /etc/wicked/nanny.xml

/etc/wicked/nanny.xml 配置链接层的类型。建议您将特定配置添加到单独的文件 /etc/wicked/nanny-local.xml 中,以免在维护更新期间丢失更改。

19.5.2.5 /etc/sysconfig/network/ifcfg-*

这些文件包含网络接口的传统配置。

注意
注意:wickedifcfg-* 文件

如果您指定 compat: 前缀,wicked 将读取这些文件。根据 /etc/wicked/client.xmlSUSE Linux Enterprise Server 的默认配置,wicked 将尝试先读取这些文件,然后再读取 /etc/wicked/ifconfig 中的 XML 配置文件。

通常,提供 --ifconfig 开关仅用于测试。如果指定该开关,则不会应用 /etc/wicked/ifconfig 中定义的默认配置源。

ifcfg-* 文件包含启动模式和 IP 地址等信息。可能的参数在 ifup 的手册页中有所介绍。此外,如果一个常规设置只能用于一个接口,则文件 dhcpwireless 中的大多数变量可用于 ifcfg-* 文件。但是,/etc/sysconfig/network/config 中的大多数变量是全局变量,无法在 ifcfg 中覆盖。例如,NETCONFIG_* 变量是全局变量。

要配置 macvlanmacvtab 接口,请参见 ifcfg-macvlanifcfg-macvtap 手册页。例如,对于 macvlan 接口,请提供使用以下设置的 ifcfg-macvlan0

STARTMODE='auto'
MACVLAN_DEVICE='eth0'
#MACVLAN_MODE='vepa'
#LLADDR=02:03:04:05:06:aa

有关 ifcfg.template 的信息,请参见第 19.5.2.6 节 “/etc/sysconfig/network/config/etc/sysconfig/network/dhcp/etc/sysconfig/network/wireless

IBM Z IBM Z 不支持 USB。接口文件的名称和网络别名包含 IBM Z 特定的元素,例如 qeth

19.5.2.6 /etc/sysconfig/network/config/etc/sysconfig/network/dhcp/etc/sysconfig/network/wireless

文件 config 包含 ifupifdownifstatus 行为的常规设置。dhcp 包含 DHCP 设置,wireless 包含无线局域网卡的设置。所有三个配置文件中的变量均已注释掉。/etc/sysconfig/network/config 中的一些变量也可用于 ifcfg-* 文件,在这些文件中它们具有更高优先级。/etc/sysconfig/network/ifcfg.template 文件列出可以按接口指定的变量。但是,/etc/sysconfig/network/config 中的大多数变量是全局变量,不能在 ifcfg-files 中被覆盖。例如,NETWORKMANAGERNETCONFIG_* 变量是全局变量。

注意
注意:使用 DHCPv6

在 SUSE Linux Enterprise 11 中,即使是在未正确配置 IPv6 路由器广播 (RA) 的网络中,DHCPv6 一向也能正常工作。从 SUSE Linux Enterprise 12 开始,DHCPv6 要求网络中至少有一个路由器发出 RA,用于指示此网络由 DHCPv6 管理。

对于无法在其中正确配置路由器的网络,用户可以通过在 ifcfg 文件中指定 DHCLIENT6_MODE='managed',使用 ifcfg 选项来覆盖此行为。您也可以在安装系统中使用引导参数来启用这种解决方法:

ifcfg=eth0=dhcp6,DHCLIENT6_MODE=managed

19.5.2.7 /etc/sysconfig/network/routes/etc/sysconfig/network/ifroute-*

TCP/IP 包的静态路由是 /etc/sysconfig/network/routes/etc/sysconfig/network/ifroute-* 文件确定的。可以在 /etc/sysconfig/network/routes 中指定各种系统任务所需的所有静态路由:主机的路由、主机通过网关的路由以及网络的路由。对于需要个别路由的每个接口,定义另一个配置文件:/etc/sysconfig/network/ifroute-*。将通配符 (*) 替换为接口名称。路由选择配置文件中的项如下所示:

# Destination     Gateway           Netmask            Interface  Options

路由目标位于首列。此列可以包含网络或主机的 IP 地址,或者在有可访问名称服务器时,包含完全限定的网络或主机名。应该以 CIDR 表示法(地址加上关联的路由前缀长度)输入网络名称,例如 10.10.0.0/16(对于 IPv4 路由)或 fc00::/7(对于 IPv6 路由)。关键字 default 表示该路由是与网关位于相同地址族中的默认网关。对于没有网关的设备,请使用显式 0.0.0.0/0 或 ::/0 目标。

第二列包含默认网关或通过其可访问主机或网络的网关。

第三列已弃用;它用于包含目标的 IPv4 网络掩码。对于 IPv6 路由、默认路由,或者如果在第一列中使用了前缀长度(CIDR 表示法),请在此处输入破折号 (-)。

第四列包含接口名称。如果使用破折号 (-) 将它保留空白,可能会导致 /etc/sysconfig/network/routes 出现意外的行为。有关更多信息,请参见 routes 手册页。

第五列(可选)可用于指定特殊选项。有关详细信息,请参见 routes 手册页。

例 19.5︰ 通用网络接口和一些静态路由
# --- IPv4 routes in CIDR prefix notation:
# Destination     [Gateway]         -                  Interface
127.0.0.0/8       -                 -                  lo
204.127.235.0/24  -                 -                  eth0
default           204.127.235.41    -                  eth0
207.68.156.51/32  207.68.145.45     -                  eth1
192.168.0.0/16    207.68.156.51     -                  eth1

# --- IPv4 routes in deprecated netmask notation"
# Destination     [Dummy/Gateway]   Netmask            Interface
#
127.0.0.0         0.0.0.0           255.255.255.0      lo
204.127.235.0     0.0.0.0           255.255.255.0      eth0
default           204.127.235.41    0.0.0.0            eth0
207.68.156.51     207.68.145.45     255.255.255.255    eth1
192.168.0.0       207.68.156.51     255.255.0.0        eth1

# --- IPv6 routes are always using CIDR notation:
# Destination     [Gateway]                -           Interface
2001:DB8:100::/64 -                        -           eth0
2001:DB8:100::/32 fe80::216:3eff:fe6d:c042 -           eth0

19.5.2.8 /var/run/netconfig/resolv.conf

主机所属的域在 /var/run/netconfig/resolv.conf 中指定(关键字 search)。使用 search 选项最多可以指定六个域,总共 256 个字符。当解析不是完全限定的名称时,将尝试通过附加单独的 search 项生成一个完全限定的名称。使用 nameserver 选项最多可以指定三个名称服务器,每行指定一个。注释以井号或分号(#;)开头。有关示例,请参见例 19.6 “/var/run/netconfig/resolv.conf

但是,不应手动编辑 /etc/resolv.conf。此文件由 netconfig 脚本生成,它是 /run/netconfig/resolv.conf 的符号链接。要定义静态 DNS 配置而不使用 YaST,请手动编辑 /etc/sysconfig/network/config 文件中的相应变量:

NETCONFIG_DNS_STATIC_SEARCHLIST

用于主机名查找的 DNS 域名列表

NETCONFIG_DNS_STATIC_SERVERS

用于主机名查找的名称服务器 IP 地址列表

NETCONFIG_DNS_FORWARDER

需要配置的 DNS 转发器名称,例如 bindresolver

NETCONFIG_DNS_RESOLVER_OPTIONS

将写入到 /var/run/netconfig/resolv.conf 的任意选项,例如:

debug attempts:1 timeout:10

有关更多信息,请参见 resolv.conf 手册页。

NETCONFIG_DNS_RESOLVER_SORTLIST

最多包含 10 项的列表,例如:

130.155.160.0/255.255.240.0 130.155.0.0

有关更多信息,请参见 resolv.conf 手册页。

要使用 netconfig 禁用 DNS 配置,请设置 NETCONFIG_DNS_POLICY=''。有关 netconfig 的更多信息,请参见 netconfig(8) 手册页 (man 8 netconfig)。

例 19.6︰ /var/run/netconfig/resolv.conf
# Our domain
search example.com
#
# We use dns.example.com (192.168.1.116) as nameserver
nameserver 192.168.1.116

19.5.2.9 /sbin/netconfig

netconfig 是一个用于管理附加网络配置设置的模块化工具。它合并了静态定义的设置和自动配置机制根据预定义策略以 DHCP 或 PPP 形式提供的设置。通过调用负责修改配置文件和重启动服务或相似操作的 netconfig 模块将所需更改应用于系统。

netconfig 识别三种主要操作。netconfig modifynetconfig remove 命令由诸如 DHCP 或 PPP 的守护程序用于在 netconfig 中提供设置或从中删除设置。仅 netconfig update 命令可用于用户:

modify

netconfig modify 命令修改特定于当前接口和服务的动态设置并更新网络配置。Netconfig 会从标准输入或从使用 --lease-file FILENAME 选项指定的文件中读取设置,并将其储存在内部,直到系统重引导(或者执行下一个修改或删除操作)为止。已存在的相同接口和服务组合设置将会重写。该接口由 -i INTERFACE_NAME 参数指定。该服务由 -s SERVICE_NAME 参数指定。

remove

netconfig remove 命令为指定接口和服务组合去除由编辑操作提供的动态设置并更新网络配置。该接口由 -i INTERFACE_NAME 参数指定。该服务由 -s SERVICE_NAME 参数指定。

update

netconfig update 命令使用当前设置更新网络配置。当策略或静态配置更改时,这非常有用。如果只想更新指定的服务(dnsnisntp),请使用 -m MODULE_TYPE 参数。

netconfig 策略和静态配置设置可手动定义或者使用 YaST 在 /etc/sysconfig/network/config 文件中定义。自动配置工具(例如 DHCP 或 PPP)提供的动态配置设置由这些工具通过 netconfig modifynetconfig remove 操作直接递送。启用 NetworkManager 时,netconfig(在策略模式 auto 中)仅使用 NetworkManager 设置,忽略使用传统 ifup 方法配置的任何其他接口的设置。如果 NetworkManager 未提供任何设置,将使用静态设置作为后备设置。不支持混合使用 NetworkManager 和 wicked 方法。

有关 netconfig 的更多信息,请参见 man 8 netconfig

19.5.2.10 /etc/hosts

在此文件中,如例 19.7 “/etc/hosts中所示,将为主机名指派 IP 地址。如果未实施名称服务器,则将与其建立 IP 连接的所有主机必须列在此处。在此文件中为每个主机输入一行数据,包含 IP 地址、完全限定的主机名和主机名。IP 地址必须在每行的开头,各项用空格和制表符隔开。注释总是以 # 符号开头。

例 19.7︰ /etc/hosts
127.0.0.1 localhost
192.168.2.100 jupiter.example.com jupiter
192.168.2.101 venus.example.com venus

19.5.2.11 /etc/networks

在这里,网络名称被转换为网络地址。格式类似于 hosts 文件的格式,只是网络名称在地址的前面。请参见例 19.8 “/etc/networks

例 19.8︰ /etc/networks
loopback     127.0.0.0
localnet     192.168.0.0

19.5.2.12 /etc/host.conf

此文件控制名称解析,即通过解析程序库转换主机名和网络名称。此文件只用于链接到 libc4 或 libc5 的程序。对于当前的 glibc 程序,请参见 /etc/nsswitch.conf 中的设置。每个参数都必须始终在单独的一行中输入。注释以 # 符号开头。表 19.2 “/etc/host.conf 的参数” 显示了可用的参数。例 19.9 “/etc/host.conf 中显示了 /etc/host.conf 的示例。

表 19.2︰ /etc/host.conf 的参数

order hostsbind

指定访问服务以进行名称解析的顺序。可用参数有(使用空格或逗号隔开):

hosts:搜索 /etc/hosts 文件

bind:访问名称服务器

nis:使用 NIS

multi on/off

定义 /etc/hosts 中输入的主机是否可以具有多个 IP 地址。

nospoof on spoofalert on/off

这些参数影响名称服务器 spoofing,但对网络配置没有任何影响。

trim domainname

在主机名解析后,指定的域名将与主机名分开(前提是主机名包含域名)。此选项仅当本地域名在 /etc/hosts 文件中时才有用,但仍应通过附带的域名进行识别。

例 19.9︰ /etc/host.conf
# We have named running
order hosts bind
# Allow multiple address
multi on

19.5.2.13 /etc/nsswitch.conf

GNU C Library 2.0 的引入与 名称服务转换 (NNS) 的引入是同时进行的。有关详细信息,请参见 nsswitch.conf(5) 手册页和《GNU C 库参考手册》。

查询的顺序是在文件 /etc/nsswitch.conf 中定义的。例 19.10 “/etc/nsswitch.conf 中显示了 nsswitch.conf 的示例。注释以 # 符号开头。在本例中,hosts 数据库下的项意味着通过 DNS(请参见第 31 章 “域名系统将请求发送到 /etc/hosts (files)。

例 19.10︰ /etc/nsswitch.conf
passwd:     compat
group:      compat

hosts:      files dns
networks:   files dns

services:   db files
protocols:  db files
rpc:        files
ethers:     files
netmasks:   files
netgroup:   files nis
publickey:  files

bootparams: files
automount:  files nis
aliases:    files nis
shadow:     compat

表 19.3 “通过 /etc/nsswitch.conf 可用的数据库” 中列出了 NSS 上可用的数据库表 19.4 “NSS数据库的配置选项”中列出了 NSS 数据库的配置选项。

表 19.3︰ 通过 /etc/nsswitch.conf 可用的数据库

aliases

sendmail 实施的邮件别名;请参见 man5 aliases

ethers

以太网地址。

netmasks

网络及其子网掩码的列表。只有在使用子网划分时才需要。

group

getgrent 使用的用户组。另请参见 group 的手册页。

hosts

gethostbyname 和类似函数使用的主机名和 IP 地址。

netgroup

网络中用于控制访问权限的有效主机和用户列表,请参见 netgroup(5) 手册页。

networks

getnetent 使用的网络名称和地址。

publickey

NFS 和 NIS+ 使用的 Secure_RPC 的公钥和密钥。

password

getpwent 使用的用户口令;请参见 passwd(5) 手册页。

protocols

网络协议,由 getprotoent 使用;请参见 protocols(5) 手册页。

rpc

getrpcbyname 和类似函数使用的远程过程调用名称和地址。

services

getservent 使用的网络服务。

shadow

用户阴影口令,由 getspnam 使用;请参见 shadow(5) 手册页。

表 19.4︰ NSS数据库的配置选项

files

直接访问文件,例如 /etc/aliases

db

通过数据库访问

nisnisplus

NIS,另请参见Book “安全和强化指南”, Chapter 4 “使用 NIS”

dns

仅可用作 hostsnetworks 的扩展名

compat

仅可用作 passwdshadowgroup 的扩展名

19.5.2.14 /etc/nscd.conf

此文件用于配置 nscd(名称服务缓存守护程序)。请参见 nscd(8)nscd.conf(5) 手册页。默认情况下,passwdgroupshosts 的系统项由 nscd 进行缓存。这对 NIS 和 LDAP 等目录服务的性能而言非常重要,否则,每次访问名称、组或主机都需要网络连接。

如果激活 passwd 的缓存,则通常需要 15 秒才能识别新添加的本地用户。使用以下命令重启动 nscd,缩短这段等待时间:

tux > sudo systemctl restart nscd

19.5.2.15 /etc/HOSTNAME

/etc/HOSTNAME 包含完全限定的主机名 (FQHN)。完全限定的主机名是附有域名的主机名。此文件只能包含一行(在此行中设置主机名)。计算机引导时会读取此文件。

19.5.3 测试配置

向配置文件写配置之前,可对其进行测试。要设置测试配置,请使用 ip 命令。要测试连接,请使用 ping 命令。

命令 ip 会直接更改网络配置,而不会将其保存到配置文件中。如果未在正确的配置文件中输入配置,重引导时将丢失已更改的网络配置。

注意
注意:ifconfigroute 已过时

ifconfigroute 工具已过时。请改为使用 ip。例如,ifconfig 会将接口名限制为 9 个字符。

19.5.3.1 使用 ip 配置网络接口

ip 是用来显示和配置网络设备、路由选择、策略路由选择以及隧道的工具。

ip 是非常复杂的工具。它的常用语法为 ip OPTIONS OBJECT COMMAND。可使用以下对象:

link

此对象表示网络设备。

address

此对象表示设备的 IP 地址。

neighbor

此对象表示 ARP 或 NDISC 缓存项。

route

此对象表示路由选择表项。

rule

此对象表示路由选择策略数据库中的规则。

maddress

此对象表示多路广播地址。

mroute

此对象表示多路广播路由缓存项。

tunnel

此对象表示 IP 上的隧道。

如果未提供命令,则将使用默认命令(通常为 list)。

使用以下命令更改设备的状态:

tux > sudo ip link set DEV_NAME

例如,要停用设备 eth0,请输入

tux > sudo ip link set eth0 down

要再次激活该设备,请使用

tux > sudo ip link set eth0 up
提示
提示:断开 NIC 设备的连接

如果使用以下命令停用某个设备

tux > sudo ip link set DEV_NAME down

该命令会在软件级别禁用网络接口。

如果您想要模拟拔下以太网网线或关闭所连接的交换机之类的链接丢失,请运行

tux > sudo ip link set DEV_NAME carrier off

例如,ip link set DEV_NAME down 会丢弃使用 DEV_NAME 的所有路由,而 ip link set DEV carrier off 则不会。请注意,carrier off 需要网络设备驱动程序的支持。

要将设备再次连接回物理网络,请运行

tux > sudo ip link set DEV_NAME carrier on

激活设备后,可对设备进行配置。要设置 IP 地址,请使用

tux > sudo ip addr add IP_ADDRESS + dev DEV_NAME

例如,要将接口 eth0 的地址设置为带标准广播(选项 brd)的 192.168.12.154/30,请输入

tux > sudo ip addr add 192.168.12.154/30 brd + dev eth0

要拥有活动连接,还必须配置默认网关。要设置系统的网关,请输入

tux > sudo ip route add default via gateway_ip_address

要显示所有设备,请使用

tux > sudo ip link ls

要只显示正在运行的接口,请使用

tux > sudo ip link ls up

要输出设备的接口统计信息,请输入

tux > sudo ip -s link ls DEV_NAME

要查看其他有用信息(特别是有关虚拟网络设备的信息),请输入

tux > sudo ip -d link ls DEV_NAME

另外,要查看设备的网络层(IPv4、IPv6)地址,请输入

tux > sudo ip addr

在输出中,可以找到有关设备 MAC 地址的信息。要显示所有路由,请使用

tux > sudo ip route show

有关使用 ip 的详细信息,请输入 ip help 或参见 man 8 ip 手册页。help 选项还可用于所有 ip 子命令,例如:

tux > sudo ip addr help

可在 /usr/share/doc/packages/iproute2/ip-cref.pdf 中找到 ip 手册。

19.5.3.2 使用 ping 测试连接

ping 命令是用于测试 TCP/IP 连接是否有效的标准工具。它使用 ICMP 协议来将小数据包和 ECHO_REQUEST 数据报文发送到目标主机,并请求即时答复。如果成功,ping 将显示表示这一结果的消息。这表示网络链路正在运作。

ping 不仅能测试两台计算机之间的连接功能:它还能提供关于连接质量的一些基本信息。在例 19.11 “命令 ping 的输出” 中,可查看 ping 输出示例。倒数第二行包含有关已传输的包数、丢失的包和 ping 的总运行时间的信息。

因此,您可以使用主机名或 IP 地址(例如 ping example.comping 192.168.3.100)。程序会一直发送包,直到您按 CtrlC

如果只需要检查连接功能,则可使用 -c 选项来限制包数。例如,要将 ping 限制为三个包,请输入 ping -c 3 example.com

例 19.11︰ 命令 ping 的输出
ping -c 3 example.com
PING example.com (192.168.3.100) 56(84) bytes of data.
64 bytes from example.com (192.168.3.100): icmp_seq=1 ttl=49 time=188 ms
64 bytes from example.com (192.168.3.100): icmp_seq=2 ttl=49 time=184 ms
64 bytes from example.com (192.168.3.100): icmp_seq=3 ttl=49 time=183 ms
--- example.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2007ms
rtt min/avg/max/mdev = 183.417/185.447/188.259/2.052 ms

两个包之间的默认时间间隔为一秒。ping 提供了选项 -i 来更改间隔。例如,要将 ping 间隔增加到十秒,请输入 ping -i 10 example.com

在带有多个网络设备的系统中,有时通过特定接口地址发送 ping 将会非常有用。要执行此操作,可将 -I 选项结合选定设备名称一起使用,例如 ping -I wlan1 example.com

有关使用 ping 的更多选项和信息,请输入 ping-h 或查看 ping (8) 手册页。

提示
提示:Ping IPv6 地址

对于 IPv6 地址,请使用 ping6 命令。请注意,要 ping 本地链路地址,必须用 -I 指定接口。如果通过 eth1 可获取地址,则以下命令有效:

ping6 -I eth1 fe80::117:21ff:feda:a425

19.5.4 单元文件和启动脚本

除了上面介绍的配置文件之外,还存在一些负责在引导计算机时装载网络服务的 systemd 单元文件和多个脚本。系统切换到 multi-user.target 目标后,即会启动这些文件和脚本。网络程序的一些单元文件和启动脚本中介绍了其中的部分单元文件和脚本。有关 systemd 的更多信息,请参见第 15 章 “systemd 守护程序;有关 systemd 目标的更多信息,请参见 systemd.special 的手册页 (man systemd.special)。

网络程序的一些单元文件和启动脚本
network.target

network.target 是网络的 systemd 目标,但其具体含义取决于系统管理员提供的设置。

有关详细信息,请参见http://www.freedesktop.org/wiki/Software/systemd/NetworkTarget/

multi-user.target

multi-user.target 是包含所有必需网络服务的多用户系统的 systemd 目标。

rpcbind

启动用于将 RPC 程序号转换为通用地址的 rpcbind 实用程序。它是 RPC 服务所必需的,如 NFS 服务器。

ypserv

启动 NIS 服务器。

ypbind

启动 NIS 客户端。

/etc/init.d/nfsserver

启动 NFS 服务器。

/etc/init.d/postfix

控制 postfix 进程。

19.6 路由器基本设置

路由器是一种联网设备,可收发往来于多个网络的数据(网络包)。路由器常用于将本地网络连接到远程网络(互联网)或连接多个本地网段。通过 SUSE Linux Enterprise Server,您可以构建一个具备 NAT(网络地址转换)或高级防火墙等功能的路由器。

下面是将 SUSE Linux Enterprise Server 转变为路由器的基本步骤。

  1. 例如,在 /etc/sysctl.d/50-router.conf 中启用转发

    net.ipv4.conf.all.forwarding = 1
    net.ipv6.conf.all.forwarding = 1

    然后提供接口的静态 IPv4 和 IPv6 IP 设置。启用转发会禁用多种机制,例如,IPv6 不再接受 IPv6 RA(路由器广告),这也会阻止创建默认路由。

  2. 在许多情况下,例如,当您可以通过多个接口连接同一个网络,或者通常使用的是 VPN(已位于常规多宿主主机上)时,必须禁用 IPv4 反向路径过滤(此功能当前不适用于 IPv6):

    net.ipv4.conf.all.rp_filter = 0

    您也可以改为通过防火墙设置进行过滤。

  3. 要从外部、上行或 ISP 接口上的路由器接受 IPv6 RA 并重新创建默认(或者更具特定性)的 IPv6 路由,请设置:

    net.ipv6.conf.${ifname}.accept_ra = 2
    net.ipv6.conf.${ifname}.autoconf = 0

    (注意:在以点分隔的 sysfs 路径中,eth0.42需写成 eth0/42。)

有关更多路由器行为和转发依赖项的信息,请参见 https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

要在内部 (DMZ) 接口上提供 IPv6 并将您自己通告为 IPv6 路由器,同时为客户端自动配置网络,请安装 radvd 并在 /etc/radvd.conf 中进行配置,例如:

interface eth0
{
    IgnoreIfMissing on;         # do not fail if interface missed

    AdvSendAdvert on;           # enable sending RAs
    AdvManagedFlag on;          # IPv6 addresses managed via DHCPv6
    AdvOtherConfigFlag on;      # DNS, NTP... only via DHCPv6

    AdvDefaultLifetime 3600;    # client default route lifetime of 1 hour

    prefix 2001:db8:0:1::/64    # (/64 is default and required for autoconf)
    {
        AdvAutonomous off;         # Disable address autoconf (DHCPv6 only)

        AdvValidLifetime 3600;     # prefix (autoconf addr) is valid 1 h
        AdvPreferredLifetime 1800; # prefix (autoconf addr) is prefered 1/2 h
    }
}

配置防火墙,以通过 NAT 掩蔽从 LAN 进入 WAN 的通讯,并在 WAN 接口上阻止入站通讯:

tux > sudo firewall-cmd --permanent --zone=external --change-interface=WAN_INTERFACE
tux > sudo firewall-cmd --permanent --zone=external --add-masquerade
tux > sudo firewall-cmd --permanent --zone=internal --change-interface=LAN_INTERFACE
tux > sudo firewall-cmd --reload

19.7 设置绑定设备

对于某些系统,需要实施高于典型以太网设备的标准数据安全性或可用性要求的网络连接。在这些情况下,可以将多个以太网设备聚合到单个绑定设备。

绑定设备的配置通过绑定模块选项来完成。其行为主要受绑定设备模式的影响。默认情况下是 active-backup,即如果活动从属设备发生故障,则另一个从属设备将变成活动从属设备。可以使用以下绑定模式:

0 (balance-rr)

数据包依次通过第一个到最后一个可用接口传输。提供容错和负载平衡。

1 (active-backup)

只有一个网络接口处于活动状态。如果它发生故障,另一个接口将变成活动状态。此设置是 SUSE Linux Enterprise Server 的默认设置。提供容错。

2 (balance-xor)

根据以下策略在所有可用接口间拆分通讯:[(source MAC address XOR'd with destination MAC address XOR packet type ID) modulo slave count] 需要交换机的支持。提供容错和负载平衡。

3 (broadcast)

在所有接口上广播所有通讯。需要交换机的支持。提供容错。

4 (802.3ad)

将接口聚合成共享相同速度和双工设置的组。需要接口驱动程序中的 ethtool 支持,以及支持 IEEE 802.3ad 动态链路聚合并进行了相应配置的交换机。提供容错和负载平衡。

5 (balance-tlb)

自适应传输负载平衡。需要接口驱动程序中的 ethtool 支持,但不需要交换机支持。提供容错和负载平衡。

6 (balance-alb)

自适应负载平衡。需要接口驱动程序中的 ethtool 支持,但不需要交换机支持。提供容错和负载平衡。

有关各种模式的详细说明,请参见https://www.kernel.org/doc/Documentation/networking/bonding.txt

提示
提示:绑定和 Xen

绑定设备只对于有多个真实网卡可用的计算机有效。这意味着在大多数配置中,您仅应在 Dom0 中使用绑定配置。换言之,只有当您将多个网卡指派给一个 VM Guest 系统时,在 VM Guest 中设置绑定才有效。

注意
注意: IBM POWER:ibmveth 不支持绑定模式 5 和 6 (balance-tlb/balance-alb)

tlb/alb 绑定配置与 Power 固件之间存在冲突。简单而言,处于 tlb/alb 模式的绑定驱动程序会发送同时包含源和目标 MAC 地址(列作虚拟以太网 MAC 地址)的以太网回写包。Power 固件并不支持这些包。因此,ibmveth 不支持绑定模式 5 和 6。

要配置绑定设备,请使用以下过程:

  1. 运行 YaST ›  系统 ›  网络设置

  2. 使用添加并将设备类型更改为绑定。单击下一步继续。

    Image
  3. 选择如何为绑定设备指派 IP 地址。有三种方法可供选择:

    • 无 IP 地址

    • 动态地址(使用 DHCP 或 Zeroconf)

    • 静态指派的 IP 地址

    请使用最适合您环境的方法。

  4. 绑定从属选项卡中,通过激活相关复选框选择应加入到绑定中的以太网设备。

  5. 编辑绑定驱动程序选项并选择绑定模式。

  6. 确保将参数 miimon=100 添加到绑定驱动程序选项。如果没有此参数,则不会定期检查数据完整性。

  7. 单击下一步,然后单击确定退出 YaST 以创建设备。

19.7.1 绑定从属的热插拔

在特定网络环境(如高可用性)下,有几种情况需要替换绑定从属接口。原因可能在于网络设备持续故障。解决方案是设置绑定从属的热插拔。

按常规配置绑定(按照 man 5 ifcfg-bonding),例如:

ifcfg-bond0
          STARTMODE='auto' # or 'onboot'
          BOOTPROTO='static'
          IPADDR='192.168.0.1/24'
          BONDING_MASTER='yes'
          BONDING_SLAVE_0='eth0'
          BONDING_SLAVE_1='eth1'
          BONDING_MODULE_OPTS='mode=active-backup miimon=100'

使用 STARTMODE=hotplugBOOTPROTO=none 指定从属:

ifcfg-eth0
          STARTMODE='hotplug'
          BOOTPROTO='none'

ifcfg-eth1
          STARTMODE='hotplug'
          BOOTPROTO='none'

BOOTPROTO=none 使用 ethtool 选项(如果提供),但不会在 ifup eth0 上设置链路,因为从属接口由绑定主接口控制。

STARTMODE=hotplug 会使从属接口在可用时自动加入绑定。

需要更改 /etc/udev/rules.d/70-persistent-net.rules 中的 udev 规则,以便按总线 ID(udev KERNELS 关键字等同于 hwinfo --netcard 中的“SysFS BusID”)而不是 MAC 地址匹配设备。这样允许更换有缺陷的硬件(位于同一插槽但 MAC 不同的网卡),并避免在绑定更改其所有从属设备的 MAC 地址时出现混淆。

例如:

SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*",
KERNELS=="0000:00:19.0", ATTR{dev_id}=="0x0", ATTR{type}=="1",
KERNEL=="eth*", NAME="eth0"

在引导时,systemd network.service 不会等待热插拔从属,但会等待绑定准备就绪,而这需要至少有一个从属可用。当从系统中去除一个从属接口时(从 NIC 驱动程序拆开联结、执行 NIC 驱动程序的 rmmod 命令或 PCI 热插拔去除为 true),内核会自动从绑定中将其去除。当向系统添加新网卡时(替换插槽中的硬件),udev 会使用基于总线的网卡设备名称规则将其重命名为从属接口的名称,并为其调用 ifup 命令。调用 ifup 会自动将新卡加入绑定。

19.8 设置组合设备以进行网络协作

链路聚合属于通用术语,指组合(或聚合)网络连接以提供逻辑层。有时,您还会看到通道聚合以太网绑定端口汇聚等术语,这些同义词都是指同一个概念。

这个概念通常被称为绑定,最初是集成到 Linux 内核中的(请参见第 19.7 节 “设置绑定设备”了解最初的实现方式)。网络协作一词用来指代这个概念的新实现方式。

绑定和网络协作之间的主要差别在于,协作提供一组小型内核模块,由它们负责提供用于 teamd 实例的接口。其他一切都在用户空间中处理。这一点与最初的绑定实现方式不同,后者是将自己的所有功能都专门包含在内核中。如需两者的比较,请参见表 19.5 “绑定与组合的功能比较”

表 19.5︰ 绑定与组合的功能比较
功能绑定组合
广播、循环 TX 策略
活动备份 TX 策略
LACP (802.3ad) 支持
基于哈希的 TX 策略
用户可以设置哈希函数
TX 负载平衡支持 (TLB)
针对 LACP 的 TX 负载平衡支持
Ethtool 链接监视
ARP 链接监视
NS/NA (IPV6) 链接监视
针对 TX/RX 路径的 RCU 锁定
端口优先级和粘性
单独的按端口链接监视设置
多链接监视设置有限制
VLAN 支持
多设备堆叠
源:http://libteam.org/files/teamdev.pp.pdf

绑定和网络协作这两种实现方式可以并行使用。可将网络协作作为现有绑定实现方式的备选。它不会取代绑定。

网络协作可用于不同使用情况。稍后将会介绍其中两种最重要的使用情况,它们涉及:

  • 不同网络设备之间的负载平衡。

  • 从一个网络设备到另一个网络设备的故障转移(当其中一个设备出现故障时)。

目前没有用于支持创建协作设备的 YaST 模块。您需要手动配置网络协作。以下是适用于所有网络协作配置的一般过程:

过程 19.1︰ 一般过程
  1. 确保已安装所有必需的软件包。安装软件包 libteam-toolslibteamdctl0python-libteam

  2. /etc/sysconfig/network/ 下创建一个配置文件,通常为 ifcfg-team0。如果您需要多个网络协作设备,请为它们指定依次递增的编号。

    该配置文件包含若干变量,手册页中对这些变量做了说明(请参见 man ifcfgman ifcfg-team)。系统内的 /etc/sysconfig/network/ifcfg.template 文件中提供了示例配置。

  3. 去除将用于协作设备的接口的配置文件(通常为 ifcfg-eth0ifcfg-eth1)。

    建议您先备份这两个文件,然后再将其去除。Wicked 将会使用协作的必要参数重新创建配置文件。

  4. (可选)检查 Wicked 的配置文件中是否已包含所有内容:

    tux > sudo wicked show-config
  5. 启动网络协作设备 team0

    tux > sudo wicked ifup all team0

    如果您需要其他调试信息,请在 all 子命令后面使用 --debug all 选项。

  6. 检查网络协作设备的状态。通过执行以下命令可以完成该操作:

    • 从 Wicked 获取 teamd 实例的状态:

      tux > sudo wicked ifstatus --verbose team0
    • 获取整个实例的状态:

      tux > sudo teamdctl team0 state
    • 获取 teamd 实例的 systemd 状态:

      tux > sudo systemctl status teamd@team0

    以上各命令将根据您的需要分别显示稍有不同的视图。

  7. 如果您之后需要对 ifcfg-team0 文件中的内容进行更改,请使用以下命令重新装载其配置:

    tux > sudo wicked ifreload team0

使用 systemctl 来启动或停止协作设备!而是使用如上所示的 wicked 命令。

要彻底去除组合设备,请执行以下过程:

过程 19.2︰ 去除组合设备
  1. 停止网络组合设备 team0

    tux > sudo wicked ifdown team0
  2. 将文件 /etc/sysconfig/network/ifcfg-team0 重命名为 /etc/sysconfig/network/.ifcfg-team0。在文件名前面插入一个点,以使 wicked看不到它。如果您确实不再需要该配置,也可以去除该文件。

  3. 重新装载配置:

    tux > sudo wicked ifreload all

19.8.1 用例:网络协作的负载平衡

负载平衡用于提高带宽。使用下面的配置文件可创建具有负载平衡功能的网络协作设备。继续过程 19.1 “一般过程”以设置设备。使用 teamdctl 检查输出。

例 19.12︰ 网络协作的负载平衡配置
STARTMODE=auto 1
BOOTPROTO=static 2
IPADDRESS="192.168.1.1/24" 2
IPADDR6="fd00:deca:fbad:50::1/64" 2

TEAM_RUNNER="loadbalance" 3
TEAM_LB_TX_HASH="ipv4,ipv6,eth,vlan"
TEAM_LB_TX_BALANCER_NAME="basic"
TEAM_LB_TX_BALANCER_INTERVAL="100"

TEAM_PORT_DEVICE_0="eth0" 4
TEAM_PORT_DEVICE_1="eth1" 4

TEAM_LW_NAME="ethtool" 5
TEAM_LW_ETHTOOL_DELAY_UP="10" 6
TEAM_LW_ETHTOOL_DELAY_DOWN="10" 6

1

控制协作设备的启动。auto 这个值表示接口将在网络服务可用时设置,并且会在每次重引导时自动启动。

如果您需要自行控制设备(并阻止其自动启动),请将 STARTMODE 设置为 manual

2

设置静态 IP 地址(此处对于 IPv4 指定 192.168.1.1,对于 IPv6 指定 fd00:deca:fbad:50::1)。

如果网络协作设备应该使用动态 IP 地址,请设置 BOOTPROTO="dhcp" 并去除(或注释掉)包含 IPADDRESSIPADDR6 的行。

3

TEAM_RUNNER 设置为 loadbalance 以激活负载平衡模式。

4

指定应聚合以创建网络协作设备的一个或多个设备。

5

定义链路监视器,以监视从属设备的状态。只有当设备已启动并可访问时,默认值 ethtool 才会执行检查。因此,检查速度将会足够快。但是,它不会检查设备实际上是否可以发送或接收包。

如果您需要确保连接的可信度更高,请使用 arp_ping 选项。这样会向任意主机发送 ping(在 TEAM_LW_ARP_PING_TARGET_HOST 变量中配置)。仅当接收到应答时,才将网络协作设备视为正在运行。

6

定义链路启动(或关闭)与运行程序收到通知之间的延迟(以毫秒为单位)。

19.8.2 用例:使用网络协作实现故障转移

故障转移用于确保关键网络协作设备的高可用性,方法是纳入并行的备用网络设备。备用网络设备时刻都在运行,并在主设备出现故障时接替主设备。

使用以下配置文件可创建具有故障转移功能的网络协作设备。继续过程 19.1 “一般过程”以设置设备。使用 teamdctl 检查输出。

例 19.13︰ DHCP 网络协作设备的配置
STARTMODE=auto 1
BOOTPROTO=static 2
IPADDR="192.168.1.2/24" 2
IPADDR6="fd00:deca:fbad:50::2/64" 2

TEAM_RUNNER=activebackup 3
TEAM_PORT_DEVICE_0="eth0" 4
TEAM_PORT_DEVICE_1="eth1" 4

TEAM_LW_NAME=ethtool 5
TEAM_LW_ETHTOOL_DELAY_UP="10" 6
TEAM_LW_ETHTOOL_DELAY_DOWN="10" 6

1

控制协作设备的启动。auto 一值表示接口将在网络服务可用时设置,并且会在每次重引导时自动启动。

如果您需要自行控制设备(并阻止其自动启动),请将 STARTMODE 设置为 manual

2

设置静态 IP 地址(此处对于 IPv4 指定 192.168.1.2,对于 IPv6 指定 fd00:deca:fbad::50::2)。

如果网络协作设备应该使用动态 IP 地址,请设置 BOOTPROTO="dhcp" 并去除(或注释掉)包含 IPADDRESSIPADDR6 的行。

3

TEAM_RUNNER 设置为 activebackup 以激活故障转移模式。

4

指定应聚合以创建网络协作设备的一个或多个设备。

5

定义链路监视器,以监视从属设备的状态。只有当设备已启动并可访问时,默认值 ethtool 才会执行检查。因此,检查速度将会足够快。但是,它不会检查设备实际上是否可以发送或接收包。

如果您需要确保连接的可信度更高,请使用 arp_ping 选项。这样会向任意主机发送 ping(在 TEAM_LW_ARP_PING_TARGET_HOST 变量中配置)。仅当收到答复时,网络协作设备才会被视为已启动。

6

定义链路启动(或关闭)与运行程序收到通知之间的延迟(以毫秒为单位)。

19.8.3 用例:组合设备上的 VLAN

VLAN 是虚拟局域网 (Virtual Local Area Network) 的缩写。它允许在单个物理以太网上运行多个逻辑(虚拟)以太网。它以逻辑方式将网络分为不同的广播域,以便数据包仅在为同一 VLAN 指定的端口之间交换。

下面的用例会在组合设备的基础上创建两个静态 VLAN:

  • vlan0,绑定到 IP 地址 192.168.10.1

  • vlan1,绑定到 IP 地址 192.168.20.1

按如下所示继续:

  1. 在交换机上启用 VLAN 标记。要针对组合设备使用负载平衡,交换机需要支持链接聚合控制协议 (LACP) (802.3ad)。有关细节,请查阅硬件手册。

  2. 确定是否要针对组合设备使用负载平衡或故障转移。按第 19.8.1 节 “用例:网络协作的负载平衡”第 19.8.2 节 “用例:使用网络协作实现故障转移”中所述设置组合设备。

  3. /etc/sysconfig/network 中,创建包含以下内容的 ifcfg-vlan0 文件:

    STARTMODE="auto"
    BOOTPROTO="static" 1
    IPADDR='192.168.10.1/24' 2
    ETHERDEVICE="team0" 3
    VLAN_ID="0" 4
    VLAN='yes'

    1

    定义固定的 IP 地址(在 IPADDR 中指定)。

    2

    定义 IP 地址,这里包含其网络掩码。

    3

    包含要用于 VLAN 接口的实际接口,这里是我们的组合设备 (team0)。

    4

    为 VLAN 指定唯一的 ID。文件名和 VLAN_ID 最好与名称 ifcfg-vlanVLAN_ID 对应。在本例中,VLAN_ID0,因而文件名为 ifcfg-vlan0

  4. /etc/sysconfig/network/ifcfg-vlan0 文件复制到 /etc/sysconfig/network/ifcfg-vlan1,并更改以下值:

    • 192.168.10.1/24192.168.20.1/24IPADDR

    • 01VLAN_ID

  5. 启动两个 VLAN:

    root # wicked ifup vlan0 vlan1
  6. 检查 ifconfig 的输出:

    root # ifconfig -a
    [...]
    vlan0     Link encap:Ethernet  HWaddr 08:00:27:DC:43:98
              inet addr:192.168.10.1 Bcast:192.168.10.255 Mask:255.255.255.0
              inet6 addr: fe80::a00:27ff:fedc:4398/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:0 (0.0 b)  TX bytes:816 (816.0 b)
    
    vlan1     Link encap:Ethernet  HWaddr 08:00:27:DC:43:98
              inet addr:192.168.20.1 Bcast:192.168.20.255 Mask:255.255.255.0
              inet6 addr: fe80::a00:27ff:fedc:4398/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:0 (0.0 b)  TX bytes:816 (816.0 b)

19.9 采用 Open vSwitch 的软件定义的网络

软件定义网络 (SDN) 指的是将控制流量发送来源的系统(控制面)与将流量转发到选定目标的底层系统(数据面,也称为转发面)分离开来。这意味着先前由单一且通常不灵活的交换机执行的功能,现在可在交换机(数据面)与它的控制器(控制面)之间分离。在此模式下,控制器可以编程且具有极高的灵活性,并且能够快速适应多变的网络条件。

Open vSwitch 是一款可实施与 OpenFlow 协议兼容的分布式虚拟多层交换机的软件。OpenFlow 允许控制器应用程序修改交换机的配置。OpenFlow 构建于 TCP 协议之上,并且广泛实施于各种硬件和软件中。如此,单个控制器便可驱动多个大不相同的交换机。

19.9.1 Open vSwitch 的优点

采用 Open vSwitch 的软件定义网络具备多项优点,尤其在与虚拟机配合使用时:

  • 可轻松识别联网状态。

  • 网络及其实时状态可从一个主机移到另一个主机。

  • 网络动态可跟踪,并且可允许使用外部软件对其进行响应。

  • 您可以在网络包中应用标记并操作这些标记,以识别网络包往来的计算机并维护其他联网环境。标记规则可以配置和迁移。

  • Open vSwitch 实施的是 GRE 协议(通用路由封装)。例如,这可让您将专用 VM 网络相互连接起来。

  • Open vSwitch 可单独使用,但设计它是为了与联网硬件相集成并且能够控制硬件交换机。

19.9.2 安装 Open vSwitch

  1. 安装 Open vSwitch 和补充软件包:

    root # zypper install openvswitch openvswitch-switch

    如果您计划将 Open vSwitch 与 KVM 超级管理程序配合使用,请另外安装 tunctl 。如果您计划将 Open vSwitch 与 Xen 超级管理程序配合使用,请另外安装 openvswitch-kmp-xen

  2. 启用 Open vSwitch 服务:

    root # systemctl enable openvswitch
  3. 重启动计算机或使用 systemctl 立即启动 Open vSwitch 服务:

    root # systemctl start openvswitch
  4. 要检查 Open vSwitch 是否已正确激活,请使用:

    root # systemctl status openvswitch

19.9.3 Open vSwitch 守护程序和实用程序概述

Open vSwitch 包含多个组件,其中有内核模块和各种用户空间组件。内核模块用于加速数据路径,但最精简的 Open vSwitch 安装并不需要该模块。

19.9.3.1 守护进程

Open vSwitch 的中心可执行文件是它的两个守护程序。当您启动 openvswitch 服务时,便会间接启动它们。

Open vSwitch 的主守护程序 (ovs-vswitchd) 提供交换机的实施。Open vSwitch 的数据库守护程序 (ovsdb-server) 为储存 Open vSwitch 配置和状态的数据库提供服务。

19.9.3.2 实用程序

Open vSwitch 还自带多个协助您使用该服务的实用程序。下面的列表并不全面,只是介绍了一些重要的命令。

ovsdb-tool

创建、升级、压缩和查询 Open vSwitch 的数据库。处理 Open vSwitch 数据库相关的事务。

ovs-appctl

配置运行中的 ovs-vswitchdovsdb-server 守护程序。

ovs-dpctlovs-dpctl-top

创建、修改、可视化及删除数据路径。使用此工具可能会干扰也负责执行数据路径管理的 ovs-vswitchd。因此,它通常仅作诊断之用。

ovs-dpctl-top 可创建类似于 top 的数据路径可视化。

ovs-ofctl

管理任何遵循 OpenFlow 协议的交换机。ovs-ofctl 并非仅可用于与 Open vSwitch 交互。

ovs-vsctl

提供配置数据库的高级别接口。它可用于查询和修改该数据库。实际上,它会显示 ovs-vswitchd 的状态并可对其进行配置。

19.9.4 使用 Open vSwitch 创建网桥

下面的配置示例使用 SUSE Linux Enterprise Server 上默认使用的 Wicked 网络服务。要了解 Wicked 的更多信息,请参见第 19.5 节 “手动配置网络连接”

如果您已安装并启动 Open vSwitch,请执行如下操作:

  1. 要配置供虚拟机使用的网桥,请创建包含以下内容的文件:

    STARTMODE='auto'1
    BOOTPROTO='dhcp'2
    OVS_BRIDGE='yes'3
    OVS_BRIDGE_PORT_DEVICE_1='eth0'4

    1

    网络服务启动后自动设置网桥。

    2

    用于配置 IP 地址的协议。

    3

    将配置标记为 Open vSwitch 网桥。

    4

    选择应加入网桥的一个或多个设备。要添加更多设备,请在文件中另外为每个设备追加相应的行:

    OVS_BRIDGE_PORT_DEVICE_SUFFIX='DEVICE'

    SUFFIX 可以是任何字母数字字符串。不过,为了避免覆盖先前的定义,请确保每个设备的 SUFFIX 都是唯一的。

    将文件保存到 /etc/sysconfig/network 目录中并命名为 ifcfg-br0。您也可以不使用 br0,而是使用任何您喜欢的名称。但是,文件名必须以 ifcfg- 开头。

    要了解更多选项,请参见 ifcfg 的手册页 (man 5 ifcfg) 以及 ifcfg-ovs-bridge 的手册页 (man 5 ifcfg-ovs-bridge)。

  2. 现在,启动网桥:

    root # wicked ifup br0

    Wicked 完成后,应该会输出网桥的名称,旁边会显示状态 up

19.9.5 Open vSwitch 直接与 KVM 配合使用

第 19.9.4 节 “使用 Open vSwitch 创建网桥”中所述创建网桥后,您便可使用 Open vSwitch 管理通过 KVM/QEMU 创建的虚拟机的网络访问。

  1. 为了能够最充分地利用 Wicked 的功能,请对之前配置的网桥进行进一步的更改。打开先前创建的 /etc/sysconfig/network/ifcfg-br0,为其他端口设备追加一行:

    OVS_BRIDGE_PORT_DEVICE_2='tap0'

    此外,请将 BOOTPROTO 设置为 none。文件现在应如下所示:

    STARTMODE='auto'
    BOOTPROTO='none'
    OVS_BRIDGE='yes'
    OVS_BRIDGE_PORT_DEVICE_1='eth0'
    OVS_BRIDGE_PORT_DEVICE_2='tap0'

    新的端口设备 tap0 将在下一步中配置。

  2. 现在,为 tap0 设备添加配置文件:

    STARTMODE='auto'
    BOOTPROTO='none'
    TUNNEL='tap'

    将文件保存到 /etc/sysconfig/network 目录中并命名为 ifcfg-tap0

    提示
    提示:允许其他用户访问 Tap 设备

    若要能够从以非 root 身份的用户启动的虚拟机使用此 Tap 设备,请追加:

    TUNNEL_SET_OWNER=USER_NAME

    要为整个组授予访问权,请追加:

    TUNNEL_SET_GROUP=GROUP_NAME
  3. 最后,打开定义为第一个 OVS_BRIDGE_PORT_DEVICE 的设备的配置。如果其名称未更改过,则应为 eth0。因此,打开 /etc/sysconfig/network/ifcfg-eth0 并确保已设置以下选项:

    STARTMODE='auto'
    BOOTPROTO='none'

    如果文件尚不存在,请创建该文件。

  4. 使用 Wicked 重启动网桥接口:

    root # wicked ifreload br0

    这也会触发重新装载新定义的网桥端口设备。

  5. 例如,要启动虚拟机,请使用:

    root # qemu-kvm \
    -drive file=/PATH/TO/DISK-IMAGE1 \
    -m 512 -net nic,vlan=0,macaddr=00:11:22:EE:EE:EE \
    -net tap,ifname=tap0,script=no,downscript=no2

    1

    要启动的 QEMU 磁盘映像路径。

    2

    使用之前创建的 Tap 设备 (tap0)。

    有关 KVM/QEMU 用法的更多信息,请参见Book “虚拟化指南

19.9.6 Open vSwitchlibvirt 搭配使用

如前文第 19.9.4 节 “使用 Open vSwitch 创建网桥”中所述创建网桥后,您可以将该网桥添加到通过 libvirt 管理的现有虚拟机。由于 libvirt 已对 Open vSwitch 网桥提供一定程度的支持,因此您可以使用第 19.9.4 节 “使用 Open vSwitch 创建网桥”中创建的网桥,而无需进一步更改网络配置。

  1. 为所需的虚拟机打开域 XML 文件:

    root # virsh edit VM_NAME

    以所需虚拟机的名称替换 VM_NAME。这样将会打开默认的文本编辑器。

  2. 查找以 <interface type="..."> 开头并以 </interface> 结尾的部分,找到文档的网络部分。

    以如下所示的网络部分替换现有部分:

    <interface type='bridge'>
      <source bridge='br0'/>
      <virtualport type='openvswitch'/>
    </interface>
    重要
    重要:virsh iface-* 和虚拟机管理器与 Open vSwitch 的兼容性

    目前,在使用 virsh iface-* 工具和虚拟机管理器的情况下,Open vSwitchlibvirt 还不兼容。如果使用以上任一工具,您的配置可能会损坏。

  3. 您现在便可照常启动或重启动虚拟机。

有关 libvirt 用法的更多信息,请参见Book “虚拟化指南

19.9.7 更多信息

https://docs.openvswitch.org/en/latest/#documentation

Open vSwitch 项目网站的文档部分

https://www.opennetworking.org/images/stories/downloads/sdn-resources/white-papers/wp-sdn-newnorm.pdf

开放网络基金会发布的关于软件定义网络和 OpenFlow 协议的白皮书

20 打印机操作

SUSE® Linux Enterprise Server 支持使用多种类型的打印机进行打印,其中包括远程网络打印机。可以手动或使用 YaST 配置打印机。有关配置描述,请参见Book “部署指南”, Chapter 20 “使用 YaST 设置硬件组件”, Section 20.3 “设置打印机”。启动和管理打印任务时既可以使用图形实用程序,也可以使用命令行实用程序。如果打印机未能按预期正常工作,请参见第 20.8 节 “查错”

CUPS(通用 Unix 打印系统)是 SUSE Linux Enterprise Server 中的标准打印系统。

可以根据接口(例如 USB 或网络)以及打印机语言对打印机进行区分。购买打印机时,确保打印机配有支持的接口(USB、以太网或 Wi-Fi)和合适的打印机语言。可以按照以下三类打印机语言对打印机进行分类:

PostScript 打印机

Linux 和 Unix 中的内部打印系统使用 PostScript 这种打印机语言生成并处理大部分打印任务。如果打印机可以直接处理 PostScript 文档而不需要在打印系统中通过附加步骤转换这些文档,则可以降低可能出现的错误的数目。

PDF 正在逐渐取代 PostScript,成为标准打印作业格式。可直接打印 PDF(而不仅仅是 PostScript)的 PostScript+PDF 打印机已经面世。传统的 PostScript 打印机需要在打印工作流程中将 PDF 转换为 PostScript。

标准打印机(PCL 和 ESC/P 等语言)

对于已知的打印机语言,打印系统可以借助 Ghostscript 将 PostScript 作业转换为相应的打印机语言。此处理阶段称为解释。最有名的语言有 PCL(主要是 HP 打印机及其克隆产品使用)和 ESC/P(Epson 打印机使用)。这些打印机语言通常受 Linux 支持,可以生成令人满意的打印效果。Linux 可能无法使用某些特殊打印机功能。除了 HP 和 Epson 之外,当前尚没有其他打印机制造商开发 Linux 驱动程序,并通过开放源代码许可证将这些驱动程序提供给 Linux 发行套件供应商。

专有打印机(也称为 GDI 打印机)

这些打印机不支持任何常见的打印机语言。这些打印机使用自己的无文档记录打印机语言,该语言在发布新版本时可能发生变化。通常只有 Windows 驱动程序供这些打印机使用。有关更多信息,请参见第 20.8.1 节 “不支持标准打印机语言的打印机”

在您购买新打印机之前,请参考以下资源以了解您要购买的打印机的支持情况:

http://www.openprinting.org/printers

包含打印机数据库的 OpenPrinting 主页。数据库显示最新的 Linux 支持状态。但是,Linux 分发只能集成生产时可用的驱动程序。因此,当前标为完全支持的打印机在最新的 SUSE Linux Enterprise Server 版本发布后,不一定还具有此状态。这样,数据库不一定可以指出正确的状态,只是提供大致估计而已。

http://pages.cs.wisc.edu/~ghost/

Ghostscript 网页

/usr/share/doc/packages/ghostscript/catalog.devices

内置 Ghostscript 驱动程序列表。

20.1 CUPS 工作流程

用户创建一个打印任务。打印作业由要打印的数据和有关假脱机程序的信息组成。其中包括打印机的名称或打印队列的名称,还有可能包括有关过滤器(例如特定于打印机的选项)的信息。

每台打印机至少有一个专用打印队列。假脱机程序储存着队列中的打印任务,直到所需打印机已做好接收数据的准备。打印机准备就绪后,假脱机程序通过过滤器和后端将数据发送到打印机。

过滤器将转换正在打印的应用程序生成的数据(通常为 PostScript 或 PDF,也可能为 ASCII、JPEG 等)特定于打印机的数据(PostScript、PCL、ESC/P 等)。PPD 文件中描述了打印机的功能。PPD 文件包含打印机特定的选项以及在打印机上启用这些选项所需的参数。过滤器系统用于确保用户选择的选项被启用。

如果使用的是 PostScript 打印机,则过滤器系统将数据转换为打印机特定的 PostScript。这样做不需要打印机驱动程序。如果使用的是非 PostScript 打印机,则过滤器系统将数据转换为打印机专用的数据。这样做需要一个适合您的打印机的 打印机驱动程序。后端从过滤器接收打印机特定的数据,然后将其传递到打印机。

20.2 连接打印机的方法和协议

可以通过多种方法将打印机连接到系统。CUPS 的配置不能区分本地打印机和通过网络连接到系统的打印机。有关打印机连接的更多信息,请阅读 https://en.opensuse.org/SDB:CUPS_in_a_Nutshell 上的文章 CUPS in a Nutshell(CUPS 概述)。

IBM Z CUPS 不支持 z/VM 所提供且本地连接到 IBM Z 大型机的打印机和类似设备。在这些平台上,只能通过网络进行打印。必须根据打印机制造商的描述安装网络打印机的电缆。

警告
警告:更改正在运行的系统中的电缆连接

当将打印机连接到计算机时,一定不要忘记操作期间只能插入或拔下 USB 设备。为防止损坏系统或打印机,请在更改任何非 USB 连接前先关闭系统。

20.3 安装软件

PPD(PostScript 打印机描述)是描述属性(例如,分辨率)和选项(例如,双面打印单位的可用性)的计算机语言。这些描述对于使用 CUPS 中的各个打印机选项是必需的。如果没有 PPD 文件,打印数据将被以原始状态转发到打印机,通常这不是希望出现的情况。

要配置 PostScript 打印机,最佳的方法是获得一个合适的 PPD 文件。manufacturer-PPDsOpenPrintingPPDs-postscript 软件包中提供了许多 PPD 文件。请参见第 20.7.3 节 “各个软件包中的 PPD 文件”第 20.8.2 节 “没有合适的 PPD 文件可用于 PostScript 打印机”

新的 PPD 文件可以储存在目录 /usr/share/cups/model/ 中,或如Book “部署指南”, Chapter 20 “使用 YaST 设置硬件组件”, Section 20.3.1.1 “使用 YaST 添加驱动程序”中所述使用 YaST 添加到打印系统中。随后,可以在打印机设置过程中选择 PPD 文件。

如果打印机制造商希望您安装整个软件包,请务必小心。这种安装类型可能导致 SUSE Linux Enterprise Server 提供的支持失效。另外,打印命令可能会以不同的方式工作,并且系统可能不再能够对其他制造商的设备寻址。出于此原因,不建议安装制造商软件。

20.4 网络打印机

网络打印机可以支持多种协议,有些甚至支持并发打印不同协议。尽管大部分支持的协议都已标准化,但某些制造商可能修改了标准。他们仅提供适用于少数操作系统的驱动程序。不过很少提供 Linux 驱动程序。当前的情况是您在执行操作时不能假定每个协议都可以在 Linux 中正常工作。因此,您可能需要试验不同的选项以找出起作用的配置。

CUPS 支持 socketLPDIPPsmb 协议。

socket

套接字是指将纯文本打印数据直接发送到 TCP 套接字的连接。一些常用的套接字端口号包括 910035。设备 URI(统一资源标识符)的语法为 socket://IP.OF.THE.PRINTER:PORT,例如 socket://192.168.2.202:9100/

LPD(行式打印机守护程序)

LPD 协议如 RFC 1179 中所述。使用此协议,打印队列 ID 等作业相关数据将先于实际打印数据发送。因此,配置 LPD 协议时必须指定打印队列。各打印机制造商的实施非常灵活,可以接受为打印队列指定任何名称。如果需要,打印机手册应该指出要使用的名称。通常使用 LPT、LPT1、LP1 或类似的名称。LPD 服务的端口号是 515。设备 URI 示例:lpd://192.168.2.202/LPT1

IPP(互联网打印协议)

IPP 基于 HTTP 协议。使用 IPP,所传送的与任务有关的数据比其他协议要多一些。CUPS 使用 IPP 进行内部数据传送。要正确配置 IPP,必须提供打印队列的名称。IPP 的端口号是 631。设备 URI 示例:ipp://192.168.2.202/psipp://192.168.2.202/printers/ps

SMB(Windows 共享)

CUPS 还支持在连接到 Windows 共享的打印机上进行打印。用于此目的的协议是 SMB。SMB 使用端口号 137138139。设备 URI 示例:smb://user:password@workgroup/smb.example.com/printersmb://user:password@smb.example.com/printersmb://smb.example.com/printer

必须在配置之前确定打印机支持的协议。如果制造商未提供所需的信息,则可以使用命令 nmap(随 nmap 软件包提供)来确定协议。nmap 检查主机端口是否打开。例如:

tux > nmap -p 35,137-139,515,631,9100-10000 IP.OF.THE.PRINTER

20.5 使用命令行工具配置 CUPS

CUPS 可使用 lpinfolpadminlpoptions 之类的命令行工具配置。您需要一个包含一个后端(例如 USB)和多个参数的设备 URI。要确定系统上的有效设备 URI,请使用命令 lpinfo -v | grep ":/"

tux > sudo lpinfo -v | grep ":/"
direct usb://ACME/FunPrinter%20XL
network socket://192.168.2.253

使用 lpadmin,CUPS 服务器管理员可以添加、删除或管理打印队列。要添加打印队列,请使用以下语法:

tux > sudo lpadmin -p QUEUE -v DEVICE-URI -P PPD-FILE -E

设备 (-v) 便会用作 QUEUE (-p),并使用指定的 PPD 文件 (-P)。这意味着如果要手动配置打印机,则必须了解 PPD 文件和设备 URI。

不要使用 -E 作为第一个选项。对于所有 CUPS 命令,将 -E 用作第一个参数设置使用加密连接。要启用打印机,必须使用 -E,如下面的示例所示:

tux > sudo lpadmin -p ps -v usb://ACME/FunPrinter%20XL -P \
/usr/share/cups/model/Postscript.ppd.gz -E

以下示例配置了网络打印机:

tux > sudo lpadmin -p ps -v socket://192.168.2.202:9100/ -P \
/usr/share/cups/model/Postscript-level1.ppd.gz -E

有关 lpadmin 的更多选项,请参考 lpadmin(8) 的手册页。

在系统安装期间,某些选项被设置为默认值。可以为每个打印任务修改这些选项(根据所使用的打印工具)。也可以使用 YaST 来更改这些默认选项。使用命令行工具设置默认选项,如下所示:

  1. 首先,列出所有选项:

    tux > sudo lpoptions -p QUEUE -l

    示例:

    Resolution/Output Resolution: 150dpi *300dpi 600dpi

    激活的默认选项通过加星号前缀 (*) 进行标识。

  2. 使用 lpadmin 更改选项:

    tux > sudo lpadmin -p QUEUE -o Resolution=600dpi
  3. 检查新设置:

    tux > sudo lpoptions -p QUEUE -l
    
    Resolution/Output Resolution: 150dpi 300dpi *600dpi

普通用户运行 lpoptions 时,设置将写到 ~/.cups/lpoptions。但是,设置将写到 /etc/cups/lpoptions

20.6 从命令行打印

要从命令行打印,请输入 lp -d QUEUENAME FILENAME,并用相应的名称替换 QUEUENAMEFILENAME

有些应用程序依赖于 lp 命令来进行打印。在这种情况下,请在应用程序的打印对话框中输入正确的命令(通常无需指定 FILENAME),例如 lp -d QUEUENAME

20.7 SUSE Linux Enterprise Server 中的特殊功能

某些 CUPS 功能已针对 SUSE Linux Enterprise Server 做出调整。这里将介绍一些最重要的更改。

20.7.1 CUPS 和防火墙

完成 SUSE Linux Enterprise Server 的默认安装后,firewalld 将处于活动状态,并且网络接口配置为位于 public 区域中,这会阻止传入通讯。

firewalld 处于活动状态时,您可能需要将 firewalld 配置为允许客户端浏览网络打印机,方法是允许 mdnsipp 通过内部网络区域。公共区域应该永不公开打印机队列。

Book “安全和强化指南”, Chapter 24 “掩蔽和防火墙”, Section 24.4 “firewalld中和 https://en.opensuse.org/SDB:CUPS_and_SANE_Firewall_settings 上提供了有关 firewalld 配置的详细信息。)

20.7.1.1 CUPS 客户端

通常 CUPS 客户端在使用防火墙的可信网络环境中的常规工作站上运行。在这种情况下,建议将网络接口配置为在内部区域中,这样可以从网络内部访问工作站。

20.7.1.2 CUPS 服务器

如果 CUPS 服务器在受防火墙保护的可信网络环境中,则应将网络接口配置为在防火墙的内部区域中。建议不要在不可信网络环境中安装 CUPS 服务器,除非您确定该服务器受到特殊防火墙规则和 CUPS 配置中的安全设置的保护。

20.7.2 浏览网络打印机

CUPS 服务器会定期在网络上公告共享打印机的可用性及状态信息。客户端可以访问此信息,以便在打印对话框中显示可用打印机列表。此过程称为浏览

CUPS 服务器通过传统的 CUPS 浏览协议或 Bonjour/DNS-SD 在网络上通告它们的打印队列。为了能够浏览网络打印队列,需要在通过 CUPS 服务器打印的所有客户端上运行 cups-browsed 服务。默认情况下,cups-browsed 不会启动。要为活动会话启动它,请使用 sudo systemctl start cups-browsed。要确保它在系统引导后自动启动,请在所有客户端上使用 sudo systemctl enable cups-browsed 启用它。

如果在启动 cups-browsed 之后浏览不起作用,则表明 CUPS 服务器可能是通过 Bonjour/DNS-SD 通告网络打印队列的。在此情况下,您需要另外安装 avahi 软件包,并在所有客户端上使用 sudo systemctl start avahi-daemon 启动关联的服务。

有关如何通过 firewalld 允许浏览打印机的信息,请参见第 20.7.1 节 “CUPS 和防火墙”

20.7.3 各个软件包中的 PPD 文件

YaST 打印机配置使用 /usr/share/cups/model 中安装的 PPD 文件为 CUPS 设置队列。为查找适用于打印机型号的 PPD 文件,YaST 将对照硬件检测过程中确定的供应商和型号比较所有 PPD 文件中的供应商和型号。为此,YaST 打印机配置根据从 PPD 文件抽取的供应商和型号信息生成一个数据库。

仅使用 PPD 文件而不使用其他信息源的配置的优点在于可以随意修改 /usr/share/cups/model/ 中的 PPD 文件。例如,如果您有 PostScript 打印机,可直接将 PPD 文件复制到 /usr/share/cups/model(如果这些文件尚不存在于 manufacturer-PPDsOpenPrintingPPDs-postscript 软件包中),以实现打印机最佳配置。

其他 PPD 文件由下列软件包提供:

  • gutenprint:Gutenprint 驱动程序及其匹配的 PPD

  • splix:SpliX 驱动程序及其匹配的 PPD

  • OpenPrintingPPDs-ghostscript:Ghostscript 内置驱动程序的 PPD

  • OpenPrintingPPDs-hpijs:适用于非 HP 打印机的 HPIJS 驱动程序的 PPD

20.8 查错

下面几节介绍一些最常遇到的打印机硬件和软件问题以及解决或避免这些问题的方法。讨论的主题有 GDI 打印机、PPD 文件和端口配置。另外还讨论常见网络打印机问题、打印件问题以及队列处理。

20.8.1 不支持标准打印机语言的打印机

这些打印机不支持任何常见的打印机语言,只能使用专门的专有控制系列来进行寻址。因此这些打印机只能用于制造商提供了驱动程序的操作系统版本。GDI 是 Microsoft* 为图形设备开发的编程接口。通常制造商只提供 Windows 的驱动程序,而因为 Windows 驱动程序使用 GDI 界面,所以这些打印机也称作 GDI 打印机。问题实际并不是出在编程接口上,而是因这些打印机只能通过相应打印机型号的专用打印机语言来寻址所造成。

某些 GDI 打印机可切换成以 GDI 方式或一种标准打印机语言进行操作。请参见打印机手册以了解这是否可行。有些型号需要有专门的 Windows 软件来进行切换(注:Windows 打印机驱动程序在通过 Windows 进行打印时可能总是将打印机切换回 GDI 模式)。对于其他 GDI 打印机,还有针对标准打印机语言的扩展模块。

某些制造商为他们的打印机提供专有驱动程序。专有打印机驱动程序的缺点在于不能保证这些驱动程序可用于已安装的打印系统,也不能保证它们适合各种硬件平台。相反,支持标准打印机语言的打印机不依赖于特殊的打印系统版本或特殊的硬件平台。

与其花时间尝试使专有 Linux 驱动程序运行,购买支持标准打印机语言(最好是 PostScript)的打印机可能更经济高效。这可以一次性彻底解决驱动程序问题,您不再需要安装并配置特殊驱动程序软件,以及获取由于打印系统中开发的新功能而必须安装的驱动程序更新。

20.8.2 没有合适的 PPD 文件可用于 PostScript 打印机

如果 manufacturer-PPDsOpenPrintingPPDs-postscript 软件包不包含适用于 PostScript 打印机的 PPD 文件,则可以使用打印机制造商提供的驱动程序 CD 上的 PPD 文件,或从打印机制造商网页下载合适的 PPD 文件。

如果以 zip 存档 (.zip) 或自解压缩 zip 存档 (.exe) 的形式提供 PPD 文件,则用 unzip 命令将其解包。首先,查看 PPD 文件的许可证协议条款。然后使用 cupstestppd 实用程序来确认 PPD 文件是否与 Adobe PostScript 打印机描述文件格式规范 V4.3 相符合,如果实用程序返回 FAIL,则描述 PPD 文件中的错误很严重,可能导致重大问题。应该解决 cupstestppd 报告的问题点。如果需要,询问打印机制造商是否提供合适的 PPD 文件。

20.8.3 网络打印机连接

确定网络问题

将打印机直接连接到计算机。出于测试目的,将该打印机配置为本地打印机。如果打印机可以工作,则问题与网络有关。

检查 TCP/IP 网络

TCP/IP 网络和名称解析必须可以正常工作。

检查远程 lpd

使用以下命令测试是否可以与 Host 上的 lpd(端口 515)建立 TCP 连接:

tux > netcat -z HOST 515 && echo ok || echo failed

如果不能建立与 lpd 的连接,则 lpd 可能不处于活动状态或可能存在基本网络问题。

如果相应的 lpd 处于活动状态并且主机接受查询,请以 root 身份运行以下命令,以查询远程 HOSTQUEUE 的状态报告:

root # echo -e "\004queue" \
| netcat -w 2 -p 722 HOST 515

如果 lpd 不响应,则它可能不处于活动状态或可能存在基本网络问题。如果 lpd 响应,响应应该描述为什么在主机队列 上不能进行打印。如果您接收到类似例 20.1 “来自 lpd 的错误消息” 中的响应,则问题是由远程 lpd 引起的。

例 20.1︰ 来自 lpd 的错误消息
lpd: your host does not have line printer access
lpd: queue does not exist
printer: spooling disabled
printer: printing disabled
检查远程 cupsd

CUPS 网络服务器可以在 UDP 端口 631 上广播其队列,默认每 30 秒广播一次。因此,以下命令可用于测试网络中是否存在广播 CUPS 网络服务器。执行此命令之前,务必停止本地 CUPS 守护程序。

tux > netcat -u -l -p 631 & PID=$! ; sleep 40 ; kill $PID

如果广播 CUPS 网络服务器存在,则输出如例 20.2 “来自 CUPS 网络服务器的广播” 所示。

例 20.2︰ 来自 CUPS 网络服务器的广播
ipp://192.168.2.202:631/printers/queue

IBM Z 请注意,IBM Z 以太网设备默认不接收广播。

以下命令可用于测试是否可以与 HOST 上的 cupsd(端口 631)建立 TCP 连接:

tux > netcat -z HOST 631 && echo ok || echo failed

如果不能建立与 cupsd 的连接,则 cupsd 可能不处于活动状态或可能存在基本网络问题。lpstat -h HOST -l -t 会返回 HOST 上所有队列的状态报告(可能非常长),前提是相应的 cupsd 处于活动状态并且主机接受查询。

下面的命令可用于测试 HOST 上的 QUEUE 是否接受由单个回车字符组成的打印作业。不应打印任何内容。可能会弹出一页空白纸。

tux > echo -en "\r" \
| lp -d queue -h HOST
对网络打印机或打印服务器计算机进行查错

有时,当在打印服务器计算机中运行的假脱机程序需要处理多个打印作业时会产生问题。这是打印服务器计算机中的假脱机程序导致的,目前尚无解决此问题的方法。变通方法是,直接通过 TCP 套接字对连接到打印服务器计算机的打印机进行寻址,来绕过打印服务器计算机中的假脱机程序。请参见第 20.4 节 “网络打印机”

这样,打印服务器计算机仅充当各种不同数据传送方式之间(TCP/IP 网络和本地打印机连接)的转换器。要使用此方法,您需要知道打印服务器计算机上的 TCP 端口。如果打印机连接到打印服务器计算机并且已启动,则通常可以在打开打印服务器计算机电源一段时间后使用 nmap 软件包中的 nmap 实用程序确定此 TCP 端口。例如,nmap  IP-address 可能会返回打印服务器计算机的以下输出:

Port       State       Service
23/tcp     open        telnet
80/tcp     open        http
515/tcp    open        printer
631/tcp    open        cups
9100/tcp   open        jetdirect

此输出指出可以在端口 9100 上通过 TCP 套接字对连接到打印服务器计算机的打印机寻址。默认情况下,nmap 只检查在 /usr/share/nmap/nmap-services 中列出的一些常见的端口。要检查所有可能的端口,请使用命令 nmap -p  FROM_PORT-TO_PORT IP_ADDRESS。这可能要花一些时间。有关详细信息,请参见 nmap 的手册页。

输入如下命令

tux > echo -en "\rHello\r\f" | netcat -w 1 IP-address port
cat file | netcat -w 1 IP-address port

将字符串或文件直接发送到相应的端口以测试是否可以在该端口上对打印机进行寻址。

20.8.4 打印输出有缺陷但不显示错误消息

对于打印系统,打印任务完成的标志是 CUPS 后端完成到接收方(打印机)的数据传送。如果在接收方的进一步处理失败(例如,如果打印机无法打印特定于打印机的数据),则打印系统不会对此进行通知。如果打印机无法打印特定于打印机的数据,请选择一个更适合该打印机的 PPD 文件。

20.8.5 禁用的队列

如果向接收方传送数据在多次尝试后都失败,则 CUPS 后端(例如 USBsocket)向打印系统(向 cupsd)报告一个错误。后端用于确定在将数据传送报告为不可行前应执行的失败尝试次数。由于继续尝试可能也是徒劳,cupsd 将禁用相应队列的打印。在消除了问题的起因后,系统管理员必须使用 cupsenable 命令重新启用打印。

20.8.6 CUPS 浏览:删除打印作业

如果 CUPS 网络服务器通过浏览向客户端主机广播其队列并且客户端主机上合适的本地 cupsd 处于活动状态,则客户端 cupsd 接受来自应用程序的打印任务并将它们转发到服务器上的 cupsd。当服务器上的 cupsd 接受打印任务后,会为该任务指派一个新的任务号。因此,客户端主机上的任务号与服务器上的任务号不同。因为打印作业通常都会立即转发出去,所以不能用客户端主机上的作业号将其删除,原因是当打印作业已转发到服务器 cupsd 后,客户端 cupsd 会将打印作业视为已完成。

要删除服务器上的打印作业,请使用 lpstat -h cups.example.com -o 之类的命令来确定服务器上的作业编号。此情况假设服务器尚未完成该打印作业(即尚未完全将它发送到打印机)。按如下方式使用获得的作业编号来删除服务器上的打印作业:

tux > cancel -h cups.example.com QUEUE-JOBNUMBER

20.8.7 有问题的打印作业和数据传输错误

如果在打印过程中关闭打印机或计算机,则打印任务将保留在队列中。再次打开计算机(或打印机)后,打印将继续。必须使用 cancel 从队列中删除有问题的打印任务。

如果打印作业损坏,或主机与打印机之间的通讯出现错误,打印机将无法正确处理数据,并会打印出很多张有乱码的纸。要修复该问题,请执行以下步骤:

  1. 要停止打印,请将所有纸张从喷墨打印机中取出或打开激光打印机的纸盒。高质量的打印机具有一个用于取消当前打印件的按钮。

  2. 打印任务可能仍在队列中,因为只有在将任务完全发送到打印机后才会将它们删除。使用 lpstat -olpstat -h cups.example.com -o 检查哪个队列当前正在打印。使用 cancel QUEUE-JOBNUMBERcancel -h cups.example.com QUEUE-JOBNUMBER 删除打印作业。

  3. 即使已将打印任务从队列中删除,某些数据仍会被传送到打印机。检查 CUPS 后端进程是否仍在为相应的队列运行并将其终止。

  4. 通过关闭打印机一段时间完全重设置打印机。然后插入纸张并打开打印机。

20.8.8 调试 CUPS

使用以下通用过程确定 CUPS 中的问题:

  1. /etc/cups/cupsd.conf 中设置 LogLevel debug

  2. 停止 cupsd

  3. 删除 /var/log/cups/error_log* 从而无需搜索非常长的日志文件。

  4. 启动 cupsd

  5. 重复导致问题的操作。

  6. 检查 /var/log/cups/error_log* 中的消息以确定问题的原因。

20.8.9 更多信息

有关在 SUSE Linux Enterprise Server 上执行打印操作的详细信息,请参见 openSUSE 支持数据库,网址为 https://en.opensuse.org/Portal:PrintingSUSE 知识库 (https://www.suse.com/support/) 中提供了对许多特定问题的解决方案。通过对 CUPS 的文本搜索找到相关文章。

21 图形用户界面。

SUSE Linux Enterprise Server 包含 X.org 服务器和 GNOME 桌面。本章介绍用于所有用户的图形用户界面配置。

21.1 X Window 系统

X.org 服务器是实施 X11 协议的事实上的标准。X 是基于网络的,可以使在一个主机上启动的应用程序显示在通过任何类型的网络(LAN 或互联网)连接的另一个主机上。

X Window 系统一般不需要进行任何配置。X 启动期间会动态检测硬件。因此,xorg.conf 已被弃用。如果您仍然需要指定自定义选项来更改 X 的行为方式,还是可以通过修改 /etc/X11/xorg.conf.d/ 下的配置文件来实现。

提示
提示:IBM Z:配置图形用户界面

IBM Z 没有任何 X.Org 支持的输入或输出设备。因此,本节中所述的所有配置过程都不适用。有关 IBM Z 的更多信息,请参见Book “部署指南”, Chapter 5 “IBM Z 和 LinuxONE 上的安装”

您可安装 xorg-docs 软件包以更深入地了解 X11。man 5 xorg.conf 提供了有关手动配置(如果需要)的格式的详细信息。有关 X11 开发的更多信息,请参见该项目的主页:http://www.x.org

驱动程序位于 xf86-video-* 软件包中,例如 xf86-video-ati。相关手册页中详细说明了这些软件包附带的很多驱动程序。例如,如果您使用 ati 驱动程序,在 man 4 ati 中可以找到有关此驱动程序的更多信息。

有关第三方驱动程序的信息位于 /usr/share/doc/packages/<package_name> 中。例如,x11-video-nvidiaG04 的文档在安装软件包之后位于 /usr/share/doc/packages/x11-video-nvidiaG03 中。

21.2 安装和配置字体

Linux 中的字体可分为两大类:

轮廓或矢量字体

包含作为字形组成相关绘图指导的数学描述。因此,每个字形都可以缩放为任意大小而无损质量。在可以使用此类字体(或字形)之前,需要将数学描述转换为光栅(网格)。此过程称为字体光栅化字体微调(嵌入在字体中)可改进和优化特定大小的渲染效果。光栅化和微调通过 FreeType 库实现。

Linux 下的常用格式为 PostScript Type 1 和 Type 2、TrueType 及 OpenType。

位图或光栅字体

包含一个为特定字号设计的像素阵列。位图字体渲染速度极快,而且非常简单。然而,与矢量字体相比,位图字体无法在不损质量的情况下进行缩放。因此,这些字体通常以不同的大小发布。现在,Linux 控制台中仍然使用位图字体,有时终端中也会使用这些字体。

在 Linux 下,便携式编译格式 (PCF) 或字形位图分布格式 (BDF) 是最常用的格式。

这些字体的外观主要会受两个方面的影响:

  • 选择合适的字体系列,

  • 采用某种算法渲染字体,达到接收者眼睛最舒服的效果。

最后一点只与矢量字体相关。虽然上面两点都需要根据个人情况而定,但仍有一些默认值需要创建。

Linux 字体渲染系统由具有不同关系的几个库组成。基本字体渲染库是 FreeType,它会将支持的格式的字体字形转换为优化的位图字形。渲染过程由算法及其参数(可能受专利问题影响)控制。

使用 FreeType 的每个程序或库都应该参考 Fontconfig 库。此库会从用户及系统那里收集字体配置。用户修改其 Fontconfig 设置后,此更改将导致发生 Fontconfig 感知的应用。

Arabic、Han 或 Phags-Pa 等脚本所需的更复杂的 OpenType 成型以及其他更高级别的文本处理使用 HarfbuzzPango 进行。

21.2.1 显示安装的字体

要获得系统上安装了哪些字体的概观,请运行 rpmfc-list 命令。这两个命令都可为您提供不错的答案,但有可能会因系统和用户配置不同而返回不同的列表。

rpm

调用 rpm 可查看系统上安装了哪些包含字体的软件包:

tux > rpm -qa '*fonts*'

每个字体包都应该满足此表达式。不过,命令可能会返回误报,例如 fonts-config(它即不是字体,也不包含字体)。

fc-list

调用 fc-list 可获得哪些字体系列可以访问、系统上或主目录中是否已安装这些字体的概观:

tux > fc-list ':' family
注意
注意:命令 fc-list

命令 fc-list 是 Fontconfig 库的封装程序。从 Fontconfig(更确切地说,从它的缓存)可以查询许多有趣的信息。有关更多细节,请参见 man 1 fc-list

21.2.2 查看字体

如果想了解已安装字体系列的外观,请使用命令 ftviewft2demos 软件包)或访问 http://fontinfo.opensuse.org/。例如,要以 14 号字显示 FreeMono 字体,请按如下所示使用 ftview

tux > ftview 14 /usr/share/fonts/truetype/FreeMono.ttf

如果需要更多信息,请访问 http://fontinfo.opensuse.org/ 了解支持哪些样式(标准、粗体、斜体等)和语言。

21.2.3 查询字体

要查询指定了某种模式时使用哪种字体,请使用 fc-match 命令。

例如,如果您的模式包含已安装字体,fc-match 会返回文件名、字体系列和样式:

tux > fc-match 'Liberation Serif'
LiberationSerif-Regular.ttf: "Liberation Serif" "Regular"

如果所需字体在您的系统上不存在,Fontconfig 的匹配规则将会生效,并尝试找到最接近的可用字体。这意味着用另一种字体来替代了您要求的字体。

tux > fc-match 'Foo Family'
DejaVuSans.ttf: "DejaVu Sans" "Book"

Fontconfig 支持别名:用另一个系列名称替代某个名称。通用名称就是一个典型的例子,例如 sans-serifserifmonospace。这些别名可由实际的系列名称,甚至是系列名称的首选设置列表替代:

tux > for font in serif sans mono; do fc-match "$font" ; done
DejaVuSerif.ttf: "DejaVu Serif" "Book"
DejaVuSans.ttf: "DejaVu Sans" "Book"
DejaVuSansMono.ttf: "DejaVu Sans Mono" "Book"

结果可能因系统而异,具体视当前安装的字体而定。

注意
注意:根据 fontconfig 而定的相似度规则

Fontconfig 总是根据具体请求返回最相似的实际系列(如果至少安装了一个系列)。相似度根据 Fontconfig 的内部度量以及用户或管理员的 Fontconfig 设置而定。

21.2.4 安装字体

安装新字体的方法主要有以下几种:

  1. *.ttf*.otf 等字体文件手动安装到知道的一个字体目录。如果字体要用于整个系统,请使用标准目录 /usr/share/fonts。如果要安装在主目录中,请使用 ~/.config/fonts

    如果不想使用标准目录,Fontconfig 允许您选择其他目录。使用 <dir> 元素告知 Fontconfig 所用目录,有关细节,请参见第 21.2.5.2 节 “深入了解 fontconfig XML”

  2. 使用 zypper 安装字体。大量字体已通过软件包提供,随附在 SUSE 分发包中或包含在 M17N:fonts 储存库中。请使用以下命令将储存库添加到您的列表中。例如,要为 SUSE Linux Enterprise Server 15 SP3 添加储存库,请使用以下命令:

    tux > sudo zypper ar
         https://download.opensuse.org/repositories/M17N:/fonts/SLE_15/

    要搜索您的 FONT_FAMILY_NAME,请使用以下命令:

    tux > zypper se 'FONT_FAMILY_NAME*fonts'

21.2.5 配置字体的外观

根据渲染媒体和字号的不同,结果可能并不令人满意。例如,现在的显示器分辨率一般为 100dpi,这导致像素太大,字形显得粗陋难看。

有几种算法可用来处理低分辨率,例如消除锯齿(灰度平滑)、微调(适合网格)或子像素渲染(在一个方向将分辨率增至三倍)。这些算法还可能因字体格式而异。

重要
重要:子像素渲染的专利问题

SUSE 发行套件中不使用子像素渲染。虽然 FreeType2 支持此算法,但有几项将于 2019 年底到期的专利涉及到了此算法。因此,除非系统中有 FreeType2 库并且该库中已编译子像素渲染,否则在 Fontconfig 中设置子像素渲染选项没有任何效果。

通过 Fontconfig,可单独为每种字体选择渲染算法,也可为一组字体选择渲染算法。

21.2.5.1 通过 sysconfig 配置字体

SUSE Linux Enterprise Server 在 Fontconfig 上提供一个 sysconfig 层。要尝试进行字体配置,这是一个不错的着手点。要更改默认设置,请编辑配置文件 /etc/sysconfig/fonts-config。(或使用 YaST sysconfig 模块)。编辑该文件之后,请运行 fonts-config

tux > sudo /usr/sbin/fonts-config

重启动该应用程序以显示成效。请牢记以下要点:

  • 一些应用程序不需要重启动。例如,Firefox 会不时重新读取 Fontconfig 配置。新创建或重新装载的标签可在稍后获得新的字体配置。

  • 每次发生包安装或去除操作之后,系统会自动调用 fonts-config 脚本(如未调用,则表示字体软件包有错误)。

  • 使用 fonts-config 命令行选项可以暂时覆盖每个 sysconfig 变量。有关细节,请参见 fonts-config --help

有几个 sysconfig 变量可以更改。请参见 man 1 fonts-config 或 YaST sysconfig 模块的帮助页。以下是一些变量示例:

渲染算法的使用

请考虑 FORCE_HINTSTYLEFORCE_AUTOHINTFORCE_BWFORCE_BW_MONOSPACEUSE_EMBEDDED_BITMAPSEMBEDDED_BITMAP_LANGAGES

通用别名的首选项列表

使用 PREFER_SANS_FAMILIESPREFER_SERIF_FAMILIESPREFER_MONO_FAMILIESSEARCH_METRIC_COMPATIBLE

下面的列表提供了一些配置示例,按从最清晰字体(对比度较高)到最漂亮(较平滑)的顺序显示。

位图字体

通过 PREFER_*_FAMILIES 变量设置首选位图字体。请按照帮助部分的示例使用这些变量。请注意,这些字体渲染为黑白色,不进行平滑处理,并且位图字体只有几种字号。考虑使用

SEARCH_METRIC_COMPATIBLE="no"

来禁用基于度量兼容性的系列名称替代。

渲染为黑白色的可缩放字体

渲染时未消除锯齿的可缩放字体与位图字体的显示效果相似,同时又可保持字体可缩放性。请使用经过精细微调的字体,如 Liberation 系列。遗憾的是,系统中经过精细微调的字体并不充足。设置下面的变量可强制采用此方法:

FORCE_BW="yes"
渲染为黑白色的等宽字体

仅采用不消除锯齿的方式渲染等宽字体,否则,请使用默认设置:

FORCE_BW_MONOSPACE="yes"
默认设置

渲染所有字体时都消除锯齿。经过精细微调的字体将通过字节码解释器 (BCI) 渲染,其余字体将使用自动微调器 (hintstyle=hintslight) 渲染。让所有相关的 sysconfig 变量保持默认设置。

CFF 字体

以 CFF 格式使用字体。FreeType2 中有了当前的改进后,该字体应该也会比默认的 TrueType 字体更清晰。请按照 PREFER_*_FAMILIES 的示例尝试一下。可以使用以下选项将字体调得更黑更粗:

SEARCH_METRIC_COMPATIBLE="no"

因为它们默认是通过 hintstyle=hintslight 来渲染的。还可以考虑使用:

SEARCH_METRIC_COMPATIBLE="no"
专用自动微调器

即使对于精细微调的字体,也可以使用 FreeType2 的自动微调器。这可能会导致字形变得更粗,有时还会变得更模糊、对比度更低。设置下面的变量可激活此功能:

FORCE_AUTOHINTER="yes"

使用 FORCE_HINTSTYLE 可控制微调级别。

21.2.5.2 深入了解 fontconfig XML

Fontconfig 的配置格式是可扩展标记语言 (XML)。下面的几个示例不是完整参考,只是简要概述。细节及其他启示可在 man 5 fonts-conf/etc/fonts/conf.d/ 中找到。

中心 Fontconfig 配置文件是 /etc/fonts/fonts.conf,它及其他作品包括整个 /etc/fonts/conf.d/ 目录。要自定义 Fontconfig,可在两个位置插入您的更改:

Fontconfig 配置文件
  1. 系统范围的更改: 编辑文件 /etc/fonts/local.conf(默认情况下,它包含空的 fontconfig 元素)。

  2. 用户特定的更改: 编辑文件 ~/.config/fontconfig/fonts.conf。将 Fontconfig 配置文件放在 ~/.config/fontconfig/conf.d/ 目录中。

用户特定的更改会覆盖任何系统范围的设置。

注意
注意:弃用的用户配置文件

文件 ~/.fonts.conf 标记为已弃用,不应该再使用。请改为使用 ~/.config/fontconfig/fonts.conf

每个配置文件都需要有一个 fontconfig 元素。因此,最精简的文件应如下所示:

<?xml version="1.0"?>
   <!DOCTYPE fontconfig SYSTEM "fonts.dtd">
   <fontconfig>
   <!-- Insert your changes here -->
   </fontconfig>

如果默认目录不够用,请插入 dir 元素及相应的目录:

<dir>/usr/share/fonts2</dir>

Fontconfig 会以递归方式搜索字体。

使用下面的 Fontconfig 代码段可以选择字体渲染算法(请参见例 21.1 “指定渲染算法”):

例 21.1︰ 指定渲染算法
<match target="font">
 <test name="family">
  <string>FAMILY_NAME</string>
 </test>
 <edit name="antialias" mode="assign">
  <bool>true</bool>
 </edit>
 <edit name="hinting" mode="assign">
  <bool>true</bool>
 </edit>
 <edit name="autohint" mode="assign">
  <bool>false</bool>
 </edit>
 <edit name="hintstyle" mode="assign">
  <const>hintfull</const>
 </edit>
</match>

字体的各种属性都可以测试。例如,<test> 元素可测试字体系列(如该例中所示)、字体间隔、间距、字体格式以及其他。如果完全不使用 <test>,所有 <edit> 元素都会应用于每个字体(全局更改)。

例 21.2︰ 别名和系列名称替换项
规则 1
<alias>
 <family>Alegreya SC</family>
 <default>
  <family>serif</family>
 </default>
</alias>
规则 2
<alias>
 <family>serif</family>
 <prefer>
  <family>Droid Serif</family>
 </prefer>
</alias>
规则 3
<alias>
 <family>serif</family>
 <accept>
  <family>STIXGeneral</family>
 </accept>
</alias>

例 21.2 “别名和系列名称替换项”中的规则会创建一份排定了优先级的系列列表 (PFL)。根据元素的不同,执行的操作也不同:

规则 1 中的 <default>

此规则会在 PFL 末尾添加一个 serif 系列名称。

规则 2 中的 <prefer>

只要 PFL 中存在 Alegreya SC,此规则就会在 PFL 中的第一个 serif 之前添加Droid Serif

规则 3 中的 <accept>

此规则会在 PFL 中第一个 serif 系列名称之后添加 STIXGeneral 系列名称。

如果将这些代码段按规则 1 - 规则 2 - 规则 3 的顺序组合起来,当用户请求 Alegreya SC 时,系统便会如创建如表 21.1 “基于 fontconfig 规则生成 PFL”中所述的 PFL。

表 21.1︰ 基于 fontconfig 规则生成 PFL

顺序

当前的 PFL

请求

Alegreya SC

规则 1

Alegreya SCserif

规则 2

Alegreya SCDroid Serifserif

规则 3

Alegreya SCDroid SerifserifSTIXGeneral

在 Fontconfig 的度量中,系列名称具有最高优先级,高于样式、大小等其他模式。Fontconfig 会检查系统上当前安装了哪个系列。如果安装了 Alegreya SC,Fontconfig 将会返回它。如果未安装,则会查找 Droid Serif,依次类推。

请小心。如果 Fontconfig 代码段的顺序发生变化,Fontconfig 可能会返回不同的结果,如表 21.2 “基于更改了顺序的 fontconfig 规则生成 PFL 的结果”中所述。

表 21.2︰ 基于更改了顺序的 fontconfig 规则生成 PFL 的结果

顺序

当前的 PFL

记事

请求

Alegreya SC

执行相同的请求。

规则 2

Alegreya SC

PFL 中没有 serif,未替代任何内容

规则 3

Alegreya SC

PFL 中没有 serif,未替代任何内容

规则 1

Alegreya SC, serif

PFL 中存在 Alegreya SC,执行替代

注意
注意:隐含意义

<default> 别名视为此组的分类或内含项(如果未安装)。如该例所示,<default> 应该一律优先于该组的 <prefer><accept> 别名。

<default> 分类不限于通用别名 serif、sans-serif 和 monospace。有关复杂示例,请参见 /usr/share/fontconfig/conf.avail/30-metric-aliases.conf

例 21.3 “别名和系列名称替换项”中的以下 Fontconfig 代码段会创建一个 serif 组。如果前一种字体未安装,此组中的每个系列可替代其他系列。

例 21.3︰ 别名和系列名称替换项
<alias>
 <family>Alegreya SC</family>
 <default>
  <family>serif</family>
 </default>
</alias>
<alias>
 <family>Droid Serif</family>
 <default>
  <family>serif</family>
 </default>
</alias>
<alias>
 <family>STIXGeneral</family>
 <default>
  <family>serif</family>
 </default>
</alias>
<alias>
 <family>serif</family>
 <accept>
  <family>Droid Serif</family>
  <family>STIXGeneral</family>
  <family>Alegreya SC</family>
 </accept>
</alias>

优先级由 <accept> 别名中的顺序指定。类似地,可以使用更强的 <prefer> 别名。

例 21.4 “别名和系列名称替换项”扩展了例 21.2 “别名和系列名称替换项”

例 21.4︰ 别名和系列名称替换项
规则 4
<alias>
 <family>serif</family>
 <accept>
  <family>Liberation Serif</family>
 </accept>
</alias>
规则 5
<alias>
 <family>serif</family>
 <prefer>
  <family>DejaVu Serif</family>
 </prefer>
</alias>

例 21.4 “别名和系列名称替换项”中的扩展配置将导致下列 PFL 变化:

表 21.3︰ 基于 fontconfig 规则生成 PFL 的结果

顺序

当前的 PFL

请求

Alegreya SC

规则 1

Alegreya SCserif

规则 2

Alegreya SCDroid Serifserif

规则 3

Alegreya SCDroid SerifserifSTIXGeneral

规则 4

Alegreya SCDroid SerifserifLiberation SerifSTIXGeneral

规则 5

Alegreya SCDroid SerifDejaVu SerifserifLiberation SerifSTIXGeneral

注意
注意:隐含意义。
  • 如果同一个通用名称存在多个 <accept> 声明,则最后分析的声明胜出。如有可能,创建系统范围的配置时,不要在用户 (/etc/fonts/conf.d/*-user.conf ) 之后使用 <accept>

  • 如果同一个通用名称存在多个 <prefer> 声明,则最后分析的声明胜出。如有可能,在系统范围的配置中,不要在用户之前使用 <prefer>

  • 同一个通用名称的每个 <prefer> 声明都会覆盖 <accept> 声明。如果管理员不仅希望用户可使用 <accept>,而且还想允许其使用 <prefer>,就不应该在系统范围的配置中使用 <prefer>。另一方面,因为用户通常都是使用 <prefer>,这种做法应该不会产生任何不利影响。我们还发现存在在统范围的配置中使用 <prefer> 的情况。

21.3 适用于管理员的 GNOME 配置

21.3.1 dconf 系统

GNOME 桌面的配置是使用 dconf 管理的。dconf 是按层次结构化的数据库或注册表,可让用户修改其个人设置,并可让系统管理员为所有用户设置默认值或强制值。dconf 取代了 GNOME 2 的 gconf 系统。

使用 dconf-editor 可通过图形用户界面查看 dconf 选项。使用 dconf 可通过命令行访问和修改配置选项。

GNOME Tweaks 工具提供易于使用的用户界面,其中包含不属于标准 GNOME 配置的其他配置选项。从 GNOME 应用程序菜单或在命令行中使用 gnome-tweak-tool 可启动该工具。

21.3.2 系统范围的配置

全局 dconf 配置参数在 /etc/dconf/db/ 目录中设置,其中包括 GDM 的配置或针对用户锁定特定的配置选项。

我们以下面的过程举例说明如何创建系统范围的配置:

  1. /etc/dconf/db/ 中创建以 .d 结尾的新目录。此目录可包含任意数量的配置选项文本文件。在此例中,创建含有以下内容的文件 /etc/dconf/db/network.d/00-proxy

    # This is a comment
    [system/proxy/http]
    host='10.0.0.1'
    enabled=true
  2. 将新的配置指令分析为 dconf 数据库格式:

    tux > sudo dconf update
  3. 创建 /etc/dconf/profiles/user 文件,以将新 network 配置数据库添加至默认用户配置文件。然后添加以下内容:

    system-db:network

    /etc/dconf/profiles/user 文件是将要使用的 GNOME 默认设置。其他配置文件可在环境变量 DCONF_PROFILE 中定义。

  4. 可选:要锁定用户的代理配置,请创建文件 /etc/dconf/db/network/locks/proxy。然后将含有不能更改的关键字的一行添加至此文件:

    /system/proxy/http/host
    /system/proxy/http/enabled

您可以使用图形 dconf-editor 创建包含一个用户的配置文件,然后使用 dconf dump / 列出所有配置选项。之后便可将配置选项储存在全局配置文件中。

https://wiki.gnome.org/Projects/dconf/SystemAdministrators 中提供了全局配置的详细说明。

21.3.3 更多信息

有关详细信息,请参见http://help.gnome.org/admin/

21.4 使用 SUSE Prime 在 Intel 和 NVIDIA Optimus GPU 之间切换

SUSE Prime 是一款用于在板载 Intel 图形处理单元 (GPU) 和配备 NVIDIA“可切换图形”Optimus 技术的 NVIDIA GPU 之间切换的工具。Optimus 提供了一种在板载 Intel GPU 和离散 NVIDIA GPU 之间轻松切换的机制。专为在省电模式下或以最佳性能运行笔记本电脑而设计:使用 Intel GPU 可省电,使用 NVIDIA GPU 可支持 3D 应用程序。

SUSE Prime 只能在运行 X11(而不是 Wayland)的系统上工作。如果您的系统运行 Wayland,您必须将其禁用,并回退到 X11(如果您希望使用 SUSE Prime)(请参见第 21.4.1 节 “先决条件”)。

21.4.1 先决条件

/etc/X11/xorg.conf.d 目录中不能有 /etc/X11/xorg.conf 文件,也不能有活动“ServerLayout”、“Device”或“Screen”部分的配置文件。

SUSE Prime 仅适用于 X11。请使用 loginctl 命令查看您的系统是使用 X11 还是 Wayland:

tux > loginctl
   SESSION        UID USER             SEAT             TTY             
         2       1000 tux             seat0               
tux > loginctl show-session 2|grep Type
Type=x11

如果您的系统使用 Wayland,请通过编辑 /etc/gdm/custom.conf 并取消注释 WaylandEnable=false 将其禁用。然后重引导。

21.4.2 安装和使用 SUSE Prime

您的 NVIDIA 图形卡应已安装且正常工作。如果没有,请参见第 21.4.3 节 “安装 NVIDIA 驱动程序”

安装 suse-prime 软件包)更改内存策略模式:

tux > sudo zypper install suse-prime

要切换 GPU,请运行以下命令之一,然后注销并重新登录:

tux > sudo prime-select intel
tux > sudo prime-select intel2
tux > sudo prime-select nvidia

如果是 modesetting 驱动程序,请使用 intel 驱动程序。intel2 适用于使用 xf86-video-intel 驱动程序的系统。您可以通过安装和运行 inxi来获取此信息:

tux > inxi -G
Graphics: Device-1: Intel Xeon E3-1200 v3/4th Gen Core Processor Integrated Graphics Controller
          Display Server: x11(X.org 1.20.1 ) drivers: modesetting (unloaded: fbdev, vesa)
          Resolution: 1920x1080@60.00hz
          OpenGL: renderer: Mesa DRI Intel Haswell Desktop version: 4.5 Mesa 18.2.8

哪个 GPU 当前处于活动状态?

tux > sudo /usr/sbin/prime-select get-current
Driver configured: intel

21.4.3 安装 NVIDIA 驱动程序

如果您需要识别 NVIDIA 卡以便了解要使用哪个驱动程序,请运行以下命令:

tux > /sbin/lspci | grep VGA

按照以下步骤使用 Zypper 安装驱动程序。

列出可用的驱动程序软件包:

tux > sudo zypper se nvidia

然后为您的 NVIDIA 图形卡安装驱动程序:

tux > sudo zypper se packagename

22 使用 FUSE 访问文件系统

FUSE 是用户空间中的文件系统 (file system in user space) 的缩写。这表示您可以将文件系统作为非特权用户配置和挂载。通常,只有 root 用户才能执行此任务。FUSE 自身是一个内核模块。它与插件组合,允许您扩展 FUSE 以访问几乎所有文件系统,如远程 SSH 连接、ISO 映像等.

22.1 配置 FUSE

需要安装 fuse 包才能使用 FUSE。根据要使用的文件系统,您需要作为独立软件包提供的附加插件。

一般而言,您无需配置 FUSE。但是建议创建一个合并所有挂载点的目录。例如,可以创建目录 ~/mounts 并在该处插入不同文件系统的子目录。

22.2 挂载 NTFS 分区

NTFS(新技术文件系统)是 Windows 的默认文件系统。在一般情况下,由于非特权用户无法使用外部 FUSE 库挂载 NTFS 块设备,因此下文所述的 Windows 分区挂载过程需要 root 特权。

  1. 切换为 root 用户并安装软件包 ntfs-3gSUSE Linux Enterprise Workstation Extension 中提供了该软件包。

  2. 创建一个要充当挂载点的目录,如 ~/mounts/windows

  3. 确定所需的 Windows 分区。使用 YaST 并启动分区程序模块查看哪些分区属于 Windows,但不要修改任何内容。或者转换为 root 用户并执行 /sbin/fdisk -l。查找分区类型为 HPFS/NTFS 的分区。

  4. 以读写模式挂载分区。使用相应的 Windows 分区替换占位符 DEVICE

    tux > ntfs-3g /dev/DEVICE MOUNT POINT

    要在只读模式下使用 Windows 分区,请追加 -o ro

    tux > ntfs-3g /dev/DEVICE MOUNT POINT -o ro

    ntfs-3g 命令使用当前用户 (UID) 和组 (GID) 挂载给定设备。如果要为其他用户设置写权限,请使用命令 id USER 获取 UID 和 GID 值的输出。设置方式:

    root # id tux
    uid=1000(tux) gid=100(users) groups=100(users),16(dialout),33(video)
    ntfs-3g /dev/DEVICE MOUNT POINT -o uid=1000,gid=100

    在手册页中查找其他选项。

要卸载资源,请运行 fusermount -u 挂载点

22.3 更多信息

有关详细信息,请参见 FUSE 主页:https://github.com/libfuse/libfuse

23 管理内核模块

虽然 Linux 属于单内核,但可通过内核模块加以扩展。这些特殊对象可以插入到内核中,并可按需去除。就实际角度而言,内核模块使添加和去除内核本身未包含的驱动程序和接口成为现实。Linux 提供了若干用于管理内核模块的命令。

23.1 使用 lsmod 和 modinfo 列出装载的模块

使用 lsmod 命令可查看目前装载了哪些内核模块。该命令的输出可能如下所示:

tux > lsmod
Module                  Size  Used by
snd_usb_audio         188416  2
snd_usbmidi_lib        36864  1 snd_usb_audio
hid_plantronics        16384  0
snd_rawmidi            36864  1 snd_usbmidi_lib
snd_seq_device         16384  1 snd_rawmidi
fuse                  106496  3
nfsv3                  45056  1
nfs_acl                16384  1 nfsv3

输出内容分为三列:Module 列列出所装载模块的名称,Size 列显示各模块的大小。Used by 列显示引用模块的进程数及其名称。请注意,此列表可能不完整。

要查看有关特定内核模块的详细信息,请使用 modinfo MODULE_NAME 命令。其中 MODULE_NAME 为所需内核模块的名称。请注意,modinfo 二进制文件位于用户的 PATH 环境变量中未包含的 /sbin 目录下。这意味着,当您以普通用户身份运行 modinfo 命令时,必须指定该二进制文件的完整路径:

tux > /sbin/modinfo kvm
filename:       /lib/modules/5.3.18-57-default/kernel/arch/x86/kvm/kvm.ko.xz
license:        GPL
author:         Qumranet
suserelease:    SLE15-SP3
srcversion:     3D8FBA9060D4537359A06FC
depends:        irqbypass
supported:      yes
retpoline:      Y
intree:         Y
name:           kvm
vermagic:       5.3.18-57-default SMP mod_unload modversions

23.2 添加和去除内核模块

虽然可以使用 insmodrmmod 分别添加和去除内核模块,但建议使用 modprobe 工具来执行这些操作。modprobe 具有多项重要优势,包括自动解析依赖项和将内核模块列入黑名单。

如果不指定任何参数,使用 modprobe 命令会安装指定的内核模块。必须使用 root 特权来运行 modprobe

tux > sudo modprobe acpi

要去除内核模块,请使用 -r 参数:

tux > sudo modprobe -r acpi

23.2.1 引导时自动装载内核模块

您可以选择不手动装载内核模块,而是使用 system-modules-load.service 服务在引导过程中自动装载这些模块。要启用内核模块,请将 .conf 文件添加到 /etc/modules-load.d/ 目录下。建议为配置文件指定与模块相同的名称,例如:

/etc/modules-load.d/rt2800usb.conf

配置文件中必须包含所需内核模块的名称(例如 rt2800usb)。

通过上述的这个技巧,无需指定任何参数即可装载内核模块。如果您需要使用特定选项装载内核模块,请将配置文件添加到 /etc/modprobe.d/ 目录下。该文件的扩展名必须为 .conf。文件名必须符合以下命名约定:priority-modulename.conf,例如:50-thinkfan.conf。配置文件中必须包含内核模块名称及所需参数。您可以使用以下示例命令来创建包含内核模块名称及其参数的配置文件:

tux > echo "options thinkpad_acpi fan_control=1" | sudo tee /etc/modprobe.d/thinkfan.conf
注意
注意:装载内核模块

当检测到设备或用户空间请求特定功能时,系统会自动装载大多数内核模块。因此,很少需要手动将模块添加到 /etc/modules-load.d/

23.2.2 使用 modprobe 将内核模块列入黑名单

将某个内核模块列入黑名单后,引导期间便不再会装载该模块。当要禁用您怀疑可能导致系统出现问题的某个模块时,此功能十分有用。请注意,您仍可通过使用 insmodmodprobe 工具来手动装载列入黑名单的内核模块。

要将模块列入黑名单,请在 /etc/modprobe.d/50-blacklist.conf 文件中添加 blacklist MODULE_NAME 行。例如:

blacklist nouveau

以 root 身份运行 mkinitrd 命令生成新的 initrd 映像,然后重引导计算机。可使用以下命令执行上述步骤:

tux > su
echo "blacklist nouveau" >> /etc/modprobe.d/50-blacklist.conf && mkinitrd && reboot

如果只想临时禁用内核模块,可在引导期间即时将其列入黑名单。要实现此目的,请在引导屏幕显示时按 E 键。这样,您会进入一个可供您修改引导参数的小编辑器。找到如下所示的行:

linux /boot/vmlinuz...splash= silent quiet showopts

在该行末尾添加 modprobe.blacklist=MODULE_NAME 命令。例如:

linux /boot/vmlinuz...splash= silent quiet showopts modprobe.blacklist=nouveau

F10CtrlX 以按照指定配置引导。

要通过 GRUB 将某个内核模块永久列入黑名单,请打开要编辑的 /etc/default/grub 文件,在 GRUB_CMD_LINUX 命令中添加 modprobe.blacklist=MODULE_NAME 选项。然后运行 sudo grub2-mkconfig -o /boot/grub2/grub.cfg 命令使更改生效。

24 使用 udev 进行动态内核设备管理

内核几乎可以添加或删除运行系统中的任何设备。设备状态的更改(无论插入还是移除设备)需要传播给用户空间。插入及识别设备后需要对其进行配置。某个设备已识别状态的任何更改都需要通知给此设备的用户。udev 可提供所需的基础结构来动态维护 /dev 目录中的设备节点文件和符号链接。udev 规则提供了将外部工具插入内核设备事件处理的方式。因而,您可以通过添加在内核设备处理过程中执行的特定脚本,来自定义 udev 设备处理方式,或者可以在设备处理期间请求并导入其他数据进行评估。

24.1 /dev 目录

/dev 目录中的设备节点提供对相应的内核设备的访问。使用 udev 时,/dev 目录反映内核的当前状态。每个内核设备都有相应的设备文件。如果设备从系统断开,则删除此设备节点。

/dev 目录的内容保存在临时文件系统中,所有文件都是在每个系统启动时提供的。手动创建或修改的文件在重引导时是有意不保存的。无论可使用 systemd-tmpfiles 创建的相应内核设备状态如何,静态文件和目录都始终应位于 /dev 目录中。配置文件位于 /usr/lib/tmpfiles.d//etc/tmpfiles.d/ 中。有关详细信息,请参见 systemd-tmpfiles(8) 手册页。

24.2 内核 ueventsudev

必需的设备信息由 sysfs 文件系统导出。对于内核检测到并已初始化的设备,将创建一个带有该设备名称的目录。它包含带有特定于设备属性的属性文件。

每次添加或删除设备时,内核都会发送 uevent 来向 udev 通知更改。一旦启动,udev 守护程序便会读取并分析 /usr/lib/udev/rules.d/*.rules/etc/udev/rules.d/*.rules 文件中的所有规则,并将它们保留在内存中。如果更改、添加或去除了规则文件,守护程序可以使用 udevadm control --reload 命令重新装载这些规则在内存中的表示。有关 udev 规则及其语法的更多细节,请参见第 24.6 节 “使用 udev 规则影响内核设备事件处理”

每个接收到的事件都根据所提供的规则集进行匹配。这些规则可以增加或更改事件环境键、为要创建的设备节点请求特定名称、添加指向该节点的符号链接或者添加设备节点创建后运行的程序。从内核 netlink 套接字接收驱动程序核心 uevent

24.3 驱动程序、内核模块和设备

设备的内核总线驱动程序探测。对于每个检测到的设备,内核都会在驱动程序核心将 uevent 发送到 udev 守护程序时创建内部设备结构。总线设备通过特殊格式的 ID 来标识自己,这可以识别设备的类型。通常,这些 ID 由供应商和产品 ID 以及其他特定于子系统的值组成。每个总线都有自己对于这些 ID 的方案,称为 MODALIAS。内核获取设备信息,由此组成一个 MODALIAS ID 字符串,并将该字符串与事件一起发送。对于 USB 鼠标,如下所示:

MODALIAS=usb:v046DpC03Ed2000dc00dsc00dp00ic03isc01ip02

每个设备驱动程序都带有它可以处理的设备的已知别名列表。这个列表包含在内核模块文件中。程序 depmod 读取 ID 列表并在内核的 /lib/modules 目录中为所有当前可用的模块创建文件 modules.alias。使用这种基础结构,模块的装载就如为每个带有 MODALIAS 键的事件调用 modprobe 一样简单。如果调用 modprobe $MODALIAS,它将组成该设备的设备别名与模块提供的别名相匹配。如果找到匹配的项,则装载该模块。所有这些操作均由 udev 自动触发。

24.4 引导和启动设备设置

udev 守护程序运行之前的引导进程中发生的所有设备事件都会丢失,因为处理这些事件的基础结构保存在 root 文件系统中,并且此时不可用。为了弥补此损失,内核提供了一个 uevent 文件,该文件位于 sysfs 文件系统每个设备的设备目录中。通过将 add 写入到该文件,内核将再次发送引导时丢失的相同事件。/sys 触发器中所有 uevent 文件的简单循环将再次触发所有事件来创建设备节点并执行设备设置。

例如,在引导期间出现的 USB 鼠标可能不会由早期引导逻辑初始化,因为驱动程序在那时不可用。此设备发现的事件丢失并且不能为该设备查找内核模块。您无需手动搜索连接的设备,udev 会在根文件系统可用后向内核请求所有设备事件,这样 USB 鼠标设备的事件就会再次运行。现在它在挂载的 root 文件系统上找到内核模块,因此可以初始化 USB 鼠标。

在用户空间中,设备冷插入序列和运行时期间发现的设备之间没有明显的区别。在这两种情况下,使用相同的规则来匹配并且运行相同的配置程序。

24.5 监视正在运行的 udev 守护程序

程序 udevadm monitor 可以用于将驱动程序核心事件和 udev 事件处理的计时可视化。

UEVENT[1185238505.276660] add   /devices/pci0000:00/0000:00:1d.2/usb3/3-1 (usb)
UDEV  [1185238505.279198] add   /devices/pci0000:00/0000:00:1d.2/usb3/3-1 (usb)
UEVENT[1185238505.279527] add   /devices/pci0000:00/0000:00:1d.2/usb3/3-1/3-1:1.0 (usb)
UDEV  [1185238505.285573] add   /devices/pci0000:00/0000:00:1d.2/usb3/3-1/3-1:1.0 (usb)
UEVENT[1185238505.298878] add   /devices/pci0000:00/0000:00:1d.2/usb3/3-1/3-1:1.0/input/input10 (input)
UDEV  [1185238505.305026] add   /devices/pci0000:00/0000:00:1d.2/usb3/3-1/3-1:1.0/input/input10 (input)
UEVENT[1185238505.305442] add   /devices/pci0000:00/0000:00:1d.2/usb3/3-1/3-1:1.0/input/input10/mouse2 (input)
UEVENT[1185238505.306440] add   /devices/pci0000:00/0000:00:1d.2/usb3/3-1/3-1:1.0/input/input10/event4 (input)
UDEV  [1185238505.325384] add   /devices/pci0000:00/0000:00:1d.2/usb3/3-1/3-1:1.0/input/input10/event4 (input)
UDEV  [1185238505.342257] add   /devices/pci0000:00/0000:00:1d.2/usb3/3-1/3-1:1.0/input/input10/mouse2 (input)

UEVENT 行显示内核已经通过 netlink 发送的事件。UDEV 行显示已经完成的 udev 事件处理程序。计时以微秒为单位显示。UEVENTUDEV 之间的时间是 udev 用于处理此事件或者 udev 守护程序延迟执行从而同步此事件与相关以及已运行的事件的时间。例如,硬盘分区的事件总是等待主磁盘设备事件完成,因为分区事件可能依赖于主磁盘事件从硬件查询的数据。

udevadm monitor --env 显示完整的事件环境:

ACTION=add
DEVPATH=/devices/pci0000:00/0000:00:1d.2/usb3/3-1/3-1:1.0/input/input10
SUBSYSTEM=input
SEQNUM=1181
NAME="Logitech USB-PS/2 Optical Mouse"
PHYS="usb-0000:00:1d.2-1/input0"
UNIQ=""
EV=7
KEY=70000 0 0 0 0
REL=103
MODALIAS=input:b0003v046DpC03Ee0110-e0,1,2,k110,111,112,r0,1,8,amlsfw

udev 也将消息发送给 syslog。用于控制将哪些消息发送到系统日志的默认系统日志优先级在 udev 配置文件 /etc/udev/udev.conf 中指定。可以使用 udevadm control --log_priority=LEVEL/NUMBER 更改正在运行的守护程序的日志优先级。

24.6 使用 udev 规则影响内核设备事件处理

udev 规则可以与内核添加到事件本身的属性或者内核导出到 sysfs 的任何信息匹配。规则还可以从外部程序请求其他信息。系统会将事件与目录 /usr/lib/udev/rules.d/(适用于默认规则)和 /etc/udev/rules.d(系统特定的配置)中提供的所有规则进行匹配。

规则文件中的每一行至少包含一个键值对。有两种类型的键,匹配键和指派键。如果所有匹配键与它们的值匹配,则应用此规则并将指派键指派给特定的值。匹配规则可以指定设备节点的名称、添加指向该节点的符号链接或者运行作为事件处理一部分的特定程序。如果找不到匹配的规则,则使用默认设备节点名来创建设备节点。udev 手册页中描述了有关规则语法和提供用来与数据匹配或导入数据的键的详细信息。以下示例规则提供了 udev 规则语法的基本介绍。这些示例规则全部取自 udev 默认规则集 /usr/lib/udev/rules.d/50-udev-default.rules

例 24.1︰ 示例 udev 规则
# console
KERNEL=="console", MODE="0600", OPTIONS="last_rule"

# serial devices
KERNEL=="ttyUSB*", ATTRS{product}=="[Pp]alm*Handheld*", SYMLINK+="pilot"

# printer
SUBSYSTEM=="usb", KERNEL=="lp*", NAME="usb/%k", SYMLINK+="usb%k", GROUP="lp"

# kernel firmware loader
SUBSYSTEM=="firmware", ACTION=="add", RUN+="firmware.sh"

console 规则由三个键构成:一个匹配键 (KERNEL) 和两个赋值键(MODEOPTIONS)。KERNEL 匹配规则搜索设备列表以查找类型为 console 的所有项。只有完全匹配才有效,才能触发执行此规则。在这种情况下,MODE 键为设备节点指派特殊权限,仅为此设备的拥有者指派读写权限。OPTIONS 键将该规则标记为此类型的所有设备最后采用的规则。匹配此特殊设备类型的任何后续规则都不产生任何影响。

50-udev-default.rules 中不再提供 serial devices 规则,但该规则仍然值得考虑。该规则由两个匹配键(KERNELATTRS)和一个赋值键 (SYMLINK) 构成。KERNEL 键搜索类型为 ttyUSB 的所有设备。该键使用 * 通配符匹配这些设备中的几个。第二个匹配键 ATTRS 检查任何 ttyUSB 设备的 sysfs 中的 product 属性文件是否包含特定字符串。赋值键 (SYMLINK) 将符号链接添加至该设备的 /dev/pilot 下。此键中使用的运算符 (+=) 告知 udev 进一步执行此操作,即使前面或后面的规则添加其他符号链接。由于此规则包含两个匹配键,因此仅当两个条件都满足时,才应用。

printer 规则处理 USB 打印机,其中包含两个匹配键(SUBSYSTEMKERNEL),并且必须同时应用这两个键,才能应用整个规则。三个赋值键处理该设备类型的命名 (NAME)、符号设备链接 (SYMLINK) 的创建,以及此设备类型的组成员资格 (GROUP)。在 KERNEL 键中使用通配符 * 将使其匹配若干 lp 打印机设备。NAMESYMLINK 键中都使用了替换项,以便按内部设备名称扩展这些字符串。例如,指向第一个 lp USB 打印机的符号链接为 /dev/usblp0

kernel firmware loader 规则用于使 udev 在运行时期间通过外部助手脚本装载其他固件。SUBSYSTEM 匹配键搜索 firmware 子系统。ACTION 键检查是否添加了属于 firmware 子系统的任何设备。RUN+= 键触发执行 firmware.sh 脚本,以便找到应装载的固件。

所有规则具有一些共同的特征:

  • 每个规则由一个或多个以逗号分隔的键值对构成。

  • 键的运算由运算符确定。udev 规则支持多个运算符。

  • 每个给定值必须用引号引起来。

  • 规则文件的每一行代表一个规则。如果某个规则超过一行,请使用 \ 合并不同行,就像在外壳语法中一样。

  • udev 规则支持与 *? [] 模式匹配的外壳式模式。

  • udev 规则支持替换。

24.6.1 udev 规则中使用运算符

创建可以从多个运算符选择的键,具体取决于要创建的键的类型。匹配键通常用于查找匹配或明显不匹配搜索值的值。匹配键包含以下运算符之一:

==

比较等于性。如果键包含搜索模式,则匹配该模式的所有结果均有效。

!=

比较不等于性。如果键包含搜索模式,则匹配该模式的所有结果均有效。

赋值键可以使用下面的任何运算符:

=

为键指派值。如果键以前由一列值构成,键将重置,并且仅指派一个值。

+=

为包含一列项的键添加一个值。

:=

指派最终值。不允许后面的规则进行任何后续更改。

24.6.2 udev 规则中使用替换项

udev 规则支持使用占位符和替换项。请按照在其他任何脚本中的相同方式使用。在 udev 规则中可使用以下替换项:

%r$root

设备目录 /dev(默认)。

%p$devpath

DEVPATH 的值。

%k$kernel

KERNEL 的值或内部设备名称。

%n$number

设备号。

%N$tempnode

设备文件的临时名称。

%M$major

设备的主编号。

%m$minor

设备的次编号。

%s{ATTRIBUTE}, $attr{ATTRIBUTE}

sysfs 属性的值(通过 ATTRIBUTE 指定)。

%E{VARIABLE}, $env{VARIABLE}

环境变量的值(通过 VARIABLE 指定)。

%c$result

PROGRAM 的输出。

%%

% 字符。

$$

$ 字符。

24.6.3 使用 udev 匹配键

匹配键描述应用 udev 规则之前必须满足的条件。以下匹配键可用:

ACTION

事件操作的名称,如 addremove(添加或删除设备时)。

DEVPATH

事件设备的设备路径,如 DEVPATH=/bus/pci/drivers/ipw3945,用于搜索与 ipw3945 驱动程序有关的所有事件。

KERNEL

事件设备的内部(内核)名称。

SUBSYSTEM

事件设备的子系统,如 SUBSYSTEM=usb(用于与 USB 设备有关的所有事件)。

ATTR{FILENAME}

事件设备的 sysfs 属性。例如,要匹配 vendor 属性文件名中包含的字符串,可以使用 ATTR{vendor}=="On[sS]tream"

KERNELS

udev 向上搜索设备路径,以查找匹配的设备名称。

SUBSYSTEMS

udev 向上搜索设备路径,以查找匹配的设备子系统名称。

DRIVERS

udev 向上搜索设备路径,以查找匹配的设备驱动程序名称。

ATTRS{FILENAME}

udev 向上搜索设备路径,以查找与 sysfs 属性值匹配的设备。

ENV{KEY}

环境变量的值,如 ENV{ID_BUS}="ieee1394,用于搜索与该 FireWire 总线 ID 有关的所有事件。

PROGRAM

udev 执行外部程序。程序必须返回退出码零,才能成功。RESULT 键可使用程序的输出(打印到 stdout)。

RESULT

匹配上次 PROGRAM 调用的输出字符串。在与 PROGRAM 键相同的规则中包含该键,或在后面的一个中。

24.6.4 使用 udev 指派键

与上述匹配键相比,赋值键未描述必须满足的条件。它们将值、名称和操作指派给由 udev 维护的设备节点。

NAME

将创建的设备节点的名称。在一个规则设置节点名称之后,将对该节点忽略带有 NAME 键的其他所有规则。

SYMLINK

与要创建的节点有关的符号链接名称。多个匹配的规则可添加要使用设备节点创建的符号链接。也可以通过使用空格字符分隔符号链接名称,在一个规则中为一个节点指定多个符号链接。

OWNER, GROUP, MODE

新设备节点的权限。此处指定的值重写已编译的任何值。

ATTR{KEY}

指定要写入事件设备的 sysfs 属性的值。如果使用 == 运算符,也将使用该键匹配 sysfs 属性的值。

ENV{KEY}

告知 udev 将变量导出到环境。如果使用 == 运算符,也将使用该键匹配环境变量。

RUN

告知 udev 向程序列表添加要为该设备执行的程序。请记住,将此程序限制于很短的任务,以免妨碍此设备的后续事件。

LABEL

添加 GOTO 可跳至的标签。

GOTO

告知 udev 跳过若干规则,继续执行 GOTO 键所引用标签对应的规则。

IMPORT{TYPE}

将变量装载入外部程序输出之类的事件环境中。udev 可导入多种类型的变量。如果未指定任何类型,udev 将尝试根据文件许可权限的可执行位来自行确定类型。

  • program 告知 udev 执行外部程序并导入其输出。

  • file 告知 udev 导入文本文件。

  • parent 告知 udev 从父设备导入储存的键。

WAIT_FOR_SYSFS

告知 udev 等待为特定设备创建指定的 sysfs 文件。例如,WAIT_FOR_SYSFS="ioerr_cnt" 会通知 udev 等待 ioerr_cnt 文件创建完成。

OPTIONS

OPTION 键可以有多个值:

  • last_rule 告知 udev 忽略后面的所有规则。

  • ignore_device 告知 udev 完全忽略此事件。

  • ignore_remove 告知 udev 忽略后面针对设备的所有删除事件。

  • all_partitions 告知 udev 为块设备上的所有可用分区创建设备节点。

24.7 永久设备命名

动态设备目录和 udev 规则基础架构可以为所有磁盘设备提供固定名称,而不考虑它们的识别顺序或设备使用的连接。内核创建的每个相应的块设备由工具根据有关特定总线、驱动器类型或者文件系统的特殊知识进行检查。除了动态内核提供的设备节点名,udev 还维护各种指向该设备的永久符号链接:

/dev/disk
|-- by-id
|   |-- scsi-SATA_HTS726060M9AT00_MRH453M4HWHG7B -> ../../sda
|   |-- scsi-SATA_HTS726060M9AT00_MRH453M4HWHG7B-part1 -> ../../sda1
|   |-- scsi-SATA_HTS726060M9AT00_MRH453M4HWHG7B-part6 -> ../../sda6
|   |-- scsi-SATA_HTS726060M9AT00_MRH453M4HWHG7B-part7 -> ../../sda7
|   |-- usb-Generic_STORAGE_DEVICE_02773 -> ../../sdd
|   `-- usb-Generic_STORAGE_DEVICE_02773-part1 -> ../../sdd1
|-- by-label
|   |-- Photos -> ../../sdd1
|   |-- SUSE10 -> ../../sda7
|   `-- devel -> ../../sda6
|-- by-path
|   |-- pci-0000:00:1f.2-scsi-0:0:0:0 -> ../../sda
|   |-- pci-0000:00:1f.2-scsi-0:0:0:0-part1 -> ../../sda1
|   |-- pci-0000:00:1f.2-scsi-0:0:0:0-part6 -> ../../sda6
|   |-- pci-0000:00:1f.2-scsi-0:0:0:0-part7 -> ../../sda7
|   |-- pci-0000:00:1f.2-scsi-1:0:0:0 -> ../../sr0
|   |-- usb-02773:0:0:2 -> ../../sdd
|   |-- usb-02773:0:0:2-part1 -> ../../sdd1
`-- by-uuid
    |-- 159a47a4-e6e6-40be-a757-a629991479ae -> ../../sda7
    |-- 3e999973-00c9-4917-9442-b7633bd95b9e -> ../../sda6
    `-- 4210-8F8C -> ../../sdd1

24.8 udev 使用的文件

/sys/*

Linux 内核提供的虚拟文件系统,用于导出所有当前已知设备。此信息由 udev 用于在 /dev 中创建设备节点

/dev/*

动态创建的设备节点和使用 systemd-tmpfiles 创建的静态内容。有关详细信息,请参见 systemd-tmpfiles(8) 手册页。

以下文件和目录包含 udev 基础结构的关键元素:

/etc/udev/udev.conf

udev 配置文件。

/etc/udev/rules.d/*

系统特定的 udev 事件匹配规则。可在此处添加自定义规则,以修改或覆盖 /usr/lib/udev/rules.d/* 中的默认规则。

文件将以字母数字顺序进行分析。文件中优先级较高的规则将会修改或覆盖优先级较低的规则。数字越小,优先级越高。

/usr/lib/udev/rules.d/*

默认的 udev 事件匹配规则。此目录中的文件由软件包拥有,将在更新时重写。请勿在此处添加、去除或编辑文件,而是应使用 /etc/udev/rules.d

/usr/lib/udev/*

udev 规则调用的帮助程序。

/usr/lib/tmpfiles.d//etc/tmpfiles.d/

负责静态 /dev 内容。

24.9 更多信息

有关 udev 基础结构的更多信息,请参见以下手册页:

udev

有关 udev、键、规则和其他重要配置问题的常规信息。

udevadm

udevadm 可用于控制 udev 的运行时行为、请求内核事件、管理事件队列,以及提供简单的调试机制。

udevd

有关 udev 事件管理守护程序的信息。

25 特殊系统功能

本章首先提供有关各种软件包、虚拟控制台和键盘布局的信息。讨论诸如 bashcronlogrotate 等软件组件,因为在最后的发行周期中已对这些组件进行了更改或增强。即使这些组件很小或者被认为不太重要,用户也应该更改它们的默认行为,因为这些组件往往与系统密切相关。本章的最后是有关语言和国家/地区特定设置(I18N 和 L10N)的内容。

25.1 特殊软件包的相关信息

后续章节提供了有关以下工具的基本信息:bashcronlogrotatelocateulimitfree

25.1.1 bash 软件包和 /etc/profile

Bash 是默认的系统外壳。在用作登录外壳时,它将读取几个初始化文件。Bash 按照这些文件在列表中出现的顺序处理它们:

  1. /etc/profile

  2. ~/.配置文件

  3. /etc/bash.bashrc

  4. ~/.bashrc

~/.profile~/.bashrc 中进行自定义设置。要确保正确处理这些文件,需要将基本设置从 /etc/skel/.profile/etc/skel/.bashrc 复制到用户的主目录中。建议在更新后从 /etc/skel 复制这些设置。执行以下外壳命令可防止个人调整的损失:

tux > mv ~/.bashrc ~/.bashrc.old
tux > cp /etc/skel/.bashrc ~/.bashrc
tux > mv ~/.profile ~/.profile.old
tux > cp /etc/skel/.profile ~/.profile

然后从 *.old 文件将个人调整复制过来。

25.1.2 cron 软件包

使用 cron 可在预定义的时间自动在后台运行命令。cron 使用格式经过特别设置的时间表,并且该工具随附了几个默认的时间表。用户也可以根据需要指定自定义的表。

cron 表位于 /var/spool/cron/tabs 中。/etc/crontab 用作系统范围的 cron 表。输入在时间表之后且在此命令之前运行此命令的用户名。在例 25.1 “/etc/crontab 中的项” 中,输入的是 root。位于 /etc/cron.d 中的软件包特定的表具有相同的格式。请参见 cron 手册页 (man cron)。

例 25.1︰ /etc/crontab 中的项
1-59/5 * * * *   root   test -x /usr/sbin/atrun && /usr/sbin/atrun

不能通过调用命令 crontab -e 来编辑 /etc/crontab。必须直接将此文件装载到编辑器中,然后对其进行修改并保存。

有些软件包会将外壳脚本安装到 /etc/cron.hourly/etc/cron.daily/etc/cron.weekly/etc/cron.monthly 目录中,这些脚本的执行由 /usr/lib/cron/run-crons 控制。/usr/lib/cron/run-crons 每隔 15 分钟在主表 (/etc/crontab) 中运行一次。这样可以确保在适当的时间运行可能被忽略的进程。

要运行 hourlydaily 或在自定义时间运行其他周期性维护脚本,请删除通常使用 /etc/crontab 项的时戳文件(请参见例 25.2 “/etc/crontab:去除时戳文件”,它删除了每个整点之前的 hourly 和每天凌晨 2:14 的 daily 等)。

例 25.2︰ /etc/crontab:去除时戳文件
59 *  * * *     root  rm -f /var/spool/cron/lastrun/cron.hourly
14 2  * * *     root  rm -f /var/spool/cron/lastrun/cron.daily
29 2  * * 6     root  rm -f /var/spool/cron/lastrun/cron.weekly
44 2  1 * *     root  rm -f /var/spool/cron/lastrun/cron.monthly

或者,在 /etc/sysconfig/cron 中将 DAILY_TIME设置为应启动 cron.daily 的时间。MAX_NOT_RUN 的设置确保即使用户很长一段时间都未在指定的 DAILY_TIME 打开计算机,日常任务仍被触发运行。MAX_NOT_RUN 的最大值为 14 天。

为了清楚起见,将日常系统维护任务分布在多个脚本中。这些脚本包含在软件包 aaa_base 中。例如,/etc/cron.daily 包含组件 suse.de-backup-rpmdbsuse.de-clean-tmpsuse.de-cron-local

25.1.3 停止 Cron 状态消息

要避免 Cron 状态消息导致的邮件泛滥,请将新安装的 /etc/sysconfig/cronSEND_MAIL_ON_NO_ERROR 的默认值设为“no”。即使将此设置设为“no”,cron 数据输出仍然会发送到 MAILTO 地址,如 cron 手册页中所述。

在更新时,建议根据需要设置这些值。

25.1.4 日志文件:软件包 logrotate

多个系统服务(守护程序)以及内核本身会定期将系统状态和特定事件记录到日志文件中。这样,管理员可以定期检查系统在某一时刻的状态,识别错误或故障功能,并精确诊断它们。这些日志文件通常储存在 FHS 指定的 /var/log 中,文件大小每天都会增长。logrotate 软件包可以帮助控制这些文件的增长。有关详细信息,请参见Book “系统分析和微调指南”, Chapter 3 “分析和管理系统日志文件”, Section 3.3 “使用 logrotate 管理日志文件”

25.1.5 locate 命令

locate 是一个用于查找文件的命令,它不包括在已安装软件的标准范围内。如果需要,请安装 mlocate 软件包,它是 findutils-locate 包的后继者。updatedb 进程将在每天晚上或引导系统约 15 分钟后自动启动。

25.1.6 ulimit 命令

使用 ulimit用户限制)命令可以为系统资源的使用设置限制并使其显示出来。ulimit 对于限制应用程序的可用内存尤其有用。设置可用内存限制后,可以防止应用程序占用过多系统资源,而导致操作系统变慢甚至挂起。

可以对 ulimit 使用多个选项。要限制使用内存,请使用表 25.1 “ulimit:为用户设置资源” 中列出的选项。

表 25.1︰ ulimit:为用户设置资源

-m

最大驻留集大小

-v

外壳可用虚拟内存的最大量

-s

堆栈的最大大小

-c

创建的核心文件的最大大小

-a

所有当前限制均已报告

系统范围的默认项在 /etc/profile 中设置。建议不要直接编辑此文件,因为系统升级期间会覆盖所做的更改。要自定义系统范围的配置文件设置,请使用 /etc/profile.local。各用户的设置应该在 ~USER/.profile 中配置。

例 25.3︰ ulimit~/.bashrc 中的设置
# Limits maximum resident set size (physical memory):
ulimit -m 98304

# Limits of virtual memory:
ulimit -v 98304

必须以 KB 为单位指定内存分配。有关详细信息,请参见 man bash

重要
重要:ulimit 支持

并非所有外壳都支持 ulimit 指令。PAM(例如 pam_limits)作为替代 ulimit 的方法,提供了全面的调整功能。

25.1.7 free 命令

free 命令显示系统中总的可用内存、已用物理内存和交换空间,以及内核占用的缓冲区和缓存。可用 RAM 的概念可追溯到统一内存管理之前。可用内存不是好的内存这种说法非常适用于 Linux。因此,Linux 一直在平衡缓存方面下功夫,不允许实际上存在可用或未使用的内存。

内核对任何应用程序或用户数据都没有直接的了解。而是在一个页缓存中管理应用程序和用户数据。如果内存不足,它的某些部分会被写入交换分区或文件中,这样,使用 mmap 命令便可一开始就从这些交换分区或文件中读取这些部分(请参见 man mmap)。

此外,内核中还包含其他缓存,如 slab 缓存,其中储存着用于网络访问的缓存。这也许能够解释 /proc/meminfo 中计数器之间的差异。通过 /proc/slabinfo 可以访问大多数(但并非全部)上述缓存。

但是如果您的目的是找出当前所用的 RAM 量,则在 /proc/meminfo 中查找此信息。

25.1.8 手册页和信息页

对于某些 GNU 应用程序(如 tar),已不再保留手册页。对于这些命令,可使用 --help 选项快速查看信息页,这些页面中提供了更多深入说明。Info 是 GNU 的超文本系统。通过输入 info info 可以看到此系统的介绍。通过输入 emacs -f Info 可使用 Emacs 查看信息页,也可以在控制台中使用 info 直接查看信息页。还可以使用 tkinfo、xinfo 或帮助系统来查看信息页。

25.1.9 使用 man 命令选择手册页

要阅读手册页,请输入 man MAN_PAGE。如果不同章节存在同名手册页,所有手册页都会带相应部分编号列出。选择要显示的一个手册页。如果在数秒内未输入部分编号,将显示第一个手册页。

要将此行为更改为默认系统行为,请在外壳初始化文件(如 ~/.bashrc)中设置 MAN_POSIXLY_CORRECT=1

25.1.10 GNU Emacs 的设置

GNU Emacs 是一个复杂的工作环境。下面几节介绍当启动 GNU Emacs 时处理的配置文件。有关详细信息,请参见 http://www.gnu.org/software/emacs/

启动时,Emacs 会读取包含用户、系统管理员和经销商的设置的多个文件以进行自定义或预配置。初始化文件 ~/.emacs 被安装到 /etc/skel 中各个用户的主目录中。.emacs 又会读取文件 /etc/skel/.gnu-emacs。要自定义程序,请(通过 cp /etc/skel/.gnu-emacs ~/.gnu-emacs)将 .gnu-emacs 复制到用户主目录并在那里进行所需的设置。

.gnu-emacs 将文件 ~/.gnu-emacs-custom 定义为 custom-file。如果用户通过 Emacs 中的 customize 选项进行设置,则这些设置将保存到 ~/.gnu-emacs-custom 中。

通过 SUSE Linux Enterprise Serveremacs 软件包将文件 site-start.el 安装在目录 /usr/share/emacs/site-lisp 中。文件 site-start.el 在初始化文件 ~/.emacs 之前进行装载。除其他作用之外,site-start.el 确保自动装载通过 Emacs 附加产品软件包分发的特殊配置文件(例如 psgml)。此类型的配置文件也位于 /usr/share/emacs/site-lisp 中,总是以 suse-start- 开头。本地系统管理员可以在 default.el 中指定整个系统范围的设置。

初始化文件下的 EMACS 信息文件中提供了有关这些文件的更多信息:info:/emacs/InitFile。此位置还提供了有关如何禁止装载这些文件(如果需要)的信息。

Emacs 的部件被分成多个软件包:

  • 基础软件包 emacs

  • emacs-x11(通常已安装):支持 X11 的程序。

  • emacs-nox不支持 X11 的程序。

  • emacs-info:info 格式的联机文档。

  • emacs-el:Emacs Lisp 中未编译的库文件。运行时不需要这些库文件。

  • 如果需要,可安装众多附加产品软件包:emacs-auctex (LaTeX)、psgml(SGML 和 XML)、gnuserv(客户端和服务器操作)等。

25.2 虚拟控制台

Linux 是一个多用户和多任务的系统。即使是在独立计算机系统上也可以感受到这些功能的好处。在文本方式下,提供了 6 个虚拟控制台。可以使用 AltF1AltF6 在这些控制台间切换。第 7 个控制台是为 X 保留的,而第 10 个控制台显示内核消息。

要从 x 切换到控制台而不将其关闭,请使用 CtrlAltF1CtrlAltF6。要返回到 X,请按 AltF7

25.3 键盘映射

为了标准化程序的键盘映射,对以下文件进行了更改:

/etc/inputrc
/etc/X11/Xmodmap
/etc/skel/.emacs
/etc/skel/.gnu-emacs
/etc/skel/.vimrc
/etc/csh.cshrc
/etc/termcap
/usr/share/terminfo/x/xterm
/usr/share/X11/app-defaults/XTerm
/usr/share/emacs/VERSION/site-lisp/term/*.el

这些更改只影响使用 terminfo 项的应用程序或其配置文件被直接更改(viless 等)的应用程序。不是系统附带的应用程序应该根据这些默认设置进行调整。

在 X 下,可以如 /etc/X11/Xmodmap 中所说明的启用 Compose 键(多键)。

可以通过“X 键盘扩展”(XKB) 进行进一步的设置。

提示
提示:更多信息

有关 XKB 的信息可以在 /usr/share/doc/packages/xkeyboard-configxkeyboard-config 软件包的一部分)所列的文档中找到。

25.4 语言和国家/地区特定的设置

该系统在很大程度上实现了国际化,可修改以满足本地需要。国际化 (I18N) 允许特定的本地化 (L10N)。I18N 和 L10N 这两个缩写词使用原单词的第一个和最后一个字母,中间的数字表示省略的字母数。

设置是通过文件 /etc/sysconfig/language 中定义的 LC_ 变量进行的。这不仅指本地语言支持,还指消息(语言)、字符集排序顺序时间和日期数字货币等类别。这些类别中的每一种都可以使用自己的变量直接定义,或使用 language 文件中的主变量间接定义(请参见 locale 手册页)。

变量列表
RC_LC_MESSAGESRC_LC_CTYPERC_LC_COLLATERC_LC_TIMERC_LC_NUMERICRC_LC_MONETARY

这些变量以不带 RC_ 前缀的形式传递到外壳,它们代表所列出的类别。下面列出了相关外壳配置文件。可以使用命令 locale 显示当前设置。

RC_LC_ALL

此变量(如果设置)将覆盖上述变量的值。

RC_LANG

如果未设置上述的任何变量,则这是后备变量。默认情况下,只设置 RC_LANG。这便于用户输入他们自己的值。

ROOT_USES_LANG

此变量可设置为 yesctype(默认值)。如果设置为 yesroot 将使用特定于语言和国家/地区的设置,否则系统管理员始终在 POSIX 环境中操作。

这些变量可通过 YaST sysconfig 编辑器进行设置。此类变量的值包含语言代码、国家/地区代码、编码和修饰符。各个组成部分之间通过特殊字符联接:

LANG=<language>[[_<COUNTRY>].<Encoding>[@<Modifier>]]

25.4.1 系统范围的区域设置

systemd 会在早期引导时读取 /etc/locale.conf。除非存在单独的设置,否则此文件中配置的区域设置将由每个服务或用户继承。

注意
注意:SUSE Linux Enterprise Server 下旧配置文件的行为

早期版本的 SUSE Linux Enterprise Server 会从 /etc/sysconfig/language/etc/sysconfig/keyboard/etc/sysconfig/console 读取区域设置。从 SUSE Linux Enterprise Server 15 GA 开始,这些文件被视为已过时。systemd 不再从这些文件读取设置。systemd 改为从 /etc/locale.conf 读取设置。

不过,仍将会使用 /etc/sysconfig/language 中定义的变量。这些变量会覆盖系统范围的区域设置,并可用于定义用户外壳的不同区域设置(请参见第 25.4.2 节 “一些示例”)。

要设置系统范围的区域设置,您可以采用以下其中一种方式:

  • /etc/locale.conf 中写入您的设置。每行指派一个环境类变量(有关变量列表,请参见 man 5 locale.conf):

    LANG=de_DE.UTF-8

    要微调设置,可以添加更多的变量(每行一个变量)。

  • 使用命令 localectl

    root # localectl set-locale LANG=de_DE.UTF-8

    同样,您也可以在 localectl set-locale 命令后面指定更多的变量。

在更新 systemd 软件包期间为了与旧系统保持向后兼容,上述所有变量都将从 sysconfig 迁移到其最终目标(如果尚未在这些目标中定义这些变量)。

25.4.2 一些示例

语言和国家/地区代码始终应该一起设置。语言设置遵循 ISO  639 标准(可从 http://www.evertype.com/standards/iso639/iso639-en.htmlhttp://www.loc.gov/standards/iso639-2/ 上获取)。国家/地区代码在 ISO 3166(参见 http://en.wikipedia.org/wiki/ISO_3166)中列出。

只有设置可以在 /usr/lib/locale 中找到其可用描述文件的值才有意义。可以在 /usr/share/i18n 中的文件中使用命令 localedef 创建其他说明文件。说明文件是 glibc-i18ndata 软件包的一部分。可以使用以下命令创建 en_US.UTF-8(用于英国英语和美国英语)的描述文件:

localedef -i en_US -f UTF-8 en_US.UTF-8
LANG=en_US.UTF-8

如果在安装过程中选择的是美国英语,则这是默认设置。如果选择了其他语言,则将支持该语言,但仍使用 UTF-8 作为字符编码。

LANG=en_US.ISO-8859-1

这会将语言设置为英语,将国家/地区设置为美国,将字符集设置为 ISO-8859-1。此字符集不支持欧元符号,但它有时可用于尚未进行更新以支持 UTF-8 的程序。随后,Emacs 等程序将对定义字符集的字符串(在本例中为 ISO-8859-1)进行求值。

LANG=en_IE@euro

上例将欧元符号显式包含在语言设置中。此设置现已过时,因为 UTF-8 也可涵盖欧元符号。仅当应用程序支持 ISO-8859-15 而不是 UTF-8 时,它才有用。

/etc/sysconfig/language 所做的更改将通过以下过程链来激活:

  • 对于 Bash:/etc/profile 读取 /etc/profile.d/lang.sh,后者则分析 /etc/sysconfig/language

  • 对于 tcsh:/etc/csh.login 在登录时读取 /etc/profile.d/lang.csh,后者则分析 /etc/sysconfig/language

这确保了对 /etc/sysconfig/language 所做的任何更改在下次登录到相应外壳时均可用,而无需手动将其激活。

用户可以通过相应地编译他们的 ~/.bashrc 覆盖系统默认值。例如,如果不想对程序消息使用系统范围的 en_US,请加入 LC_MESSAGES=es_ES,这样消息将以西班牙语显示。

25.4.3 ~/.i18n 中的区域设置

如果您对系统默认的区域设置不满意,请根据 Bash 脚本编写语法更改 ~/.i18n 中的设置。~/.i18n 中的项覆盖来自 /etc/sysconfig/language 中的系统默认值。使用相同的变量名称,但不使用 RC_ 名称空间前缀。例如,使用 LANG 而非 RC_LANG

LANG=cs_CZ.UTF-8
LC_COLLATE=C

25.4.4 语言支持的设置

消息类别中的文件通常只储存在对应的语言目录(例如 en)中以保留后备。如果将 LANG 设置为 en_US 并且 /usr/share/locale/en_US/LC_MESSAGES 中的消息文件不存在,则它将使用 /usr/share/locale/en/LC_MESSAGES

还可以定义后备语言,例如,将布列塔尼语作为法语的后备语言,将加利西亚语作为葡萄牙语的后备语言。

LANGUAGE="br_FR:fr_FR"

LANGUAGE="gl_ES:es_ES:pt_PT"

如果需要,可改用挪威语变体 Nynorsk 和 Bokmal(将其他后备语言设置为 no):

LANG="nn_NO"

LANGUAGE="nn_NO:nb_NO:no"

LANG="nb_NO"

LANGUAGE="nb_NO:nn_NO:no"

请注意,在挪威语中,LC_TIME 的处理方式也有所不同。

可能会出现一个问题,那就是无法正确识别用于分隔成组数位的分隔符。如果 LANG 设置为仅两个字母的语言代码(如 de),但使用的定义文件 glibc 位于 /usr/share/lib/de_DE/LC_NUMERIC,则将出现此问题。因此必须将 LC_NUMERIC 设置为 de_DE 以使系统能够识别出分隔符定义。

25.4.5 更多信息

  • GNU C 库参考手册》中的区域设置和国际化一章。它包含在软件包 glibc-info中。

  • Markus Kuhn 编写的 Unix/Linux 的 UTF-8 和 Unicode 常见问题解答,当前位于 https://www.cl.cam.ac.uk/~mgk25/unicode.html

26 使用 NetworkManager

NetworkManager 是用于便携式计算机和其他可移动计算机的理想解决方案。它支持网络连接的顶级加密类型和标准,包括 802.1x 保护的网络的连接。802.1X 是基于端口的网络访问控制的本地和城域网 IEEE 标准。使用 NetworkManager,您在外出时就不必顾虑网络接口的配置,以及在有线或无线网络之间切换的问题。NetworkManager 可自动连接到已知无线网络或并行管理多个网络连接 - 然后将最快的连接用作默认连接。而且,您还可手动在可用网络之间切换,并使用系统盘中的小程序管理网络连接。

不只可激活一个连接,也可同时激活多个。这样您可以将便携式计算机从以太网连接拔出后仍通过无线连接保持连接状态。

重要
重要:

只有安装了 SLED 扩展或 Workstation Extension 的 SUSE 桌面工作负载支持 NetworkManager。所有服务器认证都通过网络配置工具 wicked 来完成,使用 NetworkManager 可能会使它们失效。SUSE 服务器工作负载不支持 NetworkManager。

26.1 NetworkManager 的用例

NetworkManager 提供了完善且直观的用户界面,可使用户轻松地切换其网络环境。但是,在以下情况下,NetworkManager 解决方案不适用:

  • 您的计算机将为网络中的其他计算机(例如,DHCP 或 DNS 服务器)提供网络服务。

  • 您的计算机为 Xen 服务器或您的系统是 Xen 内的虚拟系统。

26.2 启用或禁用 NetworkManager

在便携式计算机上,默认情况下 NetworkManager 处于启用状态。但是,任何时候都可以在 YaST 网络设置模块中启用或禁用它。

  1. 运行 YaST,然后转到系统 ›  网络设置

  2. 将打开网络设置对话框。转到全局选项选项卡。

  3. 要通过 NetworkManager 配置和管理您的网络连接,请执行以下操作:

    1. 网络设置方法字段中选择通过 NetworkManager 的用户控制方法

    2. 单击确定并关闭 YaST。

    3. 按照第 26.3 节 “配置网络连接”中所述通过 NetworkManager 配置您的网络连接。

  4. 停用 NetworkManager 并使用您自己的配置控制网络:

    1. 网络设置方法字段中选择通过 wicked 进行控制

    2. 单击确定

    3. 通过 YaST 设置您的网卡,即通过 DHCP 或静态 IP 地址进行自动配置。

      第 19.4 节 “使用 YaST 配置网络连接”中提供了使用 YaST 进行网络配置的详细说明。

26.3 配置网络连接

在 YaST 中启用 NetworkManager 后,使用 GNOME 中提供的 NetworkManager 前端配置网络连接。它会显示所有网络连接类型对应的选项卡,例如有线、无线、移动宽带、DSL 和 VPN 连接。

提示
提示:NetworkManager 连接编辑器

在以前的 SUSE Linux Enterprise Server 版本中,通过 NetworkManager 连接编辑器应用程序来配置网络连接。现在默认已不再安装此应用程序,因为 GNOME 控制中心已完全取代了其配置功能。

如果您仍需使用 NetworkManager 连接编辑器来配置网络连接,请手动安装 NetworkManager-connection-editor 软件包:

tux > sudo zypper install NetworkManager-connection-editor

要在 GNOME 中打开网络配置对话框,请通过状态菜单打开设置菜单,然后单击网络项。

注意
注意:选项的可用性

根据您的系统设置,可能不允许您配置连接。在安全环境中,某些选项可能会被锁定或需要 root 权限。请咨询系统管理员以了解细节。

GNOME 网络连接对话框
图 26.1︰ GNOME 网络连接对话框
过程 26.1︰ 添加和编辑连接
  1. 打开 NetworkManager 配置对话框。

  2. 添加连接:

    1. 单击左下角的 + 图标。

    2. 选择首选连接类型并按照指示操作。

    3. 完成后,单击添加

    4. 确认您的更改后,新配置的网络连接即会出现在“状态菜单”中的可用网络列表内。

  3. 编辑连接:

    1. 选择要编辑的项目。

    2. 单击齿轮图标打开连接设置对话框。

    3. 插入您的更改,然后单击应用保存更改。

    4. 要让您的连接可用作系统连接,请转到身份选项卡,选中复选框可用于其他用户。有关用户和系统连接的详细信息,请参见第 26.4.1 节 “用户和系统连接”

26.3.1 管理有线网络连接

如果您的计算机连接的是有线网络,请使用 NetworkManager 小程序管理连接。

  1. 打开“状态菜单”,然后单击有线以更改连接细节或将其关闭。

  2. 要更改设置,请单击有线设置,然后单击齿轮图标。

  3. 要关闭所有网络连接,请激活飞行模式设置。

26.3.2 管理无线网络连接

可见的无线网络在无线网络下的 GNOME NetworkManager 小程序菜单中列出。每个网络的信号强度也会显示在菜单中。加密无线网络是用保护物图标标记的。

过程 26.2︰ 连接到可见无线网络
  1. 要连接可见无线网络,请打开“状态菜单”然后单击 Wi-Fi

  2. 单击开启将其启用。

  3. 单击选择网络,选择 Wi-Fi 网络然后单击连接

  4. 如果网络已加密,一个配置对话框将会打开。其中会显示网络使用的加密类型以及用于输入登录凭证的文本框。

过程 26.3︰ 连接到不可见无线网络
  1. 要连接到未广播其服务集标识符(SSID 或 ESSID)因而无法自动检测到的网络,请打开“状态菜单”,然后单击 Wi-Fi

  2. 单击 Wi-Fi 设置打开详细设置菜单。

  3. 确保您的 Wi-Fi 处于启用状态,然后单击连接到隐藏网络

  4. 在打开的对话框中的网络名称中输入 SSID 或 ESSID,并视需要设置加密参数。

显式选中的无线网络将尽可能始终保持连接。如果在此期间插入网线,则会连接任何设置为尽可能保持连接的连接,而无线连接也会保持连接状态。

26.3.3 将 Wi-Fi/蓝牙网卡配置为接入点

如果您的 Wi-Fi/蓝牙网卡支持接入点模式,则可以使用 NetworkManager 进行配置。

  1. 打开“状态菜单”,然后单击 Wi-Fi

  2. 单击 Wi-Fi 设置打开详细设置菜单。

  3. 单击用作热点并按照指示操作。

  4. 使用随后出现的对话框中显示的身份凭证来连接远程计算机的热点。

26.3.4 NetworkManager 和 VPN

NetworkManager 支持多种虚拟专用网 (VPN) 技术。对于每种技术,SUSE Linux Enterprise Server 都随附了提供 NetworkManager 常规支持的基础软件包。此外,还需要为您的小程序安装特定于桌面的软件包。

OpenVPN

要使用此 VPN 技术,请安装:

  • NetworkManager-openvpn

  • NetworkManager-openvpn-gnome

OpenConnect

要使用此 VPN 技术,请安装:

  • NetworkManager-openconnect

  • NetworkManager-openconnect-gnome

PPTP(点对点隧道协议)

要使用此 VPN 技术,请安装:

  • NetworkManager-pptp

  • NetworkManager-pptp-gnome

以下过程介绍如何使用 NetworkManager 将您的计算机设置为 OpenVPN 客户端。设置其他类型 VPN 的过程与此类似。

开始之前,请确保软件包 NetworkManager-openvpn-gnome 已安装,并且所有依赖项均已解析。

过程 26.4︰ 使用 NetworkManager 设置 OpenVPN
  1. 依次单击位于面板右端的状态图标和扳手和螺丝刀图标,打开应用程序设置。在所有设置窗口中,选择网络

  2. 单击 + 图标。

  3. 依次选择 VPNOpenVPN

  4. 选择身份验证类型。根据 OpenVPN 服务器的设置,选择证书 (TLS)口令和证书 (TLS)

  5. 将所需的值插入到相应文本框中。对于我们的示例配置,值如下所示:

    网关

    VPN 服务器的远程端点

    用户名

    用户(仅当选择了口令和证书 (TLS) 时才可用)

    口令

    用户口令(仅当选择了口令和证书 (TLS) 时才可用)

    用户证书

    /etc/openvpn/client1.crt

    CA 证书

    /etc/openvpn/ca.crt

    私用密钥

    /etc/openvpn/client1.key

  6. 单击添加完成配置。

  7. 要启用连接,请在设置应用程序的网络面板中,单击切换按钮。也可以单击位于面板右端的状态图标,然后依次单击您的 VPN 名称和连接

26.4 NetworkManager 和安全性

NetworkManager 将无线连接分为可信和不可信两种类型。可信连接是您过去明确选择的任何网络。所有其他连接均为不可信连接。可信连接用接入点的名称和 MAC 地址识别。使用 MAC 地址可以确保带有可信连接名称的不同接入点不可使用。

NetworkManager 会定期扫描是否存在可用的无线网络。如果找到多个可信网络,则自动选择最近使用的可信网络。如果所有网络均不可信,NetworkManager 将等待您做出选择。

如果加密设置改变,但名称和 MAC 地址不变,则 NetworkManager 将尝试连接,但首先会要求您确认新的加密设置并提供所有更新(如新密钥)。

如果您从使用无线连接切换到脱机模式,则 NetworkManager 会将 SSID 或 ESSID 设为空白。这可以确保断开网卡连接。

26.4.1 用户和系统连接

NetworkManager 可识别两种类型的连接:用户连接和系统连接。

用户连接需要在 NetworkManager 中对每个用户进行身份验证,之后会将用户的身份凭证储存在其本地 GNOME 密钥环中,因而用户就不必在每次连接时重新输入其身份凭证。

系统连接自动对所有用户可用。创建该连接的第一个用户需输入所有必要的身份凭证,然后,其他所有用户无需知道身份凭证即可拥有访问权限。配置用户连接与配置系统连接的区别仅在于是否选中复选框可供其他用户使用。有关如何用 NetworkManager 配置用户连接或系统连接的信息,请参见第 26.3 节 “配置网络连接”

26.4.2 储存口令和身份凭证

如果不想每次连接到加密网络时都要再次输入身份凭证,则可以使用 GNOME 密钥环管理器将身份凭证加密存储在磁盘上,并用主密码保护。

26.4.3 防火墙区域

NetworkManager 中的 firewalld 区域
图 26.2︰ NetworkManager 中的 firewalld 区域

防火墙区域设置有关允许哪些网络连接的一般规则。要为有线连接配置 firewalld 的区域,请转至连接设置的身份选项卡。要为 WiFi 连接配置 firewalld 的区域,请转至连接设置的安全性选项卡。

如果您位于家庭网络中,请使用 home 区域。如果使用的是公共无线网络,请切换到 public。如果您位于安全的环境中并想要允许所有连接,请使用 trusted 区域。

有关 firewalld 的细节,请参见Book “安全和强化指南”, Chapter 24 “掩蔽和防火墙”, Section 24.4 “firewalld

26.5 常见问题解答

下面是关于使用 NetworkManager 配置特殊网络选项的一些常见问题。

1. 如何将连接绑定到特定设备?

默认情况下,NetworkManager 中的连接是特定于设备类型的:它们适用于同一类型的所有物理设备。如果每个连接类型有多台物理设备可用(例如您的计算机装有两块以太网卡),您可以将一个连接绑定到特定设备。

要在 GNOME 中执行此操作,请先查找设备的 MAC 地址(使用小程序中提供的连接信息,或者使用 nm-toolwicked show all 等命令行工具的输出)。然后启动配置网络连接的对话框,选择您要修改的连接。在有线无线选项卡上,输入设备的 MAC 地址,并确认更改。

2. 如果检测到同一 ESSID 有多个接入点,如何指定特定接入点?

当有不同无线波段 (a/b/g/n) 的多个接入点时,默认情况下会自动选择信号最强的接入点。要覆盖此值,配置无线连接时请使用 BSSID 字段。

基本服务集标识 (BSSID) 可唯一标识每个基本服务集。在基础结构基本服务集中,BSSID 是无线接入点的 MAC 地址。在独立(特别)基本服务集中,BSSID 是本地管理的 MAC 地址(从 46 位数字随机生成)。

第 26.3 节 “配置网络连接” 中所述启动配置网络连接的对话框。选择要修改的无线连接,然后单击编辑。在无线选项卡上,输入 BSSID。

3. 如何与其他计算机共享网络连接?

主设备(连接到互联网的设备)不需要任何特殊配置。但是,需要如下配置连接到本地集线器或计算机的设备:

  1. 第 26.3 节 “配置网络连接” 中所述启动配置网络连接的对话框。选择要修改的连接,然后单击编辑。切换到 IPv4 设置选项卡,并激活方法下拉框中的共享给其他计算机。这将启用 IP 通讯转发并运行该设备上的 DHCP 服务器。确认在 NetworkManager 中所做更改。

  2. 由于 DCHP 服务器使用端口 67,请确保该端口没有被防火墙阻止:在共享连接的计算机上,启动 YaST 并选择安全和用户 ›  防火墙。切换到允许的服务类别。如果 DHCP 服务器尚未显示为允许的服务,请从待允许的服务中选择 DHCP 服务器,然后单击添加。确认在 YaST 中所做更改。

4. 如何对自动(DHCP、PPP、VPN)地址提供静态 DNS 信息?

如果 DHCP 服务器提供无效的 DNS 信息(和/或路由),则可以覆盖它。如第 26.3 节 “配置网络连接” 中所述启动配置网络连接的对话框。选择要修改的连接,然后单击编辑。切换到 IPv4 设置选项卡,并激活方法下拉框中的仅自动 (DHCP) 地址。在 DNS 服务器搜索域字段中输入 DNS 信息。要忽略自动取得的路由,请单击路由,然后激活相应的复选框。确认更改。

5. 如何在用户登录之前将 NetworkManager 连接到受口令保护的网络?

定义可以用于此类用途的系统连接。有关详细信息,请参见第 26.4.1 节 “用户和系统连接”

26.6 查错

可能出现连接问题。与 NetworkManager 相关的一些常见问题包括小程序不启动或缺少 VPN 选项。解决方法和预防这些问题的方法随使用的工具而定。

NetworkManager 桌面小程序不启动

如果设置了 NetworkManager 控制的网络,小程序会自动启动。如果小程序未启动,请按照第 26.2 节 “启用或禁用 NetworkManager”中所述检查是否在 YaST 中启用了 NetworkManager。然后,请确保 NetworkManager-gnome 软件包也已安装。

如果该桌面小程序已安装但由于某些原因没有运行,请用命令 nm-applet 手动启动它。

NetworkManager 小程序未包含 VPN 选项

对 NetworkManager 的支持、小程序以及适用于 NetworkManager 的 VPN 已在不同的软件包中分发。如果 NetworkManager 小程序不包括 VPN 选项,请检查带有 NetworkManager 支持的 VPN 技术的软件包是否已经安装。有关详细信息,请参见第 26.3.4 节 “NetworkManager 和 VPN”

没有可用的网络连接

如果您已正确配置网络连接并且网络连接的所有其他组件(路由器等等)也已启动并在正常运行,则重启动计算机上的网络接口有时可能有帮助。要实现此目的,请以 root 身份登录到命令行,然后运行 systemctl restart wicked

26.7 更多信息

可在以下网站和目录中找到有关 NetworkManager 的更多信息:

NetworkManager 项目页

https://gitlab.freedesktop.org/NetworkManager/NetworkManager

软件包文档

还可以在以下目录中找到有关 NetworkManager 和 GNOME 小程序的最新信息:

  • /usr/share/doc/packages/NetworkManager/,

  • /usr/share/doc/packages/NetworkManager-gnome/

27 电源管理

IBM Z 本章介绍的功能和硬件在 IBM Z 中不存在,因此本章内容与这些平台无关。

电源管理对于便携式计算机特别重要,但对于其他系统也是有用的。ACPI(高级配置和电源接口)在所有通用计算机(便携式计算机、台式机和服务器)上都可用。电源管理技术需要合适的硬件和 BIOS 例程。大多数便携式计算机、许多目前的台式机和服务器都符合这些要求。还可以通过控制 CPU 频率调节以达到省电或降低噪音的目的。

27.1 省电功能

省电功能不仅对便携式计算机的移动使用很重要,而且对台式机系统也很重要。ACPI 中的主要功能和它们的用法为:

待机

不支持。

暂停(到内存)

此方式将整个系统状态写入 RAM。随后,除 RAM 外,整个系统都进入休眠状态。在此状态下,计算机消耗的电量非常少。此状态的优点是无需引导和重启动应用程序就可以在数秒内将工作恢复到原来的进度。此功能对应于 ACPI 状态 S3

休眠(暂停到磁盘)

在此运行方式下,将整个系统状态写入硬盘并关闭系统电源。至少要有一个像 RAM 一样大的交换分区才能写入所有活动的数据。从该状态重激活大约需要 30 至 90 秒的时间。将恢复到暂停之前的状态。某些制造商提供这种方式的有用的混合变体(例如 IBM Thinkpad 中的 RediSafe)。对应的 ACPI 状态是 S4。在 Linux 中,由独立于 ACPI 的内核例程执行暂挂到磁盘。

注意
注意:通过 mkswap 格式化时更改了交换分区的 UUID

如果可能,请不要使用 mkswap 重新设置现有交换分区的格式。使用 mkswap 重新设置格式将会更改交换分区的 UUID 值。请通过 YaST 重新设置格式(如此将更新 /etc/fstab),或者手动调整 /etc/fstab

电池监视

ACPI 检查电池充电状态并提供相关信息。另外,当达到临界电量状态时,它将协调要执行的操作。

自动关闭电源

关闭后,将关闭计算机的电源。当在电池电量用完前立即执行自动关闭时,此功能特别重要。

处理器速度控制

在 CPU 方面,有三种方法可以节省电能:频率和电压调节(也称为 PowerNow! Speedstep)、限制和使处理器进入休眠 (C-state)。根据计算机的运行方式,还可以将这三种方法结合起来使用。

27.2 高级配置和电源接口 (ACPI)

ACPI 旨在支持操作系统设置和控制各个硬件组件。ACPI 取代即插即用电源管理 (PnP) 和高级电源管理 (APM)。它提供有关电池、AC 适配器、温度、风扇和系统事件(例如合上机盖电池电量低)的信息。

BIOS 提供包含有关各个部件和硬件访问方法信息的表。操作系统使用这些信息执行指派中断或激活和停用部件等任务。因为操作系统执行 BIOS 中储存的命令,所以功能取决于 BIOS 实施。journald 中报告了 ACPI 能够检测并装载的表。有关查看日志日志消息的更多信息,请参见第 17 章 “journalctl:查询 systemd 日志。有关对 ACPI 问题进行故障诊断的详细信息,请参见第 27.2.2 节 “查错”

27.2.1 控制 CPU 性能

CPU 可以采用三种节能方法:

  • 频率和电压调节

  • 限制时钟频率 (T-state)

  • 使处理器进入休眠 (C-state)

根据计算机的运行方式,还可以将这三种方法结合起来使用。省电还意味着系统温度不会升得过高并且激活风扇的频率会降低。

仅当处理器忙时,才需要进行频率调节和限制,这是因为当处理器处于空闲状态时总是会应用最经济的 C-state。如果 CPU 忙,则建议采用的省电方法是频率调节。处理器经常只在部分负载的状态下工作。在这种情况下,可以以较低的频率运行。通常,最佳方法是由内核按需调节器控制动态频率调节。

节流应作为最后没有办法时采用的方法,例如,虽然系统负载很高,但为延长电池工作时间而采用节流。但是,如果节流程度过高,某些系统将不会正常运行。此外,如果 CPU 处理的任务量很少,则 CPU 节流就没什么作用。

有关详细信息,请参见Book “系统分析和微调指南”, Chapter 11 “电源管理”

27.2.2 查错

问题有两种不同的类型。一种是内核的 ACPI 代码可能包含未及时检测出的错误。在这种情况下,可以通过下载获得解决方案。更多情况下,问题是由 BIOS 引起的。有时,会故意将一些不符合 ACPI 规范的配置集成在 BIOS 中,用于避免其他常用操作系统中 ACPI 实施的错误。在 ACPI 实施中有严重错误的硬件部件会被记录在一个黑名单中,防止 Linux 内核对这些部件使用 ACPI。

在遇到问题时,首先要做的是更新 BIOS。如果计算机未引导,使用以下引导参数之一可能会解决问题:

pci=noacpi

不使用 ACPI 配置 PCI 设备。

acpi=ht

只执行简单的资源配置。不要将 ACPI 用于其他目的。

acpi=off

禁用 ACPI。

警告
警告:不使用 ACPI 引导会出现问题

某些较新的计算机(特别是 SMP 系统和 AMD64 系统)需要 ACPI 以正确配置硬件。在这些计算机上,禁用 ACPI 可能会产生问题。

有时,计算机会对通过 USB 或 FireWire 挂接的硬件感到困惑。如果一台计算机拒绝引导,请拔下所有不需要的硬件,然后再次重试。

引导后,使用命令 dmesg -T | grep -2i acpi 来监视系统的引导消息(或所有消息,因为问题也可能是 ACPI 以外的因素所导致)。如果在分析 ACPI 表时出错,则最重要的表 DSDT(区分系统描述表)可替换为改进的版本。在这种情况下,将忽略 BIOS 中有问题的 DSDT。第 27.4 节 “查错”中对这一过程进行了介绍。

在内核配置中,可以使用开关来激活 ACPI 调试消息。如果编译和安装的是带有 ACPI 调试功能的内核,则会显示详细信息。

如果遇到 BIOS 或硬件问题,则最好与制造商联系。特别是如果制造商不常对 Linux 提供支持,他们就应该面对这些问题。只有在制造商意识到有很多客户在使用 Linux 时,他们才会重视这一问题。

27.2.2.1 更多信息

27.3 硬盘的休眠

在 Linux 中,如果不使用硬盘,则可以使硬盘完全进入休眠状态,或者在更经济或更安静的方式下运行。在目前的便携式计算机上,您无需手动关闭硬盘,因为硬盘会在不运行时自动进入经济的运行方式。但是,如果要最大程度地节能,请使用 hdparm 命令测试以下某些方法。

它可用于修改各种磁盘设置。选项 -y 将硬盘立即切换到待机方式。-Y 会使其进入休眠状态。hdparm -S X 会使硬盘在一段时间未活动后运行速度减慢。使用以下值替换 X0 表示禁用此机制,会使硬盘持续运行。值 1240 表示的时间为所选的值乘以 5 秒。值 241251 对应的时间分别是 30 分钟的 1 到 11 倍。

使用选项 -B 可以控制硬盘的内部省电选项。在 0255 之间选择一个值,0 表示最大省电方式,255 表示最大吞吐量方式。结果取决于所使用的硬盘,难以估算。要让硬盘安静一些,请使用选项 -M。在 128254 之间选择一个值,128 表示最安静,254 表示速度最快。

通常,让硬盘进入休眠状态并不容易。在 Linux 中,大量的进程对硬盘执行写操作,因而会经常将其唤醒。因此,一定要了解 Linux 如何处理需要写入硬盘的数据。首先,在 RAM 中对所有数据进行缓冲。此缓冲区由 pdflush 守护程序监视。当数据达到一定的有效期限制或缓冲区已被填充到一定程度时,就会清理缓冲区,将其中的内容写入硬盘。缓冲区大小是动态的,取决于内存的大小和系统负载。默认情况下,将 pdflush 设置为较短的时间间隔可以获得最好的数据完整性。它会每 5 秒钟检查一次缓冲区并将数据写入硬盘。以下变量很有用:

/proc/sys/vm/dirty_writeback_centisecs

包含截至 pdflush 线程唤醒的延迟(以百分之一秒为单位)。

/proc/sys/vm/dirty_expire_centisecs

定义一个时间范围,最晚应在该时间之后写入未写入页。默认值是 3000,表示 30 秒。

/proc/sys/vm/dirty_background_ratio

pdflush 开始写入未写入页之前未写入页的最大百分比。默认值是 5%。

/proc/sys/vm/dirty_ratio

当未写入页超出总内存的此百分比后,将强制进程在其时间间隔期间写入未写入缓冲区,而不是继续写入。

警告
警告:数据完整性风险

pdflush 守护程序设置进行更改可能会损害数据完整性。

除了这些进程之外,BtrfsExt3Ext4 等日志文件系统会独立于 pdflush 写入它们的元数据,这也会妨碍硬盘降速。

另一个重要因素是活动程序的行为方式。例如,好的编辑器会定期将当前已修改文件的隐藏备份写入硬盘,而这会唤醒磁盘。可以禁用此类功能,但这会影响数据的完整性。

在此连接中,邮件守护程序 postfix 使用变量 POSTFIX_LAPTOP。如果将此变量设为 yes,则 postfix 访问硬盘的频率将显著降低。

27.4 查错

所有错误消息和警报都记录在系统日志中,您可使用 journalctl 命令来查询该日志(有关详细信息,请参见第 17 章 “journalctl:查询 systemd 日志)。以下几个部分介绍最常见的问题。

27.4.1 CPU 频率功能不工作

请参见内核源以确认是否支持您的处理器。您可能需要特殊内核模块或模块选项来激活 CPU 频率控制。如果安装了 kernel-source 软件包,则在 /usr/src/linux/Documentation/cpu-freq/* 中可找到此信息。

28 持久内存

本章包含有关使用配备非易失性主内存的 SUSE Linux Enterprise 的附加信息。此类内存称为持久内存,由一个或多个 NVDIMM 构成。

28.1 简介

持久内存是一种新型的计算机储存,其速度接近动态 RAM (DRAM),但同时具备 RAM 的按字节寻址能力以及固态硬盘 (SSD) 的性能。

SUSE 目前支持在采用 AMD64/Intel 64 和 POWER 体系结构的计算机上,对 SUSE Linux Enterprise Server 使用持久性内存。

与传统的 RAM 一样,持久性内存直接安装在主板上的内存插槽中。因此,它的物理外形规格与 RAM 相同,以 DIMM 的形式提供。这些内存称为 NVDIMM:非易失性双列直插式内存模块。

不过,与 RAM 不同,持久内存在多个方面类似于基于闪存的 SSD。后两者采用固态内存电路的形式,但除此之外,两者都提供非易失性储存:系统断电或者重启动后,内存中的内容会得到保留。使用这两种媒体时,写入数据的速度比读取数据要慢;两者都支持有限的重新写入周期数。最后,与 SSD 一样,如果在特定的应用方案中更适合对持久内存进行扇区级别的访问,则也可以这样做。

不同的型号使用不同形式的电子储存媒体,例如 Intel 3D XPoint,或者将 NAND 闪存与 DRAM 结合使用。另外,行业正在开发新形式的非易失性 RAM。这意味着,不同的供应商和 NVDIMM 型号会提供不同的性能和持久性特征。

由于涉及的储存技术处于早期开发阶段,不同供应商的硬件可能会施加不同的限制。因此,以下叙述适用于一般性的场合。

持久内存的速度最多比 DRAM 要慢 10 倍,但比闪存要快大约 1000 倍。可在其中按字节重新写入数据,而不像在闪存中一样,需要擦除整个扇区,然后重新写入数据。最后,尽管重新写入周期数有限,但大部分形式的持久内存可以应对数百万次重新写入,相比之下,闪存只能应对数千个周期。

这会产生两种重要后果:

  • 使用最新的技术无法运行仅包含持久内存的系统,因此无法实现完全非易失性的主内存。必须混合使用传统的 RAM 和 NVDIMM。操作系统和应用程序将在传统的 RAM 中执行,而 NVDIMM 可提供极速的补充性储存。

  • 由于不同供应商的持久内存的性能特征不同,程序员可能需要考虑到特定服务器中 NVDIMM 的硬件规格,包括 NVDIMM 的数量,以及它们可以挂载到哪些内存插槽。显然,这会对超级管理程序的使用、不同主机之间的软件迁移等造成影响。

ACPI 标准版本 6 中定义了此新型储存子系统。但是,libnvdimm 支持该标准颁布之前的 NVDIMM,可以相同的方式使用这些内存。

28.2 术语

区域

区域是持久内存中可划分为一个或多个名称空间的块。如果不事先将某个区域分配到名称空间,则您无法访问该区域的持久内存。

名称空间

非易失性储存的单个连续寻址范围,相当于 NVM Express SSD 的名称空间,或 SCSI 逻辑单元 (LUN)。名称空间作为单独的块设备显示在服务器的 /dev 目录中。根据所需的访问方法,名称空间可将多个 NVDIMM 中的储存合并成较大的卷,或者允许将这些储存分区成较小的卷。

模式

每个名称空间还具有一种模式,该模式定义要为该名称空间启用哪些 NVDIMM 功能。同一父区域的同级名称空间始终具有相同的类型,但可将其配置为使用不同的模式。名称空间模式包括:

devdax

设备 DAX 模式。创建单字符设备文件 (/dev/daxX.Y )。需要创建文件系统。

fsdax

文件系统 DAX 模式。如果未指定其他模式,则使用默认值。创建块设备 (/dev/pmemX [.Y]),支持将 DAX 用于 ext4XFS

扇区

适用于不执行元数据校验和计算的传统文件系统。适用于小型引导卷。与其他操作系统兼容。

raw

不包含卷标或元数据的内存磁盘。不支持 DAX。与其他操作系统兼容。

注意
注意

SUSE 不支持 raw 模式。无法在 raw 名称空间中挂载文件系统。

类型

每个名称空间和区域都有一种类型,该类型定义如何访问与该名称空间或区域关联的持久内存。名称空间的类型始终与其父区域的类型相同。有两种不同的类型:“持久内存”(可通过两种不同的方式进行配置),以及已弃用的“块模式”。

持久内存 (PMEM)

与 RAM 一样,PMEM 储存提供字节级别的访问。使用 PMEM 时,单个名称空间可以包含多个交错式的 NVDIMM,使这些 NVDIMM 都可用作单个设备。

可通过两种方式来配置 PMEM 名称空间。

将 PMEM 与 DAX 搭配使用

为 Direct Access (DAX) 配置 PMEM 名称空间后,访问内存时会绕过内核的页面缓存,并直接进入媒体。软件可以单独直接读取或写入该名称空间的每个字节。

使用块转换表 (BTT) 的 PMEM

与在传统的磁盘驱动器中一样,将按扇区访问配置为以 BTT 模式运行的 PMEM 名称空间,而不是像在 RAM 中一样采用按字节寻址的模式。某个转换表机制会将访问活动批处理成扇区大小的单元。

BTT 的优点是具有数据保护功能。该储存子系统可确保完全写入底层媒体的每个扇区。如果某个扇区无法完全写入(即,如果写入操作由于某个原因失败),整个扇区将会回滚到其原先的状态。因此,无法在给定的扇区中进行部分写入。

此外,对 BTT 名称空间的访问会由内核缓存。

缺点在于,BTT 名称空间不支持 DAX。

块模式 (BLK)

块模式储存将每个 NVDIMM 作为独立的设备进行寻址。此模式已遭弃用,且不再受支持。

devdax 名称空间以外,其他所有类型也必须使用文件系统格式化,如同使用传统的驱动器一样。SUSE Linux Enterprise Server 支持将 ext2ext4XFS 文件系统用于此目的。

直接访问 (DAX)

DAX 允许将持久内存直接映射成进程的地址空间(例如,使用 mmap 系统调用进行映射)。

DIMM 物理地址 (DPA)

在单个 DIMM 的内存中充当偏移量的内存地址;即,在该 DIMM 中充当最低可寻址字节的从零开始的地址。

标签

储存在 NVDIMM 中的元数据,例如名称空间定义。可以使用 DSM 访问这些数据。

设备特定的方法 (DSM)

用于访问 NVDIMM 中的固件的 ACPI 方法。

28.3 使用案例

28.3.1 将 PMEM 与 DAX 搭配使用

必须注意,这种形式的内存访问不是事务性的。如果发生断电或其他系统故障,数据可能不会完全写入到储存中。仅当应用程序可以处理部分写入数据的情况时,PMEM 储存才适用。

28.3.1.1 可受益于较大字节可寻址储存量的应用程序

如果服务器托管的某个应用程序可按字节直接使用较大的快速储存量,则程序员可以使用 mmap 系统调用,将持久内存块直接放入该应用程序的地址空间,而无需使用任何附加的系统 RAM。

28.3.1.2 避免使用内核页面缓存

如果您想要节省用于页面缓存的 RAM,而不希望将 RAM 分配给应用程序,请避免使用内核页面缓存。例如,可以专门使用非易失性内存来保存虚拟机 (VM) 映像。由于这些映像不会缓存,因此可以减少主机上的缓存使用量,从而可在每台主机上配置更多的 VM。

28.3.2 将 PMEM 与 BTT 搭配使用

当您想要使用一组 NVDIMM 中的持久内存作为类似于磁盘的极速储存池时,此方法非常有用。例如,将文件系统日志置于使用 BTT 的 PMEM 上,可以提升在发生电源故障或其他突发性中断后所执行文件系统恢复的可靠性(请参见第 28.5.3 节 “创建使用 BTT 的 PMEM 名称空间”)。

对于应用程序而言,此类设备仅显示为极速 SSD,并可像其他任何储存设备一样供您使用。例如,LVM 可以分布在持久内存的顶层,像平时一样正常工作。

BTT 的优点在于可以保证扇区写入的原子性,因此,即使是依赖于数据完整性的复杂应用程序也能保持正常工作。可通过标准的错误报告通道来运行媒体错误报告。

28.4 用于管理持久内存的工具

要管理持久内存,必须安装 ndctl 软件包。安装此软件包也会安装 libndctl 软件包,后者提供一组用户空间库用于配置 NVDIMM。

这些工具通过 libnvdimm 库运行。该库支持三种类型的 NVDIMM:

  • PMEM

  • BLK

  • 同步 PMEM 和 BLK。

ndctl 实用程序提供一系列有用的手册页。可使用以下命令访问这些页面:

tux > ndctl help subcommand

要查看可用子命令的列表,请使用:

tux > ndctl --list-cmds

可用的子命令包括:

version

显示 NVDIMM 支持工具的当前版本。

enable-namespace

使指定的名称空间可供使用。

disable-namespace

阻止使用指定的名称空间。

create-namespace

从指定的储存设备创建新的名称空间。

destroy-namespace

去除指定的名称空间。

enable-region

使指定的区域可供使用。

disable-region

阻止使用指定的区域。

zero-labels

擦除设备中的元数据。

read-labels

检索指定设备的元数据。

list

显示可用的设备。

help

显示有关工具用法的信息。

28.5 设置持久内存

28.5.1 查看可用的 NVDIMM 储存

可以使用 ndctl list 命令列出系统中所有可用的 NVDIMM。

在以下示例中,系统包含三个 NVDIMM,这些 NVDIMM 位于单个三通道交错集内。

root # ndctl list --dimms

[
 {
  "dev":"nmem2",
  "id":"8089-00-0000-12325476"
 },
 {
  "dev":"nmem1",
  "id":"8089-00-0000-11325476"
 },
 {
  "dev":"nmem0",
  "id":"8089-00-0000-10325476"
 }
]

如果结合不同的参数,ndctl list 还可以列出可用的区域。

注意
注意

区域可能不会按数字顺序显示。

请注意,尽管只有三个 NVDIMM,但它们却显示为四个区域。

root # ndctl list --regions

[
 {
  "dev":"region1",
  "size":68182605824,
  "available_size":68182605824,
  "type":"blk"
 },
 {
  "dev":"region3",
  "size":202937204736,
  "available_size":202937204736,
  "type":"pmem",
  "iset_id":5903239628671731251
  },
  {
   "dev":"region0",
   "size":68182605824,
   "available_size":68182605824,
   "type":"blk"
  },
  {
   "dev":"region2",
   "size":68182605824,
   "available_size":68182605824,
   "type":"blk"
  }
]

空间以两种不同的形式显示:三个 BLK 类型的独立 64 GB 区域,或者一个 PMEM 类型的合并 189 GB 区域,后者将三个交错式 NVDIMM 中的所有空间表示为单个卷。

请注意,available_size 的显示值与 size 的显示值相同。这意味着尚未分配任何空间。

28.5.2 将储存配置为使用 DAX 的单个 PMEM 名称空间

第一个示例将三个 NVDIMM 配置成使用 Direct Access (DAX) 的单个 PMEM 名称空间。

第一个步骤是创建新的名称空间。

root # ndctl create-namespace --type=pmem --mode=fsdax --map=memory
{
 "dev":"namespace3.0",
 "mode":"memory",
 "size":199764213760,
 "uuid":"dc8ebb84-c564-4248-9e8d-e18543c39b69",
 "blockdev":"pmem3"
}

这会创建支持 DAX 的块设备 /dev/pmem3。设备名称中的 3 继承自父区域编号(在本例中为 region3)。

--map=memory 选项从 NVDIMM 中设置出一部分 PMEM 储存空间,以便可以使用这些空间来分配称作结构页面的内部内核数据结构。这样,便可以将新的 PMEM 名称空间与 O_DIRECT I/ORDMA 等功能搭配使用。

最终 PMEM 名称空间的容量之所以小于父 PMEM 区域,是因为有一部分持久内存预留给了内核数据结构。

接下来,我们校验新的块设备是否可用于操作系统:

root # fdisk -l /dev/pmem3
Disk /dev/pmem3: 186 GiB, 199764213760 bytes, 390164480 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes

与其他任何驱动器一样,在使用该设备之前,必须先将其格式化。在本示例中,我们使用 XFS 将其格式化:

root # mkfs.xfs /dev/pmem3
meta-data=/dev/pmem3      isize=256    agcount=4, agsize=12192640 blks
         =                sectsz=4096  attr=2, projid32bit=1
         =                crc=0        finobt=0, sparse=0
data     =                bsize=4096   blocks=48770560, imaxpct=25
         =                sunit=0      swidth=0 blks
naming   =version 2       bsize=4096   ascii-ci=0 ftype=1
log      =internal log    bsize=4096   blocks=23813, version=2
         =                sectsz=4096  sunit=1 blks, lazy-count=1
realtime =none            extsz=4096   blocks=0, rtextents=0

接下来,可将新的驱动器挂载到某个目录:

root # mount -o dax /dev/pmem3 /mnt/pmem3

然后,可以校验是否获得了一个支持 DAX 的设备:

root # mount | grep dax
/dev/pmem3 on /mnt/pmem3 type xfs (rw,relatime,attr2,dax,inode64,noquota)

结果是,我们已获得一个使用 XFS 文件系统格式化的,且装有 DAX 的 PMEM 名称空间。

对该文件系统中的文件进行任何 mmap() 调用都会返回直接映射到 NVDIMM 上的持久内存的虚拟地址,并且会完全绕过页面缓存。

对该文件系统中的文件进行任何 fsyncmsync 调用仍可确保将修改后的数据完全写入到 NVDIMM。这些调用会刷新通过 mmap 映射在用户空间中修改的任何页面的关联处理器缓存行。

28.5.2.1 去除名称空间

在创建使用相同储存的其他任何类型的卷之前,我们必须卸载此 PMEM 卷,然后将其去除。

首先卸载该卷:

root # umount /mnt/pmem3

然后禁用名称空间:

root # ndctl disable-namespace namespace3.0
disabled 1 namespace

然后删除该卷:

root # ndctl destroy-namespace namespace3.0
destroyed 1 namespace

28.5.3 创建使用 BTT 的 PMEM 名称空间

BTT 提供原子性扇区写入,因此,当您需要数据保护(例如,为 Ext4 和 XFS 日志提供数据保护)时,BTT 会是个不错的选择。如果发生电源故障,日志将受到保护且可恢复。以下示例演示如何创建使用 BTT 的扇区模式 PMEM 名称空间,以及如何将文件系统日志置于此名称空间。

root # ndctl create-namespace --type=pmem --mode=sector
{
 "dev":"namespace3.0",
 "mode":"sector",
 "uuid":"51ab652d-7f20-44ea-b51d-5670454f8b9b",
 "sector_size":4096,
 "blockdev":"pmem3s"
}

接下来,校验新设备是否存在:

root # fdisk -l /dev/pmem3s
Disk /dev/pmem3s: 188.8 GiB, 202738135040 bytes, 49496615 sectors
Units: sectors of 1 * 4096 = 4096 bytes
Sector size (logical/physical): 4096 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes

与前面配置的支持 DAX 的 PMEM 名称空间一样,这个支持 BTT 的 PMEM 名称空间也会占用 NVDIMM 中的所有可用储存。

注意
注意

设备名称 (/dev/pmem3s) 中的尾部 s 表示扇区 (sector),可用于轻松辨别配置为使用 BTT 的名称空间。

可按前一示例中所述格式化和挂载卷。

此处显示的 PMEM 名称空间不能使用 DAX。它会使用 BTT 来提供扇区写入原子性。每次通过 PMEM 块驱动程序进行扇区写入时,BTT 都会分配一个新的扇区来接收新数据。完全写入新数据后,BTT 将以原子方式更新其内部映射结构,使新写入的数据可供应用程序使用。如果在此过程中的任意时间点发生电源故障,则写入内容将会完全丢失,在这种情况下,应用程序可以访问其旧数据,而这些数据仍旧保持不变。这可以防止出现所谓“扇区撕裂”的情况。

与其他任何标准块设备一样,可以使用某个文件系统格式化这个支持 BTT 的 PMEM 名称空间,并在该文件系统中使用它。无法将该名称空间与 DAX 搭配使用。但是,此块设备中的文件的 mmap 映射将使用页面缓存。

28.5.4 将文件系统日志置于 PMEM/BTT 上

当您将文件系统日志置于一个单独的设备上时,该设备使用的文件系统块大小必须与该文件系统相同。此大小很有可能是 4096,您可以使用以下命令查找块大小:

root # blockdev --getbsz /dev/sda3

下面的示例会在单独的 NVDIMM 设备上创建新的 Ext4 日志,并在 SATA 设备上创建文件系统,然后将新文件系统关联到该日志:

root # mke2fs -b 4096 -O journal_dev /dev/pmem3s
root # mkfs.ext4 -J device=/dev/pmem3s /dev/sda3

下面的示例会在 SATA 驱动器上创建新的 XFS 文件系统,并在单独的 NVDIMM 设备上创建日志:

root # mkfs.xfs -l logdev=/dev/pmem3s  /dev/sda3

有关选项的详细信息,请参见 man 8 mkfs.ext4man 8 mkfs.ext4

28.6 更多信息

可以在以下列表中找到关于此主题的更多信息:

  • 持久内存 Wiki

    包含有关配置 NVDIMM 系统的指导、有关测试的信息,以及有关启用 NVDIMM 的规范的链接。随着 Linux 中 NVDIMM 支持功能的不断发展,此站点的内容也会不断扩充。

  • 持久内存编程

    有关在 Linux 和其他操作系统中配置、使用非易失性内存,以及为使用此类内存的系统编程的信息。其中介绍了 NVM 库 (NVML)。该库旨在提供有用的 API 用于在用户空间中进行持久性内存编程。

  • LIBNVDIMM:非易失性设备

    此文档面向内核开发人员,包含在当前 Linux 内核树的“文档”文件夹中。其中探讨了涉及启用 NVDIMM 的不同内核模块,列出了有关内核实现的一些技术细节,并介绍了 ndctl 工具使用的 sysfs 内核接口。

  • GitHub:pmem/ndctl

    用于管理 Linux 内核中的 libnvdimm 子系统的实用程序库。另外还包含用户空间库,以及单元测试和文档。

第 IV 部分 服务

  • 29 使用 YaST 进行服务管理
  • YaST 提供了一个服务管理器,用于控制默认系统目标和服务、显示服务状态,以及读取日志文件。在 SUSE Linux Enterprise Server 15 SP3 中,YaST 支持 Systemd 基于套接字的服务激活,此操作会将服务配置为按需启动。

  • 30 使用 NTP 同步时间
  • NTP(网络时间协议)机制是用于同步网络上的系统时间的协议。首先,计算机从作为可靠时间源的服务器获得时间。然后将此计算机用作网络中其他计算机的时间源。这样做有双重目的,既可维护绝对时间,又可保持网络中所有计算机系统时间的同步。

  • 31 域名系统
  • 需要使用 DNS(域名系统)将域名和主机名解析成 IP 地址。这样,便可以将 IP 地址指派给主机名,例如,将 192.168.2.100 指派给 jupiter。在设置您自己的名称服务器前,请阅读第 19.3 节 “名称解析”中有关 DNS 的一般信息。下列配置示例中使用了默认的 DNS 服务器 - BIND。

  • 32 DHCP
  • 动态主机配置协议 (DHCP) 用于从服务器集中指派网络设置,如此就不必在每个工作站本地配置这些设置。被配置为使用 DHCP 的主机不能控制它自己的静态地址。DHCP 使它能够根据服务器的指示完全且自动地对自身进行配置。如果在客户端使用 NetworkManager,则无需配置客户端。在更改了环境并且一次只能使用一个活动的接口时,它才有用。请勿在运行 DHCP 服务器的机器上使用 NetworkManager。

  • 33 SLP
  • 要配置网络客户端,需要了解关于通过网络提供的服务(例如打印或 LDAP)的详细知识。为了简化在网络客户端上配置此类服务的工作,服务定位协议 (SLP) 应运而生。SLP 可向本地网络中的所有客户端告知所选服务的可用性和配置数据。支持 SLP 的应用程序可以利用这一信息来进行自动配置。

  • 34 Apache HTTP 服务器
  • http://www.netcraft.com/ 的调查表明,Apache HTTP 服务器 (Apache) 是世界上应用最广泛的 Web 服务器。Apache 由 Apache 软件基金会 (http://www.apache.org/) 开发,适用于大多数操作系统。SUSE® Linux Enterprise Server 包含 Apache 版本 2.4。本章将介绍如何安装、配置和设置 Web 服务器;如何使用 SSL、CGI 和其他模块;以及如何对 Apache 进行查错。

  • 35 使用 YaST 设置 FTP 服务器
  • 使用 YaST FTP 服务器模块,可以将计算机配置为 FTP(文件传输协议)服务器。匿名用户和/或经身份验证的用户可以连接到您的计算机并使用 FTP 协议下载文件。根据配置,可能还可以将文件上载到 FTP 服务器。YaST 使用 vsftpd(非常安全的 FTP 守护程序)。

  • 36 Squid 缓存代理服务器
  • Squid 是广泛用于 Linux 和 UNIX 平台的缓存代理服务器。这表示它会将请求的互联网对象(例如 Web 或 FTP 服务器上的数据)储存在离请求工作站更近(与服务器相比)的计算机上。可以在多个层次中设置它,以确保即使在对最终用户来说是透明的模式下,也能达到最佳的响应速度和较低的带宽用量。

  • 37 使用 SFCB 的基于 Web 的企业管理

29 使用 YaST 进行服务管理

YaST 提供了一个服务管理器,用于控制默认系统目标和服务、显示服务状态,以及读取日志文件。在 SUSE Linux Enterprise Server 15 SP3 中,YaST 支持 Systemd 基于套接字的服务激活,此操作会将服务配置为按需启动。

Systemd 支持使用基于套接字的激活来启动服务,适用于按需启动服务。这些服务有两种单元类型:服务和套接字。例如,CUPS 由 cups.servicecups.socket 控制。YaST 允许您选择要使用的服务启动类型。

图 29.1 “YaST 服务管理器”显示了“启动模式”下拉菜单中的选项:引导时按需手动。对于基于套接字的激活,请选择按需。如此会打开一个侦听网络套接字,并在收到请求时启动服务。

YaST 服务管理器
图 29.1︰ YaST 服务管理器

按需选项只会对支持它的服务显示。目前只有少量服务支持此选项,如 CUPS、dbus、iscsid、iscsiuio、multipathd、pcscd、rpcbind、tftp、virtlockd、virtlogd。有关套接字激活工作原理的详细信息,请参见 man 5 systemd.socket

30 使用 NTP 同步时间

NTP(网络时间协议)机制是用于同步网络上的系统时间的协议。首先,计算机从作为可靠时间源的服务器获得时间。然后将此计算机用作网络中其他计算机的时间源。这样做有双重目的,既可维护绝对时间,又可保持网络中所有计算机系统时间的同步。

维护确切的系统时间在许多情况下都非常重要。内置硬件时钟往往不能满足数据库或群集这样的应用程序的要求。手动更正系统时间可能会导致许多严重问题,例如向后调整时间将使关键应用程序出现故障。在网络中,通常需要同步所有计算机上的系统时间,但是手动调整时间是一种不好的方法。NTP 提供了解决这些问题的机制。NTP 服务通过网络中的可靠时间服务器持续调整系统时间。它还支持对本地参考时钟(如无线电控制的时钟)进行管理。

SUSE Linux Enterprise Server 15 起,采用 chrony 作为 NTP 的默认实施。chrony 包含两个部分:chronyd 守护程序可在引导时启动,chronyc 命令行界面程序用于监视 chronyd 的性能,以及在运行时更改各种操作参数。

SUSE Linux Enterprise Server 15.2 开始,如果不是配置为以守护程序的形式运行,适用于 NTP 客户端配置的 YaST 模块将配置 systemd-timer 而不是 cron 守护程序来执行 chrony

30.1 使用 YaST 配置 NTP 客户端

chrony 软件包中附带的 NTP 守护程序 (chronyd) 预先设置为使用本地计算机硬件时钟作为时间参考。硬件时钟的精确度极大程度上取决于它的时间源。例如,原子时钟或 GPS 接收器是非常精确的时间源,而一般 RTC 芯片则不是可靠的时间源。YaST 简化了 NTP 客户端的配置。

在 YaST NTP 客户端配置(网络服务 › NTP 配置)窗口中,您可以指定启动 NTP 守护程序的时间、配置源的类型,以及添加自定义的时间服务器。

NTP 配置窗口
图 30.1︰ NTP 配置窗口

30.1.1 NTP 守护程序启动

您可以从下面三个选项中选择启动 NTP 守护程序的时间:

仅手动

如果您想手动启动 chrony 守护程序,请选择仅手动

不用守护进程同步

选择不用守护进程同步可定期设置系统时间,而不用永久运行 chrony。您可以设置同步间隔(以分钟计)

立即和在引导时

选择立即和在引导时可在引导系统时自动启动 chronyd。建议使用此设置。

30.1.2 配置源的类型

配置源下拉框中,选择动态静态。如果服务器只使用固定的一组(公共)NTP 服务器,请设置静态;如果您的内部网络通过 DHCP 提供 NTP 服务器,则使用动态更合适。

30.1.3 配置时间服务器

供客户端查询的时间服务器列在 NTP 配置窗口的下半部分。使用添加编辑删除可按需修改此列表。

单击添加可添加新的时间服务器:

添加时间服务器
图 30.2︰ 添加时间服务器
  1. 地址字段中,键入要与计算机时间同步的时间服务器或时间服务器池的 URL。填写好 URL 后,单击测试以校验该 URL 是否指向有效的时间源。

  2. 激活快速初始同步,以便在 chronyd 守护程序启动时通过发送更多请求来加速时间同步。

  3. 激活离线启动,以使自动启动 chronyd 守护程序且引导时可能没有互联网连接的系统加快引导速度。例如,对于由 NetworkManager 管理网络连接的笔记本电脑,此选项非常实用。

  4. 单击确定进行确认。

30.2 手动配置网络中的 NTP

chrony/etc/chrony.conf 文件读取其配置。要让计算机时钟保持同步,您需要告诉 chrony 使用什么时间服务器。您可以使用特定的服务器名称或 IP 地址,例如:

server 0.europe.pool.ntp.org
server 1.europe.pool.ntp.org
server 2.europe.pool.ntp.org

还可以指定名称。池名称会解析为若干个 IP 地址:

pool pool.ntp.org
提示
提示:同一网络中的多台计算机

要同步同一网络中的多台计算机的时间,建议不要通过一台外部服务器同步所有计算机。比较好的做法是将其中一台计算机作为时间服务器(它与外部时间服务器同步),其他计算机作为它的客户端。将 local 指令添加至服务器的 /etc/chrony.conf,以将其与权威时间服务器区分开:

local stratum 10

要启动 chrony,请运行:

systemctl start chronyd.service

初始化 chronyd 后,系统需要花费一些时间来稳定时间,以及创建用于纠正本地计算机时钟的偏移文件。利用偏移文件,当计算机启动时,可以计算出硬件时钟的系统误差。可以立即使用更正功能,使系统时间保持较高的稳定性。

要启用 chrony 以便该服务在引导时自动启动,请运行:

systemctl enable chronyd.service

30.3 在运行时使用 chronyc 配置 chronyd

在运行时,您可以使用 chronyc 来更改 chronyd 的行为。它会生成有关 chronyd 的操作的状态报告。

您可以采用交互模式或非交互模式运行 chronyc。要采用交互模式运行 chronyc,请在命令行上输入 chronyc。如此会显示提示符并等待您输入命令。例如,要检查有多少个 NTP 源联机或脱机,请运行:

root # chronyc
chronyc> activity
200 OK
4 sources online
2 sources offline
1 sources doing burst (return to online)
1 sources doing burst (return to offline)
0 sources with unknown address

要退出 chronyc 的提示符,请输入 quitexit

如果您不需要使用交互提示符,请直接输入命令:

root # chronyc activity
注意
注意:临时更改

使用 chronyc 进行的更改不是永久性的。当 chronyd 下次重启动时,它们将会丢失。要进行永久更改,请修改 /etc/chrony.conf

有关 chronyc 命令的完整列表,请参见它的手册页 (man 1 chronyc)。

30.4 运行时的动态时间同步

尽管 chronyd 通常在引导时没有网络连接的系统上启动,但该工具无法解析配置文件中指定的时间服务器的 DNS 名称。

chronyd 会按递增的时间间隔不断尝试解析由 serverpoolpeer 指令指定的时间服务器名称,直到成功为止。

如果启动 chronyd 时将无法访问时间服务器,您可以指定 offline 选项:

server server_address offline

如此,chronyd 将不会尝试轮询服务器,除非使用以下命令启用它:

root # chronyc online server_address

如果设置了 auto_offline 选项,在向时间服务器发送了两个请求,但未接收到任何响应时,chronyd 会假设时间服务器已脱机。此选项使 chronyc 在网络链路断开时,无需运行“脱机”命令。

30.5 设置本地参考时钟

软件包 chrony 依赖于其他程序(例如 gpsd)来通过 SHM 或 SOCK 驱动程序访问计时数据。在 /etc/chrony.conf 中使用 refclock 指令可指定要用作时间源的硬件参考时钟。它有两个必填参数:驱动程序名称和驱动程序特定的参数。这两个参数后面跟着零个或多个 refclock 选项。chronyd 包含以下驱动程序:

  • PPS:内核“pulse per second”API 的驱动程序。例如:

    refclock PPS /dev/pps0 lock NMEA refid GPS
  • SHM:NTP 共享内存驱动程序。例如:

    refclock SHM 0 poll 3 refid GPS1
    refclock SHM 1:perm=0644 refid GPS2
  • SOCK:Unix 域套接字驱动程序。例如:

    refclock SOCK /var/run/chrony.ttyS0.sock
  • PHC:PTP 硬件时钟驱动程序。例如:

    refclock PHC /dev/ptp0 poll 0 dpoll -2 offset -37
    refclock PHC /dev/ptp1:nocrossts poll 3 pps

有关各个驱动程序的选项的详细信息,请参见 man 8 chrony.conf

30.6 与外部时间参考 (ETR) 的时钟同步

支持与外部时间参考 (ETR) 时钟同步。外部时间参照每 2**20(2 的 20 次幂)微秒发出一次振荡器信号和同步信号,以将连接的所有服务器的 TOD 时钟保持同步。

两个 ETR 计算机可以连接到一台计算机。如果时钟偏差超过同步检查容差,将会对所有 CPU 执行一次计算机检查,这表示时钟未同步。如果发生这种情况,在该时钟再次同步前,所有与支持 XRC 的设备进行的 DASD I/O 都将停止。

可通过两个 sysfs 属性激活 ETR 支持;请以 root 身份运行以下命令:

echo 1 > /sys/devices/system/etr/etr0/online
echo 1 > /sys/devices/system/etr/etr1/online

31 域名系统

需要使用 DNS(域名系统)将域名和主机名解析成 IP 地址。这样,便可以将 IP 地址指派给主机名,例如,将 192.168.2.100 指派给 jupiter。在设置您自己的名称服务器前,请阅读第 19.3 节 “名称解析”中有关 DNS 的一般信息。下列配置示例中使用了默认的 DNS 服务器 - BIND。

31.1 DNS术语

区域

域名称空间由一些区域 (zone) 组成。例如,如果您拥有 example.com,您就拥有 com 域的 example 段(或区域)。

DNS 服务器

DNS 服务器是维护域的名称和 IP 信息的服务器。主 DNS 服务器可用于主要区域、次要服务器可用于从属区域,不含有任何区域的从属服务器可用于缓存。

主区域 DNS 服务器

主区域包含网络中的所有主机,DNS 服务器主区域储存域中所有主机的最新记录。

从属区域 DNS 服务器

从属区域是主区域的副本。从属区域 DNS 服务器将使用区域传送操作从其主服务器获取区域数据。只要从属区域 DNS 服务器具有有效(没到期)的区域数据,便会对区域作出权威响应。如果从属服务器不能获取区域数据的新副本,它将停止响应区域。

转发器

转发器是您的 DNS 服务器应将无法应答的查询发送到的 DNS 服务器。使用 netconfig,以便在一个配置中启用不同配置源(另请参见 man 8 netconfig)。

记录

记录就是有关名称和 IP 地址的信息。有关支持的记录及其语法的描述可在 BIND 文档中获取。以下是一些特殊记录:

NS 记录

NS 记录会告诉命名服务器哪些计算机负责给定域区域。

MX 记录

MX(邮件交换)记录描述在互联网中定向邮件时要联系的计算机。

SOA 记录

SOA(起始授权机构)记录是区域文件中的第一条记录。当使用 DNS 在多台计算机之间同步数据时,使用 SOA 记录。

31.2 安装

要安装 DNS 服务器,请启动 YaST 并选择软件 ›  软件管理。选择视图 ›  模式,然后选择 DHCP 和 DNS 服务器。确认安装相关的包来完成安装进程。

或者,在命令行中使用以下命令:

tux > sudo zypper in -t pattern dhcp_dns_server

31.3 使用 YaST 进行配置

使用 YaST DNS 模块为本地网络配置 DNS 服务器。第一次启动此模块时,会启动向导,提示您做出一些有关服务器管理的决定。完成此初始设置后,将产生基本服务器配置。使用专家模式可处理更高级的配置任务,例如设置 ACL、日志记录、TSIG 密钥和其他选项。

31.3.1 向导配置

向导由三个步骤或对话框组成。您可以从对话框的适当位置进入专家配置模式。

  1. 第一次启动模块时,您将看到图 31.1 “DNS 服务器安装:转发器设置”中显示的转发器设置对话框将打开。本地 DNS 解析策略允许设置以下选项:

    • 已禁用合并转发器

    • 自动合并

    • 已启用合并转发器

    • 自定义配置 — 如果已选择自定义配置,则可以指定自定义策略;默认情况下,在已选择自动合并的情况下,自定义策略将设置为自动,但是,您可以在此处设置接口名称,或者从 STATICSTATIC_FALLBACK 这两个特殊策略名称中做出选择。

    本地 DNS 解析转发器中,指定要使用的服务:使用系统名称服务器此名称服务器 (bind)本地 dnsmasq 服务器

    有关有关所有这些设置的更多信息,请参见 man 8 netconfig

    DNS 服务器安装:转发器设置
    图 31.1︰ DNS 服务器安装:转发器设置

    转发器是接收您的 DNS 服务器自己无法应答的查询的 DNS 服务器。输入它们的 IP 地址,然后单击添加

  2. DNS 区域对话框由多个部分组成,负责管理区域文件(如第 31.6 节 “区域文件”中所述)。对于新区域,请在名称中为其提供一个名称。要添加反向区域,名称必须以 .in-addr.arpa 结尾。最后选择类型(主、从属或转发)。请参见图 31.2 “DNS 服务器安装:DNS 区域”。单击编辑可配置现有区域的其他设置。要删除区域,请单击删除

    DNS 服务器安装:DNS 区域
    图 31.2︰ DNS 服务器安装:DNS 区域
  3. 在最后对话框中,您可以通过单击打开防火墙中的端口打开防火墙中的 DNS 端口。然后决定是否在引导时启动 DNS 服务器(开启关闭)。您还可以激活 LDAP 支持。请参见图 31.3 “DNS 服务器安装:完成向导”

    DNS 服务器安装:完成向导
    图 31.3︰ DNS 服务器安装:完成向导

31.3.2 专家配置

启动此模块后,YaST 将打开一个窗口,其中显示了多个配置选项。完成此窗口会生成具有基本功能的 DNS 服务器配置:

31.3.2.1 启动

启动下,定义是要在引导系统时启动 DNS 服务器,还是手动启动 DNS 服务器。要立即启动 DNS 服务器,请单击立即启动 DNS 服务器。要停止 DNS 服务器,请单击立即停止 DNS 服务器。要保存当前设置,请选择保存设置并立即重新装载 DNS 服务器。您可以用打开防火墙中的端口打开防火墙中的 DNS 端口,并用防火墙细节修改防火墙设置。

通过选择 LDAP 支持处于活动状态,让 LDAP 数据库管理区域文件。当 DNS 服务器重启动或被提示重装载其配置时,它会挑选出写入到 LDAP 数据库的任何区域数据更改。

31.3.2.2 转发器

如果您的本地 DNS 服务器无法应答请求,则会尝试将请求转发给转发器(如果进行了这样的配置)。转发器可手动添加到转发器列表。如果在拨号连接中转发器不是静态的,则 netconfig 会处理配置。有关 netconfig 的更多信息,请参见 man 8 netconfig

31.3.2.3 基本选项

在这一部分,设置基本的服务器选项。从选项菜单中选择所需的项,然后在相应文本框中指定值。选择添加包括新的条目。

31.3.2.4 日志记录

要设置 DNS 服务器应该记录的内容和记录方法,请选择日志记录。在日志类型下,指定 DNS 服务器将日志数据写入的位置。选择系统日志以使用系统范围的日志,或选择文件以指定另一个文件。对于后者,请额外指定名称、最大文件大小(以兆字节为单位)以及要储存的日志文件版本数。

附加日志记录下可以使用其他一些选项。启用记录所有的 DNS 查询将记录每个查询,在这种情况下,日志文件可能会变得非常大。出于这个原因,如果不是为了调试,则最好不要启用此选项。要记录区域更新期间 DHCP 和 DNS 服务器之间的通讯数据,请启用记录区域更新。要记录将区域从主服务器传送到从属服务器期间的数据流量,请启用记录区域传送。请参见图 31.4 “DNS 服务器:日志记录”

DNS 服务器:日志记录
图 31.4︰ DNS 服务器:日志记录

31.3.2.5 ACL

使用此对话框定义 ACL(访问控制列表)来强制执行访问限制。在名称下提供不同的名称后,在下指定具有下列形式的 IP 地址(带有或不带有网络掩码):

{ 192.168.1/24; }

配置文件的语法要求地址以分号结尾且放在花括号中。

31.3.2.6 TSIG 密钥

TSIG(事务签名)的主要用途是保护 DHCP 和 DNS 服务器间通讯的安全性。这些内容在第 31.8 节 “安全事务”中有所介绍。

要生成 TSIG 密钥,请在标为密钥 ID 的字段中输入一个唯一名称,并指定储存密钥的文件(文件名)。用生成确认选择。

要使用以前创建的密钥,请将密钥 ID 字段保留为空,并在文件名下选择储存这个密钥 ID 的文件。选择后,请用添加按钮进行确认。

31.3.2.7 DNS 区域(添加从属区域)

要添加从属区域,请选择 DNS 区域,然后选择区域类型从属,写入新区域名称并单击添加

主 DNS 服务器 IP 下的区域编辑器子对话框中,指定从属服务器将从中获取数据的主服务器。要限制对此服务器的访问,可从列表中选择一个 ACL。

31.3.2.8 DNS 区域(添加主区域)

要添加主区域,请选择 DNS 区域,然后选择区域类型,写入新区域名称并单击添加。当添加主区域时,也需要一个反向区域。例如,当添加区域 example.com(指向子集 192.168.1.0/24 中的主机)时,也应为包含的 IP 地址范围添加一个反时向区域。按照定义,应命名为 1.168.192.in-addr.arpa

31.3.2.9 DNS 区域(编辑主区域)

要编辑主区域,请选择 DNS 区域,从表中选择主区域,最后单击编辑。该对话框包含几个页面:基本(第一个打开的页面)、NS 记录MX 记录SOA记录

图 31.5 “DNS 服务器:区域编辑器(基本)”中显示的基本对话框用于定义动态 DNS 的设置以及指向客户端和从属名称服务器的区域传送的访问选项。要允许动态更新区域,请选择允许动态更新及相应的 TSIG 密钥。必须在更新操作开始前定义密钥。要启用区域传送,请选择相应的 ACL。必须已经定义了 ACL。

基本对话框中,选择是否启用区域传输。使用所列 ACL 来定义谁能够下载区域。

DNS 服务器:区域编辑器(基本)
图 31.5︰ DNS 服务器:区域编辑器(基本)
区域编辑器(NS 记录)

NS 记录对话框用于为指定的区域定义备用名称服务器。确保已将自己的名称服务器包括在列表中。要添加记录,请在要添加的名称服务器下输入其名称,然后用添加按钮确认。请参见图 31.6 “DNS 服务器:区域编辑器(NS 记录)”

DNS 服务器:区域编辑器(NS 记录)
图 31.6︰ DNS 服务器:区域编辑器(NS 记录)
区域编辑器(MX 记录)

要将当前区域的邮件服务器添加到现有的列表中,请输入相应的地址和优先级值。执行完此操作后,请选择添加进行确认。请参见图 31.7 “DNS 服务器:区域编辑器(MX 记录)”

DNS 服务器:区域编辑器(MX 记录)
图 31.7︰ DNS 服务器:区域编辑器(MX 记录)
区域编辑器 (SOA)

此页用于创建 SOA(起始授权机构)记录。有关各选项的描述,请参见例 31.6 “/var/lib/named/example.com.zone 文件”通过 LDAP 管理的动态区域不支持更改 SOA 记录。

DNS 服务器:区域编辑器 (SOA)
图 31.8︰ DNS 服务器:区域编辑器 (SOA)
区域编辑器(记录)

此对话框用于管理名称解析。在记录密钥中,输入主机名并选择其类型。A 类型表示主项。此项的值应为一个 IP 地址 (IPv4)。对于 IPv6 地址,请使用 AAAACNAME 是别名。对于要根据 NS 记录MX 记录选项卡中提供的信息而扩展的详细或部分记录,应使用类型 NSMX。这三种类型解析为现有的 A 记录。PTR 用于反向区域。它与 A 记录相反,例如:

hostname.example.com. IN A 192.168.0.1
1.0.168.192.in-addr.arpa IN PTR hostname.example.com.
31.3.2.9.1 添加反向区域

要添加反向区域,请遵循以下过程:

  1. 启动 YaST › DNS 服务器 › DNS 区域

  2. 如果您尚未添加主正向区域,请添加并编辑它。

  3. 记录选项卡中,填写相应的记录键,然后单击添加来添加记录,并单击确定来确认。如果 YaST 告知不存在某个名称服务器的记录,请在 DNS 记录选项卡中添加该记录。

    为主区域添加记录
    图 31.9︰ 为主区域添加记录
  4. 返回 DNS 区域窗口,添加一个主反向区域。

    添加反向区域
    图 31.10︰ 添加反向区域
  5. 编辑该反向区域,然后在记录选项卡中,您可以看到 PTR:反向转换记录类型。添加相应的记录键,然后单击添加并单击确定来确认。

    添加反向记录
    图 31.11︰ 添加反向记录

    根据需要添加名称服务器记录。

提示
提示:编辑反向区域

添加正向区域后,返回到主菜单并选择该反向区域以进行编辑。在选项卡基础中激活复选框自动生成记录的区域,然后选择正向区域。这样,对正向区域的所有更改都会在反向区域中更新。

31.4 启动 BIND 名称服务器

SUSE® Linux Enterprise Server 系统上,已预先配置名称服务器 BIND(Berkeley 互联网名称域),因此在安装后可以立即启动此名称服务器,而不会出现任何问题。一般而言,如果您已有互联网连接,并在 /var/run/netconfig/resolv.conf 中输入了 127.0.0.1 作为 localhost 的名称服务器地址,则表示您已经有正常工作的名称解析功能,因而无需知道提供商的 DNS。BIND 通过 root 名称服务器执行名称解析,这个过程非常慢。通常,应将提供商的 DNS 及其 IP 地址输入配置文件 /etc/named.confforwarders 下,以确保能进行有效而安全的名称解析。如果到目前为止是这种情况,则该名称服务器将作为仅用于缓存的纯名称服务器运行。只有在配置了该名称服务器自己的区域后,它才能成为正确的 DNS。在 /usr/share/doc/packages/bind/config 中可找到简单的示例。

提示
提示:名称服务器信息的自动适配

根据互联网连接或网络连接的类型,名称服务器信息可以自动适应当前的情况。为此,请将 /etc/sysconfig/network/config 文件中的 NETCONFIG_DNS_POLICY 变量设置为 auto

但是不要设置正式域,而是让负责机构指派给您。即使您有自己的域且提供商管理此域,也最好不要使用此域,因为如果使用此域,BIND 将不转发对此域的请求。例如,此域不能访问提供商的 Web 服务器。

要启动名称服务器,请以 root 身份输入命令 systemctl start named。使用 systemctl status named 检查 named(当调用名称服务器进程时)是否已成功启动。请用 hostdig 程序立即在本地系统上测试名称服务器,该测试应返回 localhost 作为默认服务器,地址为 127.0.0.1。如果未返回所需的结果,则表明 /var/run/netconfig/resolv.conf 可能包含不正确的名称服务器项或此文件不存在。如果是第一次测试,请输入 host 127.0.0.1,此命令应始终有效。如果收到错误消息,请使用 systemctl status named 查看服务器是否确实在运行。如果该名称服务器未启动或者出现意外的行为,请检查 journalctl -e 的输出。

要将提供商的名称服务器(或网络上正在运行的名称服务器)用作转发器,请在 options 部分的 forwarders 下输入相应的一个或多个 IP 地址。例 31.1 “named.conf 中的转发选项”中包含的地址仅用作示例。请根据您自己的设置调整这些项。

例 31.1︰ named.conf 中的转发选项
options {
        directory "/var/lib/named";
        forwarders { 10.11.12.13; 10.11.12.14; };
        listen-on { 127.0.0.1; 192.168.1.116; };
        allow-query { 127/8; 192.168/16 };
        notify no;
};

options 项后跟区域的项 localhost0.0.127.in-addr.arpatype hint 项(.下)应始终存在。无需修改相应的文件,应照原样使用。还要确保每个项都以 ; 结束,同时确保花括号位于正确的位置。更改配置文件 /etc/named.conf 或区域文件后,使用 systemctl reload named 来通知 BIND 重新读取这些文件。使用 systemctl restart named 停止然后重启动名称服务器也会获得相同的效果。您随时可以输入 systemctl stop named 来停止服务器。

31.5 /etc/named.conf 配置文件

BIND 名称服务器本身的所有设置都储存在文件 /etc/named.conf 中。但是,将要处理的域的区域数据(由主机名、IP 地址等组成)储存在目录 /var/lib/named 下单独的文件中。稍后将介绍其详细信息。

/etc/named.conf 大致分为两部分。一部分是存放常规设置的 options 部分,另一部分由各个域的 zone 项组成。而 logging 部分和 acl(访问控制列表)项是可选的。注释行以 # 符号或 // 开头。例 31.2 “基本的 /etc/named.conf”显示了一个最小的 /etc/named.conf

例 31.2︰ 基本的 /etc/named.conf
options {
        directory "/var/lib/named";
        forwarders { 10.0.0.1; };
        notify no;
};

zone "localhost" in {
       type master;
       file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
        type master;
        file "127.0.0.zone";
};

zone "." in {
        type hint;
        file "root.hint";
};

31.5.1 重要的配置选项

directory "FILENAME";

指定目录,BIND 可以在该目录中找到包含区域数据的文件。通常,此目录是 /var/lib/named

forwarders { IP-ADDRESS; };

指定在无法直接解析 DNS 请求的情况下应将其转发到的名称服务器(大多数情况下是提供商的名称服务器)。用 IP 地址(例如 192.168.1.116)替换 IP-ADDRESS

forward first;

在尝试通过 root 名称服务器解析 DNS 请求前,对 DNS 请求进行转发。可以写入 forward only(而不是 forward first)转发所有请求并且不将任何请求发送到 root 名称服务器。这可以用于防火墙配置。

listen-on port 53 { 127.0.0.1; IP-ADDRESS; };

告知 BIND 在哪个网络接口和端口上接受客户端查询。不需要显式指定端口 53,因为 53 为默认端口。输入 127.0.0.1 允许接收来自 Localhost 的请求。如果完全省略此项,则在默认情况下使用所有接口。

listen-on-v6 port 53 {any; };

指示 BIND 应通过哪个端口侦听 IPv6 客户端请求。唯一可以替代 any 的是 none。就 IPv6 而言,服务器只接受通配符地址。

query-source address * port 53;

如果防火墙阻止外发的 DNS 请求,则需要此项。此项指示 BIND 从端口 53 向外部发送请求,而不使用端口号大于 1024 的任何端口。

query-source-v6 address * port 53;

指示 BIND 将哪个端口用于 IPv6 查询。

allow-query { 127.0.0.1; NET; };

定义客户端可以自此发送 DNS 请求的网络。用地址信息(例如 192.168.2.0/24)替换 NET。末尾的 /24 是网络掩码的缩写表示(在本例中为 255.255.255.0)。

allow-transfer ! *;;

控制哪些主机可以请求区域传送。在本例中,用 ! * 中定义的值,如果没有此项,则可以从没有限制的任何位置请求区域传送。

statistics-interval 0;

如果缺少此项,则 BIND 每小时都会在系统的日志中生成几行统计信息。将其设置为 0 可以完全禁止生成此类统计信息,也可以设置时间间隔(以分钟为单位)。

cleaning-interval 720;

此选项定义 BIND 间隔多长时间清除其缓存。每次清除时都会在系统的日志中触发一项。时间是以分钟为单位指定的。默认值为 60 分钟。

interface-interval 0;

BIND 定期在网络接口中搜索新接口或不存在的接口。如果将该值设置为 0,则不执行搜索,BIND 只侦听启动时检测到的接口。否则,采用分钟定义时间间隔。默认值是 60 分钟。

notify no;

指定 no 将阻止其他名称服务器在区域数据被更改或名称服务器被重启动时得到通知。

有关可用选项的列表,请阅读手册页 man 5 named.conf

31.5.2 日志记录

可以在 BIND 中详细配置日志记录的内容、方式和位置。通常,默认设置已足够了。例 31.3 “禁用日志记录的项”显示了此项最简单的形式,会彻底隐藏所有日志记录。

例 31.3︰ 禁用日志记录的项
logging {
        category default { null; };
};

31.5.3 区域项

例 31.4︰ example.com 的区域项
zone "example.com" in {
      type master;
      file "example.com.zone";
      notify no;
};

zone 后,指定要管理的域的名称 (example.com),后跟 in 和用花括号括起来的相关选项块,如例 31.4 “example.com 的区域项”所示。要定义从属区域,请将 type 切换为 slave 并将管理此区域的名称服务器指定为 master(它可能是另一个主区域的从属区域),如 例 31.5 “example.net 的区域项” 所示。

例 31.5︰ example.net 的区域项
zone "example.net" in {
      type slave;
      file "slave/example.net.zone";
      masters { 10.0.0.1; }; 
};

区域选项:

type master;

通过指定 master,指示 BIND 由本地名称服务器对区域进行处理。这假定已用正确的格式创建了区域文件。

type slave;

从另一个名称服务器传送此区域。必须将它与 masters 一起使用。

type hint;

区域 .hint 类型)用于设置 root 名称服务器。此区域定义可以保留原样。

file example.com.zone 或 file slave/example.net.zone;

此项指定域的区域数据所在的文件。从属区域不需要此文件,因为此数据是从另一个名称服务器中获取的。要区分主文件和从属文件,请对从属文件使用目录 slave

masters { SERVER_IP_ADDRESS; };

只有从属区域需要此项。它指定应从哪个名称服务器传送区域文件。

allow-update {! *; };

此选项控制外部写访问,这将允许客户端创建 DNS 项(出于安全原因,通常不希望出现这种情况)。没有此项,就不允许进行区域更新。上述项可以实现相同的结果,因为 ! * 有效地禁止了此类操作。

31.6 区域文件

所需的区域文件有两种类型。一种类型将 IP 地址指派给主机名,另一种类型则正好相反:为 IP 地址提供主机名。

提示
提示:在区域文件中使用点(英文句点)

另一方面, "." 在区域文件中有重要的含义。如果指定的主机名末尾没有点 (.),则会追加区域。使用完整域名指定的完整主机名必须以点 (.) 结尾,这是为了避免再次向它添加域。缺少“.”或将其放错位置可能是导致名称服务器配置错误的最常见的原因。

第一个要考虑的情况是负责域 example.com 的区域文件 example.com.zone,如例 31.6 “/var/lib/named/example.com.zone 文件”中所示。

例 31.6︰ /var/lib/named/example.com.zone 文件
$TTL 2D 1
example.com. IN SOA      dns  root.example.com. ( 2
             2003072441  ; serial 3
             1D          ; refresh 4
             2H          ; retry 5
             1W          ; expiry 6
             2D )        ; minimum 7

             IN NS       dns 8
             IN MX       10 mail dns 9
gate         IN A        192.168.5.1 10
             IN A        10.0.0.1
dns          IN A        192.168.1.116
mail         IN A        192.168.3.108
jupiter      IN A        192.168.2.100
venus        IN A        192.168.2.101
saturn       IN A        192.168.2.102
mercury      IN A        192.168.2.103
ntp          IN CNAME    dns 11
dns6         IN A6  0    2002:c0a8:174::

1

$TTL 定义默认存活时间,它适用于此文件中的所有项。在本例中,项在两天 (2 D) 内有效。

2

这是 SOA(Start Of Authority,起始授权机构)控制记录开始的位置:

  • 最前面的 example.com 是要管理的域的名称。此行以“.”结尾,否则系统会再追加一次该区域。或者,可以在这里输入 @,在这种情况下,可以从 /etc/named.conf 中的相应项中抽取区域。

  • IN SOA 之后是用作此区域主服务器的名称服务器的名称。此名称会从 dns 扩展为 dns.example.com,因为它没有以“.”结尾。

  • 随后是负责此名称服务器的用户的电子邮件地址。由于 @ 符号本就有特殊含意,因此此处改为输入“.”。对于 root@example.com,该项必须读作 root.example.com.。另一方面, "." 必须包含在末尾,以防止添加区域。

  • () 之间包含的所有行组成 SOA 记录。

3

序列号是一个 10 位数的编号。每次更改此文件,都必须更改此编号。需要将这些更改通知给辅助名称服务器(从属服务器)。为此,日期和运行编号常采用 10 位数字格式,书写方式为 YYYYMMDDNN,这已成为惯用格式(YYYY 表示年份,MM 表示月份,DD 表示日期。NN 是序列号,可在给定的日期多次更新)。

4

refresh rate 指定二级名称服务器校验区域 serial number 的时间间隔。在本例中,此时间间隔为一天。

5

retry rate 指定二级名称服务器在出现错误时尝试再次联系主服务器的时间间隔。这里的时间间隔是两小时。

6

expiration time 指定二级名称服务器在无法重新联系上主服务器时将在多长时间后丢弃缓存的数据。在本例中为一周。

7

SOA 记录中的最后一项指定 negative caching TTL,这是缓存来自其它服务器的未解析 DNS 查询结果的时间。

8

IN NS 指定负责此域的名称服务器。dns 会扩展为 dns.example.com,因为它不是以“.”结尾。可以有多个与此行类似的行,一行用于主名称服务器,其它每行分别用于每个辅助名称服务器。如果 /etc/named.conf 中未将 notify 设置为 no,则会将区域数据的更改通知给这里列出的所有名称服务器。

9

MX 记录指定接受、处理和转发域 example.com 的电子邮件的邮件服务器。在本例中,该邮件服务器是主机 mail.example.com。主机名称前面的数字是优先顺序值。如果有多个 MX 项,则优先选用值最小的邮件服务器。如果将邮件递送到此服务器失败,则会使用值第二小的项。

10

此行及其后面的行是实际地址记录,其中的一个或多个 IP 地址已指派到主机名。名称在此处列出,不带 ".",因为它们不包含自身的域,因此会将 example.com 添加到所有名称。因为主机 gate 有两个网卡,所以为其指派两个 IP 地址。只要主机地址是传统地址 (IPv4),就将使用 A 标记该记录。如果地址是 IPv6 地址,则使用 AAAA 标记此项。

注意
注意:IPv6 语法

IPv6 记录与 IPv4 记录的语法稍有不同。由于可能进行碎片整理,所以需要在寻址前提供有关缺失位的信息。要使用所需的数字}0填写 IPv6 地址,请在地址中的正确位置添加两个冒号。

pluto     AAAA 2345:00C1:CA11::1234:5678:9ABC:DEF0
pluto     AAAA 2345:00D2:DA11::1234:5678:9ABC:DEF0

11

别名 ntp 可用于确定 dnsCNAME 是指规范名称)的地址。

伪域 in-addr.arpa 用于 IP 地址到主机名的反向查找。它被追加到采用反向表示法的地址的网络部分。因此,将 192.168 解析成 168.192.in-addr.arpa。请参见例 31.7 “反向查找”

例 31.7︰ 反向查找
$TTL 2D 1
168.192.in-addr.arpa.   IN SOA dns.example.com. root.example.com. ( 2
                        2003072441      ; serial
                        1D              ; refresh
                        2H              ; retry
                        1W              ; expiry
                        2D )            ; minimum

                        IN NS           dns.example.com. 3

1.5                     IN PTR          gate.example.com. 4
100.3                   IN PTR          www.example.com.
253.2                   IN PTR          cups.example.com.

1

$TTL 定义应用于此处所有项的标准 TTL。

2

此配置文件应激活网络 192.168 的反向查找。假设区域名为 168.192.in-addr.arpa,则不应将此区域添加到主机名。因此以完整格式输入所有主机名,即包含域且以“.”结尾。其余的项对应于上一个 example.com 示例介绍的那些内容。

有关此记录中的项的细节,请参见例 31.6 “/var/lib/named/example.com.zone 文件”

3

此行指定负责此区域的名称服务器。但这次以完整格式输入名称,即包含域且以“.”结尾。

4

此行及其后面的行是提示相应主机上 IP 地址的指针记录。在此行的开头仅输入了 IP 地址的最后一部分,不以“.”结尾。将区域追加到这个地址(不带 .in-addr.arpa)将产生采用反向顺序的完整 IP 地址。

通常,可以在 BIND 的不同版本间传输区域,不会产生任何问题。

31.7 区域数据的动态更新

术语动态更新指添加、更改或删除主服务器区域文件中的项的操作。RFC 2136 中对此机制进行了描述。通过添加可选的 allow-updateupdate-policy 规则,可为每个区域项分别配置动态更新。不应手动编辑要动态更新的区域。

用命令 nsupdate 将要更新的项传送到服务器。有关此命令的精确语法,请查看关于 nsupdate 的手册页 (man 8 nsupdate)。出于安全原因,应使用 第 31.8 节 “安全事务” 中介绍的 TSIG 密钥执行此类更新。

31.8 安全事务

借助于基于共享密钥(也称为 TSIG 密钥)的事务签名 (TSIG) 可以实现安全事务。本节介绍如何生成和使用此类密钥。

不同服务器间的通信和区域数据的动态更新需要安全事务。依靠密钥进行访问控制比只靠 IP 地址进行访问控制要安全得多。

使用下面的命令生成 TSIG 密钥(有关细节,请参见 man tsig-keygen):

tux > sudo tsig-keygen -a hmac-md5 host1-host2 > host1-host2.key

这会创建名称为 host1-host2.key 的文件,其中的内容可能如下所示:

key "host1-host2" {                       |
    algorithm hmac-md5;
    secret "oHpBLgtcZso6wxnRTWdJMA==";
};

必须将此文件传输到远程主机,最好以安全方式传输(例如,使用 scp)。要在 host1host2 之间启用安全通讯,本地和远程服务器上的 /etc/named.conf 文件中均须包含该密钥。

key host1-host2 {
 algorithm hmac-md5;
 secret "ejIkuCyyGJwwuN3xAteKgg==";
};
警告
警告:etc/named.conf 的文件权限

确保正确限制了 /etc/named.conf 的权限。此文件的默认值是 0640,拥有者为 root 和组 named。或者,可以将密钥移到具有特殊限制权限的另一个文件中,然后将该文件包括在 /etc/named.conf 中。要包括外部文件,请使用:

include  "filename"

用带有密钥的文件的绝对路径替换 filename

要使服务器 host1 能使用 host2(在本例中,其地址为 10.1.2.3)的密钥,服务器的 /etc/named.conf 必须包含下列规则:

server 10.1.2.3 {
  keys { host1-host2. ;};
};

必须将类似的项包括在 host2 的配置文件中。

向为 IP 地址和地址范围定义的任何 ACL(访问控制列表,请不要与文件系统的 ACL 混淆)添加 TSIG 密钥可以实现事务安全性。相应的项如下所示:

allow-update { key host1-host2. ;};

BIND 管理员参考手册update-policy 对此主题进行了详细介绍。

31.9 DNS 安全性

RFC 2535 中对 DNSSEC(或 DNS 安全性)进行了描述。BIND 手册中介绍了可用于 DNSSEC 的工具。

被认为是安全的区域必须有一个或多个与之关联的区域密钥。这些密钥是通过 dnssec-keygen 生成的,就像主机密钥一样。当前使用 DSA 加密算法来生成这些密钥。应使用 $INCLUDE 规则将所生成的公共密钥包括在相应的区域文件中。

使用命令 dnssec-signzone,您可以创建生成的密钥集(keyset- 文件),将它们以安全方式传送到父区域并加以签名。这会生成要包含在 /etc/named.conf 中的针对每个区域的文件。

31.10 更多信息

有关更多信息,请参见安装在 /usr/share/doc/packages/bind/arm 下的 bind-doc 软件包中的 BIND Administrator Reference Manual(BIND 管理员参考手册)。另外,请考虑参考该手册中所引用的 RFC 和 BIND 附带的手册页。/usr/share/doc/packages/bind/README.SUSE 包含有关 SUSE Linux Enterprise Server 中 BIND 的最新信息。

32 DHCP

动态主机配置协议 (DHCP) 用于从服务器集中指派网络设置,如此就不必在每个工作站本地配置这些设置。被配置为使用 DHCP 的主机不能控制它自己的静态地址。DHCP 使它能够根据服务器的指示完全且自动地对自身进行配置。如果在客户端使用 NetworkManager,则无需配置客户端。在更改了环境并且一次只能使用一个活动的接口时,它才有用。请勿在运行 DHCP 服务器的机器上使用 NetworkManager。

提示
提示:IBM Z:DHCP 支持

在 IBM Z 平台上,DHCP 仅在使用 OSA 和 OSA Express 网卡的接口上有效。现在只有这些网卡具有 MAC,因为需要 MAC 来实现 DHCP 自动配置功能。

配置 DHCP 服务器的其中一种方法是,使用网卡的硬件地址(一般应该是固定的)来标识每个客户端,然后在客户端每次连接到服务器时为它提供相同的设置。另一种方法是对 DHCP 进行配置,从为此设置的地址池来为每个相关客户端动态指派地址。在后一种情况下,DHCP 服务器每次在收到客户端请求时都会尝试向它指派相同的地址,即使相隔较长的时间也是如此。只有在网络中包含的客户端数不超过地址数时,它才生效。

DHCP 简化了系统管理员的工作。与地址和网络配置相关的任何更改(甚至是较大的更改)一般都可以通过编辑服务器的配置文件来集中完成。这比重配置众多工作站要方便得多。此外,还可以更方便地将计算机(尤其是新计算机)集成到网络中,因为现在可以从池中为它们指派 IP 地址。如果经常在不同的网络中使用便携式计算机,则从 DHCP 服务器检索适当的网络设置特别有用。

在本章中,DHCP 服务器将在工作站所在的子网内运行,即 192.168.2.0/24(网关为 192.168.2.1)。它具有固定的 IP 地址 192.168.2.254,并提供两个地址范围:192.168.2.10192.168.2.20192.168.2.100192.168.2.200

DHCP 服务器不仅提供了 IP 地址和网络掩码,还提供了客户端要使用的主机名、域名、网关和名称服务器地址。此外,DHCP 还允许您集中配置多个参数,例如客户端可以从中巡回检测当前时间的时间服务器,甚至是打印服务器。

32.1 使用 YaST 配置 DHCP 服务器

要安装 DHCP 服务器,请启动 YaST 并选择软件 ›  软件管理。选择过滤器 ›  模式,然后选择 DHCP 和 DNS 服务器。确认安装相关的包来完成安装进程。

重要
重要:LDAP 支持

可以将 YaST DHCP 模块设置为在本地储存服务器配置(即运行 DHCP 服务器的主机上),或使其配置数据由 LDAP 服务器管理。要使用 LDAP,请在配置 DHCP 服务器前设置 LDAP 环境。

有关 LDAP 的更多信息,请参见Book “安全和强化指南”, Chapter 6 “389 LDAP Directory Server”

使用 YaST DHCP 模块 (yast2-dhcp-server) 可将自己的 DHCP 服务器设置用于本地网络。此模块能以向导模式或专家配置模式运行。

32.1.1 初始配置(向导)

第一次启动此模块时,向导启动,提示您做出一些有关服务器管理的基本决定。完成此初始设置将生成一个非常基本的服务器配置,此配置可以使服务器在各基本方面正常工作。专家方式可用于处理更高级的配置任务。按如下所示继续:

  1. 从该列表中选择 DHCP 服务器应侦听的接口,然后依次单击选择下一步。请参见图 32.1 “DHCP 服务器:卡选择”

    注意
    注意:DHCP 和 firewalld

    请注意,选项针对选定接口打开防火墙(目前)不支持 SUSE Linux Enterprise Server 15 SP3 中的 firewalld。要手动打开 DHCP 端口,请运行

           tux > sudo firewall-cmd --zone=public --permanent --add-service=dhcp
           tux > sudo firewall-cmd --reload
    DHCP 服务器:卡选择
    图 32.1︰ DHCP 服务器:卡选择
  2. 使用此复选框来确定是否由 LDAP 服务器自动储存您的 DHCP 设置。在文本框中,提供 DHCP 服务器应管理的所有客户端的网络细节。这些细节包括域名、时间服务器地址、主名称服务器和二级名称服务器的地址、打印和 WINS 服务器的地址(对于同时包含 Windows 和 Linux 客户端的混合网络)、网关地址和租用时间。请参见图 32.2 “DHCP 服务器:全局设置”

    DHCP 服务器:全局设置
    图 32.2︰ DHCP 服务器:全局设置
  3. 配置如何为客户端指派动态 IP 地址。为此,应首先指定服务器为 DHCP 客户端指派地址时使用的 IP 范围。所有这些地址必须由同一个网络掩码来覆盖。还要指定租用时间,在此期间客户端可以保留它的 IP 地址,而无需请求续期。也可以选择指定最长租用时间,这是服务器为特定客户端保留某个 IP 地址的时间。请参见图 32.3 “DHCP 服务器:动态 DHCP”

    DHCP 服务器:动态 DHCP
    图 32.3︰ DHCP 服务器:动态 DHCP
  4. 定义 DHCP 服务器应如何启动。指定 DHCP 服务器是在引导系统时自动启动还是在需要时(例如进行测试时)手动启动。单击完成完成对服务器的配置。请参见图 32.4 “DHCP 服务器:启动”

    DHCP 服务器:启动
    图 32.4︰ DHCP 服务器:启动
  5. 除了按上文所述方式使用动态 DHCP 之外,您也可以将服务器配置为以准静态方式指派地址。使用窗口下部提供的文本框来指定要以此方式管理的一组客户端。具体地说就是提供客户端的名称IP 地址,以及硬件地址网络类型(令牌环或以太网)。使用添加编辑从列表中删除来修改在窗口上部显示的客户端列表。请参见图 32.5 “DHCP 服务器:主机管理”

    DHCP 服务器:主机管理
    图 32.5︰ DHCP 服务器:主机管理

32.1.2 DHCP 服务器配置(专家)

除了前面介绍的配置方法外,还有一种专家配置方式,用于从方方面面精确调整 DHCP 服务器设置。单击启动对话框中的 DHCP 服务器专家配置(参见图 32.4 “DHCP 服务器:启动”)以启动专家配置。

Chroot 环境和声明

在第一个对话框中,选择启动 DHCP 服务器,使现有的配置可编辑。DHCP 服务器的行为的一个重要功能就是它能够在 chroot 环境(即 chroot jail)中运行,以便保证服务器主机的安全。如果 DHCP 服务器受到了外部攻击,则攻击者仍将被封锁在 chroot jail 中,从而可阻止其访问系统的其他部分。对话框的下部显示了一个树视图,列出了已经定义的声明。请使用添加删除编辑来修改它们。如果选择高级,就会进入其他专家对话框。请参见图 32.6 “DHCP 服务器:Chroot Jail 和声明”。选择添加后,定义要添加的声明类型。在高级中,查看服务器的日志文件、配置 TSIG 密钥管理,并根据 DHCP 服务器设置调整防火墙配置。

DHCP 服务器:Chroot Jail 和声明
图 32.6︰ DHCP 服务器:Chroot Jail 和声明
选择声明类型

DHCP 服务器的全局选项由若干声明组成。使用此对话框可设置声明类型子网主机共享网络地址池类别。此示例显示了新子网的选择(请参见图 32.7 “DHCP 服务器:选择声明类型”)。

DHCP 服务器:选择声明类型
图 32.7︰ DHCP 服务器:选择声明类型
子网配置

此对话框用于指定新子网的 IP 地址和网络掩码。在对话框的中部,使用添加编辑删除修改所选子网的 DHCP 服务器启动选项。要为子网设置动态 DNS,请选择动态 DNS

DHCP 服务器:配置子网
图 32.8︰ DHCP 服务器:配置子网
TSIG 密钥管理

如果在前面的对话框中选择了配置动态 DNS,现在就可以配置密钥管理来实现安全区域传送。选择确定将进入另一个对话框,在其中可以配置动态 DNS 的接口(请参见图 32.10 “DHCP 服务器:动态 DNS 的接口配置”)。

DHCP 服务器:TSIG 配置
图 32.9︰ DHCP 服务器:TSIG 配置
动态 DNS:接口配置

通过选择为此子网启用动态 DNS,可以为子网激活动态 DNS。完成激活后,请使用下拉框来激活正向和反向区域的 TSIG 密钥,确保为 DNS 和 DHCP 服务器选择相同密钥。使用更新全局动态 DNS 设置,您可以根据动态 DNS 环境自动更新和调节全局 DHCP 服务器设置。最后需要定义每个动态 DNS 应更新哪些正向和反向区域,同时分别为两个区域指定主名称服务器的名称。选择确定返回子网配置对话框(请参见图 32.8 “DHCP 服务器:配置子网”)。再次选择确定将返回最初的专家配置对话框。

DHCP 服务器:动态 DNS 的接口配置
图 32.10︰ DHCP 服务器:动态 DNS 的接口配置
注意
注意:ignore client-updates 选项

为区域启用动态 DNS 后,YaST 会自动添加 ignore client-updates 选项以改进客户端兼容性。如果不需要,可以禁用该选项。

网络接口配置

要定义 DHCP 服务器应侦听的接口并调整防火墙配置,请从专家配置对话框中选择 高级 ›  接口配置 。从所显示的接口列表中,选择一个或多个应由 DHCP 服务器处理的接口。如果希望使所有子网中的客户端都能够与服务器通讯,同时如果服务器主机也运行防火墙,则相应调整防火墙。

注意
注意:DHCP 和 firewalld

请注意,选项针对选定接口打开防火墙(目前)不支持 SUSE Linux Enterprise Server 15 SP3 中的 firewalld。要手动打开 DHCP 端口,请运行

        tux > sudo firewall-cmd --zone=public --permanent --add-service=dhcp
        tux > sudo firewall-cmd --reload
DHCP 服务器:网络接口和防火墙
图 32.11︰ DHCP 服务器:网络接口和防火墙

在完成所有配置步骤后,选择确定关闭对话框。服务器现在将以新配置启动。

32.2 DHCP 软件包

DHCP 服务器和 DHCP 客户端都适用于 SUSE Linux Enterprise Server。可用的 DHCP 服务器是 dhcpd(由互联网系统联盟发布)。客户端提供了 dhcp-client(ISC 中也有提供)及 wicked 包附带的工具。

默认情况下,wicked 工具会连同 wickedd-dhcp4wickedd-dhcp6 服务一起安装。系统每次引导时,会自动启动它们,以监视 DHCP 服务器。它们不需要配置文件来执行操作,可以直接用在大多数标准设置中。对于更复杂的情况,请使用 ISC dhcp-client,它是通过配置文件 /etc/dhclient.conf/etc/dhclient6.conf 来控制的。

32.3 DHCP 服务器 dhcpd

任何 DHCP 系统的核心都是动态主机配置协议守护程序。根据配置文件 /etc/dhcpd.conf 中定义的设置,此服务器租出地址并监视它们的使用。通过更改此文件中的参数和值,系统管理员可以在许多方面影响程序的行为。让我们看一下例 32.1 “配置文件 /etc/dhcpd.conf”中的基本示例 /etc/dhcpd.conf 文件。

例 32.1︰ 配置文件 /etc/dhcpd.conf
default-lease-time 600;         # 10 minutes
max-lease-time 7200;            # 2  hours

option domain-name "example.com";
option domain-name-servers 192.168.1.116;
option broadcast-address 192.168.2.255;
option routers 192.168.2.1;
option subnet-mask 255.255.255.0;

subnet 192.168.2.0 netmask 255.255.255.0
 {
  range 192.168.2.10 192.168.2.20;
  range 192.168.2.100 192.168.2.200;
 }

这个简单的配置文件足以使 DHCP 服务器在网络中指派 IP 地址。确保在每行末尾插入一个分号,否则将不能启动 dhcpd。

示例文件可以分为三部分。第一部分定义了将 IP 地址租出给请求它的客户端的默认秒数 (default-lease-time),超过此时间就应申请续期。此部分还包含一个最大期限语句,在此期限内计算机可以保留 DHCP 服务器指派的 IP 地址而无需申请续期 (max-lease-time)。

第二部分在全局级别上定义了一些基本网络参数:

  • option domain-name 行用于定义网络的默认域。

  • 使用 option domain-name-servers 项,最多可指定三个 DNS 服务器值,用来将 IP 地址解析为主机名,或将主机名解析为 IP 地址。理想情况下,应在设置 DHCP 之前在您的计算机上或网络中的其他位置配置一个名称服务器。这个名称服务器应为每个动态地址定义一个主机名(反之亦然)。要了解如何配置您自己的名称服务器,请参见第 31 章 “域名系统

  • option broadcast-address 定义了请求客户端应该使用的广播地址。

  • option routers 用于设置服务器在无法将数据包发送到本地网络上的主机时应将其发送到的位置(根据所提供的源和目标主机地址以及子网掩码)。通常情况下,尤其是在较小的网络中,此路由器与互联网网关完全相同。

  • option subnet-mask 用于指定为客户端指派的网络掩码。

文件的最后一部分用于定义网络,其中包含子网掩码。最后指定一个地址范围,DHCP 守护程序将使用此范围来向相关的客户端指派 IP 地址。在例 32.1 “配置文件 /etc/dhcpd.conf”中,可以为客户端分配 192.168.2.10192.168.2.20 之间或 192.168.2.100192.168.2.200 之间的任何地址。

编辑这些行后,便可以使用命令 systemctl start dhcpd 来激活 DHCP 守护程序。随后将可以立即使用它。使用命令 rcdhcpd check-syntax 来执行简单的语法检查。如果配置时出现任何意外问题(例如服务器由于错误而中止或在启动时不返回 done),您可以使用命令 journalctl 查询主系统日志中的信息,找出问题所在(有关更多信息,请参见第 17 章 “journalctl:查询 systemd 日志)。

在默认的 SUSE Linux Enterprise Server 系统上,出于安全考虑,将在 chroot 环境中启动 DHCP 守护程序。必须将配置文件复制到 chroot 环境,以便守护程序能够找到它们。通常情况下无需担心这一点,因为命令 systemctl start dhcpd 会自动复制这些文件。

32.3.1 使用固定 IP 地址的客户端

DHCP 可用来向特定客户端指派预定义的静态地址。显式指派的地址始终优先于来自地址池的动态地址。静态地址永远不会像动态地址那样过期。例如,对于动态地址而言,如果没有足够的地址可用,服务器需要在客户端之间重新分发这些地址。

要标识使用静态地址配置的客户端,dhcpd 会使用硬件地址(这是一个全球唯一的固定数字代码,其中包含 6 对八位组),用于标识所有网络设备(例如 00:30:6E:08:EC:80)。如果将相应的各行(如例 32.2 “配置文件中的新增内容”中的行)添加到例 32.1 “配置文件 /etc/dhcpd.conf”的配置文件,DHCP 守护程序会将相同的一组数据指派到相应的客户端。

例 32.2︰ 配置文件中的新增内容
host jupiter {
hardware ethernet 00:30:6E:08:EC:80;
fixed-address 192.168.2.100;
}

在第一行输入相应客户端的名称(host HOSTNAME,在本例中为 jupiter),在第二行输入 MAC 地址。在 Linux 主机上,使用命令 ip link show 后跟网络设备(例如 eth0)来查找 MAC 地址。输出应包含如下内容:

link/ether 00:30:6E:08:EC:80

在上面的示例中,会为网卡的 MAC 地址为 00:30:6E:08:EC:80 的客户端自动指派 IP 地址 192.168.2.100 和主机名 jupiter。虽然也支持在 IBM 系统上常见的 token-ring,但在几乎所有情况下,要输入的硬件类型都是 以太网

32.3.2 SUSE Linux Enterprise Server 版本

为了提高安全性,SUSE Linux Enterprise Server 版本的 ISC DHCP 服务器已应用了 Ari Edelkind 的 non-root/chroot 补丁。这使得 dhcpd 能够使用用户 ID nobody 来运行,并可以在 chroot 环境 (/var/lib/dhcp) 中运行。要实现这一点,必须使配置文件 dhcpd.conf 位于 /var/lib/dhcp/etc 中。init 脚本在启动时会自动将文件复制到此目录。

通过文件 /etc/sysconfig/dhcpd 中的项来控制与此特性相关的服务器的行为。如果不希望在 chroot 环境中运行 dhcpd,请将 /etc/sysconfig/dhcpd 中的变量 DHCPD_RUN_CHROOTED 设置为 no

为了使 dhcpd 甚至能够解析来自 chroot 环境的主机名,还必须复制其他一些配置文件:

  • /etc/localtime

  • /etc/host.conf

  • /etc/hosts

  • /var/run/netconfig/resolv.conf

在启动 init 脚本时,将把这些文件复制到 /var/lib/dhcp/etc/。如果通过 /etc/ppp/ip-up 这样的脚本动态修改这些文件,则无论这些文件需要任何更改,都必须同时考虑这些副本。但是,如果配置文件仅指定 IP 地址(而不是主机名),就不需要担心这一点。

如果您的配置中包含应复制到 chroot 环境中的其他文件,请在文件 etc/sysconfig/dhcpd 中的变量 DHCPD_CONF_INCLUDE_FILES 下设置它们。为了确保 DHCP 日志记录功能即使在 syslog 守护程序重启动后仍然起作用,文件 /etc/sysconfig/syslog 中必须有附加项 SYSLOGD_ADDITIONAL_SOCKET_DHCP

32.4 更多信息

有关 DHCP 的更多信息,请访问互联网系统联盟网站 (https://www.isc.org/dhcp/)。也可在 dhcpddhcpd.confdhcpd.leasesdhcp-options 手册页中获得相关信息。

33 SLP

要配置网络客户端,需要了解关于通过网络提供的服务(例如打印或 LDAP)的详细知识。为了简化在网络客户端上配置此类服务的工作,服务定位协议 (SLP) 应运而生。SLP 可向本地网络中的所有客户端告知所选服务的可用性和配置数据。支持 SLP 的应用程序可以利用这一信息来进行自动配置。

SUSE® Linux Enterprise Server 支持使用 SLP 提供的安装源进行安装,并且包含许多集成了 SLP 支持的系统服务。您可以使用 SLP 为联网客户端(如系统上的安装服务器、文件服务器或打印服务器)提供核心功能。提供 SLP 支持的服务包括 cupsd、login、ntp、openldap2-client、postfix、rpasswd、rsyncd、saned、sshd(通过 fish)、vnc 和 ypserv。

默认情况下,系统会安装在网络客户端上使用 SLP 服务所需的所有软件包。但如果您要通过 SLP 提供服务,请检查 openslp-server 包是否已安装。

33.1 SLP 前端 slptool

slptool 是一个命令行工具,用于查询和注册 SLP 服务。在进行诊断时,查询功能非常有用。下面列出了最重要的 slptool 子命令。slptool --help 列出所有可用的选项和函数。

findsrvtypes

列出网络上可用的所有服务类型。

tux > slptool findsrvtypes
service:install.suse:nfs
service:install.suse:ftp
service:install.suse:http
service:install.suse:smb
service:ssh
service:fish
service:YaST.installation.suse:vnc
service:smtp
service:domain
service:management-software.IBM:hardware-management-console
service:rsync
service:ntp
service:ypserv
findsrvs SERVICE_TYPE

列出提供 SERVICE_TYPE 的所有服务器

tux > slptool findsrvs service:ntp
service:ntp://ntp.example.com:123,57810
service:ntp://ntp2.example.com:123,57810
findattrs SERVICE_TYPE//HOST

列出 HOSTSERVICE_TYPE 的属性

tux > slptool findattrs service:ntp://ntp.example.com
(owner=tux),(email=tux@example.com)
register SERVICE type//HOST:PORT "(ATTRIBUTE=VALUE),(ATTRIBUTE=VALUE)"

使用可选属性列表在 HOST 上注册 SERVICE_TYPE

slptool register service:ntp://ntp.example.com:57810 \
"(owner=tux),(email=tux@example.com)"
deregister SERVICE_TYPE//host

HOST 上取消注册 SERVICE_TYPE

slptool deregister service:ntp://ntp.example.com

有关更多信息,请运行 slptool --help

33.2 通过 SLP 提供服务

要提供 SLP 服务,SLP 守护程序 (slpd) 必须处于运行状态。就像 SUSE Linux Enterprise Server 中的大多数系统服务一样,slpd 通过单独的启动脚本来控制。安装后,默认情况下停用守护程序。要为当前的会话激活它,请运行 sudo systemctl start slpd。如果 slpd 应该在系统启动时激活,请运行 sudo systemctl enable slpd

SUSE Linux Enterprise Server 中的许多应用程序都已通过 libslp 库集成了 SLP 支持。如果服务未符合 SLP 支持,请使用以下方法之一使其可通过 SLP 发布。

使用 /etc/slp.reg.d 进行的静态注册

为每个新服务创建单独的注册文件。下面的示例会注册一个扫描仪服务:

## Register a saned service on this system
## en means english language
## 65535 disables the timeout, so the service registration does
## not need refreshes
service:scanner.sane://$HOSTNAME:6566,en,65535
watch-port-tcp=6566
description=SANE scanner daemon

此文件中最重要的一行是以 service: 开头的服务 URL。其中包含服务类型 (scanner.sane) 以及该服务在服务器上的地址。$HOSTNAME 会自动替换为完整主机名。随后是可以找到相关服务的 TCP 端口的名称,端口与主机名之间用冒号分隔。然后输入服务的显示语言及以秒计的注册持续时间。应该用逗号分隔服务 URL 之后的各项内容。将注册持续时间设置为 065535 之间的值。0 表示禁止注册。65535 表示取消所有限制。

该注册文件还包含 watch-port-tcpdescription 这两个变量。watch-port-tcp 通过使 slpd 检查相关服务的状态,链接 SLP 服务对该服务是否活动的发布。第二个变量为显示在适合的浏览器中的服务提供了更为准确的描述。

提示
提示:YaST 和 SLP

在模块对话框中激活 SLP 后,由 YaST 代理的某些服务(如安装服务器或 YOU 服务器)会为您自动执行此注册。然后,YaST 为这些服务创建注册文件。

使用 /etc/slp.reg 进行的静态注册

此方法与使用 /etc/slp.reg.d 的步骤之间唯一的区别在于,所有服务在中心文件中分组。

使用 slptool 进行的动态注册

如果某个服务须动态注册,而无需配置文件,请使用 slptool 命令行实用程序。该实用程序还可用于取消注册某个现有服务产品,而无需重启动 slpd。有关详细信息,请参见 第 33.1 节 “SLP 前端 slptool

33.2.1 设置 SLP 安装服务器

在网络中通过 SLP 公告安装数据可简化网络安装过程,因为系统会通过 SLP 查询自动请求服务器 IP 地址或安装媒体路径等安装数据。有关指导,请参见Book “部署指南”, Chapter 16 “设置网络安装源”

33.3 更多信息

RFC 2608、2609、2610

RFC 2608 主要描述了 SLP 的定义。RFC 2609 更详细地描述了所用服务 URL 的语法;RFC 2610 则对通过 SLP 的 DHCP 进行了描述。

http://www.openslp.org

OpenSLP 项目的主页。

/usr/share/doc/packages/openslp

此目录包含 openslp-server 软件包随附的 SLP 文档,其中的 README.SUSE 文件包含 SUSE Linux Enterprise Server 细节、RFC 和两个介绍性的 HTML 文档。要使用 SLP 功能的程序员可参见 SUSE 软件开发包附带的 openslp-devel 软件包中的《Programmers Guide》(编程指南),以了解更多信息。

34 Apache HTTP 服务器

http://www.netcraft.com/ 的调查表明,Apache HTTP 服务器 (Apache) 是世界上应用最广泛的 Web 服务器。Apache 由 Apache 软件基金会 (http://www.apache.org/) 开发,适用于大多数操作系统。SUSE® Linux Enterprise Server 包含 Apache 版本 2.4。本章将介绍如何安装、配置和设置 Web 服务器;如何使用 SSL、CGI 和其他模块;以及如何对 Apache 进行查错。

34.1 快速入门

借助本节内容,可快速设置并启动 Apache。您必须是 root 用户才能安装和配置 Apache。

34.1.1 要求

在尝试设置 Apache Web 服务器之前,请确保满足以下要求:

  1. 计算机的网络配置正确。有关该主题的详细信息,请参见第 19 章 “基本网络知识

  2. 通过与时间服务器同步来维护计算机的准确系统时间。这一点是必需的,因为 HTTP 协议的多个部分依赖于正确的时间。请参见第 30 章 “使用 NTP 同步时间来了解该主题的更多信息。

  3. 将安装最新的安全更新。如果存在疑问,请运行 YaST 联机更新。

  4. 默认 Web 服务器端口 (80) 将在防火墙中打开。为此,请将 firewalld 配置为允许在公共区域中使用 http 服务。有关详细信息,请参见 Book “安全和强化指南”, Chapter 24 “掩蔽和防火墙”, Section 24.4.2 “在命令行上配置防火墙”

34.1.2 安装

SUSE Linux Enterprise Server 中的 Apache 默认不会安装到系统中。要用即装即用的标准预定义配置来安装它,请按如下所示继续:

过程 34.1︰ 以默认配置安装 Apache
  1. 启动 YaST,然后选择 软件 ›  软件管理

  2. 选择视图 ›  模式,然后选择 Web 和 LAMP 服务器

  3. 确认安装相关的软件包来完成安装进程。

34.1.3 开始

可以自动在引导时启动 Apache 或手动启动它。

要确保 Apache 在引导期间自动启动,请在目标 multi-user.targetgraphical.target 中执行以下命令:

tux > sudo systemctl enable apache2

有关 SUSE Linux Enterprise Serversystemd 目标的详细信息以及 YaST 服务管理器的说明,请参见第 15.4 节 “使用 YaST 管理服务”

要使用外壳手动启动 Apache,请运行 systemctl start apache2

过程 34.2︰ 检查 Apache 是否正在运行

如果在启动 Apache 时没有收到错误消息,这通常表示 Web 服务器正在运行。测试 Apache 是否正在运行:

  1. 启动浏览器,然后打开 http://localhost/

    如果 Apache 已启动并正在运行,您将看到一个测试页,指示它正在运行!

  2. 如果看不到此页面,请参见第 34.9 节 “查错”

既然 Web 服务器已在运行,因此可以添加您自己的文档、根据需要调整配置或通过安装模块来添加功能。

34.2 配置 Apache

SUSE Linux Enterprise Server 提供了两个配置选项:

手工配置可提供更详细的信息,但没有 YaST GUI 方便。

重要
重要:配置更改后重新装载或重启动 Apache

大多数配置更改需要重新装载(有些还需要重启动)Apache 后才能生效。使用 systemctl reload apache2第 34.3 节 “启动和停止 Apache”中所述的某个重启动选项手动重新装载 Apache。

如果用 YaST 配置 Apache,按第 34.2.3.2 节 “HTTP 服务器配置”中所述将 HTTP 服务设置为已启用即可让上述操作自动完成。

34.2.1 Apache配置文件

本部分概述了 Apache 配置文件。如果使用 YaST 进行配置,则不需要更改这些文件,但如果以后要切换到手动配置,这些信息可能非常有用。

Apache 配置文件可在两个不同位置处获取:

34.2.1.1 /etc/sysconfig/apache2

/etc/sysconfig/apache2 控制 Apache 的某些全局设置,例如要装载的模块、要包含的其他配置文件、启动服务器时应同时启动的标志,以及应添加到命令行的标志。此文件中的每个配置选项都有详细记录,因此在此不再描述。对于一般用途的 Web 服务器,/etc/sysconfig/apache2 中的设置应足以满足所有配置需要。

34.2.1.2 /etc/apache2/

/etc/apache2/ 托管 Apache 的所有配置文件。下面描述了每个文件的用途。每个文件均包含几个配置选项(也称为指令)。这些文件中的每个配置选项都有详细记录,因此在此不再描述。

Apache 配置文件按如下所示组织:

/etc/apache2/
     |
     |- charset.conv
     |- conf.d/
     |   |
     |   |- *.conf
     |
     |- default-server.conf
     |- errors.conf
     |- httpd.conf
     |- listen.conf
     |- magic
     |- mime.types
     |- mod_*.conf
     |- server-tuning.conf
     |- ssl.*
     |- ssl-global.conf
     |- sysconfig.d
     |   |
     |   |- global.conf
     |   |- include.conf
     |   |- loadmodule.conf . .
     |
     |- uid.conf
     |- vhosts.d
     |   |- *.conf
/etc/apache2/ 中的 Apache 配置文件
charset.conv

指定要用于不同语言的字符集。不要编辑此文件。

conf.d/*.conf

其他模块添加的配置文件。可在需要时将这些配置包含进虚拟主机配置。有关示例请参见 vhosts.d/vhost.template。如此操作后,可以为不同的虚拟主机提供不同的模块集。

default-server.conf

具有合理默认值的所有虚拟主机的全局配置。除了更改值之外,还可以使用虚拟主机配置来覆盖它们。

errors.conf

定义 Apache 如何响应错误。要为所有虚拟主机自定义这些消息,请编辑此文件。否则在您的虚拟主机配置中覆盖这些指令。

httpd.conf

主 Apache 服务器配置文件。请勿更改此文件。它主要包含 include 语句和全局设置。重写此处列出的相关配置文件中的全局设置。更改您的虚拟主机配置中的特定于主机的设置(例如文档根目录)。

listen.conf

将 Apache 绑定到特定的 IP 地址和端口。基于名称的虚拟主机也在此处配置。有关详细信息,请参见第 34.2.2.1.1 节 “基于名称的虚拟主机”

magic

mime_magic 模块的数据帮助 Apache 自动确定 MIME 类型的未知文件。不要更改此文件。

mime.types

MIME 类型可由系统识别(它实际上是一个指向 /etc/mime.types 的链接)。不要编辑此文件。如果需要添加此处没有列出的 MIME 类型,那么请将它们添加到 mod_mime-defaults.conf

mod_*.conf

默认情况下安装的模块的配置文件。有关细节,请参考第 34.4 节 “安装、激活和配置模块”。注意,可选模块的配置文件储存在目录 conf.d 中。

server-tuning.conf

包含不同 MPM(请参见第 34.4.4 节 “多处理模块”)的配置指令以及控制 Apache 性能的一般配置选项。在此处更改时,请对 Web 服务器进行合理的测试。

ssl-global.confssl.*

全局 SSL 配置和 SSL 证书数据。有关细节,请参考第 34.6 节 “使用 SSL 设置安全的 Web 服务器”

sysconfig.d/*.conf

/etc/sysconfig/apache2 自动生成的配置文件。请勿更改这些文件,而应编辑 /etc/sysconfig/apache2。不要在此目录中放置其他配置文件。

uid.conf

指定运行 Apache 的用户和组 ID。不要更改此文件。

vhosts.d/*.conf

虚拟主机配置应位于此处。该目录包含使用和不使用 SSL 的虚拟主机的模板文件。该目录中以 .conf 结尾的所有文件均自动包含在 Apache 配置中。有关细节,请参考第 34.2.2.1 节 “虚拟主机配置”

34.2.2 手动配置 Apache

手动配置 Apache 包括作为 root 用户来编辑纯文本配置文件。

34.2.2.1 虚拟主机配置

术语虚拟主机指的是 Apache 在一台物理计算机上为多个统一资源标识符 (URI) 提供服务的能力。这意味着在一个物理计算机上的一个 Web 服务器可以运行几个域(例如 www.example.com 和 www.example.net)。

通常的做法是使用虚拟主机来节省管理精力(只需维护一个 Web 服务器即可)和硬件费用(每个域不需要专用的服务器)。虚拟主机可以是基于名称、基于 IP 或基于端口的。

要列出所有现有的虚拟主机,请使用命令 apache2ctl -S。这将输出一个列表,显示默认服务器和所有虚拟主机以及它们的 IP 地址和侦听端口。此外,该列表还针对每个虚拟主机包含一项,显示其在配置文件中的位置。

可以通过 YaST(如第 34.2.3.1.4 节 “虚拟主机”中所述)或通过手动编辑配置文件来配置虚拟主机。默认情况下,系统会根据 /etc/apache2/vhosts.d/ 中每个虚拟主机一个配置文件的设置,为 SUSE Linux Enterprise Server 中的 Apache 做好准备。该目录中扩展名为 .conf 的所有文件均会自动包含到配置中。虚拟主机的基本模板将在目录 vhost.templatevhost-ssl.template 中提供,以用于带有 SSL 支持的虚拟主机。

提示
提示:始终要创建虚拟主机配置

建议您始终创建虚拟主机配置文件,即使您的 Web 服务器仅主管一个域。这样不但可以将特定于域的配置保存在一个文件中,还可以只需移动、删除或重命名虚拟主机的配置文件就能始终回退到有效的基本配置。因此,还应该为每个虚拟主机创建单独的配置文件。

使用基于名称的虚拟主机时,建议设置将在域名与虚拟主机配置不匹配时使用的默认配置。默认虚拟主机即最先装载其配置的虚拟主机。由于配置文件的装载顺序取决于文件名,因此请在默认虚拟主机配置的文件名的开头使用下划线字符 (_),以确保最先装载它(例如:_default_vhost.conf)。

<VirtualHost></VirtualHost> 块保存适用于特定域的信息。当 Apache 接收到客户端对某已定义虚拟主机的请求时,将使用此部分包含的指令。几乎所有指令均可用在虚拟主机环境中。请参见 http://httpd.apache.org/docs/2.4/mod/quickreference.html 来获取有关 Apache 的配置指令的进一步信息。

34.2.2.1.1 基于名称的虚拟主机

使用基于名称的虚拟主机,每个 IP 地址能服务于多个网站。Apache 使用客户端发送的 HTTP 报头中的主机字段来将请求连接到某个虚拟主机声明中匹配的 ServerName 项。如果找不到匹配的 ServerName,则默认使用第一个指定的虚拟主机。

第一步是为您要提供服务的每个基于名称的不同主机创建 <VirtualHost> 块。在每个 <VirtualHost> 块内,至少需要有一个 ServerName 指令来指定要为哪个主机提供服务,还需要有一个 DocumentRoot 指令指出该主机的内容位于文件系统中的哪个位置。

例 34.1︰ 基于名称的 VirtualHost 项的基本示例
<VirtualHost *:80>
# This first-listed virtual host is also the default for *:80
ServerName www.example.com
ServerAlias example.com
DocumentRoot /srv/www/htdocs/domain
</VirtualHost>

<VirtualHost *:80>
ServerName other.example.com
DocumentRoot /srv/www/htdocs/otherdomain
</VirtualHost>

VirtualHost 开始标记会使该 IP 地址(或完全限定的域名)在基于名称的虚拟主机配置中作为参数。端口号指令为可选项目。

允许使用通配符 * 代替 IP 地址。当使用 IPv6 地址时,地址必须括在方括号中。

例 34.2︰ 基于名称的 VirtualHost 指令
<VirtualHost 192.168.3.100:80>
  ...
</VirtualHost>

<VirtualHost 192.168.3.100>
  ...
</VirtualHost>

<VirtualHost *:80>
  ...
</VirtualHost>

<VirtualHost *>
  ...
</VirtualHost>

<VirtualHost [2002:c0a8:364::]>
  ...
</VirtualHost>
34.2.2.1.2 基于 IP 礬u196 A虚AaO鱘u187 机

这种备选的虚拟主机配置要求为计算机设置多个 IP 地址。Apache 的一个实例储存多个域,并为每个域指派一个不同的 IP。

物理服务器必须为每个基于 IP 的虚拟主机指定一个 IP 地址。如果计算机没有多个网卡,也可以使用虚拟网络接口(IP 别名)。

以下示例显示,Apache 在 IP 为 192.168.3.100 的计算机上运行,并在附加的 IP 地址 192.168.3.101192.168.3.102 上托管了两个域。请为每个虚拟服务器指定一个单独的 VirtualHost 块。

例 34.3︰ 基于 IP 的 VirtualHost 指令
<VirtualHost 192.168.3.101>
  ...
</VirtualHost>

<VirtualHost 192.168.3.102>
  ...
</VirtualHost>

在此,VirtualHost 指令只针对除 192.168.3.100 以外的接口。在也为 192.168.3.100 配置监听指令时,必须创建单独的、基于 IP 的虚拟主机才能答复对该接口的 HTTP 请求,否则应用在默认服务器配置 (/etc/apache2/default-server.conf) 中找到的指令。

34.2.2.1.3 基本虚拟主机配置

每个虚拟主机配置中至少要有以下指令,才能设置虚拟主机。请参见 /etc/apache2/vhosts.d/vhost.template 获取更多选项。

ServerName

主机所在的全限定域名。

DocumentRoot

Apache 应该为此主机提供文件的目录路径。出于安全考虑,在默认情况下禁止访问整个文件系统,所以必须在目录容器中显示地解锁此目录。

ServerAdmin

服务器管理员的电子邮件地址。例如,此地址将显示在 Apache 创建的错误页面上。

ErrorLog

该虚拟主机的错误日志文件。尽管不必为每个虚拟主机创建单独的错误日志文件,但是通常建议执行此操作,因为这样能使错误调试变得容易些。/var/log/apache2/ 是 Apache 日志文件的默认目录。

CustomLog

该虚拟主机的访问日志文件。尽管不必为每个虚拟主机创建单独的访问日志文件,但是通常建议执行此操作,因为这样可单独分析每个主机的访问统计数字。/var/log/apache2/ 是 Apache 日志文件的默认目录。

综上所述,出于安全考虑,在默认情况下禁止访问整个文件系统。因此,明确对您放置了 Apache 应为其提供服务的文件所在的目录解除锁 定,例如 DocumentRoot

<Directory "/srv/www/www.example.com/htdocs">
  Require all granted
</Directory>
注意
注意:Require all granted

在旧版 Apache 中,Require all granted 语句表达为:

Order allow,deny
Allow from all

mod_access_compat 模块仍然支持该旧语法。

完整的配置文件外观如下所示:

例 34.4︰ 基本 VirtualHost 配置
<VirtualHost 192.168.3.100>
  ServerName www.example.com
  DocumentRoot /srv/www/www.example.com/htdocs
  ServerAdmin webmaster@example.com
  ErrorLog /var/log/apache2/www.example.com_log
  CustomLog /var/log/apache2/www.example.com-access_log common
  <Directory "/srv/www/www.example.com/htdocs">
  Require all granted
  </Directory>
</VirtualHost>

34.2.3 使用 YaST 配置 Apache

要使用 YaST 配置 Web 服务器,请启动 YaST,并选择网络服务 ›  HTTP 服务器。第一次启动此模块时,HTTP 服务器向导会启动,提示您做出一些有关服务器管理的基本决定。完成向导后,在您每次调用 HTTP 服务器模块时,HTTP 服务器配置对话框都会启动。有关详细信息,请参见第 34.2.3.2 节 “HTTP 服务器配置”

34.2.3.1 HTTP 服务器向导

HTTP 服务器向导包括五个步骤。在对话框的最后一步中,您可以进入专家配置模式进行更具体的设置。

34.2.3.1.1 网络设备选择

在这里,指定 Apache 用以侦听传入请求的网络接口和端口。可以选择现有网络接口及其各自 IP 地址的任意组合。可以使用其他服务未预留的所有三个范围内的端口(公认端口、注册端口和动态或私用端口)。默认设置是在端口 80 上侦听所有网络接口(IP 地址)。

选中打开防火墙中的端口,在防火墙中打开 Web 服务器侦听的端口。要使 Web 服务器在网络(LAN、WAN 或公共互联网)中可用,这样做是必要的。仅在测试时不必对 Web 服务器进行外部访问的情况下,关闭端口是有用的。如果有多个网络接口,请单击防火墙细节以指定要在哪些接口上打开端口。

单击下一步继续配置。

34.2.3.1.2 模块

模块配置选项允许激活或停用 Web 服务器应支持的脚本语言。要激活或停用其他模块,请参见第 34.2.3.2.2 节 “服务器模块”。单击下一步进入下一个对话框。

34.2.3.1.3 默认主机

该选项与默认的 Web 服务器相关。正如第 34.2.2.1 节 “虚拟主机配置”中所述,Apache 可以在一台物理计算机上为多台虚拟主机提供服务。配置文件中最先声明的虚拟主机通常称为默认主机。每个虚拟主机都将继承默认主机的配置。

要编辑主机设置(也称为指令),请在表中选择相应的项,然后单击编辑。要添加新指令,请单击添加。要删除指令,请选择该主机,然后单击删除

HTTP 服务器向导:默认主机
图 34.1︰ HTTP 服务器向导:默认主机

这里是服务器默认设置的列表:

Document Root

Apache 为此主机提供文件的目录路径。/srv/www/htdocs 是默认位置。

Alias

使用 Alias 指令可以将 URL 映射到物理文件系统位置。这意味着可以通过对某路径进行 URL 别名判别来访问该路径(即使是在文件系统中文档根目录之外的路径)。

默认的 SUSE Linux Enterprise Server Alias /icons 指向 /usr/share/apache2/icons,作为显示在目录索引视图中的 Apache 图标。

ScriptAlias

Alias 指令类似,ScriptAlias 指令将 URL 映射到文件系统位置。不同之处在于 ScriptAlias 将目标目录指定为 CGI 位置,意味着 CGI 脚本应该在此位置执行。

目录

设置 Directory 后,便可包含一组只能应用于指定目录的配置选项。

目录 /srv/www/htdocs/usr/share/apache2/icons/srv/www/cgi-bin 的访问和显示选项是在此处配置的。不需要更改默认值。

Include

使用 include,还可指定其他配置文件。已预配置两个 Include 指令:/etc/apache2/conf.d/ 是包含与外部模块一起提供的配置文件的目录。使用此指令可包含该目录中以 .conf 结尾的所有文件。使用第二个指令可包含 /etc/apache2/conf.d/apache2-manual.confapache2-manual 配置文件)。

Server Name

这指定了客户端用来联系 Web 服务器的默认 URL。使用完全限定的域名 (FQDN) 到达 Web 服务器(位于 http://FQDN/)或其 IP 地址。不能在此处随意选择名称 - 服务器在此名称下必须是已知的。

Server Administrator E-Mail

服务器管理员的电子邮件地址。例如,此地址将显示在 Apache 创建的错误页面上。

完成默认主机步骤后,单击下一步继续完成配置。

34.2.3.1.4 虚拟主机

在本步骤中,向导显示已配置的虚拟主机(请参见第 34.2.2.1 节 “虚拟主机配置”)的列表。如果启动 YaST HTTP 向导前未进行手动更改,将不显示虚拟主机。

要添加主机,请单击添加以打开一个对话框,可在其中输入有关该主机的基本信息,如服务器名称服务器内容根 (DocumentRoot) 和管理员电子邮件服务器解析用来确定如何识别主机(基于名称或基于 IP)。通过更改虚拟主机 ID 指定名称或 IP 地址

单击下一步进入虚拟主机配置对话框的第二部分。

在虚拟主机配置的第二部分中,可以指定是否启用 CGI 脚本以及用于这些脚本的目录。还可启用 SSL。如果要启用,还必须指定证书的路径。请参见第 34.6.2 节 “使用 SSL 配置 Apache”了解有关 SSL 和证书的细节。使用目录索引选项,可指定在客户端请求目录时所显示的文件(默认情况下为 index.html)。添加一个或多个文件名(用空格分隔)可更改此设置。使用启用公用 HTML,便可在服务器的 http://www.example.com/~USER 下访问用户公共目录 (~USER/public_html/) 的内容。

重要
重要:创建虚拟主机

不能随意添加虚拟主机。如果使用基于名称的虚拟主机,必须在网络上解析每个主机名。如果使用基于 IP 的虚拟主机,则仅可向每个可用的 IP 地址指定一个主机。

34.2.3.1.5 摘要

这是本向导的最后一步。在此,确定 Apache 服务器启动的方式和时间:何时引导或手动引导。另请参见迄今为止所作配置的简短摘要。如果对设置满意,单击完成以完成配置。要进行更改,请单击后退直至显示所需的对话框。单击 HTTP 服务器专家配置打开第 34.2.3.2 节 “HTTP 服务器配置”中所述的对话框。

HTTP 服务器向导:摘要
图 34.2︰ HTTP 服务器向导:摘要

34.2.3.2 HTTP 服务器配置

HTTP 服务器配置对话框还允许您对配置进行比在向导(它只在您首次配置 Web 服务器时运行)中更多的调整。它由四个如下所述的选项卡组成。在此处更改的任何配置选项都不会立即生效,总是需要使用完成来确认更改从而使其生效。单击中止退出配置模块并丢弃所作更改。

34.2.3.2.1 侦听端口和地址

HTTP Service 中,选择应该运行(启用)还是停止(禁用)Apache。在侦听端口中,添加编辑删除服务器可用的地址和端口。默认设置是在端口 80 上侦听所有接口。应始终选中打开防火墙中的端口,否则无法从外部访问 Web 服务器。仅在测试时不必对 Web 服务器进行外部访问的情况下,关闭端口是有用的。如果有多个网络接口,请单击防火墙细节以指定要在哪些接口上打开端口。

使用日志文件查阅访问日志文件或错误日志文件。如果要测试配置,这很有用。该日志文件将在单独的窗口中打开,您还可从该窗口重启动或重新装载 Web 服务器。有关详细信息,请参见 第 34.3 节 “启动和停止 Apache”.这些命令将立即生效,并且其日志消息也会立即显示。

HTTP 服务器配置:侦听端口和地址
图 34.3︰ HTTP 服务器配置:侦听端口和地址
34.2.3.2.2 服务器模块

可以通过单击切换状态来更改 Apache2 模块的状态(启用或禁用)。单击添加模块可添加已安装但还未列出的新模块。要了解模块的更多信息,请参见第 34.4 节 “安装、激活和配置模块”

HTTP 服务器配置:服务器模块
图 34.4︰ HTTP 服务器配置:服务器模块
34.2.3.2.3 主要主机

这些对话框与上述对话框相同。请参见第 34.2.3.1.3 节 “默认主机”第 34.2.3.1.4 节 “虚拟主机”

34.3 启动和停止 Apache

如果按第 34.2.3 节 “使用 YaST 配置 Apache”中所述使用 YaST 配置,Apache 会在引导时在 multi-user.targetgraphical.target 中启动。您可以使用 YaST 的 服务管理器或借助 systemctl 命令行工具(systemctl enablesystemctl disable)更改此行为。

要在正在运行的系统上启动、停止或操作 Apache,请使用 systemctlapachectl 命令,详见下面的说明。

有关 systemctl 命令的一般信息,请参考第 15.2.1 节 “管理正在运行的系统中的服务”

systemctl status apache2

请检查 Apache 是否已启动。

systemctl start apache2

如果 Apache 未在运行,则启动它。

systemctl stop apache2

通过终止父进程来停止 Apache。

systemctl restart apache2

停止然后重启动 Apache。如果 Web 服务器没有预先运行,则启动它。

systemctl try-restart apache2

仅当 Apache 已在运行时才停止并重启动它。

systemctl reload apache2

停止 Web 服务器时,应建议所有生成的 Apache 进程在关闭之前首先完成它们的请求。每个进程终止时,会替换为一个新启动的进程,继而导致 Apache 完全重启动

提示
提示:在生产环境中重启动 Apache

使用此命令,无需中断连接,即可激活 Apache 配置中的更改。

systemctl stop apache2

在经过 GracefulShutdownTimeout 所配置的指定时间段后停止 Web 服务器,以确保现有请求可以完成。

apachectl configtest

在不影响运行的 Web 服务器的情况下检查配置文件的语法。由于此检查是在服务器每次启动时强制执行的,所以通常不需要显式运行测试(如果发现配置错误,则 Web 服务器将不启动、重装载或重启动)。

apachectl statusapachectl fullstatus

分别转储不全或完整状态屏幕。需要启用 mod_status 模块,以及安装基于文本的浏览器(例如 linksw3m)。此外,还必须将状态添加到文件 /etc/sysconfig/apache2 中的 APACHE_SERVER_FLAGS

提示
提示:其他标志

如果在命令中指定其他标志,这些标志将传递到 Web 服务器。

34.4 安装、激活和配置模块

Apache 软件是以模块化方式构建的:除某些核心任务外的所有功能都是通过模块处理的。这方面的发展很快,甚至连 HTTP 都是由模块 (http_core) 处理的。

Apache 模块可以在构建时编译成 Apache 二进制文件,或在运行时动态装载。请参见第 34.4.2 节 “激活和停用”以获取有关如何动态装载模块的详细信息。

Apache 模块可以划分为四个不同的类别:

基础模块

默认情况下,基础模块将编译到 Apache 中。SUSE Linux Enterprise Server 上的 Apache 中仅编译了 mod_so(装载其他模块时需要)和 http_core。所有其他对象都可用作共享对象:它们可在运行时被包含,而不是包含在服务器二进制文件本。

扩展模块

通常,扩展模块包含在 Apache 软件包中,但一般不静态编译到服务器中。在 SUSE Linux Enterprise Server 中,它们以共享对象方式提供,在运行时装载到 Apache 中。

外部模块

标注为外部的模块不包含在正式 Apache 发行版中。不过,SUSE Linux Enterprise Server 提供了其中的几个模块。

多处理模块 (MPM)

MPM 负责接受和处理对 Web 服务器的请求,代表 Web 服务器软件的核心。

34.4.1 模块安装

如果您按第 34.1.2 节 “安装”中所述执行了默认安装,那么以下模块已经安装:所有基本和扩展模块、多处理模块 Prefork MPM 以及外部模块 mod_python

您可以启动 YaST,然后选择软件 ›  软件管理,来安装其他外部模块。现在请选择视图 › 搜索并搜索 apache。在其他软件包中,结果列表将包含所有可用的外部 Apache 模块。

34.4.2 激活和停用

手动或用 YaST 激活或停用特定模块。在 YaST 中,需要使用第 34.2.3.1 节 “HTTP 服务器向导”中所述的模块配置来启用或禁用脚本语言模块(PHP 5 和 Python)。可以按第 34.2.3.2.2 节 “服务器模块”中所述启用或禁用所有其他模块。

如果您想手动激活或停用这些模块,请分别使用命令 a2enmod MODULEa2dismod MODULEa2enmod -l 会输出所有当前活动的模块列表。

重要
重要:包含外部模块的配置文件

如果已经手动激活外部模块,则确保在所有虚拟主机配置中装载其配置文件。外部模块的配置文件位于 /etc/apache2/conf.d/ 下,并且默认装载到 /etc/apache2/default-server.conf 中。要获取更精密的控制,您可以注释掉 /etc/apache2/default-server.conf 中的内容,并仅将该文件添加到特定虚拟主机。请参见 /etc/apache2/vhosts.d/vhost.template 获取示例。

34.4.3 基础模块和扩展模块

Apache 文档中对所有基础模块和扩展模块均进行了详细的描述。此处仅提供大多数重要模块的简短描述。请参见 http://httpd.apache.org/docs/2.4/mod/ 以了解有关每个模块的详细信息。

mod_actions

请求某个特定 MIME 类型(如 application/pdf)、带特定扩展名的文件(如 .rpm)或某个特定请求方法(如 GET)时,提供执行脚本的方法。默认情况下启用此模块。

mod_alias

提供 AliasRedirect 指令,供您将 URL 映射到特定目录 (Alias),或将请求的 URL 重定向到另一个位置。默认情况下启用此模块。

mod_auth*

身份验证模块提供不同的身份验证方法:使用 mod_auth_basic 的基本身份验证或使用 mod_auth_digest 的摘要身份验证。

mod_auth_basicmod_auth_digest 必须与身份验证提供程序模块 mod_authn_*(例如,用于基于文本文件的身份验证的 mod_authn_file),以及授权模块 mod_authz_*(例如,用于用户授权的 mod_authz_user)结合使用。

有关该主题的更多信息可以从 Authentication HOWTO 中获取,网址是 http://httpd.apache.org/docs/2.4/howto/auth.html

mod_auth_openidc

在 Apache HTTP 服务器中使用 OpenID Connect 的唯一认可方式是借助 mod_auth_openidc。(请参见 https://openid.net/developers/certified/。)

mod_autoindex

当不存在索引文件(例如 index.html)时,Autoindex 将生成目录列表。这些索引的外观是可配置的。默认情况下启用此模块。但是,在默认情况下,目录列表将通过选项指令禁用,覆盖虚拟主机配置中的此设置。此模块的默认配置文件位于 /etc/apache2/mod_autoindex-defaults.conf 处。

mod_cgi

执行 CGI 脚本时需要有 mod_cgi。默认情况下启用此模块。

mod_deflate

可使用此模块配置 Apache,使其在传递给定文件类型之前实时压缩这些文件类型。

mod_dir

mod_dir 提供 DirectoryIndex 指令,它可用来配置在请求目录时自动传递的文件(默认使用 index.html)。当目录请求不包含尾部斜杠时,它还能自动重定向到正确的 URL。默认情况下启用此模块。

mod_env

控制传递到 CGI 脚本或 SSI 页面的环境。环境变量可设置或取消设置,或者从调用 httpd 进程的外壳传递。默认情况下启用此模块。

mod_expires

使用 mod_expires,便可通过发送 Expires 报头来控制代理和浏览器缓存刷新文档的频率。默认情况下启用此模块。

mod_http2

通过 mod_http2,Apache 可获取对 HTTP/2 协议的支持。这可以通过在 VirtualHost 中指定 Protocols h2 http/1.1 来实现。

mod_include

mod_include 允许您使用服务器端包含 (SSI),它能提供动态生成 HTML 页面的基本功能。默认情况下启用此模块。

mod_info

在 http://localhost/server-info/ 下提供服务器配置的完整概述。出于安全考虑,始终应该限制对此 URL 的访问。默认情况下只允许 localhost 访问此 URL。mod_info/etc/apache2/mod_info.conf 中配置。

mod_log_config

使用此模块可配置 Apache 日志文件的外观。默认情况下启用此模块。

mod_mime

Mime 模块会根据所传递文件的扩展名(例如,HTML 文档的扩展名为 text/html)来确定文件是否具有正确的 MIME 报头。默认情况下启用此模块。

mod_negotiation

对于内容协商是必需的。请参见 http://httpd.apache.org/docs/2.4/content-negotiation.html 获取更多信息。默认情况下启用此模块。

mod_rewrite

提供 mod_alias 的功能,但功能更全且更为灵活。使用 mod_rewrite,便可根据多个规则、请求报头等来重定向 URL。

mod_setenvif

基于客户端的请求细节(如客户端发送的浏览器字符串或客户端的 IP 地址)来设置环境变量。默认情况下启用此模块。

mod_spelling

mod_speling 会尝试自动更正 URL 中的打字错误,例如大小写错误。

mod_ssl

在 Web 服务器和客户端之间启用加密连接。有关详细信息,请参见 第 34.6 节 “使用 SSL 设置安全的 Web 服务器”。默认情况下启用此模块。

mod_status

在 http://localhost/server-status/ 下提供有关服务器活动和性能的信息。出于安全考虑,始终应该限制对此 URL 的访问。默认情况下只允许 localhost 访问此 URL。mod_status/etc/apache2/mod_status.conf 中配置。

mod_suexec

mod_suexec 允许您在不同的用户和组下运行 CGI 脚本。默认情况下启用此模块。

mod_userdir

启用 ~USER/ 下特定于用户的目录。必须在配置中指定 UserDir 指令。默认情况下启用此模块。

34.4.4 多处理模块

SUSE Linux Enterprise Server 提供了两个不同的多处理模块 (MPM) 来结合 Apache 使用:

34.4.4.1 Prefork MPM

prefork MPM 实施了一个非线程的预生成 Web 服务器。它使 Web 服务器在行为上类似于 Apache 版本 1.x。在该版本中,它隔离每个请求并通过派生单独的子进程来处理请求。这样,有问题的请求就不会影响其他请求,避免了 Web 服务器被锁定。

此基于进程的方法 prefork MPM 虽然提供了稳定性,但比相应的 worker MPM 消耗更多的系统资源。prefork MPM 被视为是基于 Unix 操作系统的默认 MPM。

重要
重要:本文档中的 MPM

本文档假设 Apache 使用 prefork MPM。

34.4.4.2 Worker MPM

worker MPM 提供一种多线程 Web 服务器。线程是一种更小的进程。线程相对于进程的优点是它占用较少的资源。worker MPM 并非仅生成子进程,还通过在服务器进程中使用线程来处理请求。预派生的子进程是多线程的。此方法相比 prefork MPM,使 Apache 消耗更少的系统资源,从而提高了 Apache 的执行效率。

一个主要缺点是 worker MPM 的稳定性:如果一个线程损坏,进程的所有线程都会受影响。最严重的情况会导致服务器崩溃。尤其是,如果在高负载下将通用网关接口 (CGI) 与 Apache 一起使用,就可能由于线程无法与系统资源通讯而发生内部服务器错误。将 worker MPM 与 Apache 搭配使用的另一个争议是,并非所有可用的 Apache 模块都是线程安全的,因此它不能与 worker MPM 搭配使用。

警告
警告:将 PHP 模块与 MPM 结合使用

并非所有可用的 PHP 模块都是线程安全的。强烈建议不要将 worker MPM 与 mod_php 一起使用。

34.4.5 外部模块

此处提供了 SUSE Linux Enterprise Server 随附的所有外部模块的列表。在列出的目录中查找模块的文档。

mod_apparmor

为 Apache 提供额外支持,以便对由 mod_php5 等模块处理的各个 CGI 脚本设置 AppArmor 限制。

软件包名称:apache2-mod_apparmor
更多信息: Book “安全和强化指南
mod_php5

PHP 是一种服务器端、跨平台 HTML 嵌入式脚本编写语言。

软件包名称:apache2-mod_php5
配置文件:/etc/apache2/conf.d/php5.conf
更多信息:/usr/share/doc/packages/apache2-mod_php5
mod_python

mod_python 允许将 Python 嵌入到 Apache HTTP 服务器中以增强性能并使基于 Web 的应用程序的设计更为灵活。

软件包名称:apache2-mod_python
更多信息:/usr/share/doc/packages/apache2-mod_python
mod_security

mod_security 提供用于保护 Web 应用程序免受一系列攻击的 Web 应用程序防火墙。它可以实现对 HTTP 流量的监控和实时分析。

软件包名称:apache2-mod_security2
配置文件:/etc/apache2/conf.d/mod_security2.conf
更多信息:/usr/share/doc/packages/apache2-mod_security2
文档: http://modsecurity.org/documentation/

34.4.6 编译

高级用户可以通过编写自定义模块来扩展 Apache。要开始,只需调整以下指令的值即可:. apache2-devel 还包含 apxs2 工具,编译 Apache 的其他模块需要用到此工具。

apxs2 允许从源代码编译和安装模块(包括对配置文件进行必要的更改),这将创建可在运行时装载入 Apache 的动态共享对象 (DSO)。

apxs2 二进制文件在 /usr/sbin 中:

  • /usr/sbin/apxs2 — 适合用来构建可搭配任何 MPM 使用的扩展模块。安装位置为 /usr/lib64/apache2

  • /usr/sbin/apxs2-prefork — 适用于 prefork MPM 模块。安装位置为 /usr/lib64/apache2-prefork

  • /usr/sbin/apxs2-worker — 适用于 worker MPM 模块。安装位置为 /usr/lib64/apache2-worker

使用以下命令从源代码安装并激活模块:

tux > sudo cd /path/to/module/source
tux > sudo apxs2 -cia MODULE.c

其中,-c 编译该模块,-i 安装该模块,-a 激活该模块。apxs2 的其他选项在 apxs2(1) 手册页中有描述。

34.5 启用 CGI 脚本

Apache 的通用网关接口 (CGI) 允许您使用程序或脚本(通常称为 CGI 脚本)创建动态内容。可以用任何编程语言来编写 CGI 脚本。通常使用 PHP 之类的脚本语言。

为了使 Apache 能够递送由 CGI 脚本创建的内容,需要激活 mod_cgi。另外还需要 mod_alias。默认情况下启用这两种模块。请参见第 34.4.2 节 “激活和停用”来获取有关激活模块的详细信息。

警告
警告:CGI 安全性

允许服务器执行 CGI 脚本是一项潜在的安全性漏洞。请参见第 34.8 节 “避免安全性问题”以了解更多信息。

34.5.1 Apache 配置

SUSE Linux Enterprise Server 中,仅允许在目录 /srv/www/cgi-bin/ 中执行 CGI 脚本。已配置此位置来执行 CGI 脚本。如果已经创建了虚拟主机配置(请参见第 34.2.2.1 节 “虚拟主机配置”)并且想将脚本放置在特定于主机的目录中,必须解锁并配置此目录。

例 34.5︰ VirtualHost CGI 配置
ScriptAlias /cgi-bin/ "/srv/www/www.example.com/cgi-bin/"1

<Directory "/srv/www/www.example.com/cgi-bin/">
 Options +ExecCGI2
 AddHandler cgi-script .cgi .pl3
 Require all granted4
</Directory>

1

指示 Apache 在此目录中将所有文件作为 CGI 脚本处理。

2

启用 CGI 脚本执行

3

指示服务器将扩展名为 .pl 和 .cgi 的文件视为 CGI 脚本。根据需要进行调整。

4

Require 指令控制默认访问状态。在此例中,授予对指定目录的访问权且无任何限制。有关身份验证和授权的更多信息,请参见http://httpd.apache.org/docs/2.4/howto/auth.html

34.5.2 运行示例脚本

CGI 编程不同于“常规”编程,因为 CGI 程序和脚本前面必须有一个 MIME 类型的报头,例如 Content-type: text/html。此报头将发送到客户端,所以它知道所接收内容的类型。其次,脚本的输出必须是客户端(通常是 Web 浏览器)所知道的东西,比如 HTML(通常情况)、纯文本或图像。

/usr/share/doc/packages/apache2/test-cgi 下提供的简单测试脚本是 Apache 软件包的一部分。它将某些环境变量的内容输出为纯文本。将此脚本复制到 /srv/www/cgi-bin/ 或您虚拟主机的脚本目录 (/srv/www/www.example.com/cgi-bin/) 中,并将它命名为 test.cgi。编辑该文件,将 #! /bin/sh 作为第一行。

可通过 Web 服务器访问的文件应由用户 root 拥有。有关更多信息,请参见第 34.8 节 “避免安全性问题”。由于该 Web 服务器是由不同用户运行的,所以 CGI 脚本必须可被世界各地的用户执行和读取。更改为 CGI 目录并使用命令 chmod 755 test.cgi 来应用正确的权限。

现在调用 http://localhost/cgi-bin/test.cgihttp://www.example.com/cgi-bin/test.cgi。应该能看到 CGI/1.0 测试脚本报告

34.5.3 CGI 查错

如果没有看到测试程序的输出而是看到了错误消息,则请检查以下项:

CGI 查错
  • 是否在更改配置后重装载了服务器?如果没有,请使用 systemctl reload apache2 重新装载。

  • 如果已经配置了自定义 CGI 目录,那么该配置是否正确?如果不确定,请尝试默认 CGI 目录 /srv/www/cgi-bin/ 中的脚本并用 http://localhost/cgi-bin/test.cgi 调用它。

  • 文件权限是否正确?更改为 CGI 目录并执行 ls -l test.cgi。输出应该以下面的字符串开头

    -rwxr-xr-x  1 root root
  • 确保脚本中没有编程错误。如果还未更改 test.cgi,则问题应该不大,但是如果正在使用您自己的程序,则始终要确保它们没有编程错误。

34.6 使用 SSL 设置安全的 Web 服务器

只要在 Web 服务器和客户端之间传送敏感数据(如信用卡信息),就需要具有带身份验证的安全的加密连接。mod_ssl 使用安全套接字层(SSL)和传输层安全(TLS)协议来为客户端和 Web 服务器之间的 HTTP 通信提供强有力的加密机制。使用 TLS/SSL 时,将在 Web 服务器和客户端之间建立专用连接。如此可确保数据完整性,并且客户端和服务器能够彼此验证。

基于此目的,服务器在回答对 URL 的任何请求之前,会发送一个 SSL 证书,其中包含证明服务器有效身份的信息。反过来,这保证了该服务器对于通信来说是唯一正确的终端。此外,证书使得在客户端和服务器之间建立起加密连接,确保在不泄露敏感的明文内容的情况下传输信息。

mod_ssl 本身不会实施 TLS/SSL 协议,而是充当 Apache 和 SSL 库之间的接口。在 SUSE Linux Enterprise Server 中,将使用 OpenSSL 库。OpenSSL 将自动随 Apache 安装。

mod_ssl 与 Apache 一起使用的最明显效果就是 URL 的前缀为 https://(而不是 http://)。

34.6.1 创建 SSL 证书

要将 TLS/SSL 与 Web 服务器搭配使用,您需要创建 SSL 证书。在 Web 服务器和客户端之间授权时需要此证书,以便每一方都能明确地识别另一方。为了确保证书的完整性,证书必须由所有用户都信任的一方签署。

您可创建三种类型的证书:虚设证书(仅用于测试)、自我签名证书(用于信任您的指定用户群)和由独立的、众所周知的证书颁发机构 (CA) 签署的证书。

创建证书分两步执行。首先,生成证书颁发机构的私用密钥,然后使用此密钥签署服务器证书。

提示
提示:更多信息

要想更多地了解 TLS/SSL 的概念和定义,请参见 http://httpd.apache.org/docs/2.4/ssl/ssl_intro.html

34.6.1.1 创建虚拟证书

要生成虚设证书,请调用脚本 /usr/bin/gensslcert。它创建或重写下列文件。使用 gensslcert 的可选开关调整证书。调用 /usr/bin/gensslcert -h 了解更多信息。

  • /etc/apache2/ssl.crt/ca.crt

  • /etc/apache2/ssl.crt/server.crt

  • /etc/apache2/ssl.key/server.key

  • /etc/apache2/ssl.csr/server.csr

还会将 ca.crt 的副本放在 /srv/www/htdocs/CA.crt 下以供下载。

重要
重要:仅用于测试

不能在生产系统上使用虚设证书。它只能用来测试。

34.6.1.2 创建自我签名证书

如果要为内部网或指定用户群设置安全的 Web 服务器,通过您自己的证书颁发机构 (CA) 对证书签名可能就足矣。请注意,访问此类网站的用户将会看到类似此网站不可信的警告,因为 Web 浏览器不能识别自我签名证书。

重要
重要:自我签名证书

仅在 Web 服务器上使用自签署证书,此证书必须可由知道并相信您是证书授权者的人员访问。例如,不建议在公共商店使用此类证书。

首先,您需要生成证书签名请求 (CSR)。您将需要使用 openssl,并采用 PEM 证书格式。在执行此步骤期间,系统将要求您输入通行口令并回答几个问题。请记住您输入的通行口令,将来还要使用它。

tux > sudo openssl req -new > new.cert.csr
Generating a 1024 bit RSA private key
..++++++
.........++++++
writing new private key to 'privkey.pem'
Enter PEM pass phrase:1
Verifying - Enter PEM pass phrase:2
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:3
State or Province Name (full name) [Some-State]:4
Locality Name (eg, city) []:5
Organization Name (eg, company) [Internet Widgits Pty Ltd]:6
Organizational Unit Name (eg, section) []:7
Common Name (for example server FQDN, or YOUR name) []:8
Email Address []:9

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:10
An optional company name []:11

1

填写您的通行口令。

2

再次填写通行口令(并记住它)。

3

填写两个字母的国家/地区代码,例如 GBCZ

4

填写您所在的省/自治区/直辖市名称。

5

填写城市名称,例如 Prague

6

填写您的工作单位名称。

7

填写您的组织单位,没有则保留为空白。

8

填写服务器的域名,或者您的名字和姓氏。

9

填写您的办公电子邮件地址。

10

将询问口令保留为空白,否则您每次重启动 Apache Web 服务器都需要输入该口令。

11

填写选填的公司名称,或保留为空白。

现在可以生成证书。您将再次使用 openssl,并且证书的格式是默认的 PEM

过程 34.3︰ 生成证书
  1. 将密钥的私用部分导出到 new.cert.key。系统将提示您输入您在创建证书签名请求 (CSR) 时所输入的通行口令。

    tux > sudo openssl rsa -in privkey.pem -out new.cert.key
  2. 根据您在签名请求中填写的信息生成证书的公共部分。-days 选项指定证书多长时间以后失效。您可以在证书失效前将其撤消或更换。

    tux > sudo openssl x509 -in new.cert.csr -out new.cert.cert -req \
    -signkey new.cert.key -days 365
  3. 将证书文件复制到相关的目录,以便 Apache 服务器可以读取它们。确保私用密钥 /etc/apache2/ssl.key/server.key 不是人们可以看懂的格式,而公共 PEM 证书 /etc/apache2/ssl.crt/server.crt 则是。

    tux > sudo cp new.cert.cert /etc/apache2/ssl.crt/server.crt
    tux > sudo cp new.cert.key /etc/apache2/ssl.key/server.key
提示
提示:公共证书位置

最后一步是将公共证书文件从 /etc/apache2/ssl.crt/server.crt 复制到用户可以访问的位置,以便将它合并到用户 Web 浏览器中已知且可信的 CA 列表中。否则,浏览器将指示证书是由未知授权者发出的。

34.6.1.3 获取官方签名的证书

签署证书的正式证书颁发机构有多个。证书是由值得信任的第三方签署的,所以可以完全相信。公共操作安全 Web 服务器通常具有正式签署的证书。有关最常用的证书颁发机构 (CA) 列表,请访问 https://en.wikipedia.org/wiki/Certificate_authority#Providers

请求正式签署的证书时,无需向 CA 发送证书。相反,请发出证书签署请求 (CSR)。要创建 CSR,请运行以下命令:

tux > openssl req -new -newkey rsa:2048 -nodes -keyout newkey.pem -out newreq.pem

系统将要求您输入判别名。这要求您回答几个问题,例如国家/地区名称或组织名称。输入有效的数据,在此处输入的所有内容稍后都会显示在证书中并检查。无需回答所有问题。如果有问题不适用于您或者您不想回答,请使用. 下)的文件。常用名就是 CA,请选择一个重要的名称,例如我的公司 CA。最后,必须输入询问口令和备用的公司名称。

在调用脚本的目录中查找 CSR。文件名是 newreq.pem

34.6.2 使用 SSL 配置 Apache

在 Web 服务器端,TLS/SSL 请求的默认端口为 443。侦听端口 80 的普通Apache 与侦听端口 443 且支持 TLS/SSL 的 Apache 之间没有冲突。实际上,HTTP 和 HTTPS 可使用同一个 Apache 实例运行。通常使用一个虚拟主机将请求发送到端口 80 和端口 443 以区分虚拟服务器。

重要
重要:防火墙配置

请记得在端口 443 上为支持 SSL 的 Apache 打开防火墙。可按Book “安全和强化指南”, Chapter 24 “掩蔽和防火墙”, Section 24.4.2 “在命令行上配置防火墙”中所述通过 firewalld 执行此操作。

在全局服务器配置中,SSL 模块默认情况下处于启用状态。如果它在您的主机上已禁用,请使用以下命令激活它:a2enmod ssl。要最终启用 SSL,需要使用标志SSL启动服务器。要执行此操作,请调用 a2enflag SSL(区分大小写!)。如果打算使用口令加密服务器证书,则还应增加 /etc/sysconfig/apache2APACHE_TIMEOUT 的值,这样在 Apache 启动时,您就有足够的时间输入通行口令。重启动服务器可使这些更改生效。仅重装载是不够的。

虚拟主机配置目录中包含模板 /etc/apache2/vhosts.d/vhost-ssl.template,该模板带有详细记录的特定于 SSL 的指令。请参见第 34.2.2.1 节 “虚拟主机配置”了解通用虚拟主机配置。

要开始配置,请将模板复制到 /etc/apache2/vhosts.d/mySSL-host.conf,并对其进行编辑。调整以下指令的值应该就足够了:

  • DocumentRoot

  • ServerName

  • ServerAdmin

  • ErrorLog

  • TransferLog

34.6.2.1 基于名称的虚拟主机和 SSL

默认情况下,不能在仅具有一个 IP 地址的服务器上运行多个启用了 SSL 的虚拟主机。基于名称的虚拟主机要求 Apache 了解已请求了哪些服务器名称。SSL 连接问题在于,此类请求只能在已建立 SSL 连接之后读取(通过使用默认虚拟主机)。因此用户将收到警告消息,指示证书与服务器名称不匹配。

SUSE Linux Enterprise Server 提供了一个 SSL 协议扩展:服务器名称指示 (SNI)。该协议会在 SSL 协商过程中发送虚拟域的名称,从而解决了这一问题。这样服务器就能提前切换到正确的虚拟域,并向浏览器显示正确的证书。

SUSE Linux Enterprise Server 上默认会启用 SNI。为了使基于名称的虚拟主机能够使用 SSL,可按第 34.2.2.1.1 节 “基于名称的虚拟主机”中所述配置服务器(请注意,需要将端口 443 而不是端口 80 用于 SSL)。

重要
重要:SNI 浏览器支持

客户端也必须支持 SNI。不过,只有大部分浏览器支持 SNI,某些较旧的浏览器不支持。有关详细信息,请参见https://en.wikipedia.org/wiki/Server_Name_Indication#Support

要配置对不支持 SNI 的浏览器的处理方式,请使用指令 SSLStrictSNIVHostCheck。在服务器配置中设置为 on 时,所有虚拟主机都将拒绝不支持 SNI 的浏览器。如果 VirtualHost 指令中设置为 on,对此特定主机的访问将被拒。

在服务器配置中设置为 off 时,服务器的行为类似于不支持 SNI。SSL 请求将由定义的第一个虚拟主机(端口 443)处理。

34.7 在同一台服务器上运行多个 Apache 实例

相较于运行多个虚拟主机(请参见第 34.2.2.1 节 “虚拟主机配置”),在同一台服务器上运行多个 Apache 实例具有以下优势:

  • 如果需要将虚拟主机禁用一段时间,您需要更改 Web 服务器配置,并将其重启动以使更改生效。

  • 如果一个虚拟主机出现问题,您需要重启动所有的虚拟主机。

您可以照常运行默认的 Apache 实例:

tux > sudo systemctl start apache2

它会读取默认的 /etc/sysconfig/apache2 文件。如果该文件不存在,或者存在但未设置 APACHE_HTTPD_CONF 变量,则该实例将读取 /etc/apache2/httpd.conf

要激活另一个 Apache 实例,请运行:

tux > sudo systemctl start apache2@INSTANCE_NAME

例如:

tux > sudo systemctl start apache2@example_web.org

默认情况下,该实例会使用 /etc/apache2@example_web.org/httpd.conf 作为主要配置文件,您可以在 /etc/sysconfig/apache2@example_web.org 中设置 APACHE_HTTPD_CONF 来重写此设置。

下面显示了一个设置更多 Apache 实例的示例。请注意,您需要以 root 身份执行所有命令。

过程 34.4︰ 配置其他 Apache 实例
  1. /etc/sysconfig/apache2 的基础上创建一个新的配置文件,例如 /etc/sysconfig/apache2@example_web.org

    tux > sudo cp /etc/sysconfig/apache2 /etc/sysconfig/apache2@example_web.org
  2. 编辑文件 /etc/sysconfig/apache2@example_web.org,将包含以下内容的行

    APACHE_HTTPD_CONF

    更改为

    APACHE_HTTPD_CONF="/etc/apache2/httpd@example_web.org.conf"
  3. /etc/apache2/httpd.conf 的基础上创建文件 /etc/apache2/httpd@example_web.org.conf

    tux > sudo cp /etc/apache2/httpd.conf /etc/apache2/httpd@example_web.org.conf
  4. 编辑 /etc/apache2/httpd@example_web.org.conf,将

    Include /etc/apache2/listen.conf

    更改为

    Include /etc/apache2/listen@example_web.org.conf

    检查所有指令,并根据需要予以更改。您可能需要更改

    Include /etc/apache2/global.conf

    并为每个实例创建新的 global@example_web.org.conf。建议将

    ErrorLog /var/log/apache2/error_log

    更改为

    ErrorLog /var/log/apache2/error@example_web.org_log

    以便每个实例都有独立的日志。

  5. /etc/apache2/listen.conf 的基础上创建 /etc/apache2/listen@example_web.org.conf

    tux > sudo cp /etc/apache2/listen.conf /etc/apache2/listen@example_web.org.conf
  6. 编辑 /etc/apache2/listen@example_web.org.conf,将

    Listen 80

    更改为要用于运行新实例的端口号,例如 82:

    Listen 82

    要通过安全协议(请参见第 34.6 节 “使用 SSL 设置安全的 Web 服务器”)运行新的 Apache 实例,还需将下面一行

    Listen 443

    更改为(示例)

    Listen 445
  7. 启动新的 Apache 实例:

    tux > sudo systemctl start apache2@example_web.org
  8. 在 Web 浏览器中打开 http://server_name:82,检查服务器是否正在运行。如果以前更改了新实例的错误日志文件名,您可以检查这项更改:

    tux > sudo tail -f /var/log/apache2/error@example_web.org_log

下面是在同一服务器上设置多个 Apache 实例时要注意的几点:

  • /etc/sysconfig/apache2@INSTANCE_NAME 文件可以包含与 /etc/sysconfig/apache2 相同的变量,包括模块装载和 MPM 设置。

  • 当有其他实例在运行时,默认的 Apache 实例就无需运行。

  • 如果未使用 HTTPD_INSTANCE 环境变量另行指定,Apache 助手实用程序 a2enmoda2dismodapachectl 将在默认的 Apache 实例上运行。下面的示例

    tux > sudo export HTTPD_INSTANCE=example_web.org
    tux > sudo a2enmod access_compat
    tux > sudo a2enmod status
    tux > sudo apachectl start

    会将 access_compatstatus 模块添加到 /etc/sysconfig/apache2@example_web.orgAPACHE_MODULES 变量,然后启动 example_web.org 实例。

34.8 避免安全性问题

对公共互联网开放的 Web 服务器需要不断加强管理。对于软件和意外的错误配置,安全问题似乎都是不可避免的。有关如何处理这些问题,在此有一些提示。

34.8.1 最新软件

在 Apache 软件中发现漏洞时,SUSE 将会发出安全忠告。其中包含修复漏洞的相关指导,用户应该在情况允许时予以采纳。SUSE 安全性声明可以从以下位置处获取:

34.8.2 DocumentRoot 权限

SUSE Linux Enterprise Server 中,默认情况下,DocumentRoot 目录 (/srv/www/htdocs) 和 CGI 目录 (/srv/www/cgi-bin) 的所有权属于 root 用户和组。您不能更改这些权限。如果任何用户都可写入这些目录,则任何用户都可以将文件放入这些目录中。之后,具有 wwwrun 权限(该权限允许用户随意访问文件系统资源)的 Apache 可能会执行这些文件。使用 /srv/www 的子目录可存放虚拟主机的 DocumentRoot 和 CGI 指令,并确保目录和文件属于用户和组 root

34.8.3 文件系统访问

默认情况下,在 /etc/apache2/httpd.conf 中拒绝对整个文件系统的访问。不应该重写这些指令,而是要明确启用对 Apache 可读的所有目录的访问权。有关详细信息,请参见 第 34.2.2.1.3 节 “基本虚拟主机配置”.如此操作后,请确保任何重要文件(例如口令或系统配置文件)均不能从外部读取。

34.8.4 CGI 脚本

使用 HP、SSI 或任何其他编程语言的交互脚本基本上可以运行任意命令,因此一般会存在安全问题。从服务器执行的脚本只能从服务器管理员信任的源安装,允许用户运行他们拥有的所有脚本通常不是好的做法。还建议对所有脚本执行安全性审计。

为了尽可能简化脚本的管理,通常会将 CGI 脚本的执行限制于特定目录而不是全局使用它们。指令 ScriptAliasOption ExecCGI 用于配置。SUSE Linux Enterprise Server 的默认配置不允许随处执行 CGI 脚本。

所有 CGI 脚本都会作为同一个用户运行,所以不同的脚本可能会彼此冲突。模块 suEXEC 允许您在不同的用户和组下运行 CGI 脚本。

34.8.5 用户目录

启用用户目录(使用 mod_userdirmod_rewrite)时,一定不要使用 .htaccess 文件,这些文件允许用户重写安全设置。至少应该使用指令 AllowOverRide 来限制用户的注册。在 SUSE Linux Enterprise Server 中,.htaccess 文件默认处于启用状态,但用户在使用 mod_userdir(请参见 /etc/apache2/mod_userdir.conf 配置文件)时不允许覆盖任何 Option 指令。

34.9 查错

如果 Apache 不启动、网页不可访问或用户无法连接到 Web 服务器,那么找出问题的原因是很重要的。下面是几处查找错误描述的常见位置和需要检查的重要事项:

apache2.service 子命令的输出:

不要使用 /usr/sbin/apache2ctl 二进制文件启动和停止 Web 服务器,而应使用 systemctl 命令(如第 34.3 节 “启动和停止 Apache”中所述)。systemctl status apache2 详细描述了错误,甚至还提供了解决配置错误的提示。

日志文件和详细程度

不管是致命错误还是非致命错误,都请检查 Apache 日志文件了解原因,主要是默认位于 /var/log/apache2/error_log 的错误日志文件。此外,如果需要日志文件记录得更详细一些,可以使用 LogLevel 指令来控制所记录消息的详细程度。

提示
提示:一个简单的测试

使用 tail -F /var/log/apache2/MY_ERROR_LOG 命令查看 Apache 日志消息。然后运行 systemctl restart apache2。现在,请尝试连接浏览器并检查输出。

防火墙和端口

常见错误之一是在服务器的防火墙配置中未打开针对 Apache 的端口。如果使用 YaST 配置 Apache,有一个单独的选项用于这个具体问题(请参见第 34.2.3 节 “使用 YaST 配置 Apache”)。如果正在手工配置 Apache,则请通过 YaST 的防火墙模块打开 HTTP 和 HTTPS 的防火墙端口。

如果使用以上任何信息均无法找到错误原因,请检查联机 Apache Bug 数据库(网址为 http://httpd.apache.org/bug_report.html)。此外,可以通过 http://httpd.apache.org/userslist.html 上的邮件列表联系 Apache 用户社区。

34.10 更多信息

软件包 apache2-doc 中包含有关本地安装和参考的多种本地化版本的完整 Apache 手册。它在默认情况下是不安装的,最快的安装方法是使用命令 zypper in apache2-doc。完成安装之后,http://localhost/manual/ 中将会有 Apach 手册可供使用。还可在 Web 上的 http://httpd.apache.org/docs-2.4/ 访问它。特定于 SUSE 的配置提示可以在目录 /usr/share/doc/packages/apache2/README.* 中获得。

34.10.1 Apache 2.4

有关 Apache 2.4 中新功能的列表,请参见 http://httpd.apache.org/docs/2.4/new_features_2_4.html。可以在 http://httpd.apache.org/docs-2.4/upgrading.html 获得有关从版本 2.2 升级到 2.4 的信息。

34.10.2 Apache 模块

有关第 34.4.5 节 “外部模块”中简述的外部 Apache 模块的更多信息,可在以下位置找到:

34.10.3 开发

有关开发 Apache 模块和涉及 Apache Web 服务器项目的更多信息,可以从以下位置处获得:

Apache 开发人员信息

http://httpd.apache.org/dev/

Apache 开发人员文档

http://httpd.apache.org/docs/2.4/developer/

34.10.4 其他来源

如果遇到特定于 SUSE Linux Enterprise Server 中的 Apache 的问题,请查看“技术信息搜索”,网址为:https://www.suse.com/supporthttps://httpd.apache.org/ABOUT_APACHE.html 提供了对 Apache 历史的介绍。此页还解释此服务器为什么被称为 Apache。

35 使用 YaST 设置 FTP 服务器

使用 YaST FTP 服务器模块,可以将计算机配置为 FTP(文件传输协议)服务器。匿名用户和/或经身份验证的用户可以连接到您的计算机并使用 FTP 协议下载文件。根据配置,可能还可以将文件上载到 FTP 服务器。YaST 使用 vsftpd(非常安全的 FTP 守护程序)。

如果 YaST FTP 服务器模块在您的系统中不可用,请安装 yast2-ftp-server 软件包。(有关如何从命令行管理 FTP 服务器,请参见第 4.4.3.7 节 “yast ftp-server”。)

要使用 YaST 配置 FTP 服务器,请执行以下步骤:

  1. 打开 YaST 控制中心并选择网络服务 ›  FTP 服务器,或以 root 身份运行 yast2 ftp-server 命令。

  2. 如果您的系统未安装任何 FTP 服务器,YaST FTP 服务器模块启动时将询问您要安装哪个服务器。选择 vsftpd 服务器并确认该对话框中。

  3. 启动对话框中,配置 FTP 服务器的启动选项。有关详细信息,请参见第 35.1 节 “启动 FTP 服务器”

    常规对话框中,配置 FTP 目录、欢迎消息、文件创建掩码和其他参数。有关详细信息,请参见第 35.2 节 “FTP 常规设置”

    性能对话框中,设置会影响 FTP 服务器负载的参数。有关详细信息,请参见第 35.3 节 “FTP 性能设置”

    身份验证对话框中,设置匿名用户和/或已通过身份验证的用户是否可以使用 FTP 服务器。有关详细信息,请参见第 35.4 节 “身份验证”

    专家设置对话框中,配置 FTP 服务器的操作模式、SSL 连接和防火墙设置。有关详细信息,请参见第 35.5 节 “专家设置”

  4. 单击完成以保存配置。

35.1 启动 FTP 服务器

FTP 启动对话框的服务启动框架中,设置 FTP 的启动方式。可以在系统引导期间自动启动服务器和手动启动服务器之间选择。如果 FTP 服务器应该在收到 FTP 连接请求后才启动,请选择通过套接字

FTP 服务器的当前状态显示在 FTP 启动对话框的打开和关闭框架中。通过单击立即启动 FTP 来启动 FTP 服务器。要停止服务器,请单击立即停止 FTP。更改服务器设置后,单击立即保存设置并重启动 FTP。使用完成离开配置模块也将保存您的配置。

FTP 服务器配置 — 启动
图 35.1︰ FTP 服务器配置 — 启动

35.2 FTP 常规设置

FTP 常规设置对话框的常规设置框架中,可以设置连接到 FTP 服务器后会显示的欢迎消息

如果选中 Chroot 任何人选项,登录后会将所有本地用户放入其用户主目录的 chroot jail 中。此选项会牵涉到安全性问题,尤其是在用户拥有上载许可权限或进行外壳访问时,所以启用此选项时请务必小心。

如果选中详细日志记录选项,就会将所有 FTP 请求和响应记录在日志中。

可以限制由匿名用户和/或已通过身份验证的用户使用 umask 创建的文件的许可权限。在匿名 Umask 中为匿名用户设置文件创建掩码,在已通过身份验证的用户的 Umask 中为已通过身份验证的用户设置文件创建掩码。掩码应输入为带有前导零的八进制数字。有关 umask 的更多信息,请参见 umask 手册页 (man 1p umask)。

FTP 目录框架中,设置用于匿名用户和已通过身份验证的用户的目录。按浏览可以从本地文件系统选择要使用的目录。匿名用户的默认 FTP 目录为 /srv/ftp。请注意,vsftpd 并未允许所有用户都可对此目录进行写操作。将改为创建带有匿名用户的写许可权限的子目录 upload

35.3 FTP 性能设置

性能对话框中,设置会影响 FTP 服务器负载的参数。最大闲置时间是远程客户端在 FTP 命令间可能会花费的最长时间(以分钟为单位)。如果长时间处于非活动状态,远程客户端会断开。单 IP 最大连接数确定了可从单个 IP 地址连接的最大客户端数。最大用户数确定了可连接的最大客户端数。任何其他客户端都将收到错误消息。

最大数据传送速度(以 KB/s 为单位)分别是在本地已通过身份验证的用户的本地最大速度和匿名客户端的匿名用户最高速度中设置的。速度设置的默认值为 0,表示数据传送速度不受限制。

35.4 身份验证

身份验证对话框的启用/禁用匿名用户和本地用户框架中,可以设置允许访问您的 FTP 服务器的用户。您可以在以下选项中选择:仅为匿名用户授予访问权限、仅为经身份验证的用户授予访问权限或为两种类型的用户授予访问权限。

要允许用户将文件上载到 FTP 服务器,请选中身份验证对话框上载框架中的启用上载。在此处选中相应的框,您就可以允许包括匿名用户在内的用户上载或创建目录。

注意
注意:vsftp — 允许匿名用户上载文件

如果使用的是 vsftpd 服务器且希望匿名用户可以上载文件或创建目录,则需要在匿名 FTP 目录中创建所有用户都有写权限的子目录。

35.5 专家设置

FTP 服务器可以在主动或被动模式下运行。默认情况下,服务器在被动模式下运行。要切换到主动模式中,请取消选择专家设置对话框中的启用被动模式选项。也可更改服务器上用于数据流的端口范围,方法是:调整被动模式最小端口被动模式最大端口选项。

如果想在客户端和服务器之间进行加密通讯,可以启用 SSL。检查要支持的协议版本,并指定用于 SSL 加密连接的 RSA 证书。

如果您的系统受到防火墙的保护,请选中打开防火墙中的端口以启用至 FTP 服务器的连接。

35.6 更多信息

有关 FTP 服务器的更多信息,请参见 vsftpdvsftpd.conf 的手册页。

36 Squid 缓存代理服务器

Squid 是广泛用于 Linux 和 UNIX 平台的缓存代理服务器。这表示它会将请求的互联网对象(例如 Web 或 FTP 服务器上的数据)储存在离请求工作站更近(与服务器相比)的计算机上。可以在多个层次中设置它,以确保即使在对最终用户来说是透明的模式下,也能达到最佳的响应速度和较低的带宽用量。

Squid 充当缓存代理服务器。它将来自客户端(这里指来自 Web 浏览器)的对象请求重定向至服务器。当服务器回复所请求的对象后,它会将这些对象传递给客户端并在硬盘缓存中保存对象副本。缓存的其中一个优点是,当多个客户端请求同一对象时,可以从硬盘缓存提供该对象。这样客户端接收数据的速度要比从互联网接收快得多。此过程还可以减少网络流量。

除实际的缓存外,Squid 还提供众多其他功能:

  • 在代理服务器的互通层次之间分配负载

  • 为所有访问代理服务器的客户端定义严格的访问控制列表

  • 允许或拒绝使用其他应用程序访问特定网页

  • 生成有关频繁访问的网页的统计数字以评估用户的浏览习惯

Squid 不是通用的代理服务器。通常只充当 HTTP 连接的代理。它支持 FTP、Gopher、SSL 和 WAIS 协议,但不支持其他互联网协议,如新闻协议或视频会议协议。由于 Squid 只支持将 UDP 协议用于在不同的缓存间提供通讯功能,因此很多多媒体程序都不受支持。

36.1 一些有关代理服务器的信息

作为缓存代理服务器,Squid 有几种使用方式。与防火墙结合使用时,能够提高安全性。可以一起使用多个代理。还能确定应该缓存的对象的类型以及缓存的时间。

36.1.1 Squid 和安全性

可将 Squid 与防火墙结合使用,来防止内部网络遭受外部攻击。防火墙会拒绝 Squid 之外的所有客户端对外部服务的访问。所有 Web 连接必须通过代理服务器建立。经过此配置后,Squid 便可全面控制 Web 访问。

如果防火墙配置中包含某个隔离区域 (DMZ),代理服务器应在此区域内操作。第 36.6 节 “配置透明代理”介绍如何实施透明代理。如此可简化客户端的配置,因为在这种情况下,它们不需要有关代理服务器的任何信息。

36.1.2 多个缓存

可以配置 Squid 的几个实例从而在它们之间交换对象。这样会降低系统总负载,提高从本地网络检索对象的几率。还可以配置缓存层次,以便缓存能够将对象请求转发给同级缓存或父缓存,如此其便可从本地网络中的其他缓存或直接从数据源请求对象。

为了不给网络增加总体数据流量,为缓存层次选择适当的拓扑结构是十分重要的。对于超大型网络,合理的做法是:为每个子网配置一个代理服务器并将其连接到父代理服务器,再通过父代理服务器连接到 ISP 的缓存代理服务器。

所有这些通讯都通过在 UDP 协议之上运行的 ICP(互联网缓存协议)来处理。缓存间的数据传送使用基于 TCP 的 HTTP(超文本传送协议)来处理。

为了找到最适合向其请求对象的服务器,一个缓存会向所有同级代理发送 ICP 请求。同级代理会通过 ICP 响应回复这些请求。如果检测到对象,它们会使用代码 HIT,若未检测到,则会使用 MISS

如果发现多个 HIT 响应,代理服务器会根据哪个缓存发送回复的速度最快或哪个服务器较近等因素决定从哪个服务器下载。如果没有收到满意的响应,该请求会发送至父缓存。

注意
注意:Squid 如何避免对象重复

为了避免网络中不同缓存中的对象重复,还会使用其他 ICP 协议,如 CARP(缓存阵列路由协议)或 HTCP(超文本缓存协议)。网络中维护的对象越多,找到所需对象的可能性就越大。

36.1.3 缓存互联网对象

网络中提供的许多对象都不是静态的,例如动态生成的页面和 TLS/SSL 加密内容。由于每次访问这类对象时它们都会更改,所以它们不会被缓存。

为确定对象应保留在缓存中的期限,系统会为对象指派多个状态中的一种。Web 和代理服务器会通过为这些对象添加报头来找出对象的状态(如Last modifiedExpires)以及相应的日期。也可以使用指定不能缓存的对象的其他报头。

缓存中的对象通常会因缺少可用磁盘空间而通过 LRU(最近最少使用)之类的算法进行替换。这意味着代理会删除未被请求时间最长的对象。

36.2 系统要求

系统要求主要取决于系统必须承受的最大网络负载。由于负载在高峰期间可能是日均值的四倍以上,因此需要检查负载峰值。如果不能确定,请将系统要求稍微高估一点。让 Squid 在濒临其处理能力上限的状态下工作可能会严重影响其服务质量。以下几节按重要程度依次阐述了各个系统要素:

  1. RAM 大小

  2. CPU 速度/物理 CPU 内核

  3. 磁盘缓存的大小

  4. 硬盘/SSD 及其体系结构

36.2.1 RAM

Squid 所需内存 (RAM) 大小与缓存中的对象数有直接的关系。随机存取内存比硬盘/SSD 快得多。因此,请务必让 Squid 进程拥有充足的内存,因为如果使用交换磁盘,系统性能会显著降低。

Squid 还会在主储存器中储存缓存对象引用和经常请求的对象,以加速对这些数据的检索。除此之外,Squid 还要在内存中保存其他数据,如:所有已处理 IP 地址的表、准确域名缓存、最常请求的对象、访问控制列表、缓冲区等等。

36.2.2 CPU

Squid 已经过优化,最适合处理器内核较少的环境(4–8 个物理内核),这样每个内核都能提供高性能。提供虚拟核心的技术(如超线程)可能会降低性能。

要充分利用多个 CPU 内核,必须设置多个写入不同缓存设备的工作线程。默认情况下,多核心支持通常都是禁用的。

36.2.3 磁盘缓存的大小

在小型缓存中,HIT(在其中找到所请求的对象)的概率会很小,因为该缓存很容易被占满,所以较少请求的对象很快被较新的请求对象替代。例如,如果缓存的可用空间为 1 GB,而用户每天浏览所用的空间只有 10 MB,那么至少需要 100 多天才会占满缓存。

确定所需缓存大小的最简单的方法就是参考连接的最大传输速度。1 Mbit/s 连接的最大传输速度为 128 KB/s。如果所有流量都进入缓存,1 小时内累计可达到 460 MB。假设所有流量都是在 8 小时工作时间生成的,那么每天将达到 3.6 GB。由于连接速度一般不会达到流量上限,所以可以认为缓存处理的数据总量约为 2 GB。因此,在本示例中,Squid 需要 2 GB 的磁盘空间来保存一天内缓存的数据浏览量。

36.2.4 硬盘/SSD 体系结构

速度在缓存过程中起到重要作用,所以此要素值得特别关注。对于硬盘/SSD,此参数通过以毫秒度量的随机搜索时间随机读取性能来描述。Squid 从硬盘/SSD 读取或写入其中的数据块一般都较小,因此硬盘/SSD 的搜索时间/读取性能比其数据吞吐量更重要。

如果要充当代理服务器,高转速硬盘或者 SSD 会是最好的选择。使用硬盘时,使用多个较小硬盘的效果可能更好,这样每个硬盘都有单独的缓存目录,可避免读取次数过多。

如果使用 RAID 系统,可以通过牺牲速度来提高可靠性。不过,出于性能原因,请避免使用(软件)RAID5 及类似设置。

文件系统的选择通常无关紧要。不过,使用挂载选项 noatime 可以提高性能 - Squid 提供其自己的时间戳,如此便不需要文件系统来跟踪访问时间。

36.3 Squid 的基本用法

如果尚未安装,请安装软件包 squidSUSE® Linux Enterprise Server 上默认不会安装 squid 软件包。

Squid 已在 SUSE Linux Enterprise Server 中预先配置好,因此安装完后即可直接启动。为保证顺利启动,应该对网络进行配置,使其至少能连接一个名称服务器和互联网。如果拨号连接使用动态 DNS 配置,则可能出现问题。在这种情况下,至少应该指定名称服务器,因为如果在 /var/run/netconfig/resolv.conf 中未检测到 DNS 服务器,Squid 便不会启动。

36.3.1 启动 Squid

要启动 Squid,请使用:

tux > sudo systemctl start squid

如果您希望 Squid 在系统引导时启动,请使用 systemctl enable squid 启用该服务。

36.3.2 检查 Squid 是否正在运行

要检查 Squid 是否在运行,请选择以下其中一种方法:

  • 使用 systemctl

    tux > systemctl status squid

    此命令的输出应指出 Squid 已装载处于活动状态(运行中)

  • 使用 Squid 本身:

    tux > sudo squid -k check | echo $?

    此命令的输出应当为 0,但也可能包含其他警告或消息。

要测试 Squid 在本地系统上的功能,请选择以下其中一种方法:

  • 要进行测试,您可以使用命令行工具 squidclient,它可向 Web 请求输出响应,类似于 wgetcurl

    与这些工具不同的是,squidclient 将自动连接到 Squid 的默认代理设置 localhost:3128。不过,如果您更改过 Squid 的配置,则需要通过命令行选项将 squidclient 配置为使用不同的设置。有关详细信息,请参见 squidclient --help

    例 36.1︰ 通过 squidclient 提交的请求
    tux > squidclient http://www.example.org
    HTTP/1.1 200 OK
    Cache-Control: max-age=604800
    Content-Type: text/html
    Date: Fri, 22 Jun 2016 12:00:00 GMT
    Expires: Fri, 29 Jun 2016 12:00:00 GMT
    Last-Modified: Fri, 09 Aug 2013 23:54:35 GMT
    Server: ECS (iad/182A)
    Vary: Accept-Encoding
    X-Cache: HIT
    x-ec-custom-error: 1
    Content-Length: 1270
    X-Cache: MISS from moon1
    X-Cache-Lookup: MISS from moon:3128
    Via: 1.1 moon (squid/3.5.16)2
    Connection: close
    
    <!doctype html>
    <html>
    <head>
        <title>Example domain</title>
    [...]
    </body>
    </html>

    例 36.1 “通过 squidclient 提交的请求”中显示的输出可分成两个部分:

    1. 响应的协议报头:空白行前面的行。

    2. 响应的实际内容:空白行后面的行。

    要校验是否使用了 Squid,请参见所选的报头行:

    1

    报头 X-Cache 的值告诉您请求的文档不在计算机 moon 的 Squid 缓存中 (MISS)。

    上面的示例包含两行 X-Cache。您可以忽略第一个 X-Cache 报头。它是由源 Web 服务器的内部缓存软件生成的。

    2

    报头 Via 的值告诉您 HTTP 版本、计算机名称以及所使用的 Squid 版本。

  • 使用浏览器:将代理设置为 localhost 并将端口设置为 3128。然后您可以装载页面,并在浏览器的检查器开发人员工具网络面板中检查响应报头。报头应该会以例 36.1 “通过 squidclient 提交的请求”中所示的类似方式再现。

要允许用户从本地系统和其他系统访问 Squid 和互联网,需要将配置文件 /etc/squid/squid.conf 中的项 http_access deny all 改为 http_access allow all。但在这样做时,要考虑到此操作会让所有人都不受任何限制地访问 Squid。因此,需定义可控制对代理服务器的访问权限的 ACL(访问控制列表)。修改配置文件后,必须重新装载或重启动 Squid。有关 ACL 的详细信息,请参见第 36.5.2 节 “访问控制选项”

如果 Squid 在成功启动后不久就退出,请检查名称服务器项是否有误,或者是否缺少 /var/run/netconfig/resolv.conf 文件。Squid 会在 /var/log/squid/cache.log 文件中记录启动失败的原因。

36.3.3 停止、重新装载和重启动 Squid

要重新装载 Squid,请选择以下其中一种方法:

  • 使用 systemctl

    tux > sudo systemctl reload squid

    tux > sudo systemctl restart squid
  • 使用 YaST:

    在 Squid 模块中,单击立即保存设置并重启动 Squid 按钮。

要停止 Squid,请选择以下其中一种方法:

  • 使用 systemctl

    tux > sudo systemctl stop squid
  • 使用 YaST

    在 Squid 模块中,单击立即停止 Squid按钮.

关闭 Squid 可能需要一些时间,因为 Squid 会等待最长半分钟时间,来中断与客户端的连接并将其数据写入磁盘(请参见 /etc/squid/squid.conf 中的 shutdown_lifetime 选项)。

警告
警告:终止 Squid

使用 killkillall 终止 Squid 可能会损坏缓存。要能够重启动 Squid,必须删除损坏的缓存。

36.3.4 去除 Squid

从系统中去除 Squid 并不会去除缓存层次和日志文件。要删除这些内容,请手动删除 /var/cache/squid 目录。

36.3.5 本地 DNS 服务器

建立本地 DNS 服务器很有意义,即便并不用它来管理自己的域。它仅起到缓存专用名称服务器的作用,并且可以在无需任何特殊配置的情况下通过 root 名称服务器解析 DNS 请求(请参见 第 31.4 节 “启动 BIND 名称服务器”)。如何完成上述操作,取决于您在配置互联网连接的过程中是否选择了动态 DNS。

动态 DNS

使用动态 DNS 时,互联网服务提供商通常在建立互联网连接过程中设置 DNS 服务器,并自动调整本地文件 /var/run/netconfig/resolv.conf。可以在文件 /etc/sysconfig/network/config 中使用以下 sysconfig 变量控制此行为: NETCONFIG_DNS_POLICY 。设置 NETCONFIG_DNS_POLICY 更改为 ""

然后在 /var/run/netconfig/resolv.conf 文件中添加本地 DNS 服务器,并将 localhost 的 IP 地址设置为 127.0.0.1。这样,Squid 每次一启动就能找到本地名称服务器。

为了使提供商的名称服务器可访问,请在配置文件 /etc/named.conf 中的 forwarders 下指定该名称服务器及其 IP 地址。如果使用动态 DNS,则可在建立连接时自动完成此操作,方法是将 sysconfig 变量 NETCONFIG_DNS_POLICY 更改为 auto

静态 DNS

有了静态 DNS,在建立连接时自动 DNS 调整便不会发生,所以不需要更改任何 sysconfig 变量。但是,必须按动态 DNS中所述在 /var/run/netconfig/resolv.conf 文件中指定本地 DNS 服务器。此外,还必须在 /etc/named.conf 文件中的 forwarders 下手动指定提供商的静态名称服务器及其 IP 地址。

提示
提示:DNS 和防火墙

如果运行了防火墙,应确保 DNS 请求能够通过。

36.4 YaST Squid 模块

YaST Squid 模块包含以下选项卡:

入门

指定启动 Squid 的方式,以及在哪些接口上打开哪个防火墙端口。

HTTP 端口

定义 Squid 将用来侦听客户端 HTTP 请求的端口。

刷新模式

定义 Squid 如何处理缓存中的对象。

缓存设置

定义有关缓存内存、最大和最小对象大小等的设置。

缓存目录

定义 Squid 将用来储存所有缓存交换文件的顶层目录。

访问控制

通过 ACL 组控制对 Squid 服务器的访问。

日志记录和超时

定义用于访问、缓存和缓存储存日志文件的路径,以及连接超时和客户端有效期。

杂项

设置管理员的语言和电子邮件地址。

36.5 Squid 配置文件

所有 Squid 代理服务器设置都在 /etc/squid/squid.conf 文件中进行。首次启动 Squid 时,不必在此文件中进行任何更改,但是外部客户端最初不具备访问权。代理可供 localhost 使用。默认端口为 3128。预装的配置文件 /etc/squid/squid.conf 提供了有关选项的详细信息和许多示例。

许多条目都已注释掉,因此以注释字符 # 开头。行尾处提供了相关规范。给定值通常与默认值相关,因此仅去除注释符号而不更改任何参数通常没有什么影响。如果可能,请保留原始的注释行,在该行下方插入选项及修改过的值。这样,便可容易地恢复默认值,并将其与所作更改进行比较。

提示
提示:更新后调整配置文件

如果已从较早的 Squid 版本更新,建议编辑新的 /etc/squid/squid.conf,并只应用以前文件中的更改。

有时,该文件中会添加、去除或修改 Squid 选项。因此,如果尝试使用旧的 squid.conf,Squid 可能会无法正常工作。

36.5.1 一般配置选项

下面列出了 Squid 的一些配置选项,但并不详尽。/etc/squid/squid.conf.documented 中列出了 Squid 包的完整选项列表,其中仅做了简要记录。

http_port 端口

这是 Squid 侦听客户端请求所用的端口。默认端口为 3128,但也常使用 8080

cache_peer 主机名 类型 代理端口 ICP 端口

此选项允许创建能够协同工作的缓存网络。缓存对等是一台也托管了网络缓存并与您自己的计算机有某种关系的计算机。类型指定关系的类型。类型可以是 parentsibling

对于 HOST_NAME,请指定要使用的代理服务器的名称或 IP 地址。对于代理端口,请指定浏览器中要使用的端口号(通常为 8080)。请将 ICP 端口设置为 7,如果父代理的 ICP 端口未知并且该端口的使用与提供商无关,则设置为 0

要让 Squid 以 Web 浏览器而非代理服务器的方式工作,请禁止使用 ICP 协议。您可以通过追加 defaultno-query 选项来实现此目的。

cache_mem 大小

此选项定义 Squid 可用于常用答复的内存大小。默认为 8 MB。它不指定 Squid 的内存使用率,并且可能已经超过。

cache_dir 储存类型 缓存目录 缓存大小 1 级目录 2 级目录

cache_dir 选项定义磁盘缓存的目录。在 SUSE Linux Enterprise Server 上的默认配置中,Squid 不会创建磁盘缓存。

占位符储存类型可以是以下其中一个:

  • 基于目录的储存类型:ufsaufs(默认值)、diskd。这三种类型都是 ufs 储存形式的变体。不过,虽然 ufs 作为核心 Squid 线程的一部分运行,但 aufs 是在单独的线程中运行,而 diskd 则使用单独的进程。这表示后两种类型可避免因磁盘 I/O 而阻止 Squid。

  • 基于数据库的储存系统:rock。此储存格式依赖于单一数据库文件,其中每个对象占用一个或多个固定大小的内存单元()。

下文将只介绍基于 ufs 的储存类型的参数。rock 的参数有些不同。

缓存目录是磁盘缓存的目录,默认为 /var/cache/squid缓存大小是该目录的最大大小(以兆字节为单位),默认设置为 100 MB。请将其设置为可用磁盘空间的 50% 到最大 80% 之间的值。

最后两个值(1 级目录2 级目录)指定缓存目录中创建的子目录数量。默认情况下,在缓存目录下的第一级会创建 16 个子目录,在其中的每个子目录下创建 256 个子目录。提高这些值时应谨慎,因为创建过多的目录可能会导致性能问题。

如果有多个磁盘共享一个缓存,请指定数行 cache_dir

cache_access_log 日志文件, cache_log 日志文件, cache_store_log 日志文件

这三个选项指定 Squid 记录其所有操作的路径。通常无需在这里进行任何更改。如果 Squid 负担过重,则可能需要将缓存和日志文件分散到多个磁盘上。

client_netmask 网络掩码

此选项允许通过应用子网掩码在日志文件中屏蔽客户端的 IP 地址。例如,要将 IP 地址的最后一位设置为 0,请指定 255.255.255.0

ftp_user 电子邮件

此选项允许设置 Squid 应该用于匿名 FTP 登录的口令。请在此处指定有效的电子邮件地址,因为有些 FTP 服务器会检查这些信息来验证有效性。

cache_mgr 电子邮件

如果 Squid 意外崩溃,将会向此电子邮件地址发送一封邮件。默认为 webmaster

logfile_rotate

如果您运行 squid -k rotatesquid 可以轮转日志文件。在此过程中会给文件编号,并且在达到指定值后重写最旧的文件。默认值为 10,即轮转编号为 0 到 9 的日志文件。

不过,在 SUSE Linux Enterprise Server 上,日志文件的轮转是通过使用 logrotate 和配置文件 /etc/logrotate.d/squid 自动执行的。

append_domain

使用 append_domain 可指定当未指定域时自动追加的域。通常在此处指定您自己的域,因此在浏览器中指定 www 将访问您自己的 Web 服务器。

forwarded_for 状态

如果此选项设置为 on,将会向报头添加如下所示的一行:

X-Forwarded-For: 192.168.0.1

如果将此选项设置为 off,Squid 会将客户端的 IP 地址和系统名称从 HTTP 请求中去除。

negative_ttl 时间, negative_dns_ttl 时间

如果设置了这些选项,Squid 将会缓存某些类型的失败,例如 404 响应。以后,它将拒绝发出新请求,即使当时资源可用。

默认情况下,negative_ttl 设置为 0negative_dns_ttl 设置为 1 minute。这表示默认不会缓存 Web 请求的负响应,但会将 DNS 请求的负响应缓存 1 分钟。

never_direct allow ACL 名称

为防止 Squid 接受直接来自互联网的请求,可使用选项 never_direct 强制连接连到另一个代理服务器。事先必须已在 cache_peer 中指定该代理。如果将 ACL 名称指定为 all,则所有请求都将直接转发给父代理。有时这可能是必要的,例如,您使用的提供商规定了其代理的使用方式或拒绝通过其防火墙直接访问互联网时。

36.5.2 访问控制选项

Squid 为控制针对代理服务器的访问提供了一套周密的系统。这些访问控制列表 (ACL) 都是包含按顺序处理的规则的列表。使用 ACL 之前必须先定义 ACL。一些默认的 ACL 已经存在,如 alllocalhost。但是,仅仅定义 ACL 并不意味着实际应用 ACL。只有存在相应的 http_acces 规则时,才会应用。

选项 acl 的语法如下所示:

acl ACL_NAME TYPE DATA

此语法中的占位符含义如下:

  • 名称 ACL_NAME 可以任意选择。

  • 对于 TYPE/etc/squid/squid.conf 文件的 ACCESS CONTROLS 部分提供了多个不同的选项,您可以从中加以选择。

  • DATA 的规格取决于单个 ACL 类型(例如主机名、IP 地址或 URL),也可以从文件中读取。

要在 YaST Squid 模块中添加规则,请打开该模块,然后单击访问控制选项卡。在“ACL 组”列表下单击添加,输入规则的名称、类型及其参数。

有关 ACL 规则类型的详细信息,请参见 http://www.squid-cache.org/Versions/v3/3.5/cfgman/acl.html 上的 Squid 文档。

例 36.2︰ 定义 ACL 规则
acl mysurfers srcdomain .example.com 1
acl teachers src 192.168.1.0/255.255.255.0 2
acl students src 192.168.7.0-192.168.9.0/255.255.255.0 3
acl lunch time MTWHF 12:00-15:00 4

1

此 ACL 将 mysurfers 定义为来自 .example.com 中的所有用户(由 IP 的反向查找确定)。

2

此 ACL 将 teachers 定义为其计算机 IP 地址以 192.168.1. 开头的用户。

3

此 ACL 将 students 定义为其计算机 IP 地址以 192.168.7.192.168.8.192.168.9. 开头的用户。

4

此 ACL 将 lunch 定义为星期一至星期五的中午到下午 3 点之间的某个时间。

http_access allow ACL 名称

http_access 定义谁可以使用代理服务器,以及谁能够访问互联网上的什么内容。对于此选项,必须定义 ACL。上文中已经定义了 localhostall,您可以通过 denyallow 拒绝或允许对它们的访问。可以创建包含任意多个 http_access 项的列表,并按从上到下的顺序处理这些项。根据哪项先发生,系统会允许或拒绝访问相应的 URL。最后一项应始终是 http_access deny all。在下例中,localhost 可随意访问任何内容,而所有其他主机全部被拒绝访问:

http_access allow localhost
http_access deny all

在另外一个使用这些规则的示例中,teachers 组总能访问互联网。students 组只能在星期一到星期五的午餐时间访问:

http_access deny localhost
http_access allow teachers
http_access allow students lunch time
http_access deny all

为提高可读性,请在配置文件 /etc/squid/squid.conf 中将所有 http_access 选项指定在一个段落中。

url_rewrite_program 路径

使用此选项可以指定 URL 重写程序。

auth_param basic program 路径

如果必须在代理服务器上对用户进行身份验证,请设置一个相应的程序,如 /usr/sbin/pam_auth。当首次访问 pam_auth 时,用户会看到一个需要指定用户名和口令的登录窗口。此外,您还需要一个 ACL,以便让只有有效登录的客户端才能使用互联网:

acl password proxy_auth REQUIRED

http_access allow password
http_access deny all

acl proxy_auth 选项中,使用 REQUIRED 表示接受所有有效的用户名。REQUIRED 还可替换为允许的用户名列表。

ident_lookup_access allow ACL 名称

使用此选项,可以运行 ident 请求,以便为类型为 src 的 ACL 定义的所有客户端确定各个用户的身份。或者,可对所有客户端使用此选项,至于 ACL 名称,则应用预定义的 ACL all

ident_lookup_access 涵盖的所有客户端都必须运行 ident 守护程序。在 Linux 上,您可以将 pidentd(包 pidentd )用作 ident 守护程序。对于其他操作系统,通常有免费的软件可供使用。为确保只有 ident 查找成功的客户端才有权访问,请定义相应的 ACL:

acl identhosts ident REQUIRED

http_access allow identhosts
http_access deny all

acl identhosts ident 选项中,使用 REQUIRED 表示接受所有有效的用户名。REQUIRED 还可替换为允许的用户名列表。

使用 ident 会延缓访问时间,因为对每个请求都要重复 ident 查找过程。

36.6 配置透明代理

透明代理会截获并回复 Web 浏览器的请求,因此 Web 浏览器可接收到所请求的页面,但并不知道它们来自何处。顾名思义,整个处理过程对用户而言是透明的。

使用代理服务器的一般方式如下:Web 浏览器向代理服务器的某端口发送请求,代理始终会提供要求的这些对象,而不论它们是否在其缓存中。不过,在某些情况下,Squid 的透明代理模式很有效:

  • 如果出于安全考虑,建议所有客户端都使用代理服务器来浏览互联网。

  • 如果所有客户端都必须使用代理服务器,无论客户端是否清楚这一点。

  • 如果网络中的代理服务器已转移,但是现有客户端需要保留其原有配置。

过程 36.1︰ Squid 充当透明代理服务器(命令行)
  1. /etc/squid/squid.conf 的选项 http_port 所在行中添加参数 transparent。此时应该有 2 行:

    http_port 3128
    http_port 3128 transparent
  2. 重启动 Squid:

    tux > sudo systemctl restart squid
  3. 设置防火墙,将 HTTP 通讯重定向至在 http_proxy 中指定的端口。在上例中为端口 3128。然后重新装载防火墙配置。此操作假设已将区域 internal 指派给您的 LAN 接口。

    tux > sudo firewall-cmd --permanent --zone=internal \
        --add-forward-port=port=80:proto=tcp:toport=3128:toaddr=LAN_IP
    tux > sudo firewall-cmd --permanent --zone=internal --add-port=3128/tcp
    tux > sudo firewall-cmd --reload

    用您的 LAN 接口或 Squid 所侦听接口的 IP 地址替换 LAN_IP

  4. 要确认是否一切正常,请检查 /var/log/squid/access.log 中的 Squid 日志文件。

36.7 使用 Squid 缓存管理器 CGI 接口 (cachemgr.cgi)

Squid 缓存管理器 CGI 接口 (cachemgr.cgi) 是一个 CGI 实用程序,用于显示正运行的 Squid 进程所占用内存的相关统计数字。这也是在不登录服务器的情况下,管理缓存和查看统计数字的一种便捷方式。

过程 36.2︰ 设置 cachemgr.cgi
  1. 确保 Apache Web 服务器正在系统上运行。按第 34 章 “Apache HTTP 服务器中所示配置 Apache。请着重参见第 34.5 节 “启用 CGI 脚本”。要检查 Apache 是否已在运行,请使用:

    tux > sudo systemctl status apache2

    如果显示 inactive,您可以使用 SUSE Linux Enterprise Server 默认设置启动 Apache:

    tux > sudo systemctl start apache2
  2. 现在,在 Apache 中启用 cachemgr.cgi。要执行此操作,请为 ScriptAlias 创建一个配置文件。

    在目录 /etc/apache2/conf.d 中创建该文件并将其命名为 cachemgr.conf。在其中添加以下内容:

    ScriptAlias /squid/cgi-bin/ /usr/lib64/squid/
    
    <Directory "/usr/lib64/squid/">
    Options +ExecCGI
    AddHandler cgi-script .cgi
    Require host HOST_NAME
    </Directory>

    HOST_NAME 替换为您要从中访问 cachemgr.cgi 的计算机的主机名。这样,只有您的计算机才能访问 cachemgr.cgi。要允许从任何位置访问该文件,请改为使用 Require all granted

    • 如果 Squid 与 Apache Web 服务器在同一台计算机上运行,则无需对 /etc/squid/squid.conf 进行任何更改。但需校验 /etc/squid/squid.conf 是否包含以下几行:

      http_access allow manager localhost
      http_access deny manager

      这几行允许您从您自己的计算机 (localhost) 访问管理器界面,但不允许从其他位置访问。

    • 如果 Squid 与 Apache Web 服务器在不同的计算机上运行,您需要添加额外的规则以允许从 Squid 的 CGI 脚本访问。定义服务器的 ACL(将 WEB_SERVER_IP 替换为您 Web 服务器的 IP 地址):

      acl webserver src WEB_SERVER_IP/255.255.255.255

      确保以下规则都包含在配置文件中。与默认配置相比,只有中间的规则是新的。不过,顺序很重要。

      http_access allow manager localhost
      http_access allow manager webserver
      http_access deny manager
  3. (可选) (可选)您可以为 cachemgr.cgi 配置一个或多个口令。这样还可允许执行更多操作,例如远程关闭缓存或查看缓存的更多信息。为此,请使用管理器的一个或多个口令和允许的操作列表配置选项 cache_mgrcachemgr_passwd

    例如,若要明确允许不进行身份验证即可查看索引页、菜单、60 分钟计数器的平均值,允许使用口令 secretpassword 切换脱机模式,以及完全禁用任何其他功能,请使用以下配置:

    cache_mgr user
    cachemgr_passwd none index menu 60min
    cachemgr_passwd secretpassword offline_toggle
    cachemgr_passwd disable all

    cache_mgr 定义用户名。cache_mgr 定义使用哪个口令允许哪些操作。

    nonedisable 是特殊关键字:none 表示无需输入口令,disable 会完全禁用功能。

    登录 cachemgr.cgi 后便可全面查看完整的操作列表。要了解配置文件中需如何参照操作,请查看操作页 URL 中 &operation= 后面的字符串。all 是一个特殊关键字,表示所有操作。

  4. 配置文件更改后重新装载 Squid 和 Apache:

    tux > sudo systemctl reload squid
  5. 要查看统计数字,请转到先前设置的 cachemgr.cgi 页。例如 http://webserver.example.org/squid/cgi-bin/cachemgr.cgi

    选择正确的服务器,如已设置,请指定用户名和口令。然后单击继续浏览不同的统计数字。

36.8 使用 Calamaris 生成缓存报告

Calamaris 是一个 Perl 脚本,用来以 ASCII 或 HTML 格式生成缓存活动的报告。它可以处理本机 Squid 访问日志文件。Calamaris 的主页为 http://cord.de/calamaris-english。此工具不属于 SUSE Linux Enterprise Server 默认安装范围 — 要使用它,请安装 calamaris 软件包。

root 身份登录,然后输入:

root # cat access1.log [access2.log access3.log] | calamaris OPTIONS > reportfile

使用多个日志文件时,请确保这些文件按时间顺序排列,较早的文件列在前面。这可以通过以下两种方式来实现:如上例一样逐个列出文件,或使用 access{1..3}.log

calamaris 可使用以下选项:

-a

输出所有可用报告

-w

以 HTML 格式输出报告

-l

在报告标题处包含消息或徽标

有关不同选项的详细信息,可通过 man calamaris 在该程序的手册页中找到。

典型示例如下:

root # cat access.log.{10..1} access.log | calamaris -a -w \
> /usr/local/httpd/htdocs/Squid/squidreport.html

这会将报告放入 Web 服务器目录。需要通过 Apache 来查看这些报告。

36.9 更多信息

访问 Squid 的主页 http://www.squid-cache.org/。在此可找到 Squid 用户指南及有关 Squid 的大量 FAQ(常见问题解答)信息。

此外还通过 http://www.squid-cache.org/Support/mailing-lists.html 提供 Squid 的邮件列表。

37 使用 SFCB 的基于 Web 的企业管理

37.1 简介和基本概念

SUSE® Linux Enterprise Server (SLES) 提供了一组基于开放标准的工具,用于统一管理不同的计算系统和环境。我们的企业解决方案实现 Distributed Management Task Force 所提出的标准。以下段落描述了它们的基本组件。

Distributed Management Task Force, Inc (DMTF) 是业内引领企业和互联网环境管理标准开发的公司。他们的目标是统一管理标准和计划,开发出集成度更高、成本更低、可互操作性更好的管理解决方案。DMTF 标准为控制和通讯提供通用系统管理组件。他们的解决方案是独立于平台和技术的。基于 Web 的企业管理通用信息模型是其中的两个关键技术。

基于 Web 的企业管理 (WBEM) 是一整套管理和互联网标准技术。开发 WBEM 是为了统一管理企业计算环境。它为该行业提供了使用 Web 技术并且良好集成的管理工具集。WBEM 由以下标准组成:

  • 数据模型:通用信息模型 (CIM) 标准

  • 编码规范:CIM-XML 编码规范

  • 传输机制:通过 HTTP 的 CIM 操作

通用信息模型是一个概念性信息模型,对系统管理进行了说明。它并不局限于特定的实施,能在管理系统、网络、服务和应用程序之间交换管理信息。CIM 有两部分 — CIM 规范和 CIM 纲要。

  • CIM 规范描述语言、命名和元纲要。元模式是模型的正式定义。它定义用来表示模型及其用途以及语义的术语。元模式的元素有属性方法。元纲要也支持使用指令关联作为的类型,使用参考作为属性的类型。

  • CIM 纲要可提供实际模型描述。它提供具有属性和关联的类集合,这些类可提供易理解的概念框架,在该框架内可组织关于受管环境的可用信息。

“通用信息模型对象管理器”(CIMOM)是一种 CIM 对象管理器,或更确切地说,它是一个根据 CIM 标准管理对象的应用程序。CIMOM 管理 CIMOM 提供程序与 CIM 客户端(管理员管理系统的位置)之间的通讯。

CIMOM 提供程序是在 CIMOM 内执行客户端应用程序请求的特定任务的软件。每个提供者实施 CIMOM 模式的一个或多个方面。这些提供程序直接与硬件交互。

Standards Based Linux Instrumentation for Manageability (SBLIM) 是设计用来支持基于 Web 的企业管理 (WBEM) 的工具集。SUSE® Linux Enterprise Server 使用名为小规模 CIM 中介程序的 SBLIM 项目提供的开放源 CIMOM(或 CIM 服务器)。

小规模 CIM 中介程序是设计用于资源有限或嵌入式环境中的 CIM 服务器。它设计为同时保持模块化与轻量级。它是基于开放标准的,支持 CMPI 提供程序、CIM-XML 编码和管理对象格式 (MOF)。它可以灵活配置,并且即便提供程序崩溃也仍然表现稳定。它也很容易访问,因为它支持各种传输协议,例如 HTTP、HTTPS、Unix 域套接字、Service Location Protocol (SLP) 和 Java Database Connectivity (JDBC)。

37.2 设置 SFCB

要设置小规模 CIM 中介程序 (SFCB) 环境,请确保 SUSE Linux Enterprise Server 安装期间选择了 YaST 中的基于 Web 的企业管理模式。或者选择它作为组件安装到已在运行的服务器上。确保您的系统上安装了以下软件包:

cim-schema,通用信息模型 (CIM) 纲要

包含通用信息模型 (CIM)。CIM 是描述网络或企业环境中总体管理信息的模型。CIM 由规范和模式组成。规范定义与其他管理模型集成的详细信息。模式提供实际模型说明。

python2-pywbem

包含通过 WBEM 协议调用 CIM 操作来查询和更新受管对象的 Phthon 模块。

cmpi-provider-register,CIMOM 中性提供程序注册实用程序

包含的实用程序允许 CMPI 提供程序包用 CIMOM 存在于系统上的任何内容注册。

sblim-sfcb,小规模 CIM 中介程序

包含小规模 CIM 中介程序。它是通过 HTTP 协议与 CIM 操作保持一致的 CIM 服务器。它功能强大,占用资源又少,因此很适合嵌入式和资源有限的环境。SFCB 支持通过 Common Manageability Programming Interface (CMPI) 写入的提供程序。

sblim-sfcc

包含小规模 CIM 客户端库运行时库。

sblim-wbemcli

包含 WBEM 命令行界面。它是一个独立的命令行 WBEM 客户端,特别适合基本的系统管理任务。

37.2.1 启动、停止 SFCB 和检查其状态

CIM 服务器 sfcbd 守护程序是和基于 Web 的企业管理软件一起安装的,默认会在系统启动时启动。下表描述如何启动、停止 sfcbd 和检查其状态。

表 37.1︰ 用于管理 sfcbd 的命令

任务

Linux 命令

启动 sfcbd

root 身份在命令行中输入 systemctl start sfcb

停止 sfcbd

root 身份在命令行中输入 systemctl stop sfcb

检查 sfcbd 状态

root 身份在命令行中输入 systemctl status sfcb

37.2.2 确保安全访问

SFCB 的默认设置相对来说比较安全。但是也要检查对 SFCB 组件访问的安全性是否符合您的组织要求。

37.2.2.1 证书

安全套接字层 (SSL) 传输需要保证安全通讯的证书。安装 SFCB 时,会生成自我签名的证书。

您可以通过更改 /etc/sfcb/sfcb.cfg 中的 sslCertificateFilePath: PATH_FILENAME 设置,将默认证书的路径替换成商用证书或自我签名证书的路径。该文件必须是 PEM 格式。

SFCB 默认要求在以下位置提供一个服务器证书:

/etc/sfcb/server.pem

要生成新证书,请运行以下命令:

tux > sudo sh /usr/share/sfcb/genSslCert.sh
Generating SSL certificates in .
Generating a 2048 bit RSA private key
...................................................................+++
.+++
writing new private key to '/var/tmp/sfcb.0Bjt69/key.pem'
-----

默认情况下,该脚本在当前工作目录下生成证书 client.pemfile.pemserver.pem。如果希望脚本在 /etc/sfcb 目录中生成证书,则需要在命令中追加该路径。如果这些文件已存在,系统将显示一条警告消息,而不会重写旧证书。

tux > sudo sh /usr/share/sfcb/genSslCert.sh /etc/sfcb
Generating SSL certificates in .
WARNING: server.pem SSL Certificate file already exists.
         old file will be kept intact.
WARNING: client.pem SSL Certificate trust store already exists.
         old file will be kept intact.

必须从文件系统删除旧的证书并重新运行命令。

要更改 SFCB 使用证书的方式,请参见第 37.2.2.3 节 “身份验证”

37.2.2.2 端口

默认情况下,将 SFCB 配置为接受通过安全端口 5989 的所有通讯。以下段落描述通讯端口的设置和建议的配置。

端口 5989(安全)

SFCB 通讯通过 HTTPS 服务使用的安全端口。此为默认设置。通过此设置,当通过互联网在服务器和工作站之间发送通信时,将加密 CIMOM 和客户程序应用程序之间的所有通信。用户必须以客户端应用程序进行身份验证,才能连接到 SFCB 服务器。建议您保留该设置。如果客户端应用程序与所监视的节点之间存在路由器和防火墙,为了使 SFCB CIMOM 能够与必要的应用程序通讯,必须在路由器和防火墙上打开此端口。

端口 5988(不安全)

SFCB 通讯通过 HTTP 服务使用的不安全端口。在默认情况下会禁用该设置。通过此设置,当任何人在未经身份验证的情况下通过互联网在服务器和工作站之间发送通讯时,将打开并查看 CIMOM 和客户端应用程序之间的所有通讯。建议仅当尝试调试 CIMOM 问题时才使用此设置。在问题解决后,请再次禁用非安全端口选项。如果客户端应用程序与所监视的节点之间存在路由器和防火墙,为了使 SFCB CIMOM 能够与需要非安全访问的必要应用程序通讯,必须在路由器和防火墙中打开此端口。

要更改默认端口指派,请参见第 37.2.2.2 节 “端口”

37.2.2.3 身份验证

SFCB 支持 HTTP 基本身份验证和基于客户端证书的身份验证(通过 SSL 连接的 HTTP)。基本 HTTP 身份验证通过在 SFCB 配置文件(默认是 /etc/sfcb/sfcb.cfg)中指定 doBasicAuth =true 来启用。SFCB 的 SUSE® Linux Enterprise Server 安装支持可嵌入身份验证模块 (PAM) 方式;因此本地 root 用户可以用本地 root 身份凭证向 SFCB CIMOM 验证。

如果 sslClientCertificate 配置属性设置为 acceptrequire,SFCB HTTP 适配器通过 HTTP over SSL (HTTPS) 连接时,会从客户端请求证书。如果指定了 require,客户端必须提供有效的证书(根据通过 sslClientTrustStore 指定的客户端信任储存)。如果客户端未能提供,CIM 服务器将拒绝该连接。

sslClientCertificate =accept 设置可能不是显式的。如果同时允许基本和客户端证书身份验证,它将很有用。如果客户端能提供有效的证书,将建立 HTTPS 连接,并且不会执行基本身份验证过程。如果该功能不能校验证书,则会发生 HTTP 基本身份验证。

37.3 SFCB CIMOM 配置

SFCB 是 CIM 服务器的“轻量级”实现,但也是可以灵活配置的。有若干选项可控制其行为。您可以通过三种方式控制 SFCB 服务器:

  • 设置相应的环境变量

  • 使用命令行选项

  • 更改其配置文件

37.3.1 环境变量

有若干环境变量会直接影响 SFCB 的行为。您必须使用 systemctl restart sfcb 重启动 SFCB 守护程序才能使这些更改生效。

PATH

指定 sfcbd 守护程序和实用程序的路径。

LD_LIBRARY_PATH

指定 sfcb 运行时库的路径。或者可以将此路径添加到系统范围的动态加载器配置文件 /etc/ld.so.conf 中。

SFCB_PAUSE_PROVIDER

指定提供程序的名称。SFCB 服务器会在第一次装载提供程序后暂停。然后您就可以将运行时调试程序加到提供程序的进程中,以便调试。

SFCB_PAUSE_CODEC

指定 SFCB 编解码器(目前仅支持 http)的名称。SFCB 服务器将在第一次装载编解码器后暂停。然后您就可以将运行时调试程序加到进程中。

SFCB_TRACE

为 SFCB 指定调试消息的级别。有效值有 0(无调试消息)、1(关键调试消息)和 4(全部调试消息)。默认值为 1。

SFCB_TRACE_FILE

默认情况下,SFCB 将其调试消息输出到标准错误输出 (STDERR)。设置该值会将调试消息写入指定的文件。

SBLIM_TRACE

为 SBLIM 提供程序指定调试消息级别。有效值有 0(无调试消息)、1(关键调试消息)和 4(全部调试消息)。

SBLIM_TRACE_FILE

默认情况下,SBLIM 提供程序将把跟踪消息输出到 STDERR。设置该值会将调试消息写入指定的文件。

37.3.2 命令行选项

SFCB 守护程序 sfcbd 有若干命令行选项,可以打开或关闭特定运行时功能。SFCB 守护程序启动时输入这些选项。

-c, --config-file=FILE

SFCB 守护程序启动时,默认会从 /etc/sfcb/sfcb.cfg 读取其配置。您可以用该选项指定备用配置文件。

-d, --daemon

强制 sfcbd 及其子进程在后台运行。

-s, --collect-stats

打开运行时统计数字收集。各种 sfcbd 运行时统计数字都会写入当前工作目录下的 sfcbStat 文件。默认情况下,不收集统计数字。

-l, --syslog-level=LOGLEVEL

指定系统日志记录工具的详细级别。LOGLEVEL 可以是 LOG_INFO、LOG_DEBUG 或 LOG_ERR(默认)。

-k, --color-trace=日志级别

以不同颜色打印每个进程的跟踪输出,以方便调试。

-t, --trace-components=NUM

激活组件级跟踪消息,其中 NUM 是进行 OR 运算的位掩码整数,它定义要跟踪哪个组件。您指定 -t ? 后,它会列出所有组件及其相关整数位掩码:

tux > sfcbd -t ?
---   Traceable Components:     Int       Hex
---            providerMgr:          1  0x0000001
---            providerDrv:          2  0x0000002
---             cimxmlProc:          4  0x0000004
---             httpDaemon:          8  0x0000008
---                upCalls:         16  0x0000010
---               encCalls:         32  0x0000020
---        ProviderInstMgr:         64  0x0000040
---       providerAssocMgr:        128  0x0000080
---              providers:        256  0x0000100
---            indProvider:        512  0x0000200
---       internalProvider:       1024  0x0000400
---             objectImpl:       2048  0x0000800
---                  xmlIn:       4096  0x0001000
---                 xmlOut:       8192  0x0002000
---                sockets:      16384  0x0004000
---              memoryMgr:      32768  0x0008000
---               msgQueue:      65536  0x0010000
---             xmlParsing:     131072  0x0020000
---         responseTiming:     262144  0x0040000
---              dbpdaemon:     524288  0x0080000
---                    slp:    1048576  0x0100000

能反映 sfcbd 的内部功能,但不会产生过多消息的有用值是 -t 2019

37.3.3 SFCB 配置文件

SFCB 启动后从配置文件 /etc/sfcb/sfcb.cfg 读取其运行时配置。该行为在启动时可以用 -c 选项覆盖。

配置文件包含 option:VALUE 对,一行一对。当对此文件执行更改时,如果文本编辑器保存文件的格式是所使用环境的本机格式,则可以使用此文本编辑器更改文件。

由井号 (#) 注释的选项的所有设置都使用默认设置。

以下选项列表可能不完整。查看 /etc/sfcb/sfcb.cfg/usr/share/doc/packages/sblim-sfcb/README 的内容以获取其完整列表。

37.3.3.1 httpPort

用途

指定 sfcbd 用于侦听接收自 CIM 客户端的 HTTP(非安全)请求的本地端口值。默认值是 5988

语法

httpPort: PORT_NUMBER

37.3.3.2 enableHttp

用途

指定 SFCB 是否接受 HTTP 客户端的连接。默认为 false

语法

enableHttp: OPTION

选项

说明

true

启用 HTTP 连接。

false

禁用 HTTP 连接。

37.3.3.3 httpProcs

用途

指定在阻止新传入 HTTP 请求之前,HTTP 客户端连接的最大并行数。默认值为 8

语法

httpProcs: MAX_NUMBER_OF_CONNECTIONS

37.3.3.4 httpUserSFCB、httpUser

用途

这些选项控制将运行 HTTP 服务器的用户。如果 httpUserSFCBtrue,HTTP 将以 SFCB 主进程的同一用户身份运行。如果为 false,将使用为 httpUser 指定的用户名。此设置用于 HTTP 和 HTTPS 服务器。如果 httpUserSFCB 设置为 false,则必须指定 httpUser。默认值为 true

语法

httpUserSFCB: true

37.3.3.5 httpLocalOnly

用途

指定是否将 HTTP 请求限制为仅 localhost。默认为 false

语法

httpLocalOnly: false

37.3.3.6 httpsPort

用途

指定 sfcbd 侦听来自 CIM 客户端的 HTTPS 请求的本地端口值。默认值是 5989

语法

httpsPort: port_number

37.3.3.7 enableHttps

用途

指定 SFCB 是否接受 HTTPS 客户端连接。默认值是 true

语法

enableHttps: option

选项

说明

true

启用 HTTPS 连接。

false

禁用 HTTPS 连接。

37.3.3.8 httpsProcs

用途

指定在阻止新传入 HTTPS 请求之前,HTTPS 客户端连接的最大并行数。默认值为 8

语法

httpsProcs: MAX_NUMBER_OF_CONNECTIONS

37.3.3.9 enableInterOp

用途

指定 SFCB 是否为指示支持提供 interop 名称空间。默认值是 true

语法

enableInterOp: OPTION

选项

说明

true

启用 interop 名称空间。

false

禁用 interop 名称空间。

37.3.3.10 provProcs

用途

指定并发提供程序进程的最大数。达到这点之后,如果有新传入请求要求装载新提供程序,则现有提供程序之一将自动卸载。默认值是 32

语法

provProcs: MAX_NUMBER_OF_PROCS

37.3.3.11 doBasicAuth

用途

根据客户端用户标识符打开或关闭它接受请求之前所做的基本身份验证。默认值为 true,表示执行基本客户端身份验证。

语法

doBasicAuth: OPTION

选项

说明

true

启用基本身份验证。

false

禁用基本身份验证。

37.3.3.12 basicAuthLib

用途

指定本地库名称。SFCB 服务器将装载该库以验证客户端用户标识符。默认值是 sfcBasicPAMAuthentication

语法

provProcs: MAX_NUMBER_OF_PROCS

37.3.3.13 useChunking

用途

该选项启用或禁用 HTTP/HTTPS分块。如果启用,服务器将通过多个较小的将大量响应数据返回客户端,而不是缓存数据并集中在一个块中全部送回。默认值是 true

语法

useChunking: OPTION

选项

说明

true

启用 HTTP/HTTPS 数据分块。

false

禁用 HTTP/HTTPS 数据分块。

37.3.3.14 keepaliveTimeout

用途

指定一个连接上的 SFCB HTTP 进程在两次请求之间最多等待多少秒就终止。将它设置为 0 将禁用 HTTP keep-alive。默认值为 0

语法

keepaliveTimeout: SECS

37.3.3.15 keepaliveMaxRequest

用途

指定一个连接上连续请求的最大数。将它设置为 0 将禁用 HTTP keep-alive。默认值是 10

语法

keepaliveMaxRequest: NUMBER_OF_CONNECTIONS

37.3.3.16 registrationDir

用途

指定注册目录,它包含提供程序的注册数据、分阶段区域和静态储存库。默认值是 /var/lib/sfcb/registration

语法

registrationDir: DIR

37.3.3.17 providerDirs

用途

指定 SFCB 搜索提供程序库的目录的空格分隔列表。默认值是 /usr/lib64 /usr/lib64 /usr/lib64/cmpi

语法

providerDirs: DIR

37.3.3.18 providerSampleInterval

用途

指定提供程序管理器间隔多少秒检查空闲的提供程序。默认值是 30

语法

providerSampleInterval: SECS

37.3.3.19 providerTimeoutInterval

用途

指定提供程序管理器经过多少秒的间隔就卸载空闲的提供程序。默认值是 60

语法

providerTimeoutInterval: SECS

37.3.3.20 providerAutoGroup

用途

如果提供程序注册文件未指定任何其他组,而该选项设置为 true,则同一共享库内的所有提供程序都将在同一进程中执行。

语法

providerAutoGroup: OPTION

选项

说明

true

启用提供程序分组。

false

禁用提供程序分组。

37.3.3.21 sslCertificateFilePath

用途

指定包含服务器证书的文件的名称。该文件必须是 PEM (保密邮件,RFC 1421 和 RFC 1424)格式。只有当 enableHttps 设置为 true 时才需要该文件。默认值是 /etc/sfcb/server.pem

语法

sslCertificateFilePath: PATH

37.3.3.22 sslKeyFilePath

用途

指定包含服务器证书私用密钥的文件的名称。该文件必须是 PEM 格式且不能有通行口令的保护。该文件仅当 enableHttps 设置为 true 时才需要。默认值是 /etc/sfcb/file.pem

语法

sslKeyFilePath: PATH

37.3.3.23 sslClientTrustStore

用途

指定包含客户端的 CA 或自我签名证书的文件的名称。该文件必须是 PEM 格式,只有当 sslClientCertificate 设置为 acceptrequire 时才需要。默认值是 /etc/sfcb/client.pem

语法

sslClientTrustStore: PATH

37.3.3.24 sslClientCertificate

用途

指定 SFCB 处理基于客户端证书的身份验证的方式。如果设置为 ignore,将不会从客户端请求证书。如果设置为 accept,它会从客户端请求证书,但即使客户端没有证书也不会失败。如果设置为 require,会在客户端不存在证书时拒绝客户端连接。默认值是 ignore

语法

sslClientCertificate: OPTION

选项

说明

ignore

禁止请求客户端证书。

accept

禁止请求客户端证书。

如果证书不存在,不会失败。

require

拒绝无有效证书的客户端连接。

37.3.3.25 certificateAuthLib

用途

指定用于请求基于客户端证书的用户身份验证的本地库名称。只有当 sslClientCertificate 未设置成 ignore 时才这样请求。默认值是 sfcCertificateAuthentication

语法

certificateAuthLib: FILE

37.3.3.26 traceLevel

用途

指定 SFCB 的跟踪级别您可以通过设置环境变量 SFCB_TRACE_LEVEL 覆盖它。默认值是 0

语法

traceLevel: NUM_LEVEL

37.3.3.27 traceMask

用途

指定 SFCB 的跟踪掩码。您可以用命令行选项 --trace-components 覆盖它。默认值是 0

语法

traceMask: MASK

37.3.3.28 tracefile

用途

为 SFCB 指定跟踪文件。您可以通过设置环境变量 SFCB_TRACE_FILE 覆盖它。默认值是 stderr(标准错误输出)。

语法

traceFile: OUTPUT

37.4 高级 SFCB 任务

本章涵盖了与 SFCB 使用相关的更多高级主题。要了解这些主题,您需要有 Linux 文件系统的基础知识,并具有使用 Linux 命令行的经验。本章包括以下任务:

  • 安装 CMPI 提供程序

  • 测试 SFCB

  • 使用 wbemcli CIM 客户端

37.4.1 安装 CMPI 提供程序

要安装 CMPI 提供程序,您必须确保其共享库已复制到 providerDirs 配置选项所指定的目录之一,参见第 37.3.3.17 节 “providerDirs”。提供程序还必须用 sfcbstagesfcbrepos 命令正确注册。

提供程序软件包通常是为 SFCB 准备的,为此其安装过程负责进行正确的注册。多数 SBLIM 提供程序是为 SFCB 准备的。

37.4.1.1 类储存库

类储存库就是 SFCB 储存 CIM 类信息的位置。它通常由包含名称空间组件的目录树组成。典型的 CIM 名称空间如 root/cimv2root/interop,它们会分别转换为文件系统上的类储存库目录路径

/var/lib/sfcb/registration/repository/root/cimv2

/var/lib/sfcb/registration/repository/root/interop

每个名称空间目录都包含文件 classSchemas。该文件中有该名称空间下注册的所有 CIM 类的已编译二进制表示。它还包含有关其 CIM 超类的必要信息。

此外,每个名称空间目录都可能包含文件 qualifiers,其中包含了该名称空间的所有限定符。sfcbd 重启动时,类提供程序会扫描目录 /var/lib/sfcb/registration/repository/ 及其全部子目录,以确定注册的名称空间。然后将解码 classSchemas 文件,为每个名称空间构建类的层次结构。

37.4.1.2 添加新类

SFCB 不能在线处理 CIM 类。您需要脱机添加、更改或去除类,然后使用 systemctl restart sfcb 重启动 SFCB 服务来注册这些更改。

为储存提供程序类和注册信息,SFCB 使用名为分阶段区域的位置。在 SUSE® Linux Enterprise Server 系统上,它就是 /var/lib/sfcb/stage/ 下的目录结构。

为添加新的提供程序,您必须:

  • 将提供程序类定义文件复制到分阶段区域目录的子目录 ./mofs (/var/lib/sfcb/stage/mofs)。

  • 将包含类名、提供程序类型和可执行库文件名的注册文件复制到 ./regs 子目录。

分阶段目录中有两个默认的 mof(类定义)文件:indication.mofinterop.mof。运行 sfcbrepos 命令后,root 阶段目录 /var/lib/sfcb/stage/mofs 下的 MOF 文件将复制到每个名称空间。interop.mof 将只编译到 interop 名称空间。

目录布局看上去如下所示:

tux > ls /var/lib/sfcb/stage
default.reg  mofs  regs
tux > ls /var/lib/sfcb/stage/mofs
indication.mof  root
tux > ls /var/lib/sfcb/stage/mofs/root
cimv2  interop  suse  virt
tux > ls -1 /var/lib/sfcb/stage/mofs/root/cimv2 | less
Linux_ABIParameter.mof
Linux_BaseIndication.mof
Linux_Base.mof
Linux_DHCPElementConformsToProfile.mof
Linux_DHCPEntity.mof
[..]
OMC_StorageSettingWithHints.mof
OMC_StorageVolumeDevice.mof
OMC_StorageVolume.mof
OMC_StorageVolumeStorageSynchronized.mof
OMC_SystemStorageCapabilities.mof
tux > ls -1 /var/lib/sfcb/stage/mofs/root/interop
ComputerSystem.mof
ElementConformsToProfile.mof
HostSystem.mof
interop.mof
Linux_DHCPElementConformsToProfile.mof
[..]
OMC_SMIElementSoftwareIdentity.mof
OMC_SMISubProfileRequiresProfile.mof
OMC_SMIVolumeManagementSoftware.mof
ReferencedProfile.mof
RegisteredProfile.mof
tux > ls -1 /var/lib/sfcb/stage/regs
AllocationCapabilities.reg
Linux_ABIParameter.reg
Linux_BaseIndication.reg
Linux_DHCPGlobal.reg
Linux_DHCPRegisteredProfile.reg
[..]
OMC_Base.sfcb.reg
OMC_CopyServices.sfcb.reg
OMC_PowerManagement.sfcb.reg
OMC_Server.sfcb.reg
RegisteredProfile.reg
tux > cat /var/lib/sfcb/stage/regs/Linux_DHCPRegisteredProfile.reg
[Linux_DHCPRegisteredProfile]
   provider: Linux_DHCPRegisteredProfileProvider
   location: cmpiLinux_DHCPRegisteredProfile
   type: instance
   namespace: root/interop
#
[Linux_DHCPElementConformsToProfile]
   provider: Linux_DHCPElementConformsToProfileProvider
   location: cmpiLinux_DHCPElementConformsToProfile
   type: instance association
   namespace: root/cimv2
#
[Linux_DHCPElementConformsToProfile]
   provider: Linux_DHCPElementConformsToProfileProvider
   location: cmpiLinux_DHCPElementConformsToProfile
   type: instance association
   namespace: root/interop

SFCB 对每个提供程序使用自定义提供程序注册文件。

注意
注意:SBLIM 提供程序注册文件

SBLIM 网站上的所有 SBLIM 提供程序都已包括用于生成 SFCB 的 .reg 文件的注册文件。

SFCB 注册文件的格式是:

[<class-name>]
   provider: <provide-name>
   location: <library-name>
   type: [instance] [association] [method] [indication]
   group: <group-name>
   unload: never
   namespace: <namespace-for-class> ...

其中:

<class-name>

CIM 类名(必需)

<provider-name>

CMPI 提供程序名称(必需)

<location-name>

提供程序库的名称(必需)

type

提供程序的类型(必需)它可以是以下的任意组合:instanceassociationmethodindication

<group-name>

可以将多个提供程序组合起来,在单一进程下运行,以进一步最小化运行时资源的占用。所有注册在同一 <group-name> 下的提供程序都将在同一进程下执行。默认情况下每个提供程序作为单独的进程运行。

unload

指定提供程序的卸载策略。目前唯一支持的选项是 never,即指定不监视提供程序的空闲次数,也从不卸载。默认情况下,每个提供程序只要空闲次数超过配置文件中指定的值就卸载。

namespace

可执行本提供程序的名称空间的列表。这是必需的,尽管对于多数提供程序来说它就是 root/cimv2

所有类定义和提供程序注册文件都储存在分阶段区域后,就需要用命令 sfcbrepos -f 重构建 SFCB 类储存库。

您可以用这种方式添加、更改或删除类。重构建类储存库后,用命令 systemctl restart sfcb 重启动 SFCB。

或者,SFCB 软件包包含一个实用程序,它会将提供程序类 mof 文件和注册文件复制到分阶段区域中正确的位置。

sfcbstage -r [provider.reg] [class1.mof] [class2.mof] ...

运行该命令后,您还需要重构建类储存库并重启动 SFCB 服务。

37.4.2 测试 SFCB

SFCB 软件包包括两个测试脚本:wbemcatxmltest

wbemcat 通过 HTTP 协议将原始 CIM-XML 数据发送到端口 5988 上正在侦听的指定 SFCB 主机(默认为本地主机)。然后它会显示返回的结果以下文件包含标准 EnumerateClasses 请求的 CIM-XML 表示:

<?xml version="1.0" encoding="utf-8"?>
<CIM CIMVERSION="2.0" DTDVERSION="2.0">
  <MESSAGE ID="4711" PROTOCOLVERSION="1.0">
    <SIMPLEREQ>
      <IMETHODCALL NAME="EnumerateClasses">
        <LOCALNAMESPACEPATH>
          <NAMESPACE NAME="root"/>
          <NAMESPACE NAME="cimv2"/>
        </LOCALNAMESPACEPATH>
        <IPARAMVALUE NAME="ClassName">
          <CLASSNAME NAME=""/>
        </IPARAMVALUE>
        <IPARAMVALUE NAME="DeepInheritance">
          <VALUE>TRUE</VALUE>
        </IPARAMVALUE>
        <IPARAMVALUE NAME="LocalOnly">
          <VALUE>FALSE</VALUE>
        </IPARAMVALUE>
        <IPARAMVALUE NAME="IncludeQualifiers">
          <VALUE>FALSE</VALUE>
        </IPARAMVALUE>
        <IPARAMVALUE NAME="IncludeClassOrigin">
          <VALUE>TRUE</VALUE>
        </IPARAMVALUE>
      </IMETHODCALL>
    </SIMPLEREQ>
  </MESSAGE>
</CIM>

将该请求发送到 SFCB CIMOM 后,会返回具有已注册提供程序的所有支持类的列表。假定您将文件保存为 cim_xml_test.xml

tux > wbemcat cim_xml_test.xml | less
HTTP/1.1 200 OK
Content-Type: application/xml; charset="utf-8"
Content-Length: 337565
Cache-Control: no-cache
CIMOperation: MethodResponse

<?xml version="1.0" encoding="utf-8" ?>
<CIM CIMVERSION="2.0" DTDVERSION="2.0">
<MESSAGE ID="4711" PROTOCOLVERSION="1.0">
<SIMPLERSP>
<IMETHODRESPONSE NAME="EnumerateClasses">
[..]
<CLASS NAME="Linux_DHCPParamsForEntity" SUPERCLASS="CIM_Component">
<PROPERTY.REFERENCE NAME="GroupComponent" REFERENCECLASS="Linux_DHCPEntity">
</PROPERTY.REFERENCE>
<PROPERTY.REFERENCE NAME="PartComponent" REFERENCECLASS="Linux_DHCPParams">
</PROPERTY.REFERENCE>
</CLASS>
</IRETURNVALUE>
</IMETHODRESPONSE>
</SIMPLERSP>
</MESSAGE>
</CIM>

列出的类会随您在系统上安装的提供程序的不同而不同。

第二个脚本 xmltest 也用于将原始 CIM-XML 测试文件发送到 SFCB CIMOM。它会随即比较返回的结果和以前保存的OK结果文件。如果还不存在对应的OK文件,将创建它以备后用:

tux > xmltest cim_xml_test.xml
Running test cim_xml_test.xml ... OK
        Saving response as cim_xml_test.OK
root # xmltest cim_xml_test.xml
Running test cim_xml_test.xml ... Passed

37.4.3 命令行 CIM 客户端:wbemcli

除了 wbemcatxmltest 外,SBLIM 项目包含更高级的命令行 CIM 客户端 wbemcli。该客户端用于将 CIM 请求发送到 SFCB 服务器,并显示返回的结果。它独立于 CIMOM 库,可与所有 WBEM 兼容实现一起使用。

例如,如果您需要列出注册到您的 SFCB 的 SBLIM 提供程序实现的所有类,则将 EnumerateClasses (ec) 请求发送到 SFCB:

tux > wbemcli -dx ec http://localhost/root/cimv2
To server: <?xml version="1.0" encoding="utf-8" ?>
<CIM CIMVERSION="2.0" DTDVERSION="2.0">
<MESSAGE ID="4711" PROTOCOLVERSION="1.0"><SIMPLEREQ><IMETHODCALL \
    NAME="EnumerateClasses"><LOCALNAMESPACEPATH><NAMESPACE NAME="root"> \
    </NAMESPACE><NAMESPACE NAME="cimv2"></NAMESPACE> \
    </LOCALNAMESPACEPATH>
<IPARAMVALUE NAME="DeepInheritance"><VALUE>TRUE</VALUE> \
    </IPARAMVALUE>
<IPARAMVALUE NAME="LocalOnly"><VALUE>FALSE</VALUE></IPARAMVALUE>
<IPARAMVALUE NAME="IncludeQualifiers"><VALUE>FALSE</VALUE> \
    </IPARAMVALUE>
<IPARAMVALUE NAME="IncludeClassOrigin"><VALUE>TRUE</VALUE> \
    </IPARAMVALUE>
</IMETHODCALL></SIMPLEREQ>
</MESSAGE></CIM>
From server: Content-Type: application/xml; charset="utf-8"
From server: Content-Length: 337565
From server: Cache-Control: no-cache
From server: CIMOperation: MethodResponse
From server: <?xml version="1.0" encoding="utf-8" ?>
<CIM CIMVERSION="2.0" DTDVERSION="2.0">
<MESSAGE ID="4711" PROTOCOLVERSION="1.0">
<SIMPLERSP>
<IMETHODRESPONSE NAME="EnumerateClasses">
<IRETURNVALUE>
<CLASS NAME="CIM_ResourcePool" SUPERCLASS="CIM_LogicalElement">
<PROPERTY NAME="Generation" TYPE="uint64">
</PROPERTY>
<PROPERTY NAME="ElementName" TYPE="string">
</PROPERTY>
<PROPERTY NAME="Description" TYPE="string">
</PROPERTY>
<PROPERTY NAME="Caption" TYPE="string">
</PROPERTY>
<PROPERTY NAME="InstallDate" TYPE="datetime">
</PROPERTY>
[..]
<CLASS NAME="Linux_Ext4FileSystem" SUPERCLASS="CIM_UnixLocalFileSystem">
<PROPERTY NAME="FSReservedCapacity" TYPE="uint64">
</PROPERTY>
<PROPERTY NAME="TotalInodes" TYPE="uint64">
</PROPERTY>
<PROPERTY NAME="FreeInodes" TYPE="uint64">
</PROPERTY>
<PROPERTY NAME="ResizeIncrement" TYPE="uint64">
<VALUE>0</VALUE>
</PROPERTY>
<PROPERTY NAME="IsFixedSize" TYPE="uint16">
<VALUE>0</VALUE>
</PROPERTY>
[..]

-dx 选项向您显示 wbemcli 发送到 SFCB 的实际 XML,以及收到的实际 XML。在上例中,众多返回的类中的第一个类是 CIM_ResourcePool,接着是 Linux_Ext4FileSystem。类似的条目会对所有其他注册的类显示。

如果您省略 -dx 选项,wbemcli 会显示返回数据的简化表示:

tux > wbemcli ec http://localhost/root/cimv2
localhost:5988/root/cimv2:CIM_ResourcePool Generation=,ElementName=, \
    Description=,Caption=,InstallDate=,Name=,OperationalStatus=, \
    StatusDescriptions=,Status=,HealthState=,PrimaryStatus=, \
    DetailedStatus=,OperatingStatus=,CommunicationStatus=,InstanceID=, \
    PoolID=,Primordial=,Capacity=,Reserved=,ResourceType=, \
    OtherResourceType=,ResourceSubType=, \AllocationUnits=
localhost:5988/root/cimv2:Linux_Ext4FileSystem FSReservedCapacity=, \
    TotalInodes=,FreeInodes=,ResizeIncrement=,IsFixedSize=,NumberOfFiles=, \
    OtherPersistenceType=,PersistenceType=,FileSystemType=,ClusterSize=, \
    MaxFileNameLength=,CodeSet=,CasePreserved=,CaseSensitive=, \
    CompressionMethod=,EncryptionMethod=,ReadOnly=,AvailableSpace=, \
    FileSystemSize=,BlockSize=,Root=,Name=,CreationClassName=,CSName=, \
    CSCreationClassName=,Generation=,ElementName=,Description=,Caption=, \
    InstanceID=,InstallDate=,OperationalStatus=,StatusDescriptions=, \
    Status=,HealthState=,PrimaryStatus=,DetailedStatus=,OperatingStatus= \
    ,CommunicationStatus=,EnabledState=,OtherEnabledState=,RequestedState= \
    ,EnabledDefault=,TimeOfLastStateChange=,AvailableRequestedStates=, \
    TransitioningToState=,PercentageSpaceUse=
    [..]

37.5 更多信息

有关 WBEM 和 SFCB 的细节,请参见以下来源:
https://www.dmtf.org

Distributed Management Task Force 网站

https://www.dmtf.org/standards/wbem/

Web-Based Enterprise Management (WBEM) 网站

https://www.dmtf.org/standards/cim/

通用信息模型 (CIM) 网站

http://sblim.sourceforge.net/wiki/index.php/Main_Page

Standards Based Linux Instrumentation (SBLIM) 网站

第 V 部分 查错

  • 38 帮助和文档
  • SUSE® Linux Enterprise Server 提供了各种信息和文档来源,其中绝大部分已经集成在您的已安装系统中。

  • 39 收集系统信息以供支持所用
  • 为了让用户快速概览计算机的所有系统相关信息,SUSE Linux Enterprise Server 提供了 hostinfo 软件包。该软件包还可以帮助系统管理员检查污染的(不支持的)内核,或者计算机上安装的任何第三方软件包。

    出现问题时,可以使用 supportconfig 命令行工具或 YaST 支持模块创建详细的系统报告。这两种方法都会收集系统的相关信息,包括当前内核版本、硬件、已安装软件包、分区设置及其他信息。最后会生成一个包含多个文件的 TAR 存档。在建立服务请求 (SR) 后,您可以将该 TAR 存档上载至全球技术支持。该存档有助于跟踪您所报告的问题,并可以帮助您解决问题。

    此外,您可以分析 supportconfig 输出来发现已知问题,以帮助快速解决问题。为此,SUSE Linux Enterprise Server 提供了一个设备和一个命令行工具用于进行 Supportconfig 分析 (SCA)。

  • 40 常见问题及其解决方案
  • 本章将描述一系列可能发生的问题及其解决方法。即使您的情况并未精确地列在这里,也可能有足够相似的情况可提供解决您的问题的方法提示。

38 帮助和文档

SUSE® Linux Enterprise Server 提供了各种信息和文档来源,其中绝大部分已经集成在您的已安装系统中。

/usr/share/doc 中的文档

这一传统帮助目录包含各种文档文件以及系统的发行说明。它还包含子目录 packages 中的已安装软件包的信息。有关详细信息可以在第 38.1 节 “文档目录” 中找到。

外壳命令的手册页和信息页

使用外壳时,您不需要了解命令选项。外壳往往是通过手册页和信息页来提供集成帮助的。有关详细信息,请参见第 38.2 节 “手册页”第 38.3 节 “信息页”

桌面帮助中心

GNOME 桌面的帮助中心(帮助)按可搜索的形式提供了对系统上最重要的文档资源的集中访问途径。这些资源包括已安装应用程序、手册页、信息页以及随产品提供的 SUSE 手册的联机帮助。

某些应用程序的独立帮助软件包

当用 YaST 安装新软件时,系统通常会自动安装软件文档,并且这些文档会出现在您桌面的帮助中心中。但是,某些应用程序(如 GIMP)可能具有不同的联机帮助包,可与 YaST 分开安装,并且不集成到帮助中心。

38.1 文档目录

在安装的 Linux 系统上用来查找文档的目录一直以来都是 /usr/share/doc。目录通常包含有关您的系统上已安装的软件包和发行说明、手册等等的信息。

注意
注意:内容取决于所安装的软件包

在 Linux 系统中,许多手册和其他种类的文档都可以像软件一样以软件包的形式获取。/usr/share/docs 中的信息量和信息内容还取决于安装的(文档)软件包。如果您找不到这里提到的子目录,请检查相应的软件包是否已安装到您的系统上,并根据需要使用 YaST 添加它们。

38.1.1 SUSE 手册

我们以不同的语言提供了这些手册的 HTML 和 PDF 版本。在 manual 子目录下有您的产品适用的大多数 HTML 版 SUSE 手册。有关对您的产品可用的所有文档的概述,请参见这些手册的前言。

如果安装了多种语言,/usr/share/doc/manual 可能包含这些手册的不同语言版本。两个桌面的帮助中心内也提供 HTML 版本的 SUSE 手册。有关在安装媒体的何处能找到这些书的 PDF 和 HTML 版本的信息,请参见 SUSE Linux Enterprise Server 发行说明。它们位于所安装系统的 /usr/share/doc/release-notes/ 下,或者也可以联机访问您的产品专属网站:https://www.suse.com/releasenotes//

38.1.2 软件包文档

packages 下可找到系统上安装的软件包中包含的文档。对每个软件包,都会创建子目录 /usr/share/doc/packages/PACKAGENAME。它经常包含该软件包的自述文件,有时还包含示例、配置文件或其他脚本。下表列出了 /usr/share/doc/packages 下常见的文件。以下每项不一定都存在,许多软件包中可能只包含其中的一部分。

AUTHORS

主要开发者列表。

BUGS

已知 bug 或故障。还可能包含到 Bugzilla 网页的链接,您可以在该页面上搜索所有 bug。

CHANGES , ChangeLog

每个版本的更改摘要。通常开发人员会对此感兴趣,因为它非常详细。

COPYING , LICENSE

许可信息。

FAQ

从邮件列表或新闻组收集的问题和回答。

INSTALL

如何在系统上安装此软件包。因为您读到该文件前该软件包已安装,您可以放心地忽略该文件的内容。

READMEREADME.*

软件的常规信息。例如用途和用法。

TODO

尚未实施但是将来可能要实施的操作。

MANIFEST

带有简述的文件列表。

NEWS

描述此版本中的新增内容。

38.2 手册页

手册页是任何 Linux 系统的基本组成部分。它们介绍命令的用法以及所有可用的选项和参数。许多页面都可以用 man 后面跟命令名来访问,例如 man ls

手册页直接显示在外壳中。可以用 Page ↑Page ↓ 上下移动来浏览它们。用HomeEnd 可以切换显示文档的开头和结尾。按 Q 可以结束这种查看模式。使用 man man 可以了解有关 man 命令本身的更多信息。手册页如表 38.1 “手册页 - 类别和说明” 所示按类别进行排序(取自 man 命令本身的手册页)。

表 38.1︰ 手册页 - 类别和说明

数字

说明

1

可执行程序或外壳命令

2

系统调用(内核提供的函数)

3

库调用(程序库内的函数)

4

特殊文件(通常位于 /dev

5

文件格式和约定 (/etc/fstab)

6

游戏

7

其他(包括宏包和约定),如 man(7)、groff(7)

8

系统管理命令(通常仅供 root 使用)

9

内核例程(非标准)

每个手册页包括标为 NAMESYNOPSISDESCRIPTIONSEE ALSOLICENSINGAUTHOR 的几个部分。根据具体的命令类型,可能还有其他部分。

38.3 信息页

信息页是系统上另一个重要的信息来源。它们通常比手册页更为详细。它们包含多个命令行选项,有时还包含完整的教学课程或参考文档。要查看特定命令的信息页,请输入 info 后面跟命令名,例如 info ls。您可以在外壳中直接用查看器浏览信息页,并显示名为节点的各个部分。使用 Space 可前移,使用 <— 可后移。在节点内,您也可以用 Page ↑Page ↓ 浏览,但只有 Space<— 仍会带您到上个或下个节点。按 Q 结束查看模式。并非每个命令都有对应的信息页,反之亦然。

38.4 联机资源

除了安装在 /usr/share/doc 下的联机版 SUSE 手册之外,您还可以访问网上的产品特定手册和文档。有关 SUSE Linux Enterprise Server 所有适用文档的概述,请查看产品特定的文档网页,网址为:https://documentation.suse.com/

如果要搜索更多产品相关信息,您也可以参见以下网站:

SUSE 技术支持

如果您有技术方面的疑问或需要相应的解决方案,可在 https://www.suse.com/support/ 上找到 SUSE 技术支持。

SUSE 论坛

SUSE 有多个论坛,您可以进入其中讨论有关该产品的话题。如需获取一份列表,请参见 https://forums.suse.com/

SUSE 博客

SUSE 博客提供了相关文章、提示和问答:https://www.suse.com/c/blog/

GNOME 文档

适用于 GNOME 用户、管理员和开发人员的文档可在 https://library.gnome.org/ 上找到。

Linux 文档计划

Linux 文档计划(Linux Documentation Project,TLDP)由编写 Linux 相关文档的志愿者团队负责管理(请参见 https://www.tldp.org)。它可能是 Linux 相关的最全面的文档资源。这套文档包括初学者教程,但主要侧重于有经验的用户和职业系统管理员。TLDP 以免费许可的形式发布 HOWTO、常见问题和指南(手册)。SUSE Linux Enterprise Server 上也有来自 TLDP 的部分文档。

您还可以尝试通用搜索引擎。例如,如果在刻录 CD 或转换 LibreOffice 文件时遇到问题,可以使用搜索词“Linux CD-RW 帮助”或“OpenOffice 文件转换问题”。

39 收集系统信息以供支持所用

为了让用户快速概览计算机的所有系统相关信息,SUSE Linux Enterprise Server 提供了 hostinfo 软件包。该软件包还可以帮助系统管理员检查污染的(不支持的)内核,或者计算机上安装的任何第三方软件包。

出现问题时,可以使用 supportconfig 命令行工具或 YaST 支持模块创建详细的系统报告。这两种方法都会收集系统的相关信息,包括当前内核版本、硬件、已安装软件包、分区设置及其他信息。最后会生成一个包含多个文件的 TAR 存档。在建立服务请求 (SR) 后,您可以将该 TAR 存档上载至全球技术支持。该存档有助于跟踪您所报告的问题,并可以帮助您解决问题。

此外,您可以分析 supportconfig 输出来发现已知问题,以帮助快速解决问题。为此,SUSE Linux Enterprise Server 提供了一个设备和一个命令行工具用于进行 Supportconfig 分析 (SCA)。

39.1 显示当前系统信息

在登录到服务器时,要想快速方便地概览所有相关系统信息,请使用软件包 hostinfo。在计算机上安装该软件包后,控制台将会向登录到该计算机的任何 root 用户显示以下信息:

例 39.1︰ root 身份登录时的 hostinfo 输出
Welcome to SUSE Linux Enterprise Server 15 SP2 Snapshot8 (x86_64) - Kernel \r (\l).


Distribution:             SUSE Linux Enterprise Server 15 SP2
Current As Of:            Wed 25 Mar 2020 12:09:20 PM PDT
Hostname:                 localhost
Kernel Version:           5.3.18-8-default
 Architecture:            x86_64
 Installed:               Thu 19 Mar 2020 11:25:13 AM PDT
 Status:                  Not Tainted
Last Installed Package:   Wed 25 Mar 2020 11:42:24 AM PDT
 Patches Needed:          0
 Security:                0
 3rd Party Packages:      219
Network Interfaces
 eth0:                    192.168.2/24 2002:c0a8:20a::/64
Memory
 Total/Free/Avail:        7.4Gi/6.4Gi/6.8Gi (91% Avail)
CPU Load Average:         7 (3%) with 2 CPUs

如果输出显示 tainted 内核状态,请参见第 39.6 节 “内核模块支持”以了解更多细节。

39.2 使用 Supportconfig 收集系统信息

要创建包含详细系统信息的 TAR 存档,以提交给全球技术支持,请使用:

  • supportconfig 命令,或者

  • YaST 支持模块。

该命令行工具由默认安装的软件包 supportutils 提供。YaST 支持模块也基于该命令行工具。

系统上的有些软件包集成了 Supportconfig 插件,具体视系统上安装的软件包而定。执行 Supportconfig 时,还会执行所有插件,并创建该存档的一个或多个结果文件。这样做的好处是只检查包含特定插件的主题。Supportconfig 插件储存在 /usr/lib/supportconfig/plugins/ 目录中。

39.2.1 创建服务请求编号

系统随时都可以生成 Supportconfig 存档。但是,要将 Supportconfig 数据提交给全球技术支持,首先需要生成一个服务请求编号。上载存档以获取支持时,您需要使用此编号。

要创建服务请求,请访问 https://scc.suse.com/support/requests 并遵照屏幕上的说明操作。记下服务请求编号。

注意
注意:隐私声明

SUSE 将系统报告视为机密数据。有关我们在隐私方面所做承诺的详细信息,请参见 https://www.suse.com/company/policies/privacy/

39.2.2 上载目标

在创建服务请求编号后,可以根据过程 39.1 “使用 YaST 向支持部门提交信息”过程 39.2 “从命令行向支持部门提交信息”中所述将 Supportconfig 存档上载到全球技术支持站点。使用下列上载目标之一:

或者,可以使用以下服务请求 URL 手动将该 TAR 存档附加到您的服务请求:https://scc.suse.com/support/requests

39.2.3 使用 YaST 创建 supportconfig 存档

要使用 YaST 收集系统信息,请执行以下步骤:

  1. 启动 YaST 并打开支持模块。

    Image
  2. 单击创建报告 tarball

  3. 在随后出现的窗口中,从单选按钮列表中选择一个 Supportconfig 选项。系统默认会预先选择使用自定义(专家)设置。如果要先测试报告功能,请使用仅收集最少量的信息。有关其他选项的更多信息,请参考 supportconfig 手册页。

    下一步

  4. 输入您的联系信息。此信息将保存在 basic-environment.txt 文件中,并会包含在创建的存档中。

  5. 要将存档提交到全球技术支持,请提供所需的上载信息。YaST 会自动推荐一个上载服务器。要修改该服务器,请参考第 39.2.2 节 “上载目标”,以详细了解可以使用哪些上载服务器。

    要在以后再提交存档,请将上载信息留空。

  6. 下一步启动信息收集过程。

    Image

    该过程完成后,按下一步

  7. 要查看收集的数据,请从文件名中选择所需的文件,以在 YaST 中查看其内容。在将 TAR 存档提交到支持部门之前,如果要去除该存档中的某个文件,请使用从数据中去除。按下一步

  8. 保存该 TAR 存档。如果您以 root 用户身份启动了 YaST 模块,YaST 会提示您将该存档保存到 /var/log(否则将保存到您的主目录)。文件名格式为 scc_HOST_DATE_TIME.tbz

  9. 要直接将该存档上载到支持部门,请确保将日志文件 tarball 上载到 URL 已激活。此处显示的上载目标步骤 5 中 YaST 推荐的上载目标。要修改上载目标,请在第 39.2.2 节 “上载目标”中检查有哪些可用的上载服务器。

  10. 要跳过上载步骤,请停用将日志文件 tarball 上载到 URL

  11. 确认更改以关闭 YaST 模块。

39.2.4 从命令行创建 supportconfig 存档

下面的过程显示了如何创建 Supportconfig 存档,但不将它直接提交给支持人员。要上载该存档,需要根据过程 39.2 “从命令行向支持部门提交信息”中所述,结合某些选项运行命令。

  1. 打开外壳并转换为 root 用户。

  2. 运行 supportconfig。一般而言,不带任何选项运行此工具就足以满足需要。下面的列表中显示了一些十分常用的选项:

    -E MAIL, -N NAME, -O COMPANY, -P PHONE

    设置您的联系数据:电子邮件地址 (-E)、公司名称 (-O)、您的姓名 (-N) 和电话号码 (-P)。

    -i KEYWORDS, -F

    限制检查的功能。KEYWORDS 占位符是区分大小写的关键字的逗号分隔列表。使用 supportconfig -F 可获得所有关键字列表。

    -r SRNUMBER

    定义上载生成的 TAR 存档时所用的服务请求编号。

  3. 等待工具完成操作。

  4. 默认的存档位置为 /var/log,文件名格式为 scc_HOST_DATE_TIME.tbz

39.2.5 了解 supportconfig 的输出

不管您是通过 YaST 还是直接运行 supportconfig,该脚本都会显示其已执行操作的摘要。

                     Support Utilities - Supportconfig
                          Script Version: 3.0-98 
                          Script Date: 2017 06 01
[...]
Gathering system information
  Data Directory:    /var/log/scc_d251_180201_1525 1

  Basic Server Health Check...                 Done 2
  RPM Database...                              Done 2
  Basic Environment...                         Done 2
  System Modules...                            Done 2
[...]
  File System List...                          Skipped 3
[...]
  Command History...                           Excluded 4
[...]
  Supportconfig Plugins:                       1 5
    Plugin: pstree...                          Done
[...]
Creating Tar Ball

==[ DONE ]===================================================================
  Log file tar ball: /var/log/scc_d251_180201_1525.txz 6
  Log file size:     732K
  Log file md5sum:   bf23e0e15e9382c49f92cbce46000d8b
=============================================================================

1

用于储存结果的临时数据目录。此目录存档为 tar 文件,请参见6

2

已成功启用(默认或手动选择)并执行该功能。结果储存在文件中(请参见表 39.1 “TAR 存档中的功能和文件名对照”)。

3

已跳过该功能,因为一个或多个 RPM 软件包的部分文件已更改。

4

已排除该功能,因为已通过 -x 选项将其取消选择。

5

该脚本发现了一个插件,并执行该插件 pstree。该插件位于 /usr/lib/supportconfig/plugins/ 目录中。有关细节,请参见 手册页。

6

存档的 Tar 文件名,默认使用 xz 压缩。

39.2.6 常用的 supportconfig 选项

supportconfig 实用程序在调用时通常不带任何选项。使用 supportconfig -h 显示所有选项的列表或参见手册页。下面的列表提供了某些常见用例的简述:

减少所收集信息的大小

使用最少量选项 (-m):

tux > sudo supportconfig -m
将信息限制为特定的主题

如果已确定问题所在,并发现该问题只与特定的区域或功能集相关,则您在下次运行 supportconfig 时,应限制针对特定的区域收集信息。例如,如果您检测到 LVM 出现问题,想要测试最近对 LVM 配置所做的更改。在这种情况下,合适的做法是只收集有关 LVM 的最少量 Supportconfig 信息:

tux > sudo supportconfig -i LVM

可通过逗号分隔额外的关键字。例如,额外的磁盘测试:

tux > sudo supportconfig -i LVM,DISK

要查看可用于将所收集信息限制为特定区域的功能关键字的完整列表,请运行:

tux > sudo supportconfig -F
在输出中包含其他联系信息:
tux > sudo supportconfig -E tux@example.org -N "Tux Penguin" -O "Penguin Inc." ...

(在一行中输入所有命令)

收集已经过轮转的日志文件
tux > sudo supportconfig -l

这对日志记录量较大的环境,或重引导后 syslog 轮换日志文件时发生内核崩溃的情况尤为有用。

39.2.7 存档内容概述

TAR 存档包含各功能的所有结果。根据所选的内容(所有功能或只有一小部分功能),存档包含的文件可能有多有少。您可通过 -i 选项来限制功能集(请参见第 39.2.6 节 “常用的 supportconfig 选项”)。

要列出存档的内容,请使用以下 tar 命令:

root # tar xf /var/log/scc_earth_180131_1545.tbz

TAR 存档中始终包含以下文件名:

存档中一定会包含的文件
basic-environment.txt

包含执行此脚本的日期和系统信息(如发行套件版本)、超级管理程序信息等。

basic-health-check.txt

包含一些基本的运行状态检查,如运行时间、虚拟内存统计数字、可用内存和硬盘、僵尸进程检查等。

hardware.txt

包含基本硬件检查(如有关 CPU 体系结构的信息)、所有已连接硬件的列表、中断、I/O 端口、内核引导消息等。

messages.txt

包含系统日志中的日志消息。

rpm.txt

包含所有已安装的 RPM 软件包、名称、来源及其版本的列表。

summary.xml

包含 XML 格式的一些信息,如发行套件、版本和产品特定的分段。

supportconfig.txt

包含有关 supportconfig 脚本本身的信息。

y2log.txt

包含 YaST 特定的信息,如特定的软件包、配置文件和日志文件。

表 39.1 “TAR 存档中的功能和文件名对照”列出了所有可用的功能及其文件名。后续的服务包或插件将会补充到列表中。

表 39.1︰ TAR 存档中的功能和文件名对照
功能文件名
APPARMORsecurity-apparmor.txt
AUDITsecurity-audit.txt
AUTOFSfs-autofs.txt
BOOTboot.txt
BTRFSfs-btrfs.txt
DAEMONSsystemd.txt
CIMOMcimom.txt
CRASHcrash.txt
CRONcron.txt
DHCPdhcp.txt
DISKfs-diskio.txt
DNSdns.txt
DOCKERdocker.txt
DRBDdrbd.txt
ENVenv.txt
ETCetc.txt
HAha.txt
HAPROXYhaproxy.txt
HISTORYshell_history.txt
IBib.txt
IMANnovell-iman.txt
ISCSIfs-iscsi.txt
LDAPldap.txt
LIVEPATCHkernel-livepatch.txt
LVMlvm.txt
MEMmemory.txt
MODmodules.txt
MPIOmpio.txt
NETnetwork-*.txt
NFSnfs.txt
NTPntp.txt
NVMEnvme.txt
OCFS2ocfs2.txt
OFILESopen-files.txt
PRINTprint.txt
PROCproc.txt
SARsar.txt
SLERTslert.txt
SLPslp.txt
SMTsmt.txt
SMARTfs-smartmon.txt
SMBsamba.txt
SRAIDfs-softraid.txt
SSHssh.txt
SSSDsssd.txt
SYSCONFIGsysconfig.txt
SYSFSsysfs.txt
TRANSACTIONALtransactional-update.txt
TUNEDtuned.txt
UDEVudev.txt
UFILESfs-files-additional.txt
UPupdates.txt
WEBweb.txt
Xx.txt

39.3 将信息提交到全球技术支持部门

可以使用 YaST 支持模块或 supportconfig 命令行实用程序向全球技术支持提交系统信息。如果您遇到服务器问题并想要获得支持人员的帮助,则首先需要建立一个服务请求。有关详细信息,请参见第 39.2.1 节 “创建服务请求编号”

以下示例使用 12345678901 作为服务请求编号的占位符。请将 12345678901 替换为您在第 39.2.1 节 “创建服务请求编号”中创建的服务请求编号。

过程 39.1︰ 使用 YaST 向支持部门提交信息

下面的过程假设您已创建某个 Supportconfig 存档,但尚未将其上载。请确保已按第 39.2.3 节 “使用 YaST 创建 supportconfig 存档”中的步骤 4 所述在存档中包含了您的联系信息。有关如何一步生成并提交 Supportconfig 存档的说明,请参见第 39.2.3 节 “使用 YaST 创建 supportconfig 存档”

  1. 启动 YaST 并打开支持模块。

  2. 单击上载

  3. 有日志文件的软件包中,指定现有 Supportconfig 存档的路径,或者单击浏览找到该存档。

  4. YaST 会自动推荐一个上载服务器。如果要修改该服务器,请参考第 39.2.2 节 “上载目标”,以详细了解可以使用哪些上载服务器。

    Image

    单击下一步继续。

  5. 单击完成

过程 39.2︰ 从命令行向支持部门提交信息

下面的过程假设您已创建某个 Supportconfig 存档,但尚未将其上载。有关如何一步生成并提交 Supportconfig 存档的说明,请参见第 39.2.3 节 “使用 YaST 创建 supportconfig 存档”

  1. 具有互联网连接的服务器:

    1. 要使用默认上载目标,请运行:

      tux > sudo supportconfig -ur 12345678901
    2. 对于安全上载目标,请使用以下命令:

      tux > sudo supportconfig -ar 12345678901
  2. 不具有互联网连接的服务器:

    1. 运行以下命令:

      tux > sudo supportconfig -r 12345678901
    2. /var/log/scc_SR12345678901*tbz 存档手动上载到我们的 FTP 服务器之一。要使用哪个服务器取决于您所在的位置。有关概览,请参见第 39.2.2 节 “上载目标”

  3. 将 TAR 存档上载到我们 FTP 服务器的接收目录后,它会自动附加到您的服务请求中。

39.4 分析系统信息

您可以分析使用 supportconfig 创建的系统报告来发现已知问题,以帮助快速解决问题。为此,SUSE Linux Enterprise Server 提供了一个设备和一个命令行工具用于进行 Supportconfig 分析 (SCA)。SCA 设备是一个非交互式服务器端工具。SCA 工具 (scatool) 由软件包 sca-server-report提供,它在客户端中运行,并通过命令行执行。这两个工具都能分析来自受影响服务器的 Supportconfig 存档。初始服务器分析在 SCA 设备或运行 scatool 的工作站上进行。生产服务器上不发生任何分析周期。

此外,该设备和命令行工具还需要产品特定的模式,这样它们才能分析关联产品的 Supportconfig 输出。每个模式就是一个脚本,用于针对某个已知问题分析和评估 Supportconfig 存档。模式以 RPM 软件包的形式提供。

您也可以根据第 39.4.3 节 “开发自定义分析模式”中的简述开发自己的模式。

39.4.1 SCA 命令行工具

SCA 命令行工具可让您既可使用 supportconfig 又可使用本地计算机上安装的特定产品的分析模式来分析该本地计算机。该工具将创建一份 HTML 报告来显示分析结果。有关示例,请参见图 39.1 “SCA 工具生成的 HTML 报告”

SCA 工具生成的 HTML 报告
图 39.1︰ SCA 工具生成的 HTML 报告

scatool 命令由 sca-server-report 软件包中。默认情况下不会安装该软件包。此外,您还需要 sca-patterns-base 软件包和任何产品特定的 sca-patterns-* 软件包,它们需与要运行 scatool 命令的计算机上安装的产品匹配。

root 用户身份或者结合 sudo 执行 scatool 命令。在调用 SCA 工具时,可以分析现有的 supportconfig TAR 存档,或者一步即让该工具生成并分析新的存档。该工具还提供具有 Tab 补全功能的交互控制台。您可以在外部计算机上运行 supportconfig,在本地计算机上执行后续分析。

下面提供了一些示例命令:

sudo scatool -s

调用 supportconfig,并在本地计算机上生成新的 Supportconfig 存档。通过应用与所安装产品匹配的 SCA 分析模式来分析存档以发现已知问题。显示基于分析结果生成的 HTML 报告的路径。通常,该报告将写入到 Supportconfig 存档所在的同一目录中。

sudo scatool -s -o /opt/sca/reports/

sudo scatool -s 类似,唯一的差别在于,HTML 报告将写入到 -o 指定的路径。

sudo scatool -a PATH_TO_TARBALL_OR_DIR

分析指定的 Supportconfig 存档文件(或者指定用于存放解压缩的 Supportconfig 存档的目录)。生成的 HTML 报告保存在 Supportconfig 存档或目录所在的位置。

sudo scatool -a SLES_SERVER.COMPANY.COM

与外部服务器 SLES_SERVER.COMPANY.COM 建立 SSH 连接,并在该服务器上运行 supportconfig。Supportconfig 存档随后将复制回本地计算机,并在该处进行分析。生成的 HTML 报告保存在默认的 /var/log 目录中。(SLES_SERVER.COMPANY.COM 上只创建 Supportconfig 存档)。

sudo scatool -c

启动 scatool 的交互式控制台。按 →| 两次可查看可用命令。

有关其他选项和信息,请运行 sudo scatool -h 或参见 scatool 手册页。

39.4.2 SCA 设备

如果您决定使用 SCA 设备来分析 Supportconfig 存档,请配置一台服务器(或虚拟机)作为专用的 SCA 设备服务器。然后,可以使用该 SCA 设备服务器,对企业中运行 SUSE Linux Enterprise Server 或 SUSE Linux Enterprise Desktop 的所有计算机上的 Supportconfig 存档进行分析。您只需要将 Supportconfig 存档上载到设备服务器,等待它执行分析。此过程无需任何交互。在 MariaDB 数据库中,SCA 设备将会跟踪已分析的所有 Supportconfig 存档。您可以直接从设备 Web 界面阅读 SCA 报告。或者,可以让设备通过电子邮件将 HTML 报告发送给任何管理用户。有关详细信息,请参见第 39.4.2.5.4 节 “通过电子邮件发送 SCA 报告”

39.4.2.1 安装快速入门

要通过命令行快速安装和设置 SCA 设备,请遵照此处的说明操作。该过程适用于专家用户,主要通过单纯的安装与设置命令来完成。有关更多信息,请参考第 39.4.2.2 节 “先决条件”第 39.4.2.3 节 “安装和基本设置”中的详细说明。

先决条件
  • Web 和 LAMP 模式

  • Web 和脚本编写模块(您必须注册计算机才能选择此模块)。

注意
注意:需要 root 特权

下面过程中的所有命令必须以 root 身份来运行。

过程 39.3︰ 使用匿名 FTP 进行上载的安装

设置并运行设备后,无需任何人工交互。因此,对于使用 cron 作业创建和上载 Supportconfig 存档的情形,非常适合使用这种方法来设置设备。

  1. 在要安装设备的计算机上,登录到控制台并执行以下命令(确保接受推荐的软件包):

    tux > sudo zypper install sca-appliance-* sca-patterns-* \
    vsftpd yast2 yast2-ftp-server
    tux > sudo systemctl enable apache2
    tux > sudo systemctl start apache2
    tux > sudo systemctl enable vsftpd
    tux > sudo systemctl start vsftpd
    tux > sudo yast ftp-server
  2. 在 YaST FTP 服务器中,选择身份验证 ›  启用上载 ›  允许匿名用户上载 ›  完成 › ,以创建 /srv/ftp/upload

  3. 执行以下命令:

    tux > sudo systemctl enable mysql
    tux > sudo systemctl start mysql
    tux > sudo mysql_secure_installation
    tux > sudo setup-sca -f

    mysql_secure_installation 将创建 MariaDB root 口令。

过程 39.4︰ 使用 SCP/tmp 进行上载的安装

这种设置设备的方法需要在键入 SSH 口令时进行人工交互。

  1. 在安装设备的计算机上,登录到控制台。

  2. 执行以下命令:

    tux > sudo zypper install sca-appliance-* sca-patterns-*
    tux > sudo systemctl enable apache2
    tux > sudo systemctl start apache2
    tux > sudo sudo systemctl enable mysql
    tux > sudo systemctl start mysql
    tux > sudo mysql_secure_installation
    tux > sudo setup-sca

39.4.2.2 先决条件

要运行 SCA 设备服务器,需要满足以下先决条件:

  • 安装所有 sca-appliance-* 软件包。

  • 安装 sca-patterns-base 软件包。此外,需要针对您要使用该设备分析的 Supportconfig 存档类型安装产品特定的 sca-patterns-*

  • Apache

  • PHP

  • MariaDB

  • 匿名 FTP 服务器(可选)

39.4.2.3 安装和基本设置

第 39.4.2.2 节 “先决条件”中所列,SCA 设备与其他软件包存在若干依赖项。因此,在安装和设置 SCA 设备服务器之前,需要做一些准备工作:

  1. 对于 Apache 和 MariaDB,请安装 WebLAMP 安装模式。

  2. 设置 Apache 和 MariaDB,并有选择性地设置一个匿名 FTP 服务器。有关详细信息,请参见第 34 章 “Apache HTTP 服务器第 35 章 “使用 YaST 设置 FTP 服务器

  3. 将 Apache 和 MariaDB 配置为在引导时启动:

    tux > sudo systemctl enable apache2 mysql
  4. 启动这两个服务:

    tux > sudo systemctl start apache2 mysql

现在,您便可以根据过程 39.5 “安装和配置 SCA 设备”中所述安装和设置 SCA 设备。

过程 39.5︰ 安装和配置 SCA 设备

安装这些软件包后,可以使用 setup-sca 脚本来对 SCA 设备使用的 MariaDB 管理与报告数据库进行基本的配置。

使用该脚本可以配置以下选项,以便将 Supportconfig 存档从您的计算机上载到 SCA 设备:

  • scp

  • 匿名 FTP 服务器

  1. 安装设备和 SCA 基本模式库:

    tux > sudo zypper install sca-appliance-* sca-patterns-base
  2. 此外,请针对您要分析的 Supportconfig 存档类型安装模式软件包。例如,如果您的环境中安装了 SUSE Linux Enterprise Server 12 和 SUSE Linux Enterprise Server 15 服务器,请安装 sca-patterns-sle12sca-patterns-sle15 这两个软件包。

    安装所有可用模式:

    tux > sudo zypper install sca-patterns-*
  3. 要对 SCA 设备进行基本的设置,请使用 setup-sca 脚本。如何调用该命令取决于您要如何将 Supportconfig 存档上载到 SCA 设备服务器:

    • 如果您配置了使用 /srv/ftp/upload 目录的匿名 FTP 服务器,请结合 -f 选项执行设置脚本。按照屏幕上的说明操作:

      tux > sudo setup-sca -f
      注意
      注意:使用其他目录的 FTP 服务器

      如果 FTP 服务器使用的目录不是 /srv/ftp/upload,请先调整以下配置文件,使其指向正确的目录:/etc/sca/sdagent.conf/etc/sca/sdbroker.conf

    • 如果您想通过 scp 将 Supportconfig 文件上载到 SCA 设备服务器的 /tmp 目录,请不带任何参数调用该设置脚本。按照屏幕上的说明操作:

      tux > sudo setup-sca

    该设置脚本将会根据它的要求运行一些检查,并配置所需的组件。它会提示您输入两个口令:您设置的 MariaDB 的 MySQL root 口令,以及用于登录 SCA 设备 Web 界面的 Web 用户口令。

  4. 输入现有的 MariaDB root 口令。SCA 设备将使用该口令连接到 MariaDB。

  5. 定义 Web 用户的口令。该口令将写入 /srv/www/htdocs/sca/web-config.php,并设置为用户 scdiag 的口令。以后,您可随时更改用户名和口令,请参见第 39.4.2.5.1 节 “Web 界面的口令”

在成功完成安装和设置后,便可以开始使用 SCA 设备,请参见第 39.4.2.4 节 “使用 SCA 设备”。但是,您应该修改某些选项,例如,更改 Web 界面的口令,更改 SCA 模式更新源,启用存档模式,或者配置电子邮件通知。有关细节,请参见第 39.4.2.5 节 “自定义 SCA 设备”

警告
警告:数据保护

由于 SCA 设备服务器上的报告包含安全相关信息,因此,必须保护好 SCA 设备服务器上的数据,以防未经授权的人员访问。

39.4.2.4 使用 SCA 设备

您可以将现有的 Supportconfig 存档手动上载到 SCA 设备,也可以一步即完成创建新 Supportconfig 存档并上载到 SCA 设备的操作。可以通过 FTP 或 SCP 来上载存档。对于这两种上载方式,您需要知道可用来访问 SCA 设备的 URL。要通过 FTP 上载,需要为 SCA 设备配置一台 FTP 服务器,请参见过程 39.5 “安装和配置 SCA 设备”

39.4.2.4.1 将 supportconfig 存档上载到 SCA 设备
  • 要创建 Supportconfig 存档并通过(匿名)FTP 上载:

    tux > sudo supportconfig -U “ftp://SCA-APPLIANCE.COMPANY.COM/upload”
  • 要创建 Supportconfig 存档并通过 SCP 上载:

    tux > sudo supportconfig -U “scp://SCA-APPLIANCE.COMPANY.COM/tmp”

    系统将提示您输入运行 SCA 设备的服务器的 root 用户口令。

  • 如果要手动上载一个或多个存档,请将现有的存档文件(通常位于 /var/log/scc_*.tbz)复制到 SCA 设备中。对于目标,请使用设备服务器的 /tmp 目录,或使用 /srv/ftp/upload 目录(如果为 SCA 设备服务器配置了 FTP)。

39.4.2.4.2 查看 SCA 报告

可以在装有浏览器并可以访问 SCA 设备报告索引页的任何计算机上查看 SCA 报告。

  1. 启动 Web 浏览器并确保 JavaScript 和 Cookie 已启用。

  2. 输入 SCA 设备的报告索引页作为 URL。

    https://sca-appliance.company.com/sca

    如果有任何疑问,请咨询系统管理员。

  3. 系统将提示您输入用于登录的用户名和口令。

    SCA 设备生成的 HTML 报告
    图 39.2︰ SCA 设备生成的 HTML 报告
  4. 登录后,单击您想要阅读的报告的日期。

  5. 首先单击基本状态类别将其展开。

  6. 消息列中单击某一个项。SUSE 知识库中的相应文章即会打开。阅读建议的解决方案,并遵循所述的说明。

  7. 如果 Supportconfig 分析报告解决方案列显示了其他项,请单击这些项。阅读建议的解决方案,并遵循所述的说明。

  8. 请查看 SUSE 知识库 (https://www.suse.com/support/kb/),以了解与 SCA 发现的问题直接相关的结果。设法解决这些问题。

  9. 查看可前瞻性处理的结果,以免将来发生问题。

39.4.2.5 自定义 SCA 设备

以下几节显示了如何更改 Web 界面的口令、更改 SCA 模式更新源、启用存档模式以及配置电子邮件通知。

39.4.2.5.1 Web 界面的口令

SCA 设备 Web 界面要求使用用户名和口令登录。默认的用户名为 scdiag,默认的口令为 linux(如果未做其他的指定,请参见过程 39.5 “安装和配置 SCA 设备”)。请尽早将默认口令更改为较为安全的口令。您也可以修改用户名。

过程 39.6︰ 更改 Web 界面的用户名或口令
  1. 在 SCA 设备服务器的系统控制台上以 root 用户身份登录。

  2. 在编辑器中打开 /srv/www/htdocs/sca/web-config.php

  3. 根据需要更改 $username$password 的值。

  4. 保存文件并退出。

39.4.2.5.2 SCA 模式的更新

默认情况下,所有 sca-patterns-* 软件包将由一个 root cron 作业来定期更新,该作业将在夜间执行 sdagent-patterns 脚本,而该脚本又会运行 zypper update sca-patterns-*。定期的系统更新将会更新所有 SCA 设备软件包和模式软件包。要手动更新 SCA 设备和模式,请运行:

tux > sudo zypper update sca-*

默认情况下,将从 SUSE Linux Enterprise 15 SP3 更新储存库安装更新。如果需要,您可以将更新源更改为某台 RMT 服务器。当 sdagent-patterns 运行 zypper update sca-patterns-* 时,将从当前配置的更新通道获取更新。如果该通道在 RMT 服务器上,将从该服务器提取软件包。

过程 39.7︰ 禁用 SCA 模式的自动更新
  1. 在 SCA 设备服务器的系统控制台上以 root 用户身份登录。

  2. 在编辑器中打开 /etc/sca/sdagent-patterns.conf

  3. 将项

    UPDATE_FROM_PATTERN_REPO=1

    更改为

    UPDATE_FROM_PATTERN_REPO=0
  4. 保存文件并退出。计算机无需重启动就能应用更改。

39.4.2.5.3 存档模式

系统在分析了 Supportconfig 存档并将其结果储存在 MariaDB 数据库中后,会从 SCA 设备中删除所有这些存档。但是,如果要进行查错,在计算机中保留 Supportconfig 存档的副本可能会比较实用。默认情况下,存档模式处于禁用状态。

过程 39.8︰ 在 SCA 设备中启用存档模式
  1. 在 SCA 设备服务器的系统控制台上以 root 用户身份登录。

  2. 在编辑器中打开 /etc/sca/sdagent.conf

  3. 将项

    ARCHIVE_MODE=0

    更改为

    ARCHIVE_MODE=1
  4. 保存文件并退出。计算机无需重启动就能应用更改。

启用存档模式后,SCA 设备会将 Supportconfig 文件保存到 /var/log/archives/saved 目录,而不会将其删除。

39.4.2.5.4 通过电子邮件发送 SCA 报告

SCA 设备可通过电子邮件发送所分析的每个 Supportconfig 的 HTML 报告文件。在默认情况下禁用该功能。如果启用此功能,您便可以定义应将报告发送到的电子邮件地址列表。定义触发报告发送的状态消息级别 (STATUS_NOTIFY_LEVEL)。

STATUS_NOTIFY_LEVEL 的可能值
$STATUS_OFF

停用发送 HTML 报告功能。

$STATUS_CRITICAL

仅发送包含“关键”状态的 SCA 报告。

$STATUS_WARNING

仅发送包含“警告”或“关键”状态的 SCA 报告。

$STATUS_RECOMMEND

仅发送包含“建议”、“警告”或“关键”状态的 SCA 报告。

$STATUS_SUCCESS

发送包含“成功”、“建议”、“警告”或“关键”状态的 SCA 报告。

过程 39.9︰ 为 SCA 报告配置电子邮件通知
  1. 在 SCA 设备服务器的系统控制台上以 root 用户身份登录。

  2. 在编辑器中打开 /etc/sca/sdagent.conf

  3. 搜索 STATUS_NOTIFY_LEVEL 项。该项默认设置为 $STATUS_OFF(禁用电子邮件通知)。

  4. 要启用电子邮件通知,请将 $STATUS_OFF 更改为要针对其生成电子邮件报告的状态消息级别,例如:

    STATUS_NOTIFY_LEVEL=$STATUS_SUCCESS

    有关详细信息,请参见STATUS_NOTIFY_LEVEL 的可能值

  5. 定义要将报告发送到的收件人列表:

    1. 搜索 EMAIL_REPORT='root' 项。

    2. root 替换为要向其发送 SCA 报告的电子邮件地址列表。各电子邮件地址必须以空格分隔。例如:

      EMAIL_REPORT='tux@my.company.com wilber@your.company.com'
  6. 保存文件并退出。计算机无需重启动就能应用更改。以后生成的所有 SCA 报告都将通过电子邮件发送到指定的地址。

39.4.2.6 备份和恢复数据库

要备份和恢复储存 SCA 报告的 MariaDB 数据库,请按如下所述使用 scadb 命令。scadb 由以下软件包提供: sca-appliance-broker

过程 39.10︰ 备份数据库
  1. 在运行 SCA 设备的服务器的系统控制台上以 root 用户身份登录。

  2. 通过执行以下命令将设备置于维护模式:

    root # scadb maint
  3. 使用以下命令启动备份进程:

    root # scadb backup

    数据将保存到 TAR 存档 sca-backup-*sql.gz 中。

  4. 如果您正在使用模式创建数据库开发自己的模式(参见第 39.4.3 节 “开发自定义分析模式”),则还要备份以下数据:

    root # sdpdb backup

    数据将保存到 TAR 存档 sdp-backup-*sql.gz 中。

  5. 将以下数据复制到另一台计算机或外部储存媒体:

    • sca-backup-*sql.gz

    • sdp-backup-*sql.gz

    • /usr/lib/sca/patterns/local(仅当您已创建自定义模式时才需要复制该数据)

  6. 使用以下命令重新激活 SCA 设备:

    root # scadb reset agents
过程 39.11︰ 恢复数据库

要基于备份恢复数据库,请按如下所述操作:

  1. 在运行 SCA 设备的服务器的系统控制台上以 root 用户身份登录。

  2. 将最新的 sca-backup-*sql.gzsdp-backup-*sql.gz TAR 存档复制到 SCA 设备服务器。

  3. 要解压缩文件,请运行:

    root # gzip -d *-backup-*sql.gz
  4. 要将数据导入数据库,请执行:

    root # scadb import sca-backup-*sql
  5. 如果您正在使用模式创建数据库创建自己的模式,则还要通过以下命令导入以下数据:

    root # sdpdb import sdp-backup-*sql
  6. 如果您正在使用自定义模式,则还要基于备份数据恢复 /usr/lib/sca/patterns/local

  7. 使用以下命令重新激活 SCA 设备:

    root # scadb reset agents
  8. 使用以下命令更新数据库中的模式模块:

    root # sdagent-patterns -u

39.4.3 开发自定义分析模式

SCA 设备随附了一个完整的模式开发环境(SCA 模式数据库),可让您开发自己的自定义模式。模式可用任何编程语言编写。要使这些模式可用于 Supportconfig 分析过程,需要将其保存到 /usr/lib/sca/patterns/local,并使其可执行。然后,SCA 设备和 SCA 工具将会针对作为分析报告一部分的新 Supportconfig 存档运行这些自定义模式。有关如何创建(和测试)自己的模式的详细说明,请参见https://www.suse.com/c/blog/sca-pattern-development/

39.5 在安装期间收集信息

在安装过程中,supportconfig 不可用。不过,您可以使用 save_y2logs 从 YaST 收集日志文件。该命令会在 /tmp 目录下创建一个 .tar.xz 存档。

如果在安装过程中很早就出现问题,您或许可以从 linuxrc 创建的日志文件中收集信息。Linuxrc 是一个在 YaST 启动之前运行的小命令。该日志文件位于 /var/log/linuxrc.log

重要
重要:安装日志文件在已安装系统中不可用

日志文件在安装过程中可用,但在已安装好的系统中却不可用。当安装程序仍在运行时,请正确保存安装日志文件。

39.6 内核模块支持

对于任何企业操作系统,一个重要的要求就是您获得的环境方面的支持级别。内核模块是硬件(控制器)与操作系统之间关联最密切的连接器。SUSE Linux Enterprise 中的每个内核模块都有一个 supported 标志,该标志可使用以下三个值:

  • yes,相当于 supported

  • external,相当于 supported

  • (空白,未设置),相当于 unsupported

可以使用下列规则:

  • 默认情况下,经过自我重新编译的内核的所有模块都会标记为 unsupported。

  • SUSE 合作伙伴支持的内核模块以及使用 SUSE SolidDriver 程序提供的内核模块会标记为 external

  • 如果未设置 supported 标志,装载此模块便会污染该内核。系统不支持污染的内核。不支持的内核模块放在额外的 RPM 软件包 (kernel-FLAVOR-extra) 中。该软件包仅可用于 SUSE Linux Enterprise Desktop 和 SUSE Linux Enterprise Workstation Extension。默认情况 (FLAVOR=default|xen|...) 下,不会装载这些内核。此外,安装程序中不会提供这些不支持的模块,并且 kernel-FLAVOR-extra 软件包也不会包含在 SUSE Linux Enterprise 媒体中。

  • 不是根据与 Linux 内核许可证兼容的许可证提供的内核模块也会污染内核。有关细节,请参见 /usr/src/linux/Documentation/sysctl/kernel.txt/proc/sys/kernel/tainted 的状态。

39.6.1 技术背景

  • Linux 内核:在 SUSE Linux Enterprise 15 SP3 上,/proc/sys/kernel/unsupported 的值默认设为 2装载不支持的模块时,syslog 中不发出警告)。在安装程序和已安装好的系统中,均会使用此默认值。有关更多信息,请参见 /usr/src/linux/Documentation/sysctl/kernel.txt

  • modprobe:用于检查模块依赖项和装载模块的 modprobe 实用程序会相应地检查 supported 标志的值。如果该值为 yesexternal,则会装载该模块,否则不会。有关如何覆盖此行为的信息,请参见第 39.6.2 节 “使用不支持的模块”

    注意
    注意:支持

    SUSE 一般不支持通过 modprobe -r 去除储存模块。

39.6.2 使用不支持的模块

虽然普遍的支持能力很重要,但在有些情况下可能需要装载不支持的模块。例如,为了测试或调试目的,或者如果您的硬件供应商提供了热修复。

  • 要覆盖默认行为,请编辑 /etc/modprobe.d/10-unsupported-modules.conf,将变量 allow_unsupported_modules 的值更改为 1。如果 initrd 中需要一个不支持的模块,请记得运行 dracut -f 来更新 initrd。

    如果只想尝试装载模块一次,可将 --allow-unsupported-modules 选项与 modprobe 结合使用。有关更多信息,请参见 modprobe 手册页。

  • 在安装期间,可通过驱动程序更新磁盘添加不支持的模块,这样便会装载这些模块。要在引导过程中及引导之后强制装载不支持的模块,请使用内核命令行选项 oem-modules。安装和初始化 suse-module-tools 软件包时,系统将评估内核标志 TAINT_NO_SUPPORT (/proc/sys/kernel/tainted)。如果内核已污染,将启用 allow_unsupported_modules。这可以防止不支持的模块在安装的系统中装载失败。如果安装期间没有任何不支持的模块,并且未使用其他特殊的内核命令行选项 (oem-modules=1),则默认行为仍是禁止不支持的模块。

请记住,装载和运行不支持的模块会导致 SUSE 不支持该内核和整个系统。

39.7 更多信息

40 常见问题及其解决方案

本章将描述一系列可能发生的问题及其解决方法。即使您的情况并未精确地列在这里,也可能有足够相似的情况可提供解决您的问题的方法提示。

40.1 查找和收集信息

Linux 报告情况时是很详细的。当您的系统发生问题时,可以从几个位置查看,通常大多数是 Linux 系统的标准日志,有一些是与 SUSE Linux Enterprise Server 系统相关的日志。多数日志文件可以用 YaST(杂项 ›  启动日志)查看。

使用 YaST 可以收集支持团队所需的所有系统信息。使用其他 › 支持,然后选择问题类别。当所有信息都被集合后,将其附加在您的支持请求。

将出现最常检查的日志文件的列表,并附有其典型用途说明。包含 ~ 的路径是指当前用户的用户主目录。

表 40.1︰ 日志文件

日志文件

说明

~/.xsession-errors

来自当前运行的桌面应用程序的消息。

/var/log/apparmor/

来自 AppArmor 的日志文件,详细信息请参见Book “安全和强化指南

/var/log/audit/audit.log

来自审计的日志文件,用来跟踪对系统的文件、目录或资源的任何访问,并跟踪系统调用。有关详细信息,请参见Book “安全和强化指南

/var/log/mail.*

来自邮件系统的消息。

/var/log/NetworkManager

来自 NetworkManager 的日志文件通过网络连接收集问题

/var/log/samba/

包含 Samba 服务器及客户端日志消息的目录。

/var/log/warn

所有来自内核与系统日志守护程序的消息为警告或更高级别。

/var/log/wtmp

包含当前计算机会话的用户登录记录的二进制文件。可使用 last 查看它。

/var/log/Xorg.*.log

来自 X Window 系统的各种启动和运行时日志文件。在调试失败的 X 启动时,该日志很有用。

/var/log/YaST2/

包含 YaST 操作及其结果的目录。

/var/log/zypper.log

Zypper 的日志文件。

除了日志文件外,您的计算机还可提供关于运行中的系统的信息。请参见表 40.2: /proc 文件系统的系统信息

表 40.2︰ /proc 文件系统的系统信息

文件

说明

/proc/cpuinfo

包含处理器信息,包括处理器类型、制造商、型号和性能。

/proc/dma

显示当前使用的 DMA 通道。

/proc/interrupts

显示正在使用的中断和已使用的中断数量。

/proc/iomem

显示 I/O(输入/输出)内存的状态。

/proc/ioports

显示当时正在使用的 I/O 端口。

/proc/meminfo

显示内存状态。

/proc/modules

显示各个模块。

/proc/mounts

显示当前挂载的设备。

/proc/partitions

显示所有硬盘的分区。

/proc/version

显示当前的 Linux 版本。

除了 /proc 文件系统外,Linux 内核还可通过 sysfs 模块(一个内存内的文件系统)导出信息。该模块表示了内核对象及其属性以及关系。有关 sysfs 的更多信息,请参见第 24 章 “ 使用 udev 进行动态内核设备管理 中 udev 的环境。表 40.3 包含 /sys 下最常见目录的概述。

表 40.3︰ /sys 文件系统的系统信息

文件

说明

/sys/block

包含系统中发现的每个块设备的子目录。通常多数是磁盘类设备。

/sys/bus

包含每个物理总线类型的子目录。

/sys/class

包含按设备功能类型分组的子目录(如图形、网络、打印机等)

/sys/device

包含全局设备层次结构。

Linux 自带了几个用于系统分析和监视的工具。请参见Book “系统分析和微调指南”, Chapter 2 “系统监视实用程序”以选择在系统诊断中使用的最重要的工具。

以下包含的每个情景都以一个描述问题的标题开头,后跟一两段内容,提供建议的解决方案、解决方案详细信息的参考,以及对其他可能相关的情景的交叉引用。

40.2 引导问题

引导问题是指系统不能正确引导时出现的情况(不能引导到预期的目标和登录屏幕)。

40.2.1 GRUB 2 引导加载程序无法装载

如果硬件运行正常,则可能是由于引导加载程序已损坏而使 Linux 无法在计算机上启动。在这种情况下,需要修复引导加载程序。为此,您需要按第 40.5.2 节 “使用救援系统”中所述启动救援系统,然后根据第 40.5.2.4 节 “修改和重新安装引导加载程序”中的说明操作。

另外,您可以按以下方式使用救援系统来修复引导加载程序。从安装媒体引导计算机。在引导屏幕中,选择更多 › 引导 Linux 系统。使用默认内核选项选择包含已安装的系统和内核的磁盘。

系统引导后,启动 YaST 并切换到系统 › 引导加载程序。确保启用了将通用引导代码写入主引导记录选项,然后单击确定。如此会通过重写来修复损坏的引导加载程序,或者安装缺失的引导加载程序。

其他导致计算机无法引导的原因可能与 BIOS 相关:

BIOS 设置

检查与硬盘相关的 BIOS 设置。如果在当前的 BIOS 设置中找不到硬盘本身,GRUB 2 可能就不能启动。

BIOS 引导顺序

请检查您的系统引导顺序中是否包含硬盘。如果未启用硬盘选项,即使系统正确安装,在访问所需的硬盘时仍可能无法引导。

40.2.2 无图形登录

如果计算机能够启动,但是无法引导进入图形登录管理器,则问题可能出在默认的 systemd 目标选项或 X Window 系统的配置上。要检查当前的 systemd 默认目标,请运行命令 sudo systemctl get-default。如果返回的值为 not graphical.target,请运行命令 sudo systemctl isolate graphical.target。如果图形登录屏幕已启动,请登录并启动 YaST ›  系统 ›  服务管理器,然后将默认系统目标设置为图形界面。此后,系统应该能够引导进入图形登录屏幕。

如果即使已引导或者切换到图形目标,图形登录屏幕也不启动,则原因可能是您的桌面或 X Window 软件设置错误或者已损坏。检查位于 /var/log/Xorg.*.log 的日志文件,以获取 X 服务器尝试启动时所发送的详细消息。如果桌面在启动期间发生错误,可能会在系统日志中记录错误消息,您可以使用命令 journalctl 查询该日志(有关详细信息,请参见第 17 章 “journalctl:查询 systemd 日志)。如果这些错误消息指出问题出在 X 服务器中的配置上,请尝试修正这些问题。如果图形系统仍无法启动,请考虑重安装图形桌面。

40.2.3 无法挂载 Btrfs 根分区

如果 btrfs 根分区已损坏,请尝试以下选项:

  • 使用 -o recovery 选项挂载该分区。

  • 如果不起使用,请在您的根分区上运行 btrfs-zero-log

40.2.4 强制检查根分区

如果根分区损坏,请在引导提示符处使用参数 forcefsck 。这样会将选项 -f (force) 传递给 fsck 命令。

40.2.5 禁用交换以启用引导

当某个交换设备不可用且系统在引导期间无法启用该设备时,引导可能会失败。通过将以下选项追加到内核命令行,来尝试禁用所有交换设备:

systemd.device_wants_unit=off systemd.mask=swap.target

您也可以尝试禁用特定的交换设备:

systemd.mask=dev-sda1.swap

40.2.6 GRUB 2 在双引导系统上重引导时失败

如果 GRUB 2 在重引导期间失败,请禁用 BIOS 中的快速引导设置。

40.3 登录问题

登录问题是指计算机虽然引导到预期的欢迎屏幕或登录提示界面,却拒绝接受用户名和口令,或者虽然接受了用户名和口令,但是行为异常(无法启动图形桌面、发生错误或转到了命令行等)。

40.3.1 有效的用户名和口令组合失败

如果系统配置为使用网络身份验证或目录服务,但出于某些原因无法从为其配置的服务器上检索到结果,通常就会发生此问题。只有作为唯一本地用户的 root 用户仍能登录到这些计算机。以下是计算机看似能够运行但无法正确处理登录的常见原因:

  • 网络出现故障。有关此问题的进一步说明,请转到第 40.4 节 “网络问题”

  • DNS 在当时不起作用(这使得 GNOME 不起作用,并使系统无法向安全服务器发出经验证的请求)。如果是这种情况,则表现为计算机对任何操作的响应都需要极其长的时间。有关该主题的详细信息,请参见第 40.4 节 “网络问题”

  • 如果将系统配置为使用 Kerberos,则系统的本地时间与 Kerberos 服务器时间之间的差异可能超过了可接受的值(通常为 300 秒)。如果 NTP(网络时间协议)未正确地起作用,或者本地 NTP 服务器不起作用,则 Kerberos 身份验证将不再工作,因为该身份验证依赖于整个网络的通用时钟同步。

  • 系统的身份验证配置不正确。请对相关的 PAM 配置文件进行检查以确定是否存在指令输入错误或排序错误。有关 PAM 的其他背景信息及相关配置文件的语法,请参见Book “安全和强化指南”, Chapter 3 “通过 PAM 进行身份验证”

  • 主分区是加密的。有关该主题的详细信息,请参见第 40.3.3 节 “登录至加密的主分区失败”

在不涉及外部网络问题的所有情况下,解决方法是将系统重引导到单用户方式并修复配置,然后再次引导到操作方式并重试登录。要引导到单用户方式,请执行以下操作:

  1. 重新启动系统。此时将出现引导屏幕,其中显示一个提示。

  2. Esc 退出启动屏幕,并转到 GRUB 2 基于文本的菜单。

  3. B 进入 GRUB 2 编辑器。

  4. 在包含内核参数的行中添加以下参数:

    systemd.unit=rescue.target
  5. F10

  6. 输入 root 的用户名与口令。

  7. 进行必要的一切更改。

  8. 在命令行中输入 systemctl isolate graphical.target,以引导进入完全的多用户和网络模式。

40.3.2 有效的用户名和口令不被接受

这是到目前为止用户最常遇到的问题,因为有许多原因可能引起该问题。登录失败可由多种原因造成,取决于您是使用本地用户管理和身份验证,还是使用网络身份验证。

本地用户管理失败可由以下原因造成:

  • 用户可能输入了错误的口令。

  • 用户包含桌面配置文件的主目录已损坏或被写保护。

  • 验证该特定用户的 X Window 系统可能存在问题,尤其是在安装当前版本之前,该用户的主目录已被其他 Linux 分发版使用时。

要找到本地登录失败的原因,请执行如下操作:

  1. 在尝试调试整个身份验证机制之前,请检查用户所记的口令是否正确。如果用户记错了口令,请使用“YaST 用户管理”模块更改其口令。注意 Caps Lock 键,如果需要请解锁。

  2. root 身份登录,并使用 journalctl -e 检查系统日志,找出登录过程和 PAM 的错误消息。

  3. 尝试从控制台登录(使用 CtrlAltF1)。如果成功了,则问题不在 PAM 上,因为可以在该计算机上身份验证此用户。尝试找出与 X Window 系统或 GNOME 桌面相关的任何问题。有关详细信息,请参见第 40.3.4 节 “GNOME 桌面有问题”

  4. 如果用户的主目录被其他 Linux 产品所使用,请将该用户主目录中的 Xauthority 文件删除。使用控制台登录(通过 CtrlAltF1),然后以该用户的身份运行 rm .Xauthority。这样应该可以消除该用户的 X 身份验证问题。然后再次尝试图形登录。

  5. 如果桌面由于配置文件损坏而无法启动,请参见第 40.3.4 节 “GNOME 桌面有问题”

下面列出了在特定的计算机上对特定用户进行的网络身份验证可能失败的常见原因:

  • 用户可能输入了错误的口令。

  • 用户名存在于计算机的本地身份验证文件中,但同时网络身份验证系统也提供了该用户名,从而引起冲突。

  • 主目录存在,但已损坏或不可用。该目录可能处于写保护状态或位于此刻无法访问的服务器上。

  • 用户无权登录到身份验证系统中的该特定主机。

  • 计算机出于某种原因更改了主机名,而用户无权登录到该主机。

  • 计算机无法访问包含该用户信息的身份验证服务器或目录服务器。

  • 验证该特定用户的 X Window 系统可能存在问题,尤其是在安装当前办法之前,该用户的主目录已被其他 Linux 分发版使用时。

要通过网络身份验证找到登录问题的原因,请执行以下步骤:

  1. 在尝试调试整个身份验证机制之前,请检查用户所记的口令是否正确。

  2. 确定计算机在身份验证时要依赖的目录服务器,并确保计算机在正常运行且与其他计算机正常通讯。

  3. 确定该用户的用户名和口令在其他计算机上是否有效,以确保存在该用户的身份验证数据且已正确分发。

  4. 确定其他用户是否可以登录到该故障计算机。如果其他用户可以正常登录,或 root 可以登录的话,请登录并使用 journalctl -e> 文件检查系统日志。找到与登录尝试相对应的时间戳记,然后确定 PAM 是否生成了任何错误消息。

  5. 尝试从控制台登录(使用 CtrlAltF1)。如果成功,则问题不在用户主目录中的 PAM 或目录服务器上,因为可以在该计算机上验证此用户。尝试找出与 X Window 系统或 GNOME 桌面相关的任何问题。有关详细信息,请参见第 40.3.4 节 “GNOME 桌面有问题”

  6. 如果用户的主目录被其他 Linux 产品所使用,请将该用户主目录中的 Xauthority 文件删除。使用控制台登录(通过 CtrlAltF1),然后以该用户的身份运行 rm .Xauthority。这样应该可以消除该用户的 X 身份验证问题。然后再次尝试图形登录。

  7. 如果桌面由于配置文件损坏而无法启动,请参见第 40.3.4 节 “GNOME 桌面有问题”

40.3.3 登录至加密的主分区失败

对于便携式计算机建议使用加密的主分区。如果无法登录到您的便携式计算机,原因通常很简单:您的分区无法解锁。

在引导时,需要输入通行口令来解锁加密的分区。如果不输入它,引导进程继续,但保持分区锁定。

要解锁您的加密分区,请如下操作:

  1. CtrlAltF1 切换到文本控制台。

  2. 成为 root 用户。

  3. 用以下步骤重启动解锁进程:

    root # systemctl restart home.mount
  4. 输入您的通行口令以解锁加密的分区。

  5. AltF7 退出文本控制台并切换回登录屏幕。

  6. 如常登录。

40.3.4 GNOME 桌面有问题

如果您遇到 GNOME 桌面问题,可以使用几种方法对行为异常的图形桌面环境进行查错。下面所述的建议过程提供了修复损坏的 GNOME 桌面的最安全选项。

过程 40.1︰ GNOME 查错
  1. 启动 YaST 并切换到安全和用户

  2. 打开用户和组管理对话框并单击添加

  3. 填写必填字段,然后单击确定以创建新用户。

  4. 注销并以新用户身份登录。这将为您提供一个全新的 GNOME 环境。

  5. 将旧用户帐户的 ~/.local/~/.config/ 目录中的单个子目录复制到新用户帐户的对应目录。

    每次复制操作之后,注销并以新用户身份再次登录,以检查 GNOME 是否仍正常工作。

  6. 重复上一步,直到找到破坏 GNOME 的配置文件。

  7. 以旧用户身份登录,并将有问题的配置文件移到其他位置。注销并以旧用户身份再次登录。

  8. 删除之前创建的用户。

40.4 网络问题

系统的许多问题可能都与网络相关,即使初看起来不是这样。例如,系统不允许用户登录可能是某种网络问题造成的。本节介绍一个简单的核对表,您可以使用它来确定任何所遇到的网络问题的原因。

过程 40.2︰ 如何识别网络问题

在检查计算机的网络连接时,请执行如下操作:

  1. 如果使用的是以太网连接,请首先检查硬件。确保您的网络电缆已正确插入计算机和路由器(或集线器等)。以太网连接器旁边的控制灯通常应全部激活。

    如果连接失败,请检查网线在别的计算机上是否正常。如果正常,则可能是网卡引起了该问题。如果您的网络设置中有集线器或交换机,它们也可能有故障。

  2. 如果使用的是无线连接,请检查是否可与其他计算机建立此无线链接。如果没有,请联系无线网络的管理员。

  3. 完成对基本网络连通性的检查后,请尝试找出没有响应的服务。收集设置中所需的所有网络服务器的地址信息。在相应的 YaST 模块中查找这些信息,或者询问您的系统管理员。下面列出了设置中涉及的一些典型网络服务器以及服务中断的症状。

    DNS(名称服务)

    名称服务中断或发生故障会在许多方面影响网络运行。如果本地计算机依赖于任一网络服务器进行身份验证,而这些服务器由于名称解析问题而无法找到,则用户甚至还不能登录。网络中由中断的名称服务管理的计算机将无法看到彼此且不能通信。

    NTP(时间服务)

    NTP 服务发生故障或完全中断可能会影响 Kerberos 身份验证和 X 服务器功能。

    NFS(文件服务)

    如果任何应用程序所需的数据储存在 NFS 挂载目录中,则一旦此服务停止或配置错误,应用程序便无法启动或正常运行。最坏的情况是,如果由于 NFS 服务器发生故障而无法找到包含 .gconf 子目录的用户主目录,则该用户主目录所属的用户的个人桌面配置将无法启动。

    Samba(文件服务)

    如果任何应用程序需要的数据储存在有故障的 Samba 服务器上的某个目录中,它便无法启动或正常运行。

    NIS(用户管理)

    如果您的 SUSE Linux Enterprise Server 系统依赖有故障的 NIS 服务器提供用户数据,用户将无法登录此计算机。

    LDAP(用户管理)

    如果您的 SUSE Linux Enterprise Server 系统依赖有故障的 LDAP 服务器提供用户数据,用户将无法登录此计算机。

    Kerberos(身份验证)

    身份验证无法进行,登录至任何计算机都会失败。

    CUPS(网络打印)

    用户无法打印。

  4. 请检查网络服务器是否正在运行并且您的网络设置是否允许您建立连接:

    重要
    重要:限制

    下面介绍的调试步骤只适用于简单的网络服务器/客户端设置,不涉及任何内部路由。假设服务器和客户端都是同一子网的成员,不需要额外的路由。

    1. 使用 ping IP_ADDRESS/HOSTNAME(用服务器的主机名或 IP 地址替换)来检查各台服务器是否正在运行,且能够对网络作出响应。如果此命令成功,表示您所查找的主机在正常运行,并且网络的名称服务配置正确。

      如果 ping 命令失败,同时显示消息目标主机不可访问,则表明您的系统或期望的服务器未正确配置或已宕机。从另一台计算机运行 ping IP addressYOUR_HOSTNAME 命令,来检查是否可连接您的系统。如果可以从其他计算机访问您的计算机,则表明该服务器未运行或未正确配置。

      如果 ping 命令失败且返回 unknown host,则表示名称服务未正确配置或使用的主机名不正确。要对该问题进行进一步的检查,请参见步骤 4.b。如果 ping 命令仍然失败,则可能网卡未正确配置或网络硬件存在故障。

    2. 请使用 host HOSTNAME 来检查您尝试连接的服务器的主机名是否正确地转译为 IP 地址,反之亦然。如果此命令返回了该主机的 IP 地址,则名称服务已在正常运行。如果 host 命令失败,请检查您主机上所有与名称和地址解析相关的网络配置文件:

      /var/run/netconfig/resolv.conf

      此文件用于对当前使用的名称服务器和域进行跟踪。它是 /run/netconfig/resolv.conf 的符号链接,YaST 或 DHCP 通常会自动对其进行调整。请确保此文件采用以下结构,并且所有的网络地址和域名都正确无误:

      search FULLY_QUALIFIED_DOMAIN_NAME
      nameserver IPADDRESS_OF_NAMESERVER

      此文件中可以包含多个名称服务器地址,但是其中必须至少有一个能够对您的主机提供正确的名称解析。如果需要,请使用 YaST 的“网络设置”模块(“主机名/DNS”选项卡)调整此文件。

      如果您的网络连接是通过 DHCP 处理的,请在 YaST 的“网络设置”模块(“主机名/DNS”选项卡)中选择通过 DHCP 设置主机名(可针对所有接口全局设置,也可以逐个接口设置)和通过 DHCP 更新名称服务器和搜索列表,以允许 DHCP 更改主机名和名称服务信息。

      /etc/nsswitch.conf

      此文件告诉 Linux 到何处查找名称服务信息。它应显示为:

       ...
      hosts: files dns
      networks: files dns
      ...

      dns 条目是必需的。它告诉 Linux 要使用外部名称服务器。通常这些项是 YaST 自动管理的,但最好谨慎地检查。

      如果主机上的所有相关条目均正确,请让系统管理员检查 DNS 服务器配置,以确定时区信息是否正确。有关 DNS 的详细信息,请参见第 31 章 “域名系统如果确信主机和 DNS 服务器的 DNS 配置正确,请检查网络和网络设备的配置。

    3. 如果系统无法与网络服务器建立连接,并且已排除了名称服务出现问题的可能,则请检查网卡的配置。

      使用 ip addr show NETWORK_DEVICE 命令来检查此设备是否已正确配置。确保已正确设置带网络掩码 (/MASK) 的 inet address。如果 IP 地址中出现错误或网络掩码中缺少一位,将使您的网络配置无法使用。如有必要,也在服务器上执行该检查。

    4. 如果名称服务和网络硬件已正确配置且正在运行,但有些外部网络连接仍然长时间超时或完全失败,请使用 traceroute FULLY_QUALIFIED_DOMAIN_NAME 命令(以 root 用户的身份执行)来跟踪这些请求所经过的网络路由。此命令将列出某一请求从您的计算机传递到其目标所经过的所有网关(跳跃)。其中列出了每个跃点的响应时间以及此跃点是否可访问。请将 traceroute 和 ping 结合使用以确定故障原因并通知管理员。

确定了网络故障的原因后,就可以自行解决(如果问题出在您自己的机器上),或告诉网络系统管理员您的发现,以便其重新配置服务或修复必要的系统。

40.4.1 NetworkManager 问题

如果网络连接有问题,请按过程 40.2 “如何识别网络问题” 中所述缩小范围。如果 NetworkManager 看上去有问题,请执行以下步骤,以获取相关的日志来找出 NetworkManager 失败原因的线索:

  1. root 用户身份打开外壳并登录。

  2. 重启动 NetworkManager:

    tux > sudo systemctl restart NetworkManager
  3. 以普通用户身份打开一个网页,例如 http://www.opensuse.org,看看是否可以连接。

  4. 收集 /var/log/NetworkManager 中有关 NetworkManager 状态的任何信息。

有关 NetworkManager 的更多信息,请参考第 26 章 “使用 NetworkManager

40.5 数据问题

数据问题是指无论计算机是否能够正确引导,有一点是明确的,即系统上的数据损坏并且系统需要恢复。这些情况下需要对关键数据进行备份,以便您能够在系统出现故障时恢复故障前的状态。

40.5.1 管理分区映像

有时您需要从整个分区甚至硬盘来执行备份。Linux 附带了 dd 工具,该工具可用于创建磁盘的精确副本。与 gzip 一起使用可节约一些空间。

过程 40.3︰ 备份和恢复硬盘
  1. root 用户身份启动外壳。

  2. 选择源设备。通常形如 /dev/sda(标记为 SOURCE)。

  3. 确定要把您的映像储存在何处(标记为 BACKUP_PATH)。它不能与您的源设备相同。换句话说:如果从 /dev/sda 备份,则映像文件不得储存在 /dev/sda 下。

  4. 运行以下命令创建压缩映像文件:

    root # dd if=/dev/SOURCE | gzip > /BACKUP_PATH/image.gz
  5. 用以下命令恢复硬盘:

    root # gzip -dc /BACKUP_PATH/image.gz | dd of=/dev/SOURCE

如果只需备份某个分区,请将 SOURCE 占位符替换为相应的分区。在这种情况下,映像文件可以位于同一硬盘上不同的分区中。

40.5.2 使用救援系统

有多种原因会造成系统无法正常启动和运行。系统崩溃后造成文件系统损坏、配置文件损坏或引导加载程序配置损坏是最常见的原因。

为了帮助您解决这些状况,SUSE Linux Enterprise Server 提供了一套您可以引导的救援系统。该救援系统是一个小型 Linux 系统,可以装载到一个 RAM 磁盘并以 root 文件系统的形式挂载,使您可以从外部访问 Linux 分区。使用该救援系统,可以恢复或修改系统中任何一个重要的方面:

  • 操作任意类型的配置文件。

  • 检查文件系统中的缺陷和启动自动修复进程。

  • 访问更改 root环境下的已安装系统。

  • 检查、修改和重新安装引导加载程序配置。

  • 从安装有误的设备驱动程序或不可用内核恢复。

  • 使用 parted 命令调整分区大小。在 GNU Parted 网站 http://www.gnu.org/software/parted/parted.html 上可以找到有关该工具的更多信息。

该救援系统可以从各种来源和位置进行装载。最简单的选择是从原始安装媒体上引导该救援系统。

注意
注意:IBM Z:启动救援系统

在 IBM Z 上,可将安装系统用于救援。要启动救援系统,请根据第 40.6 节 “IBM Z:将 initrd 用作救援系统”中的说明操作。

  1. 将安装媒体插入 DVD 驱动器中。

  2. 重新启动系统。

  3. 在引导屏幕上按 F4 并选择 DVD-ROM。然后从主屏幕选择救援系统

  4. Rescue: 提示符处输入 root。无需口令。

如果硬件设置不包含 DVD 驱动器,可以从网络源引导该救援系统。以下示例适用于远程引导的情形,如果使用另一引导媒体(例如 DVD),则要相应地修改 info 文件,并像正常安装一样进行引导。

  1. 进入 PXE 引导设置的配置界面,添加下面的行:install=PROTOCOL://INSTSOURCErescue=1。但如果需要启动修复系统,请使用 repair=1。与正常安装一样,PROTOCOL 表示任何支持的网络协议(NFS、HTTP、FTP 等),INSTSOURCE 表示网络安装源的路径。

  2. Book “部署指南”, Chapter 17 “准备网络引导环境”, Section 17.5 “使用网络唤醒进行远程唤醒”中所述,使用网络唤醒引导系统。

  3. Rescue: 提示符处输入 root。无需口令。

进入该救援系统后,可通过 AltF1AltF6 键来访问虚拟控制台。

/bin 目录中提供了一个外壳和其他有用的实用程序,如 mount 程序。/sbin 目录包含重要的用于查看和修复文件系统的文件和网络实用程序。此目录还包含用于系统维护的最重要的二进制文件,如 fdiskmkfsmkswapmountshutdown,以及用于维护网络的 ipss。目录 /usr/bin 包含 vi 编辑器、find、less 和 SSH。

要查看系统消息,请使用命令 dmesg,或使用 journalctl 查看系统日志。

40.5.2.1 检查和操作配置文件

举一个可以通过该救援系统修复配置的例子,假设有一个被损坏的配置文件,使该系统无法正常引导。您可以通过救援系统修复该配置文件。

要操作配置文件,请执行以下步骤:

  1. 用上述方法之一启动救援系统。

  2. 要在救援系统中挂载位于 /dev/sda6 下的 root 文件系统,请使用如下命令:

    tux > sudo mount /dev/sda6 /mnt

    系统所有目录现在均位于 /mnt 之下

  3. 将目录切换为所挂载的 root 文件系统:

    tux > sudo cd /mnt
  4. 在 vi 编辑器中打开有问题的配置文件。调整并保存配置。

  5. 从救援系统中卸载 root 文件系统:

    tux > sudo umount /mnt
  6. 重引导计算机。

40.5.2.2 修复和检查文件系统

通常,不能在正在运行的系统上修复文件系统。如果遇到严重问题,您甚至都无法挂载 root 文件系统,系统引导可能以显示 kernel panic 结束。在这种情况下,唯一的方法是从外部修复系统。该系统包含的实用程序可检查并修复 btrfsext2ext3ext4xfsdosfsvfat 文件系统。您可以试试命令 fsck.FILESYSTEM。例如,如果需要对 btrfs 进行文件系统检查,请使用 fsck.btrfs

40.5.2.3 访问已安装系统

如果需要从救援系统访问已安装系统,需要在更改 root 环境中执行此操作。例如,修改引导加载程序配置或执行硬件配置实用程序。

要设置基于已安装系统的更改 root 环境,请执行以下步骤:

  1. 提示
    提示:导入 LVM 卷组

    如果您使用的是 LVM 设置(有关更多一般性细节,请参见Book “储存管理指南),请导入所有现有的卷组,以便能够查找和挂载设备:

    rootvgimport -a

    运行 lsblk 以检查哪个节点对应于根分区。在本例中,该节点为 /dev/sda2

    tux > lsblk
    NAME        MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
    sda           8:0    0 149,1G  0 disk
    ├─sda1        8:1    0     2G  0 part  [SWAP]
    ├─sda2        8:2    0    20G  0 part  /
    └─sda3        8:3    0   127G  0 part
      └─cr_home 254:0    0   127G  0 crypt /home
  2. 从安装的系统挂载根分区:

    tux > sudo mount /dev/sda2 /mnt
  3. 挂载 /proc/dev/sys 分区:

    tux > sudo mount -t proc none /mnt/proc
    tux > sudo mount --rbind /dev /mnt/dev
    tux > sudo mount --rbind /sys /mnt/sys
  4. 现在可以更改根分区为新的环境,并保留 bash 外壳:

    tux > chroot /mnt /bin/bash
  5. 最后,挂载已安装系统的剩余分区:

    tux > mount -a
  6. 现在可以访问已安装系统了。在重引导系统之前,请用 umount -a 卸载分区并用 exit 退出更改 root环境。

警告
警告:限制

尽管对已安装系统的文件和应用程序有完全访问权,但仍有一些限制。运行的内核是用救援系统引导的那个,不是用更改 root 环境引导的那个。它仅支持关键硬件,如果内核版本不完全相同,则无法从已安装系统中添加内核模块。始终用 uname -r 检查当前正在运行的(救援)内核版本,然后查明更改 root 环境中 /lib/modules 目录下是否有匹配的子目录。如果是,可以使用已安装模块;否则,需要在其他媒体(例如闪盘)上提供模块的正确版本。很多时候,救援内核版本与已安装模块不同,这样您完全无法访问声卡等。也不可能启动图形用户界面。

还应注意,在使用 F1AltF6 键切换控制台时,要退出Alt更改 root环境。

40.5.2.4 修改和重新安装引导加载程序

有时,系统无法引导是因为引导加载程序配置已损坏。例如,如果没有正常工作的引导加载程序,启动例程将无法将物理驱动器转化为 Linux 文件系统中的实际位置。

要检查引导加载程序配置并重新安装引导加载程序,请执行以下步骤:

  1. 第 40.5.2.3 节 “访问已安装系统” 中所述执行必要的步骤以访问已安装系统。

  2. 检查系统上是否已安装 GRUB 2 引导加载程序。如果未安装,请安装 grub2 软件包并运行

    tux > sudo grub2-install /dev/sda
  3. 根据第 14 章 “引导加载程序 GRUB 2中所述的 GRUB 2 配置原则,检查下列文件是否正确配置,并根据需要应用修复。

    • /etc/default/grub

    • /boot/grub2/device.map(选用文件,手动创建后才存在)

    • /boot/grub2/grub.cfg(此文件是系统生成的,不要编辑)

    • /etc/sysconfig/bootloader

  4. 使用以下命令序列重新安装引导加载程序:

    tux > sudo grub2-mkconfig -o /boot/grub2/grub.cfg
  5. 卸载分区,从更改 root环境中注销并重引导该系统:

    tux > umount -a
    exit
    reboot

40.5.2.5 修复内核安装

内核更新会产生新的 bug,这样会影响系统运行。例如,系统某个硬件的驱动程序有故障,您就无法访问和使用该硬件。在这种情况下,需还原到上一个工作内核(如果在系统上可用),或从安装媒体安装原始内核。

提示
提示:如何在更新后保留最后几个内核

为了防止内核更新出现故障后无法进行引导,请使用内核多版本功能,并告知 libzypp 在更新后保留哪些内核。

例如,要始终保留最后两个内核和当前正在运行的内核,请将

multiversion.kernels = latest,latest-1,running

添加到 /etc/zypp/zypp.conf 文件。有关更多信息,请参见Book “部署指南”, Chapter 23 “安装多个内核版本”

类似的情况是,当您需要重新安装或更新不受 SUSE Linux Enterprise Server 支持的设备的已损坏驱动程序时。例如,当硬件供应商使用特定设备时,比如硬件 RAID 控制器,它需要一个二进制驱动程序才能被操作系统识别。供应商通常会发布含有固定版或更新版必要驱动程序的驱动程序更新磁盘 (DUD)。

这两种情况下,您都需要以救援模式访问已安装系统,并修复内核相关问题,否则系统可能无法正确引导:

  1. SUSE Linux Enterprise Server 安装媒体引导。

  2. 如果您正在从内核更新故障中恢复,请跳过此步骤。如果需要使用驱动程序更新磁盘 (DUD),请在出现引导菜单后按 F6 装载驱动程序更新,并选择驱动程序更新的路径或 URL,然后确认

  3. 从引导菜单中选择救援系统,并按 Enter。如果选择使用 DUD,将要求您指定储存驱动程序更新的位置。

  4. Rescue: 提示符处输入 root。无需口令。

  5. 手动将目标系统和更改 root挂载新环境。有关详细信息,请参见第 40.5.2.3 节 “访问已安装系统”

  6. 如果使用的是 DUD,请安装/重新安装/更新有故障的设备驱动程序软件包。始终确保已安装的内核版本与您正在安装的驱动程序版本完全相同。

    如果要修复有故障的内核更新安装,可以从安装媒体使用以下过程安装原始内核。

    1. 使用 hwinfo --cdrom 命令确定您的 DVD 设备信息,使用 mount /dev/sr0 /mnt 命令挂载设备。

    2. 导航到 DVD 上储存内核文件的目录,例如,cd /mnt/suse/x86_64/

    3. 使用 rpm -i 命令安装具有您风格的必需 kernel-*kernel-*-basekernel-*-extra 软件包。

  7. 更新配置文件,必要时可重初始化引导加载程序。有关详细信息,请参见第 40.5.2.4 节 “修改和重新安装引导加载程序”

  8. 从系统驱动器中删除所有可引导的媒体,然后重引导。

40.6 IBM Z:将 initrd 用作救援系统

如果升级或修改了 SUSE® Linux Enterprise Server for IBM Z 的内核,可能会意外地将系统重引导为不一致的状态,这样会使已安装系统的标准 IPL 过程失败。在这种情况下,您可以使用安装系统来提供救援。

Book “部署指南”, Chapter 5 “IBM Z 和 LinuxONE 上的安装”, Section 5.3 “安装准备工作”中所述,对 SUSE Linux Enterprise Server for IBM Z 安装系统执行 IPL。选择开始安装,然后输入所有必需的参数。安装系统装载之后,系统会询问您要使用哪个显示类型来控制安装,此时请选择 SSH。现在,您可以不输入口令直接以 root 身份通过 SSH 登录系统。

在此情况下,没有做任何磁盘配置。需要在在能进入以前配置磁盘。

过程 40.4︰ 配置 DASD
  1. 用以下的命令配置 DASD:

    dasd_configure 0.0.0150 1 0

    DASD 以 0.0.0150 连接。1 表示激活该磁盘(此位置若为 0 则将停用该磁盘)。0 表示磁盘无 DIAG 模式1 使磁盘的 DAIG 访问可用)。

  2. 现在,DASD 为联机(用 cat /proc/partitions 检查),并可用于后续命令。

过程 40.5︰ 配置 zFCP 磁盘
  1. 配置 zFCP 磁盘,首先要配置 zFCP 调节器。请使用以下命令完成该操作:

    zfcp_host_configure 0.0.4000 1

    0.0.4000 是调节器的连接目标通道 1 表示激活(0使调节器无效)。

  2. 调节器被激活后,可以配置磁盘。请使用以下命令完成该操作:

    zfcp_disk_configure 0.0.4000 1234567887654321 8765432100000000  1

    0.0.4000 是以前用的通道 ID, 1234567887654321 为 WWPN (国际端口号码 World wide Port Number), 而 8765432100000000 是 LUN (逻辑单位号码 logical unit number). 1 意味着激活该磁盘 (这里的 0 将使该磁盘无效)。

  3. 现在,zFCP 磁盘为联机(用 cat /proc/partitions 检查),并可用于后续命令。

现在,救援系统已完全设置好,您可以开始修复安装的系统。有关如何修复最常见问题的说明,请参见第 40.5.2 节 “使用救援系统”

A 网络示例

此网络示例贯穿 SUSE® Linux Enterprise Server 文档的所有与网络相关的章节。

Image